專利名稱:一種分離式大數(shù)據(jù)量加/解密設(shè)備及實現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信和信息安全技術(shù)領(lǐng)域����,尤其涉及一種分離式大數(shù)據(jù)量加/解密設(shè)備及實現(xiàn)方法。
背景技術(shù):
隨著計算機技術(shù)和互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展�,許多政府部門、企業(yè)和其它機構(gòu)以及個人建立了自己的計算機網(wǎng)絡(luò)系統(tǒng)�����,利用互聯(lián)網(wǎng)在自己與大眾之間建立了一條快速���、高效的網(wǎng)絡(luò)通道��,電子商務(wù)和電子政務(wù)成為他們通過網(wǎng)絡(luò)提供各種服務(wù)和獲得信息的主要方式之一���?����;诨ヂ?lián)網(wǎng)的信息服務(wù)系統(tǒng)具有明顯的行業(yè)特點�����,所以網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩燥@得尤為重要��,如網(wǎng)上銀行交易、網(wǎng)上稅務(wù)申報�����、網(wǎng)上企業(yè)年檢等��。系統(tǒng)中有大量需要保密的信息��,在網(wǎng)絡(luò)傳遞過程中必須采用加密保護的方式����,以保護敏感數(shù)據(jù)的安全傳輸����。同時���,除了在網(wǎng)絡(luò)應(yīng)用中的數(shù)據(jù)傳遞外�����,用戶終端內(nèi)的數(shù)據(jù)�����,如硬盤中的數(shù)據(jù)也存在加密保護存取的需求����,當(dāng)攻擊者從用戶的終端中拆卸下硬盤�����,并在安裝在另一個終端上時���,由于其硬盤上的大量系統(tǒng)數(shù)據(jù)采用了加密保存的方式��,攻擊者就無法輕易了解和破解其信息��,從而保護了數(shù)據(jù)的安全性��。
雖然人們對于網(wǎng)絡(luò)信息服務(wù)系統(tǒng)和用戶本地數(shù)據(jù)需要采用加密技術(shù)已經(jīng)達成共識�,并采用各種加密技術(shù)手段進行保護,如用集成電路卡(IC)技術(shù)和軟件模塊等來提高身份認(rèn)證等加密技術(shù)的可靠性��,但由于資金�,技術(shù)成熟度等客觀條件的限制,目前絕大部分的系統(tǒng)仍然采用軟加密的方式��,進行簡單的數(shù)據(jù)加密保護��。
軟加密技術(shù)是指加/解密密鑰由密鑰的生成端如IC卡或軟件模塊產(chǎn)生�����,利用終端的中央處理器(CPU)和內(nèi)存完成加/解密操作����。但由于“軟加密”技術(shù)使用的密鑰需要由生成端通過系統(tǒng)的通訊層提供給終端并保存在終端內(nèi)存中�,當(dāng)攻擊者監(jiān)聽用戶終端的通訊層或竊取終端內(nèi)存數(shù)據(jù)時,就可簡單地獲取加/解密密鑰����,從而輕易地破解加密數(shù)據(jù)���。同時,由于需要加/解密的數(shù)據(jù)都要利用終端的CPU和內(nèi)存完成計算�,系統(tǒng)的大量寶貴資源也將被占用。
針對上述軟加密技術(shù)中存在的易破解和占用系統(tǒng)資源等問題����,人們提出了使用硬加密技術(shù)的方式來實現(xiàn)對數(shù)據(jù)的加密操作。在現(xiàn)有技術(shù)中���,硬加密技術(shù)多采用在終端內(nèi)部安裝一塊加密芯片或插入一塊加密卡的方式���,利用此設(shè)備上自帶的微處理器產(chǎn)生加/解密密鑰,同時在芯片內(nèi)部完成對需要加/解密的數(shù)據(jù)的加/解密計算���。但是����,由于此方法需要在終端內(nèi)部安裝一塊加密芯片或插入一塊加密卡�����,給用戶帶來了使用上的較大不便���,而且��,由于此加密芯片或加密卡多數(shù)都是由國外廠商提供�����,所以其價格昂貴�����,即便是國產(chǎn)的一般也在幾千元至幾萬元不等���,不利于向普通用戶推廣使用����。
發(fā)明內(nèi)容
為克服現(xiàn)有技術(shù)的不足�����,本發(fā)明的目的在于提供一種分離式大數(shù)據(jù)量加/解密設(shè)備及實現(xiàn)方法�,對高速傳遞的大數(shù)據(jù)量進行加/解密�,安全性高,成本相對低廉����。
為了完成上述發(fā)明目的��,本發(fā)明采取的整體技術(shù)方案為一種分離式大數(shù)據(jù)量加/解密設(shè)備�,包括微處理器�����、電可擦出只讀數(shù)據(jù)存儲器����、靜態(tài)存儲器、閃存��、乘法協(xié)處理器�����、存儲管理保護模塊����、安全檢測與保護模塊、非對稱算法協(xié)處理器���、對稱算法協(xié)處理器�����、隨機數(shù)函數(shù)發(fā)生器���、時鐘處理模塊��、電源管理模塊�����、中斷控制器��、定時器��,所述微處理器���、可擦出只讀數(shù)據(jù)存儲器、靜態(tài)存儲器���、閃存�����、乘法協(xié)處理器�����、存儲管理保護模塊通過核心數(shù)據(jù)總線相連����,并通過橋連接器與其它與連接有安全檢測與保護模塊�、非對稱算法協(xié)處理器塊、對稱算法協(xié)處理器�、隨機數(shù)函數(shù)發(fā)生器、時鐘處理模塊����,電源管理模塊、中斷控制模塊��、定時器的外圍總線相連接�����,該設(shè)備還包括一外部通訊接口模塊�����,外部通訊接口模塊連接外圍數(shù)據(jù)總線,用于在加/解密設(shè)備與外部終端之間傳遞數(shù)據(jù)����。
所述微處理器為至少為32位的多級流水線精簡指令計算處理器,能支持硬件的安全訪問控制和外圍組件的訪問控制�。
所述外部通訊接口模塊至少包括通用串行總線架構(gòu)接口模塊、ISO7816接口模塊�。
一種分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,包括以下步驟步驟1��、加/解密設(shè)備接受終端發(fā)送的需要進行加/解密處理的數(shù)據(jù)包��;步驟2����、通用串行總線設(shè)備將數(shù)據(jù)包存儲到加/解密設(shè)備的存儲器中;步驟3��、微處理器判斷數(shù)據(jù)包中是否包含加/解密命令控制字����,不是則用基本處理方式處理數(shù)據(jù),是則根據(jù)加解密設(shè)備存儲器中的密鑰調(diào)用對稱或非對稱算法加/解密函數(shù)對數(shù)據(jù)進行加/解密處理���,并存入存儲器中����;步驟4、加/解密設(shè)備將加/解密的數(shù)據(jù)包以批傳送方式通過串行總線設(shè)備發(fā)送給終端��。
所述步驟1中的終端為有線終端�����、無線終端或手持終端�����。
所述步驟1中的加/解密設(shè)備與終端之間采用的數(shù)據(jù)通訊協(xié)議命令包括卡頭選擇命令字����、通訊選擇命令字�、流控制字、數(shù)據(jù)長度字�����、數(shù)據(jù)域����。
所述步驟2中的數(shù)據(jù)包為64字節(jié)�。
所述步驟3中的加/解密命令控制字的長度為2字節(jié)�。
所述步驟3中的加/解密命令控制字的低3位為進行流信息加/解密操作的通道標(biāo)識。
所述步驟3還包括對密鑰進行加/解密的步驟����。
所述步驟4中的批傳送采用中斷方式,一次傳送2-6K字節(jié)數(shù)據(jù)��。
本發(fā)明具有明顯的優(yōu)點和積極效果����。本發(fā)明采用硬件為加密載體,利用硬件設(shè)備上自帶的微處理器產(chǎn)生加/解密密鑰����,并在芯片的內(nèi)部完成對需要加/解密的數(shù)據(jù)的加/解密計算,有效地提高了大數(shù)據(jù)量在傳輸過程中的安全性��,同時本發(fā)明提供了靈活�����、快捷的通信方法�����,大大方便了用戶的使用。1����、密鑰產(chǎn)生與更換的靈活性、隨機性��。終端可利用加/解密設(shè)備內(nèi)隨機產(chǎn)生的密鑰或?qū)⒚荑€值傳送給加/解密設(shè)備進行加/解密運算���,此密鑰一經(jīng)產(chǎn)生或?qū)懭?���,就保存在硬件設(shè)備加密保護區(qū)內(nèi)���,外部無法再次讀取。當(dāng)需要更換密鑰時��,終端可發(fā)送命令由硬件設(shè)備內(nèi)部自行更新密鑰或再次將密鑰傳送設(shè)備����。同時,在密鑰的傳遞過程中也可采用加密方法保護密鑰值��,從而徹底防止了前面提到的內(nèi)存竊聽��、通訊層監(jiān)聽等攻擊方式。2����、高速、強大的數(shù)據(jù)處理能力��。本發(fā)明的加/解密設(shè)備和終端之間直接采用USB相連接�����,并且本發(fā)明設(shè)備可以支持USB全速每秒12兆字節(jié)(Mbps)的通訊速率�,或USB高速480Mbps的通訊速率。由于加/解密設(shè)備內(nèi)的微處理器是32位或以上�����,因此本發(fā)明的設(shè)備具有強大的數(shù)據(jù)運算和處理能力���;同時�,設(shè)備內(nèi)制非對稱算法協(xié)處理器模塊�����,對稱算法協(xié)處理器模塊,在進行數(shù)據(jù)加/解密運算時���,可以提高對數(shù)據(jù)的處理速度�,并且也可以緩解由于對大數(shù)據(jù)量進行計算而占用的微處理器資源�����,使微處理器可以進行其他的數(shù)據(jù)處理����,以此提高加速設(shè)備的整體運算能力。3�、使用方便靈活。采用USB接口與終端相連接����,支持即插即用���,支持熱插拔���。用戶無須在終端中安裝芯片或插入加密卡,即可實現(xiàn)對大數(shù)據(jù)量的加/解密操作��;同時��,硬件設(shè)備的安裝與拆卸非常簡單,方便了用戶的使用��。用戶只需要攜帶加/解密設(shè)備在任何一臺安裝了支持此設(shè)備的驅(qū)動程序的終端上都可享受其所提供的加/解密服務(wù)�����,如果將本發(fā)明的加/解密設(shè)備與閃存(FLASH)技術(shù)相結(jié)合使用自動運行(AUTORUN)功能��,則此設(shè)備可實現(xiàn)自動安裝驅(qū)動程序的功能�,用戶可以加更方便地使用。4����、高安全性、可靠性�����。采用硬件為加密載體�,并利用硬件設(shè)備上自帶的微處理器產(chǎn)生加/解密密鑰,并在芯片內(nèi)部完成對需要加/解密的數(shù)據(jù)的加/解密計算���,有效地提高了大數(shù)據(jù)量在傳輸過程中的安全性和可靠性���。由于本發(fā)明的加/解密設(shè)備可實現(xiàn)非對稱算法��,如1024位公開密鑰加密算法(RSA)�����、2048位RSA算法和糾錯碼算法(ECC)等���,因此,它可以與公鑰加密平臺PKI(Pubic Key Infrastructure)技術(shù)相結(jié)合��,保存用戶的公私鑰�,存放用戶的證書,并且進行簽名���、驗證���、加密及解密的計算全部由設(shè)備內(nèi)部完成。這樣更提高了系統(tǒng)的安全性�,可靠性��,實現(xiàn)真正的端對端的安全����。5��、加密智能設(shè)備的經(jīng)濟性����。本發(fā)明由于采用具有USB接口的32位或以上的微處理器的智能卡芯片���,因此大大降低了硬件成本���,本發(fā)明的設(shè)備可以是一張自帶USB接口的智能卡、電子鑰匙(USBKEY)�����、USB鼠標(biāo)���、USB鍵盤�、人工智能設(shè)備(HID)等USB外設(shè)裝置�����。
本發(fā)明可廣泛應(yīng)用于網(wǎng)絡(luò)上信息傳遞和終端硬盤數(shù)據(jù)的加密存儲或移動保護�,特別是銀行����、證券�����、保險�����、公安�、國防等對數(shù)據(jù)安全性要求較高的應(yīng)用系統(tǒng)中。也可應(yīng)用于下一代網(wǎng)絡(luò)技術(shù)Ipv6中的加/解密保護功能中����,成為現(xiàn)有網(wǎng)絡(luò)Ipv4升級到Ipv6的IP安全協(xié)議(IPSEC)加密智能設(shè)備。由于現(xiàn)有網(wǎng)絡(luò)Ipv4協(xié)議中考慮是的如何在互連網(wǎng)上實現(xiàn)互通互連�,忽略了網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩珕栴},所以���,人們在規(guī)劃下一代網(wǎng)絡(luò)協(xié)議Ipv6中��,將IPSEC引入其中�����,并成為網(wǎng)際協(xié)議(IP)數(shù)據(jù)包中必須要有的加/解密保護功能�。本發(fā)明中加/解密智能設(shè)備可提供對大數(shù)據(jù)量的高速對稱加/解密��、非對稱加/解密的特性���,將會成為下一代網(wǎng)絡(luò)中IPSEC加/解密功能的有利補充��。
圖1是本發(fā)明的加/解密設(shè)備的構(gòu)成模塊圖�;圖2是本發(fā)明的加解設(shè)備與終端之間進行通訊的原理示意圖����;圖3是本發(fā)明的加/解密設(shè)備通訊協(xié)議與其它部分關(guān)系示意圖;圖4是本發(fā)明的加/解密設(shè)備通信數(shù)據(jù)處理方法流程�;圖5是本發(fā)明的主流程圖;圖6是終端利用加/解密設(shè)備對大數(shù)據(jù)量加/解密的流程圖�����;圖7是基于手機的加/解密設(shè)備數(shù)據(jù)加/解密過程示意圖�����。
具體實施例方式
下面結(jié)合說明書附圖來說明本發(fā)明的具體實施方式
����。
如圖1所示����,本發(fā)明加/解密設(shè)備的構(gòu)成模塊圖���。包括微處理器�,閃存FLASH���、電可擦出只讀存儲器EEPROM�����、靜態(tài)存儲器SRAM塊�����、乘法協(xié)處理器模塊��、存儲管理保護模塊���、安全檢測與保護模塊、非對稱算法協(xié)處理器���、對稱算法協(xié)處理器�����、隨機數(shù)函數(shù)發(fā)生器���、時鐘處理模塊、電源管理模塊���、中斷控制器����、定時器��,此智能設(shè)備中的微處理器�、FLASH、EEPROM����、SRAM、乘法協(xié)處理器���、存儲管理保護模塊與數(shù)據(jù)總線相連���,并通過橋連接器與連接到數(shù)據(jù)總線的安全檢測與保護模塊����、非對稱算法協(xié)處理器���、對稱算法協(xié)處理器���、隨機數(shù)函數(shù)發(fā)生器、時鐘處理模塊����、電源管理模塊、中斷控制器����、定時器相連接,它還包括外部通訊接口模塊��,通訊接口模塊都可分別通過數(shù)據(jù)總線與微處理器����、FLASH、EEPROM、SRAM4����、乘法協(xié)處理器、存儲管理保護模塊�����、安全檢測與保護模塊�����、非對稱算法協(xié)處理器�、對稱算法協(xié)處理器相連��,用于在加/解密設(shè)備與外部終端之間傳遞數(shù)據(jù)���。外部通訊接口模塊包括通用串行總線架構(gòu)接口模塊�、ISO7816接口模塊��。
本發(fā)明的加/解密設(shè)備所采用的芯片是一個基于32位或以上的精簡指令及計算機(RISC)處理器的高安全芯上系統(tǒng)(SOC)芯片����,具備高處理能力、高安全性、低功耗����、低成本等特點。該芯片關(guān)鍵特性一��、處理器性能�����。微處理器為專門定制的高安全CPU核��,它是32位或以上的RISC�����,采用5級流水線���,頻率可變���,主頻可工作在100MHz以上,硬件有乘法協(xié)處理器����;微處理器采用整體安全概念,具有優(yōu)異的安全性能和處理能力;它采用高性能的高速緩沖存儲器(CACHE)��,包括1K字節(jié)指令CACHE和1K字節(jié)數(shù)據(jù)CACHE����;存儲管理和保護單元(MMU)可以配置關(guān)閉,關(guān)閉后支持段管理模式�����,最大支持空間為128MB�����,面向應(yīng)用的存儲分區(qū)����,支持可變頁長�����,采用多級查找結(jié)構(gòu)��,支持虛擬存儲空間管理���,支持硬件安全訪問控制�,外圍組件訪問受控。
二����、芯上存儲單元。本發(fā)明的電可擦出只讀存儲器(EEROM)為32KB�,用于數(shù)據(jù)和程序的存儲空間,可進行單字節(jié)的讀�、擦除、寫����,可進行單字節(jié)或多字節(jié)最大為64字節(jié)的擦除、寫��,最少擦寫次數(shù)30萬次���,室溫下數(shù)據(jù)保持時間最少10年���,在擦寫性能方面,單字節(jié)寫時間為20微秒(us)��,頁擦除時間為4毫秒(ms)�����,EEPROM的編程電壓在芯片內(nèi)產(chǎn)生。FLASH為128KB����,用于存儲、函數(shù)庫以及設(shè)備驅(qū)動存儲空間�����,128字節(jié)頁的擦除���、寫�,最少檫寫次數(shù)2萬次����,室溫下數(shù)據(jù)保持時間最少10年��,擦寫性能為單字節(jié)寫時間20us�,頁擦除時間4ms,其靜態(tài)存儲器大小為8KB�。
三、外圍組件����。外圍組件包括1���、硬件糾錯碼(ECC)協(xié)處理器。2����、硬件數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)協(xié)處理器。硬件數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)協(xié)處理器支持DES���、包括2KEY和3KEY的3DES算法的加密解密����,支持電子密本方式(EBC)和鏈?zhǔn)綁K處理方式(CBC)的加密和解密����,優(yōu)化的數(shù)據(jù)傳送通道,端口數(shù)據(jù)加/解密速度雙向達到3Mbps�。3、高速真隨機數(shù)發(fā)生器�����。其隨機數(shù)發(fā)生碼率為2Mbps��,通過國家密碼管理委員會辦公室測試。4��、USB接口���。它支持USB1.1協(xié)議全速率或更高�,支持三端點�,每一個端點支持雙緩沖器(Buffer),端口利用率高���,有1個串行接口�,符合ISO7816-3標(biāo)準(zhǔn)����,時鐘最大支持5MHz,速率最高支持310Kbps�����,1個GPIO接口��,2個32位定時器�,內(nèi)置振蕩控制器和相同步邏輯(PLL)�,可外部接4MHz晶體����,支持上電復(fù)位�。
四、安全特性���。具有硬件存儲管理和保護��、高低電壓檢測�����、高低頻率檢測�����、防止差分能量分析/靜態(tài)能量分析(DPA/SPA)攻擊�����、存儲區(qū)域加密�、總線加擾����、時鐘和復(fù)位信號脈沖過濾����、安全優(yōu)化布線功能�����,每一個芯片唯一序列號���。
五��、電氣特性��。整個芯片的功耗小于200mw(5V情況下)���,3級低功耗模式控制,即維持模式�����、休眠模式�����、掉電模式。電源有ISO模式2.7-5.5V和USB模式3.6V-5.5V��。防靜電技術(shù)指標(biāo)(ESD)保護在4000V以上���。芯片管腳導(dǎo)線接出(Bond)位置符合ISO7816-2規(guī)范。
如圖2所示�����,本發(fā)明的加解設(shè)備與終端之間進行通訊的原理示意圖�����。終端包括有線終端�����、無線終端�����,手持終端���、手機等�����,由圖可見����,加/解密設(shè)備通過USB接口與移動終端進行數(shù)據(jù)信息的傳遞。
如圖3所示�����,本發(fā)明的加/解密設(shè)備通訊協(xié)議與其它部分關(guān)系示意圖��。加/解密設(shè)備采用USB接口進行通訊��,所以和其它USB設(shè)備一樣�,需要有對應(yīng)的驅(qū)動程序支持,以保證設(shè)備在終端操作系統(tǒng)上正常運行����。由于此設(shè)備要對大量信息數(shù)據(jù)進行處理,因此需要在其自身的驅(qū)動程序中增加處理大數(shù)據(jù)量的功能����。本發(fā)明在USB接口通訊時,使用特殊的數(shù)據(jù)通訊協(xié)議命令包���,其格式為“NAD PCBSTR LEN DATA BCC”�����,其中NAD是卡頭選擇命令字����,BCB是通訊選擇命令字��,STR是流控制字�����,LEN是數(shù)據(jù)長度字��,DATA是數(shù)據(jù)域�����,BCC是校驗字�,對數(shù)據(jù)進行編碼后傳遞,以保證數(shù)據(jù)高速��、完整的傳遞���,提高大數(shù)據(jù)量的加/解密速度�。加/解密設(shè)備加/解密數(shù)據(jù)流命令包報文編碼及功能如表1所示表1加/解密數(shù)據(jù)流命令包報文編碼及功能表
加/解密設(shè)備返回主機數(shù)據(jù)域中可能回送的狀態(tài)碼如表2所示表2返回主機數(shù)據(jù)域中可能回送的狀態(tài)碼表
圖4所示是本發(fā)明的加/解密設(shè)備通信數(shù)據(jù)處理方法流程圖。用戶在終端調(diào)用加/解密設(shè)備對應(yīng)的動態(tài)庫編寫對應(yīng)的應(yīng)用程序���,動態(tài)庫除了提供給用戶基本的針對智能卡的操作函數(shù)功能如設(shè)備通訊��、控制����、操作等外�����,還提供一個專門的處理大數(shù)據(jù)量的加/解密的功能函數(shù)����。結(jié)合表1和表2所示,本發(fā)明在加/解密設(shè)備加/解密數(shù)據(jù)流命令包中定義了設(shè)備傳輸所需要的流控制字(STR)��,此控制字的作用是區(qū)分用戶是在使用基本的智能卡命令操作設(shè)備還是在使用流加/解密命令對設(shè)備進行操作�����,基本智能卡命令符合ISO 7816規(guī)范��,流加/解密命令不符合ISO 7816規(guī)范。另外����,定義LEN命令字為兩字節(jié),其目的是要增加數(shù)據(jù)Data的字節(jié)數(shù)量���,保證加/解密命令可以盡可能多地處理數(shù)據(jù)�。
如圖5所示����,圖5是本發(fā)明的主流程圖��。終端將需要處理的數(shù)據(jù)通過動態(tài)庫下傳給設(shè)備驅(qū)動層����,驅(qū)動層按照通訊協(xié)議命令將數(shù)據(jù)整合后,繼續(xù)傳給終端自帶的USB底層驅(qū)動(USBD)和終端中USB硬件控制器接口(UHCI/E)層�����,UHCI/E為標(biāo)準(zhǔn)的USB設(shè)備����。在此����,數(shù)據(jù)被分別拆分為多個64字節(jié)的數(shù)據(jù)包���,并分別按照數(shù)據(jù)包的先后順序發(fā)送給加/解密設(shè)備�。加/解密設(shè)備采用中斷方式接收終端下發(fā)的數(shù)據(jù)包�。當(dāng)設(shè)備端的USB硬件接口USB IF接收到第一個數(shù)據(jù)包時,程序開始處理判斷此數(shù)據(jù)包中是否包含加/解密命令控制字��。如果包含�����,則進行大數(shù)據(jù)量信息的處理�;否則就使用現(xiàn)有基本處理方式處理數(shù)據(jù)。在大數(shù)據(jù)量信息處理中��,程序通過加/解密設(shè)備中的固件(Firmware)調(diào)用智能卡操作系統(tǒng)(COS)中的對稱或非對稱算法加/解密函數(shù)對數(shù)據(jù)信息進行處理�����。同時�����,采用中斷方式不斷接受終端的數(shù)據(jù),以節(jié)省傳輸數(shù)據(jù)所用的時間���,提高流處理速度�。最后�,將加/解密智能終端處理完成的數(shù)據(jù)批量上傳給終端。
USB有四種傳輸類型�����。1��、控制傳送��?�?刂苽魉褪请p向傳送�,數(shù)據(jù)量通常比較小�����。USB系統(tǒng)程序用來主要進行查詢�����、配置和給USB設(shè)備發(fā)送通用的指令。該傳送方式可以包括8����、16、32以及64字節(jié)的數(shù)據(jù)��,這依賴于USB設(shè)備和傳輸速率��?�?刂苽鬏?shù)湫偷赜糜谥饔嬎銠C和USB外設(shè)之間的端點(Endpoint)0之間的傳輸���。2��、同步傳送���。同步傳輸提供了確定的帶寬和間隔時間(Latency)。它被用于時間嚴(yán)格并具有較強容錯性的流數(shù)據(jù)傳輸����,或者用于要求恒定的數(shù)據(jù)傳送率的即時應(yīng)用中。例如在執(zhí)行即時通話的網(wǎng)絡(luò)電話應(yīng)用時����,使用同步傳輸模式是較好的選擇�����。同步數(shù)據(jù)要求確定的帶寬值和確定的最大傳送次數(shù)���。對于同步傳送來說,即時的數(shù)據(jù)傳遞比準(zhǔn)確的數(shù)據(jù)精度和數(shù)據(jù)的完整性更重要一些�。3、中斷傳送(Interrupt)方式傳送����。中斷方式傳輸主要用于定時查詢設(shè)備是否有中斷數(shù)據(jù)要傳送。設(shè)備的端點模式器的結(jié)構(gòu)決定了它的查詢頻率�,在1ms-255ms之間。這種傳輸方式典型地應(yīng)用在少量的���、分散的、不可預(yù)測數(shù)據(jù)的傳輸���。鍵盤�����、操縱桿和鼠標(biāo)就屬于這一類型���。中斷方式傳送是單向的并且對于主計算機(Host)來說只有輸入的方式����。在本實施例中�,可以一次傳送2-6K字節(jié)數(shù)據(jù)。4�、批傳送。該方式主要應(yīng)用在數(shù)據(jù)大量傳送和接收數(shù)據(jù)上�����,同時又沒有帶寬和間隔時間要求的情況下�����,要求保證傳輸����。打印機和掃描儀屬于這種類型。這種類型的設(shè)備適合于傳輸非常慢和大量被延遲的傳輸���,可以等到所有其他類型的數(shù)據(jù)的傳送完成之后再傳送和接收數(shù)據(jù)��。
本發(fā)明選用USB傳輸類型中的中斷傳送和批傳送相結(jié)合的方式�,即中斷方式接受數(shù)據(jù),批傳送方式輸出數(shù)據(jù)�。這種通信方式提高了加/解密設(shè)備的大數(shù)據(jù)量加/解密處理速度。
請參閱如圖6�����、圖7��,圖6是終端利用加/解密設(shè)備對大數(shù)據(jù)量加/解密的流程圖��,圖7是基于手機的加/解密設(shè)備數(shù)據(jù)加/解密過程示意圖�����。在圖7中��,主計算機接收手機通過全球通(GSM)網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包并保存在緩存(RAM)區(qū)�,等待處理,手機終端準(zhǔn)備流數(shù)據(jù)���;手機終端獲得設(shè)備的控制權(quán)(Handle)��,通過密鑰認(rèn)證取得設(shè)備的控制權(quán);判斷是否獲得設(shè)備的控制權(quán)?沒有則向應(yīng)用程序報告�����,是則發(fā)送加/解密數(shù)據(jù)流命令����;進一步判斷是否接到數(shù)據(jù)返回9000,否則向應(yīng)用程序報告���,是則關(guān)閉加/解密數(shù)據(jù)流命令并向應(yīng)用程序報告����。隨著無線技術(shù)�����,電信技術(shù)的發(fā)展�,手機的功能也是越來越強。加/解密設(shè)備本身也可以以短信中心(SIM)卡的形態(tài)提供給用戶在手機中使用����。利用此加密智能設(shè)備的強大數(shù)據(jù)處理能力,手機上的語音信息��,短信信息都可以采用加密方式在無線網(wǎng)絡(luò)中傳輸,這樣可以保護用戶的個人信息無法被攻擊者竊取����。
以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明�,對于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化�。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改��、等同替換�����、改進等�����,均應(yīng)包含在本發(fā)明的權(quán)利要求范圍之內(nèi)��。
權(quán)利要求
1.一種分離式大數(shù)據(jù)量加/解密設(shè)備����,包括微處理器、電可擦除只讀數(shù)據(jù)存儲器��、靜態(tài)存儲器、閃存����、乘法協(xié)處理器����、存儲管理保護模塊、安全檢測與保護模塊�����、非對稱算法協(xié)處理器��、對稱算法協(xié)處理器�、隨機數(shù)函數(shù)發(fā)生器、時鐘處理模塊�����、電源管理模塊��、中斷控制器�、定時器,所述微處理器����、可擦除只讀數(shù)據(jù)存儲器�����、靜態(tài)存儲器���、閃存、乘法協(xié)處理器����、存儲管理保護模塊通過核心數(shù)據(jù)總線相連,并通過橋連接器與其它與連接有安全檢測與保護模塊����、非對稱算法協(xié)處理器塊、對稱算法協(xié)處理器��、隨機數(shù)函數(shù)發(fā)生器�����、時鐘處理模塊�,電源管理模塊、中斷控制模塊�、定時器的外圍總線相連接�,其特征在于���,該設(shè)備還包括一外部通訊接口模塊�,外部通訊接口模塊連接外圍數(shù)據(jù)總線�����,用于在加/解密設(shè)備與外部終端之間傳遞數(shù)據(jù)���。
2.根據(jù)權(quán)利要求1所述的分離式大數(shù)據(jù)量加/解密設(shè)備,其特征在于����,所述微處理器為至少為32位的多級流水線精簡指令計算處理器,能支持硬件的安全訪問控制和外圍組件的訪問控制�����。
3.根據(jù)權(quán)利要求1所述的分離式大數(shù)據(jù)量加/解密設(shè)備�,其特征在于,所述外部通訊接口模塊至少包括通用串行總線架構(gòu)接口模塊�、ISO7816接口模塊。
4.一種分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法�,其特征在于���,該方法包括以下步驟步驟1、加/解密設(shè)備接受終端發(fā)送的需要進行加/解密處理的數(shù)據(jù)包�;步驟2、通用串行總線設(shè)備將數(shù)據(jù)包存儲到加/解密設(shè)備的存儲器中���;步驟3�、微處理器判斷數(shù)據(jù)包中是否包含加/解密命令控制字�,不是則用基本處理方式處理數(shù)據(jù),是則根據(jù)加解密設(shè)備存儲器中的密鑰調(diào)用對稱或非對稱算法加/解密函數(shù)對數(shù)據(jù)進行加/解密處理�����,并存入存儲器中���;步驟4�����、加/解密設(shè)備將加/解密的數(shù)據(jù)包以批傳送方式通過串行總線設(shè)備發(fā)送給終端��。
5.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法�����,其特征在于��,所述步驟1中的終端為有線終端����、無線終端或手持終端。
6.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法����,其特征在于���,所述步驟1中的加/解密設(shè)備與終端之間采用的數(shù)據(jù)通訊協(xié)議命令包括卡頭選擇命令字��、通訊選擇命令字����、流控制字�����、數(shù)據(jù)長度字�����、數(shù)據(jù)域。
7.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法����,其特征在于,所述步驟2中的數(shù)據(jù)包為64字節(jié)�����。
8.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法�,其特征在于,所述步驟3中的加/解密命令控制字的長度為2字節(jié)�。
9.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法,其特征在于��,所述步驟3中的加/解密命令控制字的低3位為進行流信息加/解密操作的通道標(biāo)識����。
10.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法��,其特征在于�����,所述步驟3還包括對密鑰進行加/解密的步驟。
11.根據(jù)權(quán)利要求4所述的分離式大數(shù)據(jù)量加/解密設(shè)備加/解密實現(xiàn)方法��,其特征在于����,所述步驟4中的批傳送采用中斷方式,一次傳送2-6K字節(jié)數(shù)據(jù)��。
全文摘要
本發(fā)明為一種分離式大數(shù)據(jù)量加/解密設(shè)備及實現(xiàn)方法�����。包括微處理器��、存儲器�����、安全檢測與保護模塊�����、協(xié)處理器�����、隨機數(shù)函數(shù)發(fā)生器���、中斷控制器等��,還包括一外部通訊接口模塊���,它連接外圍數(shù)據(jù)總線,用于在加/解密設(shè)備與外部終端之間傳遞數(shù)據(jù)���。加/解密設(shè)備接受終端發(fā)送的需要進行加/解密處理的數(shù)據(jù)包��;通用串行總線設(shè)備將數(shù)據(jù)包存儲到加/解密設(shè)備的存儲器中����;微處理器判斷數(shù)據(jù)包中是否包含加/解密命令控制字��,不是則用基本處理方式處理數(shù)據(jù)�,是則調(diào)用對稱或非對稱算法加/解密函數(shù)對數(shù)據(jù)進行加/解密處理,并存入存儲器��;加/解密設(shè)備將加/解密的數(shù)據(jù)包以批傳送方式通過串行總線設(shè)備發(fā)送給終端�����。本發(fā)明可處理大數(shù)據(jù)量,安全性高��,使用靈活方便���。
文檔編號G06F21/60GK1878055SQ20051007486
公開日2006年12月13日 申請日期2005年6月7日 優(yōu)先權(quán)日2005年6月7日
發(fā)明者胡鵬, 李勇 申請人:北京握奇數(shù)據(jù)系統(tǒng)有限公司