CN115994106B - 一种海量数据加解密方法、数据安全装置以及电子设备 - Google Patents
一种海量数据加解密方法、数据安全装置以及电子设备 Download PDFInfo
- Publication number
- CN115994106B CN115994106B CN202310136232.9A CN202310136232A CN115994106B CN 115994106 B CN115994106 B CN 115994106B CN 202310136232 A CN202310136232 A CN 202310136232A CN 115994106 B CN115994106 B CN 115994106B
- Authority
- CN
- China
- Prior art keywords
- data
- module
- chip
- chip storage
- storage unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本申请实施例公开了一种海量数据加解密方法、数据安全装置以及电子设备。将通过DMA模块从PCIE接口接收到的数据包通过片外存储控制器存储到片外存储单元中,实现提供大数据的存储,再结合PCIE控制器的DMA模块实现单次大数据的搬移,无需反复占用PCIE接口,提高PCIE接口的利用效率。将数据包在片外存储单元中对应的片外起始地址以及对应的算法类型输入状态控制模块;根据预设分配原则通过状态控制模块从处于空闲状态的运算模块中确认目标运算模块;通过目标运算模块对待处理数据进行算法类型对应的加解密运算得到安全数据;通过片外存储单元对于处理完得到的安全数据进行存储,也可以减少芯片内部存储单元的设置,保障芯片面积收敛,降低芯片生产成本。
Description
技术领域
本申请实施例涉及数据安全技术领域,尤其涉及一种海量数据加解密方法、数据安全装置以及电子设备。
背景技术
随着信息安全技术的快速发展,安全芯片在各个领域的应用也显得日益重要。安全芯片也面临着需要对海量的加解密数据进行处理的挑战,然而,相关技术中,安全芯片需要将待加解密的数据以及运算结果数据进行内部存储,但是由于内部存储资源有限,每一次加解密运算所支持的缓存数据量较小,需要频繁启动PCI E接口来进行数据传输,占用PCI E的带宽。而在安全芯片内部增加存储单元,增加了芯片面积,也增加了安全芯片的生产成本,不利于芯片时序的收敛。
发明内容
本申请实施例提供一种海量数据加解密方法、数据安全装置以及电子设备,通过设置片外存储单元提供大数据的存储,结合PCI E控制器的DMA模块实现单次大数据的搬移,无需反复占用PCI E接口,提高PCI E接口的利用效率,也同时减少芯片内部存储单元的设置,保障芯片面积收敛,降低芯片生产成本。
在第一方面,本申请实施例提供了一种海量数据加解密方法,应用于数据安全装置,所述方法包括:
响应于数据接收请求,将通过DMA模块从PCI E接口接收到的数据包通过片外存储控制器存储到片外存储单元中,其中所述数据包包括配置参数以及待处理数据;
将所述数据包在所述片外存储单元中对应的片外起始地址以及对应的算法类型输入所述状态控制模块;
根据预设分配原则通过所述状态控制模块从处于空闲状态的运算模块中确认目标运算模块,以及通过所述状态控制模块将所述片外起始地址以及所述算法类型配置到所述目标运算模块;
通过所述目标运算模块根据所述片外起始地址读取所述待处理数据以及所述配置参数,并通过所述目标运算模块对所述待处理数据进行所述算法类型对应的加解密运算得到安全数据;
将所述安全数据通过所述片外存储控制器存储到所述片外存储单元。
可选的,在响应于数据接收请求之前,还包括:
将片外存储单元划分为多个地址空间,通过总线加解密模块为每个所述地址空间配置总线密钥;
所述将通过DMA模块从PCI E接口接收到的数据包通过片外存储控制器存储到片外存储单元中,具体包括:
确认通过DMA模块从PCI E接口接收到的数据包的目标地址空间,通过所述总线加解密模块中与所述目标地址空间对应的总线密钥对所述数据包进行加密得到加密数据包,并将所述加密数据包通过片外存储控制器存储到片外存储单元的所述目标地址空间中;
所述通过所述目标运算模块根据所述片外起始地址去读取所述待处理数据以及所述配置参数,并通过所述目标运算模块对所述待处理数据进行所述算法类型对应的加解密运算得到安全数据,具体包括:
通过所述目标运算模块将所述片外起始地址对应的加密待处理数据以及加密配置参数读取到所述总线加解密模块,通过所述总线加解密模块对所述加密待处理数据以及所述加密配置参数进行解密得到待处理数据以及配置参数,并通过所述目标运算模块对所述待处理数据进行所述算法类型对应的加解密运算得到安全数据;
所述将所述安全数据通过所述片外存储控制器存储到所述片外存储单元,具体包括:
