CN114448627A - 一种加密卡及其加密方法 - Google Patents
一种加密卡及其加密方法 Download PDFInfo
- Publication number
- CN114448627A CN114448627A CN202210155378.3A CN202210155378A CN114448627A CN 114448627 A CN114448627 A CN 114448627A CN 202210155378 A CN202210155378 A CN 202210155378A CN 114448627 A CN114448627 A CN 114448627A
- Authority
- CN
- China
- Prior art keywords
- key
- chip
- encryption
- bus
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004806 packaging method and process Methods 0.000 claims abstract description 7
- 238000012795 verification Methods 0.000 claims description 8
- 230000008569 process Effects 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种加密卡及方法。加密卡包括:密钥存储芯片,用于存储密钥;随机数芯片,用于生成随机数;处理器,用于获取签名数据和密钥编号,用于根据所述密钥编号从所述密钥存储芯片中读取所述密钥,用于打包所述密钥和所述签名数据,生成第一请求;加密芯片,用于根据所述随机数生成所述密钥,用于根据所述第一请求进行所述签名数据的验签。本发明通过在加密卡中设置处理器,处理加密卡内加密芯片和密钥存储芯片之间的业务,使得业务中间数据不超出加密卡的边界,减少了加密卡中数据的传播路径,降低了泄密风险,提高了加密卡中数据的安全性。
Description
技术领域
本申请涉及信息安全领域,尤其是一种加密卡及其加密方法。
背景技术
在信息安全领域,PCIE加密卡的实现方式是通过FPGA连接、协调和调度各加密芯片和密钥存储芯片之间的交互操作。由于FPGA很难通过逻辑组合实现复杂的加密业务处理流程,折衷的方法是将加密芯片和密钥存储芯片之间的中间数据从PCIE加密卡转到电脑主机端,然后在电脑主机端将中间数据按业务流程分配到各加密芯片。然而,由于敏感数据传播路径的增加,安全风险必然随之增加。因此,中间数据等敏感数据从PCIE加密卡转到电脑主机端增大了泄密的风险。
发明内容
本发明的目的在于至少一定程度上解决现有技术中存在的技术问题之一。
为此,本发明实施例的一个目的在于提供一种加密卡及其加密方法,以减少加密卡中数据的传播路径,降低泄密风险。
为了达到上述技术目的,本发明实施例所采取的技术方案包括:
第一方面,本发明实施例提供了一种加密卡,包括:
密钥存储芯片,用于存储密钥;
随机数芯片,用于生成随机数;
处理器,用于获取签名数据和密钥编号,用于根据所述密钥编号从所述密钥存储芯片中读取所述密钥,用于打包所述密钥和所述签名数据,生成第一请求;
加密芯片,用于根据所述随机数生成所述密钥,用于根据所述第一请求进行所述签名数据的验签。
另外,根据本发明上述实施例的一种加密卡,还可以具有以下附加的技术特征:
进一步地,本发明实施例的一种加密卡中,还包括FPGA,所述处理器设置在所述FPGA内部。
进一步地,在本发明的一个实施例中,所述FPGA还包括密钥存储模块、加密芯片模块、随机数模块、第一总线和第二总线,所述密钥存储模块与所述密钥存储芯片连接,所述加密芯片模块与所述加密芯片连接,所述随机数模块与所述随机数芯片连接,所述密钥存储模块、所述加密芯片模块、所述随机数模块和所述处理器分别与所述第一总线连接,所述第一总线与所述第二总线连接,所述第二总线用于连接电脑主机端;
所述处理器通过所述第一总线和所述第二总线获取电脑主机端下发的所述签名数据和所述密钥编号,所述处理器根据所述密钥编号,通过所述第一总线向所述密钥存储模块发送第二请求,所述密钥存储模块根据所述第二请求从所述密钥存储芯片中读取所述密钥,所述处理器通过所述第一总线向所述加密芯片模块发送所述第一请求;
所述处理器生成第三请求,所述随机数模块根据所述第三请求,从所述随机数芯片中读取所述随机数,并通过所述第一总线将所述随机数发送给所述加密芯片模块,所述加密芯片模块根据所述随机数,通过所述加密芯片生成所述密钥,所述密钥存储模块通过所述第一总线获取所述密钥,并将所述密钥存储到所述密钥存储芯片。
进一步地,在本发明的一个实施例中,所述第一总线为Avalon总线,所述第二总线为PCIe总线,所述处理器为Nios处理器。
进一步地,在本发明的一个实施例中,所述加密芯片模块、所述密钥存储模块和所述随机数模块中分别设置有寄存器,所述寄存器包括操作寄存器和状态寄存器。
