專利名稱:加密控制系統(tǒng)及方法
技術領域:
本發(fā)明涉及一種加密控制系統(tǒng)��,尤其是一種能夠?qū)?shù)據(jù)進行批處理加密 的加密控制系統(tǒng)�。本發(fā)明還涉及一種加密控制方法,尤其是一種能夠?qū)崿F(xiàn)對 數(shù)據(jù)進行批處理加密的方法�。
背景技術:
隨著社會信息化程度的不斷提高,以及信息技術應用領域的不斷拓展��, 信息安全問題所帶來的負面影響也日益突出��。信息安全作為非傳統(tǒng)的安全因 素�����,已經(jīng)與我國的政治安全�、經(jīng)濟安全、文化安全共同成為國家安全的重要 組成部分��。因此���,如何保障網(wǎng)絡信息的安全可靠運行�,已經(jīng)成為國家在信息 化過程中面臨的 一個嚴峻挑戰(zhàn)�����。
信息安全與微電子技術發(fā)展是密切相關的����,尤其伴隨集成電路技術的飛 速發(fā)展���,基于數(shù)據(jù)流的硬件加密技術將被廣泛應用于信息安全領域。集成化 芯片系統(tǒng)集成化芯片系統(tǒng)是微電子領域在本世紀的重要發(fā)展方向�����,伴隨著互 補金屬氧化物半導體硅工藝技術的高速發(fā)展���,集成電路的集成度也越來越 高����,己經(jīng)可以把整個系統(tǒng)都集成在一個芯片之內(nèi)���?��;跀?shù)據(jù)流加密的信息安 全集成化芯片系統(tǒng)是一個比較復雜的集成系統(tǒng)����,對它的研究面臨著理論和產(chǎn) 業(yè)化的挑戰(zhàn)與機遇。其主要的研究難點包括系統(tǒng)級的集成化芯片系統(tǒng)設計���、 多模塊多IP的系統(tǒng)集成和深亞微米的設計技術���。
目前各國除了從法律和管理上加強數(shù)據(jù)的安全保護外���,從技術上分別 在軟件和硬件兩方面采取措施,推動著數(shù)據(jù)加密技術和物理防范技術的不
斷發(fā)展�����。然而�����,采用軟件加密的方式��,中央處理器(Central Processing Unit; 以下簡稱CPU)將處理大量的數(shù)據(jù)加密�����、解密工作�����,浪費了 CPU的寶貴資源
而且安全性差����。此外�,隨著信息技術的進一步發(fā)展��,計算機和網(wǎng)絡上傳輸?shù)?數(shù)據(jù)不僅數(shù)量大而且傳輸?shù)乃俣纫苍絹碓娇?�。目前市場上主流的安全芯片?常用于實現(xiàn)身份認證的功能�,尚不能滿足高速數(shù)據(jù)加密傳輸,即不能滿足對 加密數(shù)據(jù)進行批處理的需要�����。
發(fā)明內(nèi)容
本發(fā)明第 一方面的實施例提供一種加密控制系統(tǒng)���,用以完成對批量數(shù)據(jù) 進行加密處理�����,提高數(shù)據(jù)加密處理速度����。
本發(fā)明的第一方面通過一些實施例提供了如下的技術方案 一種加密控制系統(tǒng)���,包括接口模塊,用于與外部設備進行數(shù)據(jù)通信;加 解密模塊��,與所述接口模塊連接����,用于生成加解密所用密鑰,并應用所述密 鑰對數(shù)據(jù)進行加解密處理��;數(shù)據(jù)緩存模塊�,與所述接口模塊連接,用于對數(shù) 據(jù)進行緩存�;微處理器模塊,用于對所述接口模塊�����、加解密模塊���、數(shù)據(jù)緩存 模塊進行控制����。
所述數(shù)據(jù)緩存模塊包括緩存控制器���,與所述微處理器模塊連接���,用于根 據(jù)所述微處理器模塊的控制信號進行數(shù)據(jù)的讀寫操作�����,并產(chǎn)生緩存狀態(tài)提示 信息���;第一端口子模塊,與所述緩存控制器���、接口模塊連接�,用于輸入數(shù)據(jù)��; 第二端口子模塊�,與所述緩存控制器、加解密模塊連接�����,用于輸出數(shù)據(jù)���;所 述緩存控制器包括讀指針單元�,用于控制所述第一端口子模塊對數(shù)據(jù)進行輸 入�����;寫指針單元��,用于控制所述第二端口子模塊對數(shù)據(jù)進行輸出���。所述加解 密模塊包括真隨機數(shù)發(fā)生器��,用于輸出密鑰生成所用的隨機數(shù)�;非對稱密碼 算法(以下簡稱RSA)子模塊�����,與所述真隨機數(shù)發(fā)生器連接��,用于完成非 對稱密碼加解密處理����;對稱密碼算法(Data Encryption Standard;以下簡 稱DES)子模塊,與所述真隨機數(shù)發(fā)生器連接���,用于完成DES/3DES加解密 處理�;還包括存儲模塊����,所述存儲模塊包括易失性存儲器��,用于存儲用戶程 序運算結(jié)果和臨時數(shù)據(jù)�;非易失性存儲器��,用于存儲用戶程序�、數(shù)據(jù)以及密
說明書第3/7頁
鑰、證書�;系統(tǒng)還包括電源模塊,與所述微處理器模塊連接���,用于對系統(tǒng)進
行電源管理�����。
本發(fā)明所提供的加密控制系統(tǒng)能夠完成批量數(shù)據(jù)的加解密處理����,處理速度 快����,數(shù)據(jù)安全性高。
本發(fā)明的第二方面通過 一 些實施例提供了如下的技術方案
一種數(shù)據(jù)加密控制方法,包括接收到外部設備發(fā)送的數(shù)據(jù)后���,在微處理 器的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存區(qū)的輸出端���;對所述輸出端的數(shù)據(jù)進行提 取、加解密處理�����,然后將經(jīng)處理過的數(shù)據(jù)發(fā)送到所述數(shù)據(jù)緩存區(qū)的輸入端���; 所述數(shù)據(jù)緩存區(qū)在所述微處理器的控制下進行輸入端與輸出端的反置,然后 將經(jīng)過處理的數(shù)據(jù)發(fā)送給存儲介質(zhì)進行存儲�����。
所述加解密處理���,包括根據(jù)真隨機數(shù)發(fā)生器生成的隨機數(shù)生成加解密所 用的密鑰信息����;根據(jù)所述密鑰信息.���,對數(shù)據(jù)進行加解密處理��;述根據(jù)真隨機 數(shù)發(fā)生器生成的隨機數(shù)生成加解密所用的密鑰信息之后�����,還包括存儲所述密 鑰信息�����;所述接收到外部設備發(fā)送的數(shù)據(jù)后����,在微處理器的控制下將數(shù)據(jù)發(fā) 送給數(shù)據(jù)緩存區(qū)的輸出端之前,還包括所述微處理器根據(jù)外部讀寫信號控制 數(shù)據(jù)緩沖區(qū)指針移動����,并生成數(shù)據(jù)緩沖區(qū)狀態(tài)指示信號。
本發(fā)明的第二方面的實施例提供一種加密控制方法���,對數(shù)據(jù)進行加密之 前先對先將數(shù)據(jù)進行緩存�,以完成批量數(shù)據(jù)的加密處理�����,提高數(shù)據(jù)加密速度。
下面結(jié)合附圖和具體實施例進一步說明本發(fā)明的技術方案����,
圖1為本發(fā)明加密控制系統(tǒng)結(jié)構(gòu)示意圖; 圖2為本發(fā)明加密控制系統(tǒng)另一實施例結(jié)構(gòu)示意圖��; 圖3為本發(fā)明系統(tǒng)總線連接結(jié)構(gòu)示意圖��; 圖4為本發(fā)明加密控制方法流程示意圖���。
具體實施例方式
實施例一、
如圖1所示�����, 一種加密控制系統(tǒng)�����,包括接口模塊l,用于與外部設備進
行數(shù)據(jù)通信��;加解密模塊2�,與所述接口模塊連接,用于生成加解密所用密 鑰����,并應用所述密鑰對數(shù)據(jù)進行加解密處理�;數(shù)據(jù)緩存模塊5��,與所述接口 模塊1連接���,用于對數(shù)據(jù)進行緩存����;微處理器模塊4�,用于對所述接口模塊 1、加解密模塊2連接�、數(shù)據(jù)緩存模塊5進行控制。
微處理器模塊4是整個系統(tǒng)的控制中心�����,使各個模塊協(xié)調(diào)一致地工作�����; 接口模塊1用于與外部設備的數(shù)據(jù)通信�����,所述接口模塊包括通用串行總線 (Universal Serial Bus;以下簡稱USB)接口、存儲介質(zhì)接口�����,例如閃存 (以下簡稱FLASH)接口和硬盤接口等����,接口模塊1在微處理器模塊4的控 制下,接收外部設備的輸入數(shù)據(jù)�;接口模塊1將接收到的數(shù)據(jù)發(fā)送給數(shù)據(jù)緩 存模塊5對數(shù)據(jù)進行緩存;然后在微處理器模塊4的作用下將緩存數(shù)據(jù)發(fā)送 給加解密模塊2��,加解密模塊2在微處理器模塊4的控制下�����,生成加解密所 需要的密鑰�����,并應用所生成的密鑰對接收的數(shù)據(jù)進行加解密運算��;微處理器 模塊4再控制數(shù)據(jù)緩存模塊5將經(jīng)過加解密運算的數(shù)據(jù)發(fā)送給外部設備�����。
本實施例所提供的系統(tǒng)完成了對批量數(shù)據(jù)的加解密過程��,提高了數(shù)據(jù)的 安全性�,實現(xiàn)存儲單元的數(shù)據(jù)加解密功能,防止對系統(tǒng)內(nèi)部的敏感數(shù)據(jù)進行 非法訪問�����,從而保證系統(tǒng)內(nèi)部的信息安全��。
實施例二����、
基于實施例一,如圖2所示���,與實施例一不同之處在于���,所述數(shù)據(jù)緩存 模塊5包括緩存控制器51,與所述微處理器模塊連接,用于根據(jù)所述微處 理器模塊的控制信號進行數(shù)據(jù)的讀寫操作���,并產(chǎn)生緩存狀態(tài)提示信息���;第一 端口子模塊52��,與所述緩存控制器�����、接口模塊連接�,用于輸入數(shù)據(jù)���;第二 端口子模塊53,與所述緩存控制器��、加解密模塊連接�����,用于輸出數(shù)據(jù)�。所 述緩存控制器51包括讀指針單元��,用于控制所述第一端口子模塊對數(shù)據(jù)進 行輸入和寫指針單元�����,用于控制所述第二端口子模塊對數(shù)據(jù)進行輸出�����。所述 的接口模:塊1包括USB接口 10,為實現(xiàn)多種安全應用接口模塊還配置了
FUSH接口和ATA接口��;所述加解密模塊2包括真隨機數(shù)發(fā)生器21 �����,用于輸 出密鑰生成所用的隨機數(shù)���;RSA子模塊22與所述真隨機數(shù)發(fā)生器21連接�, 用于完成RSA加解密運算��;DES子模塊23與所述真隨機數(shù)發(fā)生器21連接����, 用于完成DES/3DES加解密算法。還包括存儲模塊3,所述存儲模塊3包括 易失性存儲器31�����,用于存儲用戶程序運算結(jié)果和臨時數(shù)據(jù)����;非易失性存儲器 32,用于存儲用戶程序、數(shù)據(jù)以及密鑰��、證書。還包括電源模塊6在微處理 器模塊l的控制下�,實現(xiàn)對整個系統(tǒng)的電源管理,支持低功耗���;系統(tǒng)中的各 個模塊通過系統(tǒng)總線集成在一起��,完成電氣連接��。
數(shù)據(jù)緩存區(qū)采用先進先出(以下簡稱FIFO)原則��,數(shù)據(jù)緩存模塊5為 FIFO模塊�;當從USB接口輸入數(shù)據(jù)時��,在微處理器模塊4作用下將數(shù)據(jù)存 入數(shù)據(jù)緩存模塊5����,然后將數(shù)據(jù)輸入DES子模塊23, DES子模塊在微處理器 模塊4的控制下對數(shù)據(jù)進行加密處理����,再將數(shù)據(jù)回寫到數(shù)據(jù)緩存模塊5當中; 然后�����,數(shù)據(jù)緩存模塊5中的加密數(shù)據(jù)取出���,并存入存儲模塊3當中����。
圖3為系統(tǒng)總線連接結(jié)構(gòu)示意圖��。通過USB接口 IO輸入數(shù)據(jù)時���,要由 USB控制器11對輸入數(shù)據(jù)進行控制����,且經(jīng)過加解密處理的數(shù)據(jù)存入存儲介 質(zhì)時���,應先經(jīng)過存儲介質(zhì)控制器12,由存儲介質(zhì)控制器12對存入存儲介質(zhì) 的數(shù)據(jù)進行控制��,再通過存儲介質(zhì)接口 1 3將數(shù)據(jù)輸出到外接的存儲設備中����。
本實施例所提供的加密控制系統(tǒng)���,可應用于帶USB接口的加密硬盤和 FLASH存儲介質(zhì)安全領域����;通過生成隨機數(shù)進行加解密運算,實現(xiàn)方法簡單 快速�����,且安全性高�;針對不同數(shù)據(jù)對象采用不同的存儲方式,有效地節(jié)省了 資源����。
實施例三、
如圖4所示����, 一種數(shù)據(jù)加密控制方法,包括步驟101����、接口模塊接收到 外部設備發(fā)送的數(shù)據(jù)后,在微處理模塊的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存模塊 的輸出端����;步驟201�����、微處理器模塊將數(shù)據(jù)緩存模塊的輸出端中的數(shù)據(jù)發(fā)送
到加解密模塊中,進行加解密處理�,然后將經(jīng)處理過的數(shù)據(jù)發(fā)送到所述數(shù)據(jù) 緩存模塊的輸入端;步驟301�、所述數(shù)據(jù)緩存模塊在所述微處理器模塊的控 制下進行輸入端與輸出端的反置,然后將經(jīng)過處理的數(shù)據(jù)發(fā)送給存儲介質(zhì)進 行存儲�。其中,數(shù)據(jù)緩存模塊中的第一端口子模塊與第二端口子模塊分別對
應于數(shù)據(jù)緩存模塊的數(shù)據(jù)輸入端與輸出端�����。
當外部設備從例如USB接口輸入數(shù)據(jù)時����,將會在微處理器模塊的控制作
用下將數(shù)據(jù)發(fā)送到數(shù)據(jù)緩存模塊的輸出端,而不是輸出端����;加解密模塊提取 數(shù)據(jù)緩存模塊的輸出端的數(shù)據(jù),并根據(jù)真隨機數(shù)發(fā)生器生成的隨機數(shù)生成加 解密所用的密鑰信息���;然后再根據(jù)所述密鑰信息��,對數(shù)據(jù)進行加解密處理�; 加解密處理后,在微處理器模塊的作用下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存模塊的輸入 端����;在微處理器模塊的作用下,將數(shù)據(jù)緩存模塊的輸入端與輸出端進行反向 設置�����,即將輸入端改為輸出端�,將輸出端改為輸入端;此時�,原先在輸入端 緩存的經(jīng)過加解密處理的數(shù)據(jù),改為緩存在輸出端����,微處理器模塊將輸出端 緩存的數(shù)據(jù)發(fā)送給存儲介質(zhì)進行存儲。所迷根據(jù)真隨機數(shù)發(fā)生器生成的隨機 數(shù)生成加解密所用的密鑰信息之后��,存儲模塊還將存儲所述密鑰信息��;所述 接收到外部設備發(fā)送的數(shù)據(jù)后��,在微處理器的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存 區(qū)的輸出端之前���,還包括所述微處理器根據(jù)外部讀寫信號控制數(shù)據(jù)緩沖區(qū)指 針移動��,并生成數(shù)據(jù)緩沖區(qū)狀態(tài)指示信號��。本實施例采用FIFO方法進行數(shù) 據(jù)緩存�,與FIFO操作相關的有兩個指針,寫指針指向要寫的內(nèi)存部分��,讀 指針指向要讀的內(nèi)存部分���,并可以此產(chǎn)生FIFO空信號或滿信號作為數(shù)據(jù)緩 沖區(qū)狀態(tài)指示信號;本實施例所提供的加密控制方法中����,加解密模塊在進行 加密處理時,是將數(shù)據(jù)緩存模塊的輸出端緩存的全部數(shù)據(jù)進行處理�����,以實現(xiàn) 數(shù)據(jù)的批量處理����。對全部數(shù)據(jù)進行處理后,再將批量數(shù)據(jù)發(fā)送回數(shù)據(jù)緩存模 塊的輸入端�,數(shù)據(jù)緩存模塊反置后將批量數(shù)據(jù)送出���。
本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟 可以通過程序指令相關的硬件來完成,前述的程序可以存儲于一計算機可讀
取存儲介質(zhì)中����,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟�����;而前述 的存儲介質(zhì)包括ROM��、 RAM��、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)��。
最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案���,而非對其 限制��;盡管參照前述實施例對本發(fā)明進行了詳細的說明�����,本領域的普通技術 人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改�,或
者對其中部分技術特征進行等同替換;而這些修改或者替換���,并不使相應技 術方案的本質(zhì)脫離本發(fā)明各實施例技術方案的精神和范圍����。
權(quán)利要求
1�����、一種加密控制系統(tǒng)���,其特征在于,包括接口模塊����,用于與外部設備進行數(shù)據(jù)通信;加解密模塊����,與所述接口模塊連接,用于生成加解密所用密鑰���,并應用所述密鑰對數(shù)據(jù)進行加解密處理��;數(shù)據(jù)緩存模塊�����,與所述接口模塊連接����,用于對數(shù)據(jù)進行緩存;微處理器模塊�,用于對所述接口模塊、加解密模塊��、數(shù)據(jù)緩存模塊進行控制�����。
2��、 根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于,所述數(shù)據(jù)緩存模塊包括 緩存控制器���,與所述微處理器模塊連接�����,用于根據(jù)所述微處理器模塊的控制信號進行數(shù)據(jù)的讀寫操作���,并產(chǎn)生緩存狀態(tài)提示信息���;第一端口子模塊,與所述緩存控制器��、接口模塊連接���,用于輸入數(shù)據(jù)��; 第二端口子模塊���,與所述緩存控制器���、加解密模塊連接����,用于輸出數(shù)據(jù)���。
3�����、 根據(jù)權(quán)利要求2所述的系統(tǒng)����,其特征在于,所述緩存控制器包括 讀指針單元�����,用于控制所述第 一端口子模塊對數(shù)據(jù)進行輸入����; 寫指針單元,用于控制所述第二端口子模塊對數(shù)據(jù)進行輸出�。
4、 根據(jù)權(quán)利要求1或2或3所述的系統(tǒng)�,其特征在于,所述數(shù)據(jù)緩存 模塊為先進先出緩存模塊�。
5、 根據(jù)權(quán)利要求1所述的系統(tǒng)����,其特征在于�,所述加解密模塊包括 真隨機數(shù)發(fā)生器��,用于輸出密鑰生成所用的隨機數(shù)���; 非對稱密碼子模塊��,與所述真隨機數(shù)發(fā)生器連接�����,用于完成數(shù)據(jù)非對稱密碼加解密處理���;對稱密碼子模塊,與所述真隨機數(shù)發(fā)生器連接�,用于完成數(shù)據(jù)對稱密碼 加解密處理。
6���、 根據(jù)權(quán)利要求1所述的系統(tǒng)�,其特征在于�����,還包括存儲模塊�����,與所 述加解密模塊連接���,用于存儲數(shù)據(jù)信息�、所述密鑰信息�、所述數(shù)據(jù)的加解密 處理結(jié)果信息。
7���、 根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其特征在于所述接口模塊包括接口 控制器����,用于對輸入數(shù)據(jù)進行控制��。
8����、 一種數(shù)據(jù)加密控制方法�����,其特征在于����,包括接收到外部設備發(fā)送的數(shù)據(jù)后�,在微處理器的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù) 緩存區(qū)的輸出端;對所述輸出端的數(shù)據(jù)進行提取��、加解密處理�����,然后將經(jīng)處理過的數(shù)據(jù)發(fā) 送到所述數(shù)據(jù)緩存區(qū)的輸入端��;所述數(shù)據(jù)緩存區(qū)在所述微處理器的控制下進行輸入端與輸出端的反置���, 然后將經(jīng)過處理的數(shù)據(jù)發(fā)送給存儲介質(zhì)進行存儲��。
9�、 根據(jù)權(quán)利要求8所述的方法��,其特征在于.���,所述加解密處理�,包括 根據(jù)真隨機數(shù)發(fā)生器生成的隨機數(shù)生成加解密所用的密鑰信息�����;根據(jù)所述密鑰信息�,對數(shù)據(jù)進行加解密處理。
10����、 根據(jù)權(quán)利要求9所述的方法,其特征在于�,所述根據(jù)真隨機數(shù)發(fā)生器生成的隨機數(shù)生成加解密所用的密鑰信息之后,還包括存儲所述密鑰信 自
11����、 根據(jù)權(quán)利要求8所述的方法,其特征在于���,所述接收到外部設備發(fā) 送的數(shù)據(jù)后��,在微處理器的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存區(qū)的輸出端之前���, 還包括所述微處理器根據(jù)夕卜部讀寫信號控制數(shù)據(jù)緩沖區(qū)指針移動����,并生成數(shù) 據(jù)緩沖區(qū)狀態(tài)指示信號���。
12���、 根據(jù)權(quán)利要求11.所述的方法,其特征在于����,所述微處理器根據(jù)外 部讀寫信號控制數(shù)據(jù)緩沖區(qū)指針移動,具體為控制兩個指針分別指向數(shù)據(jù)讀 出與寫出對應的內(nèi)存地址�。
全文摘要
本發(fā)明涉及一種加密控制系統(tǒng),包括接口模塊�,用于與外部設備進行數(shù)據(jù)通信;加解密模塊���,與所述接口模塊連接���,用于生成加解密所用密鑰,并應用所述密鑰對數(shù)據(jù)進行加解密處理����;數(shù)據(jù)緩存模塊�,與所述接口模塊連接�����,用于對數(shù)據(jù)進行緩存�;微處理器模塊����,用于對所述接口模塊、加解密模塊��、數(shù)據(jù)緩存模塊進行控制���。本發(fā)明還涉及一種加密控制方法��。本發(fā)明所提供的加密控制系統(tǒng)能夠完成批量數(shù)據(jù)的加解密處理���,處理速度快,數(shù)據(jù)安全性高����。
文檔編號G06F21/00GK101101624SQ20071011978
公開日2008年1月9日 申請日期2007年7月31日 優(yōu)先權(quán)日2007年7月31日
發(fā)明者魏金寶 申請人:北京華大恒泰科技有限責任公司