專利名稱:一種分離式大數(shù)據(jù)量加/解密設(shè)備及實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信和信息安全技術(shù)領(lǐng)域,尤其涉及一種分離式大數(shù)據(jù)量加/解密設(shè)備及實現(xiàn)方法。
背景技術(shù):
隨著計算機技術(shù)和互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,許多政府部門、企業(yè)和其它機構(gòu)以及個人建立了自己的計算機網(wǎng)絡(luò)系統(tǒng),利用互聯(lián)網(wǎng)在自己與大眾之間建立了一條快速、高效的網(wǎng)絡(luò)通道,電子商務(wù)和電子政務(wù)成為他們通過網(wǎng)絡(luò)提供各種服務(wù)和獲得信息的主要方式之一?;诨ヂ?lián)網(wǎng)的信息服務(wù)系統(tǒng)具有明顯的行業(yè)特點,所以網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩燥@得尤為重要,如網(wǎng)上銀行交易、網(wǎng)上稅務(wù)申報、網(wǎng)上企業(yè)年檢等。系統(tǒng)中有大量需要保密的信息,在網(wǎng)絡(luò)傳遞過程中必須采用加密保護的方式,以保護敏感數(shù)據(jù)的安全傳輸。同時,除了在網(wǎng)絡(luò)應(yīng)用中的數(shù)據(jù)傳遞外,用戶終端內(nèi)的數(shù)據(jù),如硬盤中的數(shù)據(jù)也存在加密保護存取的需求,當攻擊者從用戶的終端中拆卸下硬盤,并在安裝在另一個終端上時,由于其硬盤上的大量系統(tǒng)數(shù)據(jù)采用了加密保存的方式,攻擊者就無法輕易了解和破解其信息,從而保護了數(shù)據(jù)的安全性。
雖然人們對于網(wǎng)絡(luò)信息服務(wù)系統(tǒng)和用戶本地數(shù)據(jù)需要采用加密技術(shù)已經(jīng)達成共識,并采用各種加密技術(shù)手段進行保護,如用集成電路卡(IC)技術(shù)和軟件模塊等來提高身份認證等加密技術(shù)的可靠性,但由于資金,技術(shù)成熟度等客觀條件的限制,目前絕大部分的系統(tǒng)仍然采用軟加密的方式,進行簡單的數(shù)據(jù)加密保護。
軟加密技術(shù)是指加/解密密鑰由密鑰的生成端如IC卡或軟件模塊產(chǎn)生,利用終端的中央處理器(CPU)和內(nèi)存完成加/解密操作。但由于“軟加密”技術(shù)使用的密鑰需要由生成端通過系統(tǒng)的通訊層提供給終端并保存在終端內(nèi)存中,當攻擊者監(jiān)聽用戶終端的通訊層或竊取終端內(nèi)存數(shù)據(jù)時,就可簡單地獲取加/解密密鑰,從而輕易地破解加密數(shù)據(jù)。同時,由于需要加/解密的數(shù)據(jù)都要利用終端的CPU和內(nèi)存完成計算,系統(tǒng)的大量寶貴資源也將被占用。
針對上述軟加密技術(shù)中存在的易破解和占用系統(tǒng)資源等問題,人們提出了使用硬加密技術(shù)的方式來實現(xiàn)對數(shù)據(jù)的加密操作。在現(xiàn)有技術(shù)中,硬加密技術(shù)多采用在終端內(nèi)部安裝一塊加密芯片或插入一塊加密卡的方式,利用此設(shè)備上自帶的微處理器產(chǎn)生加/解密密鑰,同時在芯片內(nèi)部完成對需要加/解密的數(shù)據(jù)的加/解密計算。但是,由于此方法需要在終端內(nèi)部安裝一塊加密芯片或插入一塊加密卡,給用戶帶來了使用上的較大不便,而且,由于此加密芯片或加密卡多數(shù)都是由國外廠商提供,所以其價格昂貴,即便是國產(chǎn)的一般也在幾千元至幾萬元不等,不利于向普通用戶推廣使用。
發(fā)明內(nèi)容
為克服現(xiàn)有技術(shù)的不足,本發(fā)明的目的在于提供一種分離式大數(shù)據(jù)量加/解密設(shè)備及實現(xiàn)方法,對高速傳遞的大數(shù)據(jù)量進行加/解密,安全性高,成本相對低廉。
為了完成上述發(fā)明目的,本發(fā)明采取的整體技術(shù)方案為一種分離式大數(shù)據(jù)量加/解密設(shè)備,包括微處理器、電可擦出只讀數(shù)據(jù)存儲器、靜態(tài)存儲器、閃存、乘法協(xié)處理器、存儲管理保護模塊、安全檢測與保護模塊、非對稱算法協(xié)處理器、對稱算法協(xié)處理器、隨機數(shù)函數(shù)發(fā)生器、時鐘處理模塊、電源管理模塊、中斷控制器、定時器,所述微處理器、可擦出只讀數(shù)據(jù)存儲器、靜態(tài)存儲器、閃存、乘法協(xié)處理器、存儲管理保護模塊通過核心數(shù)據(jù)總線相連,并通過橋連接器與其它與連接有安全檢測與保護模塊、非對稱算法協(xié)處理器塊、對稱算法協(xié)處理器、隨機數(shù)函數(shù)發(fā)生器、時鐘處理模塊,電源管理模塊、中斷控制模塊、定時器的外圍總線相連接,該設(shè)備還包括一外部通訊接口模塊,外部通訊接口模塊連接外圍數(shù)據(jù)總線,用于在加/解密設(shè)備與外部終端之間傳遞數(shù)據(jù)。
所述微處理器為至少為32位的多級流水線精簡指令計算處理器,能支持硬件的安全訪問控制和外圍組件的訪問控制。
所述外部通訊接口模塊至少包括通用串行總線架構(gòu)接口模塊、ISO7816接口模塊。
一種分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,包括以下步驟步驟1、加/解密設(shè)備接受終端發(fā)送的需要進行加/解密處理的數(shù)據(jù)包;步驟2、通用串行總線設(shè)備將數(shù)據(jù)包存儲到加/解密設(shè)備的存儲器中;步驟3、微處理器判斷數(shù)據(jù)包中是否包含加/解密命令控制字,不是則用基本處理方式處理數(shù)據(jù),是則根據(jù)加解密設(shè)備存儲器中的密鑰調(diào)用對稱或非對稱算法加/解密函數(shù)對數(shù)據(jù)進行加/解密處理,并存入存儲器中;步驟4、加/解密設(shè)備將加/解密的數(shù)據(jù)包以批傳送方式通過串行總線設(shè)備發(fā)送給終端。
所述步驟1中的終端為有線終端、無線終端或手持終端。
所述步驟1中的加/解密設(shè)備與終端之間采用的數(shù)據(jù)通訊協(xié)議命令包括卡頭選擇命令字、通訊選擇命令字、流控制字、數(shù)據(jù)長度字、數(shù)據(jù)域。
所述步驟2中的數(shù)據(jù)包為64字節(jié)。
所述步驟3中的加/解密命令控制字的長度為2字節(jié)。
所述步驟3中的加/解密命令控制字的低3位為進行流信息加/解密操作的通道標識。
所述步驟3還包括對密鑰進行加/解密的步驟。
所述步驟4中的批傳送采用中斷方式,一次傳送2-6K字節(jié)數(shù)據(jù)。
本發(fā)明具有明顯的優(yōu)點和積極效果。本發(fā)明采用硬件為加密載體,利用硬件設(shè)備上自帶的微處理器產(chǎn)生加/解密密鑰,并在芯片的內(nèi)部完成對需要加/解密的數(shù)據(jù)的加/解密計算,有效地提高了大數(shù)據(jù)量在傳輸過程中的安全性,同時本發(fā)明提供了靈活、快捷的通信方法,大大方便了用戶的使用。1、密鑰產(chǎn)生與更換的靈活性、隨機性。終端可利用加/解密設(shè)備內(nèi)隨機產(chǎn)生的密鑰或?qū)⒚荑€值傳送給加/解密設(shè)備進行加/解密運算,此密鑰一經(jīng)產(chǎn)生或?qū)懭?,就保存在硬件設(shè)備加密保護區(qū)內(nèi),外部無法再次讀取。當需要更換密鑰時,終端可發(fā)送命令由硬件設(shè)備內(nèi)部自行更新密鑰或再次將密鑰傳送設(shè)備。同時,在密鑰的傳遞過程中也可采用加密方法保護密鑰值,從而徹底防止了前面提到的內(nèi)存竊聽、通訊層監(jiān)聽等攻擊方式。2、高速、強大的數(shù)據(jù)處理能力。本發(fā)明的加/解密設(shè)備和終端之間直接采用USB相連接,并且本發(fā)明設(shè)備可以支持USB全速每秒12兆字節(jié)(Mbps)的通訊速率,或USB高速480Mbps的通訊速率。由于加/解密設(shè)備內(nèi)的微處理器是32位或以上,因此本發(fā)明的設(shè)備具有強大的數(shù)據(jù)運算和處理能力;同時,設(shè)備內(nèi)制非對稱算法協(xié)處理器模塊,對稱算法協(xié)處理器模塊,在進行數(shù)據(jù)加/解密運算時,可以提高對數(shù)據(jù)的處理速度,并且也可以緩解由于對大數(shù)據(jù)量進行計算而占用的微處理器資源,使微處理器可以進行其他的數(shù)據(jù)處理,以此提高加速設(shè)備的整體運算能力。3、使用方便靈活。采用USB接口與終端相連接,支持即插即用,支持熱插拔。用戶無須在終端中安裝芯片或插入加密卡,即可實現(xiàn)對大數(shù)據(jù)量的加/解密操作;同時,硬件設(shè)備的安裝與拆卸非常簡單,方便了用戶的使用。用戶只需要攜帶加/解密設(shè)備在任何一臺安裝了支持此設(shè)備的驅(qū)動程序的終端上都可享受其所提供的加/解密服務(wù),如果將本發(fā)明的加/解密設(shè)備與閃存(FLASH)技術(shù)相結(jié)合使用自動運行(AUTORUN)功能,則此設(shè)備可實現(xiàn)自動安裝驅(qū)動程序的功能,用戶可以加更方便地使用。4、高安全性、可靠性。采用硬件為加密載體,并利用硬件設(shè)備上自帶的微處理器產(chǎn)生加/解密密鑰,并在芯片內(nèi)部完成對需要加/解密的數(shù)據(jù)的加/解密計算,有效地提高了大數(shù)據(jù)量在傳輸過程中的安全性和可靠性。由于本發(fā)明的加/解密設(shè)備可實現(xiàn)非對稱算法,如1024位公開密鑰加密算法(RSA)、2048位RSA算法和糾錯碼算法(ECC)等,因此,它可以與公鑰加密平臺PKI(Pubic Key Infrastructure)技術(shù)相結(jié)合,保存用戶的公私鑰,存放用戶的證書,并且進行簽名、驗證、加密及解密的計算全部由設(shè)備內(nèi)部完成。這樣更提高了系統(tǒng)的安全性,可靠性,實現(xiàn)真正的端對端的安全。5、加密智能設(shè)備的經(jīng)濟性。本發(fā)明由于采用具有USB接口的32位或以上的微處理器的智能卡芯片,因此大大降低了硬件成本,本發(fā)明的設(shè)備可以是一張自帶USB接口的智能卡、電子鑰匙(USBKEY)、USB鼠標、USB鍵盤、人工智能設(shè)備(HID)等USB外設(shè)裝置。
本發(fā)明可廣泛應(yīng)用于網(wǎng)絡(luò)上信息傳遞和終端硬盤數(shù)據(jù)的加密存儲或移動保護,特別是銀行、證券、保險、公安、國防等對數(shù)據(jù)安全性要求較高的應(yīng)用系統(tǒng)中。也可應(yīng)用于下一代網(wǎng)絡(luò)技術(shù)Ipv6中的加/解密保護功能中,成為現(xiàn)有網(wǎng)絡(luò)Ipv4升級到Ipv6的IP安全協(xié)議(IPSEC)加密智能設(shè)備。由于現(xiàn)有網(wǎng)絡(luò)Ipv4協(xié)議中考慮是的如何在互連網(wǎng)上實現(xiàn)互通互連,忽略了網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩珕栴},所以,人們在規(guī)劃下一代網(wǎng)絡(luò)協(xié)議Ipv6中,將IPSEC引入其中,并成為網(wǎng)際協(xié)議(IP)數(shù)據(jù)包中必須要有的加/解密保護功能。本發(fā)明中加/解密智能設(shè)備可提供對大數(shù)據(jù)量的高速對稱加/解密、非對稱加/解密的特性,將會成為下一代網(wǎng)絡(luò)中IPSEC加/解密功能的有利補充。
圖1是本發(fā)明的加/解密設(shè)備的構(gòu)成模塊圖;圖2是本發(fā)明的加解設(shè)備與終端之間進行通訊的原理示意圖;圖3是本發(fā)明的加/解密設(shè)備通訊協(xié)議與其它部分關(guān)系示意圖;圖4是本發(fā)明的加/解密設(shè)備通信數(shù)據(jù)處理方法流程;圖5是本發(fā)明的主流程圖;圖6是終端利用加/解密設(shè)備對大數(shù)據(jù)量加/解密的流程圖;圖7是基于手機的加/解密設(shè)備數(shù)據(jù)加/解密過程示意圖。
具體實施例方式
下面結(jié)合說明書附圖來說明本發(fā)明的具體實施方式
。
如圖1所示,本發(fā)明加/解密設(shè)備的構(gòu)成模塊圖。包括微處理器,閃存FLASH、電可擦出只讀存儲器EEPROM、靜態(tài)存儲器SRAM塊、乘法協(xié)處理器模塊、存儲管理保護模塊、安全檢測與保護模塊、非對稱算法協(xié)處理器、對稱算法協(xié)處理器、隨機數(shù)函數(shù)發(fā)生器、時鐘處理模塊、電源管理模塊、中斷控制器、定時器,此智能設(shè)備中的微處理器、FLASH、EEPROM、SRAM、乘法協(xié)處理器、存儲管理保護模塊與數(shù)據(jù)總線相連,并通過橋連接器與連接到數(shù)據(jù)總線的安全檢測與保護模塊、非對稱算法協(xié)處理器、對稱算法協(xié)處理器、隨機數(shù)函數(shù)發(fā)生器、時鐘處理模塊、電源管理模塊、中斷控制器、定時器相連接,它還包括外部通訊接口模塊,通訊接口模塊都可分別通過數(shù)據(jù)總線與微處理器、FLASH、EEPROM、SRAM4、乘法協(xié)處理器、存儲管理保護模塊、安全檢測與保護模塊、非對稱算法協(xié)處理器、對稱算法協(xié)處理器相連,用于在加/解密設(shè)備與外部終端之間傳遞數(shù)據(jù)。外部通訊接口模塊包括通用串行總線架構(gòu)接口模塊、ISO7816接口模塊。
本發(fā)明的加/解密設(shè)備所采用的芯片是一個基于32位或以上的精簡指令及計算機(RISC)處理器的高安全芯上系統(tǒng)(SOC)芯片,具備高處理能力、高安全性、低功耗、低成本等特點。該芯片關(guān)鍵特性一、處理器性能。微處理器為專門定制的高安全CPU核,它是32位或以上的RISC,采用5級流水線,頻率可變,主頻可工作在100MHz以上,硬件有乘法協(xié)處理器;微處理器采用整體安全概念,具有優(yōu)異的安全性能和處理能力;它采用高性能的高速緩沖存儲器(CACHE),包括1K字節(jié)指令CACHE和1K字節(jié)數(shù)據(jù)CACHE;存儲管理和保護單元(MMU)可以配置關(guān)閉,關(guān)閉后支持段管理模式,最大支持空間為128MB,面向應(yīng)用的存儲分區(qū),支持可變頁長,采用多級查找結(jié)構(gòu),支持虛擬存儲空間管理,支持硬件安全訪問控制,外圍組件訪問受控。
二、芯上存儲單元。本發(fā)明的電可擦出只讀存儲器(EEROM)為32KB,用于數(shù)據(jù)和程序的存儲空間,可進行單字節(jié)的讀、擦除、寫,可進行單字節(jié)或多字節(jié)最大為64字節(jié)的擦除、寫,最少擦寫次數(shù)30萬次,室溫下數(shù)據(jù)保持時間最少10年,在擦寫性能方面,單字節(jié)寫時間為20微秒(us),頁擦除時間為4毫秒(ms),EEPROM的編程電壓在芯片內(nèi)產(chǎn)生。FLASH為128KB,用于存儲、函數(shù)庫以及設(shè)備驅(qū)動存儲空間,128字節(jié)頁的擦除、寫,最少檫寫次數(shù)2萬次,室溫下數(shù)據(jù)保持時間最少10年,擦寫性能為單字節(jié)寫時間20us,頁擦除時間4ms,其靜態(tài)存儲器大小為8KB。
三、外圍組件。外圍組件包括1、硬件糾錯碼(ECC)協(xié)處理器。2、硬件數(shù)據(jù)加密標準(DES)協(xié)處理器。硬件數(shù)據(jù)加密標準(DES)協(xié)處理器支持DES、包括2KEY和3KEY的3DES算法的加密解密,支持電子密本方式(EBC)和鏈式塊處理方式(CBC)的加密和解密,優(yōu)化的數(shù)據(jù)傳送通道,端口數(shù)據(jù)加/解密速度雙向達到3Mbps。3、高速真隨機數(shù)發(fā)生器。其隨機數(shù)發(fā)生碼率為2Mbps,通過國家密碼管理委員會辦公室測試。4、USB接口。它支持USB1.1協(xié)議全速率或更高,支持三端點,每一個端點支持雙緩沖器(Buffer),端口利用率高,有1個串行接口,符合ISO7816-3標準,時鐘最大支持5MHz,速率最高支持310Kbps,1個GPIO接口,2個32位定時器,內(nèi)置振蕩控制器和相同步邏輯(PLL),可外部接4MHz晶體,支持上電復(fù)位。
四、安全特性。具有硬件存儲管理和保護、高低電壓檢測、高低頻率檢測、防止差分能量分析/靜態(tài)能量分析(DPA/SPA)攻擊、存儲區(qū)域加密、總線加擾、時鐘和復(fù)位信號脈沖過濾、安全優(yōu)化布線功能,每一個芯片唯一序列號。
五、電氣特性。整個芯片的功耗小于200mw(5V情況下),3級低功耗模式控制,即維持模式、休眠模式、掉電模式。電源有ISO模式2.7-5.5V和USB模式3.6V-5.5V。防靜電技術(shù)指標(ESD)保護在4000V以上。芯片管腳導(dǎo)線接出(Bond)位置符合ISO7816-2規(guī)范。
如圖2所示,本發(fā)明的加解設(shè)備與終端之間進行通訊的原理示意圖。終端包括有線終端、無線終端,手持終端、手機等,由圖可見,加/解密設(shè)備通過USB接口與移動終端進行數(shù)據(jù)信息的傳遞。
如圖3所示,本發(fā)明的加/解密設(shè)備通訊協(xié)議與其它部分關(guān)系示意圖。加/解密設(shè)備采用USB接口進行通訊,所以和其它USB設(shè)備一樣,需要有對應(yīng)的驅(qū)動程序支持,以保證設(shè)備在終端操作系統(tǒng)上正常運行。由于此設(shè)備要對大量信息數(shù)據(jù)進行處理,因此需要在其自身的驅(qū)動程序中增加處理大數(shù)據(jù)量的功能。本發(fā)明在USB接口通訊時,使用特殊的數(shù)據(jù)通訊協(xié)議命令包,其格式為“NAD PCBSTR LEN DATA BCC”,其中NAD是卡頭選擇命令字,BCB是通訊選擇命令字,STR是流控制字,LEN是數(shù)據(jù)長度字,DATA是數(shù)據(jù)域,BCC是校驗字,對數(shù)據(jù)進行編碼后傳遞,以保證數(shù)據(jù)高速、完整的傳遞,提高大數(shù)據(jù)量的加/解密速度。加/解密設(shè)備加/解密數(shù)據(jù)流命令包報文編碼及功能如表1所示表1加/解密數(shù)據(jù)流命令包報文編碼及功能表
加/解密設(shè)備返回主機數(shù)據(jù)域中可能回送的狀態(tài)碼如表2所示表2返回主機數(shù)據(jù)域中可能回送的狀態(tài)碼表
圖4所示是本發(fā)明的加/解密設(shè)備通信數(shù)據(jù)處理方法流程圖。用戶在終端調(diào)用加/解密設(shè)備對應(yīng)的動態(tài)庫編寫對應(yīng)的應(yīng)用程序,動態(tài)庫除了提供給用戶基本的針對智能卡的操作函數(shù)功能如設(shè)備通訊、控制、操作等外,還提供一個專門的處理大數(shù)據(jù)量的加/解密的功能函數(shù)。結(jié)合表1和表2所示,本發(fā)明在加/解密設(shè)備加/解密數(shù)據(jù)流命令包中定義了設(shè)備傳輸所需要的流控制字(STR),此控制字的作用是區(qū)分用戶是在使用基本的智能卡命令操作設(shè)備還是在使用流加/解密命令對設(shè)備進行操作,基本智能卡命令符合ISO 7816規(guī)范,流加/解密命令不符合ISO 7816規(guī)范。另外,定義LEN命令字為兩字節(jié),其目的是要增加數(shù)據(jù)Data的字節(jié)數(shù)量,保證加/解密命令可以盡可能多地處理數(shù)據(jù)。
如圖5所示,圖5是本發(fā)明的主流程圖。終端將需要處理的數(shù)據(jù)通過動態(tài)庫下傳給設(shè)備驅(qū)動層,驅(qū)動層按照通訊協(xié)議命令將數(shù)據(jù)整合后,繼續(xù)傳給終端自帶的USB底層驅(qū)動(USBD)和終端中USB硬件控制器接口(UHCI/E)層,UHCI/E為標準的USB設(shè)備。在此,數(shù)據(jù)被分別拆分為多個64字節(jié)的數(shù)據(jù)包,并分別按照數(shù)據(jù)包的先后順序發(fā)送給加/解密設(shè)備。加/解密設(shè)備采用中斷方式接收終端下發(fā)的數(shù)據(jù)包。當設(shè)備端的USB硬件接口USB IF接收到第一個數(shù)據(jù)包時,程序開始處理判斷此數(shù)據(jù)包中是否包含加/解密命令控制字。如果包含,則進行大數(shù)據(jù)量信息的處理;否則就使用現(xiàn)有基本處理方式處理數(shù)據(jù)。在大數(shù)據(jù)量信息處理中,程序通過加/解密設(shè)備中的固件(Firmware)調(diào)用智能卡操作系統(tǒng)(COS)中的對稱或非對稱算法加/解密函數(shù)對數(shù)據(jù)信息進行處理。同時,采用中斷方式不斷接受終端的數(shù)據(jù),以節(jié)省傳輸數(shù)據(jù)所用的時間,提高流處理速度。最后,將加/解密智能終端處理完成的數(shù)據(jù)批量上傳給終端。
USB有四種傳輸類型。1、控制傳送??刂苽魉褪请p向傳送,數(shù)據(jù)量通常比較小。USB系統(tǒng)程序用來主要進行查詢、配置和給USB設(shè)備發(fā)送通用的指令。該傳送方式可以包括8、16、32以及64字節(jié)的數(shù)據(jù),這依賴于USB設(shè)備和傳輸速率??刂苽鬏?shù)湫偷赜糜谥饔嬎銠C和USB外設(shè)之間的端點(Endpoint)0之間的傳輸。2、同步傳送。同步傳輸提供了確定的帶寬和間隔時間(Latency)。它被用于時間嚴格并具有較強容錯性的流數(shù)據(jù)傳輸,或者用于要求恒定的數(shù)據(jù)傳送率的即時應(yīng)用中。例如在執(zhí)行即時通話的網(wǎng)絡(luò)電話應(yīng)用時,使用同步傳輸模式是較好的選擇。同步數(shù)據(jù)要求確定的帶寬值和確定的最大傳送次數(shù)。對于同步傳送來說,即時的數(shù)據(jù)傳遞比準確的數(shù)據(jù)精度和數(shù)據(jù)的完整性更重要一些。3、中斷傳送(Interrupt)方式傳送。中斷方式傳輸主要用于定時查詢設(shè)備是否有中斷數(shù)據(jù)要傳送。設(shè)備的端點模式器的結(jié)構(gòu)決定了它的查詢頻率,在1ms-255ms之間。這種傳輸方式典型地應(yīng)用在少量的、分散的、不可預(yù)測數(shù)據(jù)的傳輸。鍵盤、操縱桿和鼠標就屬于這一類型。中斷方式傳送是單向的并且對于主計算機(Host)來說只有輸入的方式。在本實施例中,可以一次傳送2-6K字節(jié)數(shù)據(jù)。4、批傳送。該方式主要應(yīng)用在數(shù)據(jù)大量傳送和接收數(shù)據(jù)上,同時又沒有帶寬和間隔時間要求的情況下,要求保證傳輸。打印機和掃描儀屬于這種類型。這種類型的設(shè)備適合于傳輸非常慢和大量被延遲的傳輸,可以等到所有其他類型的數(shù)據(jù)的傳送完成之后再傳送和接收數(shù)據(jù)。
本發(fā)明選用USB傳輸類型中的中斷傳送和批傳送相結(jié)合的方式,即中斷方式接受數(shù)據(jù),批傳送方式輸出數(shù)據(jù)。這種通信方式提高了加/解密設(shè)備的大數(shù)據(jù)量加/解密處理速度。
請參閱如圖6、圖7,圖6是終端利用加/解密設(shè)備對大數(shù)據(jù)量加/解密的流程圖,圖7是基于手機的加/解密設(shè)備數(shù)據(jù)加/解密過程示意圖。在圖7中,主計算機接收手機通過全球通(GSM)網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包并保存在緩存(RAM)區(qū),等待處理,手機終端準備流數(shù)據(jù);手機終端獲得設(shè)備的控制權(quán)(Handle),通過密鑰認證取得設(shè)備的控制權(quán);判斷是否獲得設(shè)備的控制權(quán)?沒有則向應(yīng)用程序報告,是則發(fā)送加/解密數(shù)據(jù)流命令;進一步判斷是否接到數(shù)據(jù)返回9000,否則向應(yīng)用程序報告,是則關(guān)閉加/解密數(shù)據(jù)流命令并向應(yīng)用程序報告。隨著無線技術(shù),電信技術(shù)的發(fā)展,手機的功能也是越來越強。加/解密設(shè)備本身也可以以短信中心(SIM)卡的形態(tài)提供給用戶在手機中使用。利用此加密智能設(shè)備的強大數(shù)據(jù)處理能力,手機上的語音信息,短信信息都可以采用加密方式在無線網(wǎng)絡(luò)中傳輸,這樣可以保護用戶的個人信息無法被攻擊者竊取。
以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明,對于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明的權(quán)利要求范圍之內(nèi)。
權(quán)利要求
1.一種分離式大數(shù)據(jù)量加/解密設(shè)備,包括微處理器、電可擦除只讀數(shù)據(jù)存儲器、靜態(tài)存儲器、閃存、乘法協(xié)處理器、存儲管理保護模塊、安全檢測與保護模塊、非對稱算法協(xié)處理器、對稱算法協(xié)處理器、隨機數(shù)函數(shù)發(fā)生器、時鐘處理模塊、電源管理模塊、中斷控制器、定時器,所述微處理器、可擦除只讀數(shù)據(jù)存儲器、靜態(tài)存儲器、閃存、乘法協(xié)處理器、存儲管理保護模塊通過核心數(shù)據(jù)總線相連,并通過橋連接器與其它與連接有安全檢測與保護模塊、非對稱算法協(xié)處理器塊、對稱算法協(xié)處理器、隨機數(shù)函數(shù)發(fā)生器、時鐘處理模塊,電源管理模塊、中斷控制模塊、定時器的外圍總線相連接,其特征在于,該設(shè)備還包括一外部通訊接口模塊,外部通訊接口模塊連接外圍數(shù)據(jù)總線,用于在加/解密設(shè)備與外部終端之間傳遞數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的分離式大數(shù)據(jù)量加/解密設(shè)備,其特征在于,所述微處理器為至少為32位的多級流水線精簡指令計算處理器,能支持硬件的安全訪問控制和外圍組件的訪問控制。
3.根據(jù)權(quán)利要求1所述的分離式大數(shù)據(jù)量加/解密設(shè)備,其特征在于,所述外部通訊接口模塊至少包括通用串行總線架構(gòu)接口模塊、ISO7816接口模塊。
4.一種分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,其特征在于,該方法包括以下步驟步驟1、加/解密設(shè)備接受終端發(fā)送的需要進行加/解密處理的數(shù)據(jù)包;步驟2、通用串行總線設(shè)備將數(shù)據(jù)包存儲到加/解密設(shè)備的存儲器中;步驟3、微處理器判斷數(shù)據(jù)包中是否包含加/解密命令控制字,不是則用基本處理方式處理數(shù)據(jù),是則根據(jù)加解密設(shè)備存儲器中的密鑰調(diào)用對稱或非對稱算法加/解密函數(shù)對數(shù)據(jù)進行加/解密處理,并存入存儲器中;步驟4、加/解密設(shè)備將加/解密的數(shù)據(jù)包以批傳送方式通過串行總線設(shè)備發(fā)送給終端。
5.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,其特征在于,所述步驟1中的終端為有線終端、無線終端或手持終端。
6.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,其特征在于,所述步驟1中的加/解密設(shè)備與終端之間采用的數(shù)據(jù)通訊協(xié)議命令包括卡頭選擇命令字、通訊選擇命令字、流控制字、數(shù)據(jù)長度字、數(shù)據(jù)域。
7.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,其特征在于,所述步驟2中的數(shù)據(jù)包為64字節(jié)。
8.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,其特征在于,所述步驟3中的加/解密命令控制字的長度為2字節(jié)。
9.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,其特征在于,所述步驟3中的加/解密命令控制字的低3位為進行流信息加/解密操作的通道標識。
10.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,其特征在于,所述步驟3還包括對密鑰進行加/解密的步驟。
11.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,其特征在于,所述步驟4中的批傳送采用中斷方式,一次傳送2-6K字節(jié)數(shù)據(jù)。
全文摘要
本發(fā)明為一種分離式大數(shù)據(jù)量加/解密設(shè)備及實現(xiàn)方法。包括微處理器、存儲器、安全檢測與保護模塊、協(xié)處理器、隨機數(shù)函數(shù)發(fā)生器、中斷控制器等,還包括一外部通訊接口模塊,它連接外圍數(shù)據(jù)總線,用于在加/解密設(shè)備與外部終端之間傳遞數(shù)據(jù)。加/解密設(shè)備接受終端發(fā)送的需要進行加/解密處理的數(shù)據(jù)包;通用串行總線設(shè)備將數(shù)據(jù)包存儲到加/解密設(shè)備的存儲器中;微處理器判斷數(shù)據(jù)包中是否包含加/解密命令控制字,不是則用基本處理方式處理數(shù)據(jù),是則調(diào)用對稱或非對稱算法加/解密函數(shù)對數(shù)據(jù)進行加/解密處理,并存入存儲器;加/解密設(shè)備將加/解密的數(shù)據(jù)包以批傳送方式通過串行總線設(shè)備發(fā)送給終端。本發(fā)明可處理大數(shù)據(jù)量,安全性高,使用靈活方便。
文檔編號G06F21/60GK1878055SQ20051007486
公開日2006年12月13日 申請日期2005年6月7日 優(yōu)先權(quán)日2005年6月7日
發(fā)明者胡鵬, 李勇 申請人:北京握奇數(shù)據(jù)系統(tǒng)有限公司