本发明涉及加解密技术领域,尤其涉及一种数据加解密装置。
背景技术:
随着技术的发展,金融卡以及物联网等诸多领域开始互联,互联后一方面越来越便利当今的生活,另一方面也使得信息安全问题日益紧迫。
为了提高信息的安全性,目前主要有两种途径对数据进行加解密。其中一种途径是基于数学运算的加密算法对数据进行加密,但这种途径面临着加密可靠性和运算效率的矛盾,并且理论上密钥能够被破解,数据的安全程度较低。另外一种途径是设置自毁装置,在数据泄密前,摧毁数据的物理载体或者全盘格式化数据,但是这个途径需要额外的能量供应,一旦断电,则无法工作。并且整个自毁过程耗时较长。
技术实现要素:
本发明解决的问题是如何提高数据的安全程度及保护效率。
为解决上述问题,本发明实施例提供了一种数据加解密装置,所述装置包括:puf密钥生成器,分别与所述puf密钥生成器耦接的加密编码器、解密编码器及自毁装置,且所述加密编码器与所述解密编码器相互耦接,其中:所述puf密钥生成器,适于生成相互匹配的加密密钥和解密密钥,将所述加密密钥输入至所述加密编码器,将所述解密密钥输入至所述解密编码器;所述加密编码器,适于接收原始数据,并采用所述加密密钥对所述原始数据进行加密,将加密后的原始数据输入至所述解密编码器;所述解密编码器,适于接收所述解密密钥和所述加密后的原始数据,且采用所述解密密钥对所述加密后的原始数据进行解密,得到所述原始数据;所述自毁装置,适于在检测到所述数据加解密装置受到非法攻击时,破坏所述puf密钥生成器的工作机制。
可选地,所述自毁装置,适于采用破坏所述puf密钥生成器如下至少一种属性来破坏所述puf密钥生成器的工作机制:改变所述puf密钥生成器的物理特性;改变所述puf密钥生成器的随机性;摧毁所述puf密钥生成器实体。
可选地,所述装置还包括:耦接于所述加密编码器和所述解密编码器之间的存储器,适于从所述加密编码器接收所述加密后的原始数据,且将所述加密后的原始数据传输至所述解密编码器。
可选地,所述存储器,适于通过信号线、无线或光缆与所述加密编码器和所述解密编码器耦接。
可选地,所述自毁装置,适于通过以下至少一种自毁方式破坏所述puf密钥生成器的工作机制:电学自毁方式;声学自毁方式;光学自毁方式;力学自毁方式;化学反应自毁方式;热力学变化自毁方式。
与现有技术相比,本发明的技术方案具有以下优点:
上述的方案,由于用于对数据进行加解密的密钥是采用puf密钥生成器所生成的,而puf密钥生成器所生成的密钥具备唯一性、随机性及不可复制性,不容易被破解,故可以提高数据的安全程度。并且由于数据加解密装置中还设置有自毁装置,可以在检测到所述数据加解密装置受到非法攻击时,破坏所述puf密钥生成器的工作机制,无需破坏数据的物理载体实体,因此破坏过程无需较多的能量及较长的时长,因此还可以提高数据的保护效率。而且,被破坏后的puf密钥生成器的工作机制发生改变,攻击者无法使用被破坏后的puf密钥生成器破解出之前所储存的原始数据,因此也可以进一步地提高数据的安全程度。
进一步的,通过设置加解密装置还包括耦接于所述加密编码器和所述解密编码器之间的存储器,可以使得加密后的数据便于携带,故可以提高加解密装置的便利性。
进一步,由于存储器可以通过无线与加密编码器和解密编码器耦接,因此可以将加密编码器与存储器置于两个不同的地方,增加欲窃取数据者窃取数据的复杂性,因此可以提高数据的安全程度。
附图说明
图1是本发明实施例中的一种数据加解密装置的结构示意图;
图2示出了本发明实施例中的另一种数据加解密装置的结构示意图。
具体实施方式
如上所述,目前主要有两种途径对数据进行加解密。其中一种途径是基于数学运算的加密算法对数据进行加密,这种途径的确具备较高的保密性,但这种途径面临着加密可靠性和运算效率的矛盾,需要在加密解密的复杂性和运算效率之间进行折中,最安全复杂的密码意味着运算成本的飙升,而低复杂度的加密则意味着被破解的风险。并且理论上密钥均能够被破解,数据的安全程度较低。
而另外一种途径是设置自毁装置,在数据泄密前,该自毁装置会从物理上或机械上破坏数据的物理载体,或者破坏系统运行的代码软件或者全盘格式化数据,但是这个途径需要额外的物理、机械及时间等资源来保护自毁过程的生效,并且将系统断电后,攻击者可以轻而易举的把跟电力相关的自毁装置去除掉,导致自毁装置无法工作。
综上,现有技术中的数据加解密装置存在数据的安全程度及保护效率低下的问题。
为解决上述问题,本发明实施例采用不可复制功能(physicallyunclonablefunction,puf)密钥生成器生成用于对数据进行加解密的密钥,而puf密钥生成器所生成的密钥具备唯一性、随机性及不可复制性,不容易被破解,故可以提高数据的安全程度。并且由于数据加解密装置中还设置有自毁装置,可以在检测到所述数据加解密装置受到非法攻击时,破坏所述puf密钥生成器的工作机制,无需破坏数据的物理载体实体,因此破坏过程无需较多的能量及较长的时长,因此还可以提高数据的保护效率。而且,被破坏后的puf密钥生成器的工作机制发生改变,攻击者无法使用被破坏后的puf密钥生成器破解出之前所储存的原始数据,因此也可以进一步地提高数据的安全程度。
为使本发明的上述目的、特征和优点能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
图1示出了本发明实施例中的一种数据加解密装置,下面参考图1对所述数据加解密装置进行详细介绍,所述加解密装置可以包括:puf密钥生成器11,分别与所述puf密钥生成器11耦接的加密编码器12、解密编码器13及自毁装置14,且所述加密编码器12与所述解密编码器13相互耦接。其中:所述puf密钥生成器11,适于生成相互匹配的加密密钥和解密密钥,将所述加密密钥输入至所述加密编码器12,将所述解密密钥输入至所述解密编码器13。
所述加密编码器12,适于接收原始数据,并采用所述加密密钥对所述原始数据进行加密,将加密后的原始数据输入至所述解密编码器13。
所述解密编码器13,适于接收所述解密密钥和所述加密后的原始数据,且采用所述解密密钥对所述加密后的原始数据进行解密,得到所述原始数据。
所述自毁装置14,适于在检测到所述数据加解密装置受到非法攻击时,破坏所述puf密钥生成器11的工作机制。
由上述可知,本发明实施例中的数据加解密装置可以利用puf技术生成具备高度地不可复制性及随机分布性的加解密密钥,进而使用所述加密密码加密将数据加密。一旦侦测到存在对数据加解密装置的不合法的攻击行为,可以利用专用的自毁装置摧毁puf密钥生成器的工作机制。在puf密钥生成器被破坏后,原先的解密密码将不复存在,即使还可以新产生加密密钥或者可解读出被加密的数据,也无法破解之前所存的数据,因此可以确保数据的安全。并且,在此过程中所破坏的是所述puf密钥生成器的工作机制,无需破坏数据的物理载体实体,因此破坏过程无需较多的能量及较长的时长,而是在极其快速的时间和非常低的功耗损失下即可实现,因此还可以提高数据的保护效率。
由于自毁装置14的工作原理的不同,不同的puf密钥生成器11也呈现出不同的属性,当puf密钥生成器11的属性与之前不同时,即可确认puf密钥生成器11的工作机制受到了破坏。在具体实施中,所述自毁装置14,可以采用多种破坏puf密钥生成器11的属性的方法,来达到破坏所述puf密钥生成器11的工作机制的目的。
在本发明一实施例中,可以通过改变所述puf密钥生成器11的物理特性,来实现puf密钥生成器11的工作机制的改变。比如,存在一种基于涂层细微结构的不同而形成特性的图案来构成密钥的puf密钥生成器,对于该种puf密钥生成器,可以在细微涂层的附近增加设置加热装置和热膨胀系数较大的材料,给予电流流过加热装置,加热装置释放热量使得热膨胀材料体积膨胀,挤压涂层的细微结构,导致它的细微结构发生改变,进而改变密钥的物理特性,以实现puf密钥生成器的工作机制的改变。
在本发明另一实施例中,可以通过改变所述puf密钥生成器11的随机性,来实现puf密钥生成器11的工作机制的改变。比如,存在一种非电子类puf密钥生成器,是通过激光束照射显微结构得到的散斑来构成密钥的,对于该种puf密钥生成器,可以通过调整激光束的方向来改变散斑的形状,以破坏puf密钥生成器的随机性,进而可以实现puf密钥生成器的工作机制的改变。又比如,存在一种模拟电路类puf密钥生成器,其工作原理是:选择或者设置一个标准单元的阈值电压vth作为标准阈值电压vth,将多个单元的阈值电压vth与所述标准阈值电压vth比较,阈值电压vth相互之间的细微差别就会导致比较的结果不一致,进而构成具有puf特性的比较结果序列。对于该种模拟电路类puf密钥生成器,可以利用一个脉冲电流影响标准单元的阈值电压vth,即破坏掉上述puf的密钥的随机性,进而实现puf密钥生成器的工作机制的改变。
在本发明又一实施例中,也可以通过摧毁所述puf密钥生成器11实体,来实现puf密钥生成器11的工作机制的改变。可以理解的是,本领域技术人员也可以采用以上两个或者多个实施例的组合的方法来破坏puf密钥生成器11的工作机制。
图2示出了本发明实施例中的另一种数据加解密装置,如图2所示,所述数据加解密装置还可以包括:耦接于所述加密编码器22和所述解密编码器23之间的存储器25,适于从所述加密编码器22接收所述加密后的原始数据,且将所述加密后的原始数据传输至所述解密编码器23。因此,可以使得加密后的数据便于携带,故可以提高加解密装置的便利性。
需要说明的是,图2中的加密编码器22与图1中的加密编码器12相同,图2中的解密编码器23与图1中的解密编码器13相同,图2中的自毁装置24与图1中的自毁装置14相同,图2中的puf密钥生成器21与图1中的puf密钥生成器11相同。本领域技术人员可以根据上述实施例中对加密编码器12、解密编码器13及自毁装置14的描述,来实施加密编码器22、解密编码器23及自毁装置24,在此不再赘述。
在具体实施中,正常的数据加解密流程可以为原始数据经过puf密钥生成器21生成的加密密钥加密,之后存储在存储器25中,合法的访问利用puf密钥生成器21生成的解密密钥对加密数据解密,得到恢复后的数据。
在具体实施中,所述存储器25,可以通过多种途径与所述加密编码器22和所述解密编码器23耦接。具体而言,比如可以通过信号线或光缆来将存储器25与加密编码器22和解密编码器23耦接。整个加解密装置可以视为一个芯片,该信号线为芯片的信号线。又比如,也可以通过无线来将存储器25与加密编码器22和解密编码器23耦接,这样可以将加密编码器22与存储器25置于两个不同的地方,增加欲窃取数据者窃取数据的复杂性,因此可以提高数据的安全程度。
在具体实施中,所述自毁装置24,可以通过多种自毁方式破坏所述puf密钥生成器21的工作机制,例如,可以通过电学自毁方式、声学自毁方式、光学自毁方式、力学自毁方式、化学反应自毁方式及热力学变化自毁方式等其中一种或多种自毁方式进行。其中,热力学变化可以是指材料的相变过程。比如一种为efuse电阻的puf密钥生成器,当它是晶体时电阻属于一个范围,当它是非晶态时电阻就变到另一个不同的范围内,由于这两种状态的区别,故采用热力学变化自毁方式自毁该种puf密钥生成器,实质上就是材料的结构方式的改变。在具体实施中,自毁的手段不限于电学的,也可以是声、光、力、化学及热力学作用机制的,避免对自毁装置24的供电设备的依赖,因此可以提高数据的安全性。
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。