專利名稱:智能密碼鑰匙系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
智能密碼鑰匙系統(tǒng)技術(shù)領(lǐng)域[0001]本實用新型涉及一種密碼系統(tǒng)��。
技術(shù)背景[0002]隨著Internet技術(shù)的迅猛發(fā)展�,世界已經(jīng)進入了網(wǎng)絡(luò)時代����,網(wǎng)絡(luò)不僅是人們信息 交互、信息索取、娛樂休閑的平臺�,也逐漸成為商務(wù)活動、政務(wù)活動的平臺�����,傳統(tǒng)的商 務(wù)活動����、政務(wù)活動紛紛利用網(wǎng)絡(luò)這一方便而快捷的載體來完成。但網(wǎng)絡(luò)的虛擬性����、無政 府性使得這些活動處于危險之中,沒有一定的安全技術(shù)保障�,電子商務(wù)、電子政務(wù)就無 法健康發(fā)展�����。以數(shù)字證書應(yīng)用為基礎(chǔ)的PKI技術(shù)正是這樣的信息安全技術(shù)��,它采用數(shù)據(jù) 加密��、解密��、數(shù)字簽名、身份認證等技術(shù)為電子商務(wù)�����、電子政務(wù)的開展提供安全保障����。[0003]2004年我國頒布了《電子簽名法》,從法律的角度肯定了 PKI技術(shù)的有效性��。 近年來��,我國電子商務(wù)平臺����、電子政務(wù)平臺���、電子辦公平臺���、電子娛樂平臺的建設(shè)發(fā)展 迅速,這使得基于PKI技術(shù)的信息安全市場發(fā)展迅猛��,代表性的事件就是眾多數(shù)字證書 認證中心(CA中心)的建設(shè)和應(yīng)用����。這些CA有區(qū)域性的�、有行業(yè)性的�,證書發(fā)放量逐 年迅速增加,許多CA的證書發(fā)放量已呈年百萬數(shù)量級的增長�,這說明基于數(shù)字證書的應(yīng) 用開始高速發(fā)展。當前�����,社會上急需數(shù)字證書應(yīng)用的產(chǎn)品和解決方案�。[0004]隨著電子商務(wù)、電子政務(wù)應(yīng)用的推廣����,PKI技術(shù)的應(yīng)用越來越重要。通過使用數(shù) 字證書可以實現(xiàn)網(wǎng)絡(luò)應(yīng)用上的強身份認證����;可以實現(xiàn)關(guān)鍵數(shù)據(jù)存儲中或傳送中的加密保 護,以保證數(shù)據(jù)的機密性���;關(guān)鍵的業(yè)務(wù)可以做電子簽名��,以實現(xiàn)業(yè)務(wù)活動的防抵賴���。作 為數(shù)字證書載體的智能密碼鑰匙可以硬件方式保證密鑰和證書應(yīng)用的安全���。實用新型內(nèi)容[0005]本實用新型的技術(shù)效果能夠克服上述缺陷,提供一種智能密碼鑰匙系統(tǒng)����,其使 用方便,安全性能高�。[0006]為實現(xiàn)上述目的,本實用新型采用如下技術(shù)方案其包括安全芯片模塊�����、傳輸 管理模塊�、指令解析模塊、文件管理模塊��,安全芯片模塊與傳輸管理模塊之間通過USB 接口連接���,傳輸管理模塊通過指令解析模塊與文件管理模塊連接,指令解析模塊連接安 全通信模塊�����,文件管理模塊連接權(quán)限管理模塊。[0007]其中傳輸管理模塊�、指令解析模塊、文件管理模塊組成了命令處理的主流程�����, 安全通信模塊����、權(quán)限管理模塊分別為對應(yīng)的模塊提供功能支持。任意一個模塊如果在處 理中發(fā)現(xiàn)錯誤都將返回相應(yīng)的出錯信息�����。[0008]傳輸管理模塊負責智能密碼鑰匙和接口設(shè)備之間的數(shù)據(jù)通信�,接收過程中要對 輸入數(shù)據(jù)進行緩沖處理,應(yīng)答過程中負責數(shù)據(jù)的發(fā)送���。智能密碼鑰匙(32位)使用USB Mass Storage協(xié)議與接口設(shè)備之間傳輸數(shù)據(jù)���。傳輸管理模塊在正確地接收到命令后,首 先判斷數(shù)據(jù)是否符合協(xié)議約定�,不符合將直接返回錯誤,符合則交給下一個模塊進行處 理���,之后等待下一模塊的返回��,最后把返回的結(jié)果數(shù)據(jù)按規(guī)定的協(xié)議格式返回給接口設(shè)[0009]指令解析模塊對外部輸入的每條命令做語法分析����,分析和檢查命令參數(shù)是否正 確,然后根據(jù)命令參數(shù)的含義執(zhí)行相應(yīng)的功能模塊���,功能模塊處理完成后��,數(shù)據(jù)返回到 指令解析模塊�,由本模塊將數(shù)據(jù)傳送給傳輸管理模塊��。如果發(fā)現(xiàn)參數(shù)有錯��,將從該模塊 直接返回錯誤信息���。若數(shù)據(jù)以非明文方式傳送�����,則調(diào)用安全通信模塊進行對應(yīng)的加解密 或驗證處理,處理后數(shù)據(jù)返回到指令解析模塊����。本模塊負責對通信數(shù)據(jù)的加解密處理���, 為指令解析模塊提供功能支持。命令數(shù)據(jù)和響應(yīng)數(shù)據(jù)在傳輸方式上有四種類型明文方 式���、明文校驗方式�、密文方式和密文校驗方式�����。除明文方式進行傳輸?shù)臄?shù)據(jù)外����,其他數(shù) 據(jù)均由指令解析模塊送給本模塊處理,結(jié)果數(shù)據(jù)將交還給指令解析模塊�。[0010]文件管理模塊負責對文件的操作和訪問。在做數(shù)據(jù)操作前���,文件管理模塊首先 獲取文件的安全屬性���,然后通過權(quán)限管理模塊檢查智能密碼鑰匙的安全狀態(tài)是否與該屬 性匹配,以確定操作的可行性��。文件的安全屬性和文件結(jié)構(gòu)一旦產(chǎn)生便處于文件管理模 塊和權(quán)限管理模塊的控制之下。[0011]安全芯片模塊采用SSX20-E型號芯片�����。SSX20-E芯片已通過國密局的安全性審 查�����。該芯片采用了專門定制的國產(chǎn)高安全核Arca2sc��,采用32位RISC處理器����,支持5級 流水線指令,頻率可變����,最高支持96MHz,支持硬件安全訪問控制�����,具備高處理能力�����、 高安全性�����、低功耗等特性����。智能密碼鑰匙支持國密局認可的國產(chǎn)對稱算法,符合國家相 關(guān)規(guī)定����,算法可以下載到SSX20-E芯片內(nèi)部存儲區(qū)供COS調(diào)用,算法存儲區(qū)域為只能執(zhí) 行���,不可讀不可寫��。[0012]智能密碼鑰匙通過嚴格的安全機制�����,保證在任何情況下存儲的密鑰不被讀出���。 智能密碼鑰匙內(nèi)使用有加密邏輯的FLASH區(qū)域存儲智能密碼鑰匙內(nèi)核心程序,防止非 法讀出。智能密碼鑰匙內(nèi)可以設(shè)置不同的口令等級����,分別賦予不同的權(quán)限,實現(xiàn)權(quán)限分 割����,可以實現(xiàn)不同的管理等級。驗證口令通過以后���,才能獲得相關(guān)權(quán)限�����,對智能密碼鑰 匙中保存的數(shù)據(jù)以及密鑰進行訪問��,以保證設(shè)備內(nèi)數(shù)據(jù)和程序的安全性��。[0013]智能密碼鑰匙的整體性價比較高��,可以在市場上有較強的競爭力����。研制的片內(nèi) 操作系統(tǒng)����,提供了豐富的命令集��,并支持國家密碼管理局制定的抽象層接口規(guī)范�,這使 得該產(chǎn)品為用戶提供了較好的適用性����,功能容易擴展�����。另外還提供豐富的上層接口和應(yīng) 用工具�,以滿足用戶多方面的應(yīng)用需求。[0014]安全芯片模塊包括微處理器����、公鑰算法模塊、隨機數(shù)發(fā)生器�、存儲單元、USB 設(shè)備控制器��,微處理器分別與公鑰算法模塊����、隨機數(shù)發(fā)生器、存儲單元、USB設(shè)備控制 器連接���;安全芯片模塊通過USB設(shè)備控制器與USB接口連接���。指令解析模塊與安全通 信模塊之間通過明文方式或明文校驗方式或密文方式或密文校驗方式傳輸數(shù)據(jù)。[0015]微處理器采用了專門定制的高安全的CPU核Arca2SC��,32位的RISC�����,具有5級 流水線���,頻率可變���,主頻最高可工作在96MHz ;具備高性能CACHE�,包括IK字節(jié)指令 CACHE和IK字節(jié)數(shù)據(jù)CACHE ;具備存儲管理和保護單元(MMU)�����。[0016]存儲單元���,256K FLASH用于程序�、函數(shù)庫和不常變動數(shù)據(jù)的存儲,頁面大小 為IK字節(jié)����,最少擦寫次數(shù)10萬次,室溫下數(shù)據(jù)保存時間最少100年�����;RAM空間大小為 8KB����。32KB的EEPROM用于數(shù)據(jù)和程序存儲�,可進行單字節(jié)/字/多字節(jié)的讀、擦除��、 寫操作���,最少擦寫次數(shù)30萬次��,室溫下數(shù)據(jù)保存時間最少100年���。[0017]公鑰算法模塊�,實現(xiàn)了 RSA公鑰算法所必須的模乘���、模冪運算���。支持 U8-1024bit模乘、模冪運算�����,支持AHB總線與運算核雙時鐘�,運算核時鐘可以是AHB 總線時鐘的1、2���、4倍��,最高96MHz��,計算10 模冪最大計算速度為75次/秒@96MHZ 主頻���,AHB總線接口,支持中斷方式����。[0018]隨機數(shù)發(fā)生器�,安全芯片模塊內(nèi)部集成1個32位的隨機數(shù)發(fā)生器用于隨機密鑰 的產(chǎn)生�,隨機數(shù)發(fā)生器模塊由控制寄存器RNGCTRL,數(shù)據(jù)寄存器RNGDATA�,控制電路 以及模擬電路rng-ip組成。模擬電路rng-ip組成采用非線形的RC振蕩以產(chǎn)生非固定頻 率的時鐘��,發(fā)生器的初始值不定��,隨機發(fā)生器工作通過隨機數(shù)控制寄存器RNGCTRL設(shè) 定并啟動���,產(chǎn)生的隨機數(shù)保存在數(shù)據(jù)寄存器RNGDATA�。[0019]USB設(shè)備控制器�,安全芯片模塊內(nèi)部集成了 USB設(shè)備控制器��,提供了 USB功能 設(shè)備與USB主機之間的接口�。兼容USB1.1協(xié)議,支持全速率(12Mbps)的發(fā)送速率�����, 支持硬件處理USB Specification中的部分標準請求�;支持懸掛/恢復(fù)以及遠端喚醒邏輯; 支持一個配置端口和兩個具有一個可替換設(shè)置的接口 ���;支持4個物理端點(端點0�,1, 2�����,3)和5個邏輯端點(IN端點0���,1���,3,OUT端點0�,2);支持控制傳輸�、批量傳輸和 中斷傳輸。[0020]智能密碼鑰匙采用自主開發(fā)的片內(nèi)操作系統(tǒng)�����,嚴格按照相關(guān)標準實現(xiàn)片內(nèi)文件 系統(tǒng)結(jié)構(gòu)���,支持二進制文件��、記錄文件���、安全文件���、RSA文件等各種文件格式,并對 COS處理流程進行了有效的優(yōu)化��,可以為用戶提供全面高效的數(shù)據(jù)管理和不同層次的安 全加密服務(wù)���。智能密碼鑰匙(32位)采用了標準的USB接口���,可以用在任何支持USB通 信的環(huán)境中,另外配合豐富的上層接口�����,智能密碼鑰匙可以方便的支持多種應(yīng)用��,真正 實現(xiàn)一智能密碼鑰匙多用���。
[0021]圖1為本實用新型的模塊示意圖;[0022]圖2為本實用新型的安全芯片模塊的模塊示意圖��。
具體實施方式
[0023]本系統(tǒng)包括安全芯片模塊��、傳輸管理模塊、指令解析模塊�����、文件管理模塊�,安 全芯片模塊與傳輸管理模塊之間通過USB接口連接,傳輸管理模塊通過指令解析模塊 與文件管理模塊連接���,指令解析模塊連接安全通信模塊���,文件管理模塊連接權(quán)限管理模 塊。[0024]安全芯片模塊采用SSX20-E型號芯片����。安全芯片模塊包括微處理器、公鑰算 法模塊�����、隨機數(shù)發(fā)生器�、存儲單元、USB設(shè)備控制器�����,微處理器分別與公鑰算法模塊、 隨機數(shù)發(fā)生器�、存儲單元、USB設(shè)備控制器連接�����;安全芯片模塊通過USB設(shè)備控制器與 USB接口連接��。指令解析模塊與安全通信模塊之間通過明文方式或明文校驗方式或密文 方式或密文校驗方式傳輸數(shù)據(jù)�����。[0025]本系統(tǒng)的工作流程如下[0026]1.智能密碼鑰匙的安全芯片模塊在上電后�����,開始運行COS系統(tǒng)�����,由COS對各部 件進行初始化操作��。[0027]2.初始化完成后�,COS進入傳輸管理模塊,等待接收指令數(shù)據(jù)�。當有接口設(shè)備 發(fā)送操作指令時,傳輸管理模塊會接受到指令數(shù)據(jù)�����,之后判斷數(shù)據(jù)格式是否符合通信協(xié) 議�,若不符合則返回錯誤,符合則將數(shù)據(jù)交給指令解析模塊進行處理���。[0028]3.指令解析模塊解析指令碼和參數(shù)是否正確�����,正確則將數(shù)據(jù)交付給文件管理模 塊��,不正確則返回錯誤�����。如果指令非明文模式��,則先調(diào)用安全通信模塊對數(shù)據(jù)進行處 理����,處理結(jié)果返回到指令解析模塊后再交付給文件管理模塊。[0029]4.在文件管理模塊主要是根據(jù)具體指令碼調(diào)用對應(yīng)的處理模塊��,如創(chuàng)建文件��、 讀取二進制文件等文件操作��,操作需要調(diào)用權(quán)限管理模塊判斷操作能否執(zhí)行���。各處理模 塊的處理結(jié)果(包括返回的錯誤)經(jīng)由指令解析模塊返回到傳輸管理模塊�,若返回數(shù)據(jù)非 明文傳送方式�����,則首先調(diào)用安全通信模塊進行處理���。[0030]5.返回的處理結(jié)果由傳輸管理模塊重新進行組裝�,以符合傳輸協(xié)議格式��,之后 發(fā)送應(yīng)答數(shù)據(jù)給接口設(shè)備�。至此已完成一條指令的處理,隨后系統(tǒng)返回到等待接收指令 狀態(tài)���,開始另一次處理循環(huán)�����。[0031]在傳輸管理模塊和指令解析模塊產(chǎn)生的錯誤也都是由傳輸管理模塊進行組裝后 返回給接口設(shè)備����。
權(quán)利要求1.一種智能密碼鑰匙系統(tǒng)��,其特征在于�����,包括安全芯片模塊�、傳輸管理模塊、指令 解析模塊��、文件管理模塊���,安全芯片模塊與傳輸管理模塊之間通過USB接口連接�����,傳輸 管理模塊通過指令解析模塊與文件管理模塊連接��,指令解析模塊連接安全通信模塊�,文 件管理模塊連接權(quán)限管理模塊。
2.根據(jù)權(quán)利要求1所述的智能密碼鑰匙系統(tǒng)�����,其特征在于����,安全芯片模塊采用 SSX20-E型號芯片。
3.根據(jù)權(quán)利要求2所述的智能密碼鑰匙系統(tǒng)��,其特征在于�����,安全芯片模塊包括微處理 器�、公鑰算法模塊、隨機數(shù)發(fā)生器�����、存儲單元����、USB設(shè)備控制器,微處理器分別與公鑰 算法模塊����、隨機數(shù)發(fā)生器�、存儲單元����、USB設(shè)備控制器連接�����;安全芯片模塊通過USB設(shè) 備控制器與USB接口連接�����。
專利摘要本實用新型涉及一種密碼系統(tǒng)�。本實用新型的智能密碼鑰匙系統(tǒng),包括安全芯片模塊���、傳輸管理模塊��、指令解析模塊�����、文件管理模塊�,安全芯片模塊與傳輸管理模塊之間通過USB接口連接,傳輸管理模塊通過指令解析模塊與文件管理模塊連接��,指令解析模塊連接安全通信模塊�,文件管理模塊連接權(quán)限管理模塊。本系統(tǒng)可以為用戶提供全面高效的數(shù)據(jù)管理和不同層次的安全加密服務(wù)��。智能密碼鑰匙(32位)采用了標準的USB接口����,可以用在任何支持USB通信的環(huán)境中,另外配合豐富的上層接口�����,智能密碼鑰匙可以方便的支持多種應(yīng)用�,真正實現(xiàn)一智能密碼鑰匙多用。
文檔編號G06F21/00GK201804336SQ20102029788
公開日2011年4月20日 申請日期2010年8月17日 優(yōu)先權(quán)日2010年8月17日
發(fā)明者杜長河, 王振剛, 陳大偉 申請人:青島高校信息產(chǎn)業(yè)有限公司