一种密码设备的改进及改进后数据同步方法及系统的制作方法
【技术领域】
[0001]本发明涉及一种密码设备的改进及改进后数据同步方法及系统,属于信息安全技术领域。
【背景技术】
[0002]PKI,即公钥基础设施,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的技术设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
[0003]在PKI应用领域一般有分为终端和服务器端。
[0004]终端产品有大众耳熟能详的USB key、POS机、ATM取款机等;服务器领域包括签名验签服务器,服务器密码机,以及金融数据密码机等。在服务器端都需要配备基础密码设备:PCI密码卡。目前主流的密码卡有PCI和PCIE总线的。
[0005]PCI密码卡是高性能基础密码设备,能够适用于各类密码安全应用系统进行高速的,多任务并行处理的密码运算,可以满足应用系统数据的签名/验证、加密/解密的要求,保证传输信息的机密性,完整性和有效性,同时提供安全、完善的权限及密钥管理机制。因此PCI密码卡是PKI体系中密码算法的提供者,是PKI体系中的关键基础密码设备。
[0006]随着信息技术在各个领域的应用,很多应用场合对PKI应用服务器的性能指标提出了更好的要求,在单张密码卡的性能无法满足服务的性能要求时,就需要多张密码卡来分担业务的运算要求,从而达到提高服务器性能的目的。在多张板卡并行的应用场合中,对PCI密码卡的权限及密钥管理功能提出了新的技术需求。
[0007]现有技术中的全功能单板功能包括:
[0008]1、密码算法功能模块:
[0009]算法包括对称,非对称,摘要算法及随机数模块,以及这些模块组合后的各种功能业务功能;密码算法的调用收到权限控制模块密钥管理及保护模块的影响。
[0010]2、密钥的的管理及保护模块:
[0011]包括密钥的生成,存储,保护,销毁;
[0012]密钥采用三级密钥:系统(设备)密钥,用户密钥,会话密钥。其中系统(设备)密钥和用户密钥为敏感信息,需要安全存储及备份;
[0013]3、权限控制模块:
[0014]密码卡的调用需要相应的权限,会对密码卡的功能调用存在限制,目前PCI密码卡普遍采用两级权限控制。管理员权限和操作员权限,管理员和操作员的存储介质可以是IC卡,也可以是USB KEYo
[0015]密码卡的两级权限,保证密码卡调度过程中的安全性;
[0016]4、备份恢复模块:
[0017]备份恢复属于灾备机制,确保密码卡的重要数据损坏后能够使系统还原未损坏时的状态。
[0018]随着信息技术的广泛应用,目前密码卡的安全机制是比较可靠的,但密码算法的性能及冗余限制了信息安全技术的推广,冗余及性能的要求需要亟需解决。
【发明内容】
[0019]本发明对PKI应用中的基础密码设备(PCI密码卡)进行了改进并提供了改进后权限和密钥同步的方法。本发明要解决的技术问题是:1,提高现有基础密码设备的性能;
2、解决新方案中针对现有设备权限和密钥同步技术面临的问题。
[0020]本发明首先针对性能问题提出:将传统密码设备拆成管理板和运算板。然后针对新方案解决了管理板和运算板数据同步的难题。
[0021]本发明解决上述数据同步问题的技术方案如下:一种密码设备的改进方法,包括,将管理功能和运算功能进行分离。
[0022]本发明解决上述数据同步问题的技术方案如下:一种密码设备的改进后数据同步方法,具体包括以下步骤:
[0023]步骤1:管理板接收来自管理通道的指令,依指令进行权限和密钥管理,并更新管理板存储空间中的数据;
[0024]步骤2:管理板将自身存储空间的数据同步到数据集散中心;
[0025]步骤3:管理板向在线运算板发送更新指令,运算板接收指令后获取数据集散中心中的数据,并存储到自身存储空间中;
[0026]步骤4:运算板接收来自运算通道的指令;
[0027]步骤5:各运算板根据更新后的数据对运算通道的指令进行响应并反馈;结束。
[0028]本发明的有益效果是:将管理功能和运算功能进行分离,提升性能的同时兼顾重要数据的保护,确保数据不会进入主机内存中;运算模块分离后为上层软件的冗余调用提供了底层保障。
[0029]进一步的方案为:数据同步利用数据集散中心来完成,其中数据集散中心利用FPGA进行实现。
[0030]所述数据集散中心模块包括至少两块双端口 RAM ;
[0031]所有所述双端口 RAM的写端口与管理模块相通信;每个所述双端口 RAM的读端口与一个运算模块相通信。
[0032]采用上述进一步方案的有益效果是,利用FPGA的资源可灵活配置的特点,实现了一种数据同步方法。通过至少两块双端口 RAM,实现了多个运算模块对应一个管理模块的相应的数据更新,并且每个运算模块的运算保持独立。
[0033]进一步,所述步骤I中管理模块通过pcie 口、pci 口、usb 口或com 口等作为管理通道接收外部指令。
[0034]进一步,所述运算模块包括控制器、算法模块和随机数产生模块;
[0035]所述控制器与数据集散中心模块相通信,用于接收外部指令,根据外部指令控制算法模块和随机数据产生模块;
[0036]所述算法模块用于根据控制器的控制和内存中的权限和密钥进行运算;
[0037]所述随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务。
[0038]进一步,所述管理模块包括控制模块、随机数模块、权限控制模块和数据存储模块;
[0039]所述控制模块根据外部指令控制随机数模块、权限控制模块和数据存储模块;
[0040]所述随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务;
[0041]所述权限控制模块用以根据控制模块的控制进行权限和密钥管理;
[0042]所述数据存储模块用于根据控制模块的控制存储权限控制模块产生的权限和密钥数据。
[0043]本发明提出了运算模块及管理模块分离的想法,技术改进后,对全功能单板做了业务功能做了划分:模块运算和管理模块;运算模块主要承担密码算法功能模块,管理模块承担密钥的管理及保护,权限的控制和备份恢复功能。本发明的提出是解决运算模块如何同步管理模块重要数据及权限状态的。
【附图说明】
[0044]图1为本发明所述的基础密码设备的改进后数据同步方法流程图;
[0045]图2为本发明所述的基础密码设备的改进后数据同步系统结构示意图;
[0046]图3为现有技术中全功能单板结构示意图;
[0047]图4为本发明具体实施例1所述的基础密码设备的改进后数据同步结构示意图。
[0048]图5为本发明数据集散中心的实施例。
[0049]附图1-5中,各标号所代表的部件列表如下:
[0050]1、管理板,2、数据集散中心模块,3、运算板,4、PCI或PC1-express接口,5、PCI或PC1-express接口芯片,6、控制模块,7、算法模块,8、随机数生成模块,9、权限控制模块,10、数据存储模块,11、权限存储介质,12、FPGA,13、双口 RAM。
【具体实施方式】
[0051]以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
[0052]如图1所示,为本发明所述的一种密码设备的改进后数据同步方法,具体包括以下步骤:
[0053]步骤1:管理板接收来自管理通道的指令,依指令进行权限和密钥管理,并更新管理板存储空间中的数据;
[0054]步骤2:管理板将自身存储空间的数据同步到数据集散中心;
[0055]步骤3:管理板向在线运算板发送更新指令,运算板接收指令后获取数据集散中心中的数据,并存储到自身存储空间中;
[0056]步骤4:运算板接收来自运算通道的指令;
[0057]步骤5:各运算板根据更新后的数据对运算通道的指令进行响应并反馈;结束。
[0058]所述数据集散中心模块包括至少两块双端口 RAM ;所有所述双端口 RAM的写端口与管理模块相通信;