專利名稱:一種公鑰運算數(shù)據(jù)的安全處理設(shè)備及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全領(lǐng)域,尤其涉及一種公鑰運算數(shù)據(jù)的安全處理設(shè)備及方法。
背景技術(shù):
近年來,網(wǎng)絡(luò)安全問題日益受到關(guān)注。由于因特網(wǎng)與大多數(shù)分組交換網(wǎng)絡(luò)都建立在因特網(wǎng)協(xié)議(Internet Protocol,IP)之上,所以要解決這些網(wǎng)絡(luò)的安全問題,首先必須解決IP協(xié)議的安全問題。因特網(wǎng)協(xié)議安全(Internet ProtocolSecurity,IPSec)、安全套接層(Security Socket Layer,SSL)等協(xié)議是解決IP協(xié)議通信安全的常用方案。因特網(wǎng)密鑰交換協(xié)議(Internet Key Exchangeprotocol,IKE)也是因特網(wǎng)密鑰交換和協(xié)商的一種常用方案。在IKE協(xié)議中,通常使用公鑰加密算法RSA(Revest-Shamir-Adleman Algorithm)、密鑰交換算法D-H(由Diffie和Hellman兩人設(shè)計的一種密鑰交換算法)以及數(shù)字簽名算法(Digital Sign Algorithm,DSA)等進行通信雙方的身份驗證和密鑰交換。
安全處理芯片主要是指帶有公鑰加速功能的IPSec處理芯片、SSL處理芯片或帶有公鑰加速功能的IKE協(xié)處理芯片?,F(xiàn)有的一種帶有公鑰加速功能的IKE協(xié)處理芯片結(jié)構(gòu)如圖1所示,包括系統(tǒng)數(shù)據(jù)接口模塊101、接口數(shù)據(jù)存儲模塊102以及公鑰運算處理模塊103。其中,系統(tǒng)數(shù)據(jù)接口模塊101完成公鑰運算輸入數(shù)據(jù)的輸入和輸出,向公鑰運算處理模塊103發(fā)送運算控制信號;接口數(shù)據(jù)存儲模塊102存儲公鑰運算輸入數(shù)據(jù)、輸出數(shù)據(jù)和中間運算結(jié)果;公鑰運算處理模塊103讀取接口數(shù)據(jù)存儲模塊102存儲的公鑰運算輸入數(shù)據(jù),根據(jù)運算控制信號完成IKE協(xié)議常用的公鑰運算,包括RSA、D-H以及DSA等。
具體的數(shù)據(jù)處理過程詳述如下
首先,系統(tǒng)數(shù)據(jù)接口模塊101將接收到的公鑰運算輸入數(shù)據(jù)存儲到接口數(shù)據(jù)存儲模塊102;其次,系統(tǒng)數(shù)據(jù)接口模塊101向公鑰運算處理模塊103發(fā)送開始運算指令和有關(guān)運算類型的控制信號,例如RSA運算、D-H運算、DSA運算、模冪運算以及模加運算等;再次,公鑰運算處理模塊103根據(jù)運算類型,對接口數(shù)據(jù)存儲模塊102中的公鑰運算輸入數(shù)據(jù)進行相應(yīng)的公鑰運算,運算完成后,將運算結(jié)果回寫到接口數(shù)據(jù)存儲模塊102,并通知系統(tǒng)數(shù)據(jù)接口模塊101運算完成;最后,系統(tǒng)數(shù)據(jù)接口模塊101將存儲在接口數(shù)據(jù)存儲模塊102中的運算結(jié)果輸出。
在這種實現(xiàn)方案中,輸入安全芯片的公鑰運算輸入數(shù)據(jù)都會出現(xiàn)在系統(tǒng)總線上,由于各種應(yīng)用程序和遠程終端在某些情況下可以訪問系統(tǒng)總線,使得出現(xiàn)在系統(tǒng)總線上的關(guān)鍵公鑰運算輸入數(shù)據(jù)可能會被竊取,安全性較低。另外,只有一個數(shù)據(jù)輸入接口,導(dǎo)致芯片的應(yīng)用靈活性較低。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種公鑰運算數(shù)據(jù)的安全處理設(shè)備,旨在于解決現(xiàn)有技術(shù)中輸入安全芯片的公鑰運算輸入數(shù)據(jù)均出現(xiàn)在系統(tǒng)總線上,使得關(guān)鍵公鑰運算輸入數(shù)據(jù)存在被竊取的風險,安全性較低以及只有一個數(shù)據(jù)輸入接口,導(dǎo)致芯片靈活性較低的問題。
本發(fā)明的另一目的在于提供一種公鑰運算數(shù)據(jù)的安全處理方法。
本發(fā)明的目的是這樣實現(xiàn)的一種公鑰運算數(shù)據(jù)的安全處理設(shè)備,所述安全處理設(shè)備包括系統(tǒng)數(shù)據(jù)接口模塊,用于接收系統(tǒng)總線的公鑰運算輸入數(shù)據(jù),發(fā)送運算控制信號,輸出運算結(jié)果;接口數(shù)據(jù)存儲模塊,用于存儲所述系統(tǒng)數(shù)據(jù)接口模塊接收的公鑰運算輸入數(shù)據(jù)以及運算結(jié)果;至少一個子數(shù)據(jù)接口模塊,用于接收本地總線的公鑰運算輸入數(shù)據(jù);至少一個子接口數(shù)據(jù)存儲模塊,用于存儲所述子數(shù)據(jù)接口模塊接收的公鑰運算輸入數(shù)據(jù);以及公鑰運算處理模塊,用于讀取所述接口數(shù)據(jù)存儲模塊和子接口數(shù)據(jù)存儲模塊存儲的公鑰運算輸入數(shù)據(jù),根據(jù)所述運算控制信號執(zhí)行公鑰運算,輸出運算結(jié)果。
所述接口數(shù)據(jù)存儲模塊與子接口數(shù)據(jù)存儲模塊為相互獨立的物理存儲器。
所述接口數(shù)據(jù)存儲模塊與子接口數(shù)據(jù)存儲模塊為一個物理存儲器中相互獨立的邏輯存儲空間。
所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)為非關(guān)鍵公鑰運算輸入數(shù)據(jù),所述本地總線的公鑰運算輸入數(shù)據(jù)為關(guān)鍵公鑰運算輸入數(shù)據(jù)。
所述運算控制信號包含有輸入?yún)?shù)屬性信息,用于指示公鑰運算輸入數(shù)據(jù)的存儲位置。
一種公鑰運算數(shù)據(jù)的安全處理方法,所述方法包括接收并存儲系統(tǒng)總線的公鑰運算輸入數(shù)據(jù);接收并存儲本地總線的公鑰運算輸入數(shù)據(jù);讀取所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)和本地總線的公鑰運算輸入數(shù)據(jù),根據(jù)運算控制信號執(zhí)行公鑰運算,輸出運算結(jié)果。
所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)和本地總線的公鑰運算輸入數(shù)據(jù)分別存儲于相互獨立的物理存儲器。
所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)和本地總線的公鑰運算輸入數(shù)據(jù)分別存儲于一個物理存儲器中相互獨立的邏輯存儲空間。
所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)為非關(guān)鍵公鑰運算輸入數(shù)據(jù),所述本地總線的公鑰運算輸入數(shù)據(jù)為關(guān)鍵公鑰運算輸入數(shù)據(jù)。
所述運算控制信號包含有輸入?yún)?shù)屬性信息,用于指示公鑰運算輸入數(shù)據(jù)的存儲位置。
本發(fā)明通過在現(xiàn)有安全處理芯片的基礎(chǔ)上增加多個子數(shù)據(jù)接口和對應(yīng)的存儲模塊,使得不同的公鑰運算輸入數(shù)據(jù)從不同的數(shù)據(jù)接口輸入,提高了關(guān)鍵公鑰運算輸入數(shù)據(jù)的安全性,并增強了安全處理芯片的應(yīng)用靈活性。
圖1是現(xiàn)有安全處理芯片的結(jié)構(gòu)圖;圖2是本發(fā)明一個實施例中安全處理芯片的結(jié)構(gòu)圖;圖3是本發(fā)明提供的安全處理芯片的一個應(yīng)用示例示意圖。
具體實施例方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖及實施例,對本發(fā)明進行進一步詳細說明。應(yīng)當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
本發(fā)明通過在現(xiàn)有安全處理芯片的基礎(chǔ)上增加多個子數(shù)據(jù)接口模塊,以及對應(yīng)的子接口數(shù)據(jù)存儲模塊,將不同的公鑰運算輸入數(shù)據(jù)通過不同的數(shù)據(jù)接口輸入安全處理芯片。
作為本發(fā)明的一個實施例,以增加一個子數(shù)據(jù)接口模塊以及對應(yīng)的子接口數(shù)據(jù)存儲模塊為例,說明安全處理芯片的結(jié)構(gòu)。如圖2所示,除了系統(tǒng)數(shù)據(jù)接口模塊101、接口數(shù)據(jù)存儲模塊102以及公鑰運算處理模塊103外,安全處理芯片還包括子數(shù)據(jù)接口模塊104以及子接口數(shù)據(jù)存儲模塊105。
接口數(shù)據(jù)存儲模塊102和子接口數(shù)據(jù)存儲模塊105是同類型的片內(nèi)存儲器,實現(xiàn)方法相同,區(qū)別在于存放的數(shù)據(jù)的安全級別不同。在本發(fā)明中,系統(tǒng)總線的非關(guān)鍵公鑰運算輸入數(shù)據(jù)存儲到接口數(shù)據(jù)存儲模塊102中,而本地總線的關(guān)鍵公鑰運算輸入數(shù)據(jù),例如密鑰數(shù)據(jù)、身份鑒別數(shù)據(jù)等存儲到子接口數(shù)據(jù)存儲模塊105中。
在本發(fā)明的一個實施例中,接口數(shù)據(jù)存儲模塊102和子接口數(shù)據(jù)存儲模塊105在物理上可以是一個物理存儲器,但在邏輯上是兩個相互獨立的存儲空間,保證系統(tǒng)數(shù)據(jù)接口模塊101只能訪問接口數(shù)據(jù)存儲模塊102中存儲的數(shù)據(jù),子數(shù)據(jù)接口模塊104只能訪問子接口數(shù)據(jù)存儲模塊105中存儲的數(shù)據(jù)。
在本發(fā)明的另一個實施例中,也可以將接口數(shù)據(jù)存儲模塊102和子接口數(shù)據(jù)存儲模塊105配置為兩個相互獨立的物理存儲器。
子數(shù)據(jù)接口模塊104與本地總線連接,提供安全處理芯片與外界交換數(shù)據(jù)的通道,通過把一些通用總線接口,例如PCI總線、USB總線以及Intel Local Bus總線等轉(zhuǎn)換為符合子接口數(shù)據(jù)存儲模塊105要求的接口,例如片內(nèi)SRAM接口等,接收公鑰運算中關(guān)鍵公鑰運算輸入數(shù)據(jù)的輸入。
圖3示出了本發(fā)明的一種典型應(yīng)用。其中,便攜存儲設(shè)備中存有與身份識別或重要應(yīng)用相關(guān)的關(guān)鍵公鑰運算輸入數(shù)據(jù),本地處理器用于讀取便攜存儲設(shè)備經(jīng)本地總線輸入的關(guān)鍵公鑰運算輸入數(shù)據(jù),通過子數(shù)據(jù)接口模塊104傳送到子接口數(shù)據(jù)存儲模塊105,同時通知主處理器數(shù)據(jù)準備完成。公鑰運算處理模塊103根據(jù)系統(tǒng)數(shù)據(jù)接口模塊101的運算控制信號讀取接口數(shù)據(jù)存儲模塊102和子接口數(shù)據(jù)存儲模塊105中的數(shù)據(jù)進行公鑰運算,將運算結(jié)果存儲到接口數(shù)據(jù)存儲模塊102,由系統(tǒng)數(shù)據(jù)接口模塊101輸出。
具體的數(shù)據(jù)處理過程詳述如下首先,子數(shù)據(jù)接口模塊104讀取外部便攜存儲設(shè)備經(jīng)本地總線輸入的關(guān)鍵公鑰運算輸入數(shù)據(jù),存儲到子接口數(shù)據(jù)存儲模塊105中,再由系統(tǒng)數(shù)據(jù)接口模塊101將接收到的系統(tǒng)總線的非關(guān)鍵公鑰運算輸入數(shù)據(jù)存儲到接口數(shù)據(jù)存儲模塊102;其次,收到本地處理器發(fā)來的子接口數(shù)據(jù)存儲模塊105數(shù)據(jù)準備完成信號后,系統(tǒng)數(shù)據(jù)接口模塊101向公鑰運算處理模塊103發(fā)送運算控制信號,即開始運算指令和運算類型,以及輸入?yún)?shù)屬性等信息。輸入?yún)?shù)屬性用來指示公鑰運算輸入數(shù)據(jù)的存儲位置,例如1代表接口數(shù)據(jù)存儲模塊102,2代表子接口數(shù)據(jù)存儲模塊105等;再次,公鑰運算處理模塊103根據(jù)運算類型和輸入?yún)?shù)屬性,對接口數(shù)據(jù)存儲模塊102和子接口數(shù)據(jù)存儲模塊105中的輸入數(shù)據(jù)進行相應(yīng)的公鑰運算,運算完成后,回寫運算結(jié)果到接口數(shù)據(jù)存儲模塊102,并通知系統(tǒng)數(shù)據(jù)接口模塊101運算完成;最后,系統(tǒng)數(shù)據(jù)接口模塊101將存儲在接口數(shù)據(jù)存儲模塊102中的運算結(jié)果從芯片輸出。
需要說明的是在實際應(yīng)用中,可以根據(jù)環(huán)境和應(yīng)用需要,靈活安排公鑰運算輸入數(shù)據(jù)的存儲位置,提高芯片的應(yīng)用靈活性,同時可以把關(guān)鍵密鑰數(shù)據(jù)通過子數(shù)據(jù)接口模塊來調(diào)度,以提高系統(tǒng)的安全性,降低關(guān)鍵公鑰運算輸入數(shù)據(jù)被竊取的風險。
在本發(fā)明中,也可以在安全處理芯片內(nèi)設(shè)置更多的子數(shù)據(jù)接口模塊及相應(yīng)的接口數(shù)據(jù)存儲模塊,分別接收和存儲不同安全級別或者不同應(yīng)用的公鑰運算輸入數(shù)據(jù),具體實現(xiàn)與上述相同,不再贅述。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種公鑰運算數(shù)據(jù)的安全處理設(shè)備,其特征在于,所述安全處理設(shè)備包括系統(tǒng)數(shù)據(jù)接口模塊,用于接收系統(tǒng)總線的公鑰運算輸入數(shù)據(jù),發(fā)送運算控制信號,輸出運算結(jié)果;接口數(shù)據(jù)存儲模塊,用于存儲所述系統(tǒng)數(shù)據(jù)接口模塊接收的公鑰運算輸入數(shù)據(jù)以及運算結(jié)果;至少一個子數(shù)據(jù)接口模塊,用于接收本地總線的公鑰運算輸入數(shù)據(jù);至少一個子接口數(shù)據(jù)存儲模塊,用于存儲所述子數(shù)據(jù)接口模塊接收的公鑰運算輸入數(shù)據(jù);以及公鑰運算處理模塊,用于讀取所述接口數(shù)據(jù)存儲模塊和子接口數(shù)據(jù)存儲模塊存儲的公鑰運算輸入數(shù)據(jù),根據(jù)所述運算控制信號執(zhí)行公鑰運算,輸出運算結(jié)果。
2.如權(quán)利要求1所述的安全處理設(shè)備,其特征在于,所述接口數(shù)據(jù)存儲模塊與子接口數(shù)據(jù)存儲模塊為相互獨立的物理存儲器。
3.如權(quán)利要求1所述的安全處理設(shè)備,其特征在于,所述接口數(shù)據(jù)存儲模塊與子接口數(shù)據(jù)存儲模塊為一個物理存儲器中相互獨立的邏輯存儲空間。
4.如權(quán)利要求1所述的安全處理設(shè)備,其特征在于,所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)為非關(guān)鍵公鑰運算輸入數(shù)據(jù),所述本地總線的公鑰運算輸入數(shù)據(jù)為關(guān)鍵公鑰運算輸入數(shù)據(jù)。
5.如權(quán)利要求1所述的安全處理設(shè)備,其特征在于,所述運算控制信號包含有輸入?yún)?shù)屬性信息,用于指示公鑰運算輸入數(shù)據(jù)的存儲位置。
6.一種公鑰運算數(shù)據(jù)的安全處理方法,其特征在于,所述方法包括接收并存儲系統(tǒng)總線的公鑰運算輸入數(shù)據(jù);接收并存儲本地總線的公鑰運算輸入數(shù)據(jù);讀取所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)和本地總線的公鑰運算輸入數(shù)據(jù),根據(jù)運算控制信號執(zhí)行公鑰運算,輸出運算結(jié)果。
7.如權(quán)利要求4所述的安全處理方法,其特征在于,所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)和本地總線的公鑰運算輸入數(shù)據(jù)分別存儲于相互獨立的物理存儲器。
8.如權(quán)利要求4所述的安全處理方法,其特征在于,所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)和本地總線的公鑰運算輸入數(shù)據(jù)分別存儲于一個物理存儲器中相互獨立的邏輯存儲空間。
9.如權(quán)利要求4所述的安全處理方法,其特征在于,所述系統(tǒng)總線的公鑰運算輸入數(shù)據(jù)為非關(guān)鍵公鑰運算輸入數(shù)據(jù),所述本地總線的公鑰運算輸入數(shù)據(jù)為關(guān)鍵公鑰運算輸入數(shù)據(jù)。
10.如權(quán)利要求4所述的安全處理方法,其特征在于,所述運算控制信號包含有輸入?yún)?shù)屬性信息,用于指示公鑰運算輸入數(shù)據(jù)的存儲位置。
全文摘要
本發(fā)明適用于信息安全領(lǐng)域,提供了一種公鑰運算數(shù)據(jù)的安全處理設(shè)備及方法,所述安全處理設(shè)備包括系統(tǒng)數(shù)據(jù)接口模塊,用于接收系統(tǒng)總線的公鑰運算輸入數(shù)據(jù),發(fā)送運算控制信號,輸出運算結(jié)果;接口數(shù)據(jù)存儲模塊,用于存儲所述系統(tǒng)數(shù)據(jù)接口模塊接收的公鑰運算輸入數(shù)據(jù)以及運算結(jié)果;至少一個子數(shù)據(jù)接口模塊,用于接收本地總線的公鑰運算輸入數(shù)據(jù);至少一個子接口數(shù)據(jù)存儲模塊,用于存儲所述子數(shù)據(jù)接口模塊接收的公鑰運算輸入數(shù)據(jù);以及公鑰運算處理模塊,用于讀取所述接口數(shù)據(jù)存儲模塊和子接口數(shù)據(jù)存儲模塊存儲的公鑰運算輸入數(shù)據(jù),根據(jù)所述運算控制信號執(zhí)行公鑰運算,輸出運算結(jié)果。本發(fā)明可提高公鑰運算輸入數(shù)據(jù)的安全性,增強設(shè)備的應(yīng)用靈活性。
文檔編號H04L9/00GK1859413SQ200610034790
公開日2006年11月8日 申請日期2006年3月28日 優(yōu)先權(quán)日2006年3月28日
發(fā)明者王海 申請人:華為技術(shù)有限公司