专利名称:一种可动态重构的可信密码模块的制作方法
技术领域:
本实用新型涉及一种使用在计算机中的可信密码模块,特别是一种密码算法可动态重构的可信密码模块。
背景技术:
可信密码模块是一个嵌入式安全可信模块,由CPU、存储器、I/O、密码运算器和嵌入式操作系统等组成,主要负责系统的完整性度量、存储和报告,密码学服务以及身份认证
坐寸o现有的可信密码模块主要采用SoC技术实现,从应用的角度看,虽然较好的满足 了一些低端的应用,但仍存在以下不足适应性差当前的可信密码模块中采用的算法一旦确定,就无法进行修改,无法满足一些特定场合的需求;资源利用率低可信密码模块中密码运算模块的实现较为复杂,需要的硬件资源较多,但其内部各个功能模块并非实时并行工作,根据系统逻辑功能的要求轮流串行工作。实际上,在这类系统中的硬件资源没有得到充分利用,而且系统规模越大,资源利用率越低;扩展性差基于传统ASIC的SoC工艺的可信密码模块的功能模块等是根据目标系统性能选择的,选定的模块不能修改,使得目标系统的性能优化空间相对狭窄;系统性能低普遍采用LPC总线,总线频率较低,难以满足硬件级高速加解密运算需求。
实用新型内容本实用新型的目的在于,通过提供一种可动态重构的可信密码模块,在可信密码模块的运行过程中根据需要动态重构功能模块,实现硬件资源的合理利用。本实用新型是采用以下技术手段实现的一种可动态重构的可信密码模块,包括在系统的运行过程中保持不变的固定模块和根据实际的需要在系统的工作中进行替换的重构模块。固定模块包括处理器单元、Flash存储器控制单元、SDRAM存储器控制单元和I/O接口单元。重构模块包括根据需要动态的对可编程逻辑器件上的资源进行重新配置进行替换的杂凑引擎单元、对称加密引擎单元、非对称加密引擎单元。I/O接口单元通过双向数据总线总线和处理器相连。Flash存储器控制单元作为可信密码模块内部总线和非易失性存储器的桥接设备,为可信密码模块实现非易失性数据的存储,处理器通过R/W信号控制存储数据的写入和读出。SDRAM存储器控制单元作为可信密码模块内部总线和外部存储的桥接设备,为可信密码模块提供临时的数据存储和程序存储空间,处理器通过R/W信号控制存储数据的写入和读出。前述的杂凑引擎单元提供杂凑运算服务。前述的对称加密引擎单元提供对称加解密服务。前述的非对称加解密引擎单元提供高速非对称加解密服务。本实用新型一种可动态重构的可信密码模块,与现有技术相比,具有以下明显的优势和有益效果本实用新型将可信密码模块的工作从一个纯空间的数 字逻辑系统变成在时间空间上混合构建的数字逻辑系统。从时间轴和外部看和传统的可信密码模块整体功能一样,但从资源利用来看,由于可以动态地重复利用资源,资源的利用率将成倍地提高,实现的数字逻辑系统规模受硬件资源的限制相对要小得多,适用于算法多样、硬件资源受限的情况,尤其是在硬件资源无法满足实现全部密码学服务的情况下,本实用新型能很好的解决该问题。
图I为可动态重构的可信密码模块结构示意图。
具体实施方式
以下结合说明书附图对本实用新型的具体实施例加以说明。一种可动态重构的可信密码模块,由固定模块和重构模块构成,如图I所示。其中,固定模块分为执行部件、I/o单元、存储器控制单元、通信总线几部分;重构模块分为杂凑引擎单元、对称加密引擎单元和非对称加密引擎单元等。I/O模块通过双向数据总线总线和处理器相连,当I/O模块有数据写入处理器时通过irq中断信号向处理器发起请求,处理器响应中断请求并读取数据。Flash存储器控制单元作为可信密码模块内部总线和非易失性存储器的桥接设备,负责为可信密码模块实现非易失性数据的存储。处理器通过R/W信号控制存储数据的写入和读出。SDRAM存储器控制单元作为可信密码模块内部总线和外部存储的桥接设备,负责为可信密码模块提供临时的数据存储和程序存储空间。处理器通过R/W信号控制存储数据的写入和读出。构成重构模块的杂凑引擎单元、对称加密弓I擎单元和非对称加密弓I擎单元通过总线宏连接至可信密码模块的内部总线,通过内部总线和处理器交换数据。杂凑引擎单元负责提供杂凑运算服务,对称加密引擎单元负责提供对称加解密服务,非对称加解密引擎单元负责提供高速非对称加解密服务。当处理器通过数据总线将数据准备好,通过ready信号启动运算引擎,运算引擎计算完毕后通过done信号告知处理器,处理器将计算结果取走。在实际的运行过程中,可信密码模块的处理器、I/O、存储其等部件保持不变,重构模块在进行重构时,根据需要对可编程逻辑器件上的部分资源进行重新配置,从而替换杂凑引擎单元、对称解密引擎单元和非对称加密引擎单元。当可信密码模块对外提供杂凑运算服务时,将重构模块配置为杂凑引擎,配合处理器进行杂凑处理;当可信密码模块对外提供对称加密服务时,将重构模块配置为对称加密引擎单元,配合处理器进行对称加解密运算;当可信密码模块对外提供签名验证等非对称加解密服务时,将重构模块配置为非对称加密引擎单元,配合处理器进行非对称加解密服务;在重构模块重新配置的过程中,器件上 的其它资源不受影响,固定模块仍然正常工作。
权利要求1.一种可动态重构的可信密码模块,其特征在于包括在系统的运行过程中保持不变的固定模块和根据实际的需要在系统的工作中进行替换的重构模块; 所述的固定模块包括处理器单元、Flash存储器控制单元、SDRAM存储器控制单元和I/O接口单元; 所述的重构模块包括根据需要动态的对可编程逻辑器件上的资源进行重新配置进行替换的杂凑引擎单元、对称加密引擎单元、非对称加密引擎单元; I/O接口单元通过双向数据总线总线和处理器相连; Flash存储器控制单元作为可信密码模块内部总线和非易失性存储器的桥接设备,为可信密码模块实现非易失性数据的存储,处理器通过R/W信号控制存储数据的写入和读出; SDRAM存储器控制单元作为可信密码模块内部总线和外部存储的桥接设备,为可信密码模块提供临时的数据存储和程序存储空间,处理器通过R/W信号控制存储数据的写入和读出。
专利摘要一种可动态重构的可信密码模块,包括固定模块和重构模块;固定模块在系统的运行过程中保持不变,而重构模块部分根据实际的需要在系统的工作中进行替换;固定模块包括处理器单元、Flash存储器控制单元、SDRAM存储器控制单元和I/O接口单元。重构模块包括根据需要动态的对可编程逻辑器件上的资源进行重新配置进行替换的杂凑引擎单元、对称加密引擎单元、非对称加密引擎单元。在上述重新配置过程中,固定模块仍然正常工作;重构模块通过总线宏连接至可信密码模块的内部总线,通过内部总线和处理器交换数据;资源的利用率将成倍地提高,适用于算法多样、硬件资源受限的情况,尤其是在硬件资源无法满足实现全部密码学服务的情况下。
文档编号G06F21/00GK202548850SQ201120476548
公开日2012年11月21日 申请日期2011年11月25日 优先权日2011年11月25日
发明者姚金利, 曾颖明, 李红, 王宏涛, 王斌, 王晓程, 赵政耀, 陈志浩 申请人:中国航天科工集团第二研究院七〇六所