第二方面,本发明实施例提出了一种加密方法,所述方法应用于加密卡,所述加密卡包括密钥存储芯片、随机数芯片、处理器和加密芯片,所述方法包括:
通过所述随机数芯片生成随机数;
根据所述随机数,通过所述加密芯片生成密钥,并将所述密钥存储到所述密钥存储芯片;
通过所述处理器获取签名数据和密钥编号;
根据所述密钥编号,通过所述处理器从所述密钥存储芯片中读取所述密钥;
通过所述处理器打包所述密钥和所述签名数据,生成第一请求;
根据所述第一请求,通过所述加密芯片进行所述签名数据的验签。
进一步地,在本发明的一个实施例中,所述加密卡还包括FPGA,所述处理器设置在所述FPGA内部,所述FPGA包括密钥存储模块、加密芯片模块、随机数模块、第一总线和第二总线;
所述根据所述随机数,通过所述加密芯片生成密钥,并将所述密钥存储到所述密钥存储芯片,包括:
通过所述处理器生成第三请求;
根据所述第三请求,通过所述随机数模块从所述随机数芯片中读取所述随机数,并通过所述第一总线将所述随机数发送给所述加密芯片模块;
根据所述随机数,通过所述加密芯片生成所述密钥,并通过所述第一总线将所述密钥发送给所述密钥存储模块;
将所述密钥存储到所述密钥存储芯片。
进一步地,在本发明的一个实施例中,所述通过所述处理器获取签名数据和密钥编号,包括:
通过所述第一总线和所述第二总线获取电脑主机端下发的所述签名数据和所述密钥编号。
进一步地,在本发明的一个实施例中,所述根据所述密钥编号,通过所述处理器从所述密钥存储芯片中读取密钥,包括:
根据所述密钥编号,通过所述第一总线向所述密钥存储模块发送第二请求;
根据所述第二请求,通过所述密钥存储模块从所述密钥存储芯片中读取所述密钥。
进一步地,在本发明的一个实施例中,所述根据所述第一请求,通过所述加密芯片进行所述签名数据的验签,包括:
根据所述第一请求,通过所述密钥解密所述签名数据,生成验签结果;
将所述验签结果写到第一区域,所述第一区域通过所述第一总线和所述第二总线与电脑主机端连接。
本发明的优点和有益效果将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本申请的实践了解到:
本发明实施例通过在加密卡中设置处理器,处理加密卡内加密芯片和密钥存储芯片之间的业务,使得业务中间数据不超出加密卡的边界,减少了加密卡中数据的传播路径,降低了泄密风险,提高了加密卡中数据的安全性。
附图说明
为了更清楚地说明本申请实施例或者现有技术中的技术方案,下面对本申请实施例或者现有技术中的相关技术方案附图作以下介绍,应当理解的是,下面介绍中的附图仅仅为了方便清晰表述本申请的技术方案中的部分实施例,对于本领域的技术人员来说,在无需付出创造性劳动的前提下,还可以根据这些附图获取到其他附图。
图1为本发明一种加密卡具体实施例的结构图;
图2为本发明一种加密方法具体实施例的流程示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能理解为对本申请的限制。对于以下实施例中的步骤编号,其仅为了便于阐述说明而设置,对步骤之间的顺序不做任何限定,实施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。
本发明的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本发明中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
在信息安全领域,PCIE加密卡的实现方式是通过FPGA连接、协调和调度各加密芯片和密钥存储芯片之间的交互操作。由于FPGA很难通过逻辑组合实现复杂的加密业务处理流程,折衷的方法是将加密芯片和密钥存储芯片之间的中间数据从PCIE加密卡转到电脑主机端,然后在电脑主机端将中间数据按业务流程分配到各加密芯片。然而,由于敏感数据传播路径的增加,安全风险必然随之增加。因此,中间数据等敏感数据从PCIE加密卡转到电脑主机端增大了泄密的风险。
为此,本发明提出了一种加密卡和方法,本发明通过在加密卡中设置处理器,处理加密卡内加密芯片和密钥存储芯片之间的业务,使得业务中间数据不超出加密卡的边界,减少了加密卡中数据的传播路径,降低了泄密风险,提高了加密卡中数据的安全性。
下面参照附图详细描述根据本发明实施例提出的一种加密卡和方法,首先将参照附图描述根据本发明实施例提出的一种加密卡。
参照图1,本发明实施例中的一种加密卡包括:
密钥存储芯片,用于存储密钥;
随机数芯片,用于生成随机数;
处理器,用于获取签名数据和密钥编号,用于根据所述密钥编号从所述密钥存储芯片中读取所述密钥,用于打包所述密钥和所述签名数据,生成第一请求;
加密芯片,用于根据所述随机数生成所述密钥,用于根据所述第一请求进行所述签名数据的验签。
通过在加密卡中设置处理器,处理加密卡内加密芯片和密钥存储芯片之间的业务,使得业务中间数据不超出加密卡的边界,减少了加密卡中数据的传播路径,降低了泄密风险,提高了加密卡中数据的安全性。
作为一种可选的实施方式,本发明实施例的加密卡还包括FPGA,所述处理器设置在所述FPGA内部。
作为一种可选的实施方式,所述FPGA还包括密钥存储模块、加密芯片模块、随机数模块、第一总线和第二总线,所述密钥存储模块与所述密钥存储芯片连接,所述加密芯片模块与所述加密芯片连接,所述随机数模块与所述随机数芯片连接,所述密钥存储模块、所述加密芯片模块、所述随机数模块和所述处理器分别与所述第一总线连接,所述第一总线与所述第二总线连接,所述第二总线用于连接电脑主机端;
所述处理器通过所述第一总线和所述第二总线获取电脑主机端下发的所述签名数据和所述密钥编号,所述处理器根据所述密钥编号,通过所述第一总线向所述密钥存储模块发送第二请求,所述密钥存储模块根据所述第二请求从所述密钥存储芯片中读取所述密钥,所述处理器通过所述第一总线向所述加密芯片模块发送所述第一请求;
所述处理器生成第三请求,所述随机数模块根据所述第三请求,从所述随机数芯片中读取所述随机数,并通过所述第一总线将所述随机数发送给所述加密芯片模块,所述加密芯片模块根据所述随机数,通过所述加密芯片生成所述密钥,所述密钥存储模块通过所述第一总线获取所述密钥,并将所述密钥存储到所述密钥存储芯片。
作为一种可选的实施方式,所述第一总线为Avalon总线,所述第二总线为PCIe总线,所述处理器为Nios处理器。
具体地,分别为所述密钥存储模块、所述加密芯片模块、所述随机数模块和所述处理器分配一个总线地址。
作为一种可选的实施方式,所述加密芯片模块、所述密钥存储模块和所述随机数模块中分别设置有寄存器,所述寄存器包括操作寄存器和状态寄存器。
具体地,各个操作寄存器和状态寄存器的读写操作通过第一总线和第二总线完成。
其次,参照图2,本发明实施例提出了一种加密方法,所述方法应用于加密卡,所述加密卡包括密钥存储芯片、随机数芯片、处理器和加密芯片,所述方法包括:
S101、通过所述随机数芯片生成随机数;
S102、根据所述随机数,通过所述加密芯片生成密钥,并将所述密钥存储到所述密钥存储芯片;
其中,所述加密卡还包括FPGA,所述处理器设置在所述FPGA内部,所述FPGA包括密钥存储模块、加密芯片模块、随机数模块、第一总线和第二总线。
S102可以进一步划分为以下步骤S1021-S1024:
步骤S1021、通过所述处理器生成第三请求;
步骤S1022、根据所述第三请求,通过所述随机数模块从所述随机数芯片中读取所述随机数,并通过所述第一总线将所述随机数发送给所述加密芯片模块;
步骤S1023、根据所述随机数,通过所述加密芯片生成所述密钥,并通过所述第一总线将所述密钥发送给所述密钥存储模块;
步骤S1024、将所述密钥存储到所述密钥存储芯片。
S103、通过所述处理器获取签名数据和密钥编号;
具体地,通过所述第一总线和所述第二总线获取电脑主机端下发的所述签名数据和所述密钥编号。
S104、根据所述密钥编号,通过所述处理器从所述密钥存储芯片中读取所述密钥;
S104可以进一步划分为以下步骤S1041-S1042:
步骤S1041、根据所述密钥编号,通过所述第一总线向所述密钥存储模块发送第二请求;
步骤S1042、根据所述第二请求,通过所述密钥存储模块从所述密钥存储芯片中读取所述密钥。
S105、通过所述处理器打包所述密钥和所述签名数据,生成第一请求;
具体地,通过所述处理器打包所述密钥和所述签名数据,生成第一请求,并将所述第一请求通过所述第一总线发送给加密芯片模块。
S106、根据所述第一请求,通过所述加密芯片进行所述签名数据的验签。
具体地,所述加密芯片模块接收到所述第一请求后,通过所述加密芯片进行所述签名数据的验签。
S106可以进一步划分为以下步骤S1061-S1062:
步骤S1061、根据所述第一请求,通过所述密钥解密所述签名数据,生成验签结果;
步骤S1062、将所述验签结果写到第一区域,所述第一区域通过所述第一总线和所述第二总线与电脑主机端连接。
具体地,将所述验签结果写到第一区域后,电脑主机端通过所述第一总线和所述第二总线读取所述验签结果。
上述方法实施例中的内容均适用于本装置实施例中,本装置实施例所具体实现的功能与上述方法实施例相同,并且达到的有益效果与上述方法实施例所达到的有益效果也相同。
在一些可选择的实施例中,在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如,取决于所涉及的功能/操作,连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外,在本申请的流程图中所呈现和描述的实施例以示例的方式被提供,目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的,其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。
此外,虽然在功能性模块的背景下描述了本申请,但应当理解的是,除非另有相反说明,功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中,或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是,有关每个模块的实际实现的详细讨论对于理解本申请是不必要的。更确切地说,考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下,在工程师的常规技术内将会了解该模块的实际实现。因此,本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本申请。还可以理解的是,所公开的特定概念仅仅是说明性的,并不意在限制本申请的范围,本申请的范围由所附权利要求书及其等同方案的全部范围来决定。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的程序执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的上述描述中,参考术语“一个实施方式/实施例”、“另一实施方式/实施例”或“某些实施方式/实施例”等的描述意指结合实施方式或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施方式或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
尽管已经示出和描述了本申请的实施方式,本领域的普通技术人员可以理解:在不脱离本申请的原理和宗旨的情况下可以对这些实施方式进行多种变化、修改、替换和变型,本申请的范围由权利要求及其等同物限定。
以上是对本申请的较佳实施进行了具体说明,但本申请并不限于所述实施例,熟悉本领域的技术人员在不违背本申请精神的前提下还可做作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (10)
1.一种加密卡,其特征在于,包括:
密钥存储芯片,用于存储密钥;
随机数芯片,用于生成随机数;
处理器,用于获取签名数据和密钥编号,用于根据所述密钥编号从所述密钥存储芯片中读取所述密钥,用于打包所述密钥和所述签名数据,生成第一请求;
加密芯片,用于根据所述随机数生成所述密钥,用于根据所述第一请求进行所述签名数据的验签。
2.根据权利要求1所述的一种加密卡,其特征在于,还包括FPGA,所述处理器设置在所述FPGA内部。
3.根据权利要求2所述的一种加密卡,其特征在于,所述FPGA还包括密钥存储模块、加密芯片模块、随机数模块、第一总线和第二总线,所述密钥存储模块与所述密钥存储芯片连接,所述加密芯片模块与所述加密芯片连接,所述随机数模块与所述随机数芯片连接,所述密钥存储模块、所述加密芯片模块、所述随机数模块和所述处理器分别与所述第一总线连接,所述第一总线与所述第二总线连接,所述第二总线用于连接电脑主机端;
所述处理器通过所述第一总线和所述第二总线获取电脑主机端下发的所述签名数据和所述密钥编号,所述处理器根据所述密钥编号,通过所述第一总线向所述密钥存储模块发送第二请求,所述密钥存储模块根据所述第二请求从所述密钥存储芯片中读取所述密钥,所述处理器通过所述第一总线向所述加密芯片模块发送所述第一请求;
所述处理器生成第三请求,所述随机数模块根据所述第三请求,从所述随机数芯片中读取所述随机数,并通过所述第一总线将所述随机数发送给所述加密芯片模块,所述加密芯片模块根据所述随机数,通过所述加密芯片生成所述密钥,所述密钥存储模块通过所述第一总线获取所述密钥,并将所述密钥存储到所述密钥存储芯片。
4.根据权利要求3所述的一种加密卡,其特征在于,所述第一总线为Avalon总线,所述第二总线为PCIe总线,所述处理器为Nios处理器。
5.根据权利要求3所述的一种加密卡,其特征在于,所述加密芯片模块、所述密钥存储模块和所述随机数模块中分别设置有寄存器,所述寄存器包括操作寄存器和状态寄存器。
6.一种加密方法,其特征在于,所述方法应用于加密卡,所述加密卡包括密钥存储芯片、随机数芯片、处理器和加密芯片,所述方法包括:
通过所述随机数芯片生成随机数;
根据所述随机数,通过所述加密芯片生成密钥,并将所述密钥存储到所述密钥存储芯片;
通过所述处理器获取签名数据和密钥编号;
根据所述密钥编号,通过所述处理器从所述密钥存储芯片中读取所述密钥;
通过所述处理器打包所述密钥和所述签名数据,生成第一请求;
根据所述第一请求,通过所述加密芯片进行所述签名数据的验签。
7.根据权利要求6所述的一种加密方法,其特征在于,所述加密卡还包括FPGA,所述处理器设置在所述FPGA内部,所述FPGA包括密钥存储模块、加密芯片模块、随机数模块、第一总线和第二总线;
所述根据所述随机数,通过所述加密芯片生成密钥,并将所述密钥存储到所述密钥存储芯片,包括:
通过所述处理器生成第三请求;
根据所述第三请求,通过所述随机数模块从所述随机数芯片中读取所述随机数,并通过所述第一总线将所述随机数发送给所述加密芯片模块;
