CN116226940A - 一种基于pcie的数据安全处理方法以及数据安全处理系统 - Google Patents

一种基于pcie的数据安全处理方法以及数据安全处理系统 Download PDF

Info

Publication number
CN116226940A
CN116226940A CN202211575201.5A CN202211575201A CN116226940A CN 116226940 A CN116226940 A CN 116226940A CN 202211575201 A CN202211575201 A CN 202211575201A CN 116226940 A CN116226940 A CN 116226940A
Authority
CN
China
Prior art keywords
pcie
data
processed
bus
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211575201.5A
Other languages
English (en)
Other versions
CN116226940B (zh
Inventor
林坤怡
罗永基
张子桓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Wise Security Technology Co Ltd
Original Assignee
Guangzhou Wise Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Wise Security Technology Co Ltd filed Critical Guangzhou Wise Security Technology Co Ltd
Priority to CN202211575201.5A priority Critical patent/CN116226940B/zh
Priority claimed from CN202211575201.5A external-priority patent/CN116226940B/zh
Publication of CN116226940A publication Critical patent/CN116226940A/zh
Application granted granted Critical
Publication of CN116226940B publication Critical patent/CN116226940B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2213/00Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F2213/0026PCI express
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

本申请实施例公开了一种基于PCIE的数据安全处理方法以及数据安全处理系统。主控制模块通过第一PCIE接口接收第一PCIE总线中每个PCIE密码模块对应的当前任务量信息,为待处理数据分配第二PCIE接口地址;PCIE桥芯片通过第一PCIE总线接收待处理数据,并将待处理数据转发至第二PCIE接口;PCIE密码模块的算法模块根据待处理数据的处理类型标识进行对应的数据的加密或解密操作得到安全数据;PCIE桥芯片通过第二PCIE总线接收安全数据,并将安全数据转发至第一PCIE总线;主控制模块接收第一PCIE总线中安全数据。采用上述技术手段,能够支持针对大量网络通信连接的签名验签运算,也能够高速稳定地对海量数据进行加密解密运算,提高数据安全处理效率,也增强通信连接的安全性及可靠性。

Description

一种基于PCIE的数据安全处理方法以及数据安全处理系统
技术领域
本申请实施例涉及数据安全技术领域,尤其涉及一种基于PCIE的数据安全处理方法以及数据安全处理系统。
背景技术
随着信息技术的快速发展,数字信息系统也开始广泛地在各个领域进行渗透和应用,其中,数字信息系统在业务处理过程中会产生大量网络通信连接,这会涉及到多个通信端,如果存在非法通信端的恶意接入或劫持,会导致数据被窃取或者篡改,因而需要对网络通信连接的通信双方进行身份验证;此外,通信过程中还会涉及对所产生的海量数据进行传输,如果直接对未经过安全处理的海量数据进行传输,会容易造成数据被窃取后直接进行非法利用,进而泄露用户隐私以及相关核心数据,造成不可估量的经济损失,因而在进行海量数据传输的过程中,需要对海量数据进行加密解密。
然而,相关技术中,硬件形式的加密产品应用于诸如安全网关、加密机和服务器等等,往往需要付出高额成本的硬件部署才能支持大量网络通信连接中基于签名验签运算的身份安全认证,以及海量数据的加密解密运算;而软件形式的加密产品通常是基于微处理器的软件进行数据处理,因微处理器的性能限制而无法支持针对大量网络通信连接的签名验签运算,也无法高速稳定地对海量数据进行加密解密运算。
发明内容
本申请实施例提供一种基于PCIE的数据安全处理方法以及数据安全处理系统,通过多个PCIE密码模块的同步作业,以及待处理数据的合理分配机制,能够支持针对大量网络通信连接的签名验签运算,也能够高速稳定地对海量数据进行加密解密运算,提高数据安全处理效率,也增强通信连接的安全性以及可靠性。
在第一方面,本申请实施例提供了一种基于PCIE的数据安全处理方法,该方法应用于基于PCIE的数据安全处理系统,所述数据安全处理系统包括主控制模块、第一PCIE接口、第一PCIE总线、PCIE桥芯片、第二PCIE总线、多个PCIE密码模块;每个所述PCIE密码模块包括处理器、算法模块、第三PCIE总线以及第二PCIE接口,其中,所述处理器、所述算法模块以及所述第二PCIE接口均与所述第三PCIE总线通信连接;
所述主控制模块通过所述第一PCIE接口与所述第一PCIE总线通信连接,所述第一PCIE总线以及所述第二PCIE总线均与所述PCIE桥芯片通信连接,所述第二PCIE总线与每个所述PCIE密码模块通过所述第二PCIE接口通信连接;
所述方法包括:
所述主控制模块通过所述第一PCIE接口接收所述第一PCIE总线中每个所述PCIE密码模块对应的当前任务量信息,其中所述当前任务量信息包括所述PCIE密码模块对应的第二PCIE接口地址以及当前任务量数据;
所述主控制模块根据接收到的所述PCIE密码模块对应的当前任务量信息以及待处理数据,为所述待处理数据分配第二PCIE接口地址;将所述待处理数据通过所述第一PCIE接口传送至所述第一PCIE总线;
所述PCIE桥芯片通过所述第一PCIE总线接收所述待处理数据,并通过所述第二PCIE总线将所述待处理数据转发至所述第二PCIE接口地址对应的第二PCIE接口,以使对应的第三PCIE总线接收所述待处理数据;
所述PCIE密码模块的算法模块通过所述第三PCIE总线接收所述待处理数据,并根据所述待处理数据的处理类型标识进行对应的数据的加密或解密操作得到安全数据;将所述安全数据通过所述第三PCIE总线以及所述第二PCIE接口传送至所述第二PCIE总线以使所述PCIE桥芯片接收所述安全数据;
所述PCIE桥芯片通过所述第二PCIE总线接收所述安全数据,并将所述安全数据转发至所述第一PCIE总线;
所述主控制模块通过所述第一PCIE接口从所述第一PCIE总线中接收所述安全数据。
在第二方面,本申请实施例提供了一种基于PCIE的数据安全处理系统,所述数据安全处理系统包括主控制模块、第一PCIE接口、第一PCIE总线、PCIE桥芯片、第二PCIE总线、多个PCIE密码模块;每个所述PCIE密码模块包括处理器、算法模块、第三PCIE总线以及第二PCIE接口,其中,所述处理器、所述算法模块以及所述第二PCIE接口均与所述第三PCIE总线通信连接;
所述主控制模块通过所述第一PCIE接口与所述第一PCIE总线通信连接,所述第一PCIE总线以及所述第二PCIE总线均与所述PCIE桥芯片通信连接,所述第二PCIE总线与每个所述PCIE密码模块通过所述第二PCIE接口通信连接。
本申请实施例中,主控制模块通过第一PCIE接口接收第一PCIE总线中每个PCIE密码模块对应的当前任务量信息,并根据该当前任务量信息以及待处理数据,为待处理数据分配第二PCIE接口地址后,将待处理数据通过第一PCIE接口传送至第一PCIE总线;PCIE桥芯片通过第一PCIE总线接收待处理数据,并通过第二PCIE总线将待处理数据转发至第二PCIE接口地址对应的第二PCIE接口;PCIE密码模块的算法模块通过第三PCIE总线接收待处理数据,并根据待处理数据的处理类型标识进行对应的数据的加密或解密操作得到安全数据;将安全数据通过第三PCIE总线以及第二PCIE接口传送至第二PCIE总线;PCIE桥芯片通过第二PCIE总线接收安全数据,并将安全数据转发至第一PCIE总线;主控制模块通过第一PCIE接口从第一PCIE总线中接收安全数据。采用上述技术手段,通过多个PCIE密码模块的同步作业,以及待处理数据的合理分配机制,能够支持针对大量网络通信连接的签名验签运算,也能够高速稳定地对海量数据进行加密解密运算,提高数据安全处理效率,也增强通信连接的安全性以及可靠性。
附图说明
图1是本申请实施例提供的一种基于PCIE的数据安全处理系统的结构示意图;
图2a是本申请实施例提供的数据安全处理系统的一种PCIE密码模块的结构示意图;
图2b是本申请实施例提供的数据安全处理系统的另一种PCIE密码模块的结构示意图;
图3是本申请实施例提供的一种基于PCIE的数据安全处理方法的流程图;
图4是本申请实施例提供的一种基于PCIE的数据安全处理方法的具体实施过程的示意图;
图5是本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面结合附图对本申请具体实施例作进一步的详细描述。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本申请相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
随着信息技术的快速发展,数字信息系统也开始广泛地在各个领域进行渗透和应用,其中,数字信息系统在业务处理过程中会产生大量网络通信连接,这会涉及到多个通信端,如果存在非法通信端的恶意接入或劫持,会导致数据被窃取或者篡改,因而需要对网络通信连接的通信双方进行身份验证;此外,通信过程中还会涉及对所产生的海量数据进行传输,如果直接对未经过安全处理的海量数据进行传输,会容易造成数据被窃取后直接进行非法利用,进而泄露用户隐私以及相关核心数据,造成不可估量的经济损失,因而在进行海量数据传输的过程中,需要对海量数据进行加密解密。
然而,相关技术中,硬件形式的加密产品应用于诸如安全网关、加密机和服务器等等,往往需要付出高额成本的硬件部署才能支持大量网络通信连接中基于签名验签运算的身份安全认证,以及海量数据的加密解密运算;而软件形式的加密产品通常是基于微处理器的软件进行数据处理,因微处理器的性能限制而无法支持针对大量网络通信连接的签名验签运算,也无法高速稳定地对海量数据进行加密解密运算。
基于此,本申请实施例提供一种基于PCIE的数据安全处理方法以及数据安全处理系统,能够支持针对大量网络通信连接的签名验签运算,也能够高速稳定地对海量数据进行加密解密运算,提高数据安全处理效率,也增强通信连接的安全性以及可靠性。
图1给出了本申请实施例提供的一种基于PCIE的数据安全处理系统100的结构示意图,图2a给出了本申请实施例提供的数据安全处理系统100的一种PCIE密码模块160的结构示意图,其中,该基于PCIE的数据安全处理系统100可以通过软件和/或硬件的方式实现,该基于PCIE的数据安全处理系统100可以是两个或多个物理实体构成。
参照图1,该数据安全处理系统100包括主控制模块110、第一PCIE接口120、第一PCIE总线130、PCIE桥芯片140、第二PCIE总线150、多个PCIE密码模块160;主控制模块110通过第一PCIE接口120与第一PCIE总线130通信连接,第一PCIE总线130以及第二PCIE总线150均与PCIE桥芯片140通信连接。参照图2a,每个PCIE密码模块160包括处理器164、算法模块163、第三PCIE总线162以及第二PCIE接口161,其中,处理器164、算法模块163以及第二PCIE接口161均与第三PCIE总线162通信连接,第二PCIE总线150与每个PCIE密码模块160通过第二PCIE接口161通信连接。该基于PCIE的数据安全处理系统100可用于执行本申请任一实施例的基于PCIE的数据安全处理方法,具备相应的功能和有益效果。
可选的,图2b给出了本申请实施例提供的数据安全处理系统100的另一种PCIE密码模块160的结构示意图,参照图2b,该PCIE密码模块160还包括存储模块165,存储模块165用于存放密钥,其中密钥包括设备密钥、用户密钥以及密钥加密密钥;处理器164还用于密钥管理,密钥管理包括生成密钥操作、删除密钥操作,导入密钥操作以及导出密钥操作。用户可以根据需求通过数据安全处理系统自主生成密钥,也可以通过外部系统获取密钥,灵活地进行不同类型密钥的管理工作。
具体的,图3给出了本申请实施例提供的一种基于PCIE的数据安全处理方法的流程图,本实施例中提供的基于PCIE的数据安全处理方法可以由基于PCIE的数据安全处理系统执行,其中,数据安全处理系统包括主控制模块、第一PCIE接口、第一PCIE总线、PCIE桥芯片、第二PCIE总线、多个PCIE密码模块;每个PCIE密码模块包括处理器、算法模块、第三PCIE总线以及第二PCIE接口,其中,处理器、算法模块以及第二PCIE接口均与第三PCIE总线通信连接;主控制模块通过第一PCIE接口与第一PCIE总线通信连接,第一PCIE总线以及第二PCIE总线均与PCIE桥芯片通信连接,第二PCIE总线与每个PCIE密码模块通过第二PCIE接口通信连接。
下述以基于PCIE的数据安全处理系统为执行基于PCIE的数据安全处理方法的主体为例,进行描述。参照图3,该基于PCIE的数据安全处理方法具体包括:
S310、主控制模块通过第一PCIE接口接收第一PCIE总线中每个PCIE密码模块对应的当前任务量信息,其中当前任务量信息包括PCIE密码模块对应的第二PCIE接口地址以及当前任务量数据。
其中,在主控制模块每次接收待处理数据之前,主控制模块需要提前了解每个PCIE密码模块当前的处理状态,也就是每个PCIE密码模块的当前任务量数据,再进行待处理数据的合理分配,避免随机分配待处理数据对应的PCIE密码模块,提高数据安全处理系统对待处理数据的处理效率。每个PCIE密码模块都会将当前任务量数据以及自身的第二PCIE接口地址统一作为当前任务量信息通过通信链路发送给主控制模块,其中第二PCIE接口地址相当于PCIE密码模块的地址标识。
进一步的,步骤S310的具体实施过程包括以下步骤:
S311、每个PCIE密码模块对应的处理器接收所在PCIE密码模块的当前任务量数据,并利用当前任务量数据以及所在PCIE密码模块对应的第二PCIE接口地址生成当前任务量信息,将当前任务量信息通过第二PCIE接口传送至第二PCIE总线;
S312、PCIE桥芯片通过第二PCIE总线接收当前任务量信息,并将当前任务量信息发送至第一PCIE总线,以使主控制模块接收当前任务量信息;
S313、主控制模块通过第一PCIE接口接收第一PCIE总线中当前任务量信息。
值得说明的是,每个PCIE密码模块对应的当前任务量信息可以是每个PCIE密码模块周期性主动上报至主控制模块,也可以是主控制模块在每次接收待处理数据后通过向每个PCIE密码模块发送获取请求,进一步地,还可以设置PCIE密码模块在处于超负荷状态时主动上报当前任务量信息,以便于主控制模块暂停对该PCIE密码模块的数据分发,对PCIE密码模块起一定的保护作用,防止某个PCIE密码模块长期处于超负荷状态出现损坏情况,延迟PCIE密码模块的使用寿命。
S320、主控制模块根据接收到的PCIE密码模块对应的当前任务量信息以及待处理数据,为待处理数据分配第二PCIE接口地址;将待处理数据通过第一PCIE接口传送至第一PCIE总线。
其中,主控制模块可以根据待处理数据的容量以及类型来执行不同的分配策略,待处理数据可以是一种业务数据,也可以是多种业务数据。PCIE密码模块对应的当前任务量信息可以反映出对于待处理数据的承接能力。
可选的,步骤S320中根据接收到的PCIE密码模块对应的当前任务量信息以及待处理数据,为待处理数据分配第二PCIE接口地址具体包括以下步骤:
S321、根据接收到的PCIE密码模块对应的当前任务量信息获取处于闲时状态的PCIE密码模块对应的第二PCIE接口地址;
S322、对待处理数据指定第二PCIE接口地址。
其中,数据安全处理系统可以包括多个PCIE密码模块,多个PCIE密码模块之间相互独立作业,也可以同时作业,这样可以有效进行海量数据的处理。对于所接收到的多个PCIE密码模块对应的当前任务量信息,通过比较当前任务量信息的当前任务量数据大小,判断出相对处于闲时状态的PCIE密码模块,然后为待处理数据指定该PCIE密码模块对应的第二PCIE接口地址,实现合理动态分配待处理数据对应的PCIE密码模块,提高处理效率,保障处理效果。
进一步地,待处理数据可能包括多种业务数据,每种业务数据对应不同的指定算法信息,由于算法模块对于不同的指定算法信息需要切换不同的算法配置,为了避免因反复切换配置而导致效率降低,主控制模块尽量将同一种业务数据分配给同一个PCIE密码模块。
可选的,在前述实施例的基础上,根据接收到的PCIE密码模块对应的当前任务量信息以及待处理数据,为待处理数据分配第二PCIE接口地址具体包括以下步骤:
S323、根据接收到的PCIE密码模块对应的当前任务量信息获取PCIE密码模块的当前任务量数据的大小排序信息;
S324、结合业务数据的容量的大小排序信息,根据负载均衡原则对每种业务数据指定对应的第二PCIE接口地址。
其中,主控制模块接收到不同PCIE密码模块对应的当前任务量信息后,根据当前任务量信息中的当前任务量数据进行大小排序,依次得到从高负载状态到低负载状态的PCIE密码模块排序。而待处理数据中的多种业务数据的容量可能也是不相同的,主控制模块同样可以获取多种业务数据的容量从大到小的排序信息,这样根据负载均衡原则,向低负载状态的PCIE密码模块分配容量大的业务数据,向高负载状态的PCIE密码模块分配容量小的业务数据,既保证了每种业务数据对应的同一个PCIE密码模块,也就是对应同一个第二PCIE接口地址,也合理规划业务数据的处理分配,提高数据处理效率。
S330、PCIE桥芯片通过第一PCIE总线接收待处理数据,并通过第二PCIE总线将待处理数据转发至第二PCIE接口地址对应的第二PCIE接口,以使对应的第三PCIE总线接收待处理数据。
其中,PCIE桥芯片承担数据中转发送的作用,根据待处理数据对应的第二PCIE接口地址将待处理数据发送至对应的第二PCIE接口,PCIE密码模块的数量由PCIE桥芯片的拓展能力决定,用户可以根据所需处理数据量的需求对PCIE桥芯片进行选型,以及确定PCIE密码模块的数量,最大程度保障海量数据的处理能力,也避免因设置多余PCIE密码模块导致的资源浪费。
S340、PCIE密码模块的算法模块通过第三PCIE总线接收待处理数据,并根据待处理数据的处理类型标识进行对应的数据的加密或解密操作得到安全数据;将安全数据通过第三PCIE总线以及第二PCIE接口传送至第二PCIE总线以使PCIE桥芯片接收安全数据。
其中,主控制模块所接收的待处理数据都会携带处理类型标识,算法模块通过对该处理类型标识作识别并执行相应的数据的加密或解密操作。进一步地,数据的加密或解密操作还可以细分为面向数据整体的数据加密或解密,以及面向网络通信连接的数据签名与数据验签。
可选的,算法模块包括第一算法模块以及第二算法模块,第一算法模块用于执行数据加密和/或数据解密,例如,配置国密SM3算法运算和国密SM4算法运算,国密SM3杂凑运算速度可达25Gbps,国密SM4加密速度可达20Gbps,国密SM4解密速度可达20Gbps,第二算法模块用于执行数据签名和/或数据验签,例如,配置国密SM2算法,其中国密SM2签名速度可达20万次/秒,国密SM2验签速度可达10万次/秒;从而PCIE密码模块可以实现同时完成面向海量数据的数据加密或解密,以及面向大量网络通信连接的数据签名与数据验签。
具体的,待处理数据的处理类型标识为数据加密标识以及数据解密标识中的任一种;根据待处理数据的处理类型标识进行对应的数据的加密或解密操作具体包括以下步骤:
S341、第一算法模块通过第三PCIE总线获取待处理数据的处理类型标识;
S342、若待处理数据的处理类型标识为数据加密标识,第一算法模块利用数据加密算法对待处理数据进行运算得到第一安全数据;若待处理数据的处理类型标识为数据解密标识,第一算法模块利用数据解密算法对待处理数据进行运算得到第二安全数据。
上述,通过多个PCIE密码模块的第一算法模块进行数据加密或数据解密,可以提高海量数据在存储过程中或传输过程中的安全性,防止重要数据被非法窃取和篡改,保障用户的隐私和财产安全。
同样的,待处理数据的处理类型标识为数据签名标识以及数据验签标识中的任一种;根据待处理数据的处理类型标识进行对应的数据的加密或解密操作具体包括以下步骤:
S343、第二算法模块通过第三PCIE总线获取待处理数据的处理类型标识;
S344、若待处理数据的处理类型标识为数据签名标识,第二算法模块利用数据签名算法对待处理数据进行运算得到第三安全数据;若待处理数据的处理类型标识为数据验签标识,第二算法模块利用数据验签算法对待处理数据进行运算得到第四安全数据。
上述,通过多个PCIE密码模块的第二算法模块进行数据签名或数据验签,在建立网络传输通道时,能对大量网络通信连接进行身份验证,提高网络通信连接的安全性和可靠性。
S350、PCIE桥芯片通过第二PCIE总线接收安全数据,并将安全数据转发至第一PCIE总线;
S360、主控制模块通过第一PCIE接口从第一PCIE总线中接收安全数据。
具体的,图4给出了一种基于PCIE的数据安全处理方法的具体实施过程,包括以下步骤:
S401、PCIE密码模块对应的处理器接收所在PCIE密码模块的当前任务量数据;
S402、处理器利用当前任务量数据以及所在PCIE密码模块对应的第二PCIE接口地址生成当前任务量信息;
S403、处理器将当前任务量信息通过第二PCIE接口传送至第二PCIE总线;
S404、PCIE桥芯片通过第二PCIE总线接收当前任务量信息;
S405、PCIE桥芯片将当前任务量信息发送至第一PCIE总线,以使主控制模块接收当前任务量信息;
S406、主控制模块通过第一PCIE接口接收第一PCIE总线中当前任务量信息;
S407、主控制模块根据接收到的PCIE密码模块对应的当前任务量信息以及待处理数据,为待处理数据分配第二PCIE接口地址;
S408、主控制模块将待处理数据通过第一PCIE接口传送至第一PCIE总线;
S409、PCIE桥芯片通过第一PCIE总线接收待处理数据;
S410、PCIE桥芯片通过第二PCIE总线将待处理数据转发至第二PCIE接口地址对应的第二PCIE接口,以使对应的第三PCIE总线接收待处理数据;
S411、PCIE密码模块的算法模块通过第三PCIE总线接收待处理数据;
S412、PCIE密码模块根据待处理数据的处理类型标识进行对应的数据的加密或解密操作得到安全数据;
S413、PCIE密码模块将安全数据通过第三PCIE总线以及第二PCIE接口传送至第二PCIE总线以使PCIE桥芯片接收安全数据;
S414、PCIE桥芯片通过第二PCIE总线接收安全数据;
S415、PCIE桥芯片将安全数据转发至第一PCIE总线;
S416、主控制模块通过第一PCIE接口从第一PCIE总线中接收安全数据。
上述,主控制模块通过第一PCIE接口接收第一PCIE总线中每个PCIE密码模块对应的当前任务量信息,并根据该当前任务量信息以及待处理数据,为待处理数据分配第二PCIE接口地址后,将待处理数据通过第一PCIE接口传送至第一PCIE总线;PCIE桥芯片通过第一PCIE总线接收待处理数据,并通过第二PCIE总线将待处理数据转发至第二PCIE接口地址对应的第二PCIE接口;PCIE密码模块的算法模块通过第三PCIE总线接收待处理数据,并根据待处理数据的处理类型标识进行对应的数据的加密或解密操作得到安全数据;将安全数据通过第三PCIE总线以及第二PCIE接口传送至第二PCIE总线;PCIE桥芯片通过第二PCIE总线接收安全数据,并将安全数据转发至第一PCIE总线;主控制模块通过第一PCIE接口从第一PCIE总线中接收安全数据。采用上述技术手段,通过多个PCIE密码模块的同步作业,以及待处理数据的合理分配机制,能够支持针对大量网络通信连接的签名验签运算,也能够高速稳定地对海量数据进行加密解密运算,提高数据安全处理效率,也增强通信连接的安全性以及可靠性。
进一步地,主控制模块接收到的待处理数据可以是多个分开发送的数据包,每个数据包所要采用的加密或解密类型,以及具体的加密或解密算法,这相当于每个数据包对应的指定算法信息,而该指定算法信息可以相同也可以不相同,原则上每个数据包发送给对应的PCIE密码模块进行处理之前,PCIE密码模块的处理器都需要根据指定算法信息对算法模块进行配置,如果多个连续发送的数据包的指定算法信息相同,那么PCIE密码模块的处理器只需要在第一个数据包进行处理前完成相应的配置操作,其余的数据包则无需重复该配置操作。
可选的,在前述实施例的基础上,待处理数据包括指定算法信息,在将待处理数据通过第一PCIE接口传送至第一PCIE总线之前,还包括:
S370、主控制模块根据指定算法信息生成配置指令,并通过第一PCIE接口将配置指令传送至第一PCIE总线,其中配置指令用于配置对应的PCIE密码模块;
S380、PCIE桥芯片通过第一PCIE总线接收配置指令,并根据配置指令对应的第二PCIE接口地址,通过第二PCIE总线转发至第二PCIE接口地址对应的第二PCIE接口,以使对应的第三PCIE总线接收配置指令;
S390、PCIE密码模块的处理器通过第三PCIE总线接收配置指令,并根据配置指令对算法模块进行对应的配置操作。
上述,主控制模块所发送的配置指令用于指示PCIE密码模块完成算法模块的初始化,具体算法的选择等等,主控制模块可以根据所接收到的待处理数据的指定算法消息与最近一次处理的历史处理数据进行对比,判断是否需要重新进行配置,以此来灵活执行配置工作。
需要说明的是,本方案中对各步骤的编号仅用于描述本方案的整体设计框架,不表示步骤之间的必然先后关系。在整体实现过程符合本方案整体设计框架的基础上,均属于本方案的保护范围,描述时文字形式上的先后顺序不是对本方案具体实现过程的排他限定。
图5给出了本申请实施例提供的一种电子设备500,参照图5,该电子设备500包括:处理器510、存储器520、通信模块530、输入装置540及输出装置550。该电子设备500中处理器510为多个,该电子设备500中的存储器520的数量可以是一个或者多个。该电子设备500的处理器510、存储器520、通信模块530、输入装置540及输出装置550可以通过总线或者其他方式连接。
存储器520作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块。存储器520可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据设备的使用所创建的数据等。此外,存储器520可以包括高速随机存取存储器520,还可以包括非易失性存储器520,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器520可进一步包括相对于处理器510远程设置的存储器520,这些远程存储器520可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
通信模块530用于进行数据传输。
处理器510通过运行存储在存储器520中的软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现上述的基于PCIE的数据安全处理方法。
输入装置540可用于接收输入的数字或字符信息,以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置550可包括显示屏等显示设备。
上述提供的电子设备500可用于执行上述实施例提供的基于PCIE的数据安全处理方法,具备相应的功能和有益效果。
本申请实施例还提供一种包含计算机可执行指令的存储介质,计算机可执行指令在由计算机处理器执行时用于执行一种基于PCIE的数据安全处理方法,该基于PCIE的数据安全处理方法包括:
主控制模块通过第一PCIE接口接收第一PCIE总线中每个PCIE密码模块对应的当前任务量信息,其中当前任务量信息包括PCIE密码模块对应的第二PCIE接口地址以及当前任务量数据;
主控制模块根据接收到的PCIE密码模块对应的当前任务量信息以及待处理数据,为待处理数据分配第二PCIE接口地址;将待处理数据通过第一PCIE接口传送至第一PCIE总线;
PCIE桥芯片通过第一PCIE总线接收待处理数据,并通过第二PCIE总线将待处理数据转发至第二PCIE接口地址对应的第二PCIE接口,以使对应的第三PCIE总线接收待处理数据;
PCIE密码模块的算法模块通过第三PCIE总线接收待处理数据,并根据待处理数据的处理类型标识进行对应的数据的加密或解密操作得到安全数据;将安全数据通过第三PCIE总线以及第二PCIE接口传送至第二PCIE总线以使PCIE桥芯片接收安全数据;
PCIE桥芯片通过第二PCIE总线接收安全数据,并将安全数据转发至第一PCIE总线;
主控制模块通过第一PCIE接口从第一PCIE总线中接收安全数据。
存储介质——任何的各种类型的存储器设备或存储设备。术语“存储介质”旨在包括:安装介质,例如CD-ROM、软盘或磁带装置;计算机系统存储器或随机存取存储器,诸如DRAM、DDR RAM、SRAM、EDO RAM,兰巴斯(Rambus)RAM等;非易失性存储器,诸如闪存、磁介质(例如硬盘或光存储);寄存器或其它相似类型的存储器元件等。存储介质可以还包括其它类型的存储器或其组合。另外,存储介质可以位于程序在其中被执行的第一计算机系统中,或者可以位于不同的第二计算机系统中,第二计算机系统通过网络(诸如因特网)连接到第一计算机系统。第二计算机系统可以提供程序指令给第一计算机用于执行。术语“存储介质”可以包括驻留在不同位置中(例如在通过网络连接的不同计算机系统中)的两个或更多存储介质。存储介质可以存储可由一个或多个处理器执行的程序指令(例如具体实现为计算机程序)。
当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上的基于PCIE的数据安全处理方法,还可以执行本申请任意实施例所提供的基于PCIE的数据安全处理方法中的相关操作。
上述实施例中提供的存储介质及电子设备可执行本申请任意实施例所提供的基于PCIE的数据安全处理方法,未在上述实施例中详尽描述的技术细节,可参见本申请任意实施例所提供的基于PCIE的数据安全处理方法。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
上述仅为本申请的较佳实施例及所运用的技术原理。本申请不限于这里的特定实施例,对本领域技术人员来说能够进行的各种明显变化、重新调整及替代均不会脱离本申请的保护范围。因此,虽然通过以上实施例对本申请进行了较为详细的说明,但是本申请不仅仅限于以上实施例,在不脱离本申请构思的情况下,还可以包括更多其他等效实施例,而本申请的范围由权利要求的范围决定。

Claims (12)

1.一种基于PCIE的数据安全处理方法,其特征在于,应用于基于PCIE的数据安全处理系统,所述数据安全处理系统包括主控制模块、第一PCIE接口、第一PCIE总线、PCIE桥芯片、第二PCIE总线、多个PCIE密码模块;每个所述PCIE密码模块包括处理器、算法模块、第三PCIE总线以及第二PCIE接口,其中,所述处理器、所述算法模块以及所述第二PCIE接口均与所述第三PCIE总线通信连接;
所述主控制模块通过所述第一PCIE接口与所述第一PCIE总线通信连接,所述第一PCIE总线以及所述第二PCIE总线均与所述PCIE桥芯片通信连接,所述第二PCIE总线与每个所述PCIE密码模块通过所述第二PCIE接口通信连接;
所述方法包括:
所述主控制模块通过所述第一PCIE接口接收所述第一PCIE总线中每个所述PCIE密码模块对应的当前任务量信息,其中所述当前任务量信息包括所述PCIE密码模块对应的第二PCIE接口地址以及当前任务量数据;
所述主控制模块根据接收到的所述PCIE密码模块对应的当前任务量信息以及待处理数据,为所述待处理数据分配第二PCIE接口地址;将所述待处理数据通过所述第一PCIE接口传送至所述第一PCIE总线;
所述PCIE桥芯片通过所述第一PCIE总线接收所述待处理数据,并通过所述第二PCIE总线将所述待处理数据转发至所述第二PCIE接口地址对应的第二PCIE接口,以使对应的第三PCIE总线接收所述待处理数据;
所述PCIE密码模块的算法模块通过所述第三PCIE总线接收所述待处理数据,并根据所述待处理数据的处理类型标识进行对应的数据的加密或解密操作得到安全数据;将所述安全数据通过所述第三PCIE总线以及所述第二PCIE接口传送至所述第二PCIE总线以使所述PCIE桥芯片接收所述安全数据;
所述PCIE桥芯片通过所述第二PCIE总线接收所述安全数据,并将所述安全数据转发至所述第一PCIE总线;
所述主控制模块通过所述第一PCIE接口从所述第一PCIE总线中接收所述安全数据。
2.根据权利要求1所述的数据安全处理方法,其特征在于,所述主控制模块通过所述第一PCIE接口从所述第一PCIE总线中接收每个所述PCIE密码模块对应的当前任务量信息具体包括:
每个所述PCIE密码模块对应的处理器接收所在PCIE密码模块的当前任务量数据,并利用所述当前任务量数据以及所在PCIE密码模块对应的第二PCIE接口地址生成当前任务量信息,将所述当前任务量信息通过所述第二PCIE接口传送至所述第二PCIE总线;
所述PCIE桥芯片通过所述第二PCIE总线接收所述当前任务量信息,并将所述当前任务量信息发送至所述第一PCIE总线,以使所述主控制模块接收所述当前任务量信息;
所述主控制模块通过所述第一PCIE接口接收所述第一PCIE总线中所述当前任务量信息。
3.根据权利要求1所述的数据安全处理方法,其特征在于,所述待处理数据包括指定算法信息,在所述将所述待处理数据通过所述第一PCIE接口传送至所述第一PCIE总线之前,还包括:
所述主控制模块根据所述指定算法信息生成配置指令,并通过所述第一PCIE接口将配置指令传送至所述第一PCIE总线,其中所述配置指令用于配置对应的PCIE密码模块;
所述PCIE桥芯片通过所述第一PCIE总线接收所述配置指令,并根据所述配置指令对应的第二PCIE接口地址,通过所述第二PCIE总线转发至所述第二PCIE接口地址对应的第二PCIE接口,以使对应的第三PCIE总线接收所述配置指令;
所述PCIE密码模块的处理器通过所述第三PCIE总线接收所述配置指令,并根据所述配置指令对算法模块进行对应的配置操作。
4.根据权利要求1所述的数据安全处理方法,其特征在于,所述根据接收到的所述PCIE密码模块对应的当前任务量信息以及待处理数据,为所述待处理数据分配第二PCIE接口地址包括:
根据接收到的所述PCIE密码模块对应的当前任务量信息获取处于闲时状态的PCIE密码模块对应的第二PCIE接口地址;
对所述待处理数据指定所述第二PCIE接口地址。
5.根据权利要求1所述的数据安全处理方法,其特征在于,所述待处理数据包括多种业务数据,每种所述业务数据对应不同的指定算法信息,所述根据接收到的所述PCIE密码模块对应的当前任务量信息以及待处理数据,为所述待处理数据分配第二PCIE接口地址包括:
根据接收到的所述PCIE密码模块对应的当前任务量信息获取所述PCIE密码模块的当前任务量数据的大小排序信息;
结合所述业务数据的容量的大小排序信息,根据负载均衡原则对每种所述业务数据指定对应的第二PCIE接口地址。
6.根据权利要求1所述的数据安全处理方法,其特征在于,所述算法模块包括第一算法模块以及第二算法模块,所述第一算法模块用于执行数据加密和/或数据解密,所述第二算法模块用于执行数据签名和/或数据验签。
7.根据权利要求6所述的数据安全处理方法,其特征在于,所述待处理数据的处理类型标识为数据加密标识以及数据解密标识中的任一种;所述根据所述待处理数据的处理类型标识进行对应的数据的加密或解密操作具体包括:
所述第一算法模块通过所述第三PCIE总线获取所述待处理数据的处理类型标识;
若所述待处理数据的处理类型标识为数据加密标识,所述第一算法模块利用数据加密算法对所述待处理数据进行运算得到第一安全数据;
若所述待处理数据的处理类型标识为数据解密标识,所述第一算法模块利用数据解密算法对所述待处理数据进行运算得到第二安全数据。
8.根据权利要求6所述的数据安全处理方法,其特征在于,所述待处理数据的处理类型标识为数据签名标识以及数据验签标识中的任一种;所述根据所述待处理数据的处理类型标识进行对应的数据的加密或解密操作具体包括:
所述第二算法模块通过所述第三PCIE总线获取所述待处理数据的处理类型标识;
若所述待处理数据的处理类型标识为数据签名标识,所述第二算法模块利用数据签名算法对所述待处理数据进行运算得到第三安全数据;
若所述待处理数据的处理类型标识为数据验签标识,所述第二算法模块利用数据验签算法对所述待处理数据进行运算得到第四安全数据。
9.一种应用权利要求1至8任一项所述的数据安全处理方法的基于PCIE的数据安全处理系统,其特征在于,所述数据安全处理系统包括主控制模块、第一PCIE接口、第一PCIE总线、PCIE桥芯片、第二PCIE总线、多个PCIE密码模块;每个所述PCIE密码模块包括处理器、算法模块、第三PCIE总线以及第二PCIE接口,其中,所述处理器、所述算法模块以及所述第二PCIE接口均与所述第三PCIE总线通信连接;
所述主控制模块通过所述第一PCIE接口与所述第一PCIE总线通信连接,所述第一PCIE总线以及所述第二PCIE总线均与所述PCIE桥芯片通信连接,所述第二PCIE总线与每个所述PCIE密码模块通过所述第二PCIE接口通信连接。
10.根据权利要求9所述的数据安全处理系统,其特征在于,所述PCIE密码模块还包括存储模块,
所述存储模块,用于存放密钥,其中所述密钥包括设备密钥、用户密钥以及密钥加密密钥;
所述处理器,还用于密钥管理,所述密钥管理包括生成密钥操作、删除密钥操作,导入密钥操作以及导出密钥操作。
11.一种电子设备,其特征在于,所述电子设备包括:处理器、存储器、通信模块、输入装置以及输出装置;所述处理器用于执行如权利要求1至8任一项所述的基于PCIE的数据安全处理方法。
12.一种包含计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1至8任一项所述的基于PCIE的数据安全处理方法。
CN202211575201.5A 2022-12-08 一种基于pcie的数据安全处理方法以及数据安全处理系统 Active CN116226940B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211575201.5A CN116226940B (zh) 2022-12-08 一种基于pcie的数据安全处理方法以及数据安全处理系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211575201.5A CN116226940B (zh) 2022-12-08 一种基于pcie的数据安全处理方法以及数据安全处理系统

Publications (2)

Publication Number Publication Date
CN116226940A true CN116226940A (zh) 2023-06-06
CN116226940B CN116226940B (zh) 2024-04-26

Family

ID=

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527257A (zh) * 2023-06-27 2023-08-01 粤港澳大湾区数字经济研究院(福田) 异构计算系统及基于异构计算系统的资源处理方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101290569A (zh) * 2008-05-06 2008-10-22 国网南京自动化研究院 一种采用多密码芯片并行数据处理的方法
CN101854353A (zh) * 2010-04-28 2010-10-06 国网电力科学研究院 一种基于fpga的多芯片并行加密方法
CN102724035A (zh) * 2012-06-15 2012-10-10 中国电力科学研究院 一种加密卡的加解密方法
CN109726598A (zh) * 2018-12-10 2019-05-07 佛山芯珠微电子有限公司 基于云服务器的嵌入式安全加密芯片
CN112765077A (zh) * 2021-01-18 2021-05-07 三未信安科技股份有限公司 一种pci密码卡主控异步调度系统及方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101290569A (zh) * 2008-05-06 2008-10-22 国网南京自动化研究院 一种采用多密码芯片并行数据处理的方法
CN101854353A (zh) * 2010-04-28 2010-10-06 国网电力科学研究院 一种基于fpga的多芯片并行加密方法
CN102724035A (zh) * 2012-06-15 2012-10-10 中国电力科学研究院 一种加密卡的加解密方法
CN109726598A (zh) * 2018-12-10 2019-05-07 佛山芯珠微电子有限公司 基于云服务器的嵌入式安全加密芯片
CN112765077A (zh) * 2021-01-18 2021-05-07 三未信安科技股份有限公司 一种pci密码卡主控异步调度系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116527257A (zh) * 2023-06-27 2023-08-01 粤港澳大湾区数字经济研究院(福田) 异构计算系统及基于异构计算系统的资源处理方法
CN116527257B (zh) * 2023-06-27 2023-10-31 粤港澳大湾区数字经济研究院(福田) 异构计算系统及基于异构计算系统的资源处理方法

Similar Documents

Publication Publication Date Title
CN100380274C (zh) 用于对上下文加密密钥进行备份和恢复的方法和系统
CN110050437B (zh) 分布式证书注册的装置和方法
US11089018B2 (en) Global unique device identification code distribution method
EP3296912B1 (en) Memory system and binding method between the same and host
CN105007577A (zh) 一种虚拟sim卡参数管理方法、移动终端及服务器
CN101944170B (zh) 一种软件版本发布方法、系统及装置
CN105450620A (zh) 一种信息处理方法及装置
CN103562922A (zh) 在芯片制造期间建立唯一秘钥
CN109347839B (zh) 集中式密码管理方法、装置、电子设备及计算机存储介质
CN109690543B (zh) 安全认证方法、集成电路及系统
CN114157415A (zh) 数据处理方法、计算节点、系统、计算机设备和存储介质
KR20200061702A (ko) 차량 내부 네트워크의 키 관리 시스템
US11516194B2 (en) Apparatus and method for in-vehicle network communication
CN107729760B (zh) 基于Android系统的CSP实现方法及智能终端
US11128455B2 (en) Data encryption method and system using device authentication key
CN112883388A (zh) 文件加密方法及装置、存储介质、电子装置
CN111181944B (zh) 通信系统及信息发布方法、装置、介质、设备
CN113824553A (zh) 密钥管理方法、装置及系统
CN114095277A (zh) 配电网安全通信方法、安全接入设备及可读存储介质
CN114297114A (zh) 加密卡及其数据交互方法、装置及计算机可读存储介质
CN116155491B (zh) 安全芯片的对称密钥同步方法及安全芯片装置
CN101048971B (zh) 对于使用广播材料管理验证和支付的方法和系统
CN112564901A (zh) 密钥的生成方法和系统、存储介质及电子装置
US11258600B2 (en) Secure communication in accessing a network
CN116226940B (zh) 一种基于pcie的数据安全处理方法以及数据安全处理系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant