TW201945976A - 加密卡、電子設備及加密服務方法 - Google Patents
加密卡、電子設備及加密服務方法 Download PDFInfo
- Publication number
- TW201945976A TW201945976A TW108107618A TW108107618A TW201945976A TW 201945976 A TW201945976 A TW 201945976A TW 108107618 A TW108107618 A TW 108107618A TW 108107618 A TW108107618 A TW 108107618A TW 201945976 A TW201945976 A TW 201945976A
- Authority
- TW
- Taiwan
- Prior art keywords
- encryption
- computing module
- storage area
- encryption card
- programmable logic
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/127—Trusted platform modules [TPM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Abstract
本發明公開了一種加密卡、電子設備及加密服務方法。其中,該加密卡,包括:可信計算模組;可程式化邏輯裝置,與上述可信計算模組透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。本發明解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
Description
本發明關於電腦資訊安全領域,具體而言,關於一種加密卡、電子設備及加密服務方法。
隨著網際網路的快速發展和資訊化程度的不斷提高,資訊安全問題也日顯突出,如何確保資訊系統的安全已成為全社會關注的問題,由於資訊資料在儲存、處理和交換的過程中,都存在洩密或被截取、竊聽、篡改和偽造的可能性,因此,需要在資訊系統的傳輸過程或儲存過程中進行資訊資料的加密和解密。
現有技術中普遍使用可應用於各類密碼安全應用系統的高速加密卡或可信晶片,進行高速的密碼運算,進而可以滿足應用系統資料的加密/解密要求。但是,現有的加密卡或者可信晶片均存在一定的問題;例如,無法高效高速的進行資訊資料的加密和解密,難以滿足應用系統資料的計算能力和儲存能力的需求,無法有效保障平臺及系統的安全,以及資訊資料的計算安全等。
針對上述的問題,目前尚未提出有效的解決方案。
現有技術中普遍使用可應用於各類密碼安全應用系統的高速加密卡或可信晶片,進行高速的密碼運算,進而可以滿足應用系統資料的加密/解密要求。但是,現有的加密卡或者可信晶片均存在一定的問題;例如,無法高效高速的進行資訊資料的加密和解密,難以滿足應用系統資料的計算能力和儲存能力的需求,無法有效保障平臺及系統的安全,以及資訊資料的計算安全等。
針對上述的問題,目前尚未提出有效的解決方案。
本發明實施例提供了一種加密卡、電子設備及加密服務方法,以至少解決現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
根據本發明實施例的一個態樣,提供了一種加密卡,包括:可信計算模組;可程式化邏輯裝置,與上述可信計算模組透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
根據本發明實施例的另一態樣,還提供了一種加密卡,包括:可信計算模組,設置於印刷電路板PCB中;可程式化邏輯裝置,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
根據本發明實施例的另一態樣,還提供了一種加密卡,包括:可信計算模組和可程式化邏輯裝置;其中:上述可信計算模組,設置於印刷電路板PCB中,上述可信計算模組的儲存區中包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區;上述可程式化邏輯裝置,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接。
根據本發明實施例的另一態樣,還提供了一種電子設備,包括任意一項上述的加密卡。
根據本發明實施例的另一態樣,還提供了一種加密服務方法,包括:接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
在本發明實施例中,採用將可信計算模組與可程式化邏輯裝置整合的方式,透過可信計算模組;可程式化邏輯裝置,與上述可信計算模組透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
根據本發明實施例的一個態樣,提供了一種加密卡,包括:可信計算模組;可程式化邏輯裝置,與上述可信計算模組透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
根據本發明實施例的另一態樣,還提供了一種加密卡,包括:可信計算模組,設置於印刷電路板PCB中;可程式化邏輯裝置,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
根據本發明實施例的另一態樣,還提供了一種加密卡,包括:可信計算模組和可程式化邏輯裝置;其中:上述可信計算模組,設置於印刷電路板PCB中,上述可信計算模組的儲存區中包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區;上述可程式化邏輯裝置,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接。
根據本發明實施例的另一態樣,還提供了一種電子設備,包括任意一項上述的加密卡。
根據本發明實施例的另一態樣,還提供了一種加密服務方法,包括:接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
在本發明實施例中,採用將可信計算模組與可程式化邏輯裝置整合的方式,透過可信計算模組;可程式化邏輯裝置,與上述可信計算模組透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出進步性勞動前提下所獲得的所有其他實施例,都應當屬本發明保護的範圍。
需要說明的是,本發明的說明書和申請專利範圍第書及上述附圖中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
首先,在對本發明實施例進行描述的過程中出現的部分名詞或術語適用於如下解釋:
可信計算(Trusted Computing):是在計算和通訊系統中廣泛使用基於硬體安全模組支援下的可信計算平臺,以提高系統整體的安全性。
可信平臺控制模組/可信賴平臺模組(TPCM/TPM):是為證據提供完整性和真實性保障的安全晶片,一般透過實體方式被強綁定到計算平臺。
現場可程式化閘陣列(Field-Programmable Gate Array,FPGA):是一種高性能、低功率消耗的可程式化邏輯裝置,不是傳統馮諾依曼結構,直接生成電路來進行演算法的計算,可以根據演算法以及演算法指標進行針對性的設計,具有非常高的執行和計算的效率,非常適合關注執行效率的在線識別系統。而積體電路特殊應用積體電路(ASIC)晶片是專用晶片,計算性能和效率最高,但開發週期長,研發成本高,很難適配目前正在快速迭代的深度學習演算法領域。
可信高速資料加密卡(Trusted high-speed data encryption card,THSDEC):是指一種具有可信功能的資料加密卡。
主密鑰:是在一對用戶之間的長期共享的秘密密鑰,作為生產會話密鑰或密鑰加密密鑰的種子,實現這些密鑰的分發和保護,主密鑰的分發一般使用離線安全實體通道完成。
韌體:是指寫入可擦寫唯讀記憶體(EROM)或電可抹可程式化唯讀記憶體中的程序,透過韌體作業系統才可以按照標準的設備驅動實現特定機器的運行動作,例如,光驅、刻錄機等都有內部韌體。
度量根(RTM):是指一種可靠地進行完整性度量的計算引擎。
儲存根(RTS):是一個準確的記錄完整度量的摘要值和順序計算引擎,可以將完整性度量保存在日誌中,保存委託給可信平臺模組TPM的密鑰和資料,並管理少量的記憶體,其中,存放的密鑰用於完成解密和簽名的操作。
報告根(RTR):是一個可信的實體來精確和正確的報告資訊,可靠報告可信儲存根RTS的計算引擎。
實施例 1
為了保證資訊資料和資訊系統的完整性、保密性和安全性,現有技術中普遍使用可應用於各類密碼安全應用系統的高速加密卡或可信晶片進行加密/解密。
例如,相關技術中的高速加密卡,在密碼運算速度及資料壓縮上比傳統的資料加密卡性能上有了很大提升,但存在如下不足:不可重構且無法滿足業務的特定定制化需求,不能滿足合規需求,還不能保證平臺及系統,及其自身的安全;再例如,相關技術中提供的PCIe密碼卡,雖然在一定程度上解決了資訊資料的安全性保護的問題,但是其計算能力、儲存能力,以及保證平臺和系統安全的能力均無法滿足應用系統的需求;又例如,TPM卡以及TPCM卡雖然可以保證資訊資料的敏感性保護、平臺及系統安全,但是,其密碼運算能力及儲存能力均無法滿足業務高性能的需求;此外,目前現有的可信晶片卡,其密鑰以明文的形式出現在記憶體中,無法有效保證資料的計算安全。
由於現有的加密卡或者可信晶片均存在上述不足之處,並且,加密卡業務存在以下需求背景:例如,加密卡業務所承載的設備需要保證其平臺及系統安全;加密卡業務中的關鍵敏感資料(例如密鑰、證書等)需要明文不落盤,以保證敏感資料的安全性;加密卡業務中敏感資料的計算,需要保證其計算安全;加密卡業務中敏感資料的計算還需要保證其計算能力及儲存能力。
在上述運行環境下,本發明實施例提供了一種加密卡的實施例,圖1是根據本發明實施例的一種加密卡的結構示意圖,出於描述的目的,所繪結構僅為合適環境的一個示例,並非對本發明的使用範圍或功能提出任何局限。也不應將該加密卡,解釋為對圖1所示的任一組件或其組合具有任何依賴或需求。
需要說明的是,本發明實施例1所提供的系統實施例可以廣泛應用在網際網路上,例如,電腦資訊安全領域,可以但不限於應用於任意一種敏感資訊系統中,例如,金融、通訊、電子商務等領域的資訊系統。
如圖1所示,上述加密卡,包括:可信計算模組10、可程式化邏輯裝置12和通訊介面14,其中:可信計算模組10;可程式化邏輯裝置12,與上述可信計算模組10透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面14,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
需要說明的是,本發明實施例中的加密卡可以為可信高速資料加密卡,具有實現從開機到作業系統核心載入前的平臺可信引導功能,可以保證業務敏感資料加解密的計算安全;在與外接設備互動的過程中,可以保障彼此的平臺及身份的安全性和合法性。
可選的,上述可信計算模組10可以包括但不限於為可信平臺控制模組/可信賴平臺模組(TPCM/TPM)等,其中,可信計算模組10具體可以為一種可信計算晶片,例如,安全晶片;上述可程式化邏輯裝置12可以為FPGA晶片;上述加密卡的外接設備可以為主板通用部件;上述加密卡與外接設備之間可以透過通訊介面14進行連接。
作為一種可選的實施例,上述加密卡可以包括一個殼體,可信計算模組和可程式化邏輯裝置設置於該殼體內部,上述通訊介面的一端與上述可信計算模組、可程式化邏輯裝置連接,上述通訊介面的另一端穿過上述殼體,以便實現與周邊設備的連接。
在一種可選的實施例中,上述通訊介面包括以下至少之一:通用輸入輸出(General Purpose Input Output,GPIO)、串列周邊設備介面(Serial Peripheral Interface,SPI)、積體電路匯流排(Inter-Integrated Circuit,I2C)、PCIe介面。
在另一種可選的實施例中,上述可程式化邏輯裝置包括:可程式化閘陣列FPGA,還可以包括但不限於為:ARM處理器整合的顯示晶片/圖形處理器(CPU-ARM-GPU)。
作為一種可選的實施例,上述可信計算模組、上述可程式化邏輯裝置和上述通訊介面設置於印刷電路板PCB上,例如,整合設置於PCIe卡的印刷電路板PCB上。
在本發明提供的可選實施例中,上述導通電路包括:設置於上述PCB上的電導線。
作為一種可選的實施例,上述可信計算模組與可程式化邏輯裝置之間可以但不限於透過串列通訊介面連接,還可以透過印刷電路板卡內部的導通電路直接進行通訊,實現資料互動,而不需要透過映射主機Host的記憶體進行通訊。
需要說明的是,不同於相關技術中的可信計算模組的密鑰管理體系和可程式化邏輯裝置的密鑰管理體系獨立存在,在本發明可選的實施例中,上述可信計算模組和可程式化邏輯裝置可以採用同一密鑰管理體系,便於實現密鑰管理和資料互動。
圖2是根據本發明實施例的一種可選的加密卡的結構示意圖,如圖2所示,上述加密卡包括:可信平臺控制模組/可信賴平臺模組(即,可信計算模組);與可信平臺控制模組/可信賴平臺模組連接的雙倍速率同步動態隨機記憶體(DDR);與可信平臺控制模組/可信賴平臺模組連接的固態記憶體(FLash);基於可程式化邏輯裝置的資料加密卡(HSEDC);與上述資料加密卡連接的雙倍速率同步動態隨機記憶體;與上述資料加密卡連接的固態記憶體。
需要說明的是,本發明實施例中,加密卡兼容可信平臺控制模組/可信賴平臺模組架構,可以實現場合和需求均合規的技術效果。
仍圖2所示,上述可信平臺控制模組/可信賴平臺模組與上述資料加密卡整合設置於PCIe卡內,上述可信平臺控制模組/可信賴平臺模組與上述資料加密卡之間透過串列通訊介面(例如:串列器/解串器,Serdes x8,x8為鏈路寬度)連接,並整合設置於PCIe卡的印刷電路板PCB上。其中,上述串列器/解串器是一種主流的分時多路複用(TDM)、點對點(P2P)的串列通訊技術。
作為一種可選的實施例,仍如圖2所示,上述加密卡還包括:可程式化邏輯裝置的切換晶片(PCIe-Switch);上述可信平臺控制模組/可信賴平臺模組、資料加密卡分別與上述切換晶片連接,上述切換晶片與PCIe插槽連接。
在上述可選的實施例中,上述PCIe插槽作為基於PCI局部匯流排的擴展插槽,可以但不限於插接顯卡、聲卡、網卡、USB2.0卡、IDE介面卡、電視卡、視頻採集卡以及其他類型的擴展卡。
需要說明的是,本發明中的圖1至圖2中所示加密卡的具體結構僅是示意,在具體應用時,本發明中的加密卡可以比圖1至圖2所示的加密卡具有多或少的結構。例如,上述加密卡中固態記憶體、雙倍速率同步動態隨機記憶體、串列器/解串器等的設置數量可以但不限於如圖2所示,可以根據具體應用場景進行設置。
圖3是根據本發明實施例的一種可選的加密卡與外接設備的連接結構示意圖,外接設備中可以包括如圖3所示的:可信軟體基(TSB)/可信軟體堆層(TSS)、基板管理控制器/基本輸入輸出系統、電源控制複雜可程式化邏輯裝置、通用串列匯流排(USB)控制器、乙太網路控制器、鍵盤控制器、音頻控制器;仍如圖3所示,上述加密卡與外接設備之間可以透過通訊介面進行通訊。
作為一種可選的實施例,上述加密卡與可信軟體基/可信軟體堆層之間,可以但不限於透過PCIe介面或串列周邊設備介面SPI匯流排進行命令和資料的互動,其中,上述可信軟體基/可信軟體堆層可以設置在外接設備中的應用程序(APP)或者作業系統(OS)中。
作為另一種可選的實施例,上述加密卡還可以透過多路複用器對通用輸入輸出(GPIO)、串列周邊設備介面(SPI)、積體電路匯流排(I2C)進行複用的方式,實現與外接設備中的基板管理控制器(Baseboard Management Controller,BMC)/基本輸入輸出系統(Basic Input Output System,BIOS)的度量。
還存在一種可選的實施例,上述加密卡還可以透過多路複用器對通用輸入輸出(GPIO)、串列周邊設備介面(SPI)、積體電路匯流排(I2C)進行複用的方式,實現與上述通用串列匯流排(USB)控制器、乙太網路控制器、鍵盤控制器、音頻控制器之間的連接。
在一種可選的實施例中,圖4是根據本發明實施例的一種可選的可信計算模組的結構示意圖,如圖4所示,上述可信計算模組包括:第一主計算區40、第一密碼計算區42、第一儲存區44,其中:
第一主計算區40,用於執行除密碼運算過程之外的運算過程;
第一密碼計算區42,與上述第一主計算區40連接,設置有至少一種密碼演算法的引擎,並使用上述引擎執行密碼運算過程;
第一儲存區44,與上述第一主計算區40和上述第一密碼計算區42連接,用於儲存資料。
在一種可選的實施例中,如圖4所示,上述第一主計算區40包括中央處理器(CPU)和記憶體,其中,上述第一主計算區40可以用於執行除密碼運算過程之外的運算過程,其中,上述密碼運算過程對密碼計算能力及儲存能力要求不高,但安全要求性較高;上述第一主計算區可以滿足較高的計算能力和儲存能力的要求。
在另一種可選的實施例中,仍如圖4所示,上述第一密碼計算區42包括以下一種或多種密碼演算法的引擎,例如,公開金鑰密碼引擎(SM2)、雜湊演算法引擎(SM3)、對稱密碼引擎(SM4)、隨機數引擎(RSA)、國際對稱演算法(Advanced Encryption Standard,AES)等,上述第一密碼計算區42可以用於負責密碼計算能力及儲存能力要求不高密碼運算過程。
還一種可選的實施例,仍如圖4所示,上述第一儲存區44包括以下至少之一:晶片系統韌體儲存區、平臺配置暫存器(PCR)、主密鑰儲存區、度量根儲存區、儲存根儲存區、報告根儲存區。
需要說明的是,上述主密鑰儲存區中儲存有:用於保護上述可程式化邏輯裝置中的用戶密鑰;如圖4所示,可以在同一儲存區記憶體儲存度量根、儲存根、報告根,也可以獨立設置度量根儲存區、儲存根儲存區、報告根儲存區,用於對應儲存度量根、儲存根、報告根。
在一種可選的實施例中,上述儲存區中還包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區,如圖4所示的FPGA密碼運算相關韌體儲存區,可以但不限於實現密碼演算法、介面、時序、狀態、快取等功能。
在一種可選的實施例中,圖5是根據本發明實施例的一種可選的可程式化邏輯裝置的結構示意圖,如圖5所示,上述可程式化邏輯裝置包括:第二主計算區50、第二密碼計算區52和第二儲存區54,其中:
第二主計算區50,包括:上述可程式化邏輯裝置的軟核處理器和硬體硬核;
第二密碼計算區52,與上述第二主計算區連接,設置有至少一種密碼演算法的引擎,並使用上述引擎執行密碼運算過程;
第二儲存區54,與上述第二主計算區50和上述第二密碼計算區52連接,用於儲存資料。
作為一種可選的實施例,上述軟核處理器可以為NIOS軟核處理器,用於實現控制器模組功能;上述硬體硬核可以為PCIe硬體硬核,用於實現介面模組功能,其中,硬核可以理解為固化在可程式化邏輯裝置內部的特殊硬體電路。
仍如圖5所示,上述第二密碼計算區52中包括以下一種或多種密碼演算法的引擎:公開金鑰密碼引擎(SM2)、雜湊演算法引擎(SM3)、對稱密碼引擎(SM4)、隨機數引擎(RSA)、國際對稱演算法(AES)等。
需要說明的是,上述第二密碼計算區42可以用於執行對密碼計算能力及儲存能力要求較高的密碼運算過程。
在一種可選的實施例中,仍如圖5所示,上述第二儲存區54,包括以下至少之一:系統韌體儲存區、預先配置有動態策略的用戶策略韌體儲存區、運算密鑰儲存區、用戶資料儲存區。
在上述可選的實施例中,上述系統韌體儲存區可以為靜態儲存區,該儲存區只可讀不可寫;上述用戶策略韌體儲存區可讀可寫,該儲存區中包括用戶預先配置的動態策略;上述運算密鑰儲存區可以用於儲存可程式化邏輯裝置透過密碼運算演算法,計算得到的用戶密鑰、主密鑰等運算相關的資料;上述用戶資料儲存區可以用於儲存除上述用戶密鑰、主密鑰之外的其他用戶資料。
在一種可選的實施例中,上述第二密碼計算區,用於依據上述用戶策略韌體儲存區中的用戶策略選擇上述引擎進行密碼運算過程。
在一種可選的實施例中,上述第二密碼計算區用於依據上述可信計算模組內的度量根對待載入資料進行驗證,並在驗證通過時進行資料的載入。
在本發明上述可選的實施例中,上述第二密碼計算區執行的密碼運算過程中,可以為根據用戶韌體動態儲存區的用戶策略制定的實際應用的密碼演算法需求,在印刷電路板PCB內動態載入資料,並且,在執行動態載入之前,上述第二密碼計算區可以依據上述可信計算模組內的可信度量根驗證待載入資料的完整性及合法性,並在驗證通過時進行資料的載入。
基於本發明所提供的上述實施例,透過可信計算模組;可程式化邏輯裝置,與上述可信計算模組透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
容易注意到的是,本發明採用將可信計算模組與可程式化邏輯裝置整合的方式,透過可程式化邏輯裝置的可重構特性,可以滿足業務的特定定制化需求,並且克服了傳統高速加密卡不能保證平臺及系統,及FPGA晶片與可信晶片的整合其自身的安全的問題;透過可程式化邏輯裝置的高速運算能力,解決了傳統的高速加密卡及可信晶片計算能力及儲存能力的不足的技術問題。
此外,還需要說明的是,上述可程式化邏輯裝置的與可信計算模組之間透過印刷電路板PCB內部的導通電路直接進行通訊,並且,可程式化邏輯裝置的密碼演算法的載入是透過印刷電路板PCB內的動態載入,有效驗證了其完整性,保證了敏感資料的計算安全。
透過本發明上述實施例所提供的方案,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
實施例 2
根據本發明實施例,還提供了另一種加密卡的實施例,圖6是根據本發明實施例的另一種加密卡的結構示意圖,出於描述的目的,所繪結構僅為合適環境的一個示例,並非對本發明的使用範圍或功能提出任何局限。也不應將該加密卡,解釋為對圖6所示的任一組件或其組合具有任何依賴或需求。
需要說明的是,本發明實施例2所提供的系統實施例可以廣泛應用在網際網路上,例如,電腦資訊安全領域,可以但不限於應用於任意一種敏感資訊系統中,例如,金融、通訊、電子商務等領域的資訊系統。
如圖6所示,上述加密卡包括:可信計算模組60、可程式化邏輯裝置62和通訊介面64,其中:
可信計算模組60,設置於印刷電路板PCB中;可程式化邏輯裝置62,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接;通訊介面64,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
在一種可選的實施例中,上述導線為設置於上述PCB上的電導線。
需要說明的是,上述可程式化邏輯裝置的與可信計算模組之間透過印刷電路板PCB內部的導線直接進行通訊,並且,可程式化邏輯裝置的密碼演算法的載入是透過印刷電路板PCB內的動態載入,有效驗證了其完整性,保證了敏感資料的計算安全。
作為一種可選的實施例,上述可信計算模組與可程式化邏輯裝置之間可以但不限於透過串列通訊介面連接,還可以透過印刷電路板卡內部的導通電路直接進行通訊,實現資料互動,而不需要透過映射主機Host的記憶體進行通訊。
可選的,上述可信計算模組可以包括但不限於為可信平臺控制模組/可信賴平臺模組(TPCM/TPM)等,其中,可信計算模組具體可以為一種可信計算晶片,例如,安全晶片;上述可程式化邏輯裝置可以為FPGA晶片;上述加密卡的外接設備可以為主板通用部件;上述加密卡與外接設備之間可以透過通訊介面進行連接。
作為一種可選的實施例,上述加密卡可以包括一個殼體,可信計算模組和可程式化邏輯裝置設置於該殼體內部,上述通訊介面的一端與上述可信計算模組、可程式化邏輯裝置連接,上述通訊介面的另一端穿過上述殼體,以便實現與周邊設備的連接。
在一種可選的實施例中,上述通訊介面包括以下至少之一:通用輸入輸出(General Purpose Input Output,GPIO)、串列周邊設備介面(Serial Peripheral Interface,SPI)、積體電路匯流排(Inter-Integrated Circuit,I2C)、PCIe介面。
基於本發明所提供的上述實施例,透過可信計算模組,設置於印刷電路板PCB中;可程式化邏輯裝置,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
容易注意到的是,本發明採用將可信計算模組與可程式化邏輯裝置整合的方式,透過可程式化邏輯裝置的可重構特性,可以滿足業務的特定定制化需求,並且克服了傳統高速加密卡不能保證平臺及系統,及FPGA晶片與可信晶片的整合其自身的安全的問題;透過可程式化邏輯裝置的高速運算能力,解決了傳統的高速加密卡及可信晶片計算能力及儲存能力的不足的技術問題。
透過本發明上述實施例所提供的方案,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
需要說明的是,本實施例的可選或較佳實施方式可以參見實施例1中的相關描述,此處不再贅述。
實施例 3
根據本發明實施例,還提供了一種加密卡的實施例,圖7是根據本發明實施例的另一種加密卡的結構示意圖,出於描述的目的,所繪結構僅為合適環境的一個示例,並非對本發明的使用範圍或功能提出任何局限。也不應將該加密卡,解釋為對圖7所示的任一組件或其組合具有任何依賴或需求。
需要說明的是,本發明實施例3所提供的系統實施例可以廣泛應用在網際網路上,例如,電腦資訊安全領域,可以但不限於應用於任意一種敏感資訊系統中,例如,金融、通訊、電子商務等領域的資訊系統。如圖7所示,上述加密卡包括:可信計算模組70、可程式化邏輯裝置72,其中:
上述可信計算模組70,設置於印刷電路板PCB中,上述可信計算模組的儲存區中包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區;上述可程式化邏輯裝置72,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接。
在一種可選的實施例中,上述導線為設置於上述PCB上的電導線。
需要說明的是,上述可程式化邏輯裝置的與可信計算模組之間透過印刷電路板PCB內部的導線直接進行通訊,並且,可程式化邏輯裝置的密碼演算法的載入是透過印刷電路板PCB內的動態載入,有效驗證了其完整性,保證了敏感資料的計算安全。
作為一種可選的實施例,上述可信計算模組與可程式化邏輯裝置分別設置有串列通訊介面,可以但不限於透過串列通訊介面與上述導線直接進行連接,還可以透過印刷電路板卡內部的導通電路直接進行通訊,實現資料互動,而不需要透過映射主機Host的記憶體進行通訊。
在一種可選的實施例中,上述可信計算模組的儲存區中包括以下至少之一:晶片系統韌體儲存區、平臺配置暫存器(PCR)、主密鑰儲存區、度量根儲存區、儲存根儲存區、報告根儲存區。
在另一種可選的實施例中,上述儲存區中還可以包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區,如圖4所示的FPGA密碼運算相關韌體儲存區,可以但不限於實現密碼演算法、介面、時序、狀態、快取等功能。
基於本發明所提供的上述實施例,透過可信計算模組,設置於印刷電路板PCB中,上述可信計算模組的儲存區中包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區;上述可程式化邏輯裝置,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接。
容易注意到的是,本發明採用將可信計算模組與可程式化邏輯裝置整合的方式,透過可程式化邏輯裝置的可重構特性,可以滿足業務的特定定制化需求,並且克服了傳統高速加密卡不能保證平臺及系統,及FPGA晶片與可信晶片的整合其自身的安全的問題;透過可程式化邏輯裝置的高速運算能力,解決了傳統的高速加密卡及可信晶片計算能力及儲存能力的不足的技術問題。
透過本發明上述實施例所提供的方案,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
需要說明的是,本實施例的可選或較佳實施方式可以參見實施例1、2中的相關描述,此處不再贅述。
實施例 4
根據本發明實施例,還提供了一種電子設備,包括任意一項上述實施例1-3中任意一種加密卡,其中,上述加密卡包括:可信計算模組;可程式化邏輯裝置,與上述可信計算模組透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
可選的,上述電子設備可以為電腦設備,行動設備(例如,智慧手機、IPAD、可穿戴設備)等。
需要說明的是,本實施例的可選或較佳實施方式可以參見實施例1-3中的相關描述,此處不再贅述。
實施例 5
根據本發明實施例,還提供了一種加密服務方法的實施例,需要說明的是,在附圖的流程圖顯示的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中顯示了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所顯示或描述的步驟。
本發明實施例5所提供的方法實施例可以在行動終端、電腦終端或者類似的運算裝置中執行。圖8顯示了一種用於實現圖像的識別方法的電腦終端(或行動設備)的硬體結構方塊圖,如圖8所示,電腦終端80(或行動設備80)可以包括一個或多個(圖中採用802a、802b,……,802n來顯示)處理器802(處理器802可以包括但不限於微處理器MCU或可程式化邏輯裝置FPGA等的處理裝置)、用於儲存資料的記憶體804、以及用於通訊功能的傳輸模組806。除此以外,還可以包括:顯示器、輸入/輸出介面(I/O介面)、通用串列匯流排(USB)埠(可以作為I/O介面的埠中的一個埠被包括)、網路介面、電源和/或相機。本領域普通技術人員可以理解,圖8所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,電腦終端80還可包括比圖8中所示更多或者更少的組件,或者具有與圖8所示不同的配置。
應當注意到的是上述一個或多個處理器802和/或其他資料處理電路在本文中通常可以被稱為“資料處理電路”。該資料處理電路可以全部或部分的體現為軟體、硬體、韌體或其他任意組合。此外,資料處理電路可為單一獨立的確定模組,或全部或部分的結合到電腦終端80(或行動設備)中的其他元件中的任意一個內。如本發明實施例中所關於到的,該資料處理電路作為一種處理器控制(例如與介面連接的可變電阻終端路徑的選擇)。
記憶體804可用於儲存應用軟體的軟體程序以及模組,如本發明實施例中的圖像的識別方法對應的程序指令/資料儲存裝置,處理器802透過運行儲存在記憶體804內的軟體程序以及模組,從而執行各種功能應用以及資料處理,即實現上述的應用程序的漏洞檢測方法。記憶體804可包括高速隨機記憶體,還可包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體804可進一步包括相對於處理器802遠程設置的記憶體,這些遠程記憶體可以透過網路連接至電腦終端80。上述網路的實例包括但不限於網際網路、企業內部網路、區域網路、行動通訊網路及其組合。
傳輸裝置806用於經由一個網路接收或者發送資料。上述的網路具體實例可包括電腦終端80的通訊供應商提供的無線網路。在一個實例中,傳輸裝置806包括一個網路適配器(Network Interface Controller,NIC),其可透過基地台與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸裝置806可以為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。
顯示器可以例如觸控螢幕式的液晶顯示器(LCD),該液晶顯示器可使得用戶能夠與電腦終端80(或行動設備)的用戶介面進行互動。
在上述運行環境下,本發明提供了如圖9所示的一種加密服務方法。圖9是根據本發明實施例的一種加密服務方法的流程圖,如圖9所示,本發明實施例所提供的圖像的識別方法可以透過如下方法步驟實現:
步驟S902,接收用戶端的加密請求;
步驟S904,將上述加密請求輸入上述的加密卡。
作為一種可選的實施例,上述加密卡可以為上述實施例2中任意一種加密卡。
步驟S906,接收上述加密卡的輸出;
步驟S908,將上述輸出反饋給上述用戶端。
在上述步驟S902至步驟S908中,執行主體可以為通訊介面,例如,本發明上述實施例1-4中任意一項通訊介面。
在一種可選的實施例中,上述通訊介面包括以下至少之一:通用輸入輸出(General Purpose Input Output,GPIO)、串列周邊設備介面(Serial Peripheral Interface,SPI)、積體電路匯流排(Inter-Integrated Circuit,I2C)、PCIe介面。
在另一種可選的實施例中,上述加密卡可以為本發明上述實施例1-4中任意一種加密卡;上述用戶端可以為外接設備中的用戶端,上述外接設備可以為本發明上述實施例1-4中任意一種外接設備。
需要說明的是,本發明實施例所提供的方法實施例可以廣泛應用在網際網路上,例如,電腦資訊安全領域,可以但不限於應用於任意一種敏感資訊系統中,例如,金融、通訊、電子商務等領域的資訊系統。
仍需要說明的是,本發明實施例中的加密卡可以為可信高速資料加密卡,具有實現從開機到作業系統核心載入前的平臺可信引導功能,可以保證業務敏感資料加解密的計算安全;在與外接設備互動的過程中,可以保障彼此的平臺及身份的安全性和合法性。
作為一種可選的實施例,上述加密卡可以包括一個殼體,可信計算模組和可程式化邏輯裝置設置於該殼體內部,上述通訊介面的一端與上述可信計算模組、可程式化邏輯裝置連接,上述通訊介面的另一端穿過上述殼體,以便實現與周邊設備的連接。
基於本發明所提供的上述實施例,透過接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
透過本發明上述實施例所提供的方案,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發明並不受所描述的動作順序的限制,因為依據本發明,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬較佳實施例,所關於的動作和模組並不一定是本發明所必須的。
透過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的方法可借助軟體加必需的通用硬體平臺的方式來實現,當然也可以透過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,電腦,伺服器,或者網路設備等)執行本發明各個實施例上述的方法。
需要說明的是,本實施例的可選或較佳實施方式可以參見實施例1-4中的相關描述,此處不再贅述。
實施例 6
根據本發明實施例,還提供了一種用於實施上述加密服務方法的裝置,圖10是根據本發明實施例的一種加密服務裝置的結構示意圖,如圖10所示,該裝置包括:第一接收模組101、輸入模組103、第二接收模組105、反饋模組107,其中:
第一接收模組101,用於接收用戶端的加密請求;輸入模組103,用於將上述加密請求輸入上述的加密卡;第二接收模組105,用於接收上述加密卡的輸出;反饋模組107,用於將上述輸出反饋給上述用戶端。
此處需要說明的是,上述第一接收模組101、輸入模組103、第二接收模組105、反饋模組107對應於實施例5中的步驟S902至步驟S908,四個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例5所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例5提供的電腦終端80中。
仍需要說明的是,本實施例的較佳實施方式可以參見實施例1-5中的相關描述,此處不再贅述。
實施例 7
本發明的實施例可以提供一種電腦終端,該電腦終端可以是電腦終端群中的任意一個電腦終端設備。可選地,在本實施例中,上述電腦終端也可以替換為行動終端等終端設備。
可選地,在本實施例中,上述電腦終端可以位於電腦網路的多個網路設備中的至少一個網路設備。
本發明實施例5所提供的方法實施例可以在行動終端、電腦終端或者類似的運算裝置中執行。
此處需要說明的是,在一些可選實施例中,上述圖8所示的電腦終端80可以包括硬體元件(包括電路)、軟體元件(包括儲存在電腦可讀媒體上的電腦代碼)、或硬體元件和軟體元件兩者的結合。應當指出的是,圖8僅為特定具體實例的一個實例,並且意於顯示可存在於上述電腦終端80中的部件的類型。
在本實施例中,上述電腦終端可以執行應用程序的加密服務方法中以下步驟的程序代碼:接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
可選的,上述電腦終端中的處理器可以執行如下步驟的程序代碼:接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
採用本發明實施例,提供了一種加密服務的方案。透過接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
本領域普通技術人員可以理解,圖8所示的結構僅為示意,電腦終端也可以是智慧手機(如Android手機、iOS手機等)、平板電腦、掌聲電腦以及行動網際網路設備(Mobile Internet Devices,MID)、PAD等終端設備。圖8其並不對上述電子裝置的結構造成限定。例如,電腦終端80還可包括比圖8中所示更多或者更少的組件(如網路介面、顯示裝置等),或者具有與圖8所示不同的配置。
本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以透過程序來指令終端設備相關的硬體來完成,該程序可以儲存於一電腦可讀儲存媒體中,儲存媒體可以包括:快閃記憶體、唯讀記憶體(Read-Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)、磁碟或光碟等。
實施例 8
本發明的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例5所提供的加密服務方法所執行的程序代碼。
可選地,在本實施例中,上述儲存媒體可以位於電腦網路中電腦終端群中的任意一個電腦終端中,或者位於行動終端群中的任意一個行動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程序代碼:接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
在本發明的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本發明所提供的幾個實施例中,應該理解到,所揭露的技術內容,可透過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以整合到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦接或直接耦接或通訊連接可以是透過一些介面,單元或模組的間接耦接或通訊連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是實體上分開的,作為單元顯示的部件可以是或者也可以不是實體單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本發明各個實施例中的各功能單元可以整合在一個處理單元中,也可以是各個單元單獨實體存在,也可以兩個或兩個以上單元整合在一個單元中。上述整合的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述整合的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個電腦可讀取儲存媒體中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台電腦設備(可為個人電腦、伺服器或者網路設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB隨身碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、移動硬碟、磁碟或者光碟等各種可以儲存程序代碼的媒體。
以上所述僅是本發明的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。
需要說明的是,本發明的說明書和申請專利範圍第書及上述附圖中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
首先,在對本發明實施例進行描述的過程中出現的部分名詞或術語適用於如下解釋:
可信計算(Trusted Computing):是在計算和通訊系統中廣泛使用基於硬體安全模組支援下的可信計算平臺,以提高系統整體的安全性。
可信平臺控制模組/可信賴平臺模組(TPCM/TPM):是為證據提供完整性和真實性保障的安全晶片,一般透過實體方式被強綁定到計算平臺。
現場可程式化閘陣列(Field-Programmable Gate Array,FPGA):是一種高性能、低功率消耗的可程式化邏輯裝置,不是傳統馮諾依曼結構,直接生成電路來進行演算法的計算,可以根據演算法以及演算法指標進行針對性的設計,具有非常高的執行和計算的效率,非常適合關注執行效率的在線識別系統。而積體電路特殊應用積體電路(ASIC)晶片是專用晶片,計算性能和效率最高,但開發週期長,研發成本高,很難適配目前正在快速迭代的深度學習演算法領域。
可信高速資料加密卡(Trusted high-speed data encryption card,THSDEC):是指一種具有可信功能的資料加密卡。
主密鑰:是在一對用戶之間的長期共享的秘密密鑰,作為生產會話密鑰或密鑰加密密鑰的種子,實現這些密鑰的分發和保護,主密鑰的分發一般使用離線安全實體通道完成。
韌體:是指寫入可擦寫唯讀記憶體(EROM)或電可抹可程式化唯讀記憶體中的程序,透過韌體作業系統才可以按照標準的設備驅動實現特定機器的運行動作,例如,光驅、刻錄機等都有內部韌體。
度量根(RTM):是指一種可靠地進行完整性度量的計算引擎。
儲存根(RTS):是一個準確的記錄完整度量的摘要值和順序計算引擎,可以將完整性度量保存在日誌中,保存委託給可信平臺模組TPM的密鑰和資料,並管理少量的記憶體,其中,存放的密鑰用於完成解密和簽名的操作。
報告根(RTR):是一個可信的實體來精確和正確的報告資訊,可靠報告可信儲存根RTS的計算引擎。
實施例 1
為了保證資訊資料和資訊系統的完整性、保密性和安全性,現有技術中普遍使用可應用於各類密碼安全應用系統的高速加密卡或可信晶片進行加密/解密。
例如,相關技術中的高速加密卡,在密碼運算速度及資料壓縮上比傳統的資料加密卡性能上有了很大提升,但存在如下不足:不可重構且無法滿足業務的特定定制化需求,不能滿足合規需求,還不能保證平臺及系統,及其自身的安全;再例如,相關技術中提供的PCIe密碼卡,雖然在一定程度上解決了資訊資料的安全性保護的問題,但是其計算能力、儲存能力,以及保證平臺和系統安全的能力均無法滿足應用系統的需求;又例如,TPM卡以及TPCM卡雖然可以保證資訊資料的敏感性保護、平臺及系統安全,但是,其密碼運算能力及儲存能力均無法滿足業務高性能的需求;此外,目前現有的可信晶片卡,其密鑰以明文的形式出現在記憶體中,無法有效保證資料的計算安全。
由於現有的加密卡或者可信晶片均存在上述不足之處,並且,加密卡業務存在以下需求背景:例如,加密卡業務所承載的設備需要保證其平臺及系統安全;加密卡業務中的關鍵敏感資料(例如密鑰、證書等)需要明文不落盤,以保證敏感資料的安全性;加密卡業務中敏感資料的計算,需要保證其計算安全;加密卡業務中敏感資料的計算還需要保證其計算能力及儲存能力。
在上述運行環境下,本發明實施例提供了一種加密卡的實施例,圖1是根據本發明實施例的一種加密卡的結構示意圖,出於描述的目的,所繪結構僅為合適環境的一個示例,並非對本發明的使用範圍或功能提出任何局限。也不應將該加密卡,解釋為對圖1所示的任一組件或其組合具有任何依賴或需求。
需要說明的是,本發明實施例1所提供的系統實施例可以廣泛應用在網際網路上,例如,電腦資訊安全領域,可以但不限於應用於任意一種敏感資訊系統中,例如,金融、通訊、電子商務等領域的資訊系統。
如圖1所示,上述加密卡,包括:可信計算模組10、可程式化邏輯裝置12和通訊介面14,其中:可信計算模組10;可程式化邏輯裝置12,與上述可信計算模組10透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面14,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
需要說明的是,本發明實施例中的加密卡可以為可信高速資料加密卡,具有實現從開機到作業系統核心載入前的平臺可信引導功能,可以保證業務敏感資料加解密的計算安全;在與外接設備互動的過程中,可以保障彼此的平臺及身份的安全性和合法性。
可選的,上述可信計算模組10可以包括但不限於為可信平臺控制模組/可信賴平臺模組(TPCM/TPM)等,其中,可信計算模組10具體可以為一種可信計算晶片,例如,安全晶片;上述可程式化邏輯裝置12可以為FPGA晶片;上述加密卡的外接設備可以為主板通用部件;上述加密卡與外接設備之間可以透過通訊介面14進行連接。
作為一種可選的實施例,上述加密卡可以包括一個殼體,可信計算模組和可程式化邏輯裝置設置於該殼體內部,上述通訊介面的一端與上述可信計算模組、可程式化邏輯裝置連接,上述通訊介面的另一端穿過上述殼體,以便實現與周邊設備的連接。
在一種可選的實施例中,上述通訊介面包括以下至少之一:通用輸入輸出(General Purpose Input Output,GPIO)、串列周邊設備介面(Serial Peripheral Interface,SPI)、積體電路匯流排(Inter-Integrated Circuit,I2C)、PCIe介面。
在另一種可選的實施例中,上述可程式化邏輯裝置包括:可程式化閘陣列FPGA,還可以包括但不限於為:ARM處理器整合的顯示晶片/圖形處理器(CPU-ARM-GPU)。
作為一種可選的實施例,上述可信計算模組、上述可程式化邏輯裝置和上述通訊介面設置於印刷電路板PCB上,例如,整合設置於PCIe卡的印刷電路板PCB上。
在本發明提供的可選實施例中,上述導通電路包括:設置於上述PCB上的電導線。
作為一種可選的實施例,上述可信計算模組與可程式化邏輯裝置之間可以但不限於透過串列通訊介面連接,還可以透過印刷電路板卡內部的導通電路直接進行通訊,實現資料互動,而不需要透過映射主機Host的記憶體進行通訊。
需要說明的是,不同於相關技術中的可信計算模組的密鑰管理體系和可程式化邏輯裝置的密鑰管理體系獨立存在,在本發明可選的實施例中,上述可信計算模組和可程式化邏輯裝置可以採用同一密鑰管理體系,便於實現密鑰管理和資料互動。
圖2是根據本發明實施例的一種可選的加密卡的結構示意圖,如圖2所示,上述加密卡包括:可信平臺控制模組/可信賴平臺模組(即,可信計算模組);與可信平臺控制模組/可信賴平臺模組連接的雙倍速率同步動態隨機記憶體(DDR);與可信平臺控制模組/可信賴平臺模組連接的固態記憶體(FLash);基於可程式化邏輯裝置的資料加密卡(HSEDC);與上述資料加密卡連接的雙倍速率同步動態隨機記憶體;與上述資料加密卡連接的固態記憶體。
需要說明的是,本發明實施例中,加密卡兼容可信平臺控制模組/可信賴平臺模組架構,可以實現場合和需求均合規的技術效果。
仍圖2所示,上述可信平臺控制模組/可信賴平臺模組與上述資料加密卡整合設置於PCIe卡內,上述可信平臺控制模組/可信賴平臺模組與上述資料加密卡之間透過串列通訊介面(例如:串列器/解串器,Serdes x8,x8為鏈路寬度)連接,並整合設置於PCIe卡的印刷電路板PCB上。其中,上述串列器/解串器是一種主流的分時多路複用(TDM)、點對點(P2P)的串列通訊技術。
作為一種可選的實施例,仍如圖2所示,上述加密卡還包括:可程式化邏輯裝置的切換晶片(PCIe-Switch);上述可信平臺控制模組/可信賴平臺模組、資料加密卡分別與上述切換晶片連接,上述切換晶片與PCIe插槽連接。
在上述可選的實施例中,上述PCIe插槽作為基於PCI局部匯流排的擴展插槽,可以但不限於插接顯卡、聲卡、網卡、USB2.0卡、IDE介面卡、電視卡、視頻採集卡以及其他類型的擴展卡。
需要說明的是,本發明中的圖1至圖2中所示加密卡的具體結構僅是示意,在具體應用時,本發明中的加密卡可以比圖1至圖2所示的加密卡具有多或少的結構。例如,上述加密卡中固態記憶體、雙倍速率同步動態隨機記憶體、串列器/解串器等的設置數量可以但不限於如圖2所示,可以根據具體應用場景進行設置。
圖3是根據本發明實施例的一種可選的加密卡與外接設備的連接結構示意圖,外接設備中可以包括如圖3所示的:可信軟體基(TSB)/可信軟體堆層(TSS)、基板管理控制器/基本輸入輸出系統、電源控制複雜可程式化邏輯裝置、通用串列匯流排(USB)控制器、乙太網路控制器、鍵盤控制器、音頻控制器;仍如圖3所示,上述加密卡與外接設備之間可以透過通訊介面進行通訊。
作為一種可選的實施例,上述加密卡與可信軟體基/可信軟體堆層之間,可以但不限於透過PCIe介面或串列周邊設備介面SPI匯流排進行命令和資料的互動,其中,上述可信軟體基/可信軟體堆層可以設置在外接設備中的應用程序(APP)或者作業系統(OS)中。
作為另一種可選的實施例,上述加密卡還可以透過多路複用器對通用輸入輸出(GPIO)、串列周邊設備介面(SPI)、積體電路匯流排(I2C)進行複用的方式,實現與外接設備中的基板管理控制器(Baseboard Management Controller,BMC)/基本輸入輸出系統(Basic Input Output System,BIOS)的度量。
還存在一種可選的實施例,上述加密卡還可以透過多路複用器對通用輸入輸出(GPIO)、串列周邊設備介面(SPI)、積體電路匯流排(I2C)進行複用的方式,實現與上述通用串列匯流排(USB)控制器、乙太網路控制器、鍵盤控制器、音頻控制器之間的連接。
在一種可選的實施例中,圖4是根據本發明實施例的一種可選的可信計算模組的結構示意圖,如圖4所示,上述可信計算模組包括:第一主計算區40、第一密碼計算區42、第一儲存區44,其中:
第一主計算區40,用於執行除密碼運算過程之外的運算過程;
第一密碼計算區42,與上述第一主計算區40連接,設置有至少一種密碼演算法的引擎,並使用上述引擎執行密碼運算過程;
第一儲存區44,與上述第一主計算區40和上述第一密碼計算區42連接,用於儲存資料。
在一種可選的實施例中,如圖4所示,上述第一主計算區40包括中央處理器(CPU)和記憶體,其中,上述第一主計算區40可以用於執行除密碼運算過程之外的運算過程,其中,上述密碼運算過程對密碼計算能力及儲存能力要求不高,但安全要求性較高;上述第一主計算區可以滿足較高的計算能力和儲存能力的要求。
在另一種可選的實施例中,仍如圖4所示,上述第一密碼計算區42包括以下一種或多種密碼演算法的引擎,例如,公開金鑰密碼引擎(SM2)、雜湊演算法引擎(SM3)、對稱密碼引擎(SM4)、隨機數引擎(RSA)、國際對稱演算法(Advanced Encryption Standard,AES)等,上述第一密碼計算區42可以用於負責密碼計算能力及儲存能力要求不高密碼運算過程。
還一種可選的實施例,仍如圖4所示,上述第一儲存區44包括以下至少之一:晶片系統韌體儲存區、平臺配置暫存器(PCR)、主密鑰儲存區、度量根儲存區、儲存根儲存區、報告根儲存區。
需要說明的是,上述主密鑰儲存區中儲存有:用於保護上述可程式化邏輯裝置中的用戶密鑰;如圖4所示,可以在同一儲存區記憶體儲存度量根、儲存根、報告根,也可以獨立設置度量根儲存區、儲存根儲存區、報告根儲存區,用於對應儲存度量根、儲存根、報告根。
在一種可選的實施例中,上述儲存區中還包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區,如圖4所示的FPGA密碼運算相關韌體儲存區,可以但不限於實現密碼演算法、介面、時序、狀態、快取等功能。
在一種可選的實施例中,圖5是根據本發明實施例的一種可選的可程式化邏輯裝置的結構示意圖,如圖5所示,上述可程式化邏輯裝置包括:第二主計算區50、第二密碼計算區52和第二儲存區54,其中:
第二主計算區50,包括:上述可程式化邏輯裝置的軟核處理器和硬體硬核;
第二密碼計算區52,與上述第二主計算區連接,設置有至少一種密碼演算法的引擎,並使用上述引擎執行密碼運算過程;
第二儲存區54,與上述第二主計算區50和上述第二密碼計算區52連接,用於儲存資料。
作為一種可選的實施例,上述軟核處理器可以為NIOS軟核處理器,用於實現控制器模組功能;上述硬體硬核可以為PCIe硬體硬核,用於實現介面模組功能,其中,硬核可以理解為固化在可程式化邏輯裝置內部的特殊硬體電路。
仍如圖5所示,上述第二密碼計算區52中包括以下一種或多種密碼演算法的引擎:公開金鑰密碼引擎(SM2)、雜湊演算法引擎(SM3)、對稱密碼引擎(SM4)、隨機數引擎(RSA)、國際對稱演算法(AES)等。
需要說明的是,上述第二密碼計算區42可以用於執行對密碼計算能力及儲存能力要求較高的密碼運算過程。
在一種可選的實施例中,仍如圖5所示,上述第二儲存區54,包括以下至少之一:系統韌體儲存區、預先配置有動態策略的用戶策略韌體儲存區、運算密鑰儲存區、用戶資料儲存區。
在上述可選的實施例中,上述系統韌體儲存區可以為靜態儲存區,該儲存區只可讀不可寫;上述用戶策略韌體儲存區可讀可寫,該儲存區中包括用戶預先配置的動態策略;上述運算密鑰儲存區可以用於儲存可程式化邏輯裝置透過密碼運算演算法,計算得到的用戶密鑰、主密鑰等運算相關的資料;上述用戶資料儲存區可以用於儲存除上述用戶密鑰、主密鑰之外的其他用戶資料。
在一種可選的實施例中,上述第二密碼計算區,用於依據上述用戶策略韌體儲存區中的用戶策略選擇上述引擎進行密碼運算過程。
在一種可選的實施例中,上述第二密碼計算區用於依據上述可信計算模組內的度量根對待載入資料進行驗證,並在驗證通過時進行資料的載入。
在本發明上述可選的實施例中,上述第二密碼計算區執行的密碼運算過程中,可以為根據用戶韌體動態儲存區的用戶策略制定的實際應用的密碼演算法需求,在印刷電路板PCB內動態載入資料,並且,在執行動態載入之前,上述第二密碼計算區可以依據上述可信計算模組內的可信度量根驗證待載入資料的完整性及合法性,並在驗證通過時進行資料的載入。
基於本發明所提供的上述實施例,透過可信計算模組;可程式化邏輯裝置,與上述可信計算模組透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
容易注意到的是,本發明採用將可信計算模組與可程式化邏輯裝置整合的方式,透過可程式化邏輯裝置的可重構特性,可以滿足業務的特定定制化需求,並且克服了傳統高速加密卡不能保證平臺及系統,及FPGA晶片與可信晶片的整合其自身的安全的問題;透過可程式化邏輯裝置的高速運算能力,解決了傳統的高速加密卡及可信晶片計算能力及儲存能力的不足的技術問題。
此外,還需要說明的是,上述可程式化邏輯裝置的與可信計算模組之間透過印刷電路板PCB內部的導通電路直接進行通訊,並且,可程式化邏輯裝置的密碼演算法的載入是透過印刷電路板PCB內的動態載入,有效驗證了其完整性,保證了敏感資料的計算安全。
透過本發明上述實施例所提供的方案,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
實施例 2
根據本發明實施例,還提供了另一種加密卡的實施例,圖6是根據本發明實施例的另一種加密卡的結構示意圖,出於描述的目的,所繪結構僅為合適環境的一個示例,並非對本發明的使用範圍或功能提出任何局限。也不應將該加密卡,解釋為對圖6所示的任一組件或其組合具有任何依賴或需求。
需要說明的是,本發明實施例2所提供的系統實施例可以廣泛應用在網際網路上,例如,電腦資訊安全領域,可以但不限於應用於任意一種敏感資訊系統中,例如,金融、通訊、電子商務等領域的資訊系統。
如圖6所示,上述加密卡包括:可信計算模組60、可程式化邏輯裝置62和通訊介面64,其中:
可信計算模組60,設置於印刷電路板PCB中;可程式化邏輯裝置62,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接;通訊介面64,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
在一種可選的實施例中,上述導線為設置於上述PCB上的電導線。
需要說明的是,上述可程式化邏輯裝置的與可信計算模組之間透過印刷電路板PCB內部的導線直接進行通訊,並且,可程式化邏輯裝置的密碼演算法的載入是透過印刷電路板PCB內的動態載入,有效驗證了其完整性,保證了敏感資料的計算安全。
作為一種可選的實施例,上述可信計算模組與可程式化邏輯裝置之間可以但不限於透過串列通訊介面連接,還可以透過印刷電路板卡內部的導通電路直接進行通訊,實現資料互動,而不需要透過映射主機Host的記憶體進行通訊。
可選的,上述可信計算模組可以包括但不限於為可信平臺控制模組/可信賴平臺模組(TPCM/TPM)等,其中,可信計算模組具體可以為一種可信計算晶片,例如,安全晶片;上述可程式化邏輯裝置可以為FPGA晶片;上述加密卡的外接設備可以為主板通用部件;上述加密卡與外接設備之間可以透過通訊介面進行連接。
作為一種可選的實施例,上述加密卡可以包括一個殼體,可信計算模組和可程式化邏輯裝置設置於該殼體內部,上述通訊介面的一端與上述可信計算模組、可程式化邏輯裝置連接,上述通訊介面的另一端穿過上述殼體,以便實現與周邊設備的連接。
在一種可選的實施例中,上述通訊介面包括以下至少之一:通用輸入輸出(General Purpose Input Output,GPIO)、串列周邊設備介面(Serial Peripheral Interface,SPI)、積體電路匯流排(Inter-Integrated Circuit,I2C)、PCIe介面。
基於本發明所提供的上述實施例,透過可信計算模組,設置於印刷電路板PCB中;可程式化邏輯裝置,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
容易注意到的是,本發明採用將可信計算模組與可程式化邏輯裝置整合的方式,透過可程式化邏輯裝置的可重構特性,可以滿足業務的特定定制化需求,並且克服了傳統高速加密卡不能保證平臺及系統,及FPGA晶片與可信晶片的整合其自身的安全的問題;透過可程式化邏輯裝置的高速運算能力,解決了傳統的高速加密卡及可信晶片計算能力及儲存能力的不足的技術問題。
透過本發明上述實施例所提供的方案,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
需要說明的是,本實施例的可選或較佳實施方式可以參見實施例1中的相關描述,此處不再贅述。
實施例 3
根據本發明實施例,還提供了一種加密卡的實施例,圖7是根據本發明實施例的另一種加密卡的結構示意圖,出於描述的目的,所繪結構僅為合適環境的一個示例,並非對本發明的使用範圍或功能提出任何局限。也不應將該加密卡,解釋為對圖7所示的任一組件或其組合具有任何依賴或需求。
需要說明的是,本發明實施例3所提供的系統實施例可以廣泛應用在網際網路上,例如,電腦資訊安全領域,可以但不限於應用於任意一種敏感資訊系統中,例如,金融、通訊、電子商務等領域的資訊系統。如圖7所示,上述加密卡包括:可信計算模組70、可程式化邏輯裝置72,其中:
上述可信計算模組70,設置於印刷電路板PCB中,上述可信計算模組的儲存區中包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區;上述可程式化邏輯裝置72,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接。
在一種可選的實施例中,上述導線為設置於上述PCB上的電導線。
需要說明的是,上述可程式化邏輯裝置的與可信計算模組之間透過印刷電路板PCB內部的導線直接進行通訊,並且,可程式化邏輯裝置的密碼演算法的載入是透過印刷電路板PCB內的動態載入,有效驗證了其完整性,保證了敏感資料的計算安全。
作為一種可選的實施例,上述可信計算模組與可程式化邏輯裝置分別設置有串列通訊介面,可以但不限於透過串列通訊介面與上述導線直接進行連接,還可以透過印刷電路板卡內部的導通電路直接進行通訊,實現資料互動,而不需要透過映射主機Host的記憶體進行通訊。
在一種可選的實施例中,上述可信計算模組的儲存區中包括以下至少之一:晶片系統韌體儲存區、平臺配置暫存器(PCR)、主密鑰儲存區、度量根儲存區、儲存根儲存區、報告根儲存區。
在另一種可選的實施例中,上述儲存區中還可以包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區,如圖4所示的FPGA密碼運算相關韌體儲存區,可以但不限於實現密碼演算法、介面、時序、狀態、快取等功能。
基於本發明所提供的上述實施例,透過可信計算模組,設置於印刷電路板PCB中,上述可信計算模組的儲存區中包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區;上述可程式化邏輯裝置,設置於上述PCB中,與上述可信計算模組透過上述PCB中的導線直接連接。
容易注意到的是,本發明採用將可信計算模組與可程式化邏輯裝置整合的方式,透過可程式化邏輯裝置的可重構特性,可以滿足業務的特定定制化需求,並且克服了傳統高速加密卡不能保證平臺及系統,及FPGA晶片與可信晶片的整合其自身的安全的問題;透過可程式化邏輯裝置的高速運算能力,解決了傳統的高速加密卡及可信晶片計算能力及儲存能力的不足的技術問題。
透過本發明上述實施例所提供的方案,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
需要說明的是,本實施例的可選或較佳實施方式可以參見實施例1、2中的相關描述,此處不再贅述。
實施例 4
根據本發明實施例,還提供了一種電子設備,包括任意一項上述實施例1-3中任意一種加密卡,其中,上述加密卡包括:可信計算模組;可程式化邏輯裝置,與上述可信計算模組透過導通電路連接,並透過上述導通電路與上述可信計算模組進行通訊;通訊介面,與上述可信計算模組和上述可程式化邏輯裝置連接,用於提供與上述加密卡的外接設備連接的介面。
可選的,上述電子設備可以為電腦設備,行動設備(例如,智慧手機、IPAD、可穿戴設備)等。
需要說明的是,本實施例的可選或較佳實施方式可以參見實施例1-3中的相關描述,此處不再贅述。
實施例 5
根據本發明實施例,還提供了一種加密服務方法的實施例,需要說明的是,在附圖的流程圖顯示的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中顯示了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所顯示或描述的步驟。
本發明實施例5所提供的方法實施例可以在行動終端、電腦終端或者類似的運算裝置中執行。圖8顯示了一種用於實現圖像的識別方法的電腦終端(或行動設備)的硬體結構方塊圖,如圖8所示,電腦終端80(或行動設備80)可以包括一個或多個(圖中採用802a、802b,……,802n來顯示)處理器802(處理器802可以包括但不限於微處理器MCU或可程式化邏輯裝置FPGA等的處理裝置)、用於儲存資料的記憶體804、以及用於通訊功能的傳輸模組806。除此以外,還可以包括:顯示器、輸入/輸出介面(I/O介面)、通用串列匯流排(USB)埠(可以作為I/O介面的埠中的一個埠被包括)、網路介面、電源和/或相機。本領域普通技術人員可以理解,圖8所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,電腦終端80還可包括比圖8中所示更多或者更少的組件,或者具有與圖8所示不同的配置。
應當注意到的是上述一個或多個處理器802和/或其他資料處理電路在本文中通常可以被稱為“資料處理電路”。該資料處理電路可以全部或部分的體現為軟體、硬體、韌體或其他任意組合。此外,資料處理電路可為單一獨立的確定模組,或全部或部分的結合到電腦終端80(或行動設備)中的其他元件中的任意一個內。如本發明實施例中所關於到的,該資料處理電路作為一種處理器控制(例如與介面連接的可變電阻終端路徑的選擇)。
記憶體804可用於儲存應用軟體的軟體程序以及模組,如本發明實施例中的圖像的識別方法對應的程序指令/資料儲存裝置,處理器802透過運行儲存在記憶體804內的軟體程序以及模組,從而執行各種功能應用以及資料處理,即實現上述的應用程序的漏洞檢測方法。記憶體804可包括高速隨機記憶體,還可包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體804可進一步包括相對於處理器802遠程設置的記憶體,這些遠程記憶體可以透過網路連接至電腦終端80。上述網路的實例包括但不限於網際網路、企業內部網路、區域網路、行動通訊網路及其組合。
傳輸裝置806用於經由一個網路接收或者發送資料。上述的網路具體實例可包括電腦終端80的通訊供應商提供的無線網路。在一個實例中,傳輸裝置806包括一個網路適配器(Network Interface Controller,NIC),其可透過基地台與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸裝置806可以為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。
顯示器可以例如觸控螢幕式的液晶顯示器(LCD),該液晶顯示器可使得用戶能夠與電腦終端80(或行動設備)的用戶介面進行互動。
在上述運行環境下,本發明提供了如圖9所示的一種加密服務方法。圖9是根據本發明實施例的一種加密服務方法的流程圖,如圖9所示,本發明實施例所提供的圖像的識別方法可以透過如下方法步驟實現:
步驟S902,接收用戶端的加密請求;
步驟S904,將上述加密請求輸入上述的加密卡。
作為一種可選的實施例,上述加密卡可以為上述實施例2中任意一種加密卡。
步驟S906,接收上述加密卡的輸出;
步驟S908,將上述輸出反饋給上述用戶端。
在上述步驟S902至步驟S908中,執行主體可以為通訊介面,例如,本發明上述實施例1-4中任意一項通訊介面。
在一種可選的實施例中,上述通訊介面包括以下至少之一:通用輸入輸出(General Purpose Input Output,GPIO)、串列周邊設備介面(Serial Peripheral Interface,SPI)、積體電路匯流排(Inter-Integrated Circuit,I2C)、PCIe介面。
在另一種可選的實施例中,上述加密卡可以為本發明上述實施例1-4中任意一種加密卡;上述用戶端可以為外接設備中的用戶端,上述外接設備可以為本發明上述實施例1-4中任意一種外接設備。
需要說明的是,本發明實施例所提供的方法實施例可以廣泛應用在網際網路上,例如,電腦資訊安全領域,可以但不限於應用於任意一種敏感資訊系統中,例如,金融、通訊、電子商務等領域的資訊系統。
仍需要說明的是,本發明實施例中的加密卡可以為可信高速資料加密卡,具有實現從開機到作業系統核心載入前的平臺可信引導功能,可以保證業務敏感資料加解密的計算安全;在與外接設備互動的過程中,可以保障彼此的平臺及身份的安全性和合法性。
作為一種可選的實施例,上述加密卡可以包括一個殼體,可信計算模組和可程式化邏輯裝置設置於該殼體內部,上述通訊介面的一端與上述可信計算模組、可程式化邏輯裝置連接,上述通訊介面的另一端穿過上述殼體,以便實現與周邊設備的連接。
基於本發明所提供的上述實施例,透過接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
透過本發明上述實施例所提供的方案,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,從而實現了有效保障電腦資訊安全的技術效果,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發明並不受所描述的動作順序的限制,因為依據本發明,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬較佳實施例,所關於的動作和模組並不一定是本發明所必須的。
透過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的方法可借助軟體加必需的通用硬體平臺的方式來實現,當然也可以透過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,電腦,伺服器,或者網路設備等)執行本發明各個實施例上述的方法。
需要說明的是,本實施例的可選或較佳實施方式可以參見實施例1-4中的相關描述,此處不再贅述。
實施例 6
根據本發明實施例,還提供了一種用於實施上述加密服務方法的裝置,圖10是根據本發明實施例的一種加密服務裝置的結構示意圖,如圖10所示,該裝置包括:第一接收模組101、輸入模組103、第二接收模組105、反饋模組107,其中:
第一接收模組101,用於接收用戶端的加密請求;輸入模組103,用於將上述加密請求輸入上述的加密卡;第二接收模組105,用於接收上述加密卡的輸出;反饋模組107,用於將上述輸出反饋給上述用戶端。
此處需要說明的是,上述第一接收模組101、輸入模組103、第二接收模組105、反饋模組107對應於實施例5中的步驟S902至步驟S908,四個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例5所公開的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例5提供的電腦終端80中。
仍需要說明的是,本實施例的較佳實施方式可以參見實施例1-5中的相關描述,此處不再贅述。
實施例 7
本發明的實施例可以提供一種電腦終端,該電腦終端可以是電腦終端群中的任意一個電腦終端設備。可選地,在本實施例中,上述電腦終端也可以替換為行動終端等終端設備。
可選地,在本實施例中,上述電腦終端可以位於電腦網路的多個網路設備中的至少一個網路設備。
本發明實施例5所提供的方法實施例可以在行動終端、電腦終端或者類似的運算裝置中執行。
此處需要說明的是,在一些可選實施例中,上述圖8所示的電腦終端80可以包括硬體元件(包括電路)、軟體元件(包括儲存在電腦可讀媒體上的電腦代碼)、或硬體元件和軟體元件兩者的結合。應當指出的是,圖8僅為特定具體實例的一個實例,並且意於顯示可存在於上述電腦終端80中的部件的類型。
在本實施例中,上述電腦終端可以執行應用程序的加密服務方法中以下步驟的程序代碼:接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
可選的,上述電腦終端中的處理器可以執行如下步驟的程序代碼:接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
採用本發明實施例,提供了一種加密服務的方案。透過接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端,達到了提高加密卡的計算能力和儲存能力,以及保證資訊資料的計算安全的目的,進而解決了現有技術中的加密卡計算能力和儲存能力不足,且無法有效保證資訊資料的計算安全的技術問題。
本領域普通技術人員可以理解,圖8所示的結構僅為示意,電腦終端也可以是智慧手機(如Android手機、iOS手機等)、平板電腦、掌聲電腦以及行動網際網路設備(Mobile Internet Devices,MID)、PAD等終端設備。圖8其並不對上述電子裝置的結構造成限定。例如,電腦終端80還可包括比圖8中所示更多或者更少的組件(如網路介面、顯示裝置等),或者具有與圖8所示不同的配置。
本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以透過程序來指令終端設備相關的硬體來完成,該程序可以儲存於一電腦可讀儲存媒體中,儲存媒體可以包括:快閃記憶體、唯讀記憶體(Read-Only Memory,ROM)、隨機存取記憶體(Random Access Memory,RAM)、磁碟或光碟等。
實施例 8
本發明的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例5所提供的加密服務方法所執行的程序代碼。
可選地,在本實施例中,上述儲存媒體可以位於電腦網路中電腦終端群中的任意一個電腦終端中,或者位於行動終端群中的任意一個行動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程序代碼:接收用戶端的加密請求;將上述加密請求輸入上述的加密卡;接收上述加密卡的輸出;將上述輸出反饋給上述用戶端。
上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
在本發明的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本發明所提供的幾個實施例中,應該理解到,所揭露的技術內容,可透過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以整合到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦接或直接耦接或通訊連接可以是透過一些介面,單元或模組的間接耦接或通訊連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是實體上分開的,作為單元顯示的部件可以是或者也可以不是實體單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本發明各個實施例中的各功能單元可以整合在一個處理單元中,也可以是各個單元單獨實體存在,也可以兩個或兩個以上單元整合在一個單元中。上述整合的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述整合的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個電腦可讀取儲存媒體中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台電腦設備(可為個人電腦、伺服器或者網路設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB隨身碟、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、移動硬碟、磁碟或者光碟等各種可以儲存程序代碼的媒體。
以上所述僅是本發明的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。
10‧‧‧可信計算模組
12‧‧‧可程式化邏輯裝置
14‧‧‧通訊介面
40‧‧‧第一主計算區
42‧‧‧第一密碼計算區
44‧‧‧第一儲存區
50‧‧‧第二主計算區
52‧‧‧第二密碼計算區
54‧‧‧第二儲存區
60‧‧‧可信計算模組
62‧‧‧可程式化邏輯裝置
64‧‧‧通訊介面
70‧‧‧可信計算模組
72‧‧‧可程式化邏輯裝置
80‧‧‧電腦終端
802‧‧‧處理器
802a‧‧‧處理器
802b‧‧‧處理器
802n‧‧‧處理器
804‧‧‧記憶體
806‧‧‧傳輸裝置
S902-S908‧‧‧步驟
101‧‧‧第一接收模組
103‧‧‧輸入模組
105‧‧‧第二接收模組
107‧‧‧反饋模組
此處所說明的附圖用來提供對本發明的進一步理解,構成本發明的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在附圖中:
圖1是根據本發明實施例的一種加密卡的結構示意圖;
圖2是根據本發明實施例的一種可選的加密卡的結構示意圖;
圖3是根據本發明實施例的一種可選的加密卡與外接設備的連接結構示意圖;
圖4是根據本發明實施例的一種可選的可信計算模組的結構示意圖;
圖5是根據本發明實施例的一種可選的可程式化邏輯裝置的結構示意圖;
圖6是根據本發明實施例的另一種加密卡的結構示意圖;
圖7是根據本發明實施例的又一種加密卡的結構示意圖;
圖8是根據本發明實施例的一種用於實現圖像的識別方法的電腦終端(或行動設備)的硬體結構方塊圖;
圖9是根據本發明實施例的一種加密服務方法的流程圖;
圖10是根據本發明實施例的一種加密服務裝置的結構示意圖。
Claims (15)
- 一種加密卡,包括: 可信計算模組; 可程式化邏輯裝置,與所述可信計算模組透過導通電路連接,並透過所述導通電路與所述可信計算模組進行通訊; 通訊介面,與所述可信計算模組和所述可程式化邏輯裝置連接,用於提供與所述加密卡的外接設備連接的介面。
- 根據申請專利範圍第1項所述的加密卡,其中,所述可信計算模組、所述可程式化邏輯裝置和所述通訊介面設置於印刷電路板PCB上,所述導通電路包括:設置於所述PCB上的電導線。
- 根據申請專利範圍第1項所述的加密卡,其中,所述可信計算模組和可程式化邏輯裝置透過串列通訊介面連接。
- 根據申請專利範圍第1項所述的加密卡,其中,所述通訊介面包括以下至少之一:通用輸入輸出GPIO、串列周邊設備介面SPI、積體電路匯流排I2C、PCIe介面。
- 根據申請專利範圍第1項所述的加密卡,其中,所述可信計算模組包括: 第一主計算區,用於執行除密碼運算過程之外的運算過程; 第一密碼計算區,與所述第一主計算區連接,設置有至少一種密碼演算法的引擎,並使用所述引擎執行密碼運算過程; 第一儲存區,與所述第一主計算區和所述第一密碼計算區連接,用於儲存資料。
- 根據申請專利範圍第5項所述的加密卡,其中,所述第一儲存區包括以下至少之一:晶片系統韌體儲存區、平臺配置暫存器、主密鑰儲存區、度量根儲存區、儲存根儲存區、報告根儲存區;其中,所述主密鑰儲存區中儲存有:用於保護所述可程式化邏輯裝置中的用戶密鑰。
- 根據申請專利範圍第6項所述的加密卡,其中,所述儲存區中還包括:用於儲存所述可程式化邏輯裝置所使用的密碼運算韌體的儲存區。
- 根據申請專利範圍第1項所述的加密卡,其中,所述可程式化邏輯裝置包括: 第二主計算區,包括:所述可程式化邏輯裝置的軟核處理器和硬體硬核; 第二密碼計算區,與所述第二主計算區連接,設置有至少一種密碼演算法的引擎,並使用所述引擎執行密碼運算過程; 第二儲存區,與所述第二主計算區和所述第二密碼計算區連接,用於儲存資料。
- 根據申請專利範圍第8項所述的加密卡,其中,所述第二儲存區,包括以下至少之一:系統韌體儲存區、預先配置有動態策略的用戶策略韌體儲存區、運算密鑰儲存區、用戶資料儲存區。
- 根據申請專利範圍第9項所述的加密卡,其中,所述第二密碼計算區,用於依據所述用戶策略韌體儲存區中的用戶策略選擇所述引擎進行密碼運算過程。
- 根據申請專利範圍第10項所述的加密卡,其中,所述第二密碼計算區用於依據所述可信計算模組內的度量根對待載入資料進行驗證,並在驗證通過時進行資料的載入。
- 一種加密卡,包括: 可信計算模組,設置於印刷電路板PCB中; 可程式化邏輯裝置,設置於所述PCB中,與所述可信計算模組透過所述PCB中的導線直接連接; 通訊介面,與所述可信計算模組和所述可程式化邏輯裝置連接,用於提供與所述加密卡的外接設備連接的介面。
- 一種加密卡,包括:可信計算模組和可程式化邏輯裝置;其中: 所述可信計算模組,設置於印刷電路板PCB中,所述可信計算模組的儲存區中包括:用於儲存上述可程式化邏輯裝置所使用的密碼運算韌體的儲存區; 所述可程式化邏輯裝置,設置於所述PCB中,與所述可信計算模組透過所述PCB中的導線直接連接。
- 一種電子設備,包括申請專利範圍第1至13項中任意一項所述的加密卡。
- 一種加密服務方法,包括: 接收用戶端的加密請求; 將所述加密請求輸入如申請專利範圍第12項所述的加密卡; 接收所述加密卡的輸出; 將所述輸出反饋給所述用戶端。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810404346.6A CN110414244B (zh) | 2018-04-28 | 2018-04-28 | 加密卡、电子设备及加密服务方法 |
| CN201810404346.6 | 2018-04-28 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201945976A true TW201945976A (zh) | 2019-12-01 |
Family
ID=68291715
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108107618A TW201945976A (zh) | 2018-04-28 | 2019-03-07 | 加密卡、電子設備及加密服務方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20190334713A1 (zh) |
| EP (1) | EP3788516A4 (zh) |
| JP (1) | JP2021522595A (zh) |
| KR (1) | KR20210005871A (zh) |
| CN (1) | CN110414244B (zh) |
| TW (1) | TW201945976A (zh) |
| WO (1) | WO2019209997A1 (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110677250B (zh) | 2018-07-02 | 2022-09-02 | 阿里巴巴集团控股有限公司 | 密钥和证书分发方法、身份信息处理方法、设备、介质 |
| CN110795774B (zh) | 2018-08-02 | 2023-04-11 | 阿里巴巴集团控股有限公司 | 基于可信高速加密卡的度量方法、设备和系统 |
| CN110795742B (zh) | 2018-08-02 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 高速密码运算的度量处理方法、装置、存储介质及处理器 |
| CN110874478B (zh) | 2018-08-29 | 2023-05-02 | 阿里巴巴集团控股有限公司 | 密钥处理方法及装置、存储介质和处理器 |
| CN111162902A (zh) * | 2019-12-31 | 2020-05-15 | 航天信息股份有限公司 | 一种基于税务证书的云签服务器 |
| CN111193591B (zh) * | 2019-12-31 | 2023-06-20 | 郑州信大先进技术研究院 | 一种基于cpu+fpga的加解密方法及系统 |
| CN111241603A (zh) * | 2020-01-07 | 2020-06-05 | 北京智芯微电子科技有限公司 | 基于PCIe接口的加密卡架构、加密卡及电子设备 |
| CN111523127B (zh) * | 2020-03-26 | 2022-02-25 | 郑州信大捷安信息技术股份有限公司 | 一种用于密码设备的权限认证方法及系统 |
| CN111414625B (zh) * | 2020-04-01 | 2023-09-22 | 中国人民解放军国防科技大学 | 支持主动可信能力的计算机可信软件栈实现方法及系统 |
| CN111769863B (zh) * | 2020-05-27 | 2022-02-18 | 苏州浪潮智能科技有限公司 | 一种用于tpcm通信的中继方法及中继板卡 |
| CN111737698B (zh) * | 2020-05-28 | 2022-07-19 | 苏州浪潮智能科技有限公司 | 一种基于异构计算的安全可信卡及安全可信方法 |
| CN111737701A (zh) * | 2020-06-19 | 2020-10-02 | 全球能源互联网研究院有限公司 | 一种服务器可信根系统及其可信启动方法 |
| CN111935707A (zh) * | 2020-07-29 | 2020-11-13 | 北京三未信安科技发展有限公司 | 密码装置和密码设备 |
| CN113486353B (zh) * | 2021-06-24 | 2023-08-01 | 邦彦技术股份有限公司 | 可信度量方法、系统、设备及存储介质 |
| CN113468615B (zh) * | 2021-06-24 | 2023-08-01 | 邦彦技术股份有限公司 | 可信度量方法、可信芯片、逻辑控制器及可信度量系统 |
| CN113420309B (zh) * | 2021-07-01 | 2022-05-17 | 广东工业大学 | 基于国密算法的轻量化数据保护系统 |
| CN113315787B (zh) * | 2021-07-28 | 2021-11-23 | 橙色云互联网设计有限公司 | 加密保护方法、装置及存储介质 |
| CN115134076A (zh) * | 2022-06-30 | 2022-09-30 | 支付宝(杭州)信息技术有限公司 | 数据处理方法及系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI314686B (en) * | 2005-12-20 | 2009-09-11 | Power Quotient Int Co Ltd | Low profile storage device |
| US8560863B2 (en) * | 2006-06-27 | 2013-10-15 | Intel Corporation | Systems and techniques for datapath security in a system-on-a-chip device |
| GB0615015D0 (en) * | 2006-07-28 | 2006-09-06 | Hewlett Packard Development Co | Secure use of user secrets on a computing platform |
| US8156322B2 (en) * | 2007-11-12 | 2012-04-10 | Micron Technology, Inc. | Critical security parameter generation and exchange system and method for smart-card memory modules |
| CN101504705B (zh) * | 2009-03-17 | 2011-05-11 | 武汉大学 | 可信平台模块及其计算机启动控制方法 |
| CN102314563A (zh) * | 2010-07-08 | 2012-01-11 | 同方股份有限公司 | 一种计算机硬件体系结构 |
| US8352749B2 (en) * | 2010-12-17 | 2013-01-08 | Google Inc. | Local trusted services manager for a contactless smart card |
| US9038179B2 (en) * | 2012-08-28 | 2015-05-19 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Secure code verification enforcement in a trusted computing device |
| CN105468978B (zh) * | 2015-11-16 | 2019-11-01 | 全球能源互联网研究院 | 一种适用于电力系统通用计算平台的可信计算密码平台 |
| CN106022080B (zh) * | 2016-06-30 | 2018-03-30 | 北京三未信安科技发展有限公司 | 一种基于PCIe接口的密码卡及该密码卡的数据加密方法 |
| CN107959656B (zh) * | 2016-10-14 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 数据安全保障系统及方法、装置 |
| CN106709358A (zh) * | 2016-12-14 | 2017-05-24 | 南京南瑞集团公司 | 一种基于可信计算的移动装置 |
| CN106997438B (zh) * | 2017-03-29 | 2019-11-12 | 山东英特力数据技术有限公司 | 一种可信服务器cpu设计方法 |
-
2018
- 2018-04-28 CN CN201810404346.6A patent/CN110414244B/zh active Active
-
2019
- 2019-03-07 TW TW108107618A patent/TW201945976A/zh unknown
- 2019-04-24 US US16/393,870 patent/US20190334713A1/en not_active Abandoned
- 2019-04-24 EP EP19793424.3A patent/EP3788516A4/en active Pending
- 2019-04-24 WO PCT/US2019/028989 patent/WO2019209997A1/en unknown
- 2019-04-24 JP JP2020560347A patent/JP2021522595A/ja active Pending
- 2019-04-24 KR KR1020207030980A patent/KR20210005871A/ko unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019209997A1 (en) | 2019-10-31 |
| CN110414244A (zh) | 2019-11-05 |
| CN110414244B (zh) | 2023-07-21 |
| KR20210005871A (ko) | 2021-01-15 |
| JP2021522595A (ja) | 2021-08-30 |
| EP3788516A1 (en) | 2021-03-10 |
| EP3788516A4 (en) | 2022-01-12 |
| US20190334713A1 (en) | 2019-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW201945976A (zh) | 加密卡、電子設備及加密服務方法 | |
| CN110677250B (zh) | 密钥和证书分发方法、身份信息处理方法、设备、介质 | |
| CN110580420B (zh) | 基于集成芯片的数据处理方法、计算机设备、存储介质 | |
| CN110618947A (zh) | 用于利用存储器加密引擎的安全i/o的技术 | |
| US20200104528A1 (en) | Data processing method, device and system | |
| KR20210017083A (ko) | 퓨즈된 키에 기반하여 증명 인증서를 생성하는 전자 장치 및 방법 | |
| CN209803788U (zh) | 一种pcie可信密码卡 | |
| CN112149144A (zh) | 聚合密码引擎 | |
| US11494520B2 (en) | Reconfigurable device bitstream key authentication | |
| US20230071723A1 (en) | Technologies for establishing secure channel between i/o subsystem and trusted application for secure i/o data transfer | |
| US11847228B2 (en) | Platform security mechanism | |
| CN112016090A (zh) | 安全计算卡,基于安全计算卡的度量方法及系统 | |
| US10242175B2 (en) | Method and system for authentication of a storage device | |
| CN108154037B (zh) | 进程间的数据传输方法和装置 | |
| US20220253366A1 (en) | Platform measurement collection mechanism | |
| Guo et al. | R/B-SecArch: A strong isolated SoC architecture based on red/black concept for secure and efficient cryptographic services | |
| KR20110088245A (ko) | 메모리 기능과 보안토큰 기능을 구비한 usb 복합장치 | |
| JP2022172472A (ja) | 情報セキュリティのための集積回路モジュール | |
| CN113987528A (zh) | 一种数据加密方法、系统、存储介质及设备 | |
| CN118337388B (zh) | 一种基于物联网的数据安全保护方法、系统、设备及产品 | |
| US20230163964A1 (en) | Secure key exchange in a multi-processor device | |
| CN117194284A (zh) | 一种内存访问方法、初始化方法及其相关装置 |