一種加/解密引擎及其實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域����,尤其涉及一種加/解密引擎及其實(shí)現(xiàn)方法。
【背景技術(shù)】
[0002]加/解密引擎就是為用戶提供加解密服務(wù)的一個(gè)模塊���,可以通過(guò)軟件方案實(shí)現(xiàn)����,也可以通過(guò)硬件方案實(shí)現(xiàn)����。其中硬件方案可以利用USB接口實(shí)現(xiàn),也可以利用PCI或PCIE接口實(shí)現(xiàn)��。加/解密引擎實(shí)現(xiàn)的算法包括對(duì)稱算法�����、非對(duì)稱算法和摘要算法����。其中對(duì)稱算法包括SMl、AES和SM4;非對(duì)稱算法包括SM2����、RSA;摘要算法包括SHAl、SHA256和SM3��。對(duì)稱算法一般用于數(shù)據(jù)的加解密;非對(duì)稱算法一般用于身份認(rèn)證和訪問(wèn)控制�。加/解密引擎一般通過(guò)接口函數(shù)向上提供數(shù)據(jù)加解密服務(wù)。硬件實(shí)現(xiàn)的加解密引擎�,加密一般將明文數(shù)據(jù)先導(dǎo)入硬件模塊,加密后再導(dǎo)出硬件模塊;解密一般將密文數(shù)據(jù)導(dǎo)入硬件模塊���,解密后再導(dǎo)出硬件模塊���。
[0003]軟件加/解密引擎是將加密算法通過(guò)C語(yǔ)言或匯編語(yǔ)言實(shí)現(xiàn),然后通過(guò)高級(jí)語(yǔ)言(如VC)封裝成一個(gè)加/解密模塊��,對(duì)外提供加密�����、解密和認(rèn)證接口�����。這種加/解密引擎運(yùn)行在主機(jī)中,CPU參與運(yùn)算��,所以CPU的主頻高低也就決定加/解密引擎的性能高低�。由于軟件加/解密引擎是在主機(jī)中運(yùn)行,CPU參與運(yùn)算����,這樣勢(shì)必會(huì)降低系統(tǒng)的整體性能,影響其他軟件的運(yùn)行����。同時(shí)加解密的過(guò)程在主機(jī)內(nèi)存中進(jìn)行,勢(shì)必為黑客的攻擊帶來(lái)方便�。所以軟件方案實(shí)現(xiàn)的加/解密引擎不安全,也影響系統(tǒng)性能�����。
[0004]硬件加/解密引擎是基于USB�、PCI或PCIE接口實(shí)現(xiàn)的加/解密引擎,加密算法通過(guò)硬件實(shí)現(xiàn)��。通過(guò)USB����、PCI或PCIE的驅(qū)動(dòng)結(jié)合系統(tǒng)層的接口庫(kù)向上提供加密、解密和認(rèn)證服務(wù)��。該類加/解密引擎的加解密運(yùn)算在芯片內(nèi)實(shí)現(xiàn)�����,有單獨(dú)的CPU進(jìn)行專門運(yùn)算�,密鑰也只出現(xiàn)在芯片內(nèi),是安全可靠的��?;赨SB接口實(shí)現(xiàn)的硬件加/解密引擎,由于目前支持加解密功能的芯片的接口一般是USB2.0接口�����,性能不高���,只有12?15M/B左右�����,對(duì)于需要高效加解密服務(wù)的是不夠的���?���;赑CI或PCIE接口實(shí)現(xiàn)的硬件加/解密引擎����,一般加密算法是通過(guò)FPGA實(shí)現(xiàn),成本高�,并且兼容性不好,某些機(jī)型可能無(wú)法兼容��。
[0005]因此�����,需要一種加/解密引擎的實(shí)現(xiàn)方法克服上述缺點(diǎn)�����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于解決現(xiàn)有技術(shù)中加/解密引擎通過(guò)軟件實(shí)現(xiàn)存在不安全的問(wèn)題�,而通過(guò)硬件實(shí)現(xiàn)存在兼容性不好的問(wèn)題。為解決上述問(wèn)題�,本發(fā)明實(shí)施例提供了一種加/解密引擎及其實(shí)現(xiàn)方法。
[0007]有鑒于此��,本發(fā)明提供一種加/解密引擎�����,可包括:
[0008]第一存儲(chǔ)器��、第二存儲(chǔ)器��、加/解密模塊和SATA硬盤驅(qū)動(dòng)接口���,其中��,
[0009]所述第一存儲(chǔ)器一端與所述SATA硬盤驅(qū)動(dòng)接口連接���,另一端與所述加/解密模塊連接,用于存儲(chǔ)從所述SATA硬盤驅(qū)動(dòng)接口處接收的數(shù)據(jù)并發(fā)送給所述加/解密模塊����,以及存儲(chǔ)從所述加/解密模塊接收的數(shù)據(jù)并通過(guò)所述SATA硬盤驅(qū)動(dòng)接口發(fā)送出去;
[0010]所述第二存儲(chǔ)器與所述加/解密模塊連接�����,用于存儲(chǔ)所述加/解密模塊發(fā)送過(guò)來(lái)的數(shù)據(jù)以及發(fā)送所述加/解密模塊進(jìn)行數(shù)據(jù)加解密所需要的數(shù)據(jù)�;
[0011]所述加/解密模塊一端與所述第一存儲(chǔ)器連接,另一端與所述第二存儲(chǔ)器連接�����,用于實(shí)現(xiàn)數(shù)據(jù)的加解密;
[0012]所述SATA硬盤驅(qū)動(dòng)接口一端與所述第一存儲(chǔ)器連接�����,另一端與主板的SATA主機(jī)接口連接�����,用于所述第一存儲(chǔ)器與所述SATA主機(jī)接口進(jìn)行數(shù)據(jù)傳輸���。
[0013]優(yōu)選的���,所述第一存儲(chǔ)器和所述第二存儲(chǔ)器通過(guò)直接存儲(chǔ)器存取的方式進(jìn)行數(shù)據(jù)的加解密傳輸。
[0014]本發(fā)明還提供一種加/解密引擎的實(shí)現(xiàn)方法���,其中���,通過(guò)SATA硬盤驅(qū)動(dòng)接口枚舉到加/解密模塊后,所述方法可包括:
[0015]設(shè)置所述加/解密模塊為加密模式��,待加密的明文數(shù)據(jù)通過(guò)所述SATA硬盤驅(qū)動(dòng)接口到達(dá)所述加/解密模塊后實(shí)現(xiàn)加密���;
[0016]設(shè)置所述加/解密模塊為解密模式��,待解密的密文數(shù)據(jù)通過(guò)所述SATA硬盤驅(qū)動(dòng)接口到達(dá)所述加/解密模塊后實(shí)現(xiàn)解密�����。
[0017]優(yōu)選的�����,所述實(shí)現(xiàn)加密包括:
[0018]所述SATA硬盤驅(qū)動(dòng)接口將所述待加密的明文數(shù)據(jù)發(fā)送到第一存儲(chǔ)器�����;
[0019]所述第一存儲(chǔ)器存儲(chǔ)所述待加密的明文數(shù)據(jù)并發(fā)送到所述加/解密模塊����;
[0020]所述加密模塊對(duì)待加密的明文數(shù)據(jù)加密成密文數(shù)據(jù)后發(fā)送到第二存儲(chǔ)器����;
[0021]所述第二存儲(chǔ)器存儲(chǔ)所述密文數(shù)據(jù)并通過(guò)旁路模式將所述密文數(shù)據(jù)發(fā)送到所述第一存儲(chǔ)器;
[0022]所述第一存儲(chǔ)器存儲(chǔ)所述密文數(shù)據(jù)并通過(guò)所述SATA硬盤驅(qū)動(dòng)接口將所述密文數(shù)據(jù)發(fā)出����。
[0023]優(yōu)選的�,所述實(shí)現(xiàn)解密包括:
[0024]所述SATA硬盤驅(qū)動(dòng)接口將所述待解密的密文數(shù)據(jù)發(fā)送到第一存儲(chǔ)器��;
[0025]所述第一存儲(chǔ)器存儲(chǔ)所述待解密的密文數(shù)據(jù)并發(fā)送到所述加/解密模塊��;
[0026]所述解密模塊對(duì)待解密的密文數(shù)據(jù)解密成明文數(shù)據(jù)后發(fā)送到第二存儲(chǔ)器����;
[0027]所述第二存儲(chǔ)器存儲(chǔ)所述明文數(shù)據(jù)并通過(guò)旁路模式將所述明文數(shù)據(jù)發(fā)送到所述第一存儲(chǔ)器;
[0028]所述第一存儲(chǔ)器存儲(chǔ)所述明文數(shù)據(jù)并通過(guò)所述SATA硬盤驅(qū)動(dòng)接口將所述明文數(shù)據(jù)發(fā)出���。
[0029]優(yōu)選的�,設(shè)置所述加/解密模塊為加密模式前還包括發(fā)送加密密鑰到所述加密模塊�。
[0030]優(yōu)選的,設(shè)置所述加/解密模塊為解密模式前還包括發(fā)送解密密鑰到所述解密模塊�����。
[0031]本發(fā)明實(shí)施例提供的一種加/解密引擎及其實(shí)現(xiàn)方法��,通過(guò)采用基于SATA硬盤驅(qū)動(dòng)接口的加/解密引擎�,解決了現(xiàn)有技術(shù)中加/解密引擎通過(guò)軟件實(shí)現(xiàn)存在不安全的問(wèn)題,而通過(guò)硬件實(shí)現(xiàn)存在兼容性不好的問(wèn)題���。本發(fā)明實(shí)施例提供的一種加/解密引擎及其實(shí)現(xiàn)方法可以為信息安全服務(wù)商提供更安全���、更可靠���、性能更高且兼容性更好的加/解密模塊。
【附圖說(shuō)明】
[0032]圖1為本發(fā)明實(shí)施例1提供的一種加/解密引擎結(jié)構(gòu)框圖���;
[0033]圖2為本發(fā)明實(shí)施例2提供的一種加/解密引擎實(shí)現(xiàn)方法流程圖��;
[0034]圖3為本發(fā)明實(shí)施例3提供的一種加/解密引擎實(shí)現(xiàn)方法流程圖����;
[0035]圖4為本發(fā)明實(shí)施例4提供的一種加/解密引擎實(shí)現(xiàn)方法流程圖����;
[0036]圖5為本發(fā)明實(shí)施例5提供的一種加/解密引擎實(shí)現(xiàn)框圖��;
[0037]圖6為本發(fā)明實(shí)施例5提供的一種加/解密引擎的模塊化功能框圖�����。
【具體實(shí)施方式】
[0038]本發(fā)明實(shí)施例提供了一種加/解密引擎�����,能夠解決現(xiàn)有技術(shù)中加/解密引擎通過(guò)軟件實(shí)現(xiàn)存在不安全的問(wèn)題,而通過(guò)硬件實(shí)現(xiàn)存在兼容性不好的問(wèn)題���。
[0039]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案���,下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚����、完整地描述,顯然�,所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍�。
[0040]請(qǐng)參閱圖1,為本發(fā)明提供的一種加/解密引擎實(shí)施例1的結(jié)構(gòu)框圖�����,本實(shí)施例具體可以包括:
[0041 ]第一存儲(chǔ)器、第二存儲(chǔ)器���、加/解密模塊和SATA硬盤驅(qū)動(dòng)接口�����,其中�,
[0042]所述第一存儲(chǔ)器一端與所述SATA硬盤驅(qū)動(dòng)接口連接��,另一端與所述加/解密模塊連接����,用于存儲(chǔ)從所述SATA硬盤驅(qū)動(dòng)接口處接收的數(shù)據(jù)并發(fā)送給所述加/解密模塊,以及存儲(chǔ)從所述加/解密模塊接收的數(shù)據(jù)并通過(guò)所述SATA硬盤驅(qū)動(dòng)接口發(fā)送出去��。
[0043]可以理解的是���,所述第一存儲(chǔ)器主要用于所述SATA硬盤驅(qū)動(dòng)接口接收和發(fā)送數(shù)據(jù)。
[0044]所述第二存儲(chǔ)器與所述加/解密模塊連接��,用于存儲(chǔ)所述加/解密模塊發(fā)送過(guò)來(lái)的數(shù)據(jù)以及發(fā)送所述加/解密模塊進(jìn)行數(shù)據(jù)加解密所需要