CN105337731B - 一种密码设备的改进后数据同步方法及*** - Google Patents
一种密码设备的改进后数据同步方法及*** Download PDFInfo
- Publication number
- CN105337731B CN105337731B CN201510823418.7A CN201510823418A CN105337731B CN 105337731 B CN105337731 B CN 105337731B CN 201510823418 A CN201510823418 A CN 201510823418A CN 105337731 B CN105337731 B CN 105337731B
- Authority
- CN
- China
- Prior art keywords
- data
- module
- management
- board
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种密码设备的改进后数据同步方法及***,方法包括,管理板接收来自管理通道的指令,依指令进行权限和密钥管理,并更新管理板存储空间中的数据;管理板将自身存储空间的数据同步到数据集散中心模块;管理板向在线运算板发送更新指令,运算板接收指令后获取数据集散中心模块中的数据,并存储到自身存储空间中;运算板接收来自运算通道的指令;各运算板根据更新后的数据对运算通道的指令进行响应并反馈;结束。本发明提升性能的同时并兼顾数据的保护,确保敏感数据不会进入主机内存。方案中利用FPGA灵活的资源实现了数据集散中心的功能。
Description
技术领域
本发明涉及一种密码设备的改进后数据同步方法及***,属于信息安全技术领域。
背景技术
PKI,即公钥基础设施,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的技术设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
在PKI应用领域一般有分为终端和服务器端。
终端产品有大众耳熟能详的USB key、POS机、ATM取款机等;服务器领域包括签名验签服务器,服务器密码机,以及金融数据密码机等。在服务器端都需要配备基础密码设备:PCI密码卡。目前主流的密码卡有PCI和PCIE总线的。
PCI密码卡是高性能基础密码设备,能够适用于各类密码安全应用***进行高速的,多任务并行处理的密码运算,可以满足应用***数据的签名/验证、加密/解密的要求,保证传输信息的机密性,完整性和有效性,同时提供安全、完善的权限及密钥管理机制。因此PCI密码卡是PKI体系中密码算法的提供者,是PKI体系中的关键基础密码设备。
随着信息技术在各个领域的应用,很多应用场合对PKI应用服务器的性能指标提出了更好的要求,在单张密码卡的性能无法满足服务的性能要求时,就需要多张密码卡来分担业务的运算要求,从而达到提高服务器性能的目的。在多张板卡并行的应用场合中,对PCI密码卡的权限及密钥管理功能提出了新的技术需求。
现有技术中的全功能单板功能包括:
1、密码算法功能模块:
算法包括对称,非对称,摘要算法及随机数模块,以及这些模块组合后的各种功能业务功能;密码算法的调用收到权限控制模块密钥管理及保护模块的影响。
2、密钥的管理及保护模块:
包括密钥的生成,存储,保护,销毁;
密钥采用三级密钥:***(设备)密钥,用户密钥,会话密钥。其中***(设备)密钥和用户密钥为敏感信息,需要安全存储及备份;
3、权限控制模块:
密码卡的调用需要相应的权限,会对密码卡的功能调用存在限制,目前PCI密码卡普遍采用两级权限控制。管理员权限和操作员权限,管理员和操作员的存储介质可以是IC卡,也可以是USB KEY。
密码卡的两级权限,保证密码卡调度过程中的安全性;
4、备份恢复模块:
备份恢复属于灾备机制,确保密码卡的重要数据损坏后能够使***还原未损坏时的状态。
随着信息技术的广泛应用,目前密码卡的安全机制是比较可靠的,但密码算法的性能及冗余限制了信息安全技术的推广,冗余及性能的要求需要亟需解决。
发明内容
本发明对PKI应用中的基础密码设备(PCI密码卡)进行了改进并提供了改进后权限和密钥同步的方法。本发明要解决的技术问题是:1,提高现有基础密码设备的性能;2、解决新方案中针对现有设备权限和密钥同步技术面临的问题。
本发明首先针对性能问题提出:将传统密码设备拆成管理板和运算板。然后针对新方案解决了管理板和运算板数据同步的难题。
本发明解决上述数据同步问题的技术方案如下:一种密码设备的改进后数据同步方法,具体包括以下步骤:
步骤1:管理板接收来自管理通道的指令,依指令进行权限和密钥管理,并更新管理板存储空间中的数据;
步骤2:管理板将自身存储空间的数据同步到数据集散中心模块;
步骤3:管理板向在线运算板发送更新指令,运算板接收指令后获取数据集散中心模块中的数据,并存储到自身存储空间中;
步骤4:运算板接收来自运算通道的指令;
步骤5:各运算板根据更新后的数据对运算通道的指令进行响应并反馈;结束。
本发明的有益效果是:将管理功能和运算功能进行分离,提升性能的同时兼顾重要数据的保护,确保数据不会进入主机内存中;运算板分离后为上层软件的冗余调用提供了底层保障。
进一步的方案为:数据同步利用数据集散中心模块来完成,其中数据集散中心模块利用FPGA进行实现。
所述数据集散中心模块包括至少两块双端口RAM;
所有所述双端口RAM的写端口与管理板相通信;每个所述双端口RAM的读端口与一个运算板相通信。
采用上述进一步方案的有益效果是,利用FPGA的资源可灵活配置的特点,实现了一种数据同步方法。通过至少两块双端口RAM,实现了多个运算板对应一个管理板的相应的数据更新,并且每个运算板的运算保持独立。
进一步,所述步骤1中管理板通过pcie口、pci口、usb口或com口等作为管理通道接收外部指令。
进一步,所述运算板包括控制器模块、算法模块和第二随机数产生模块;
所述控制器模块与数据集散中心模块相通信,用于接收外部指令,根据外部指令控制算法模块和第二随机数产生模块;
所述算法模块用于根据控制器模块的控制和内存中的权限和密钥进行运算;
所述第二随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务。
进一步,所述管理板包括控制模块、第一随机数产生模块、权限控制模块和数据存储模块;
所述控制模块根据外部指令控制第一随机数产生模块、权限控制模块和数据存储模块;
所述第一随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务;
所述权限控制模块用于根据控制模块的控制进行权限和密钥管理;
所述数据存储模块用于根据控制模块的控制存储权限控制模块产生的权限和密钥数据。
本发明提出了运算板及管理板分离的想法,技术改进后,对全功能单板做了业务功能做了划分:模块运算和管理板;运算板主要承担密码算法功能模块,管理板承担密钥的管理及保护,权限的控制和备份恢复功能。本发明的提出是解决运算板如何同步管理板重要数据及权限状态的。
附图说明
图1为本发明所述的基础密码设备的改进后数据同步方法流程图;
图2为本发明所述的基础密码设备的改进后数据同步***结构示意图;
图3为现有技术中全功能单板结构示意图;
图4为本发明具体实施例1所述的基础密码设备的改进后数据同步结构示意图。
图5为本发明数据集散中心模块的实施例。
附图1-5中,各标号所代表的部件列表如下:
1、管理板,2、数据集散中心模块,3、运算板,4、PCI或PCI-express接口,5、PCI或PCI-express接口芯片,6、控制模块,7、算法模块,8、随机数生成模块,81、第一随机数产生模块,82、第二随机数产生模块,9、权限控制模块,10、数据存储模块,11、权限存储介质,12、FPGA,13、双口RAM。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,为本发明所述的一种密码设备的改进后数据同步方法,具体包括以下步骤:
步骤1:管理板接收来自管理通道的指令,依指令进行权限和密钥管理,并更新管理板存储空间中的数据;
步骤2:管理板将自身存储空间的数据同步到数据集散中心模块;
步骤3:管理板向在线运算板发送更新指令,运算板接收指令后获取数据集散中心模块中的数据,并存储到自身存储空间中;
步骤4:运算板接收来自运算通道的指令;
步骤5:各运算板根据更新后的数据对运算通道的指令进行响应并反馈;结束。
所述数据集散中心模块包括至少两块双端口RAM;所有所述双端口RAM的写端口与管理板相通信;每个所述双端口RAM的读端口与一个运算板相通信。
所述步骤1中管理板通过pci口、usb口或com口等接收外部指令。
如图2所示,为本发明所述的一种密码设备的改进后数据同步***,包括管理板1、数据集散中心模块2和至少两个运算板3;
所述管理板1接收外部管理指令,根据指令进行权限和密钥管理,权限和密钥管理产生更新数据;所述管理板1将更新数据同步到所述数据集散中心模块2;所述管理板1向在线所述运算板3发送更新指令;
所有所述运算板3获取数据集散中心模块2中的更新数据,并保存到内存中;
所有所述运算板3分别接收外部运算指令;所有运算板3分别根据其内存中的数据和权限做相应操作并反馈结果。
所述数据集散中心模块2包括至少两块双端口RAM;
所有所述双端口RAM的写端口与管理板1相通信;每个所述双端口RAM的读端口与一个运算板3相通信。
所述管理板1通过pcie口、pci口、usb口或com口等接收外部指令。
所述运算板3包括控制器模块、算法模块和第二随机数产生模块;
所述控制模块与数据集散中心模块相通信,用于接收外部指令,根据外部指令控制算法模块和第二随机数产生模块;
所述算法模块用于根据控制器模块的控制和内存中的权限和密钥进行运算;
所述第二随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务;
所述权限控制模块用于根据控制模块的控制进行权限和密钥管理;
所述数据存储模块用于根据控制模块的控制存储权限控制模块产生的权限和密钥数据。
管理板流程简介:
1、主控程序等待来自主机端的命令,与主机端通讯可采用pcie、pci、usb或com口;
2、操作人员通过登录管理程序,对干管理板进行权限及密钥的管理;
3、操作2完成后,管理板的状态会有状态数据的改变,这些改变也会在数据集散中心模块同时得到更新;
4、管理板向在线运算板下达状态更新指令;
5、直至所有运算板的状态都同步完成;结束。
运算板流程简介:
1、上电初始化后,运算板处于无权限状态;
2、等待来自管理板或者主机端的操作命令;
3、若命令为来自管理板的更新指令,运算板从数据集散中心模块copy重要的数据及权限状态的变化;
4、更新完成后,进入等待来自管理板或者主机端操作命令的状态;
5、若操作命令是来自主机端的业务运算,根据运算板的重要数据及权限状态做出相应的操作并返回;结束。
数据集散中心模块的实现:
1、首先利用FPGA技术在FPGA内部例化多块双端口RAM,例化的数量根据要并行的运算板数量决定。
2、双端口RAM的写端口开放给管理板,由管理板及时把重要数据和权限状态更新到双端口RAM。
3、双端口RAM的读端口开放给运算板,当运算板接收到更新指令后,能快速的将双端口RAM中的数据更新到运算板的内存中。
以下以本发明具体实施例与现有技术进行对比;
如图3所示,为现有技术中全功能单板的结构示意图;其中包括:PCI或PCI-express接口4、PCI或PCI-express接口芯片5、控制模块6(可以是单片机、DSP、ARM等类芯片)、算法模块7、随机数生成模块8、权限控制模块9、数据存储模块10和权限存储介质11(key或IC卡)。
如图4所示,为本发明具体实施例1所述的一种密码设备的改进后数据同步***结构示意图。包括:管理板1、数据集散中心模块2、至少两个运算板3、PCI或PCI-express接口4、PCI或PCI-express接口芯片5、控制模块6(可以是单片机、DSP、ARM等类芯片)、算法模块7、随机数生成模块8、权限控制模块9、数据存储模块10和权限存储介质11(key或IC卡)。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种密码设备的改进后数据同步方法,其特征在于,具体包括以下步骤:
步骤1:管理板接收来自管理通道的指令,依指令进行权限和密钥管理,并更新管理板存储空间中的数据;
步骤2:管理板将自身存储空间的数据同步到数据集散中心模块;
步骤3:管理板向在线运算板发送更新指令,运算板接收指令后获取数据集散中心模块中的数据,并存储到自身存储空间中;
步骤4:运算板接收来自运算通道的指令;
步骤5:各运算板根据更新后的数据对运算通道的指令进行响应并反馈;结束。
2.根据权利要求1所述的一种密码设备的改进后数据同步方法,其特征在于,所述数据集散中心模块通过多个双端口RAM将管理板的重要数据同步到各运算板;
所有所述双端口RAM的写端口与管理板相连接;每个所述双端口RAM的读端口与一个运算板相连接。
3.根据权利要求1或2所述的一种密码设备的改进后数据同步方法,其特征在于,所述步骤1中管理板通过pcie口、pci口、usb口或com口接收管理通道的外部指令。
4.一种密码设备的改进后数据同步***,其特征在于,包括管理板、数据集散中心模块和多个运算板;
所述管理板接收来自管理通道的管理指令,依管理指令进行权限和密钥管理,并更新管理板存储空间中的重要数据;
所述管理板将自身存储空间的数据同步到数据集散中心模块;
所述管理板向在线运算板发送更新指令,运算板接收更新指令后获取数据集散中心模块中的数据,并保存到自身存储空间中;
所述运算板接收来自运算通道的指令;
每个所述运算板根据更新后的数据按照运算通道的指令进行相应操作并将结果通过运算通道反馈。
5.根据权利要求4所述的一种密码设备的改进后数据同步***,其特征在于,所述数据集散中心模块包括至少两块双端口RAM;
所有所述双端口RAM的写端口与管理板相通信;每个所述双端口RAM的读端口与一个运算板相通信。
6.根据权利要求4或5所述的一种密码设备的改进后数据同步***,其特征在于,所述管理板通过pcie口、pci口、usb口或com口接收管理通道的外部指令。
7.根据权利要求4所述的一种密码设备的改进后数据同步***,其特征在于,所述管理板包括控制模块、第一随机数产生模块、权限控制模块和数据存储模块;
所述控制模块根据来自管理通道的外部指令控制第一随机数产生模块、权限控制模块和数据存储模块;
所述第一随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务;
所述权限控制模块用于根据控制模块的控制进行权限和密钥管理;
所述数据存储模块用于根据控制模块的控制存储权限控制模块产生的权限状态和密钥数据。
8.根据权利要求7所述的一种密码设备的改进后数据同步***,其特征在于,所述运算板包括控制器模块、算法模块和第二随机数产生模块;
所述控制器模块与运算通道及管理板的控制模块通讯,与运算通道通信接收来自主机端的运算指令,并根据运算板的状态反馈结果;与管理板的控制模块通信,接收来自管理板的数据同步指令,并更新自身数据;两种通讯完成后,所述控制器模块进入新的一轮等待指令状态;
所述算法模块用于根据控制器模块的控制和存储空间中的权限和密钥进行运算;
所述第二随机数产生模块用于密钥的产生及其他需要产生随机数的运算业务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510823418.7A CN105337731B (zh) | 2015-11-24 | 2015-11-24 | 一种密码设备的改进后数据同步方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510823418.7A CN105337731B (zh) | 2015-11-24 | 2015-11-24 | 一种密码设备的改进后数据同步方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105337731A CN105337731A (zh) | 2016-02-17 |
| CN105337731B true CN105337731B (zh) | 2018-02-09 |
Family
ID=55288052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510823418.7A Active CN105337731B (zh) | 2015-11-24 | 2015-11-24 | 一种密码设备的改进后数据同步方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105337731B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534136A (zh) * | 2016-11-22 | 2017-03-22 | 北京中金国信科技有限公司 | 一种pci‑e密码卡 |
| CN109800558B (zh) * | 2018-12-27 | 2021-01-12 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 密码服务板卡以及密码服务装置 |
| CN111309353B (zh) * | 2020-01-20 | 2023-05-23 | 超越科技股份有限公司 | 一种基于服务器控制板更新运算板fpga固件的方法及设备 |
| CN111580956B (zh) * | 2020-04-13 | 2024-05-14 | 三未信安科技股份有限公司 | 一种密码卡及其密钥空间配置方法和密钥使用方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377567A (zh) * | 2010-08-17 | 2012-03-14 | 青岛高校信息产业有限公司 | 智能密码钥匙*** |
| CN103237021A (zh) * | 2013-04-08 | 2013-08-07 | 浪潮集团有限公司 | 一种基于fpga芯片的pci-e的高速密码卡 |
| CN103825698A (zh) * | 2014-01-20 | 2014-05-28 | 中国建设银行股份有限公司 | 一种密码安全管理***和方法 |
| CN104393985A (zh) * | 2014-11-25 | 2015-03-04 | 成都卫士通信息产业股份有限公司 | 一种基于多网卡技术的密码机 |
-
2015
- 2015-11-24 CN CN201510823418.7A patent/CN105337731B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102377567A (zh) * | 2010-08-17 | 2012-03-14 | 青岛高校信息产业有限公司 | 智能密码钥匙*** |
| CN103237021A (zh) * | 2013-04-08 | 2013-08-07 | 浪潮集团有限公司 | 一种基于fpga芯片的pci-e的高速密码卡 |
| CN103825698A (zh) * | 2014-01-20 | 2014-05-28 | 中国建设银行股份有限公司 | 一种密码安全管理***和方法 |
| CN104393985A (zh) * | 2014-11-25 | 2015-03-04 | 成都卫士通信息产业股份有限公司 | 一种基于多网卡技术的密码机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105337731A (zh) | 2016-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107566117B (zh) | 一种区块链密钥管理***及方法 | |
| CN105337731B (zh) | 一种密码设备的改进后数据同步方法及*** | |
| CN109361517A (zh) | 一种基于云计算的虚拟化云密码机***及其实现方法 | |
| CN105678179B (zh) | 一种ic卡互联网终端发行方法及管理*** | |
| CN108345806A (zh) | 一种硬件加密卡和加密方法 | |
| CN206712810U (zh) | 一种基于pci‑e总线的高速密码卡 | |
| CN105099711A (zh) | 一种基于zynq的小型密码机及数据加密方法 | |
| CN109104275A (zh) | 一种hsm设备 | |
| CN104793999A (zh) | 伺服服务器架构*** | |
| CN105634730A (zh) | 一种金融ic卡密钥管理*** | |
| CN102968861B (zh) | 抄税方法 | |
| CN112818332A (zh) | 一种面向智能制造的密码管理服务平台 | |
| CN107749862A (zh) | 一种数据加密集中存储方法、服务器、用户终端及*** | |
| CN116418522A (zh) | 一种基于虚拟化技术的云服务器密码机*** | |
| CN114239015A (zh) | 数据的安全管理方法、装置、数据云平台以及存储介质 | |
| CN103873245B (zh) | 虚拟机***数据加密方法及设备 | |
| CN112099900A (zh) | 一种基于Sidecar模式的容器安全方法及*** | |
| CN111291332A (zh) | 一种在虚拟化环境下共享使用加密卡的方法及*** | |
| CN107623699A (zh) | 一种基于云环境的加密*** | |
| CN108023732A (zh) | 一种数据保护方法、装置、设备和存储介质 | |
| CN111428258A (zh) | 一种税控服务器加密机及其开票*** | |
| CN106817385A (zh) | 基于高速可信硬件模块的云终端网络接入*** | |
| CN107870659A (zh) | 一种可视型云计算桌面终端 | |
| CN106656486A (zh) | 一种利用北斗通信卫星的网络安全认证和数据保护设备 | |
| CN102855445A (zh) | 一种对云计算网络******进行安全管理的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: Room 1406, 14 / F, building 2, yard 16, Guangshun North Street, Chaoyang District, Beijing 100029 Patentee after: Sanwei Xin'an Technology Co., Ltd Address before: 100029 22, building 3, building 170, Beiyuan Road, No. 1, Beijing, Chaoyang District, 2602 Patentee before: BEIJING SANSEC TECHNOLOGY DEVELOPMENT Co.,Ltd. |