本发明专利技术公开一种数据处理装置及数据处理方法,该方法包含以下步骤:藉由一处理器接收一对称加密密钥;以及当一应用程序需要使用一用户私钥时,藉由处理器执行一硬件加解密指令集中的一加解密指令,加解密指令用以应用对称加密密钥对应用程序对应的一私钥包裹进行解密,以取得用户私钥。其中,对称加密密钥存储在处理器的一特殊模块寄存器中。
Data Processing Device and Data Processing Method
【技术实现步骤摘要】
数据处理装置及数据处理方法
本申请涉及一种安全存储密钥的技术,特别涉及一种适用于硬件加解密指令所涉及的密钥的一种数据处理装置及数据处理方法。
技术介绍
随着互联网、物联网的快速发展,网络和信息安全事件层出不穷,因此信息安全越来越受到世界各国以及各个行业的广泛重视。特别是在这个云计算、大数据等新技术应用快速崛起的时代,通过数据挖掘技术往往可以从海量数据中获取关键信息,这对企业和个人的信息安全都产生了严重威胁。密码学算法是信息安全的核心技术和基础支撑,而密钥本身的安全性也是一个影响安全性的重要因素。在一些受管制的行业,比如银行、医疗健康以及电子商务都需要使用行业认可的密钥管理设备,比如硬件加密器(HardwareSecurityModule,HSM)等,来保护使用者的密码、密钥等敏感信息。密钥是保证信息安全的基石,密钥本身的保密性也必须要受到保护。因此,如何在运用密码学算法进行加解密的过程中保证其所使用的密钥本身的保密性而不被外界窥探,已成为本领域需解决的问题之一。
技术实现思路
本专利技术的实施例提出一种数据处理装置。数据处理装置包含:一处理器。处理器用以接收一对称加密密钥,当一应用程序需要使用一用户私钥时,处理器执行一硬件加解密指令集中的一加解密指令,加解密指令用以应用对称加密密钥对应用程序对应的一私钥包裹进行解密,以取得该用户私钥。其中,对称加密密钥存储在处理器的一特殊模块寄存器中。本专利技术的实施例提出一种数据处理方法,包含:藉由一处理器接收一对称加密密钥;以及当一应用程序需要使用一用户私钥时,藉由处理器执行一硬件加解密指令集中的一加解密指令,加解密指令用以应用对称加密密钥对应用程序对应的一私钥包裹进行解密,以取得用户私钥。其中,对称加密密钥存储在处理器的一特殊模块寄存器中。综上,本申请的数据处理系统及数据处理方法通过处理器以达到保护多个密钥,将对称加密密钥存储在处理器内部不对外提供访问接口的特殊模块寄存器中,处理器通过执行硬件加解密指令集中的加解密指令从对应的特殊模块寄存器中读取到对称加密密钥以从对应的特殊模块寄存器中读取到对称加密密钥。藉此提供了更高性能、更高安全性的密钥保护的应用解决方案。关于本专利技术其他附加的特征与优点,本领域技术人员,在不脱离本申请的精神和范围内,当可根据本申请实施方法中所公开的数据处理装置及数据处理方法做些许的更动与润饰而得到。附图说明图1是依照本专利技术一实施例绘示数据处理装置的方块图。图2是依照本专利技术一实施例绘示解密私钥包裹以取得用户私钥的方法的流程图。图3是依照本专利技术一实施例绘示藉由外部密钥服务器产生私钥包裹和对称加密密钥并部署到数据处理装置的方法的流程图。图4是依照本专利技术一实施例绘示解密私钥包裹以取得用户私钥及清除用户私钥的方法的流程图。图5是依照本专利技术一实施例绘示将加密对称加密密钥传送到外部存储器存储的的流程图。图6A~6B是依照本专利技术一实施例绘示数据处理方法的流程图。图7是依照本专利技术另一实施例绘示数据处理装置的方块图。【符号说明】100:数据处理装置10:处理器50:硬件加解密指令集30~32:特殊模块寄存器20:外部存储器60:硬件加解密指令集驱动器70~71:应用程序80:硬件安全模块WPK:私钥包裹PK:用户私钥SWK:对称加密密钥CPK:处理器密钥CPK(SWK):加密对称加密密钥AppID:用程序代码200、300、400、500、600:数据处理方法210~220、310~330、410~430、510~530、610~695:步骤ucode0~ucode3:微码90:处理内核具体实施方式以下说明为完成专利技术的较佳实现方式,其目的在于描述本专利技术的基本精神,但并不用以限定本专利技术。实际的
技术实现思路
必须参考之后的权利要求范围。必须了解的是,使用于本说明书中的”包含”、”包括”等词,用以表示存在特定的技术特征、数值、方法步骤、作业处理、元件和/或组件,但并不排除可加上更多的技术特征、数值、方法步骤、作业处理、元件、组件,或以上的任意组合。在权利要求中使用如“第一”、"第二"、"第三"等词用来修饰权利要求中的元件,并非用来表示之间具有优先权顺序,先行关系,或者是一个元件先于另一个元件,或者是执行方法步骤时的时间先后顺序,仅用来区别具有相同名字的元件。本章节所叙述的是实施本申请的较佳方式,目的在于说明本申请的精神而非用以限定本申请的保护范围,应理解下列实施例可经由软件、硬件、固件、或上述任意组合来实现。文中述及由中国国家密码管理局(OfficeofStateCryptographyAdministration)所制订的中国商用密码算法(例如SM3及SM4)的规格标准书是仅用以协助表达本申请的精神,而非用以限制本申请的保护范围。本专利技术所公开的密钥保护方法也适用于采用其它密码算法(例如采用高级加密标准(AdvancedEncryptionStandard,AES)算法)的数据处理装置。中国商用密码算法是指由国家密码管理局颁布的一系列密码学算法标准,包括SM1、SM2、SM3、SM4、SM7、SM9以及祖冲之密码算法(ZUC)等一系列的密码算法。其中,SM1、SM4、SM7以及ZUC属于对称加密算法,SM2、SM9属于非对称密码算法,而SM3是密码杂凑算法,也即常见的哈希算法。在一实施例中,请参照图1,图1是依照本专利技术一实施例绘示数据处理装置100的方块图。数据处理装置100包含一处理器10及一外部存储器20。在一实施例中,处理器10可以由集成电路如微控制单元(microcontroller)、微处理器(microprocessor)、数字信号处理器(digitalsignalprocessor)、特殊应用集成电路(applicationspecificintegratedcircuit,ASIC)或一逻辑电路来实施。在一实施例中,外部存储器20为一非易失性随机访问存储器(Non-VolatileRandomAccessMemory,NVRAM)或一动态随机存取存储器(DynamicRandomAccessMemory,DRAM)。在一实施例中,外部存储器存储应用程序代码AppID及其对应的加密对称加密密钥CPK(SWK)。在一实施例中,处理器10中包含特殊模块寄存器(ModelSpecificRegister,MSR)30~32。特殊模块寄存器30~32是有限存储容量的寄存器,特殊模块寄存器在通常情况下用于控制处理器10的运行、功能开关、调试、跟踪程序执行、监测处理器10的性能等。在处理器10中,特殊模块寄存器30~32位于处理器10封装(package)内部,且不允许处理器10之外的部件访问亦不对外部公开其访问地址。在一实施例中,处理器10中包含至少一处理内核(Core)90。在一实施例中,数据处理装置100包含多个特殊模块寄存器30~32。在一实施例中,数据处理装置100包含一私钥寄存器40,用以存储处理器10产生的处理器密钥(CPUPrivateKey,CPK)。在一实施例中,处理内核90还包括一硬件加解密指令集50。硬件加解密指令集50可经由软件、硬件、固件、或上述任意组合来实现。在一实施例中,硬件加解密指令集50可实现在处理内核90的一微码(ucode或mic本文档来自技高网...
【技术保护点】
1.一种数据处理装置,包含:处理器,用以接收对称加密密钥,当应用程序需要使用用户私钥时,该处理器执行硬件加解密指令集中的加解密指令,该加解密指令用以应用该对称加密密钥对该应用程序对应的私钥包裹进行解密,以取得该用户私钥;其中,该对称加密密钥存储在该处理器的特殊模块寄存器中。
【技术特征摘要】
1.一种数据处理装置,包含:处理器,用以接收对称加密密钥,当应用程序需要使用用户私钥时,该处理器执行硬件加解密指令集中的加解密指令,该加解密指令用以应用该对称加密密钥对该应用程序对应的私钥包裹进行解密,以取得该用户私钥;其中,该对称加密密钥存储在该处理器的特殊模块寄存器中。2.如权利要求1所述的数据处理装置,其中,该处理器接收来自外部密钥服务器的该对称加密密钥。3.如权利要求2所述的数据处理装置,其中,该外部密钥服务器用以产生该对称加密密钥,并使用该对称加密密钥对该用户私钥使用对称加密算法进行加密,以产生该私钥包裹存放于该应用程序的安装包。4.如权利要求2所述的数据处理装置,其中,该应用程序调用硬件加解密指令集驱动器并使用密钥导入协议以从该外部密钥服务器导入该对称加密密钥。5.如权利要求1所述的数据处理装置,其中,该特殊模块寄存器仅允许该处理器访问。6.如权利要求1所述的数据处理装置,其中,该处理器应用该用户私钥以执行特定操作,当该特定操作执行结束后,该处理器清除该用户私钥。7.如权利要求1所述的数据处理装置,其中,该处理器包含微码,该微码指定用以存储该对称加密密钥的该特殊模块寄存器,硬件加解密指令集驱动器对应该指定的该特殊模块寄存器产生动态句柄给该应用程序。8.如权利要求1所述的数据处理装置,其中,该应用程序使用动态句柄及该私钥包裹调用硬件加速指令集驱动器,该处理器执行该解密指令时从该动态句柄表征的该特殊模块寄存器中的读取该对称加密密钥,再应用该对称加密密钥对该私钥包裹进行解密,以取得该用户私钥。9.如权利要求1所述的数据处理装置,其中,该应用程序使用动态句柄、待处理数据地址及该私钥包裹调用硬件加速指令集驱动器,该处理器执行该加解密指令时从该动态句柄表征的该特殊模块寄存器中的读取该对称加密密钥,再应用该对称加密密钥对该私钥包裹进行解密,以取得该用户私钥,再使用该用户私钥对该待处理数据地址中所存储的数据进行加解密处理。10.如权利要求1所述的数据处理装置,其中,该处理器执行该加解密指令用以应用该对称加密密钥对另一私钥包裹进行解密,以取得另一用户私钥。11.如权利要求1所述的数据处理装置,其中,该应用程序通过调用硬件加速指令集驱动器以使得该处理器在执行该加解密指令时从该特殊模块寄存器中读取该对称加密密钥。12.一种数据处理方法,包含:藉由处理器接收对称加密密钥;以及当应用...
【专利技术属性】
技术研发人员:薛刚汝,黄振华,沈昀,
申请(专利权)人:上海兆芯集成电路有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。