專利名稱:加密控制系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種加密控制系統(tǒng),尤其是一種能夠?qū)?shù)據(jù)進行批處理加密 的加密控制系統(tǒng)。本發(fā)明還涉及一種加密控制方法,尤其是一種能夠?qū)崿F(xiàn)對 數(shù)據(jù)進行批處理加密的方法。
背景技術(shù):
隨著社會信息化程度的不斷提高,以及信息技術(shù)應(yīng)用領(lǐng)域的不斷拓展, 信息安全問題所帶來的負面影響也日益突出。信息安全作為非傳統(tǒng)的安全因 素,已經(jīng)與我國的政治安全、經(jīng)濟安全、文化安全共同成為國家安全的重要 組成部分。因此,如何保障網(wǎng)絡(luò)信息的安全可靠運行,已經(jīng)成為國家在信息 化過程中面臨的 一個嚴(yán)峻挑戰(zhàn)。
信息安全與微電子技術(shù)發(fā)展是密切相關(guān)的,尤其伴隨集成電路技術(shù)的飛 速發(fā)展,基于數(shù)據(jù)流的硬件加密技術(shù)將被廣泛應(yīng)用于信息安全領(lǐng)域。集成化 芯片系統(tǒng)集成化芯片系統(tǒng)是微電子領(lǐng)域在本世紀(jì)的重要發(fā)展方向,伴隨著互 補金屬氧化物半導(dǎo)體硅工藝技術(shù)的高速發(fā)展,集成電路的集成度也越來越 高,己經(jīng)可以把整個系統(tǒng)都集成在一個芯片之內(nèi)?;跀?shù)據(jù)流加密的信息安 全集成化芯片系統(tǒng)是一個比較復(fù)雜的集成系統(tǒng),對它的研究面臨著理論和產(chǎn) 業(yè)化的挑戰(zhàn)與機遇。其主要的研究難點包括系統(tǒng)級的集成化芯片系統(tǒng)設(shè)計、 多模塊多IP的系統(tǒng)集成和深亞微米的設(shè)計技術(shù)。
目前各國除了從法律和管理上加強數(shù)據(jù)的安全保護外,從技術(shù)上分別 在軟件和硬件兩方面采取措施,推動著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不
斷發(fā)展。然而,采用軟件加密的方式,中央處理器(Central Processing Unit; 以下簡稱CPU)將處理大量的數(shù)據(jù)加密、解密工作,浪費了 CPU的寶貴資源
而且安全性差。此外,隨著信息技術(shù)的進一步發(fā)展,計算機和網(wǎng)絡(luò)上傳輸?shù)?數(shù)據(jù)不僅數(shù)量大而且傳輸?shù)乃俣纫苍絹碓娇?。目前市場上主流的安全芯片?常用于實現(xiàn)身份認證的功能,尚不能滿足高速數(shù)據(jù)加密傳輸,即不能滿足對 加密數(shù)據(jù)進行批處理的需要。
發(fā)明內(nèi)容
本發(fā)明第 一方面的實施例提供一種加密控制系統(tǒng),用以完成對批量數(shù)據(jù) 進行加密處理,提高數(shù)據(jù)加密處理速度。
本發(fā)明的第一方面通過一些實施例提供了如下的技術(shù)方案 一種加密控制系統(tǒng),包括接口模塊,用于與外部設(shè)備進行數(shù)據(jù)通信;加 解密模塊,與所述接口模塊連接,用于生成加解密所用密鑰,并應(yīng)用所述密 鑰對數(shù)據(jù)進行加解密處理;數(shù)據(jù)緩存模塊,與所述接口模塊連接,用于對數(shù) 據(jù)進行緩存;微處理器模塊,用于對所述接口模塊、加解密模塊、數(shù)據(jù)緩存 模塊進行控制。
所述數(shù)據(jù)緩存模塊包括緩存控制器,與所述微處理器模塊連接,用于根 據(jù)所述微處理器模塊的控制信號進行數(shù)據(jù)的讀寫操作,并產(chǎn)生緩存狀態(tài)提示 信息;第一端口子模塊,與所述緩存控制器、接口模塊連接,用于輸入數(shù)據(jù); 第二端口子模塊,與所述緩存控制器、加解密模塊連接,用于輸出數(shù)據(jù);所 述緩存控制器包括讀指針單元,用于控制所述第一端口子模塊對數(shù)據(jù)進行輸 入;寫指針單元,用于控制所述第二端口子模塊對數(shù)據(jù)進行輸出。所述加解 密模塊包括真隨機數(shù)發(fā)生器,用于輸出密鑰生成所用的隨機數(shù);非對稱密碼 算法(以下簡稱RSA)子模塊,與所述真隨機數(shù)發(fā)生器連接,用于完成非 對稱密碼加解密處理;對稱密碼算法(Data Encryption Standard;以下簡 稱DES)子模塊,與所述真隨機數(shù)發(fā)生器連接,用于完成DES/3DES加解密 處理;還包括存儲模塊,所述存儲模塊包括易失性存儲器,用于存儲用戶程 序運算結(jié)果和臨時數(shù)據(jù);非易失性存儲器,用于存儲用戶程序、數(shù)據(jù)以及密
說明書第3/7頁
鑰、證書;系統(tǒng)還包括電源模塊,與所述微處理器模塊連接,用于對系統(tǒng)進
行電源管理。
本發(fā)明所提供的加密控制系統(tǒng)能夠完成批量數(shù)據(jù)的加解密處理,處理速度 快,數(shù)據(jù)安全性高。
本發(fā)明的第二方面通過 一 些實施例提供了如下的技術(shù)方案
一種數(shù)據(jù)加密控制方法,包括接收到外部設(shè)備發(fā)送的數(shù)據(jù)后,在微處理 器的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存區(qū)的輸出端;對所述輸出端的數(shù)據(jù)進行提 取、加解密處理,然后將經(jīng)處理過的數(shù)據(jù)發(fā)送到所述數(shù)據(jù)緩存區(qū)的輸入端; 所述數(shù)據(jù)緩存區(qū)在所述微處理器的控制下進行輸入端與輸出端的反置,然后 將經(jīng)過處理的數(shù)據(jù)發(fā)送給存儲介質(zhì)進行存儲。
所述加解密處理,包括根據(jù)真隨機數(shù)發(fā)生器生成的隨機數(shù)生成加解密所 用的密鑰信息;根據(jù)所述密鑰信息.,對數(shù)據(jù)進行加解密處理;述根據(jù)真隨機 數(shù)發(fā)生器生成的隨機數(shù)生成加解密所用的密鑰信息之后,還包括存儲所述密 鑰信息;所述接收到外部設(shè)備發(fā)送的數(shù)據(jù)后,在微處理器的控制下將數(shù)據(jù)發(fā) 送給數(shù)據(jù)緩存區(qū)的輸出端之前,還包括所述微處理器根據(jù)外部讀寫信號控制 數(shù)據(jù)緩沖區(qū)指針移動,并生成數(shù)據(jù)緩沖區(qū)狀態(tài)指示信號。
本發(fā)明的第二方面的實施例提供一種加密控制方法,對數(shù)據(jù)進行加密之 前先對先將數(shù)據(jù)進行緩存,以完成批量數(shù)據(jù)的加密處理,提高數(shù)據(jù)加密速度。
下面結(jié)合附圖和具體實施例進一步說明本發(fā)明的技術(shù)方案,
圖1為本發(fā)明加密控制系統(tǒng)結(jié)構(gòu)示意圖; 圖2為本發(fā)明加密控制系統(tǒng)另一實施例結(jié)構(gòu)示意圖; 圖3為本發(fā)明系統(tǒng)總線連接結(jié)構(gòu)示意圖; 圖4為本發(fā)明加密控制方法流程示意圖。
具體實施例方式
實施例一、
如圖1所示, 一種加密控制系統(tǒng),包括接口模塊l,用于與外部設(shè)備進
行數(shù)據(jù)通信;加解密模塊2,與所述接口模塊連接,用于生成加解密所用密 鑰,并應(yīng)用所述密鑰對數(shù)據(jù)進行加解密處理;數(shù)據(jù)緩存模塊5,與所述接口 模塊1連接,用于對數(shù)據(jù)進行緩存;微處理器模塊4,用于對所述接口模塊 1、加解密模塊2連接、數(shù)據(jù)緩存模塊5進行控制。
微處理器模塊4是整個系統(tǒng)的控制中心,使各個模塊協(xié)調(diào)一致地工作; 接口模塊1用于與外部設(shè)備的數(shù)據(jù)通信,所述接口模塊包括通用串行總線 (Universal Serial Bus;以下簡稱USB)接口、存儲介質(zhì)接口,例如閃存 (以下簡稱FLASH)接口和硬盤接口等,接口模塊1在微處理器模塊4的控 制下,接收外部設(shè)備的輸入數(shù)據(jù);接口模塊1將接收到的數(shù)據(jù)發(fā)送給數(shù)據(jù)緩 存模塊5對數(shù)據(jù)進行緩存;然后在微處理器模塊4的作用下將緩存數(shù)據(jù)發(fā)送 給加解密模塊2,加解密模塊2在微處理器模塊4的控制下,生成加解密所 需要的密鑰,并應(yīng)用所生成的密鑰對接收的數(shù)據(jù)進行加解密運算;微處理器 模塊4再控制數(shù)據(jù)緩存模塊5將經(jīng)過加解密運算的數(shù)據(jù)發(fā)送給外部設(shè)備。
本實施例所提供的系統(tǒng)完成了對批量數(shù)據(jù)的加解密過程,提高了數(shù)據(jù)的 安全性,實現(xiàn)存儲單元的數(shù)據(jù)加解密功能,防止對系統(tǒng)內(nèi)部的敏感數(shù)據(jù)進行 非法訪問,從而保證系統(tǒng)內(nèi)部的信息安全。
實施例二、
基于實施例一,如圖2所示,與實施例一不同之處在于,所述數(shù)據(jù)緩存 模塊5包括緩存控制器51,與所述微處理器模塊連接,用于根據(jù)所述微處 理器模塊的控制信號進行數(shù)據(jù)的讀寫操作,并產(chǎn)生緩存狀態(tài)提示信息;第一 端口子模塊52,與所述緩存控制器、接口模塊連接,用于輸入數(shù)據(jù);第二 端口子模塊53,與所述緩存控制器、加解密模塊連接,用于輸出數(shù)據(jù)。所 述緩存控制器51包括讀指針單元,用于控制所述第一端口子模塊對數(shù)據(jù)進 行輸入和寫指針單元,用于控制所述第二端口子模塊對數(shù)據(jù)進行輸出。所述 的接口模:塊1包括USB接口 10,為實現(xiàn)多種安全應(yīng)用接口模塊還配置了
FUSH接口和ATA接口;所述加解密模塊2包括真隨機數(shù)發(fā)生器21 ,用于輸 出密鑰生成所用的隨機數(shù);RSA子模塊22與所述真隨機數(shù)發(fā)生器21連接, 用于完成RSA加解密運算;DES子模塊23與所述真隨機數(shù)發(fā)生器21連接, 用于完成DES/3DES加解密算法。還包括存儲模塊3,所述存儲模塊3包括 易失性存儲器31,用于存儲用戶程序運算結(jié)果和臨時數(shù)據(jù);非易失性存儲器 32,用于存儲用戶程序、數(shù)據(jù)以及密鑰、證書。還包括電源模塊6在微處理 器模塊l的控制下,實現(xiàn)對整個系統(tǒng)的電源管理,支持低功耗;系統(tǒng)中的各 個模塊通過系統(tǒng)總線集成在一起,完成電氣連接。
數(shù)據(jù)緩存區(qū)采用先進先出(以下簡稱FIFO)原則,數(shù)據(jù)緩存模塊5為 FIFO模塊;當(dāng)從USB接口輸入數(shù)據(jù)時,在微處理器模塊4作用下將數(shù)據(jù)存 入數(shù)據(jù)緩存模塊5,然后將數(shù)據(jù)輸入DES子模塊23, DES子模塊在微處理器 模塊4的控制下對數(shù)據(jù)進行加密處理,再將數(shù)據(jù)回寫到數(shù)據(jù)緩存模塊5當(dāng)中; 然后,數(shù)據(jù)緩存模塊5中的加密數(shù)據(jù)取出,并存入存儲模塊3當(dāng)中。
圖3為系統(tǒng)總線連接結(jié)構(gòu)示意圖。通過USB接口 IO輸入數(shù)據(jù)時,要由 USB控制器11對輸入數(shù)據(jù)進行控制,且經(jīng)過加解密處理的數(shù)據(jù)存入存儲介 質(zhì)時,應(yīng)先經(jīng)過存儲介質(zhì)控制器12,由存儲介質(zhì)控制器12對存入存儲介質(zhì) 的數(shù)據(jù)進行控制,再通過存儲介質(zhì)接口 1 3將數(shù)據(jù)輸出到外接的存儲設(shè)備中。
本實施例所提供的加密控制系統(tǒng),可應(yīng)用于帶USB接口的加密硬盤和 FLASH存儲介質(zhì)安全領(lǐng)域;通過生成隨機數(shù)進行加解密運算,實現(xiàn)方法簡單 快速,且安全性高;針對不同數(shù)據(jù)對象采用不同的存儲方式,有效地節(jié)省了 資源。
實施例三、
如圖4所示, 一種數(shù)據(jù)加密控制方法,包括步驟101、接口模塊接收到 外部設(shè)備發(fā)送的數(shù)據(jù)后,在微處理模塊的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存模塊 的輸出端;步驟201、微處理器模塊將數(shù)據(jù)緩存模塊的輸出端中的數(shù)據(jù)發(fā)送
到加解密模塊中,進行加解密處理,然后將經(jīng)處理過的數(shù)據(jù)發(fā)送到所述數(shù)據(jù) 緩存模塊的輸入端;步驟301、所述數(shù)據(jù)緩存模塊在所述微處理器模塊的控 制下進行輸入端與輸出端的反置,然后將經(jīng)過處理的數(shù)據(jù)發(fā)送給存儲介質(zhì)進 行存儲。其中,數(shù)據(jù)緩存模塊中的第一端口子模塊與第二端口子模塊分別對
應(yīng)于數(shù)據(jù)緩存模塊的數(shù)據(jù)輸入端與輸出端。
當(dāng)外部設(shè)備從例如USB接口輸入數(shù)據(jù)時,將會在微處理器模塊的控制作
用下將數(shù)據(jù)發(fā)送到數(shù)據(jù)緩存模塊的輸出端,而不是輸出端;加解密模塊提取 數(shù)據(jù)緩存模塊的輸出端的數(shù)據(jù),并根據(jù)真隨機數(shù)發(fā)生器生成的隨機數(shù)生成加 解密所用的密鑰信息;然后再根據(jù)所述密鑰信息,對數(shù)據(jù)進行加解密處理; 加解密處理后,在微處理器模塊的作用下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存模塊的輸入 端;在微處理器模塊的作用下,將數(shù)據(jù)緩存模塊的輸入端與輸出端進行反向 設(shè)置,即將輸入端改為輸出端,將輸出端改為輸入端;此時,原先在輸入端 緩存的經(jīng)過加解密處理的數(shù)據(jù),改為緩存在輸出端,微處理器模塊將輸出端 緩存的數(shù)據(jù)發(fā)送給存儲介質(zhì)進行存儲。所迷根據(jù)真隨機數(shù)發(fā)生器生成的隨機 數(shù)生成加解密所用的密鑰信息之后,存儲模塊還將存儲所述密鑰信息;所述 接收到外部設(shè)備發(fā)送的數(shù)據(jù)后,在微處理器的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存 區(qū)的輸出端之前,還包括所述微處理器根據(jù)外部讀寫信號控制數(shù)據(jù)緩沖區(qū)指 針移動,并生成數(shù)據(jù)緩沖區(qū)狀態(tài)指示信號。本實施例采用FIFO方法進行數(shù) 據(jù)緩存,與FIFO操作相關(guān)的有兩個指針,寫指針指向要寫的內(nèi)存部分,讀 指針指向要讀的內(nèi)存部分,并可以此產(chǎn)生FIFO空信號或滿信號作為數(shù)據(jù)緩 沖區(qū)狀態(tài)指示信號;本實施例所提供的加密控制方法中,加解密模塊在進行 加密處理時,是將數(shù)據(jù)緩存模塊的輸出端緩存的全部數(shù)據(jù)進行處理,以實現(xiàn) 數(shù)據(jù)的批量處理。對全部數(shù)據(jù)進行處理后,再將批量數(shù)據(jù)發(fā)送回數(shù)據(jù)緩存模 塊的輸入端,數(shù)據(jù)緩存模塊反置后將批量數(shù)據(jù)送出。
本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟 可以通過程序指令相關(guān)的硬件來完成,前述的程序可以存儲于一計算機可讀
取存儲介質(zhì)中,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟;而前述 的存儲介質(zhì)包括ROM、 RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
最后應(yīng)說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其 限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或
者對其中部分技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應(yīng)技 術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
權(quán)利要求
1、一種加密控制系統(tǒng),其特征在于,包括接口模塊,用于與外部設(shè)備進行數(shù)據(jù)通信;加解密模塊,與所述接口模塊連接,用于生成加解密所用密鑰,并應(yīng)用所述密鑰對數(shù)據(jù)進行加解密處理;數(shù)據(jù)緩存模塊,與所述接口模塊連接,用于對數(shù)據(jù)進行緩存;微處理器模塊,用于對所述接口模塊、加解密模塊、數(shù)據(jù)緩存模塊進行控制。
2、 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述數(shù)據(jù)緩存模塊包括 緩存控制器,與所述微處理器模塊連接,用于根據(jù)所述微處理器模塊的控制信號進行數(shù)據(jù)的讀寫操作,并產(chǎn)生緩存狀態(tài)提示信息;第一端口子模塊,與所述緩存控制器、接口模塊連接,用于輸入數(shù)據(jù); 第二端口子模塊,與所述緩存控制器、加解密模塊連接,用于輸出數(shù)據(jù)。
3、 根據(jù)權(quán)利要求2所述的系統(tǒng),其特征在于,所述緩存控制器包括 讀指針單元,用于控制所述第 一端口子模塊對數(shù)據(jù)進行輸入; 寫指針單元,用于控制所述第二端口子模塊對數(shù)據(jù)進行輸出。
4、 根據(jù)權(quán)利要求1或2或3所述的系統(tǒng),其特征在于,所述數(shù)據(jù)緩存 模塊為先進先出緩存模塊。
5、 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,所述加解密模塊包括 真隨機數(shù)發(fā)生器,用于輸出密鑰生成所用的隨機數(shù); 非對稱密碼子模塊,與所述真隨機數(shù)發(fā)生器連接,用于完成數(shù)據(jù)非對稱密碼加解密處理;對稱密碼子模塊,與所述真隨機數(shù)發(fā)生器連接,用于完成數(shù)據(jù)對稱密碼 加解密處理。
6、 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于,還包括存儲模塊,與所 述加解密模塊連接,用于存儲數(shù)據(jù)信息、所述密鑰信息、所述數(shù)據(jù)的加解密 處理結(jié)果信息。
7、 根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述接口模塊包括接口 控制器,用于對輸入數(shù)據(jù)進行控制。
8、 一種數(shù)據(jù)加密控制方法,其特征在于,包括接收到外部設(shè)備發(fā)送的數(shù)據(jù)后,在微處理器的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù) 緩存區(qū)的輸出端;對所述輸出端的數(shù)據(jù)進行提取、加解密處理,然后將經(jīng)處理過的數(shù)據(jù)發(fā) 送到所述數(shù)據(jù)緩存區(qū)的輸入端;所述數(shù)據(jù)緩存區(qū)在所述微處理器的控制下進行輸入端與輸出端的反置, 然后將經(jīng)過處理的數(shù)據(jù)發(fā)送給存儲介質(zhì)進行存儲。
9、 根據(jù)權(quán)利要求8所述的方法,其特征在于.,所述加解密處理,包括 根據(jù)真隨機數(shù)發(fā)生器生成的隨機數(shù)生成加解密所用的密鑰信息;根據(jù)所述密鑰信息,對數(shù)據(jù)進行加解密處理。
10、 根據(jù)權(quán)利要求9所述的方法,其特征在于,所述根據(jù)真隨機數(shù)發(fā)生器生成的隨機數(shù)生成加解密所用的密鑰信息之后,還包括存儲所述密鑰信 自
11、 根據(jù)權(quán)利要求8所述的方法,其特征在于,所述接收到外部設(shè)備發(fā) 送的數(shù)據(jù)后,在微處理器的控制下將數(shù)據(jù)發(fā)送給數(shù)據(jù)緩存區(qū)的輸出端之前, 還包括所述微處理器根據(jù)夕卜部讀寫信號控制數(shù)據(jù)緩沖區(qū)指針移動,并生成數(shù) 據(jù)緩沖區(qū)狀態(tài)指示信號。
12、 根據(jù)權(quán)利要求11.所述的方法,其特征在于,所述微處理器根據(jù)外 部讀寫信號控制數(shù)據(jù)緩沖區(qū)指針移動,具體為控制兩個指針分別指向數(shù)據(jù)讀 出與寫出對應(yīng)的內(nèi)存地址。
全文摘要
本發(fā)明涉及一種加密控制系統(tǒng),包括接口模塊,用于與外部設(shè)備進行數(shù)據(jù)通信;加解密模塊,與所述接口模塊連接,用于生成加解密所用密鑰,并應(yīng)用所述密鑰對數(shù)據(jù)進行加解密處理;數(shù)據(jù)緩存模塊,與所述接口模塊連接,用于對數(shù)據(jù)進行緩存;微處理器模塊,用于對所述接口模塊、加解密模塊、數(shù)據(jù)緩存模塊進行控制。本發(fā)明還涉及一種加密控制方法。本發(fā)明所提供的加密控制系統(tǒng)能夠完成批量數(shù)據(jù)的加解密處理,處理速度快,數(shù)據(jù)安全性高。
文檔編號G06F21/00GK101101624SQ20071011978
公開日2008年1月9日 申請日期2007年7月31日 優(yōu)先權(quán)日2007年7月31日
發(fā)明者魏金寶 申請人:北京華大恒泰科技有限責(zé)任公司