根据所述随机数,通过所述加密芯片生成所述密钥,并通过所述第一总线将所述密钥发送给所述密钥存储模块;
将所述密钥存储到所述密钥存储芯片。
8.根据权利要求7所述的一种加密方法,其特征在于,所述通过所述处理器获取签名数据和密钥编号,包括:
通过所述第一总线和所述第二总线获取电脑主机端下发的所述签名数据和所述密钥编号。
9.根据权利要求7所述的一种加密方法,其特征在于,所述根据所述密钥编号,通过所述处理器从所述密钥存储芯片中读取密钥,包括:
根据所述密钥编号,通过所述第一总线向所述密钥存储模块发送第二请求;
根据所述第二请求,通过所述密钥存储模块从所述密钥存储芯片中读取所述密钥。
10.根据权利要求7所述的一种加密方法,其特征在于,所述根据所述第一请求,通过所述加密芯片进行所述签名数据的验签,包括:
根据所述第一请求,通过所述密钥解密所述签名数据,生成验签结果;
将所述验签结果写到第一区域,所述第一区域通过所述第一总线和所述第二总线与电脑主机端连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210155378.3A CN114448627A (zh) | 2022-02-21 | 2022-02-21 | 一种加密卡及其加密方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210155378.3A CN114448627A (zh) | 2022-02-21 | 2022-02-21 | 一种加密卡及其加密方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114448627A true CN114448627A (zh) | 2022-05-06 |
Family
ID=81374030
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210155378.3A Pending CN114448627A (zh) | 2022-02-21 | 2022-02-21 | 一种加密卡及其加密方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114448627A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107994985A (zh) * | 2017-12-04 | 2018-05-04 | 山东渔翁信息技术股份有限公司 | 一种密码卡及对数据处理的方法 |
CN108011716A (zh) * | 2016-10-31 | 2018-05-08 | 航天信息股份有限公司 | 一种密码装置及实现方法 |
CN108345806A (zh) * | 2017-12-14 | 2018-07-31 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种硬件加密卡和加密方法 |
CN109344664A (zh) * | 2018-08-21 | 2019-02-15 | 西安得安信息技术有限公司 | 一种基于fpga对数据进行算法处理的密码卡及其加密方法 |
CN110765438A (zh) * | 2019-10-24 | 2020-02-07 | 江苏云涌电子科技股份有限公司 | 一种高性能密码卡及其工作方法 |
CN111917710A (zh) * | 2020-06-12 | 2020-11-10 | 北京智芯微电子科技有限公司 | Pci-e密码卡及其密钥保护方法、计算机可读存储介质 |
CN113177201A (zh) * | 2021-05-20 | 2021-07-27 | 北京奕斯伟计算技术有限公司 | 程序校验、签名方法及装置、soc芯片 |
CN113890728A (zh) * | 2021-08-27 | 2022-01-04 | 苏州浪潮智能科技有限公司 | 基于fpga加密卡的密钥处理方法、系统、设备及介质 |
-
2022
- 2022-02-21 CN CN202210155378.3A patent/CN114448627A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108011716A (zh) * | 2016-10-31 | 2018-05-08 | 航天信息股份有限公司 | 一种密码装置及实现方法 |
CN107994985A (zh) * | 2017-12-04 | 2018-05-04 | 山东渔翁信息技术股份有限公司 | 一种密码卡及对数据处理的方法 |
CN108345806A (zh) * | 2017-12-14 | 2018-07-31 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种硬件加密卡和加密方法 |
CN109344664A (zh) * | 2018-08-21 | 2019-02-15 | 西安得安信息技术有限公司 | 一种基于fpga对数据进行算法处理的密码卡及其加密方法 |
CN110765438A (zh) * | 2019-10-24 | 2020-02-07 | 江苏云涌电子科技股份有限公司 | 一种高性能密码卡及其工作方法 |
CN111917710A (zh) * | 2020-06-12 | 2020-11-10 | 北京智芯微电子科技有限公司 | Pci-e密码卡及其密钥保护方法、计算机可读存储介质 |
CN113177201A (zh) * | 2021-05-20 | 2021-07-27 | 北京奕斯伟计算技术有限公司 | 程序校验、签名方法及装置、soc芯片 |
CN113890728A (zh) * | 2021-08-27 | 2022-01-04 | 苏州浪潮智能科技有限公司 | 基于fpga加密卡的密钥处理方法、系统、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7779286B1 (en) | Design tool clock domain crossing management | |
CN111930676B (zh) | 多处理器间的通信方法、装置、系统及存储介质 | |
US7165229B1 (en) | Generating optimized and secure IP cores | |
JP2006526833A (ja) | 不揮発性メモリに格納されたデータの整合性管理 | |
US8467534B2 (en) | Method and system for secure access and processing of an encryption/decryption key | |
US9319224B2 (en) | Public key infrastructure for system-on-chip | |
US11669487B2 (en) | Secondary device detection using a synchronous interface | |
US10936212B2 (en) | Memory controller, method for performing access control to memory module | |
CN106598886B (zh) | I/o总线共享存储器系统 | |
CN110262836A (zh) | 嵌入式多媒体装置和用于车载远程通信处理器的通信设备 | |
CN114448627A (zh) | 一种加密卡及其加密方法 | |
US10983711B2 (en) | Memory controller, method for performing access control to memory module | |
US10782914B2 (en) | Buffer systems and methods of operating the same | |
WO2024078089A1 (zh) | 一种芯片及其数据传输方法 | |
US11379401B2 (en) | Deferred communications over a synchronous interface | |
US9122411B2 (en) | Signal order-preserving method and apparatus | |
US7574679B1 (en) | Generating cores using secure scripts | |
CN100557584C (zh) | 用于对网络和存储器进行耦合的存储器控制器和方法 | |
US20230185745A1 (en) | Data flow control module for autonomous flow control of multiple dma engines | |
CN111984558A (zh) | 数据转换控制装置、存储设备以及存储器系统 | |
US8010802B2 (en) | Cryptographic device having session memory bus | |
EP4020246A1 (en) | Micro-network-on-chip and microsector infrastructure | |
US20220121514A1 (en) | Payload parity protection for a synchronous interface | |
CN109271108B (zh) | 一种存储器控制装置及数据存储设备 | |
US10474599B1 (en) | Striped direct memory access circuit |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220506 |