将所述安全数据通过所述总线加解密模块利用与所述目标地址空间对应的总线密钥加密后得到加密安全数据,并将所述加密安全数据通过所述片外存储控制器存储到所述片外存储单元的所述目标地址空间中。
可选的,所述目标地址空间包括目标等待区和目标完成区;
所述将所述加密数据包通过片外存储控制器存储到片外存储单元的所述目标地址空间中,具体包括:
将所述加密数据包通过片外存储控制器存储到片外存储单元的目标等待区中;
所述将所述加密安全数据通过所述片外存储控制器存储到所述片外存储单元的所述目标地址空间中,具体包括:
将所述加密安全数据通过所述片外存储控制器存储到所述片外存储单元的所述目标完成区中。
可选的,所述通过总线加解密模块为每个所述地址空间配置总线密钥,具体包括:
通过所述随机数生成器生成随机数,并通过所述总线加解密模块利用所述随机数生成总线密钥,并为每个所述地址空间配置总线密钥。
可选的,所述根据预设分配原则通过所述状态控制模块从处于空闲状态的运算模块中确认目标运算模块,具体包括:
根据预设编号顺序通过所述状态控制模块从处于空闲状态的运算模块中确定编号最小的运算模块作为目标运算模块;
或,
根据所述算法类型通过所述状态控制模块确定满足所述算法类型的运算模块作为目标运算模块。
可选的,还包括:
通过所述状态控制模块确认所述目标地址空间对应的任务状态信息;
在所述任务状态信息为完成的情况下,通过中断模块上报运算完成标志位;
响应于数据导出请求,通过所述总线加解密模块将从所述目标地址空间中读取出的所述加密安全数据进行解密得到所述安全数据,并通过所述DMA模块将所述安全数据从PC I E接口导出。
可选的,还包括:
通过所述总线加解密模块重新生成新的总线密钥,并为所述目标地址空间配置新的总线密钥。
在第二方面,本申请实施例提供了一种应用本申请任一实施例所述海量数据加解密方法的数据安全装置,包括安全芯片以及片外存储单元,所述安全芯片与所述片外存储单元数据连接,其中,所述安全芯片包括片外存储控制器、状态控制模块、至少一个运算模块、PC I E控制器、总线加解密模块以及随机数生成器,其中所述PC I E控制器包括中断模块、DMA模块以及PC I E接口。
在第三方面,本申请实施例提供了一种电子设备,所述电子设备包括:处理器、存储器、通信模块、输入装置、输出装置以及本申请任一实施例所述的数据安全装置。
本申请实施例中,将通过DMA模块从PC I E接口接收到的数据包通过片外存储控制器存储到片外存储单元中,其中数据包包括配置参数以及待处理数据,实现提供大数据的存储,再结合PC I E控制器的DMA模块实现单次大数据的搬移,无需反复占用PC I E接口,提高PC I E接口的利用效率。将数据包在片外存储单元中对应的片外起始地址以及对应的算法类型输入状态控制模块;根据预设分配原则通过状态控制模块从处于空闲状态的运算模块中确认目标运算模块,以及通过状态控制模块将片外起始地址以及算法类型配置到目标运算模块;通过目标运算模块根据片外起始地址读取待处理数据以及配置参数,并通过目标运算模块对待处理数据进行算法类型对应的加解密运算得到安全数据;将安全数据通过片外存储控制器存储到片外存储单元,通过片外存储单元对于处理完得到的安全数据进行存储,也可以减少芯片内部存储单元的设置,保障芯片面积收敛,降低芯片生产成本。
附图说明
图1是本申请实施例提供的一种数据安全装置的结构示意图;
图2是本申请实施例提供的一种海量数据加解密方法的流程图;
图3是本申请实施例提供的另一种海量数据加解密方法的流程图;
图4是本申请实施例提供的另一种海量数据加解密方法的流程图;
图5是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图对本申请具体实施例作进一步的详细描述。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
随着信息安全技术的快速发展,安全芯片在各个领域的应用也显得日益重要。安全芯片也面临着需要对海量的加解密数据进行处理的挑战,然而,相关技术中,安全芯片需要将待加解密的数据以及运算结果数据进行内部存储,但是由于内部存储资源有限,每一次加解密运算所支持的缓存数据量较小,需要频繁启动PCI E接口来进行数据传输,占用PCI E的带宽。而在安全芯片内部增加存储单元,增加了芯片面积,也增加了安全芯片的生产成本,不利于芯片时序的收敛。
基于此,本申请实施例提供一种海量数据加解密方法、数据安全装置以及电子设备,解决安全芯片内部存储资源有限,可支持缓存数据量较小的问题。
图1给出了本申请实施例提供的一种数据安全装置100的结构示意图,其中,数据安全装置100可以通过硬件的方式实现,该数据安全装置100可以是由多个物理实体构成。
参照图1,该数据安全装置100包括包括安全芯片110以及片外存储单元120,安全芯片110与片外存储单元120数据连接,其中,安全芯片110包括片外存储控制器111、状态控制模块112、至少一个运算模块113、PCI E控制器114、总线加解密模块115以及随机数生成器116,其中所述PCI E控制器包括中断模块1141、DMA模块1142以及PCI E接口1143。该数据安全装置100可用于实现本申请任一实施例的海量数据加解密方法,具备相应的功能和有益效果。
具体的,图2为本申请实施例提供的一种海量数据加解密方法的流程图,本实施例中提供的海量数据加解密方法可以由数据安全装置实现。下述以数据安全装置为实现海量数据加解密方法的主体为例,进行描述。参照图2,该海量数据加解密方法具体包括:
S210、响应于数据接收请求,将通过DMA模块从PCI E接口接收到的数据包通过片外存储控制器存储到片外存储单元中,其中所述数据包包括配置参数以及待处理数据。
值得说明的是,数据安全装置搭载于安全机,安全机可以接收用户操作来对数据进行加解密处理,其中,安全机可以是服务器、通用计算机或其他可编程数据处理设备。用户可以将待处理数据提前下载到数据安全装置的片外存储单元中,安全机通过向数据安全装置下发数据接收请求,与数据安全装置建立数据连接,数据安全装置响应于该数据接收请求,安全机将数据包从PCI E接口传入数据安全装置,数据安全装置通过DMA模块接收数据包,并进一步通过片外存储控制器存储到片外存储单元中,这样可以通过片外存储单元一次性存储一定规模的待处理数据,无需反复启动PCI E接口去接收。每个数据包可以由配置参数以及待处理数据组成,配置参数用于配置加解密类型以及算法初始化。
S220、将所述数据包在所述片外存储单元中对应的片外起始地址以及对应的算法类型输入所述状态控制模块。
其中,在步骤S210将数据包存储到片外存储单元后,每个数据包都会保存在片外存储单元的某段数据空间,因而每个数据包都会有对应于所在数据空间的片外起始地址,而根据片外起始地址可以到片外存储单元中读取到对应的数据包。此外,每个数据包对应的算法类型可能不同,包括数据加密,数据解密,数据签名,数据解签,密钥加密,密钥解密等等不同的算法需求。数据安全装置将数据包对应的片外起始地址以及算法类型输入到状态控制模块,由于数据安全装置内置的多个运算模块,状态控制模块可以执行数据包的分配任务。
S230、根据预设分配原则通过所述状态控制模块从处于空闲状态的运算模块中确认目标运算模块,以及通过所述状态控制模块将所述片外起始地址以及所述算法类型配置到所述目标运算模块。
在具体实施过程中,由于数据安全装置包括多个运算模块,数据安全装置可以支持多个运算模块的并行运算,状态控制模块可以通过通信总线获取到运算模块的运行状态,并确认哪些运算模块处于空闲状态。再通过预设分配原则从处于空闲状态的运算模块中确认目标运算模块。
在一个实施例中,步骤S230中根据预设分配原则通过所述状态控制模块从处于空闲状态的运算模块中确认目标运算模块,具体包括:
根据预设编号顺序通过状态控制模块从处于空闲状态的运算模块中确定编号最小的运算模块作为目标运算模块;
或,
根据算法类型通过状态控制模块确定满足算法类型的运算模块作为目标运算模块。
其中,多个运算模块在初始化时可以预置顺序编号,在实际运算过程中,状态控制模块从确认到的处于空闲状态的运算模块中,选择编号最小的运算模块来分配任务;而当运算模块划分为不同处理类型时,状态控制模块可以根据所接收的算法类型来选择满足该算法类型的运算模块,当然,预设分配原则还可以遵从其它的分配策略,本申请在此不作限制。
这样可以保障状态控制模块合理确认目标运算模块,有序进行数据包的分配,保障数据安全装置的多路数据并行处理的正常执行。
S240、通过所述目标运算模块根据所述片外起始地址读取所述待处理数据以及所述配置参数,并通过所述目标运算模块对所述待处理数据进行所述算法类型对应的加解密运算得到安全数据。
S250、将所述安全数据通过所述片外存储控制器存储到所述片外存储单元。
具体的,步骤S230中状态控制模块对目标运算模块配置完成后,目标运算模块开始执行对应的运算任务,根据所配置的片外起始地址到片外存储单元中读取对应的数据包,并根据配置参数启动具体的算法,对待处理数据进行加解密运算得到安全数据,然后将安全数据从片外存储控制器存储到片外存储单元。这样每次可以大批量处理片外存储单元内的待处理数据,也可以将处理完的大批量数据重新存储到片外存储单元内,无需占用到安全芯片的内存。
上述,数据安全装置通过将通过DMA模块从PCI E接口接收到的数据包通过片外存储控制器存储到片外存储单元中,其中数据包包括配置参数以及待处理数据,实现提供大数据的存储,再结合PCI E控制器的DMA模块实现单次大数据的搬移,无需反复占用PCI E接口,提高PCI E接口的利用效率。将数据包在片外存储单元中对应的片外起始地址以及对应的算法类型输入状态控制模块;根据预设分配原则通过状态控制模块从处于空闲状态的运算模块中确认目标运算模块,以及通过状态控制模块将片外起始地址以及算法类型配置到目标运算模块;通过目标运算模块根据片外起始地址读取待处理数据以及配置参数,并通过目标运算模块对待处理数据进行算法类型对应的加解密运算得到安全数据;将安全数据通过片外存储控制器存储到片外存储单元,通过片外存储单元对于处理完得到的安全数据进行存储,也可以减少芯片内部存储单元的设置,保障芯片面积收敛,降低芯片生产成本。
进一步地,图3为本申请实施例提供另一种海量数据加解密方法的流程图,在前述实施例的基础上,参照图3,在步骤S210前还包括:
S200、将片外存储单元划分为多个地址空间,通过总线加解密模块为每个所述地址空间配置总线密钥。
值得说明的是,安全芯片以及片外存储单元之间的数据传输存在一定的安全风险,容易遭到非法窃取以及篡改,基于此,将片外存储单元划分为多个地址空间,并为每个地址空间通过总线加解密模块配置总线密钥,其中,对于每次所需处理的数据包的数据量差异不大的情况下,地址空间的大小可以根据总存储空间大小以及数据包的平均大小进行均匀设置,对于每次所需处理的数据包的数据量差异较大的情况下,地址空间的大小可以进行梯度设置。而每个地址空间的总线密钥可以相同,也可以不同,数据从安全芯片到片外存储单元需要用总线密钥进行加密,数据从片外存储单元到安全芯片需要用总线密钥进行解密。
可选的,步骤S200中的通过总线加解密模块为每个所述地址空间配置总线密钥,还可以具体包括以下步骤:
S201、通过所述随机数生成器生成随机数;
S202、通过所述总线加解密模块利用所述随机数生成总线密钥,并为每个所述地址空间配置总线密钥。
其中,利用随机数生成器来进行总线密钥生成,保障总线密钥的随机性以及安全性,保障总线密钥的安全防护作用。
在具体实施过程中,参照图3,步骤S210中将通过DMA模块从PCI E接口接收到的数据包通过片外存储控制器存储到片外存储单元中,具体包括以下步骤:
S211、确认通过DMA模块从PCI E接口接收到的数据包的目标地址空间;
S212、通过总线加解密模块中与目标地址空间对应的总线密钥对数据包进行加密得到加密数据包;
S213、将加密数据包通过片外存储控制器存储到片外存储单元的目标地址空间中。
这样数据安全装置从外部接收到的数据包可以安全存储到片外存储单元,即使在安全芯片处理前,从片外存储单元中获取到待处理数据也无法直接获取到实质内容,需要对待处理数据进行解密才利用,增强数据保护,保障数据安全装置的传输安全。
参照图3,对于步骤S240可以具体包括以下步骤:
S241、通过所述目标运算模块将所述片外起始地址对应的加密待处理数据以及加密配置参数读取到所述总线加解密模块;
S242、通过所述总线加解密模块对所述加密待处理数据以及所述加密配置参数进行解密得到待处理数据以及配置参数;
S243、通过所述目标运算模块对所述待处理数据进行所述算法类型对应的加解密运算得到安全数据。
这样有利于安全芯片对外部数据输入的检验,对于无法解密或者未加密的数据不予以处理,有效规避非法数据,以免影响安全芯片的正常功能。
参照图3,对于步骤S250可以具体包括以下步骤:
S251、将所述安全数据通过所述总线加解密模块利用与所述目标地址空间对应的总线密钥加密后得到加密安全数据;
S252、将所述加密安全数据通过所述片外存储控制器存储到所述片外存储单元的所述目标地址空间中。
这样,处理后的安全数据在外部安全机获取之前,可以加密并暂存在片外存储单元中,既起到数据缓冲暂存作用,又有效预防数据泄露。
进一步地,在前述实施例的基础上,目标地址空间包括目标等待区和目标完成区;其中,步骤S213具体为:
将加密数据包通过片外存储控制器存储到片外存储单元的目标等待区中;
步骤S252具体为具体包括:
将加密安全数据通过片外存储控制器存储到片外存储单元的目标完成区中
这样对于地址空间有明确的数据区域划分,通过设置等待区和完成区,安全机可以间接通过片外存储单元确认安全芯片内部待处理数据的处理状态,例如,通过在等待区或者完成区设置标志位,表示正在处理中或者处理完成,方便掌握数据安全装置的数据处理状况,有利于加解密任务的规划分配。
进一步地,图4为本申请实施例提供另一种海量数据加解密方法的流程图,在前述实施例的基础上,参照图4,还包括:
S260、通过状态控制模块确认目标地址空间对应的任务状态信息;
S270、在任务状态信息为完成的情况下,通过中断模块上报运算完成标志位;
S280、响应于数据导出请求,通过总线加解密模块将从目标地址空间中读取出的加密安全数据进行解密得到安全数据,并通过DMA模块将安全数据从PC I E接口导出。
这样状态控制模块可以在运算模块进行数据处理的同时,主动去通过确认地址空间中的任务状态信息来获取完成情况,并将运算完成状况上报至安全机,由安全机进一步安排数据导出。
可选的,总线密钥参与完成一次数据加解密后,可以新增总线密钥更新的步骤,在前述实施例的基础上,参照图4,还包括:
S290、通过总线加解密模块重新生成新的总线密钥,并为目标地址空间配置新的总线密钥。
这样可以避免因长时间使用相同总线密钥,在数据传输过程中,总线密钥被非法破解后,造成数据泄露。
图5为本申请实施例提供的一种电子设备500的结构示意图,参照图5,该电子设备500包括:处理器510、存储器520、通信模块530、输入装置540、输出装置550以及本申请任一实施例中所述的数据安全装置100。该电子设备500中处理器510的数量可以是一个或者多个,该电子设备500中的存储器520的数量可以是一个或者多个,数据安全装置100的数量可以是一个或者多个。该电子设备500的处理器510、存储器520、通信模块530、输入装置540、输出装置550以及数据安全装置100可以通过总线或其他方式连接。
存储器作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本申请任意实施例所述的海量数据加解密方法对应的程序指令/模块。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
通信模块用于进行数据传输。
处理器通过运行存储在存储器中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,结合数据安全装置的作用,可实现上述的海量数据加解密方法。
输入装置可用于接收输入的数字或字符信息,以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置可包括显示屏等显示设备。
上述提供的电子设备可用于执行上述任一实施例提供的海量数据加解密方法,具备相应的功能和有益效果。
本申请实施例还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行海量数据加解密方法,该海量加解密方法包括:响应于数据接收请求,将通过DMA模块从PCI E接口接收到的数据包通过片外存储控制器存储到片外存储单元中,其中所述数据包包括配置参数以及待处理数据;将所述数据包在所述片外存储单元中对应的片外起始地址以及对应的算法类型输入所述状态控制模块;根据预设分配原则通过所述状态控制模块从处于空闲状态的运算模块中确认目标运算模块,以及通过所述状态控制模块将所述片外起始地址以及所述算法类型配置到所述目标运算模块;通过所述目标运算模块根据所述片外起始地址读取所述待处理数据以及所述配置参数,并通过所述目标运算模块对所述待处理数据进行所述算法类型对应的加解密运算得到安全数据;将所述安全数据通过所述片外存储控制器存储到所述片外存储单元。
存储介质——任何的各种类型的存储器设备或存储设备。术语“存储介质”旨在包括:安装介质,例如CD-ROM、软盘或磁带装置;计算机系统存储器或随机存取存储器,诸如DRAM、DDR RAM、SRAM、EDO RAM,兰巴斯(Rambus)RAM等;非易失性存储器,诸如闪存、磁介质(例如硬盘或光存储);寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外,存储介质可以位于程序在其中被执行的第一计算机系统中,或者可以位于不同的第二计算机系统中,第二计算机系统通过网络(诸如因特网)连接到第一计算机系统。第二计算机系统可以提供程序指令给第一计算机用于执行。术语“存储介质”可以包括驻留在不同位置中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。
当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的海量数据加解密方法,还可以执行本申请任意实施例所提供的海量数据加解密方法中的相关操作。
上述实施例中提供的存储介质及电子设备可执行本申请任意实施例所提供的海量数据加解密方法,未在上述实施例中详尽描述的技术细节,可参见本申请任意实施例所提供的海量数据加解密方法。
需要说明的是,本方案中对各步骤的编号仅用于描述本方案的整体设计框架,不表示步骤之间的必然先后关系。在整体实现过程符合本方案整体设计框架的基础上,均属于本方案的保护范围,描述时文字形式上的先后顺序不是对本方案具体实现过程的排他限定。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。
因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(f l ash RAM)。存储器是计算机可读介质的示例。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (9)
1.一种海量数据加解密方法,其特征在于,应用于数据安全装置,所述方法包括:
将片外存储单元划分为多个地址空间,通过总线加解密模块为每个所述地址空间配置总线密钥;
响应于数据接收请求,确认通过DMA模块从PCIE接口接收到的数据包的目标地址空间,通过所述总线加解密模块中与所述目标地址空间对应的总线密钥对所述数据包进行加密得到加密数据包,并将所述加密数据包通过片外存储控制器存储到片外存储单元的所述目标地址空间中,其中所述数据包包括配置参数以及待处理数据;
将所述数据包在所述片外存储单元中对应的片外起始地址以及对应的算法类型输入状态控制模块;
根据预设分配原则通过所述状态控制模块从处于空闲状态的运算模块中确认目标运算模块,以及通过所述状态控制模块将所述片外起始地址以及所述算法类型配置到所述目标运算模块;
通过所述目标运算模块将所述片外起始地址对应的加密待处理数据以及加密配置参数读取到所述总线加解密模块,通过所述总线加解密模块对所述加密待处理数据以及所述加密配置参数进行解密得到待处理数据以及配置参数,并通过所述目标运算模块对所述待处理数据进行所述算法类型对应的加解密运算得到安全数据;
将所述安全数据通过所述总线加解密模块利用与所述目标地址空间对应的总线密钥加密后得到加密安全数据,并将所述加密安全数据通过所述片外存储控制器存储到所述片外存储单元的所述目标地址空间中。
2.根据权利要求1所述的海量数据加解密方法,其特征在于,所述目标地址空间包括目标等待区和目标完成区;
所述将所述加密数据包通过片外存储控制器存储到片外存储单元的所述目标地址空间中,具体包括:
将所述加密数据包通过片外存储控制器存储到片外存储单元的目标等待区中;
所述将所述加密安全数据通过所述片外存储控制器存储到所述片外存储单元的所述目标地址空间中,具体包括:
将所述加密安全数据通过所述片外存储控制器存储到所述片外存储单元的所述目标完成区中。
3.根据权利要求1所述的海量数据加解密方法,其特征在于,所述通过总线加解密模块为每个所述地址空间配置总线密钥,具体包括:
通过随机数生成器生成随机数,并通过所述总线加解密模块利用所述随机数生成总线密钥,并为每个所述地址空间配置总线密钥。
4.根据权利要求1所述的海量数据加解密方法,其特征在于,所述根据预设分配原则通过所述状态控制模块从处于空闲状态的运算模块中确认目标运算模块,具体包括:
根据预设编号顺序通过所述状态控制模块从处于空闲状态的运算模块中确定编号最小的运算模块作为目标运算模块;
或,
根据所述算法类型通过所述状态控制模块确定满足所述算法类型的运算模块作为目标运算模块。
5.根据权利要求1所述的海量数据加解密方法,其特征在于,还包括:
通过所述状态控制模块确认所述目标地址空间对应的任务状态信息;
在所述任务状态信息为完成的情况下,通过中断模块上报运算完成标志位;
响应于数据导出请求,通过所述总线加解密模块将从所述目标地址空间中读取出的所述加密安全数据进行解密得到所述安全数据,并通过所述DMA模块将所述安全数据从PCIE接口导出。
6.根据权利要求5所述的海量数据加解密方法,其特征在于,还包括:
通过所述总线加解密模块重新生成新的总线密钥,并为所述目标地址空间配置新的总线密钥。
7.一种应用权利要求1至6任一项所述海量数据加解密方法的数据安全装置,其特征在于,包括安全芯片以及片外存储单元,所述安全芯片与所述片外存储单元数据连接,其中,所述安全芯片包括片外存储控制器、状态控制模块、至少一个运算模块、PCIE控制器、总线加解密模块以及随机数生成器,其中所述PCIE控制器包括中断模块、DMA模块以及PCIE接口。
8.一种电子设备,其特征在于,所述电子设备包括:处理器、存储器、通信模块、输入装置、输出装置以及权利要求7所述的数据安全装置。
9.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1至6任一项所述的海量数据加解密方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310136232.9A CN115994106B (zh) | 2023-02-17 | 2023-02-17 | 一种海量数据加解密方法、数据安全装置以及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310136232.9A CN115994106B (zh) | 2023-02-17 | 2023-02-17 | 一种海量数据加解密方法、数据安全装置以及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115994106A CN115994106A (zh) | 2023-04-21 |
| CN115994106B true CN115994106B (zh) | 2023-09-05 |
Family
ID=85995149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310136232.9A Active CN115994106B (zh) | 2023-02-17 | 2023-02-17 | 一种海量数据加解密方法、数据安全装置以及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115994106B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105279439A (zh) * | 2014-06-20 | 2016-01-27 | 赛普拉斯半导体公司 | 用于就地执行的存储器的加密方法 |
| CN107590402A (zh) * | 2017-09-26 | 2018-01-16 | 杭州中天微系统有限公司 | 一种存储数据加解密装置及方法 |
| CN108345806A (zh) * | 2017-12-14 | 2018-07-31 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种硬件加密卡和加密方法 |
| CN108628791A (zh) * | 2018-05-07 | 2018-10-09 | 北京智芯微电子科技有限公司 | 基于pcie接口的高速安全芯片架构和高速的数据处理方法 |
| CN109067523A (zh) * | 2018-07-28 | 2018-12-21 | 杭州电子科技大学 | 一种加密卡的数据加密方法 |
| CN110765498A (zh) * | 2018-07-28 | 2020-02-07 | 陈其钗 | 一种加密计算机 |
| CN112214795A (zh) * | 2020-10-13 | 2021-01-12 | 天津津航计算技术研究所 | 一种适用于多种数据带宽的加密模块 |
| CN112613053A (zh) * | 2020-12-25 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 一种数据加解密方法及装置 |
| CN114662136A (zh) * | 2022-05-25 | 2022-06-24 | 广州万协通信息技术有限公司 | 一种基于pcie通道的多算法ip核的高速加解密系统及方法 |
| CN114780460A (zh) * | 2022-04-20 | 2022-07-22 | 深圳鲲云信息科技有限公司 | 一种dma控制器和方法 |
| CN114936373A (zh) * | 2022-04-25 | 2022-08-23 | 国电南瑞南京控制系统有限公司 | 一种可信安全芯片、可信数据处理系统及方法 |
| CN115118419A (zh) * | 2022-08-25 | 2022-09-27 | 广州万协通信息技术有限公司 | 安全芯片的数据传输方法、安全芯片装置、设备及介质 |
| CN115396121A (zh) * | 2022-10-26 | 2022-11-25 | 广州万协通信息技术有限公司 | 安全芯片ota数据包的安全认证方法及安全芯片装置 |
| CN115549911A (zh) * | 2022-11-28 | 2022-12-30 | 苏州浪潮智能科技有限公司 | 一种加解密架构、方法、处理器和服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150363333A1 (en) * | 2014-06-16 | 2015-12-17 | Texas Instruments Incorporated | High performance autonomous hardware engine for inline cryptographic processing |
-
2023
- 2023-02-17 CN CN202310136232.9A patent/CN115994106B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105279439A (zh) * | 2014-06-20 | 2016-01-27 | 赛普拉斯半导体公司 | 用于就地执行的存储器的加密方法 |
| CN107590402A (zh) * | 2017-09-26 | 2018-01-16 | 杭州中天微系统有限公司 | 一种存储数据加解密装置及方法 |
| CN108345806A (zh) * | 2017-12-14 | 2018-07-31 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 一种硬件加密卡和加密方法 |
| CN108628791A (zh) * | 2018-05-07 | 2018-10-09 | 北京智芯微电子科技有限公司 | 基于pcie接口的高速安全芯片架构和高速的数据处理方法 |
| CN109067523A (zh) * | 2018-07-28 | 2018-12-21 | 杭州电子科技大学 | 一种加密卡的数据加密方法 |
| CN110765498A (zh) * | 2018-07-28 | 2020-02-07 | 陈其钗 | 一种加密计算机 |
| CN112214795A (zh) * | 2020-10-13 | 2021-01-12 | 天津津航计算技术研究所 | 一种适用于多种数据带宽的加密模块 |
| CN112613053A (zh) * | 2020-12-25 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 一种数据加解密方法及装置 |
| CN114780460A (zh) * | 2022-04-20 | 2022-07-22 | 深圳鲲云信息科技有限公司 | 一种dma控制器和方法 |
| CN114936373A (zh) * | 2022-04-25 | 2022-08-23 | 国电南瑞南京控制系统有限公司 | 一种可信安全芯片、可信数据处理系统及方法 |
| CN114662136A (zh) * | 2022-05-25 | 2022-06-24 | 广州万协通信息技术有限公司 | 一种基于pcie通道的多算法ip核的高速加解密系统及方法 |
| CN115118419A (zh) * | 2022-08-25 | 2022-09-27 | 广州万协通信息技术有限公司 | 安全芯片的数据传输方法、安全芯片装置、设备及介质 |
| CN115396121A (zh) * | 2022-10-26 | 2022-11-25 | 广州万协通信息技术有限公司 | 安全芯片ota数据包的安全认证方法及安全芯片装置 |
| CN115549911A (zh) * | 2022-11-28 | 2022-12-30 | 苏州浪潮智能科技有限公司 | 一种加解密架构、方法、处理器和服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115994106A (zh) | 2023-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103210396B (zh) | 包括用于保护敏感代码和数据的架构的方法和装置 | |
| CN1914849B (zh) | 受信移动平台体系结构 | |
| CN105450620A (zh) | 一种信息处理方法及装置 | |
| CN103973431B (zh) | 一种基于OpenCL的AES并行化实现方法 | |
| CN110990186A (zh) | 片上系统、操作片上系统的方法和存储系统 | |
| CN102118512A (zh) | 一种手机应用程序防破解方法及系统 | |
| CN102347834A (zh) | 受信移动平台体系结构 | |
| US20160188874A1 (en) | System and method for secure code entry point control | |
| US11010494B2 (en) | Preemption of a container in a secure computation environment | |
| JP4591163B2 (ja) | バスアクセス制御装置 | |
| CN107832635A (zh) | 访问权限控制方法、装置、设备及计算机可读存储介质 | |
| CN113743955A (zh) | 基于智能合约的食材溯源数据安全访问控制方法 | |
| CN115994106B (zh) | 一种海量数据加解密方法、数据安全装置以及电子设备 | |
| CN107589999B (zh) | 一种天地一体化工程中进程通信安全通道建立方法 | |
| CN105933111A (zh) | 一种基于OpenCL的Bitslicing-KLEIN的快速实现方法 | |
| KR20200075451A (ko) | 디바이스 고유암호키 생성기 및 방법 | |
| CN116226940B (zh) | 一种基于pcie的数据安全处理方法以及数据安全处理系统 | |
| CN116028958B (zh) | 一种密钥加解密方法、装置、安全机以及介质 | |
| EP3572962B1 (en) | Multi-master security circuit | |
| JP2007109053A (ja) | バスアクセス制御装置 | |
| CN115022076A (zh) | 一种数据加/解密方法、装置、系统及介质 | |
| US20230020255A1 (en) | Terminating Distributed Trusted Execution Environment via Self-Isolation | |
| CN116049855B (zh) | 一种数据加解密方法、安全芯片、电子设备以及介质 | |
| CN113536254A (zh) | 资源权限配置方法、装置、计算机设备和存储介质 | |
| WO2021165962A1 (en) | System and method for generation of a disposable software module for cryptographic material protection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |