Nothing Special   »   [go: up one dir, main page]

CN110414244B - 加密卡、电子设备及加密服务方法 - Google Patents

加密卡、电子设备及加密服务方法 Download PDF

Info

Publication number
CN110414244B
CN110414244B CN201810404346.6A CN201810404346A CN110414244B CN 110414244 B CN110414244 B CN 110414244B CN 201810404346 A CN201810404346 A CN 201810404346A CN 110414244 B CN110414244 B CN 110414244B
Authority
CN
China
Prior art keywords
storage area
area
programmable logic
logic device
computing module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810404346.6A
Other languages
English (en)
Other versions
CN110414244A (zh
Inventor
付颖芳
肖鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201810404346.6A priority Critical patent/CN110414244B/zh
Priority to TW108107618A priority patent/TW201945976A/zh
Priority to JP2020560347A priority patent/JP2021522595A/ja
Priority to US16/393,870 priority patent/US20190334713A1/en
Priority to PCT/US2019/028989 priority patent/WO2019209997A1/en
Priority to KR1020207030980A priority patent/KR20210005871A/ko
Priority to EP19793424.3A priority patent/EP3788516A4/en
Publication of CN110414244A publication Critical patent/CN110414244A/zh
Application granted granted Critical
Publication of CN110414244B publication Critical patent/CN110414244B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种加密卡、电子设备及加密服务方法。其中,该加密卡,包括:可信计算模块;可编程逻辑器件,与上述可信计算模块通过导通电路连接,并通过上述导通电路与上述可信计算模块进行通信;通信接口,与上述可信计算模块和上述可编程逻辑器件连接,用于提供与上述加密卡的外接设备连接的接口。本申请解决了现有技术中的加密卡计算能力和存储能力不足,且无法有效保证信息数据的计算安全的技术问题。

Description

加密卡、电子设备及加密服务方法
技术领域
本申请涉及计算机信息安全领域,具体而言,涉及一种加密卡、电子设备及加密服务方法。
背景技术
随着互联网的快速发展和信息化程度的不断提高,信息安全问题也日显突出,如何确保信息系统的安全已成为全社会关注的问题,由于信息数据在存储、处理和交换的过程中,都存在泄密或被截取、窃听、篡改和伪造的可能性,因此,需要在信息系统的传输过程或存储过程中进行信息数据的加密和解密。
现有技术中普遍使用可应用于各类密码安全应用系统的高速加密卡或可信芯片,进行高速的密码运算,进而可以满足应用系统数据的加密/解密要求。但是,现有的加密卡或者可信芯片均存在一定的问题;例如,无法高效高速的进行信息数据的加密和解密,难以满足应用系统数据的计算能力和存储能力的需求,无法有效保障平台及系统的安全,以及信息数据的计算安全等。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种加密卡、电子设备及加密服务方法,以至少解决现有技术中的加密卡计算能力和存储能力不足,且无法有效保证信息数据的计算安全的技术问题。
根据本申请实施例的一个方面,提供了一种加密卡,包括:可信计算模块;可编程逻辑器件,与上述可信计算模块通过导通电路连接,并通过上述导通电路与上述可信计算模块进行通信;通信接口,与上述可信计算模块和上述可编程逻辑器件连接,用于提供与上述加密卡的外接设备连接的接口。
根据本申请实施例的另一方面,还提供了一种加密卡,包括:可信计算模块,设置于印制电路板PCB中;可编程逻辑器件,设置于上述PCB中,与上述可信计算模块通过上述PCB中的导线直接连接;通信接口,与上述可信计算模块和上述可编程逻辑器件连接,用于提供与上述加密卡的外接设备连接的接口。
根据本申请实施例的另一方面,还提供了一种加密卡,包括:可信计算模块和可编程逻辑器件;其中:上述可信计算模块,设置于印制电路板PCB中,上述可信计算模块的存储区中包括:用于存储上述可编程逻辑器件所使用的密码运算固件的存储区;上述可编程逻辑器件,设置于上述PCB中,与上述可信计算模块通过上述PCB中的导线直接连接。
根据本申请实施例的另一方面,还提供了一种电子设备,包括任意一项上述的加密卡。
根据本申请实施例的另一方面,还提供了一种加密服务方法,包括:接收客户端的加密请求;将上述加密请求输入上述的加密卡;接收上述加密卡的输出;将上述输出反馈给上述客户端。
在本申请实施例中,采用将可信计算模块与可编程逻辑器件集成的方式,通过可信计算模块;可编程逻辑器件,与上述可信计算模块通过导通电路连接,并通过上述导通电路与上述可信计算模块进行通信;通信接口,与上述可信计算模块和上述可编程逻辑器件连接,用于提供与上述加密卡的外接设备连接的接口,达到了提高加密卡的计算能力和存储能力,以及保证信息数据的计算安全的目的,从而实现了有效保障计算机信息安全的技术效果,进而解决了现有技术中的加密卡计算能力和存储能力不足,且无法有效保证信息数据的计算安全的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种加密卡的结构示意图;
图2是根据本申请实施例的一种可选的加密卡的结构示意图;
图3是根据本申请实施例的一种可选的加密卡与外接设备的连接结构示意图;
图4是根据本申请实施例的一种可选的可信计算模块的结构示意图;
图5是根据本申请实施例的一种可选的可编程逻辑器件的结构示意图;
图6是根据本申请实施例的另一种加密卡的结构示意图;
图7是根据本申请实施例的又一种加密卡的结构示意图;
图8是根据本申请实施例的一种用于实现图像的识别方法的计算机终端(或移动设备)的硬件结构框图;
图9是根据本申请实施例的一种加密服务方法的流程图;
图10是根据本发明实施例的一种加密服务装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
可信计算(Trusted Computing):是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。
可信平台控制模块/可信赖平台模块(TPCM/TPM):是为证据提供完整性和真实性保障的安全芯片,一般通过物理方式被强绑定到计算平台。
现场可编程门阵列(Field-Programmable Gate Array,FPGA):是一种高性能、低功耗的可编程逻辑器件,不是传统冯诺依曼结构,直接生成电路来进行算法的计算,可以根据算法以及算法指标进行针对性的设计,具有非常高的执行和计算的效率,非常适合关注执行效率的在线识别系统。而专用集成电路(ASIC)芯片是专用芯片,计算性能和效率最高,但开发周期长,研发成本高,很难适配目前正在快速迭代的深度学习算法领域。
可信高速数据加密卡(Trusted high-speed data encryption card,THSDEC):是指一种具有可信功能的数据加密卡。
主密钥:是在一对用户之间的长期共享的秘密密钥,作为生产会话密钥或密钥加密密钥的种子,实现这些密钥的分发和保护,主密钥的分发一般使用离线安全物理通道完成。
固件:是指写入可擦写只读存储器(EROM)或电可擦可编程只读存储器中的程序,通过固件操作系统才可以按照标准的设备驱动实现特定机器的运行动作,例如,光驱、刻录机等都有内部固件。
度量根(RTM):是指一种可靠地进行完整性度量的计算引擎。
存储根(RTS):是一个准确的记录完整度量的摘要值和顺序计算引擎,可以将完整性度量保存在日志中,保存委托给可信平台模块TPM的密钥和数据,并管理少量的内存,其中,存放的密钥用于完成解密和签名的操作。
报告根(RTR):是一个可信的实体来精确和正确的报告信息,可靠报告可信存储根RTS的计算引擎。
实施例1
为了保证信息数据和信息系统的完整性、保密性和安全性,现有技术中普遍使用可应用于各类密码安全应用系统的高速加密卡或可信芯片进行加密/解密。
例如,相关技术中的高速加密卡,在密码运算速度及数据压缩上比传统的数据加密卡性能上有了很大提升,但存在如下不足:不可重构且无法满足业务的特定定制化需求,不能满足合规需求,还不能保证平台及系统,及其自身的安全;再例如,相关技术中提供的PCIe密码卡,虽然在一定程度上解决了信息数据的安全性保护的问题,但是其计算能力、存储能力,以及保证平台和系统安全的能力均无法满足应用系统的需求;又例如,TPM卡以及TPCM卡虽然可以保证信息数据的敏感性保护、平台及系统安全,但是,其密码运算能力及存储能力均无法满足业务高性能的需求;此外,目前现有的可信芯片卡,其密钥以明文的形式出现在内存中,无法有效保证数据的计算安全。
由于现有的加密卡或者可信芯片均存在上述不足之处,并且,加密卡业务存在以下需求背景:例如,加密卡业务所承载的设备需要保证其平台及系统安全;加密卡业务中的关键敏感数据(比如密钥、证书等)需要明文不落盘,以保证敏感数据的安全性;加密卡业务中敏感数据的计算,需要保证其计算安全;加密卡业务中敏感数据的计算还需要保证其计算能力及存储能力。
在上述运行环境下,本申请实施例提供了一种加密卡的实施例,图1是根据本申请实施例的一种加密卡的结构示意图,出于描述的目的,所绘结构仅为合适环境的一个示例,并非对本申请的使用范围或功能提出任何局限。也不应将该加密卡,解释为对图1所示的任一组件或其组合具有任何依赖或需求。
需要说明的是,本申请实施例1所提供的系统实施例可以广泛应用在互联网上,例如,计算机信息安全领域,可以但不限于应用于任意一种敏感信息系统中,例如,金融、通信、电子商务等领域的信息系统。
如图1所示,上述加密卡,包括:可信计算模块10、可编程逻辑器件12和通信接口14,其中:可信计算模块10;可编程逻辑器件12,与上述可信计算模块10通过导通电路连接,并通过上述导通电路与上述可信计算模块进行通信;通信接口14,与上述可信计算模块和上述可编程逻辑器件连接,用于提供与上述加密卡的外接设备连接的接口。
需要说明的是,本申请实施例中的加密卡可以为可信高速数据加密卡,具有实现从开机到操作系统内核加载前的平台可信引导功能,可以保证业务敏感数据加解密的计算安全;在与外接设备交互的过程中,可以保障彼此的平台及身份的安全性和合法性。
可选的,上述可信计算模块10可以包括但不限于为可信平台控制模块/可信赖平台模块(TPCM/TPM)等,其中,可信计算模块10具体可以为一种可信计算芯片,例如,安全芯片;上述可编程逻辑器件12可以为FPGA芯片;上述加密卡的外接设备可以为主板通用部件;上述加密卡与外接设备之间可以通过通信接口14进行连接。
作为一种可选的实施例,上述加密卡可以包括一个壳体,可信计算模块和可编程逻辑器件设置于该壳体内部,上述通信接口的一端与上述可信计算模块、可编程逻辑器件连接,上述通信接口的另一端穿过上述壳体,以便实现与外设设备的连接。
在一种可选的实施例中,上述通信接口包括以下至少之一:通用输入输出(General Purpose Input Output,GPIO)、串行外设接口(Serial Peripheral Interface,SPI)、集成电路总线(Inter-Integrated Circuit,I2C)、PCIe接口。
在另一种可选的实施例中,上述可编程逻辑器件包括:可编程门阵列FPGA,还可以包括但不限于为:ARM处理器集成的显示芯片/图形处理器(CPU-ARM-GPU)。
作为一种可选的实施例,上述可信计算模块、上述可编程逻辑器件和上述通信接口设置于印制电路板PCB上,例如,集成设置于PCIe卡的印制电路板PCB上。
在本申请提供的可选实施例中,上述导通电路包括:设置于上述PCB上的电导线。
作为一种可选的实施例,上述可信计算模块与可编程逻辑器件之间可以但不限于通过串行通信接口连接,还可以通过印制电路板卡内部的导通电路直接进行通信,实现数据交互,而不需要通过映射主机Host的内存进行通信。
需要说明的是,不同于相关技术中的可信计算模块的密钥管理体系和可编程逻辑器件的密钥管理体系独立存在,在本申请可选的实施例中,上述可信计算模块和可编程逻辑器件可以采用同一密钥管理体系,便于实现密钥管理和数据交互。
图2是根据本申请实施例的一种可选的加密卡的结构示意图,如图2所示,上述加密卡包括:可信平台控制模块/可信赖平台模块(即,可信计算模块);与可信平台控制模块/可信赖平台模块连接的双倍速率同步动态随机存储器(DDR);与可信平台控制模块/可信赖平台模块连接的固态存储器(FLash);基于可编程逻辑器件的数据加密卡(HSEDC);与上述数据加密卡连接的双倍速率同步动态随机存储器;与上述数据加密卡连接的固态存储器。
需要说明的是,本申请实施例中,加密卡兼容可信平台控制模块/可信赖平台模块架构,可以实现场合和需求均合规的技术效果。
仍图2所示,上述可信平台控制模块/可信赖平台模块与上述数据加密卡集成设置于PCIe卡内,上述可信平台控制模块/可信赖平台模块与上述数据加密卡之间通过串行通信接口(例如:串行器/解串器,Serdes x8,x8为链路宽度)连接,并集成设置于PCIe卡的印制电路板PCB上。其中,上述串行器/解串器是一种主流的时分多路复用(TDM)、点对点(P2P)的串行通信技术。
作为一种可选的实施例,仍如图2所示,上述加密卡还包括:可编程逻辑器件的切换芯片(PCIe-Switch);上述可信平台控制模块/可信赖平台模块、数据加密卡分别与上述切换芯片连接,上述切换芯片与PCIe插槽连接。
在上述可选的实施例中,上述PCIe插槽作为基于PCI局部总线的扩展插槽,可以但不限于插接显卡、声卡、网卡、USB2.0卡、IDE接口卡、电视卡、视频采集卡以及其他类型的扩展卡。
需要说明的是,本申请中的图1至图2中所示加密卡的具体结构仅是示意,在具体应用时,本申请中的加密卡可以比图1至图2所示的加密卡具有多或少的结构。例如,上述加密卡中固态存储器、双倍速率同步动态随机存储器、串行器/解串器等的设置数量可以但不限于如图2所示,可以根据具体应用场景进行设置。
图3是根据本申请实施例的一种可选的加密卡与外接设备的连接结构示意图,外接设备中可以包括如图3所示的:可信软件基(TSB)/可信软件栈(TSS)、基板管理控制器/基本输入输出系统、电源控制复杂可编程逻辑器件、通用串行总线(USB)控制器、以太网控制器、键盘控制器、音频控制器;仍如图3所示,上述加密卡与外接设备之间可以通过通信接口进行通信。
作为一种可选的实施例,上述加密卡与可信软件基/可信软件栈之间,可以但不限于通过PCIe接口或串行外设接口SPI总线进行命令和数据的交互,其中,上述可信软件基/可信软件栈可以设置在外接设备中的应用程序(APP)或者操作系统(OS)中。
作为另一种可选的实施例,上述加密卡还可以通过多路复用器对通用输入输出(GPIO)、串行外设接口(SPI)、集成电路总线(I2C)进行复用的方式,实现与外接设备中的基板管理控制器(Baseboard Management Controller,BMC)/基本输入输出系统(BasicInput Output System,BIOS)的度量。
还存在一种可选的实施例,上述加密卡还可以通过多路复用器对通用输入输出(GPIO)、串行外设接口(SPI)、集成电路总线(I2C)进行复用的方式,实现与上述通用串行总线(USB)控制器、以太网控制器、键盘控制器、音频控制器之间的连接。
在一种可选的实施例中,图4是根据本申请实施例的一种可选的可信计算模块的结构示意图,如图4所示,上述可信计算模块包括:第一主计算区40、第一密码计算区42、第一存储区44,其中:
第一主计算区40,用于执行除密码运算过程之外的运算过程;
第一密码计算区42,与上述第一主计算区40连接,设置有至少一种密码算法的引擎,并使用上述引擎执行密码运算过程;
第一存储区44,与上述第一主计算区40和上述第一密码计算区42连接,用于存储数据。
在一种可选的实施例中,如图4所示,上述第一主计算区40包括中央处理器(CPU)和内存,其中,上述第一主计算区40可以用于执行除密码运算过程之外的运算过程,其中,上述密码运算过程对密码计算能力及存储能力要求不高,但安全要求性较高;上述第一主计算区可以满足较高的计算能力和存储能力的要求。
在另一种可选的实施例中,仍如图4所示,上述第一密码计算区42包括以下一种或多种密码算法的引擎,例如,公钥密码引擎(SM2)、杂凑算法引擎(SM3)、对称密码引擎(SM4)、随机数引擎(RSA)、国际对称算法(Advanced Encryption Standard,AES)等,上述第一密码计算区42可以用于负责密码计算能力及存储能力要求不高密码运算过程。
还一种可选的实施例,仍如图4所示,上述第一存储区44包括以下至少之一:芯片系统固件存储区、平台配置寄存器(PCR)、主密钥存储区、度量根存储区、存储根存储区、报告根存储区。
需要说明的是,上述主密钥存储区中存储有:用于保护上述可编程逻辑器件中的用户密钥;如图4所示,可以在同一存储区内存储度量根、存储根、报告根,也可以独立设置度量根存储区、存储根存储区、报告根存储区,用于对应存储度量根、存储根、报告根。
在一种可选的实施例中,上述存储区中还包括:用于存储上述可编程逻辑器件所使用的密码运算固件的存储区,如图4所示的FPGA密码运算相关固件存储区,可以但不限于实现密码算法、接口、时序、状态、缓存等功能。
在一种可选的实施例中,图5是根据本申请实施例的一种可选的可编程逻辑器件的结构示意图,如图5所示,上述可编程逻辑器件包括:第二主计算区50、第二密码计算区52和第二存储区54,其中:
第二主计算区50,包括:上述可编程逻辑器件的软核处理器和硬件硬核;
第二密码计算区52,与上述第二主计算区连接,设置有至少一种密码算法的引擎,并使用上述引擎执行密码运算过程;
第二存储区54,与上述第二主计算区50和上述第二密码计算区52连接,用于存储数据。
作为一种可选的实施例,上述软核处理器可以为NIOS软核处理器,用于实现控制器模块功能;上述硬件硬核可以为PCIe硬件硬核,用于实现接口模块功能,其中,硬核可以理解为固化在可编程逻辑器件内部的特殊硬件电路。
仍如图5所示,上述第二密码计算区52中包括以下一种或多种密码算法的引擎:公钥密码引擎(SM2)、杂凑算法引擎(SM3)、对称密码引擎(SM4)、随机数引擎(RSA)、国际对称算法(AES)等。
需要说明的是,上述第二密码计算区42可以用于执行对密码计算能力及存储能力要求较高的密码运算过程。
在一种可选的实施例中,仍如图5所示,上述第二存储区54,包括以下至少之一:系统固件存储区、预先配置有动态策略的用户策略固件存储区、运算密钥存储区、用户数据存储区。
在上述可选的实施例中,上述系统固件存储区可以为静态存储区,该存储区只可读不可写;上述用户策略固件存储区可读可写,该存储区中包括用户预先配置的动态策略;上述运算密钥存储区可以用于存储可编程逻辑器件通过密码运算算法,计算得到的用户密钥、主密钥等运算相关的数据;上述用户数据存储区可以用于存储除上述用户密钥、主密钥之外的其他用户数据。
在一种可选的实施例中,上述第二密码计算区,用于依据上述用户策略固件存储区中的用户策略选择上述引擎进行密码运算过程。
在一种可选的实施例中,上述第二密码计算区用于依据上述可信计算模块内的度量根对待加载数据进行验证,并在验证通过时进行数据的加载。
在本申请上述可选的实施例中,上述第二密码计算区执行的密码运算过程中,可以为根据用户固件动态存储区的用户策略制定的实际应用的密码算法需求,在印制电路板PCB内动态加载数据,并且,在执行动态加载之前,上述第二密码计算区可以依据上述可信计算模块内的可信度量根验证待加载数据的完整性及合法性,并在验证通过时进行数据的加载。
基于本申请所提供的上述实施例,通过可信计算模块;可编程逻辑器件,与上述可信计算模块通过导通电路连接,并通过上述导通电路与上述可信计算模块进行通信;通信接口,与上述可信计算模块和上述可编程逻辑器件连接,用于提供与上述加密卡的外接设备连接的接口。
容易注意到的是,本申请采用将可信计算模块与可编程逻辑器件集成的方式,通过可编程逻辑器件的可重构特性,可以满足业务的特定定制化需求,并且克服了传统高速加密卡不能保证平台及系统,及FPGA芯片与可信芯片的集成其自身的安全的问题;通过可编程逻辑器件的高速运算能力,解决了传统的高速加密卡及可信芯片计算能力及存储能力的不足的技术问题。
此外,还需要说明的是,上述可编程逻辑器件的与可信计算模块之间通过印制电路板PCB内部的导通电路直接进行通信,并且,可编程逻辑器件的密码算法的加载是通过印制电路板PCB内的动态加载,有效验证了其完整性,保证了敏感数据的计算安全。
通过本申请上述实施例所提供的方案,达到了提高加密卡的计算能力和存储能力,以及保证信息数据的计算安全的目的,从而实现了有效保障计算机信息安全的技术效果,进而解决了现有技术中的加密卡计算能力和存储能力不足,且无法有效保证信息数据的计算安全的技术问题。
实施例2
根据本申请实施例,还提供了另一种加密卡的实施例,图6是根据本申请实施例的另一种加密卡的结构示意图,出于描述的目的,所绘结构仅为合适环境的一个示例,并非对本申请的使用范围或功能提出任何局限。也不应将该加密卡,解释为对图6所示的任一组件或其组合具有任何依赖或需求。
需要说明的是,本申请实施例2所提供的系统实施例可以广泛应用在互联网上,例如,计算机信息安全领域,可以但不限于应用于任意一种敏感信息系统中,例如,金融、通信、电子商务等领域的信息系统。
如图6所示,上述加密卡包括:可信计算模块60、可编程逻辑器件62和通信接口64,其中:
可信计算模块60,设置于印制电路板PCB中;可编程逻辑器件62,设置于上述PCB中,与上述可信计算模块通过上述PCB中的导线直接连接;通信接口64,与上述可信计算模块和上述可编程逻辑器件连接,用于提供与上述加密卡的外接设备连接的接口。
在一种可选的实施例中,上述导线为设置于上述PCB上的电导线。
需要说明的是,上述可编程逻辑器件的与可信计算模块之间通过印制电路板PCB内部的导线直接进行通信,并且,可编程逻辑器件的密码算法的加载是通过印制电路板PCB内的动态加载,有效验证了其完整性,保证了敏感数据的计算安全。
作为一种可选的实施例,上述可信计算模块与可编程逻辑器件之间可以但不限于通过串行通信接口连接,还可以通过印制电路板卡内部的导通电路直接进行通信,实现数据交互,而不需要通过映射主机Host的内存进行通信。
可选的,上述可信计算模块可以包括但不限于为可信平台控制模块/可信赖平台模块(TPCM/TPM)等,其中,可信计算模块具体可以为一种可信计算芯片,例如,安全芯片;上述可编程逻辑器件可以为FPGA芯片;上述加密卡的外接设备可以为主板通用部件;上述加密卡与外接设备之间可以通过通信接口进行连接。
作为一种可选的实施例,上述加密卡可以包括一个壳体,可信计算模块和可编程逻辑器件设置于该壳体内部,上述通信接口的一端与上述可信计算模块、可编程逻辑器件连接,上述通信接口的另一端穿过上述壳体,以便实现与外设设备的连接。
在一种可选的实施例中,上述通信接口包括以下至少之一:通用输入输出(General Purpose Input Output,GPIO)、串行外设接口(Serial Peripheral Interface,SPI)、集成电路总线(Inter-Integrated Circuit,I2C)、PCIe接口。
基于本申请所提供的上述实施例,通过可信计算模块,设置于印制电路板PCB中;可编程逻辑器件,设置于上述PCB中,与上述可信计算模块通过上述PCB中的导线直接连接;通信接口,与上述可信计算模块和上述可编程逻辑器件连接,用于提供与上述加密卡的外接设备连接的接口。
容易注意到的是,本申请采用将可信计算模块与可编程逻辑器件集成的方式,通过可编程逻辑器件的可重构特性,可以满足业务的特定定制化需求,并且克服了传统高速加密卡不能保证平台及系统,及FPGA芯片与可信芯片的集成其自身的安全的问题;通过可编程逻辑器件的高速运算能力,解决了传统的高速加密卡及可信芯片计算能力及存储能力的不足的技术问题。
通过本申请上述实施例所提供的方案,达到了提高加密卡的计算能力和存储能力,以及保证信息数据的计算安全的目的,从而实现了有效保障计算机信息安全的技术效果,进而解决了现有技术中的加密卡计算能力和存储能力不足,且无法有效保证信息数据的计算安全的技术问题。
需要说明的是,本实施例的可选或优选实施方式可以参见实施例1中的相关描述,此处不再赘述。
实施例3
根据本申请实施例,还提供了一种加密卡的实施例,图7是根据本申请实施例的另一种加密卡的结构示意图,出于描述的目的,所绘结构仅为合适环境的一个示例,并非对本申请的使用范围或功能提出任何局限。也不应将该加密卡,解释为对图7所示的任一组件或其组合具有任何依赖或需求。
需要说明的是,本申请实施例3所提供的系统实施例可以广泛应用在互联网上,例如,计算机信息安全领域,可以但不限于应用于任意一种敏感信息系统中,例如,金融、通信、电子商务等领域的信息系统。如图7所示,上述加密卡包括:可信计算模块70、可编程逻辑器件72,其中:
上述可信计算模块70,设置于印制电路板PCB中,上述可信计算模块的存储区中包括:用于存储上述可编程逻辑器件所使用的密码运算固件的存储区;上述可编程逻辑器件72,设置于上述PCB中,与上述可信计算模块通过上述PCB中的导线直接连接。
在一种可选的实施例中,上述导线为设置于上述PCB上的电导线。
需要说明的是,上述可编程逻辑器件的与可信计算模块之间通过印制电路板PCB内部的导线直接进行通信,并且,可编程逻辑器件的密码算法的加载是通过印制电路板PCB内的动态加载,有效验证了其完整性,保证了敏感数据的计算安全。
作为一种可选的实施例,上述可信计算模块与可编程逻辑器件分别设置有串行通信接口,可以但不限于通过串行通信接口与上述导线直接进行连接,还可以通过印制电路板卡内部的导通电路直接进行通信,实现数据交互,而不需要通过映射主机Host的内存进行通信。
在一种可选的实施例中,上述可信计算模块的存储区中包括以下至少之一:芯片系统固件存储区、平台配置寄存器(PCR)、主密钥存储区、度量根存储区、存储根存储区、报告根存储区。
在另一种可选的实施例中,上述存储区中还可以包括:用于存储上述可编程逻辑器件所使用的密码运算固件的存储区,如图4所示的FPGA密码运算相关固件存储区,可以但不限于实现密码算法、接口、时序、状态、缓存等功能。
基于本申请所提供的上述实施例,通过可信计算模块,设置于印制电路板PCB中,上述可信计算模块的存储区中包括:用于存储上述可编程逻辑器件所使用的密码运算固件的存储区;上述可编程逻辑器件,设置于上述PCB中,与上述可信计算模块通过上述PCB中的导线直接连接。
容易注意到的是,本申请采用将可信计算模块与可编程逻辑器件集成的方式,通过可编程逻辑器件的可重构特性,可以满足业务的特定定制化需求,并且克服了传统高速加密卡不能保证平台及系统,及FPGA芯片与可信芯片的集成其自身的安全的问题;通过可编程逻辑器件的高速运算能力,解决了传统的高速加密卡及可信芯片计算能力及存储能力的不足的技术问题。
通过本申请上述实施例所提供的方案,达到了提高加密卡的计算能力和存储能力,以及保证信息数据的计算安全的目的,从而实现了有效保障计算机信息安全的技术效果,进而解决了现有技术中的加密卡计算能力和存储能力不足,且无法有效保证信息数据的计算安全的技术问题。
需要说明的是,本实施例的可选或优选实施方式可以参见实施例1、2中的相关描述,此处不再赘述。
实施例4
根据本申请实施例,还提供了一种电子设备,包括任意一项上述实施例1-3中任意一种加密卡,其中,上述加密卡包括:可信计算模块;可编程逻辑器件,与上述可信计算模块通过导通电路连接,并通过上述导通电路与上述可信计算模块进行通信;通信接口,与上述可信计算模块和上述可编程逻辑器件连接,用于提供与上述加密卡的外接设备连接的接口。
可选的,上述电子设备可以为计算机设备,移动设备(例如,智能手机、IPAD、可穿戴设备)等。
需要说明的是,本实施例的可选或优选实施方式可以参见实施例1-3中的相关描述,此处不再赘述。
实施例5
根据本申请实施例,还提供了一种加密服务方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例5所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图8示出了一种用于实现图像的识别方法的计算机终端(或移动设备)的硬件结构框图,如图8所示,计算机终端80(或移动设备80)可以包括一个或多个(图中采用802a、802b,……,802n来示出)处理器802(处理器802可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器804、以及用于通信功能的传输模块806。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图8所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端80还可包括比图8中所示更多或者更少的组件,或者具有与图8所示不同的配置。
应当注意到的是上述一个或多个处理器802和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的确定模块,或全部或部分的结合到计算机终端80(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器804可用于存储应用软件的软件程序以及模块,如本申请实施例中的图像的识别方法对应的程序指令/数据存储装置,处理器802通过运行存储在存储器804内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的漏洞检测方法。存储器804可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器804可进一步包括相对于处理器802远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端80。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置806用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端80的通信供应商提供的无线网络。在一个实例中,传输装置806包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置806可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端80(或移动设备)的用户界面进行交互。
在上述运行环境下,本申请提供了如图9所示的一种加密服务方法。图9是根据本申请实施例的一种加密服务方法的流程图,如图9所示,本申请实施例所提供的图像的识别方法可以通过如下方法步骤实现:
步骤S902,接收客户端的加密请求;
步骤S904,将上述加密请求输入上述的加密卡。
作为一种可选的实施例,上述加密卡可以为上述实施例2中任意一种加密卡。
步骤S906,接收上述加密卡的输出;
步骤S908,将上述输出反馈给上述客户端。
在上述步骤S902至步骤S908中,执行主体可以为通信接口,例如,本申请上述实施例1-4中任意一项通信接口。
在一种可选的实施例中,上述通信接口包括以下至少之一:通用输入输出(General Purpose Input Output,GPIO)、串行外设接口(Serial Peripheral Interface,SPI)、集成电路总线(Inter-Integrated Circuit,I2C)、PCIe接口。
在另一种可选的实施例中,上述加密卡可以为本申请上述实施例1-4中任意一种加密卡;上述客户端可以为外接设备中的客户端,上述外接设备可以为本申请上述实施例1-4中任意一种外接设备。
需要说明的是,本申请实施例所提供的方法实施例可以广泛应用在互联网上,例如,计算机信息安全领域,可以但不限于应用于任意一种敏感信息系统中,例如,金融、通信、电子商务等领域的信息系统。
仍需要说明的是,本申请实施例中的加密卡可以为可信高速数据加密卡,具有实现从开机到操作系统内核加载前的平台可信引导功能,可以保证业务敏感数据加解密的计算安全;在与外接设备交互的过程中,可以保障彼此的平台及身份的安全性和合法性。
作为一种可选的实施例,上述加密卡可以包括一个壳体,可信计算模块和可编程逻辑器件设置于该壳体内部,上述通信接口的一端与上述可信计算模块、可编程逻辑器件连接,上述通信接口的另一端穿过上述壳体,以便实现与外设设备的连接。
基于本申请所提供的上述实施例,通过接收客户端的加密请求;将上述加密请求输入上述的加密卡;接收上述加密卡的输出;将上述输出反馈给上述客户端。
通过本申请上述实施例所提供的方案,达到了提高加密卡的计算能力和存储能力,以及保证信息数据的计算安全的目的,从而实现了有效保障计算机信息安全的技术效果,进而解决了现有技术中的加密卡计算能力和存储能力不足,且无法有效保证信息数据的计算安全的技术问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例上述的方法。
需要说明的是,本实施例的可选或优选实施方式可以参见实施例1-4中的相关描述,此处不再赘述。
实施例6
根据本发明实施例,还提供了一种用于实施上述加密服务方法的装置,图10是根据本发明实施例的一种加密服务装置的结构示意图,如图10所示,该装置包括:第一接收模块101、输入模块103、第二接收模块105、反馈模块107,其中:
第一接收模块101,用于接收客户端的加密请求;输入模块103,用于将上述加密请求输入上述的加密卡;第二接收模块105,用于接收上述加密卡的输出;反馈模块107,用于将上述输出反馈给上述客户端。
此处需要说明的是,上述第一接收模块101、输入模块103、第二接收模块105、反馈模块107对应于实施例5中的步骤S902至步骤S908,四个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例5所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例5提供的计算机终端80中。
仍需要说明的是,本实施例的优选实施方式可以参见实施例1-5中的相关描述,此处不再赘述。
实施例7
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
本申请实施例5所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。
此处需要说明的是,在一些可选实施例中,上述图8所示的计算机终端80可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图8仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机终端80中的部件的类型。
在本实施例中,上述计算机终端可以执行应用程序的加密服务方法中以下步骤的程序代码:接收客户端的加密请求;将上述加密请求输入上述的加密卡;接收上述加密卡的输出;将上述输出反馈给上述客户端。
可选的,上述计算机终端中的处理器可以执行如下步骤的程序代码:接收客户端的加密请求;将上述加密请求输入上述的加密卡;接收上述加密卡的输出;将上述输出反馈给上述客户端。
采用本发明实施例,提供了一种加密服务的方案。通过接收客户端的加密请求;将上述加密请求输入上述的加密卡;接收上述加密卡的输出;将上述输出反馈给上述客户端,达到了提高加密卡的计算能力和存储能力,以及保证信息数据的计算安全的目的,进而解决了现有技术中的加密卡计算能力和存储能力不足,且无法有效保证信息数据的计算安全的技术问题。
本领域普通技术人员可以理解,图8所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图8其并不对上述电子装置的结构造成限定。例如,计算机终端80还可包括比图8中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图8所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例8
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例5所提供的加密服务方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:接收客户端的加密请求;将上述加密请求输入上述的加密卡;接收上述加密卡的输出;将上述输出反馈给上述客户端。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (13)

1.一种加密卡,其特征在于,包括:
可信计算模块;
可编程逻辑器件,与所述可信计算模块通过导通电路连接,并通过所述导通电路与所述可信计算模块进行通信;
通信接口,与所述可信计算模块和所述可编程逻辑器件连接,用于提供与所述加密卡的外接设备连接的接口;
其中,所述可信计算模块包括:第一主计算区、第一密码计算区和第一存储区,所述第一存储区包括以下至少之一:芯片系统固件存储区、平台配置寄存器、主密钥存储区、度量根存储区、存储根存储区、报告根存储区;其中,所述主密钥存储区中存储有用于保护所述可编程逻辑器件中的用户密钥;
所述可编程逻辑器件包括:第二主计算区、第二密码计算区和第二存储区,所述第二存储区,包括以下至少之一:系统固件存储区、预先配置有动态策略的用户策略固件存储区、运算密钥存储区、用户数据存储区。
2.根据权利要求1所述的加密卡,其特征在于,所述可信计算模块、所述可编程逻辑器件和所述通信接口设置于印制电路板PCB上,所述导通电路包括:设置于所述PCB上的电导线。
3.根据权利要求1所述的加密卡,其特征在于,所述可信计算模块和可编程逻辑器件通过串行通信接口连接。
4.根据权利要求1所述的加密卡,其特征在于,所述通信接口包括以下至少之一:通用输入输出GPIO、串行外设接口SPI、集成电路总线I2C、PCIe接口。
5.根据权利要求1所述的加密卡,其特征在于,
所述第一主计算区,用于执行除密码运算过程之外的运算过程;
所述第一密码计算区,与所述第一主计算区连接,设置有至少一种密码算法的引擎,并使用所述引擎执行密码运算过程;
所述第一存储区,与所述第一主计算区和所述第一密码计算区连接,用于存储数据。
6.根据权利要求5所述的加密卡,其特征在于,所述存储区中还包括:用于存储所述可编程逻辑器件所使用的密码运算固件的存储区。
7.根据权利要求1所述的加密卡,其特征在于,
所述第二主计算区,包括:所述可编程逻辑器件的软核处理器和硬件硬核;
所述第二密码计算区,与所述第二主计算区连接,设置有至少一种密码算法的引擎,并使用所述引擎执行密码运算过程;
所述第二存储区,与所述第二主计算区和所述第二密码计算区连接,用于存储数据。
8.根据权利要求7所述的加密卡,其特征在于,所述第二密码计算区,用于依据所述用户策略固件存储区中的用户策略选择所述引擎进行密码运算过程。
9.根据权利要求8所述的加密卡,其特征在于,所述第二密码计算区用于依据所述可信计算模块内的度量根对待加载数据进行验证,并在验证通过时进行数据的加载。
10.一种加密卡,其特征在于,包括:
可信计算模块,设置于印制电路板PCB中;
可编程逻辑器件,设置于所述PCB中,与所述可信计算模块通过所述PCB中的导线直接连接;
通信接口,与所述可信计算模块和所述可编程逻辑器件连接,用于提供与所述加密卡的外接设备连接的接口;
其中,所述可信计算模块包括:第一主计算区、第一密码计算区和第一存储区,所述第一存储区包括以下至少之一:芯片系统固件存储区、平台配置寄存器、主密钥存储区、度量根存储区、存储根存储区、报告根存储区;其中,所述主密钥存储区中存储有用于保护所述可编程逻辑器件中的用户密钥;
所述可编程逻辑器件包括:第二主计算区、第二密码计算区和第二存储区,所述第二存储区,包括以下至少之一:系统固件存储区、预先配置有动态策略的用户策略固件存储区、运算密钥存储区、用户数据存储区。
11.一种加密卡,其特征在于,包括:可信计算模块和可编程逻辑器件;其中:
所述可信计算模块,设置于印制电路板PCB中,其中,所述可信计算模块包括:第一主计算区、第一密码计算区和第一存储区,所述第一存储区包括以下至少之一:芯片系统固件存储区、平台配置寄存器、主密钥存储区、度量根存储区、存储根存储区、报告根存储区;其中,所述主密钥存储区中存储有用于保护所述可编程逻辑器件中的用户密钥;所述第一存储区中还包括:用于存储所述可编程逻辑器件所使用的密码运算固件的存储区;
所述可编程逻辑器件,设置于所述PCB中,与所述可信计算模块通过所述PCB中的导线直接连接;其中,所述可编程逻辑器件包括:第二主计算区、第二密码计算区和第二存储区,所述第二存储区,包括以下至少之一:系统固件存储区、预先配置有动态策略的用户策略固件存储区、运算密钥存储区、用户数据存储区。
12.一种电子设备,其特征在于,包括权利要求1至11中任意一项所述的加密卡。
13.一种加密服务方法,其特征在于,包括:
接收客户端的加密请求;
将所述加密请求输入如权利要求10所述的加密卡;
接收所述加密卡的输出;
将所述输出反馈给所述客户端。
CN201810404346.6A 2018-04-28 2018-04-28 加密卡、电子设备及加密服务方法 Active CN110414244B (zh)

Priority Applications (7)

Application Number Priority Date Filing Date Title
CN201810404346.6A CN110414244B (zh) 2018-04-28 2018-04-28 加密卡、电子设备及加密服务方法
TW108107618A TW201945976A (zh) 2018-04-28 2019-03-07 加密卡、電子設備及加密服務方法
US16/393,870 US20190334713A1 (en) 2018-04-28 2019-04-24 Encryption Card, Electronic Device, and Encryption Service Method
PCT/US2019/028989 WO2019209997A1 (en) 2018-04-28 2019-04-24 Encryption card, electronic device, and encryption service method
JP2020560347A JP2021522595A (ja) 2018-04-28 2019-04-24 暗号化カード、電子デバイス、および暗号化サービスの方法
KR1020207030980A KR20210005871A (ko) 2018-04-28 2019-04-24 암호화 카드, 전자 디바이스 및 암호화 서비스 방법
EP19793424.3A EP3788516A4 (en) 2018-04-28 2019-04-24 ENCRYPTION CARD, ELECTRONIC DEVICE AND ENCRYPTION SERVICE METHOD

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810404346.6A CN110414244B (zh) 2018-04-28 2018-04-28 加密卡、电子设备及加密服务方法

Publications (2)

Publication Number Publication Date
CN110414244A CN110414244A (zh) 2019-11-05
CN110414244B true CN110414244B (zh) 2023-07-21

Family

ID=68291715

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810404346.6A Active CN110414244B (zh) 2018-04-28 2018-04-28 加密卡、电子设备及加密服务方法

Country Status (7)

Country Link
US (1) US20190334713A1 (zh)
EP (1) EP3788516A4 (zh)
JP (1) JP2021522595A (zh)
KR (1) KR20210005871A (zh)
CN (1) CN110414244B (zh)
TW (1) TW201945976A (zh)
WO (1) WO2019209997A1 (zh)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110677250B (zh) 2018-07-02 2022-09-02 阿里巴巴集团控股有限公司 密钥和证书分发方法、身份信息处理方法、设备、介质
CN110795774B (zh) 2018-08-02 2023-04-11 阿里巴巴集团控股有限公司 基于可信高速加密卡的度量方法、设备和系统
CN110795742B (zh) 2018-08-02 2023-05-02 阿里巴巴集团控股有限公司 高速密码运算的度量处理方法、装置、存储介质及处理器
CN110874478B (zh) 2018-08-29 2023-05-02 阿里巴巴集团控股有限公司 密钥处理方法及装置、存储介质和处理器
CN111193591B (zh) * 2019-12-31 2023-06-20 郑州信大先进技术研究院 一种基于cpu+fpga的加解密方法及系统
CN111162902A (zh) * 2019-12-31 2020-05-15 航天信息股份有限公司 一种基于税务证书的云签服务器
CN111241603A (zh) * 2020-01-07 2020-06-05 北京智芯微电子科技有限公司 基于PCIe接口的加密卡架构、加密卡及电子设备
CN111523127B (zh) * 2020-03-26 2022-02-25 郑州信大捷安信息技术股份有限公司 一种用于密码设备的权限认证方法及系统
CN111414625B (zh) * 2020-04-01 2023-09-22 中国人民解放军国防科技大学 支持主动可信能力的计算机可信软件栈实现方法及系统
CN111769863B (zh) * 2020-05-27 2022-02-18 苏州浪潮智能科技有限公司 一种用于tpcm通信的中继方法及中继板卡
CN111737698B (zh) * 2020-05-28 2022-07-19 苏州浪潮智能科技有限公司 一种基于异构计算的安全可信卡及安全可信方法
CN111737701A (zh) * 2020-06-19 2020-10-02 全球能源互联网研究院有限公司 一种服务器可信根系统及其可信启动方法
CN111935707A (zh) * 2020-07-29 2020-11-13 北京三未信安科技发展有限公司 密码装置和密码设备
CN113486353B (zh) * 2021-06-24 2023-08-01 邦彦技术股份有限公司 可信度量方法、系统、设备及存储介质
CN113468615B (zh) * 2021-06-24 2023-08-01 邦彦技术股份有限公司 可信度量方法、可信芯片、逻辑控制器及可信度量系统
CN113420309B (zh) * 2021-07-01 2022-05-17 广东工业大学 基于国密算法的轻量化数据保护系统
CN113315787B (zh) * 2021-07-28 2021-11-23 橙色云互联网设计有限公司 加密保护方法、装置及存储介质
CN115134076A (zh) * 2022-06-30 2022-09-30 支付宝(杭州)信息技术有限公司 数据处理方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101504705A (zh) * 2009-03-17 2009-08-12 武汉大学 可信平台模块及其计算机启动控制方法
CN102314563A (zh) * 2010-07-08 2012-01-11 同方股份有限公司 一种计算机硬件体系结构
CN106997438A (zh) * 2017-03-29 2017-08-01 山东英特力数据技术有限公司 一种可信服务器cpu设计方法
CN107959656A (zh) * 2016-10-14 2018-04-24 阿里巴巴集团控股有限公司 数据安全保障系统及方法、装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI314686B (en) * 2005-12-20 2009-09-11 Power Quotient Int Co Ltd Low profile storage device
US8560863B2 (en) * 2006-06-27 2013-10-15 Intel Corporation Systems and techniques for datapath security in a system-on-a-chip device
GB0615015D0 (en) * 2006-07-28 2006-09-06 Hewlett Packard Development Co Secure use of user secrets on a computing platform
US8156322B2 (en) * 2007-11-12 2012-04-10 Micron Technology, Inc. Critical security parameter generation and exchange system and method for smart-card memory modules
US8352749B2 (en) * 2010-12-17 2013-01-08 Google Inc. Local trusted services manager for a contactless smart card
US9038179B2 (en) * 2012-08-28 2015-05-19 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Secure code verification enforcement in a trusted computing device
CN105468978B (zh) * 2015-11-16 2019-11-01 全球能源互联网研究院 一种适用于电力系统通用计算平台的可信计算密码平台
CN106022080B (zh) * 2016-06-30 2018-03-30 北京三未信安科技发展有限公司 一种基于PCIe接口的密码卡及该密码卡的数据加密方法
CN106709358A (zh) * 2016-12-14 2017-05-24 南京南瑞集团公司 一种基于可信计算的移动装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101504705A (zh) * 2009-03-17 2009-08-12 武汉大学 可信平台模块及其计算机启动控制方法
CN102314563A (zh) * 2010-07-08 2012-01-11 同方股份有限公司 一种计算机硬件体系结构
CN107959656A (zh) * 2016-10-14 2018-04-24 阿里巴巴集团控股有限公司 数据安全保障系统及方法、装置
CN106997438A (zh) * 2017-03-29 2017-08-01 山东英特力数据技术有限公司 一种可信服务器cpu设计方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
可信计算下数据安全存储研究;胡如会等;《电脑知识与技术》;第13卷(第25期);第17-19页 *

Also Published As

Publication number Publication date
WO2019209997A1 (en) 2019-10-31
US20190334713A1 (en) 2019-10-31
KR20210005871A (ko) 2021-01-15
TW201945976A (zh) 2019-12-01
EP3788516A4 (en) 2022-01-12
CN110414244A (zh) 2019-11-05
JP2021522595A (ja) 2021-08-30
EP3788516A1 (en) 2021-03-10

Similar Documents

Publication Publication Date Title
CN110414244B (zh) 加密卡、电子设备及加密服务方法
CN110580420B (zh) 基于集成芯片的数据处理方法、计算机设备、存储介质
CN108701191B (zh) 数据处理设备和验证数据处理设备的完整性的方法
US20200104528A1 (en) Data processing method, device and system
KR20210017083A (ko) 퓨즈된 키에 기반하여 증명 인증서를 생성하는 전자 장치 및 방법
CN209803788U (zh) 一种pcie可信密码卡
CN110875819B (zh) 密码运算处理方法、装置及系统
CN110598429A (zh) 数据加密存储和读取的方法、终端设备及存储介质
CN112311718A (zh) 检测硬件的方法、装置、设备及存储介质
CN112636914B (zh) 一种身份验证方法、身份验证装置及智能卡
EP4020295A1 (en) Platform security mechanism
CN110874476B (zh) 数据处理系统、方法、存储介质和处理器
US20230020838A1 (en) Measured restart of microcontrollers
CN111368322B (zh) 一种文件解密方法、装置、电子设备和存储介质
US20230342459A1 (en) Platform security mechanism
US11886316B2 (en) Platform measurement collection mechanism
CN111177674A (zh) 设备验证方法及设备
CN108154037B (zh) 进程间的数据传输方法和装置
KR20100048705A (ko) Usb 허브 보안 장치 및 이를 이용한 데이터 보안 방법
CN109684852B (zh) 一种数据交换的导引装置及方法
US20220224520A1 (en) Key exchange system, communication apparatus, key exchange method and program
US20210014052A1 (en) Method and terminal for establishing security infrastructure and device
CN113032265B (zh) 非对称加密算法测试方法、装置、计算机设备及存储介质
Gao et al. The research and design of embed RSA encryption algorithm network encryption card driver
CN117909980A (zh) 一种启动验证方法及相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40016271

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant