一种多路安全元件集群板卡的制作方法

本发明涉及计算机扩展板卡领域，尤其涉及带有多路数据加解密功能集群计算能力的计算机扩展板卡的设计与实现方法。

背景技术：

计算机网络的普及让人与人之间、人与物之间以及物与物之间的连接变得十分普遍，互联网和物联网的发展与壮大让数据信息加密的作用显得日益重要。无论是互联网空间里人的隐私保护，还是物联网中联网设备的信息安全，都离不开数据加密。在现代信息安全技术领域，常见的加密设备有加密机、密码卡、usbkey(加密锁)和智能卡等，其中的加密机和密码卡经常应用于局端加密。由于可以安装在服务器的pci(peripheralcomponentinterconnect，外设部件互连标准)或者pci-e(peripheralcomponentinterconnectexpress，高速串行计算机扩展总线标准)扩展槽上直接使用，密码卡能灵活、方便地部署在需要实现数据加解密功能的服务器上，而随着物联网、工业互联网等新兴网络技术的发展与普及，这类密码卡必将得到更加广泛的应用。

纵观现有的pci或pci-e密码卡技术，较为显著的特点和不足有一下三方面：

其一，采用fpga(fieldprogrammablegatearray，现场可编程门阵列)作为板卡的核心。作为可重构器件，fpga的优势可以缩短密码卡产品的研发周期，从而获得更短的上市时间，但同时fpga的局限性也非常明显。首先，与专用定制芯片(asic,applicationspecificintegratedcircuit)相比，fpga功耗高、速度慢；其次，最为关键的一点，fpga的成本更高，在密码卡需要大批量生产时，生产和测试的成本将更为突出。

其二，关注密码卡本身的设计与实现，对上位机(服务器)操作系统如何枚举密码卡设备以及上位机软件如何调用密码卡功能关注较少。作为硬件的密码卡在安装(插入)计算机主板扩展槽之后，一经上电复位，其后续的枚举、应用功能通讯等都是依靠板上软件和上位机软件(包括操作系统和应用软件)来完成的，作为软件实例的密码卡在实际使用中一直存在而且至关重要。

其三，由于没有关注密码卡的软件实现，也就没有重视密码卡在实际使用中的多线程调用方案等问题，不便于并行计算，而多任务并行处理恰恰是服务器(或工控机)在使用密码卡完成数据加解密时所必须的面临的功能和性能问题。

综上所述，密码卡现在和将来在信息安全领域有着宽广的用途，但现有的密码卡技术对于其批量生产和大面积推广仍存在限制和制约，因此，提出一种新的基于板卡的密码模块来实现易管理、易使用、多线程、多任务、高安全、高性能的应用目的在商用密码广泛推广的今天显得尤为重要。

技术实现要素：

本发明的目的旨在提供一种多路安全元件集群板卡及其软硬件实现方法，作为密码模块，集群板卡可以非常容易地与主机进行软硬件集成、供上位机软件调用并且高效(多线程)地完成数据加解密等运算。

为了满足以上功能和性能需求，本发明提供一种多路安全元件集群板卡，包括上联接口芯片(1)、接口扩展芯片(2)、安全元件芯片(3)、金手指(4)，所述的上联接口芯片(1)使用通过金手指(4)插入计算机主板扩展槽，实现板卡与计算机系统之间的高速通讯。

优选地，所述的上联接口芯片(1)可以连接接口扩展芯片(2)，接口扩展芯片(2)再连接多片安全元件芯片(3)，用于实现多路集群。

所述上联接口芯片(1)包括上联接口，所述上联接口是外设部件互连标准pci通讯接口、高速串行计算机扩展总线标准pci-e通讯接口、总线的更新版本pci-xpci通讯接口、串行高级技术附件sata通讯接口、通用串行总线usb通讯接口以及以太网通讯接口中的一者。

所述接口扩展芯片(2)包括通用串行总线集线器usbhub，通过usb对上连接所述上联接口芯片(1)、对下连接所述安全元件芯片(3)。

所述接口扩展芯片(2)包括智能卡读卡器芯片，通过usb或者串口对上连接所述上联接口芯片(1)、通过符合iso/iec7816-3接口规范的智能卡读卡器接口对下连接所述安全元件芯片(3)。

所述接口扩展芯片(2)包括串行外设接口spi芯片，通过spi从接口、usb或者串口对上连接所述上联接口芯片(1)、通过spi接口对下连接所述安全元件芯片(3)。

所述接口扩展芯片(2)包括集成电路片间总线i²c扩展芯片，通过i²c接口、usb或者串口对上连接所述上联接口芯片(1)、通过i²c接口对下连接所述安全元件芯片(3)。

所述接口扩展芯片(2)包括串口扩展芯片，通过串口对上连接所述上联接口芯片(1)、通过多个串口对下连接所述安全元件芯片(3)。

所述接口扩展芯片(2)包括输入输出io扩展芯片，通过i²c接口、usb或者串口等对上连接所述上联接口芯片(1)、通过直接io对下连接所述安全元件芯片(3)。

所述上联接口芯片(1)直接连接所述安全元件芯片(3)的接口包括usb、串口、spi、iso/iec7816-3接口、i²c以及直接io中的至少一者。

所述上联接口芯片(1)、所述接口扩展芯片(2)和所述安全元件芯片(3)都需要加载各自的固件，计算机操作系统将每个安全元件枚举成独立的实例，安全元件的枚举遵循标准的技术规范、采用操作系统广泛支持的驱动程序，上层应用软件单独操作每一个安全元件。

所述多路集群板卡可以多线程、多进程访问，每个线程或者进程访问一个独立的安全元件实例。

所述安全元件芯片(3)彼此独立，每个安全元件都拥有自己的系统和存储空间，安全元件装载相同的对称加解密密钥，也发行独立的密钥。

所述安全元件芯片(3)支持常用的对称、非对称加密算法和摘要算法。

附图说明

为了更加清晰地阐述本发明及其实施例，下面将对说明书附图做介绍，对于本领域普通技术人员，在不付出创造性劳动的前提下，亦可根据这些附图获得其他实施。

图1为本发明实施例提供的一种通用多路安全元件集群板卡的结构图；

图2为本发明实施例提供的一种采用通用串行总线作为扩展接口的多路安全元件集群板卡的结构图；

图3为本发明实施例提供的一种采用智能卡接口作为扩展接口的多路安全元件集群板卡的结构图；

图4为本发明实施例提供的一种采用spi接口作为扩展接口的多路安全元件集群板卡的结构图；

图5为本发明实施例提供的一种采用i²c接口作为扩展接口的多路安全元件集群板卡的结构图；

图6为本发明实施例提供的一种采用串口作为扩展接口的多路安全元件集群板卡的结构图；

图7为本发明实施例提供的一种采用直接io作为扩展接口的多路安全元件集群板卡的结构图；

图8为本发明实施例提供的多路安全元件集群板卡软件工作流程图；

图9为本发明实施例提供的多线程并发访问时的线程与安全元件实例映射关系图；

图10为本发明实施例提供的软件调用环节单个安全元件芯片的工作流程图。

具体实施方式

参看图1至图7，本发明所提供的多路安全元件集群板卡主要由上联接口芯片(1)、接口扩展芯片(2)、安全元件芯片(3)、金手指(4)及其附属电子元器件和电路组成，整张板卡以印刷电路板作为载体，将上联接口芯片(1)、接口扩展芯片(2)、安全元件芯片(3)、金手指(4)及其配套元器件和电路等连接成一个整体。

其中，上联接口芯片(1)可以包括上联接口，上联接口可以是pci(peripheralcomponentinterconnect，外设部件互连标准)、pci-e(peripheralcomponentinterconnectexpress，高速串行计算机扩展总线标准)、pci-x(pci总线的更新版本)、sata(串行高级技术附件，serialadvancedtechnologyattachment)、usb(通用串行总线，universalserialbus)、以太网等通讯接口。

如图1所示，上联接口芯片(1)使用通过金手指(4)插入计算机主板扩展槽，实现板卡与计算机系统之间的高速通讯。更具体地，上联接口芯片(1)可以是上联接口为pci-e的usb(通用串行总线)主机控制器专用芯片(asic)，安全元件芯片(3)作为从设备通过主机控制器的usb端口加载到上位机。金手指(4)作为上联接口芯片(1)pci-e上联接口的物理接口。

如图2所示的具体实施例中，接口扩展芯片(2)可以是通用串行总线集线器(usbhub)专用芯片，实现usb接口一变多扩展，安全元件芯片(3)作为从设备通过集线器的usb端口加载到上位机。接口扩展芯片(2)还可以级联，实现多级扩展以满足集群板卡多路安全元件挂载的需求。

图3-图7中，接口扩展芯片(2)分别为智能卡读卡器芯片、spi(串行外设接口，serialperipheralinterface)主接口芯片、i²c(集成电路片间总线，inter-integratedcircuit)扩展芯片、串口扩展芯片以及io(输入输出)扩展芯片，具体实施例与上文图2的实施例类似，在此不再赘述。

本发明所提供的一种多路安全元件集群板卡的实现方法，不仅包括上述的硬件实现方法，也包括软件实现方法，所述的上联接口芯片(1)、接口扩展芯片(2)和安全元件芯片(3)都需要加载各自的固件，计算机操作系统将每个安全元件枚举成独立的实例，安全元件的枚举遵循标准的技术规范、采用操作系统广泛支持的驱动程序，上层应用软件(程序)可以单独操作每一个安全元件。

如图8所示，多路安全元件集群板卡在上电复位后的枚举过程包括pci-e枚举(上联接口芯片(1))、usb集线器枚举(上联接口芯片(1)、接口扩展芯片(2))、usb功能设备枚举(安全元件芯片(3))，然后是usb设备驱动加载(安全元件芯片(3))，之后进入应用软件调用环节(上位机软件、安全元件实例)。实施例中将安全元件芯片(3)固件实现为usbccid(usbintegratedcircuit(s)cardsinterfacedevice，usb集成卡接口设备)，在枚举完成加载驱动之后通过操作系统可见到多个智能卡读卡器，其数量为集群板卡上安全元件芯片(3)的个数。

如图10所示，在软件调用环节，每个安全元件都在等待上位机软件发送指令，接受完成指令之后进行处理并对上发送响应数据。

如图9所示，在软件调用环节，上位机软件可以多线程并发访问集群板卡上的安全元件，每个线程对应一个安全元件芯片(3)物理实体，效率更高；上位机软件也可以灵活地将待加解密数据分段交给多个安全元件进行计算，集群板卡作为整个参与运算提高数据吞吐率。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。