一种PCI‑E密码卡的制作方法

本申请涉及信息安全技术领域，更具体地说，涉及一种PCI-E密码卡。

背景技术：

随着计算机网络技术的不断发展，网络信息安全已成为网络用户普遍关注的问题。网络信息安全问题的根源一方面来自网络自身的安全缺陷，如网络协议的不安全和业务的不安全，另一方面是人为因素，例如管理不善导致黑客的攻击。

PCI-E密码卡作为一个软硬件结合的密码产品，能有效的保证网络信息的安全性，在信息安全技术领域得到了广泛的应用。

一般的PCI-E密码卡在做一些算法运算时，需要用到密钥，包括公钥或者私钥，算法芯片必须取得密钥后才能做相应的运算。然而现有的PCI-E密码卡通常在进行密钥运算时才通过FPGA芯片从密钥管理器中取得密钥，其传输时间会比较长，这样会影响运算速度。

技术实现要素：

有鉴于此，本申请提供一种PCE-I密码卡，以提高PCE-I密码卡的密钥运算速度。

为了实现上述目的，现提出的方案如下：

一种PCI-E密码卡，所述PCI-E密码卡至少包括：安全芯片、FPGA芯片和国密算法芯片；

其中，所述安全芯片用于获取操作员的操作权限，并将所述操作权限发送至所述FPGA芯片，以及当操作员登陆所述PCI-E密码卡时，将预存的密钥同步至所述FPGA芯片；

所述FPGA芯片用于接收上位机发送的操作指令，并根据所述操作指令的类型和所述操作权限确定密钥算法的运算数据，将所述密钥和所述运算数据发送至所述国密算法芯片；

所述国密算法芯片用于基于所述密钥和所述运算数据进行密钥运算，并将运算结果发送至上位机。

优选的，其特征在于，还包括：与所述安全芯片相连的读卡器，用于读取操作员的操作权限。

优选的，所述FPGA芯片包括：双端口RAM以及状态机；

所述双端口RAM分别与所述安全芯片和所述国密算法芯片相连，用于存储所述安全芯片发送的所述密钥，以及当所述国密算法芯片进行密钥运算时，将所述密码发送至所述国密算法芯片；

所述状态机与所述国密算法芯片相连，用于接收所述上位机发送的所述操作指令以及所述国密算法芯片反馈的运算完成标志位。

优选的，所述国密算法芯片为SM2国密算法芯片。

经由上述技术方案可知，本申请公开一种PCI-E密码卡。当操作员登陆该密码卡时，安全芯片将存储的密钥同步至FPGA芯片。进而，当FPGA芯片接收上位机的操作指令以指示国密算法芯片进行密钥运算时，国密算法芯片可直接从FGPA芯片中获取密钥进行密钥运算，提高了密钥运算速度。同时，在本发明中安全芯片对操作人员的操作权限进行管理，保证了PCI-E密码卡的可靠性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1示出了本发明一个实施例公开了一种PCI-E密码卡的结构示意图；

图2出了本发明另一个实施例公开的一种PCI-E密码卡的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图1示出了本发明一个实施例公开了一种PCI-E密码卡的结构示意图。

由图1可知，该PCI-E密码卡至少包括：安全芯片1、FPGA芯片2以及国密算法芯片3。

其中，所述安全芯片1与所述FPGA芯片2相连，用于获取操作员的操作权限，并将该操作权限发送至FPGA芯片2。同时该安全芯片1还用于当操作员登陆该PCI-E密码卡时，将预存的密钥同步至FPGA芯片2中。

当FPGA芯片接收上位机发送的操作指令后，FPGA芯片2根据该操作指令的类型和从安全芯片2中获取的操作权限，确定参与密钥算法的运算数据。当该操作指令显示密钥算法为SM2密钥算法时，FPGA芯片2将密钥和运算数据发送至所述国密算法芯片3中。

所述国密算法芯片3接收FPGA芯片2发送的密钥和运算数据，并基于所述密钥和所述运算数据进行密钥运算，国密算法芯片完成运算后，会发送运算完成标志位给FPGA芯片2，FPGA芯片2会通过MSI中断方式通知上位机，并把运算结果通过DMA传输给上位机。

由以上实施例可知，本申请公开的PCI-E密码卡在操作员登陆该密码卡时，安全芯片将存储的密钥同步至FPGA芯片。进而，当FPGA芯片接收上位机的操作指令以指示国密算法芯片进行密钥运算时，国密算法芯片可直接从FGPA芯片中获取密钥进行密钥运算，提高了密钥运算速度。同时，在本发明中安全芯片对操作人员的操作权限进行管理，保证了PCI-E密码卡的可靠性。

参见图2示出了本发明另一个实施例公开的一种PCI-E密码卡的结构示意图。

在本实施例中，该密码卡包括：安全芯片1、FPGA芯片2、国密算法芯片3以及读卡器4。

可选的，在本实施例中FPGA芯片包括：双端口RAM21以及状态机22。

读卡器4与安全芯片1相连，用于当操作人员登录该密码卡时从操作员的登录卡中读取操作员的操作权限，并将读取到的操作权限发送至安全芯片2中。

进而，安全芯片2将该操作权限和预存的密钥发送至FPGA芯片2中并将该操作权限发送至FPGA芯片2。其中，安全芯片2将密钥发送至FPGA芯片2中的双端口RAM中缓存。

进一步，FPGA芯片2的状态机22接收上位机发送的操作指令，并根据该操作指令的类型和从安全芯片2中获取的操作权限，确定参与密钥算法的运算数据。当该操作指令显示密钥算法为SM2密钥算法时，FPGA芯片2将密钥和运算数据发送至所述国密算法芯片3中。其中，该国密算法芯片3为SM2国密算法芯片。

所述国密算法芯片3接收FPGA芯片2发送的密钥和运算数据，并基于所述密钥和所述运算数据进行密钥运算，国密算法芯片完成运算后，会发送运算完成标志位给FPGA芯片2的状态机，FPGA芯片2会通过MSI中断方式通知上位机，并把运算结果通过DMA传输给上位机。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。