CN115694813B - 一种多芯片密钥管理系统 - Google Patents
一种多芯片密钥管理系统 Download PDFInfo
- Publication number
- CN115694813B CN115694813B CN202211713864.9A CN202211713864A CN115694813B CN 115694813 B CN115694813 B CN 115694813B CN 202211713864 A CN202211713864 A CN 202211713864A CN 115694813 B CN115694813 B CN 115694813B
- Authority
- CN
- China
- Prior art keywords
- module
- key
- chips
- main control
- keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种多芯片密钥管理系统,包括:N个芯片、双随机数模块和密码通讯模块,N个芯片、双随机数模块和密码通讯模块均封装在一个外壳内,N≥2;双随机数模块用于生成并为各芯片提供随机数;密码通讯模块用于实现多芯片间通讯;多个芯片用于基于随机数生成密钥;N个芯片均包括主控模块、密码运算模块、第一存储模块、第二存储模块、第一通讯模块和第二通讯模块。本发明能够大大提升密码算法运算性能的同时保护密钥的安全性。
Description
技术领域
本发明涉及密钥管理技术领域,更具体的说是涉及一种多芯片密钥管理系统。
背景技术
当前多硬件密码模块并行的方案中各硬件密码模块是相对独立的个体,各硬件密码模块拥有各自的密钥存储模块、密码运算模块、密码通讯模块等等,相关硬件资源不能在同一个边界内进行统一的管理。
比如:密码模块1产生一个SM9密钥对并存储在密码模块1中,那么密码运算时其他密码模块怎么使用该SM9密钥对进行密码运算呢。这势必需要操作系统介入,产生密钥时将该SM9密钥从密码模块1导出再导入其他密码模块。操作系统介入密钥管理后,密钥会以明文或密文形式出现的操作系统内存中,容易导致密钥泄露。
本发明提供了一种安全的多芯片密钥管理系统,各密钥存储模块、密码运算模块、密码通讯模块等硬件资源均在同一边界内部进行统一管理,密钥的产生、密钥的应用均在密码模块内部进行。
发明内容
有鉴于此,本发明提供了一种多芯片密钥管理系统,能够大大提升密码算法运算性能的同时保护密钥的安全性。
为了实现上述目的,本发明采用如下技术方案:
一种多芯片密钥管理系统,包括:多芯密码模块,多芯密码模块包括N个芯片、双随机数模块和密码通讯模块,N个所述芯片、所述双随机数模块和所述密码通讯模块均封装在一个外壳内,N≥2;
所述双随机数模块用于生成并为各芯片提供随机数;
所述密码通讯模块用于实现多芯片间通讯;
N个所述芯片均包括主控模块、密码运算模块、第一存储模块、第二存储模块、第一通讯模块和第二通讯模块,
所述主控模块和所述双随机数模块连接,用于控制所述双随机数模块生成随机数,并基于随机数和所述密码运算模块生成密钥;
所述第一存储模块与所述主控模块连接,用于存储自身密钥;
所述第二存储模块与所述主控模块连接,用于存储各芯片间交换的密钥;
所述第一通讯模块与所述密码通讯模块连接,用于与所述密码通讯模块进行对外通讯;
所述第二通讯模块与其它N-1个芯片的第二通讯模块连接,用于各芯片间信息、数据交换;
所述密码运算模块和所述主控模块连接,用于提供密钥运算功能。
优选地,还包括多芯密钥串联模块,所述多芯密钥串联模块与所述主控模块连接,用于控制生成N*M个密钥,并基于设定的顺序依次为N个芯片分配不同的密钥。
优选地,还包括多芯密钥联动模块,所述多芯密钥联动模块与所述主控模块连接,用于控制生成M个密钥,并将M个密钥同时共享至N个芯片。
优选地,还包括多芯密钥协同模块,所述多芯密钥协同模块与所述主控模块连接,用于控制生成N*M个密钥,基于设定的顺序依次为N个芯片分配不同的密钥,并控制N个芯片之间交换密钥。
经由上述的技术方案可知,与现有技术相比,本发明公开提供了一种多芯片密钥管理系统,能够大大提升密码算法运算性能的同时保护密钥的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1附图为本发明提供的一种多芯片密钥管理系统原理框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种多芯片密钥管理系统,如图1所示,包括:多芯密码模块,多芯密码模块包括N个芯片、双随机数模块和密码通讯模块,N个芯片、双随机数模块和密码通讯模块均封装在一个外壳内,在本实施例中,N=3;
双随机数模块用于生成并为3个芯片提供随机数;
密码通讯模块用于实现多芯片间通讯;
3个芯片均包括主控模块、密码运算模块、第一存储模块、第二存储模块、第一通讯模块和第二通讯模块,
主控模块和双随机数模块连接,用于控制双随机数模块生成随机数,并基于随机数和密码运算模块生成密钥;
第一存储模块与主控模块连接,用于存储自身密钥;
第二存储模块与主控模块连接,用于存储各芯片间交换的密钥;
第一通讯模块与密码通讯模块连接,用于与密码通讯模块进行对外通讯;
第二通讯模块与其它2个芯片的第二通讯模块连接,用于各芯片间信息、数据交换;
密码运算模块和主控模块连接,用于提供密钥运算功能。
在本实施例中,还包括多芯密钥串联模块,所述多芯密钥串联模块与所述主控模块连接,用于控制生成N*M个密钥,并基于设定的顺序依次为N个芯片分配不同的密钥。密钥数M与芯片自身存储空间有关系,M>0。
具体的,3个芯片拥有各自的第一存储模块,假设第一存储模块中的密钥存储区容量能够存储1024个密钥。产生密钥时多芯密钥串联模块能够解析密钥号,统一管理存储资源将密钥均匀分布,密钥应用时实现密钥自动扩展。该模块实施后,若每一芯片都存储了1024个密钥,则系统密钥容量为3072个且各密钥均匀分布,密码运算的性能没有扩展。
在本实施例中,还包括多芯密钥联动模块,所述多芯密钥联动模块与所述主控模块连接,用于控制生成M个密钥,并将M个密钥同时共享至N个芯片。
具体的,3个芯片拥有各自的第一存储模块,假设第一存储模块中的密钥存储区容量能够存储1024个密钥。产生密钥时多芯密钥联动模块将密钥共享分布至各芯片的第一存储模块,密码运算过程中各芯片联动提供密码运算支撑。多芯密钥联动模块支持共享纠错机制,当某一芯片第一存储模块损坏时能及时同步密钥,确保各芯片第一存储模块密钥的正确性。该模块实施后,各芯片密钥容量为1024,且各密钥共享分布,多个芯片都能提供密钥号为1-1024的密码运算,例如,密钥串联模式下,假设用其中一个芯片的1号密钥运算,其他两个芯片没有该1号密钥,只有一个芯片存储了该1号密钥,所以运算时性能是1倍,联动模式下,3个芯片都有同样的1号密钥,用1号密钥运算时,3个芯片都能工作,所以密码运算性能是多芯片密钥串联模式的3倍。
在本实施例中,还包括多芯密钥协同模块,所述多芯密钥协同模块与所述主控模块连接,用于控制生成N*M个密钥,基于设定的顺序依次为N个芯片分配不同的密钥,并在使用密钥时控制N个芯片之间交换密钥。
具体的,3个芯片拥有各自的第一存储模块,假设第一存储模块中的密钥存储区容量能够存储1024个密钥。产生密钥时,多芯密钥协同模块采用设定的顺序依次为N个芯片分配不同的密钥,并在使用密钥时控制N个芯片之间交换密钥。使用密钥过程中,多芯密钥协同模块采用密钥预加载机制。多芯密钥协同模块能够统计当前业务使用的密钥号以及下一笔业务使用的密钥号。若下一笔待运算的密钥由芯片1管理,则芯片1将第一存储模块的密钥同步到第二存储模块并借助第二通讯模块将该密钥推送至其他芯片的第二存储模块。各芯片执行下一笔运算所需要的密钥共享在第二存储模块中,进而实现密钥协同分布。该模块实施后,多芯密码模块的密钥容量为多芯密钥联动模块3倍,密码运算性能是多芯片密钥串联模式的3倍。
本发明设计了多芯密钥串联模块、多芯密钥联动模块、多芯密钥协同模块,实现密钥的均匀分布、共享分布以及协同分布。基于上述模块,在多芯密码模块内部密钥可以扩展、共享以及交换,确保密钥安全的前提下达到扩展密钥数量、提升并行密码运算性能等效果。解决了多硬件密码模块并行方案产生密钥过程中密钥可能外泄的风险,解决了多硬件密码模块并行方案各密码模块密钥不能扩展、共享的问题,解决软硬结合方案密钥出现的主机内存的问题。其中,多芯密钥串联模块、多芯密钥联动模块和多芯密钥协同模块根据实际需求进行相应设置,属于并列的三种技术方案。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (4)
1.一种多芯片密钥管理系统,其特征在于,包括多芯密码模块,多芯密码模块包括:N个芯片、双随机数模块和密码通讯模块,N个所述芯片、所述双随机数模块和所述密码通讯模块均封装在一个外壳内,N≥2;
所述双随机数模块用于生成并为各芯片提供随机数;
所述密码通讯模块用于实现多芯片间通讯;
N个所述芯片均包括主控模块、密码运算模块、第一存储模块、第二存储模块、第一通讯模块和第二通讯模块,
所述主控模块和所述双随机数模块连接,用于控制所述双随机数模块生成随机数,并基于随机数和所述密码运算模块生成密钥;
所述第一存储模块与所述主控模块连接,用于存储自身密钥;
所述第二存储模块与所述主控模块连接,用于存储各芯片间交换的密钥;
所述第一通讯模块与所述密码通讯模块连接,用于与所述密码通讯模块进行对外通讯;
所述第二通讯模块与其它N-1个芯片的第二通讯模块连接,用于各芯片间信息、数据交换;
所述密码运算模块和所述主控模块连接,用于提供密钥运算功能。
2.根据权利要求1所述的一种多芯片密钥管理系统,其特征在于,还包括多芯密钥串联模块,所述多芯密钥串联模块与所述主控模块连接,用于控制生成N*M个密钥,并基于设定的顺序依次为N个芯片分配不同的密钥。
3.根据权利要求1所述的一种多芯片密钥管理系统,其特征在于,还包括多芯密钥联动模块,所述多芯密钥联动模块与所述主控模块连接,用于控制生成M个密钥,并将M个密钥同时共享至N个芯片。
4.根据权利要求1所述的一种多芯片密钥管理系统,其特征在于,还包括多芯密钥协同模块,所述多芯密钥协同模块与所述主控模块连接,用于控制生成N*M个密钥,基于设定的顺序依次为N个芯片分配不同的密钥,并在使用密钥时控制N个芯片之间交换密钥。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211713864.9A CN115694813B (zh) | 2022-12-30 | 2022-12-30 | 一种多芯片密钥管理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211713864.9A CN115694813B (zh) | 2022-12-30 | 2022-12-30 | 一种多芯片密钥管理系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115694813A CN115694813A (zh) | 2023-02-03 |
CN115694813B true CN115694813B (zh) | 2023-03-17 |
Family
ID=85055993
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211713864.9A Active CN115694813B (zh) | 2022-12-30 | 2022-12-30 | 一种多芯片密钥管理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115694813B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116633544B (zh) * | 2023-07-21 | 2023-10-10 | 杭州海康威视数字技术股份有限公司 | 硬件密码模组内多核密钥分级存储与同步方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5828753A (en) * | 1996-10-25 | 1998-10-27 | Intel Corporation | Circuit and method for ensuring interconnect security within a multi-chip integrated circuit package |
CN106027235A (zh) * | 2016-05-13 | 2016-10-12 | 北京三未信安科技发展有限公司 | 一种pci密码卡和海量密钥密码运算方法及系统 |
CN108234132A (zh) * | 2017-12-07 | 2018-06-29 | 深圳市中易通安全芯科技有限公司 | 一种主控芯片与加密芯片的安全通信系统及方法 |
CN110365480A (zh) * | 2019-07-19 | 2019-10-22 | 中安云科科技发展(山东)有限公司 | 一种多芯片密钥同步方法、系统及密码设备 |
WO2021253254A1 (zh) * | 2020-06-17 | 2021-12-23 | 深圳市欢太科技有限公司 | 芯片、芯片封装结构以及电子设备 |
-
2022
- 2022-12-30 CN CN202211713864.9A patent/CN115694813B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5828753A (en) * | 1996-10-25 | 1998-10-27 | Intel Corporation | Circuit and method for ensuring interconnect security within a multi-chip integrated circuit package |
CN106027235A (zh) * | 2016-05-13 | 2016-10-12 | 北京三未信安科技发展有限公司 | 一种pci密码卡和海量密钥密码运算方法及系统 |
CN108234132A (zh) * | 2017-12-07 | 2018-06-29 | 深圳市中易通安全芯科技有限公司 | 一种主控芯片与加密芯片的安全通信系统及方法 |
CN110365480A (zh) * | 2019-07-19 | 2019-10-22 | 中安云科科技发展(山东)有限公司 | 一种多芯片密钥同步方法、系统及密码设备 |
WO2021253254A1 (zh) * | 2020-06-17 | 2021-12-23 | 深圳市欢太科技有限公司 | 芯片、芯片封装结构以及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN115694813A (zh) | 2023-02-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109412794B (zh) | 一种适应电力业务的量子密钥自动充注方法及系统 | |
CN100568320C (zh) | 发送/接收系统和方法、发送/接收装置和方法 | |
CN115694813B (zh) | 一种多芯片密钥管理系统 | |
CN112291056B (zh) | 加密密钥生成器及传输系统 | |
US20120134492A1 (en) | Data Encryption and Decryption Method and Apparatus | |
CN110391900A (zh) | 基于sm2算法的私钥处理方法、终端及密钥中心 | |
CN105071927A (zh) | 一种移动设备数据本地存储方法 | |
US20200044838A1 (en) | Data encryption method and system using device authentication key | |
CN111798236B (zh) | 交易数据加、解密方法、装置及设备 | |
CN117081740B (zh) | 基于密码机资源池的密钥管理方法及装置 | |
CN116155491B (zh) | 安全芯片的对称密钥同步方法及安全芯片装置 | |
CN211293972U (zh) | 一种加密卡 | |
CN116226940B (zh) | 一种基于pcie的数据安全处理方法以及数据安全处理系统 | |
CN110381067A (zh) | Ip包加密方法、解密方法及其装置 | |
TWI769961B (zh) | 基於物理不可複製函數的密鑰管理系統及其操作方法 | |
CN112231743B (zh) | 一种数据加密存储的实现方法及装置 | |
KR20100068902A (ko) | 하이브리드 방식의 치환박스 연산장치를 포함하는 아리아 암복호화 장치 및 방법. | |
CN116722983B (zh) | 城市规划领域物联网终端的信息安全方法及系统 | |
US11569987B2 (en) | Method and system for key agreement utilizing plactic monoids | |
CN113672947A (zh) | 一种基于主题模型的电力系统图模交换数据加密方法 | |
CN115080473B (zh) | 一种多芯片互连系统及基于其的安全启动方法 | |
CN114297698A (zh) | 一种数据安全处理方法和装置 | |
WO2021038769A1 (ja) | 通信装置、メモリモジュール、及びプログラム | |
CN117155567A (zh) | 基于密码机资源池的多层密钥生成管理方法及装置 | |
CN117938492A (zh) | 一种混合分块哈希加密方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |