CN116028958A - 一种密钥加解密方法、装置、安全机以及介质 - Google Patents
一种密钥加解密方法、装置、安全机以及介质 Download PDFInfo
- Publication number
- CN116028958A CN116028958A CN202310150645.2A CN202310150645A CN116028958A CN 116028958 A CN116028958 A CN 116028958A CN 202310150645 A CN202310150645 A CN 202310150645A CN 116028958 A CN116028958 A CN 116028958A
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- target
- module
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000015654 memory Effects 0.000 claims abstract description 116
- 238000003860 storage Methods 0.000 claims abstract description 32
- 231100000279 safety data Toxicity 0.000 claims abstract description 12
- 238000004891 communication Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 claims description 4
- 239000002609 medium Substances 0.000 description 16
- 230000008569 process Effects 0.000 description 14
- 238000012545 processing Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000005336 cracking Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000012120 mounting media Substances 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Abstract
本申请实施例公开了一种密钥加解密方法、装置、安全机以及介质,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器,能够满足大量密钥的存储需求;通过从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,依靠于DDR存储器支持快速读写操作的特性,能够满足安全芯片高速运算的需求,提高运算效率;通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据,保障数据安全。
Description
技术领域
本申请实施例涉及数据安全技术领域,尤其涉及一种密钥加解密方法、装置、安全机以及介质。
背景技术
随着信息技术的快速发展,数据安全在各个领域的应用也显得日益重要。数据安全通常是通过加解密运算来保障数据的传输安全,例如,服务器可以通过配置安全芯片来对数据进行加解密处理,而面对海量的加解密数据,安全芯片往往需要生成大量密钥来完成加解密运算。
然而,相关技术中,安全芯片主要通过片内密钥管理模块来生成并存储密钥,由于片内存储资源有限,所能存储的密钥数量较少,为了满足大量的加解密请求需要频繁启动密钥管理模块更新密钥,影响处理效率,而通过增加安全芯片内部存储单元,会增加芯片面积,进而增加了安全芯片的成本,降低产品的竞争力。此外,通过外挂片外存储资源来存储大量密钥,会存在读写速度较慢,无法满足安全芯片高速运算的需求。
发明内容
本申请实施例提供一种密钥加解密方法、装置、安全机以及介质,通过将安全芯片生成的密钥存储在外部安全机的DDR存储器中,能够满足大量密钥的存储需求,同时,基于DDR存储器支持快速读写操作的特性,从DDR存储器中调用密钥进行加解密运算,能够满足安全芯片高速运算的需求,提高运算效率。
在第一方面,本申请实施例提供了一种密钥加解密方法,应用于密钥加解密装置,所述方法包括:
响应于密钥生成指令,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器;
响应于算法运算请求,从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,其中所述运算请求信息包括配置参数以及待处理数据;
通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据。
可选的,所述将所述第一密钥通过安全数据通道输出到外部的DDR存储器,具体包括:
将所述第一密钥存储至片外存储器,并通过所述密钥管理模块生成加密密钥,并将所述加密密钥存储至所述加密密钥存储器,其中,所述加密密钥用于对密钥进行加解密;
通过所述密钥管理模块从所述片外存储器中读取第二密钥,并根据预设选定原则通过所述密钥管理模块从所述加密密钥存储器中读取目标加密密钥,以及通过所述密钥管理模块利用所述目标加密密钥对所述第二密钥进行加密得到安全密钥,将所述安全密钥通过安全数据通道输出到外部的DDR存储器;
所述从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,具体包括:
从所述DDR存储器中读取目标安全密钥,将所述目标安全密钥通过高速数据通道输入到密钥解密模块,并通过密钥解密模块利用与所述目标安全密钥对应的目标解密密钥对所述目标安全密钥进行解密得到目标密钥;
将与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块。
可选的,所述根据预设选定原则通过所述密钥管理模块从所述加密密钥存储器中读取目标加密密钥,具体包括:
根据预设匹配关系通过所述密钥管理模块从所述加密密钥存储器中读取与所述第二密钥相匹配的目标加密密钥;
或,
根据预设时段关系通过所述密钥管理模块从所述加密密钥存储器中读取与当前时段相匹配的目标加密密钥。
可选的,在将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块之前,还包括:
根据预设分配原则通过所述调度模块从处于空闲状态的算法运算模块中确定目标运算模块。
可选的,所述根据预设分配原则通过所述调度模块从处于空闲状态的算法运算模块中确定目标运算模块,具体包括:
根据预设编号顺序通过所述调度模块从处于空闲状态的算法运算模块中确定编号最小的算法运算模块作为目标运算模块;
或,
根据所述算法运算请求对应的算法类型通过所述调度模块确定满足所述算法类型的算法运算模块作为目标运算模块。
可选的,还包括:
响应于密钥更新指令,通过所述密钥管理模块重新生成新的密钥以及新的加密密钥,并将所述新的密钥存储至片外存储器,以及将所述新的加密密钥存储至所述加密密钥存储器。
可选的,还包括:
将所述安全数据通过高速数据通道输入所述DDR存储器。
在第二方面,本申请实施例提供了一种应用本申请任一实施例所述密钥加解密方法的密钥加解密装置,所述密钥加解密装置包括安全芯片以及片外存储器,所述安全芯片包括第一PCIE接口、密钥管理模块、至少一个算法运算模块、加密密钥存储器、密钥解密模块以及调度模块;所述第一PCIE接口、所述密钥解密模块、所述算法运算模块以及所述调度模块之间通过高速数据通道连接;所述第一PCIE接口与所述密钥管理模块之间通过安全数据通道连接。
在第三方面,本申请实施例提供了一种安全机,所述安全机包括:处理器、DDR存储器、通信模块、输入装置、输出装置、第二PCIE接口以及本申请任一实施例所述的密钥加解密装置。
在第四方面,本申请实施例提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本申请任一实施例所述的密钥加解密方法。
本申请实施例中,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器,能够满足大量密钥的存储需求;通过从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,依靠于DDR存储器支持快速读写操作的特性,能够满足安全芯片高速运算的需求,提高运算效率;通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据,保障数据安全。
附图说明
图1是本申请实施例提供的一种密钥加解密装置的结构示意图;
图2是本申请实施例提供的一种密钥加解密方法的流程图;
图3是本申请实施例提供的另一种密钥加解密方法的流程图;
图4是本申请实施例提供的另一种密钥加解密方法的流程图;
图5是本申请实施例提供的一种安全机的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图对本申请具体实施例作进一步的详细描述。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
随着信息技术的快速发展,数据安全在各个领域的应用也显得日益重要。数据安全通常是通过加解密运算来保障数据的传输安全,例如,服务器可以通过配置安全芯片来对数据进行加解密处理,而面对海量的加解密数据,安全芯片往往需要生成大量密钥来完成加解密运算。
然而,相关技术中,安全芯片主要通过片内密钥管理模块来生成并存储密钥,由于片内存储资源有限,所能存储的密钥数量较少,为了满足大量的加解密请求需要频繁启动密钥管理模块更新密钥,影响处理效率,而通过增加安全芯片内部存储单元,会增加芯片面积,进而增加了安全芯片的成本,降低产品的竞争力。此外,通过外挂片外存储资源来存储大量密钥,会存在读写速度较慢,无法满足安全芯片高速运算的需求。
基于此,本申请实施例提供一种密钥加解密方法、装置、安全机以及介质,解决安全芯片内部存储资源有限以及片外存储读写速度慢的问题。
图1给出了本申请实施例提供的一种密钥加解密装置100的结构示意图,其中,密钥加解密装置100可以通过硬件单元组合的方式实现,该密钥加解密装置100可以是由多个物理实体构成。
参照图1,该密钥加解密装置100包括安全芯片110以及片外存储器120,安全芯片110包括第一PCIE接口111、密钥管理模块112、至少一个算法运算模块113、加密密钥存储器114、密钥解密模块115以及调度模块116;第一PCIE接口111、密钥解密模块115、算法运算模块113以及调度模块116之间通过高速数据通道连接;第一PCIE接口111与密钥管理模块112之间通过安全数据通道连接。该密钥加解密装置100可用于执行本申请任一实施例的密钥加解密方法,具备相应的功能和有益效果。
具体的,图2给出了本申请实施例提供的一种密钥加解密方法的流程图,本实施例中提供的密钥加解密方法可以由密钥加解密装置执行,下述以密钥加解密装置为执行密钥管理以及数据加解密的主体为例,进行描述。参照图2,该密钥加解密方法具体包括:
S210、响应于密钥生成指令,通过密钥管理模块生成第一密钥,并将第一密钥通过安全数据通道输出到外部的DDR存储器。
值得说明的是,密钥加解密装置搭载于安全机,安全机可以接收用户操作来利用密钥加解密装置进行密钥管理以及对数据进行加解密处理,其中,安全机可以是服务器、通用计算机或其他可编程数据处理设备。密钥加解密装置可以执行对密钥进行管理以及对数据进行加解密的功能,在用户通过安全机向密钥加解密装置下达密钥生成指令后,密钥加解密装置内的密钥管理模块根据该指令内容生成第一密钥,第一密钥可以是对称密钥,也可以是非对称密钥。用户可以在执行数据加解密任务前,生成多个第一密钥以供后续数据加解密的密钥选取。此外,生成后的第一密钥通过安全数据通道输出到外部的DDR存储器上,其中,由于DDR存储器可以内置于安全机,相对于密钥加解密装置而言属于外部设备,而将第一密钥输出到DDR存储器会存在潜在数据泄露风险,因而设置有安全数据通道。安全数据通道可以通过利用加密的总线通信地址,也可以是通过增加身份验证的通信信号来提高该数据通道的安全等级。
这样可以减少第一密钥被非法窃取的风险,保障第一密钥与DDR存储器之间传输路径的安全性,实现批量密钥的安全存储。
S220、响应于算法运算请求,从DDR存储器中读取目标密钥,并将目标密钥以及与算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,其中运算请求信息包括配置参数以及待处理数据。
其中,在密钥加解密装置完成第一密钥输出后,安全机可以开始下发数据加解密任务,通过算法运算请求与密钥加解密装置建立通信连接,根据该算法运算请求对应的加解密需求,密钥加解密装置从DDR存储器中读取目标密钥,将目标密钥以及运算请求信息通过高速数据通道输入目标运算模块,其中高速数据通道相较于前述安全数据通道而言,简化通信安全的信号交互设置,保障数据实时传输的速度。
这样可以实现密钥加解密装置从DDR存储器中快速调用目标密钥,并同步接收算法运算请求对应的运算请求信息,通过目标运算模块来进行下一步的数据处理过程,满足芯片高速运算的需求。
进一步地,在将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块之前,还包括以下实施过程:
根据预设分配原则通过调度模块从处于空闲状态的算法运算模块中确定目标运算模块。具体的,可以根据预设编号顺序通过调度模块从处于空闲状态的算法运算模块中确定编号最小的算法运算模块作为目标运算模块;也可以,根据算法运算请求对应的算法类型通过调度模块确定满足算法类型的算法运算模块作为目标运算模块。
其中,由于密钥加解密装置包括多个运算模块,密钥加解密装置可以支持多个运算模块的并行运算,调度模块可以通过通信总线获取到运算模块的运行状态,并确认哪些运算模块处于空闲状态。再通过预设分配原则从处于空闲状态的运算模块中确认目标运算模块,而多个运算模块在初始化时可以预置顺序编号,在实际运算过程中,调度模块从确认到的处于空闲状态的运算模块中,选择编号最小的运算模块来分配任务;而当运算模块划分为不同处理类型时,调度模块可以根据所接收的算法类型来选择满足该算法类型的运算模块,当然,预设分配原则还可以遵从其它的分配策略,本申请在此不作限制。
这样可以保障调度模块合理确认目标运算模块,有序进行算法运算请求的分配,保障密钥加解密装置的多路数据并行处理的正常执行。
S230、通过目标运算模块利用配置参数以及目标密钥对待处理数据进行加解密运算得到安全数据。
上述,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器,能够满足大量密钥的存储需求;通过从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,依靠于DDR存储器支持快速读写操作的特性,能够满足安全芯片高速运算的需求,提高运算效率;通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据,保障数据安全。
进一步地,由于密钥加解密装置到DDR存储器的数据传输路径仍存在数据泄露以及数据被破解的风险,图3为本申请实施例提供另一种密钥加解密方法的流程图,在前述实施例的基础上,参照图3,步骤S210的具体实施过程包括:
S211、响应于密钥生成指令,通过密钥管理模块生成第一密钥,将第一密钥存储至片外存储器;
S212、通过密钥管理模块生成加密密钥,并将加密密钥存储至加密密钥存储器,其中,加密密钥用于对密钥进行加解密;
S213、通过密钥管理模块从片外存储器中读取第二密钥,并根据预设选定原则通过密钥管理模块从加密密钥存储器中读取目标加密密钥,以及通过密钥管理模块利用目标加密密钥对第二密钥进行加密得到安全密钥,将安全密钥通过安全数据通道输出到外部的DDR存储器。
值得说明的是,密钥管理模块可以用于生成第一密钥,也可以用于生成加密密钥,批量生成第一密钥后可以将第一密钥暂存至片外存储器,而生成加密密钥后,可以存储到加密密钥存储器。在相关密钥准备好后,密钥管理模块可以从片外存储器读取第二密钥,其中第二密钥来自于所存储的第一密钥,在将该第二密钥存储到DDR存储器之前,先从加密密钥存储器中读取目标加密密钥,利用该目标加密密钥对第二密钥进行加密得到安全密钥,相当于第二密钥以加密后的安全密钥的形式存储到DDR存储器中。这样可以有效增加密钥存储的安全性,降低密钥被篡改或破解的风险。
对应的,密钥管理模块所生成的密钥在加密后存储到DDR存储器后,步骤220的具体实施过程包括:
S221、响应于算法运算请求,从DDR存储器中读取目标安全密钥,将目标安全密钥通过高速数据通道输入到密钥解密模块,并通过密钥解密模块利用与目标安全密钥对应的目标解密密钥对目标安全密钥进行解密得到目标密钥;
S222、将与算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块。
其中,在前述实施例的基础上,从DDR存储器中调用加密后的密钥需要加密后才能使用,因此在实际执行数据加解密任务时,需要将从DDR存储器中读取到的目标安全密钥,先通过高速数据通道输入到密钥解密模块,并利用与该目标安全密钥对应的目标解密密钥对该目标安全密钥进行解密得到目标密钥,其中目标解密密钥为密钥解密模块从加密密钥存储器中获取到。
这样,将加密后的密钥在安全芯片内部解密后再使用,可以有效保障密钥的安全使用,降低密钥被窃取的风险。
可选的,在前述实施例的基础上,根据预设选定原则通过密钥管理模块从加密密钥存储器中读取目标加密密钥,具体包括:
根据预设匹配关系通过密钥管理模块从加密密钥存储器中读取与第二密钥相匹配的目标加密密钥;
或,
根据预设时段关系通过密钥管理模块从加密密钥存储器中读取与当前时段相匹配的目标加密密钥。
值得说明的是,该预设匹配关系可以是根据第二密钥所对应的算法应用来对应匹配加密密钥,而预设时段关系可以是按小时或按天等对应不同时段应用不同的加密密钥,这样可以根据用户的实际需求,灵活制定加密密钥的选定策略,有效进行密钥的加密管理。
进一步地,为了避免因重复使用同一密钥而造成数据破解风险,图4给出了本申请实施例提供另一种密钥加解密方法的流程图,在前述实施例的基础上,参照图4,还包括:
S240、响应于密钥更新指令,通过所述密钥管理模块重新生成新的密钥以及新的加密密钥;
S250、将所述新的密钥存储至片外存储器,以及将所述新的加密密钥存储至所述加密密钥存储器。
这样可以提高密钥应用的安全性,增强密钥使用的随机性,保障数据安全。
可选的,在前述实施例的基础上,还包括:
将所述安全数据通过高速数据通道输入所述DDR存储器。
这样DDR存储器还可以作为安全数据输出的暂存单元,方便安全机对于安全数据的导出,也保障密钥加解密装置的数据输出速率,满足该装置的高速运算需求。
图5为本申请实施例提供的一种安全机500的结构示意图,参照图5,该安全机500包括:处理器510、DDR存储器520、通信模块530、输入装置540、输出装置550以及本申请任一实施例中所述的密钥加解密装置100。该安全机500中处理器510的数量可以是一个或者多个,该安全机500中的DDR存储器520的数量可以是一个或者多个,密钥加解密装置100的数量可以是一个或者多个。该安全机500的处理器510、DDR存储器520、通信模块530、输入装置540、输出装置550以及密钥加解密装置100可以通过总线或其他方式连接。
存储器作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本申请任意实施例所述的密钥加解密方法对应的程序指令/模块。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
通信模块用于进行数据传输。
处理器通过运行存储在存储器中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,结合安全芯片的作用,可实现上述的密钥加解密方法。
输入装置可用于接收输入的数字或字符信息,以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置可包括显示屏等显示设备。
上述提供的电子设备可用于执行上述任一实施例提供的密钥加解密方法,具备相应的功能和有益效果。
本申请实施例还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行密钥加解密方法,该加解密方法包括:调响应于密钥生成指令,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器;响应于算法运算请求,从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,其中所述运算请求信息包括配置参数以及待处理数据;通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据。
存储介质——任何的各种类型的存储器设备或存储设备。术语“存储介质”旨在包括:安装介质,例如CD-ROM、软盘或磁带装置;计算机系统存储器或随机存取存储器,诸如DRAM、DDR RAM、SRAM、EDO RAM,兰巴斯(Rambus)RAM等;非易失性存储器,诸如闪存、磁介质(例如硬盘或光存储);寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外,存储介质可以位于程序在其中被执行的第一计算机系统中,或者可以位于不同的第二计算机系统中,第二计算机系统通过网络(诸如因特网)连接到第一计算机系统。第二计算机系统可以提供程序指令给第一计算机用于执行。术语“存储介质”可以包括驻留在不同位置中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。
当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的密钥加解密方法,还可以执行本申请任意实施例所提供的密钥加解密方法中的相关操作。
上述实施例中提供的存储介质及电子设备可执行本申请任意实施例所提供的密钥加解密方法,未在上述实施例中详尽描述的技术细节,可参见本申请任意实施例所提供的密钥加解密方法。
需要说明的是,本方案中对各步骤的编号仅用于描述本方案的整体设计框架,不表示步骤之间的必然先后关系。在整体实现过程符合本方案整体设计框架的基础上,均属于本方案的保护范围,描述时文字形式上的先后顺序不是对本方案具体实现过程的排他限定。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。
因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种密钥加解密方法,其特征在于,应用于密钥加解密装置,所述方法包括:
响应于密钥生成指令,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器;
响应于算法运算请求,从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,其中所述运算请求信息包括配置参数以及待处理数据;
通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据。
2.根据权利要求1所述的密钥加解密方法,其特征在于,所述将所述第一密钥通过安全数据通道输出到外部的DDR存储器,具体包括:
将所述第一密钥存储至片外存储器,并通过所述密钥管理模块生成加密密钥,并将所述加密密钥存储至所述加密密钥存储器,其中,所述加密密钥用于对密钥进行加解密;
通过所述密钥管理模块从所述片外存储器中读取第二密钥,并根据预设选定原则通过所述密钥管理模块从所述加密密钥存储器中读取目标加密密钥,以及通过所述密钥管理模块利用所述目标加密密钥对所述第二密钥进行加密得到安全密钥,将所述安全密钥通过安全数据通道输出到外部的DDR存储器;
所述从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,具体包括:
从所述DDR存储器中读取目标安全密钥,将所述目标安全密钥通过高速数据通道输入到密钥解密模块,并通过密钥解密模块利用与所述目标安全密钥对应的目标解密密钥对所述目标安全密钥进行解密得到目标密钥;
将与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块。
3.根据权利要求2所述的密钥加解密方法,其特征在于,所述根据预设选定原则通过所述密钥管理模块从所述加密密钥存储器中读取目标加密密钥,具体包括:
根据预设匹配关系通过所述密钥管理模块从所述加密密钥存储器中读取与所述第二密钥相匹配的目标加密密钥;
或,
根据预设时段关系通过所述密钥管理模块从所述加密密钥存储器中读取与当前时段相匹配的目标加密密钥。
4.根据权利要求1所述的密钥加解密方法,其特征在于,在将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块之前,还包括:
根据预设分配原则通过所述调度模块从处于空闲状态的算法运算模块中确定目标运算模块。
5.根据权利要求4所述的密钥加解密方法,其特征在于,所述根据预设分配原则通过所述调度模块从处于空闲状态的算法运算模块中确定目标运算模块,具体包括:
根据预设编号顺序通过所述调度模块从处于空闲状态的算法运算模块中确定编号最小的算法运算模块作为目标运算模块;
或,
根据所述算法运算请求对应的算法类型通过所述调度模块确定满足所述算法类型的算法运算模块作为目标运算模块。
6.根据权利要求2所述的密钥加解密方法,其特征在于,还包括:
响应于密钥更新指令,通过所述密钥管理模块重新生成新的密钥以及新的加密密钥,并将所述新的密钥存储至片外存储器,以及将所述新的加密密钥存储至所述加密密钥存储器。
7.根据权利要求1所述的密钥加解密方法,其特征在于,还包括:
将所述安全数据通过高速数据通道输入所述DDR存储器。
8.一种应用权利要求1至7任一项所述密钥加解密方法的密钥加解密装置,其特征在于,所述密钥加解密装置包括安全芯片以及片外存储器,所述安全芯片包括第一PCIE接口、密钥管理模块、至少一个算法运算模块、加密密钥存储器、密钥解密模块以及调度模块;所述第一PCIE接口、所述密钥解密模块、所述算法运算模块以及所述调度模块之间通过高速数据通道连接;所述第一PCIE接口与所述密钥管理模块之间通过安全数据通道连接。
9.一种安全机,其特征在于,所述安全机包括:处理器、DDR存储器、通信模块、输入装置、输出装置、第二PCIE接口以及权利要求8所述的密钥加解密装置。
10.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1至7任一项所述的密钥加解密方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310150645.2A CN116028958B (zh) | 2023-02-21 | 2023-02-21 | 一种密钥加解密方法、装置、安全机以及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310150645.2A CN116028958B (zh) | 2023-02-21 | 2023-02-21 | 一种密钥加解密方法、装置、安全机以及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116028958A true CN116028958A (zh) | 2023-04-28 |
| CN116028958B CN116028958B (zh) | 2024-04-12 |
Family
ID=86076245
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310150645.2A Active CN116028958B (zh) | 2023-02-21 | 2023-02-21 | 一种密钥加解密方法、装置、安全机以及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116028958B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050182952A1 (en) * | 2004-02-12 | 2005-08-18 | Sony Corporation | Information processing apparatus and method and computer program |
| CN104012030A (zh) * | 2011-12-21 | 2014-08-27 | 英特尔公司 | 用于保护对称加密密钥的系统及方法 |
| CN106301774A (zh) * | 2015-05-29 | 2017-01-04 | 联芯科技有限公司 | 安全芯片、其加密秘钥生成方法和加密方法 |
| US20170039397A1 (en) * | 2015-08-06 | 2017-02-09 | Kabushiki Kaisha Toshiba | Encryption/decryption apparatus, controller and encryption key protection method |
| US20190052634A1 (en) * | 2017-08-08 | 2019-02-14 | American Megatrends, Inc. | Dynamic generation of key for encrypting data in management node |
| CN109583196A (zh) * | 2018-11-28 | 2019-04-05 | 北京可信华泰信息技术有限公司 | 一种密钥生成方法 |
| CN109768862A (zh) * | 2019-03-12 | 2019-05-17 | 北京深思数盾科技股份有限公司 | 一种密钥管理方法、密钥调用方法及密码机 |
| CN110971398A (zh) * | 2018-09-28 | 2020-04-07 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| CN113574828A (zh) * | 2019-03-29 | 2021-10-29 | 华为技术有限公司 | 一种安全芯片、安全处理方法及相关设备 |
| CN113890728A (zh) * | 2021-08-27 | 2022-01-04 | 苏州浪潮智能科技有限公司 | 基于fpga加密卡的密钥处理方法、系统、设备及介质 |
| CN114528603A (zh) * | 2022-04-24 | 2022-05-24 | 广州万协通信息技术有限公司 | 嵌入式系统的隔离动态保护方法、装置、设备和存储介质 |
-
2023
- 2023-02-21 CN CN202310150645.2A patent/CN116028958B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050182952A1 (en) * | 2004-02-12 | 2005-08-18 | Sony Corporation | Information processing apparatus and method and computer program |
| CN104012030A (zh) * | 2011-12-21 | 2014-08-27 | 英特尔公司 | 用于保护对称加密密钥的系统及方法 |
| CN106301774A (zh) * | 2015-05-29 | 2017-01-04 | 联芯科技有限公司 | 安全芯片、其加密秘钥生成方法和加密方法 |
| US20170039397A1 (en) * | 2015-08-06 | 2017-02-09 | Kabushiki Kaisha Toshiba | Encryption/decryption apparatus, controller and encryption key protection method |
| US20190052634A1 (en) * | 2017-08-08 | 2019-02-14 | American Megatrends, Inc. | Dynamic generation of key for encrypting data in management node |
| CN110971398A (zh) * | 2018-09-28 | 2020-04-07 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| CN109583196A (zh) * | 2018-11-28 | 2019-04-05 | 北京可信华泰信息技术有限公司 | 一种密钥生成方法 |
| CN109768862A (zh) * | 2019-03-12 | 2019-05-17 | 北京深思数盾科技股份有限公司 | 一种密钥管理方法、密钥调用方法及密码机 |
| CN113574828A (zh) * | 2019-03-29 | 2021-10-29 | 华为技术有限公司 | 一种安全芯片、安全处理方法及相关设备 |
| CN113890728A (zh) * | 2021-08-27 | 2022-01-04 | 苏州浪潮智能科技有限公司 | 基于fpga加密卡的密钥处理方法、系统、设备及介质 |
| CN114528603A (zh) * | 2022-04-24 | 2022-05-24 | 广州万协通信息技术有限公司 | 嵌入式系统的隔离动态保护方法、装置、设备和存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 李美峰;戴冠中;刘航;石峰;: "加密芯片中密钥获取模块的设计与FPGA实现", 计算机工程与应用, no. 09 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116028958B (zh) | 2024-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110245506B (zh) | 基于区块链的智能合约管理方法及装置、电子设备 | |
| CN110278078B (zh) | 一种数据处理方法、装置及系统 | |
| KR101712784B1 (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
| CN111008228A (zh) | 区块链中账户隐私信息的查询方法及装置 | |
| CN109886682B (zh) | 区块链中实现合约调用的方法及节点、存储介质 | |
| CN110008735B (zh) | 区块链中实现合约调用的方法及节点、存储介质 | |
| CN105450620A (zh) | 一种信息处理方法及装置 | |
| US11520905B2 (en) | Smart data protection | |
| WO2020042798A1 (zh) | 密码运算、创建工作密钥的方法、密码服务平台及设备 | |
| CN111274611A (zh) | 数据脱敏方法、装置及计算机可读存储介质 | |
| US11226906B2 (en) | Devices and methods for secured processors | |
| CN105283921A (zh) | 非易失性存储器的操作 | |
| CN108763401A (zh) | 一种文件的读写方法及设备 | |
| WO2017067513A1 (zh) | 数据处理方法及存储网关 | |
| CN111628863B (zh) | 一种数据签名的方法、装置、电子设备及存储介质 | |
| CN116028958B (zh) | 一种密钥加解密方法、装置、安全机以及介质 | |
| CN116226940B (zh) | 一种基于pcie的数据安全处理方法以及数据安全处理系统 | |
| CN111783071A (zh) | 基于密码、基于隐私数据的验证方法、装置、设备及系统 | |
| CN115994106B (zh) | 一种海量数据加解密方法、数据安全装置以及电子设备 | |
| CN111639353B (zh) | 一种数据管理方法、装置、嵌入式设备及存储介质 | |
| CN113515773A (zh) | 一种应用于单片机系统的图像内容保护模块及方法 | |
| CN114254335A (zh) | 基于gpu的加密方法、装置、加密设备及存储介质 | |
| CN116506188B (zh) | 一种基于b/s架构的非对称加密算法的操作方法和系统 | |
| CN117375804B (zh) | 一种密钥派生方法、相关设备及存储介质 | |
| CN116049855B (zh) | 一种数据加解密方法、安全芯片、电子设备以及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |