專利名稱:高速信息安全處理器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種高速信息安全處理器。具體說涉及用于路由器、電子商務(wù)、數(shù)字廣播等需要將信息進行加密/解密領(lǐng)域的高速信息安全處理芯片。
背景技術(shù):
信息安全涉及國家的最高利益和安全,商業(yè)團體的利益,因此各國趨向于制定自己獨立的信息安全體系。國內(nèi)目前已開發(fā)的信息安全處理器,如SSX04芯片,能進行RSA等密碼加速運算的實際工作,但這些安全芯片通常僅支持一種或多種密碼算法,比較簡單。尚存在如下的缺陷1.)芯片中沒有用戶可重構(gòu)算法部件,因此如果算法不再具有安全性時,不能及時通過更改算法來彌補。
2.)數(shù)據(jù)包處理與密碼處理分開,使得加密數(shù)據(jù)在各個網(wǎng)絡(luò)處理部件間需多次傳遞,影響了加密速率。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種用戶可重構(gòu)密碼算法的高速信息安全處理器。
本發(fā)明的高速信息安全處理器,其特征是它包括嵌入式處理器CPU、軟密碼引擎、內(nèi)部總線、數(shù)據(jù)收發(fā)器、PCI/PCMCIA總線接口、控制通路和數(shù)據(jù)通路,所說的軟密碼引擎包括可重構(gòu)密碼算術(shù)邏輯部件、標準密碼算術(shù)邏輯部件、與內(nèi)部總線相連的隨機數(shù)發(fā)生器,數(shù)據(jù)包分發(fā)器、密碼控制寄存器、輸入隊列和輸出隊列,PCI/PCMCIA總線接口用于與外部計算機系統(tǒng)的PCI總線或PCMCIA總線連接,數(shù)據(jù)收發(fā)器將來自PCI/PCMCIA總線接口的控制信息與數(shù)據(jù)信息區(qū)分開,其輸出的控制信息通過控制通路,經(jīng)內(nèi)部總線傳輸?shù)角度胧教幚砥鰿PU,輸出的數(shù)據(jù)信息通過數(shù)據(jù)通路傳輸?shù)杰浢艽a引擎的數(shù)據(jù)包分發(fā)器,該數(shù)據(jù)包分發(fā)器與可重構(gòu)密碼算術(shù)邏輯部件、標準密碼算術(shù)邏輯部件、輸入隊列和輸出隊列相連,密碼控制寄存器與可重構(gòu)密碼算術(shù)邏輯部件、標準密碼算術(shù)邏輯部件、內(nèi)部總線及數(shù)據(jù)包分發(fā)器相連。
通常,在嵌入式處理器CPU上接有CPU外部地址數(shù)據(jù)總線,以便可掛接外部擴展存儲器。為了對高速信息安全處理器(芯片)進行功耗管理,當(dāng)芯片在沒有數(shù)據(jù)需要進行處理的時候,將其轉(zhuǎn)到睡眠狀態(tài),以及為便于調(diào)試應(yīng)用程序,可在嵌入式處理器CPU上連接功耗管理和調(diào)試接口;還可在內(nèi)部總線連接用于存儲掉電后仍需保持狀態(tài)信息的電可擦除存儲器和標識芯片身份信息的芯片編號。
使用時,將本發(fā)明的高速信息安全處理器安裝在一塊PCI卡中,并安裝于機系統(tǒng)的PCI插槽上。其工作過程如下計算機系統(tǒng)中的CPU經(jīng)由PCI/PCMCIA總線接口向高速信息安全處理器發(fā)送控制信息,數(shù)據(jù)收發(fā)器接收到發(fā)過來的信息,根據(jù)信息的目標地址空間判斷出這是屬于控制信息,于是將控制信息通過控制通路,經(jīng)內(nèi)部總線傳輸?shù)角度胧教幚砥鰿PU;嵌入式處理器CPU對控制信息進行分析處理,然后向密碼引擎發(fā)送一系列數(shù)據(jù)包處理和密碼處理參數(shù),密碼引擎在接受了參數(shù)以及控制信號之后,完成了初始化,接下去它將等待需要進行加密/解密的數(shù)據(jù)信息;計算機系統(tǒng)經(jīng)過PCI/PCMCIA總線接口向高速信息安全處理器發(fā)送數(shù)據(jù)信息,數(shù)據(jù)收發(fā)器接收到發(fā)過來的信息,根據(jù)信息的目標地址空間判斷出這是屬于數(shù)據(jù)信息,于是將其經(jīng)由數(shù)據(jù)通路直接送到密碼引擎中的連接數(shù)據(jù)包分發(fā)器的輸入隊列;密碼控制寄存器控制數(shù)據(jù)包分發(fā)器,使數(shù)據(jù)流按預(yù)想的方式進出可重構(gòu)密碼算術(shù)邏輯部件或標準密碼算術(shù)邏輯部件,數(shù)據(jù)包分發(fā)器取出在輸入隊列中的數(shù)據(jù)包及密碼控制寄存器中的參數(shù),并過慮無用的數(shù)據(jù),送入可重構(gòu)密碼算術(shù)邏輯部件或標準密碼算術(shù)邏輯部件,由可重構(gòu)密碼算術(shù)邏輯部件或標準密碼算術(shù)邏輯部件處理輸入的數(shù)據(jù)和各種參數(shù),并將結(jié)果送回數(shù)據(jù)包分發(fā)器,數(shù)據(jù)包分發(fā)器將密碼運算結(jié)果及密碼控制寄存器中的一些參數(shù)生成新的數(shù)據(jù)包,并將其存入輸出隊列;輸出隊列中的數(shù)據(jù)信息經(jīng)由數(shù)據(jù)通路以DMA(直接數(shù)據(jù)讀取)的方式再通過PCI/PCMCIA總線接口發(fā)送到計算機系統(tǒng)中去。如果還有數(shù)據(jù)需要加密解密,則繼續(xù)重復(fù)上述過程。
本發(fā)明的優(yōu)點是1.在高速信息安全處理器中設(shè)置具有可重構(gòu)密碼算術(shù)邏輯部件和標準密碼算術(shù)邏輯部件的軟密碼引擎,通過軟密碼引擎中的軟密碼算術(shù)邏輯部件,使用戶可以根據(jù)自己的需要,以軟件編程的方式來實現(xiàn)其自定義的密碼算術(shù)邏輯部件,這樣應(yīng)用方式就更加靈活,而且密碼算法可以更加具有特殊性、便于保密;2.加入了數(shù)據(jù)包分發(fā)器,使得本發(fā)明處理器可以直接支持各種網(wǎng)絡(luò)協(xié)議,而不需要通過額外的轉(zhuǎn)換電路,利于提高整個系統(tǒng)的性能。
3.采用軟件協(xié)議處理技術(shù),可通過CPU外部地址數(shù)據(jù)總線擴充外部命令解釋程序,以處理新的安全協(xié)議,這可以提高安全處理器的靈活性。
圖1是高速信息安全處理器一種具體構(gòu)成框圖;圖2是軟密碼引擎構(gòu)成框圖。
具體實施例方式
參照圖1,本發(fā)明的高速信息安全處理器包括嵌入式處理器CPU1、軟密碼引擎2、內(nèi)部總線3、數(shù)據(jù)收發(fā)器4、PCI/PCMCIA總線接口5、控制通路6和數(shù)據(jù)通路7,PCI/PCMCIA總線接口5用于與外部計算機系統(tǒng)的PCI總線或PCMCIA總線連接,數(shù)據(jù)收發(fā)器4與PCI/PCMCIA總線接口5相連,由其將來自PCI/PCMCIA總線接口5的控制信息與數(shù)據(jù)信息區(qū)分開,數(shù)據(jù)收發(fā)器輸出的控制信息通過控制通路6,經(jīng)內(nèi)部總線3傳輸?shù)角度胧教幚砥鰿PU,輸出的數(shù)據(jù)信息通過數(shù)據(jù)通路7傳輸?shù)杰浢艽a引擎2,圖示實例中,嵌入式處理器CPU接有CPU外部地址數(shù)據(jù)總線8,功耗管理10和調(diào)試接口11。嵌入式處理器CPU采用內(nèi)置安全協(xié)議處理的基本控制程序存儲器,如可采用ARM、MIPS、Motorola公司的M·Core等。在內(nèi)部總線上還連接有電可擦除存儲器9。
所說的軟密碼引擎2,見圖2所示,它包括可重構(gòu)密碼算術(shù)邏輯部件12、標準密碼算術(shù)邏輯部件13、與內(nèi)部總線3相連的隨機數(shù)發(fā)生器14,數(shù)據(jù)包分發(fā)器15、密碼控制寄存器16、輸入隊列17和輸出隊列18。隨機數(shù)發(fā)生器14可采用真隨機數(shù)發(fā)生器。數(shù)據(jù)包分發(fā)器15與可重構(gòu)密碼算術(shù)邏輯部件12、標準密碼算術(shù)邏輯部件13、輸入隊列17和輸出隊列18相連。密碼控制寄存器16與可重構(gòu)密碼算術(shù)邏輯部件12、標準密碼算術(shù)邏輯部件13、內(nèi)部總線3及數(shù)據(jù)包分發(fā)器15相連。這里,內(nèi)部總線連接有芯片編號19。
權(quán)利要求
1.一種高速信息安全處理器,其特征是它包括嵌入式處理器CPU[1]、軟密碼引擎[2]、內(nèi)部總線[3]、數(shù)據(jù)收發(fā)器[4]、PCI/PCMCIA總線接口[5]、控制通路[6]和數(shù)據(jù)通路[7],所說的軟密碼引擎[2]包括可重構(gòu)密碼算術(shù)邏輯部件[12]、標準密碼算術(shù)邏輯部件[13]、與內(nèi)部總線[3]相連的隨機數(shù)發(fā)生器[14],數(shù)據(jù)包分發(fā)器[15]、密碼控制寄存器[16]、輸入隊列[17]和輸出隊列[18],PCI/PCMCIA總線接口[5]用于與外部計算機系統(tǒng)的PCI總線或PCMCIA總線連接,數(shù)據(jù)收發(fā)器[4]將來自PCI/PCMCIA總線接口[5]的控制信息與數(shù)據(jù)信息區(qū)分開,其輸出的控制信息通過控制通路[6],經(jīng)內(nèi)部總線[3]傳輸?shù)角度胧教幚砥鰿PU[1],輸出的數(shù)據(jù)信息通過數(shù)據(jù)通路[7]傳輸?shù)杰浢艽a引擎[2]的數(shù)據(jù)包分發(fā)器[15],該數(shù)據(jù)包分發(fā)器[15]與可重構(gòu)密碼算術(shù)邏輯部件[12]、標準密碼算術(shù)邏輯部件[13]、輸入隊列[17]和輸出隊列[18]相連,密碼控制寄存器[16]與可重構(gòu)密碼算術(shù)邏輯部件[12]、標準密碼算術(shù)邏輯部件[13]、內(nèi)部總線[3]及數(shù)據(jù)包分發(fā)器[15]相連。
2.根據(jù)權(quán)利要求1所述的高速信息安全處理器,其特征在于所說的嵌入式處理器CPU[1]內(nèi)置安全協(xié)議處理的基本控制程序存儲器。
3.根據(jù)權(quán)利要求1所述的高速信息安全處理器,其特征在于所說的嵌入式處理器CPU[1]接有功耗管理[10]。
4.根據(jù)權(quán)利要求1所述的高速信息安全處理器,其特征在于所說的嵌入式處理器CPU[1]接有調(diào)試接口[11]。
5.根據(jù)權(quán)利要求1所述的高速信息安全處理器,其特征在于所說的嵌入式處理器CPU[1]接有CPU外部地址數(shù)據(jù)總線[8]。
6.根據(jù)權(quán)利要求1所述的高速信息安全處理器,其特征在于所說的隨機數(shù)發(fā)生器[14]是真隨機數(shù)發(fā)生器。
7.根據(jù)權(quán)利要求1所述的高速信息安全處理器,其特征在于所說的內(nèi)部總線[3]接有電可擦除存儲器[9]和芯片編號[19]。
全文摘要
本發(fā)明的高速信息安全處理器包括嵌入式處理器CPU、軟密碼引擎、內(nèi)部總線、數(shù)據(jù)收發(fā)器、PCI/PCMCIA總線接口、控制通路和數(shù)據(jù)通路,所說的軟密碼引擎包括可重構(gòu)密碼算術(shù)邏輯部件、標準密碼算術(shù)邏輯部件、與內(nèi)部總線相連的隨機數(shù)發(fā)生器,數(shù)據(jù)包分發(fā)器、密碼控制寄存器、輸入隊列和輸出隊列。該高速信息安全處理器不需要通過額外的轉(zhuǎn)換電路,可以直接支持各種網(wǎng)絡(luò)協(xié)議,并可使用戶以軟件編程的方式來實現(xiàn)其自定義的密碼算術(shù)邏輯部件,應(yīng)用方式靈活,而且密碼算法更具有特殊性、便于保密。
文檔編號G06F13/14GK1405687SQ0214503
公開日2003年3月26日 申請日期2002年10月31日 優(yōu)先權(quán)日2002年10月31日
發(fā)明者嚴曉浪, 沈海斌, 何樂年 申請人:浙江大學(xué)