CN112260833B - 一种具有远程加密功能的服务器及加密方法 - Google Patents
一种具有远程加密功能的服务器及加密方法 Download PDFInfo
- Publication number
- CN112260833B CN112260833B CN202011519792.5A CN202011519792A CN112260833B CN 112260833 B CN112260833 B CN 112260833B CN 202011519792 A CN202011519792 A CN 202011519792A CN 112260833 B CN112260833 B CN 112260833B
- Authority
- CN
- China
- Prior art keywords
- module
- encryption
- information
- remote
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
- H04L9/16—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种具有远程加密功能的服务器及加密方法,公开的服务器包含飞腾处理器模块,内存模块,PCIe Switch模块,外设接口模块;远程加密装置将设置加密信息的请求发送到服务器的外设接口模块;外设接口模块接收请求信息并将其发送给PCIe Switch模块;PCIe Switch模块将接收的请求信息发送至飞腾处理器模块;飞腾处理器模块读取内存模块的存储信息,并对接收的请求信息进行处理,将处理后的加密信息通过PCIe Switch模块和外设接口模块将接收的加密信息发送给远程加密装置。提高基于飞腾处理器的服务器整体性能、可靠性以及信息安全性。
Description
技术领域
本发明涉及到计算机技术领域,尤其涉及一种具有远程加密功能的服务器及加密方法。
背景技术
随着国家信息安全推进的大背景下,信息安全问题日益引起重视,加强信息安全建设刻不容缓。数据是未来的关键,由数据驱动的见解正在改变业务的运行方式,并对从云到核心再到边缘的所有节点都提出了新的挑战,对数据处理速度、效率和安全性提出更高的要求,但目前高端服务器市场都被intel X86所垄断,因此急需开发一款基于飞腾处理器的高性能高可靠服务器。基于飞腾服务器处理器的架构为目前最为热门的ARM架构,但是处理器本身只单纯的集成了PCIe(compact Peripheral Component Interconnect,即紧凑型外设互连标准),处理器并没有集成常用的SATA、USB、显示、网络接口等,这些接口是服务器所必备的,目前都是以PCIe插槽的形式实现上述接口,在需要高可靠环境使用的情况下,PCIe插槽完全无法满足要求。且使用插槽的方式会导致主板成本的提升。
且服务器的信息安全要求也日益提高,目前服务器加解密算法单一,易被破解;采用图片或声音等多媒体形式封装交易信息,对信息传输链路要求高;对传输信息没有进行加密封装,在传输过程中可能被破解。
因此如何解决目前基于飞腾处理器的服务器整体性能低、可靠性差,且信息安全性不高的问题成为本领域技术人员亟待解决的问题。
发明内容
本发明的目的在于,提供一种具有远程加密功能的服务器及加密方法,可以提高基于飞腾处理器的服务器整体性能、可靠性以及信息安全性。
一种具有远程加密功能的服务器,服务器包含飞腾处理器模块,内存模块,PCIeSwitch模块,外设接口模块;飞腾处理器模块分别与内存模块及PCIe Switch模块相连,PCIe Switch模块与外设接口模块相连,外设接口模块与若干个远程加密装置连接;
若干个远程加密装置将设置加密信息的请求发送到服务器的外设接口模块;外设接口模块接收请求信息并将其发送给PCIe Switch模块;PCIe Switch模块将接收的请求信息发送至飞腾处理器模块;
远程加密装置通过USB接口读取USBkey中的第一加密信息,读取信息的同时,USBkey内置动态随机数生成函数生成第一动态密钥;远程加密装置从远程加密装置的本地密钥库获取解密密钥,使用该解密密钥对从USBkey读取的加密信息进行解密,从而获得第一解密信息;远程加密装置读取USBkey中生成的第一动态密钥,依据第一动态密钥从远程加密装置的本地加密算法池中确定需要调用的加密算法,使用该加密算法重新加密第一解密信息,并生成第二动态密钥和第二加密信息;远程加密装置通过信息传输链路将第二动态密钥和第二加密信息发送至具有远程加密功能的服务器的外设接口模块;
外设接口模块接收远程加密装置传输的第二动态密钥和第二加密信息,并通过PCIe Switch模块将其发送给飞腾处理器模块,飞腾处理器模块依据第二动态密钥,在服务器的内存模块的算法池中获取指定解密算法,依据该解密算法对第二加密信息进行解密,获得第二解密信息;飞腾处理器模块对第二解密信息进行处理,再将处理后的第二解密信息从服务器的内存模块的算法池中选择一种加密算法进行加密,生成第三加密信息;飞腾处理器模块将第三加密信息通过PCIe Switch模块和外设接口模块发送给远程加密装置;
远程加密装置接收具有远程加密功能的服务器发送的第三加密信息后,通过USB接口将第三加密信息写入到USBkey中。
优选地,所述飞腾处理器模块包含第一飞腾处理器模块、第二飞腾处理器模块、第三飞腾处理器模块、第四飞腾处理器模块及电平转换模块,其中:
第一飞腾处理器模块为主处理器,第二飞腾处理器模块、第三飞腾处理器模块、第四飞腾处理器模块为副处理器;
各处理器模块通过DLU直连通路分别与其余三个处理器模块连接;
电平转换模块的一端与第一飞腾处理器模块相连,另一端与外设接口模块相连。
优选地,所述第一飞腾处理器模块、第二飞腾处理器模块、第三飞腾处理器模块和第四飞腾处理器模块均包含DDR4控制器和存储控制接口,DDR4控制器与存储控制接口相连,存储控制接口与内存模块相连;第一飞腾处理器模块和第二飞腾处理器模块还包括PCIe控制器和PCIe接口,PCIe控制器与PCIe接口相连,PCIe接口与PCIe Switch模块相连。
优选地,所述内存模块为DDR4 ECC RDIMM板载内存,内存模块与飞腾处理器模块的存储控制接口相连,接收飞腾处理器模块发送的运行信息及存储信息。
优选地,所述PCIe Switch模块包含第一PCIe switch桥片模块和第二PCIeswitch桥片模块,第一PCIe switch桥片模块的一端与第一飞腾处理器模块的PCIe接口相连,另一端与外设接口模块相连,第二PCIe switch桥片模块的一端与第一飞腾处理器模块的PCIe接口相连,另一端与外设接口模块相连。
优选地,所述外设接口模块包含PCIe转USB模块、PCIe转SATA模块、千兆网络控制模块、万兆网络控制模块、RAID模块、BMC管理模块、PCIe扩展插槽模块,其中:PCIe转USB模块的一端与第一PCIe switch桥片模块的一路输出通道连接,另一端另一端提供USB接口与外部USB设备连接;PCIe转SATA模块的一端与第一PCIe switch桥片模块的一路输出通道连接,另一端提供SATA接口与外部SATA设备连接;千兆网络控制模块的一端与第一PCIeswitch桥片模块的两路输出通道连接,另一端提供千兆网口与外部千兆网络设备连接;RAID模块的一端与第一PCIe switch桥片模块的一路输出通道连接,另一端提供RAID接口与外部RAID设备连;BMC管理模块的一端与第一PCIe switch桥片模块的一路输出通道连接,另一端提供与VGA显示接口、ADC接口、I2C接口及PWM接口和TACH接口;万兆网络控制模块的一端与第二PCIe switch桥片模块的一路输出通道连接,另一端提供万兆网口与外部万兆网络设备连接;PCIe扩展插槽模块的一端与第二PCIe switch桥片模块的两路输出通道连接,另一端提供PCIe扩展插槽。
本发明还提供一种远程加密方法,应用于上述具有远程加密功能的服务器,其特征在于,所述方法包括以下步骤:
步骤S100:远程加密装置向具有远程加密功能的服务器发送设置加密信息请求;
步骤S200:远程加密装置通过USB接口读取USBkey中的第一加密信息,读取信息的同时,USBkey内置动态随机数生成函数生成第一动态密钥;
步骤S300:远程加密装置从远程加密装置的本地密钥库获取解密密钥,使用该解密密钥对从USBkey读取的加密信息进行解密,从而获得第一解密信息;
步骤S400:远程加密装置读取USBkey中生成的第一动态密钥,依据第一动态密钥从远程加密装置的本地加密算法池中确定需要调用的加密算法,使用该加密算法重新加密第一解密信息,并生成第二动态密钥和第二加密信息;
步骤S500:远程加密装置通过信息传输链路将第二动态密钥和第二加密信息发送至具有远程加密功能的服务器;
步骤S600:具有远程加密功能的服务器接收远程加密装置传输的第二动态密钥和第二加密信息,依据第二动态密钥,在服务器的算法池中获取指定解密算法,依据该解密算法对第二加密信息进行解密,获得第二解密信息;具有远程加密功能的服务器对第二解密信息进行处理,再将处理后的第二解密信息从服务器的算法池中选择一种加密算法进行加密,生成第三加密信息;具有远程加密功能的服务器将第三加密信息通过信息传输链路发送回远程加密装置;
步骤S700:远程加密装置接收具有远程加密功能的服务器发送的第三加密信息后,通过USB接口将第三加密信息写入到USBkey中。
优选地,所述步骤S600具体为:
步骤S601:服务器的外设接口模块接收到远程加密装置发送的第二动态密钥和第二加密信息后,通过PCIe Switch模块发送至飞腾处理器模块;
步骤S602:飞腾处理器模块依据第二动态密钥,读取内存模块中的算法池中获取指定解密算法,依据该解密算法对第二加密信息进行解密,获得第二解密信息;
步骤S603:飞腾处理器模块具有远程加密功能的服务器对第二解密信息进行处理,再将处理后的第二解密信息从内存模块中的算法池中选择一种加密算法进行加密,生成第三加密信息;
步骤S604:飞腾处理器模块将第三加密信息通过、PCIe Switch模块;发送至外设接口模块,外设接口模块将接收的加密信息发送给远程加密装置。
优选地,所述远程加密装置通过USB接口将第三加密信息写入到USBkey中,具体为:远程加密装置通过USB接口将第三加密信息写入到USBkey中,USBkey对写入的第三加密信息再度加密更新第一加密信息,并在读取第一加密信息时生成USBkey内置动态随机数生成函数生成第一动态密钥。
优选地,远程加密装置接收到具有远程加密功能的服务器发送的第三加密信息后,远程加密装置销毁第二动态密钥;具有远程加密功能的服务器在发送完毕第三加密信息,服务器销毁第二动态密钥。
提供一种具有远程加密功能的服务器及加密方法,可以提高基于飞腾处理器的服务器整体性能、可靠性以及信息安全性。
附图说明
图1为本发明提供的第一种的具有远程加密功能的服务器的结构框图;
图2 为本发明提供的第二种的具有远程加密功能的服务器的结构框图;
图3本发明提供的第一种具有远程加密方法的流程图;
图4本发明提供的第二种具有远程加密方法的流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明的技术方案,下面结合附图对本发明作进一步的详细说明。
参见图1,图1为本发明提供的第一种的具有远程加密功能的服务器的结构框图
一种具有远程加密功能的服务器,包含飞腾处理器模块200,内存模块100,PCIeSwitch(交换)模块300,外设接口模块400;飞腾处理器模块200分别与内存模块100及PCIeSwitch模块300相连,PCIe Switch模块300与外设接口模块400相连,外设接口模块400与若干个远程加密装置500连接;
远程加密装置500将设置加密信息的请求发送到服务器的外设接口模块400;外设接口模块400接收请求信息并将其发送给PCIe Switch模块300;PCIe Switch模块300将接收的请求信息发送至飞腾处理器模块200;
