WO2023020234A1

WO2023020234A1 - 外部存储器、提供密码服务的方法及业务处理设备

Info

Publication number: WO2023020234A1
Application number: PCT/CN2022/108495
Authority: WO
Inventors: 邹银超; 秦承刚; 孔金灿; 杜少华
Original assignee: 支付宝(杭州)信息技术有限公司
Priority date: 2021-08-19
Filing date: 2022-07-28
Publication date: 2023-02-23
Also published as: CN113721983A

Abstract

本说明书披露的多个实施例提供了一种外部存储器、提供密码服务的方法及业务处理设备。将密码服务能力内置于业务处理设备的外部存储器中，即在外部存储器中内置密码服务硬件模块，使得外部存储器不仅具有存储能力，还具有密码服务能力。业务处理设备的CPU可以通过与外部存储器之间的连接，调用外部存储器中的密码服务硬件模块提供密码服务，并且，CPU可以通过与外部存储器之间的连接，获取服务结果，也可以将服务结果直接存储至外部存储器的存储空间中。

Description

外部存储器、提供密码服务的方法及业务处理设备

技术领域

本说明书多个实施例涉及信息技术领域，尤其涉及一种外部存储器、提供密码服务的方法及业务处理设备。

背景技术

在有些业务场景下，需要业务处理设备具有一定的密码服务能力，此处的密码服务能力可以泛指实现密码学意义上的各种功能的能力。例如，需要业务处理设备能够对一些业务数据进行加密。又如，需要业务处理设备为用户生成密钥。

然而，业务处理设备的CPU执行密码服务时计算开销较大。

发明内容

本说明书的多个实施例提供外部存储器、提供密码服务的方法及业务处理设备，以节省CPU的计算开销。

本说明书多个实施例提供技术方案如下。

根据本说明书多个实施例的第一方面，提出了一种外部存储器，应用于业务处理设备，所述业务处理设备包括中央处理器CPU与至少一个外部存储器；每个外部存储器内置了密码服务硬件模块；所述CPU向外部存储器发送密码服务调用指令，调用外部存储器中的密码服务硬件模块；密码服务硬件模块根据所述密码服务调用指令执行密码服务，并将服务结果返回给所述CPU，和/或将服务结果存储至外部存储器的存储空间。

根据本说明书多个实施例的第二方面，提出了一种提供密码服务的方法，其中，业务处理设备包括中央处理器CPU与至少一个外部存储器；每个外部存储器内置了密码服务硬件模块；所述方法包括：所述CPU向外部存储器发送密码服务调用指令，调用外部存储器中的密码服务硬件模块；密码服务硬件模块根据所述密码服务调用指令执行密码服务，并将服务结果返回给所述CPU，和/或将服务结果存储至外部存储器的存储空间。

根据本说明书多个实施例的第三方面，提出了一种业务处理设备，包括CPU与至少一个外部存储器；每个外部存储器内置了密码服务硬件模块；所述CPU，向外部存储器发送密码服务调用指令，调用外部存储器中的密码服务硬件模块；密码服务硬件模块，根据所述密码服务调用指令执行密码服务，并将服务结果返回给所述CPU，和/或将服务结果存储至外部存储器的存储空间。

在上述技术方案中，将密码服务能力内置于业务处理设备的外部存储器中，即在外部存储器中内置密码服务硬件模块，使得外部存储器不仅具有存储能力，还具有密码服务能力。业务处理设备的CPU可以通过与外部存储器之间的连接，调用外部存储器中的密码服务硬件模块提供密码服务，并且，CPU可以通过与外部存储器之间的连接，获取服务结果，也可以将服务结果直接存储至外部存储器的存储空间中。

通过上述技术方案，可以不必由业务处理设备的CPU执行密码服务，而是将密码服务能力部署在业务处理设备的外部存储器中，CPU可以调用外部存储器中的密码服务能力，这节省了CPU的计算开销。

附图说明

图1是本说明书提供的一种业务处理设备的内部结构示意图。

图2是本说明书提供的另一种业务处理设备的内部结构示意图。

图3是本说明书提供的一种外部存储器的内部结构示意图。

图4是本说明书提供的一种提供密码服务的方法的流程示意图。

具体实施方式

为了使本技术领域的人员更好地理解本说明书中的技术方案，下面将结合本说明书实施例中的附图，对本说明书实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本说明书保护的范围。

需要说明的是：在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中，其方法所包括的步骤可以比本说明书所描述的更多或更少。此外，本说明书中所描述的单个步骤，在其他实施例中可能被分解为多个步骤进行描述；而本说明书中所描述的多个步骤，在其他实施例中也可能被合并为单个步骤进行描述。

本文所述的密码服务能力，可以是比较广义的概念，可以泛指实现密码学意义上的各种功能的能力。

在需要业务处理设备具有密码服务能力的场景下，一种方案是，业务处理设备的CPU在执行业务过程中，如果涉及到密码服务，则执行密码服务。然而，CPU执行密码服务时计算开销较大，不利于CPU执行更重要的业务处理。此外，CPU执行密码服务出错的情况下，也容易导致CPU执行的业务中止。

另一种方案是，为业务处理设备配备专用的密码服务设备，业务处理设备可以调用专用的密码服务设备的密码服务能力。然而，专用的密码服务设备所带来的硬件成本较高，并且会展示业务处理设备内部较大的空间。

在本说明书提供的技术方案中，将密码服务能力内置于业务处理设备的外部存储器中，即在外部存储器中内置密码服务硬件模块，使得外部存储器不仅具有存储能力，还具有密码服务能力。业务处理设备的CPU可以通过与外部存储器之间的连接，调用外部存储器中的密码服务硬件模块提供密码服务，并且，CPU可以通过与外部存储器之间的连接，获取服务结果，也可以将服务结果直接存储至外部存储器的存储空间中。

本文所述的业务处理设备，是指用于进行业务处理的设备，例如，业务处理设备可以是中心化的服务器，也可以是去中心化的区块链网络中的节点设备。

业务处理设备通常根据业务应用的业务请求进行业务处理。其中，业务应用可以直接部署在业务处理设备上。此外，业务处理设备可以作为服务端，业务应用可以部署在客户端。

本文所述的外部存储器，通常可以是指硬盘(或称磁盘)。需要说明的是，业务处理设备可以还具有内部存储器(即内存)。

通过上述技术方案，可以至少实现如下技术效果。

1、可以不必由业务处理设备的CPU执行密码服务，而是将密码服务能力部署在业务处理设备的外部存储器中，CPU可以调用外部存储器中的密码服务能力，这节省了CPU的计算开销。

2、在制造业务处理设备的生产线上，分别制造专用的密码服务设备与外部存储器的制造成本较高，而制造集成了存储能力与密码服务能力的外部存储器的制造成本较低，可以有效节省硬件成本。

3、密码服务硬件模块提供的硬件级密码服务能力，密码服务性能更强，CPU在执行业务过程(软件层面的处理过程)中调用密码服务硬件模块执行密码服务，可以实现软硬件结合加速。

4、将密码服务硬件模块内置于外部存储器，相对于专用的密码服务设备来说，不需要额外占用业务处理设备的主板上的槽口，也更少占用业务执行设备的内部空间，有利于业务执行设备的部署。

5、外部存储器中的密码服务硬件模块可以将输出的服务结果直接存储至外部存储器的存储空间，不需要CPU获取服务结果之后再写入外部存储器。例如，有些业务要求对业务数据进行加密后存储，这种情况下，密码服务硬件模块可以对业务数据进行加密，并且不需要将加密后的业务数据返回给CPU，就可以直接存储至外部存储器的存储空间，实现了磁盘自加密。

6、如果业务处理设备中的外部存储器可以至少两个，则还可以避免密码服务能力的单点故障问题。如果某个外部存储器中的密码服务硬件模块故障，则CPU还可以调用其他外部存储器中的密码服务硬件模块提供密码服务。

以下结合附图，详细说明本说明书提供的技术方案。

图1是本说明书提供的一种业务处理设备的内部结构示意图。如图1所示，业务处理设备可以CPU与至少一个外部存储器(图中示出了3个外部存储器)。需要说明的是，外部存储器可以有多种类型，例如常见的NVME硬盘、SAS硬盘、SATA硬盘，业务处理设备上可以混装不同类型的硬盘。如果是NVME硬盘，则通常可以挂载到PCIE总线上，以便与CPU相连，而如果是其他类型的硬盘，则通常可以通过设备主板上的南桥芯片与CPU相连。

图2是本说明书提供的另一种业务处理设备的内部结构示意图。在图1所示的业务处理设备的基础上，业务处理设备还可以包括内部存储器，内部存储器与CPU相连。

图3是本说明书提供的一种外部存储器的内部结构示意图。如图3所示，该外部存储器为NVME硬盘，该外部存储器包括硬盘控制器与NAND闪存颗粒。其中，在现有的硬盘控制器中增加密码服务硬件模块。硬盘控制器有自身的CPU(并不是业务处理设备的CPU)、内存(并不是业务处理设备的内存)、闪存中间件FTL，硬盘控制器通过NAND接口与NAND闪存颗粒进行数据交互，通过主机接口挂载到业务处理设备的总线。

图4是本说明书提供的一种提供密码服务的方法的流程示意图，包括以下步骤。

S400：CPU向外部存储器发送密码服务调用指令，调用外部存储器中的密码服务硬件模块。

S402：密码服务硬件模块根据所述密码服务调用指令执行密码服务，并将服务结果返回给所述CPU，和/或将服务结果存储至外部存储器的存储空间。

在一些实施方式中，CPU可以获取业务应用发送的业务请求，并根据业务请求，向外部存储器发送密码服务调用指令。

密码服务硬件模块可以由一个或多个硬件芯片组成。密码服务硬件模块整体上对CPU提供密码服务能力。CPU可以通过与外部存储器之间的连接，向外部存储器发送密码服务调用指令，密码服务调用指令指定了CPU需要的密码服务类型。

本领域技术人员容易想到多种技术手段，实现CPU通过发送密码服务调用指令的方式，对外部存储器中的密码服务硬件模块进行调用。

作为一种示例，可以在业务处理设备上安装密码服务硬件模块的驱动程序，CPU可以通过运行该驱动程序，获得对密码服务硬件模块的调用能力。在一种实施方式中，驱动程序中可以内置openssl软件包，CPU可以通过openssl与密码服务硬件模块进行通信。

需要说明的是，有些密码服务不需要输入参数，有些密码服务需要输入参数。而各种密码服务通常都会输出服务结果。例如，加解密服务需要输入参数，输入参数为待加解密的数据，输出的服务结果为，加解密后的数据。又如，密钥派生服务可以不需要输入参数，可以直接派生出密钥，输出的服务结果即派生出的密钥。

在业务执行设备包括至少两个外部存储器的实施例中，各个外部存储器中的密码服务硬件模块通常都内置有相同的密码服务能力。CPU当需要某个类型的密码服务时，可以选择调用任一个外部存储器中的密码服务硬件模块，也可以根据负载均衡算法，选择负载较小的一个外部存储器中的密码服务硬件模块。

在一些实施方式中，CPU如果确定密码服务的结果需要存储至某个特定的外部存储器，则通常可以调用该特定的外部存储器中的密码服务硬件模块提供密码服务。如此，该外部存储器中的密码服务硬件模块可以直接将服务结果存储至该外部存储器的存储空间，提升了处理效率。

在一些实施方式中，CPU可以向至少两个外部存储器分别发送密码服务调用指令，调用不同的外部存储器中的密码服务硬件模块分别执行：同一任务对应的不同子任务涉及的密码服务。如此，可以利用至少两个外部存储器中的密码服务硬件模块来并行实现同一任务需要的密码服务，提升处理效率。

在一些实施方式中，密码服务调用指令携带了执行密码服务所需要的输入参数。密码服务硬件模块可以根据所述密码服务调用指令携带的所述输入参数，执行密码服务。例如，业务应用请求业务处理设备对业务应用实时产生的数据进行加密后存储，业务处理设备的CPU获取业务应用实时产生的待加密的数据，将待加密的数据携带于密码服务调用指令，将待加密的数据传输给密码服务硬件模块。

在一些实施方式中，密码服务硬件模块可以根据所述密码服务调用指令，从外部存储器的存储空间中读取执行密码服务所需要的输入参数；根据读取到的输入参数，执行密码服务。例如，业务应用请求业务处理设备对前一天存储至业务处理设备的外部存储器中的某个数据进行解密，这种情况下，业务处理设备的CPU通过密码服务调用指令，通知密码服务硬件模块从外部存储器的存储空间中读取待解密的数据进行解密。

在一些实施方式中，业务处理设备还包括内部存储器。密码服务硬件模块可以根据所述密码服务调用指令，从所述内部存储器获取执行密码服务所需要的输入参数；根据获取到的输入参数，执行密码服务。

在一些实施方式中，业务处理设备还包括内部存储器。密码服务硬件模块可以将服务结果写入所述内部存储器，以便于所述CPU从所述内部存储器获取服务结果。

此处对密码服务硬件模块所能够提供的密码服务进行示例性介绍，应当理解，这并不意味着本说明书限定了密码服务硬件模块可提供的密码服务类型。

密码服务硬件模块执行的密码服务包括以下至少一种：密钥管理服务；签名验证服务；数据加解密服务；基于消息认证码MAC的消息认证服务。

其中，密钥管理可以包括密钥生成和/或密钥存储，还可以包括其他与密钥管理有关的事项。密钥管理服务由密码服务硬件模块在软件功能层面上包括的密钥派生单元(KDF)、根密钥存储单元(eFuse)、随机数产生单元(TRNG)来实现。密钥派生单元，用于基于根密钥与随机数生成派生秘钥；根密钥存储单元，用于存储根密钥；随机数产生单元，用于产生随机数(可以是真随机数)。

需要说明的是，随机数产生单元不仅可以配合密钥派生单元进行密钥派生，还可以为需要用到随机数的其他密码服务单元提供随机数。

还需要说明的是，密钥管理所管理的密钥类型可以有多种，例如签名密钥、加密密钥、用于对密钥进行加密保护的密钥、业务处理设备使用的公钥、密钥管理员使用的公钥等等。

签名验证服务，一般是指对数字签名进行验证，其涉及到公钥解密，一般可以通过加解密算法单元来实现。此外，密码服务硬件模块可以包括公钥存储单元，用来存储公钥。

密码硬件模块中可以部署一个或多个通用加解密算法单元，不同加解密算法子单元用于实现不同的通用加解密算法。通用加解密算法可以是SHA2、SM2/SM3/SM4(国密算法)、RSA、AES等。此外，密码硬件模块中还可以部署自定义加解密算法单元，用于根据用户配置确定若干自定义加解密算法，并实现所述若干自定义加解密算法。此处的自定义加解密算法单元，在硬件上可以基于可编程芯片(如FPGA芯片)实现。

数据加解密服务通常可以基于加解密算法单元实现。基于消息认证码MAC的消息认证服务，通常也可以基于加解密算法单元实现。

此外，密码服务硬件模块在软件功能层面上还可以包括内存通信单元，用于根据内存通信协议，与所述业务处理设备的内部存储器进行通信。在一些实施方式中，内存通信协议具体可以是DMA协议。密码服务硬件模块如果需要从内存中获取输入参数，或者，需要将服务结果写入内存中，则可以基于内存通信单元与内存进行通信。

在本说明书提供的一个或多个实施例中，密码服务硬件模块可以由一个芯片构成，该芯片上可以部署所有软件功能单元。密码服务硬件模块可以由不止一个芯片构成，不同软件功能单元可以部署在不同芯片上，或者，有些软件功能单元中的不同软件功能单元可以部署在不同芯片上，有些软件功能单元可以部署在同一个芯片上。总之，本说明书提供的密码服务模块在硬件上与软件上的布局设计可以根据实际需要进行设定，不同外部存储器中的密码服务硬件模块的布局设计可能不同，也可能相同。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本说明书时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。在一个典型的配置中，计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

综上所述，本说明书披露的一些实施例中，通过数字身份技术把数字化物品和数字身份连接，而前述数字身份可进一步包括身份认证信息以使得数字化物品的交易可以满足监管KYC的要求。在有些实施例中，部分或所有数字身份均完全实名认证，提供一个完全实名认证的基于区块链的交易系统。这样的系统有利于反洗钱发欺诈运营，成为一个真正可信交易系统。在一些实施例中，将数字化物品与数字身份所附随的记录、验证功能相结合，便可简便地对交易对象、交易参与方等交易要素进行记录及验证，进而提高交易的便利性和可靠性。在另一些实施例中，可不依赖数字身份，而由交易方的客户端调用区块链系统中的智能合约在链上创建数字化物品与其所有方之间的关联关系表，并将该等关联关系表存储于智能合约中，进而在链上对数字化物品的所有权归属进行可信记载。

上述对本说明书多个实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

在本说明书多个实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书多个实施例。在本说明书多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书多个实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书多个实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于方法实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的方法实施例仅仅是示意性的，其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本说明书多个实施例的较佳实施例而已，并不用以限制本说明书多个实施例，凡在本说明书多个实施例的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书多个实施例保护的范围之内。

Claims

一种外部存储器，应用于业务处理设备，所述业务处理设备包括中央处理器CPU与至少一个外部存储器；每个外部存储器内置了密码服务硬件模块；

所述CPU向外部存储器发送密码服务调用指令，调用外部存储器中的密码服务硬件模块；

密码服务硬件模块根据所述密码服务调用指令执行密码服务，并将服务结果返回给所述CPU，和/或将服务结果存储至外部存储器的存储空间。
如权利要求1所述的外部存储器，所述密码服务调用指令携带了执行密码服务所需要的输入参数；

密码服务硬件模块根据所述密码服务调用指令执行密码服务，包括：

密码服务硬件模块根据所述密码服务调用指令携带的所述输入参数，执行密码服务。
如权利要求1所述的外部存储器，密码服务硬件模块根据所述密码服务调用指令执行密码服务，包括：

密码服务硬件模块根据所述密码服务调用指令，从外部存储器的存储空间中读取执行密码服务所需要的输入参数；根据读取到的输入参数，执行密码服务。
如权利要求1所述的外部存储器，所述业务处理设备还包括内部存储器；

密码服务硬件模块根据所述密码服务调用指令执行密码服务，包括：

密码服务硬件模块根据所述密码服务调用指令，从所述内部存储器获取执行密码服务所需要的输入参数；根据获取到的输入参数，执行密码服务。
如权利要求1所述的外部存储器，所述业务处理设备还包括内部存储器；

密码服务硬件模块将服务结果返回给所述CPU，包括：

密码服务硬件模块将服务结果写入所述内部存储器，以便于所述CPU从所述内部存储器获取服务结果。
如权利要求1所述的外部存储器，密码服务硬件模块在软件功能层面上具有以下软件功能单元：

若干通用加解密算法单元，不同加解密算法子单元用于实现不同的通用加解密算法。
如权利要求1所述的外部存储器，密码服务硬件模块在软件功能层面上具有以下软件功能单元：

自定义加解密算法单元，用于根据用户配置确定若干自定义加解密算法，并实现所述若干自定义加解密算法。
如权利要求1所述的外部存储器，密码服务硬件模块在软件功能层面上具有以下软件功能单元：

密钥派生单元，用于基于根密钥与随机数生成派生秘钥；

根密钥存储单元，用于存储根密钥；

随机数产生单元，用于产生随机数。
如权利要求1所述的外部存储器，密码服务硬件模块在软件功能层面上具有以下软件功能单元：

内存通信单元，用于根据内存通信协议，与所述业务处理设备的内部存储器进行通信。
如权利要求6-9任一项所述的外部存储器，至少部分的不同软件功能单元部署于密码服务硬件模块的同一芯片上。
如权利要求6-9任一项所述的外部存储器，至少部分的不同软件功能单元部署于密码服务硬件模块的不同芯片上。
如权利要求1所述的外部存储器，密码服务硬件模块执行的密码服务包括以下至少一种：

密钥管理服务，所述密钥管理包括密钥生成和/或密钥存储；

签名验证服务；

数据加解密服务；

基于消息认证码MAC的消息认证服务。
如权利要求1所述的外部存储器，所述CPU向至少两个外部存储器分别发送密码服务调用指令，调用不同的外部存储器中的密码服务硬件模块分别执行：同一任务对应的不同子任务涉及的密码服务。
一种提供密码服务的方法，其中，业务处理设备包括中央处理器CPU与至少一个外部存储器；每个外部存储器内置了密码服务硬件模块；所述方法包括：

所述CPU向外部存储器发送密码服务调用指令，调用外部存储器中的密码服务硬件模块；

密码服务硬件模块根据所述密码服务调用指令执行密码服务，并将服务结果返回给所述CPU，和/或将服务结果存储至外部存储器的存储空间。
如权利要求14所述方法，还包括：

所述CPU获取业务应用发送的业务请求；

所述CPU向外部存储器发送密码服务调用指令，包括：

所述CPU根据所述业务请求，向外部存储器发送密码服务调用指令。
如权利要求15所述方法，所述业务应用部署于所述业务处理设备；

或者

所述业务处理设备作为服务端，所述业务应用部署于客户端。
一种业务处理设备，包括CPU与至少一个外部存储器；每个外部存储器内置了密码服务硬件模块；

所述CPU，向外部存储器发送密码服务调用指令，调用外部存储器中的密码服务硬件模块；

密码服务硬件模块，根据所述密码服务调用指令执行密码服务，并将服务结果返回给所述CPU，和/或将服务结果存储至外部存储器的存储空间。