远程加密装置500通过USB接口读取USBkey中的第一加密信息,读取信息的同时,USBkey内置动态随机数生成函数生成第一动态密钥;远程加密装置500从远程加密装置的本地密钥库获取解密密钥,使用该解密密钥对从USBkey读取的加密信息进行解密,从而获得第一解密信息;远程加密装置500读取USBkey中生成的第一动态密钥,依据第一动态密钥从远程加密装置的本地加密算法池中确定需要调用的加密算法,使用该加密算法重新加密第一解密信息,并生成第二动态密钥和第二加密信息;远程加密装置通过信息传输链路将第二动态密钥和第二加密信息发送至具有远程加密功能的服务器的外设接口模块400;
外设接口模块400接收远程加密装置500传输的第二动态密钥和第二加密信息,并通过PCIe Switch模块300将其发送给飞腾处理器模块200,飞腾处理器模块200依据第二动态密钥,在服务器的内存模块100的算法池中获取指定解密算法,依据该解密算法对第二加密信息进行解密,获得第二解密信息;飞腾处理器模块200对第二解密信息进行处理,再将处理后的第二解密信息从服务器的内存模块100的算法池中选择一种加密算法进行加密,生成第三加密信息;飞腾处理器模块200将第三加密信息通过PCIe Switch模块300和外设接口模块400发送给远程加密装置500;
远程加密装置500接收具有远程加密功能的服务器发送的第三加密信息后,通过USB接口将第三加密信息写入到USBkey中。
提供一种具有远程加密功能的服务器,可以提高基于飞腾处理器的服务器整体性能、可靠性以及信息安全性。
参考图2,图2为本发明提供的第二种具有远程加密功能的服务器的结构框图。
一种具有远程加密功能的服务器,包含飞腾处理器模块200,内存模块100,PCIeSwitch模块300,外设接口模块400;飞腾处理器模块200分别与内存模块100及PCIeSwitch模块300相连,PCIe Switch模块300与外设接口模块400相连,外设接口模块400与若干个远程加密装置500连接。
所述飞腾处理器模块200包含第一飞腾2500处理器模块201、第二飞腾2500处理器模块202、第三飞腾2500处理器模块203、第四飞腾2500处理器模块204及电平转换模块205,其中:
第一飞腾2500处理器模块201为主处理器,第二飞腾2500处理器模块202、第三飞腾2500处理器模块203、第四飞腾2500处理器模块204为副处理器。
各处理器模块通过DLU直连通路分别与其余三个处理器模块连接;第一飞腾2500处理器模块201分别与第二飞腾2500处理器模块202、第三飞腾2500处理器模块203、第四飞腾2500处理器模块204相连,第二飞腾2500处理器模块202分别与第一飞腾2500处理器模块201、第三飞腾2500处理器模块203、第四飞腾2500处理器模块204相连,第三飞腾2500处理器模块203分别与第一飞腾2500处理器模块201、第二飞腾2500处理器模块202、第四飞腾2500处理器304单元相连,第四飞腾2500处理器模块204分别与第一飞腾2500处理器模块201、第二飞腾2500处理器模块202、第三飞腾2500处理器模块203相连;其中,DLU,即dialoglogical units为数字逻辑单元。
第一飞腾2500处理器模块201的SPI(Serial Peripheral Interface,即串行外设接口)、UART( Universal Asynchronous Receiver/Transmitter,即通用异步收发传输器)接口与电平转换模块205连接。电平转换模块205用于实现电平转换,将第一飞腾2500处理器模块201的1.8V电压的信号转换成3.3V信号后提供给SPI FLASH(闪存)芯片2051等。SPIFLASH芯片为通过串行接口进行操作的FLASH设备,SPI FLASH芯片存放BIOS(Basic inputoutput system,即输入输出系统),用于为飞腾处理器提供最底层的、最直接的硬件设置和控制。所述电平转换模块205中电平转换芯片采用EPM1270F256C5N,所述SPI FLASH芯片采用S25FL128LAGMFI001。
第一飞腾2500处理器模块201通过UART1接口与电平转换模块205连接,飞腾处理器的UART1输出电压是1.8V,标准RS232串行接口电压为3.3V,因此需要将UART1的电平通过电平转换模块转为3.3V,经过电平转换模块205转换后,电平转换模块205的输出UART1接口与串口驱动模块连接,串口驱动模块输出RS232串口,串口驱动模块采用Max3243EIPWR,RS232串口为标准的RS232串口协议,用于设备间通信;
第一飞腾2500处理器模块201通过UART2接口与电平转换模块205连接,由于第一飞腾2500处理器模块201的UART2输出电压是1.8V,标准的TTL(Transistor-TransistorLogic,即晶体管晶体管逻辑电路)串行接口为3.3V,因此需要将第一飞腾2500处理器模块201的UART2输出电平通过电平转换模块205转为3.3V,经过电平转换模块205转换后,电平转换模块205的输出UART2接口再经过MAX3232EEAE转为标准的RS232串口,用于串口调试使用。
第一飞腾2500处理器模块201通过LPC接口与电平转换模块205连接,电平转换模块205另一端与外设接口模块中的BMC(Baseboard Manager Controller,即基板管理控制器)管理模块405的GPIO接口相连,实现电源时序和复位控制。
所述第一飞腾2500处理器模块201、第二飞腾2500处理器模块202、第三飞腾2500处理器模块203和第四飞腾2500处理器模块204均包含DDR4控制器、存储控制接口,其中:DDR4控制器与存储控制接口相连,存储控制接口分别与第一内存模块101、第二内存模块102、第三内存模块103和第四内存模块104相连。每个飞腾2500处理器模块包含4个通道存储控制接口,DDR4控制器采用的内存芯片为DDR4 SDRAM颗粒,单颗1GB容量,八颗内存芯片组成一个RANK 8GB容量(RANK为一组内存颗粒位宽的集合),每个通道设计为双RANK,共使用16颗,每个通道可以组成16GB内存;每个飞腾2500处理器模块设计的4通道,支持64GB的内存容量。
所述第一飞腾2500处理器模块201和第二飞腾2500处理器模块202还包括PCIe控制器和PCIe接口,PCIe控制器与PCIe接口相连,PCIe接口与PCIe Switch模块300相连。
优选的,所述第一飞腾处理器模块与PCIe Switch模块的PCIe接口为PCIe3.0x16,其中,PCIe3.0x16为PCIe接口支持8.0G速率信息传输及支持16通道输出。
所述第一内存模块101、第二内存模块102、第三内存模块103和第四内存模块104均为DDR4 ECC RDIMM板载内存,第一内存模块101、第二内存模块102、第三内存模块103和第四内存模块104分别与第一飞腾2500处理器模块201、第二飞腾2500处理器模块202、第三飞腾2500处理器模块203和第四飞腾2500处理器模块204的存储控制接口相连,接收飞腾处理器模块200发送的运行信息及存储信息,其中,ECC(Error Correcting Code)为实现错误检查和纠正技术,RDIMM(Registered Dual-Inline-Memory-Modules)为带寄存器的双线内存模块。
所述PCIe Switch模块300包含第一PCIe switch桥片模块301、第二PCIe switch桥片模块302;第一PCIe switch桥片模块301的一端与第一飞腾处理器2500模块201的PCIe接口相连,另一端与外设接口模块400相连,第二PCIe switch桥片模块302的一端与第一飞腾处理器2500模块202的PCIe接口相连,另一端与外设接口模块400相连。所述第一PCIeswitch桥片模块301、第二PCIe switch桥片模块302的PCIe Switch桥片采用PEX8748。
所述外设接口模块400包含PCIe转USB(Universal Serial Bus,即通用串行总线)模块401、PCIe转SATA(Serial Advanced Technology Attachment,即串行高级技术附件)模块402、千兆网络控制模块403、万兆网络控制模块407、RAID(Redundant Arrays ofIndependent Disks,磁盘阵列)模块404、BMC管理模块405、PCIe扩展插槽模块406,其中:
PCIe转USB模块401的一端与第一PCIe switch桥片模块301的一路输出通道连接,另一端提供USB接口与外部USB设备连接;PCIe转SATA模块402的一端与第一PCIe switch桥片模块301的一路输出通道连接,另一端提供SATA接口与外部SATA设备连接;千兆网络控制模块403的一端与第一PCIe switch桥片模块301的两路输出通道连接,另一端提供千兆网口与外部千兆网络设备连接,千兆网络控制模块403的千兆网络控制芯片采用Intel I350和Intel I210;RAID模块404的一端与第一PCIe switch桥片模块301的一路输出通道连接,另一端提供RAID接口与外部RAID设备连接。
BMC管理模块405的一端与第一PCIe switch桥片模块301的一路输出通道连接,另一端分别提供VGA(Video Graphics Array,即视频图形阵列)显示接口与外部显示色会被连接,提供ADC(Analog-to-digital converter,即模拟数字转换器)接口与外部电压侦测模块连接,提供I2C接口与外部温度传感器连接,提供PWM(Pulse width modulation,即脉冲宽度调制)接口和TACH接口与外部风扇调速模块连接,提供千兆网口与外部千兆网络设备连接;所述BMC管理模块405还通过USB接口与所述PCIe转USB模块401连接,实现远程USB键盘和鼠标控制。其中,BMC为基板管理控制器,TACH为频率触发;所述BMC管理模块405的BMC管理芯片采用AST2400芯片。
万兆网络控制模块407的一端与第二PCIe switch桥片模块302的一路输出通道连接,另一端提供万兆网口与外部万兆网络设备连接,万兆网络控制芯片采用Intel XL710。PCIe扩展插槽模块406的一端与第二PCIe switch桥片模块302的两路输出通道连接,另一端提供PCIe扩展插槽。
从而能对传统基于飞腾处理器的服务器进行升级,不仅提升了产品的整体性能,而且节约了经济成本。使用四个飞腾处理器模块和四个内存模块提高了服务器的效率和速度,且接口资源丰富,最多可输出千兆网络接口、USB接口、SATA接口、VGA接口等,可以满足客户的需求。
参见图3,图3为本发明提供的第一种具有远程加密方法的流程图。
一种远程加密方法,应用于上述具有远程加密功能的服务器,其特征在于,所述方法包括以下步骤:
步骤S100:远程加密装置向具有远程加密功能的服务器发送设置加密信息请求;
步骤S200:远程加密装置通过USB接口读取USBkey中的第一加密信息,读取信息的同时,USBkey内置动态随机数生成函数生成第一动态密钥;
步骤S300:远程加密装置从远程加密装置的本地密钥库获取解密密钥,使用该解密密钥对从USBkey读取的加密信息进行解密,从而获得第一解密信息;
步骤S400:远程加密装置读取USBkey中生成的第一动态密钥,依据第一动态密钥从远程加密装置的本地加密算法池中确定需要调用的加密算法,使用该加密算法重新加密第一解密信息,并生成第二动态密钥和第二加密信息;
步骤S500:远程加密装置通过信息传输链路将第二动态密钥和第二加密信息发送至具有远程加密功能的服务器;
步骤S600:具有远程加密功能的服务器接收远程加密装置传输的第二动态密钥和第二加密信息,依据第二动态密钥,在服务器的算法池中获取指定解密算法,依据该解密算法对第二加密信息进行解密,获得第二解密信息;具有远程加密功能的服务器对第二解密信息进行处理,再将处理后的第二解密信息从服务器的算法池中选择一种加密算法进行加密,生成第三加密信息;具有远程加密功能的服务器将第三加密信息通过信息传输链路发送回远程加密装置;
步骤S700:远程加密装置接收具有远程加密功能的服务器发送的第三加密信息后,通过USB接口将第三加密信息写入到USBkey中。
提供一种基于上述服务的加密方法,可以提高基于飞腾处理器的服务器整体性能、可靠性以及信息安全性。在服务器和远程加密装置中配置算法池,通过生成的动态随机数来动态选定加密及解密算法,从而保证每次对加密信息进行处理的加密及解密算法不一致,算法池配置空间越大,被破译的难度越高。
优选地,服务器和远程加密装置中配置算法池不一致。
优选地,远程加密装置读取USBkey中生成的第一动态密钥,USBkey内置动态随机数生成函数生成第一动态密钥,依据第一动态密钥从远程加密装置的本地加密算法池中确定需要调用的加密算法,使用该加密算法重新加密第一解密信息,并生成第二动态密钥和第二加密信息。远程加密装置销毁第一动态密钥,第一动态密钥限定使用一次,以降低了密钥被截取后重新解密加密数据的风险性。
优选地,所述在远程加密装置接收到具有远程加密功能的服务器发送的第三加密信息后,远程加密装置销毁第二动态密钥;具有远程加密功能的服务器在发送完毕第三加密信息,服务器销毁第二动态密钥。第二动态密钥限定使用一次,以降低了密钥被截取后重新解密加密数据的风险性。
参见图4,图4为本发明提供的第一种具有远程加密方法的流程图。
一种远程加密方法,应用于上述具有远程加密功能的服务器,其特征在于,所述方法包括以下步骤:
步骤S100:远程加密装置向具有远程加密功能的服务器发送设置加密信息请求;
步骤S200:远程加密装置通过USB接口读取USBkey中的第一加密信息,读取信息的同时,USBkey内置动态随机数生成函数生成第一动态密钥;
步骤S300:远程加密装置从远程加密装置的本地密钥库获取解密密钥,使用该解密密钥对从USBkey读取的加密信息进行解密,从而获得第一解密信息;
步骤S400:远程加密装置读取USBkey中生成的第一动态密钥,依据第一动态密钥从远程加密装置的本地加密算法池中确定需要调用的加密算法,使用该加密算法重新加密第一解密信息,并生成第二动态密钥和第二加密信息;
步骤S500:远程加密装置通过信息传输链路将第二动态密钥和第二加密信息发送至具有远程加密功能的服务器;
步骤S601:服务器的外设接口模块接收到远程加密装置发送的第二动态密钥和第二加密信息后,通过PCIe Switch模块发送至飞腾处理器模块;
步骤S602:飞腾处理器模块依据第二动态密钥,读取内存模块中的算法池中获取指定解密算法,依据该解密算法对第二加密信息进行解密,获得第二解密信息;
步骤S603:飞腾处理器模块具有远程加密功能的服务器对第二解密信息进行处理,再将处理后的第二解密信息从内存模块中的算法池中选择一种加密算法进行加密,生成第三加密信息;
步骤S604:飞腾处理器模块将第三加密信息通过、PCIe Switch模块;发送至外设接口模块,外设接口模块将接收的加密信息发送给远程加密装置。
步骤S700:远程加密装置接收具有远程加密功能的服务器发送的第三加密信息后,通过USB接口将第三加密信息写入到USBkey中。
优选地,所述远程加密装置通过USB接口将第三加密信息写入到USBkey中,具体为:远程加密装置通过USB接口将第三加密信息写入到USBkey中,USBkey对写入的第三加密信息再度加密更新第一加密信息,并在读取第一加密信息时生成USBkey内置动态随机数生成函数生成第一动态密钥。
具有远程加密功能的服务器将第三加密信息后发送给远程加密装置,远程加密装置通过USB接口将第三加密信息写入到USBkey中。在USBkey中再度加密第三加密信息更新第一加密信息,保证在数据通信链路中数据被截获后无法在下一次使用过程中被解密。
优选地,远程加密装置与具有远程加密功能的服务器的信息传输方式,可根据实际应用场景,设计指定的数据传输协议,设计保证在低速通讯链路上能够达到同样的数据传输效果,从而达到降低数据传输过程中对链路的要求。
优选地,远程加密装置可以为若干个,可向具有远程加密功能的服务器发送设置加密信息请求,具有远程加密功能的服务器可对所有远程加密装置发送第三加密信息,也可以根据需求向指定的远程加密装置发送第三加密信息。
以上对本发明所提供的一种具有远程加密功能的服务器及加密方法进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种具有远程加密功能的服务器,其特征在于,服务器包含飞腾处理器模块,内存模块,PCIe Switch模块,外设接口模块;飞腾处理器模块分别与内存模块及PCIe Switch模块相连,PCIe Switch模块与外设接口模块相连,外设接口模块与若干个远程加密装置连接;
远程加密装置将设置加密信息的请求发送到服务器的外设接口模块;外设接口模块接收请求信息并将其发送给PCIe Switch模块;PCIe Switch模块将接收的请求信息发送至飞腾处理器模块;
远程加密装置通过USB接口读取USBkey中的第一加密信息,读取信息的同时,USBkey内置动态随机数生成函数生成第一动态密钥;远程加密装置从远程加密装置的本地密钥库获取解密密钥,使用该解密密钥对从USBkey读取的加密信息进行解密,从而获得第一解密信息;远程加密装置读取USBkey中生成的第一动态密钥,依据第一动态密钥从远程加密装置的本地加密算法池中确定需要调用的加密算法,使用该加密算法重新加密第一解密信息,并生成第二动态密钥和第二加密信息;远程加密装置通过信息传输链路将第二动态密钥和第二加密信息发送至具有远程加密功能的服务器的外设接口模块;
外设接口模块接收远程加密装置传输的第二动态密钥和第二加密信息,并通过PCIeSwitch模块将其发送给飞腾处理器模块,飞腾处理器模块依据第二动态密钥,在服务器的内存模块的算法池中获取指定解密算法,依据该解密算法对第二加密信息进行解密,获得第二解密信息;飞腾处理器模块对第二解密信息进行处理,再将处理后的第二解密信息从服务器的内存模块的算法池中选择一种加密算法进行加密,生成第三加密信息;飞腾处理器模块将第三加密信息通过PCIe Switch模块和外设接口模块发送给远程加密装置;
远程加密装置接收具有远程加密功能的服务器发送的第三加密信息后,通过USB接口将第三加密信息写入到USBkey中。
2.根据权利要求1所述的具有远程加密功能的服务器,其特征在于,所述飞腾处理器模块包含第一飞腾处理器模块、第二飞腾处理器模块、第三飞腾处理器模块、第四飞腾处理器模块及电平转换模块,其中:
第一飞腾处理器模块为主处理器,第二飞腾处理器模块、第三飞腾处理器模块、第四飞腾处理器模块为副处理器;
各处理器模块通过DLU直连通路分别与其余三个处理器模块连接;
电平转换模块的一端与第一飞腾处理器模块相连,另一端与外设接口模块相连。
3.根据权利要求2所述的具有远程加密功能的服务器,其特征在于,所述第一飞腾处理器模块、第二飞腾处理器模块、第三飞腾处理器模块和第四飞腾处理器模块均包含DDR4控制器和存储控制接口,DDR4控制器与存储控制接口相连,存储控制接口与内存模块相连;第一飞腾处理器模块和第二飞腾处理器模块还包括PCIe控制器和PCIe接口,PCIe控制器与PCIe接口相连,PCIe接口与PCIe Switch模块相连。
4.根据权利要求3所述的具有远程加密功能的服务器,其特征在于,所述内存模块为DDR4 ECC RDIMM板载内存,内存模块与飞腾处理器模块的存储控制接口相连,接收飞腾处理器模块发送的运行信息及存储信息。
5.根据权利要求4所述的具有远程加密功能的服务器,其特征在于,所述PCIe Switch模块包含第一PCIe switch桥片模块和第二PCIe switch桥片模块,第一PCIe switch桥片模块的一端与第一飞腾处理器模块的PCIe接口相连,另一端与外设接口模块相连,第二PCIe switch桥片模块的一端与第一飞腾处理器模块的PCIe接口相连,另一端与外设接口模块相连。
6.根据权利要求5所述的具有远程加密功能的服务器,其特征在于,所述外设接口模块包含PCIe转USB模块、PCIe转SATA模块、千兆网络控制模块、万兆网络控制模块、RAID模块、BMC管理模块、PCIe扩展插槽模块,其中:PCIe转USB模块的一端与第一PCIe switch桥片模块的一路输出通道连接,另一端提供USB接口与外部USB设备连接;PCIe转SATA模块的一端与第一PCIe switch桥片模块的一路输出通道连接,另一端提供SATA接口与外部SATA设备连接;千兆网络控制模块的一端与第一PCIe switch桥片模块的两路输出通道连接,另一端提供千兆网口与外部千兆网络设备连接;RAID模块的一端与第一PCIe switch桥片模块的一路输出通道连接,另一端提供RAID接口与外部RAID设备连;BMC管理模块的一端与第一PCIe switch桥片模块的一路输出通道连接,另一端提供与VGA显示接口、ADC接口、I2C接口及PWM接口和TACH接口;万兆网络控制模块的一端与第二PCIe switch桥片模块的一路输出通道连接,另一端提供万兆网口与外部万兆网络设备连接;PCIe扩展插槽模块的一端与第二PCIe switch桥片模块的两路输出通道连接,另一端提供PCIe扩展插槽。
7.一种远程加密方法,应用于权利要求1至6中任一项所述的具有远程加密功能的服务器,其特征在于,所述方法包括以下步骤:
步骤S100:远程加密装置向具有远程加密功能的服务器发送设置加密信息请求;
步骤S200:远程加密装置通过USB接口读取USBkey中的第一加密信息,读取信息的同时,USBkey内置动态随机数生成函数生成第一动态密钥;
步骤S300:远程加密装置从远程加密装置的本地密钥库获取解密密钥,使用该解密密钥对从USBkey读取的加密信息进行解密,从而获得第一解密信息;
步骤S400:远程加密装置读取USBkey中生成的第一动态密钥,依据第一动态密钥从远程加密装置的本地加密算法池中确定需要调用的加密算法,使用该加密算法重新加密第一解密信息,并生成第二动态密钥和第二加密信息;
步骤S500:远程加密装置通过信息传输链路将第二动态密钥和第二加密信息发送至具有远程加密功能的服务器;
步骤S600:具有远程加密功能的服务器接收远程加密装置传输的第二动态密钥和第二加密信息,依据第二动态密钥,在服务器的算法池中获取指定解密算法,依据该解密算法对第二加密信息进行解密,获得第二解密信息;具有远程加密功能的服务器对第二解密信息进行处理,再将处理后的第二解密信息从服务器的算法池中选择一种加密算法进行加密,生成第三加密信息;具有远程加密功能的服务器将第三加密信息通过信息传输链路发送回远程加密装置;
步骤S700:远程加密装置接收具有远程加密功能的服务器发送的第三加密信息后,通过USB接口将第三加密信息写入到USBkey中。
8.根据权利要求7所述的远程加密方法,其特征在于,所述步骤S600具体为:
步骤S601:服务器的外设接口模块接收到远程加密装置发送的第二动态密钥和第二加密信息后,通过PCIe Switch模块发送至飞腾处理器模块;
步骤S602:飞腾处理器模块依据第二动态密钥,读取内存模块中的算法池中获取指定解密算法,依据该解密算法对第二加密信息进行解密,获得第二解密信息;
步骤S603:飞腾处理器模块具有远程加密功能的服务器对第二解密信息进行处理,再将处理后的第二解密信息从内存模块中的算法池中选择一种加密算法进行加密,生成第三加密信息;
步骤S604:飞腾处理器模块将第三加密信息通过、PCIe Switch模块;发送至外设接口模块,外设接口模块将接收的加密信息发送给远程加密装置。
9.根据权利要求8所述的远程加密方法,其特征在于,所述远程加密装置通过USB接口将第三加密信息写入到USBkey中,具体为:远程加密装置通过USB接口将第三加密信息写入到USBkey中,USBkey对写入的第三加密信息再度加密更新第一加密信息,并在读取第一加密信息时生成USBkey内置动态随机数生成函数生成第一动态密钥。
10.根据权利要求9所述的远程加密方法,其特征在于,远程加密装置接收到具有远程加密功能的服务器发送的第三加密信息后,远程加密装置销毁第二动态密钥;具有远程加密功能的服务器在发送完毕第三加密信息,服务器销毁第二动态密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011519792.5A CN112260833B (zh) | 2020-12-21 | 2020-12-21 | 一种具有远程加密功能的服务器及加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011519792.5A CN112260833B (zh) | 2020-12-21 | 2020-12-21 | 一种具有远程加密功能的服务器及加密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112260833A CN112260833A (zh) | 2021-01-22 |
| CN112260833B true CN112260833B (zh) | 2021-03-09 |
Family
ID=74225337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011519792.5A Active CN112260833B (zh) | 2020-12-21 | 2020-12-21 | 一种具有远程加密功能的服务器及加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112260833B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114143031B (zh) * | 2021-11-01 | 2023-07-07 | 北京银盾泰安网络科技有限公司 | 一种基于Web和SSH的远程加密平台 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2136528A1 (de) * | 2008-06-17 | 2009-12-23 | Giesecke & Devrient GmbH | Verfahren und System zum Erzeugen einer abgeleiteten elektronischen Identität aus einer elektronischen Hauptidentität |
| CN102521541A (zh) * | 2011-12-09 | 2012-06-27 | 台达电子企业管理(上海)有限公司 | 加密狗装置及其软件保护方法 |
| CN105046138A (zh) * | 2015-07-13 | 2015-11-11 | 山东超越数控电子有限公司 | 一种基于飞腾处理器的可信管理系统及方法 |
| CN106817220A (zh) * | 2015-11-30 | 2017-06-09 | 北大方正集团有限公司 | 一种通信数据加密的方法、装置及加密设备 |
| CN107403109A (zh) * | 2017-08-09 | 2017-11-28 | 苏州中科安源信息技术有限公司 | 加密方法及加密系统 |
| CN107528689A (zh) * | 2017-09-18 | 2017-12-29 | 上海动联信息技术股份有限公司 | 一种基于Ukey的密码修改方法 |
| CN207367115U (zh) * | 2017-11-09 | 2018-05-15 | 湖南长城银河科技有限公司 | 一种基于飞腾处理器的服务器主板及服务器 |
| CN108243001A (zh) * | 2016-12-23 | 2018-07-03 | 航天星图科技(北京)有限公司 | 一种数据加密通信方法 |
| CN108551391A (zh) * | 2018-03-14 | 2018-09-18 | 深圳市中易通安全芯科技有限公司 | 一种基于USB-key的认证方法 |
-
2020
- 2020-12-21 CN CN202011519792.5A patent/CN112260833B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2136528A1 (de) * | 2008-06-17 | 2009-12-23 | Giesecke & Devrient GmbH | Verfahren und System zum Erzeugen einer abgeleiteten elektronischen Identität aus einer elektronischen Hauptidentität |
| CN102521541A (zh) * | 2011-12-09 | 2012-06-27 | 台达电子企业管理(上海)有限公司 | 加密狗装置及其软件保护方法 |
| CN105046138A (zh) * | 2015-07-13 | 2015-11-11 | 山东超越数控电子有限公司 | 一种基于飞腾处理器的可信管理系统及方法 |
| CN106817220A (zh) * | 2015-11-30 | 2017-06-09 | 北大方正集团有限公司 | 一种通信数据加密的方法、装置及加密设备 |
| CN108243001A (zh) * | 2016-12-23 | 2018-07-03 | 航天星图科技(北京)有限公司 | 一种数据加密通信方法 |
| CN107403109A (zh) * | 2017-08-09 | 2017-11-28 | 苏州中科安源信息技术有限公司 | 加密方法及加密系统 |
| CN107528689A (zh) * | 2017-09-18 | 2017-12-29 | 上海动联信息技术股份有限公司 | 一种基于Ukey的密码修改方法 |
| CN207367115U (zh) * | 2017-11-09 | 2018-05-15 | 湖南长城银河科技有限公司 | 一种基于飞腾处理器的服务器主板及服务器 |
| CN108551391A (zh) * | 2018-03-14 | 2018-09-18 | 深圳市中易通安全芯科技有限公司 | 一种基于USB-key的认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112260833A (zh) | 2021-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6301637B1 (en) | High performance data paths | |
| US6978397B2 (en) | Memory controller supporting redundant synchronous memories | |
| US6567876B1 (en) | Docking PCI to PCI bridge using IEEE 1394 link | |
| US7552289B2 (en) | Method and apparatus for arbitrating access of a serial ATA storage device by multiple hosts with separate host adapters | |
| US5987627A (en) | Methods and apparatus for high-speed mass storage access in a computer system | |
| US8694723B2 (en) | Method and system for coupling serial attached SCSI (SAS) devices and internet small computer system internet (iSCSI) devices through single host bus adapter | |
| CN100445981C (zh) | 使用串行连接总线的计算机系统及多cpu互连方法 | |
| US20040162926A1 (en) | Serial advanced technology attachment interface | |
| CN104160407A (zh) | 利用存储控制器总线接口以确保存储设备和主机之间的数据传输安全 | |
| US10929251B2 (en) | Data loss prevention for integrated memory buffer of a self encrypting drive | |
| TWM365529U (en) | Data access apparatus and processing system using the same | |
| US5765034A (en) | Fencing system for standard interfaces for storage devices | |
| EP4109270A1 (en) | Memory bus integrity and data encryption (ide) | |
| US20060112267A1 (en) | Trusted platform storage controller | |
| US20030014520A1 (en) | Method and apparatus for improved RAID 1 write performance in low cost systems | |
| CN112260833B (zh) | 一种具有远程加密功能的服务器及加密方法 | |
| US8001303B2 (en) | USB key emulation system to multiplex information | |
| US6493785B1 (en) | Communication mode between SCSI devices | |
| CN115344881B (zh) | 一种硬盘加密解密装置、方法、硬盘及i/o接口 | |
| US20080270797A1 (en) | Symbiotic storage devices | |
| US11146389B2 (en) | Method and apparatus for ensuring integrity of keys in a secure enterprise key manager solution | |
| US20230418703A1 (en) | Autonomic troubleshooting of a system of devices | |
| JP2004220220A (ja) | バスブリッジ回路、バス接続システム、及びバスブリッジ回路のデータエラー通知方法 | |
| CN113190490A (zh) | 用于加密的方法、电子系统和加密装置 | |
| US20190391876A1 (en) | Method and Apparatus for Non-Volatile Memory Array Improvement Using a Command Aggregation Circuit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |