一种基于国产商用密码算法的硬件密码模块及其实现方法技术

本发明专利技术涉及信息安全密码技术领域，具体为一种基于国产商用密码算法的硬件密码模块，包括硬件部分和软件部分；硬件部分包括安全芯片、中央控制单元、flash、BOOT flash、USB接口、DDRAM、电源、RJ45接口、总线接口单元以及密码模块运行指示灯；软件部分包括接口处理模块，密钥管理模块以及驱动程序模块；有益效果为：本发明专利技术提出的基于国产商用密码算法的硬件密码模块及其实现方法对数据进行加密设置，可以使该数据被人非法窃取时产生乱码现象，从而无法得知具体的信息内容。选择加密性能较高的对称加密算法进行数据加解密处理，可以降低数据处理时延。集中化的密钥管理与安全密钥分发机制，实现对密钥存储的高效安全管理与维护，减少被窃取或窃取无法使用的风险。少被窃取或窃取无法使用的风险。少被窃取或窃取无法使用的风险。

【技术实现步骤摘要】
一种基于国产商用密码算法的硬件密码模块及其实现方法


[0001]本专利技术涉及信息安全密码
，具体为一种基于国产商用密码算法的硬件密码模块及其实现方法。

技术介绍

[0002]计算机网络信息安全的两个基本需求是保密性和完整性。密码技术是网络安全通信的基础，通过对通信内容进行加密变换，使未授权者不能理解其真实含义，以防止窃听等被动性攻击，保证信息的保密性；应用密码体制的认证机制，可以防止篡改、意外破坏等对传输信息的主动性攻击，以维护数据的完整性。保密和认证是信息系统安全的两个重要方面，但是认证不能自动提供保密性，而保密也不能提供认证机制。密码设计的基本思想是伪装信息，使未授权者不能理解它的真正含义，未隐藏的信息称为明文(Plaintext)，伪装后的信息称为密文(Ciphetrext)。构成一个密码体制的两个基本要素是密码算法和密钥(Key)。在设计密码系统时，总是假定密码算法是公开的，真正需要保密的是密钥。
[0003]现有技术中，加密隐私信息是有效解决隐私信息泄露的重要途径。保证数据不被篡改、窃取和破坏。加解密操作只发生在数据发送方与数据接收方，在整个传输过程中数据都是以密文的形式存在，极大提高了数据的安全性。将加密技术融入信息安全防护体系中，可以有效地帮助数据信息的安全防护工作。
[0004]但是，建立一套完整可行的信息加密体系，首先要筛选哪些数据需要加密处理，再运用相关分析方法来合理地分类和筛选数据，并对加密数据面临的安全问题进行分析，找出可能存在的安全漏洞，做出相应的防御解决办法，以提升整个网络环境的稳定性和安全性。

技术实现思路

[0005]本专利技术的目的在于提供一种基于国产商用密码算法的硬件密码模块及其实现方法，以解决上述
技术介绍
中提出的问题。
[0006]为实现上述目的，本专利技术提供如下技术方案：一种基于国产商用密码算法的硬件密码模块，所述硬件密码模块包括硬件部分和软件部分；
[0007]硬件部分包括安全芯片、中央控制单元、flash、BOOT flash、USB接口、DDRAM、电源、RJ45接口、总线接口单元以及密码模块运行指示灯；
[0008]软件部分包括接口处理模块，密钥管理模块以及驱动程序模块。
[0009]优选的，所述安全芯片和总线接口单元双向互通，总线接口单元和中央控制单元双向互联，且总线接口单元分别和DDRAM、flash双向互联，中央控制单元分别双向互联RJ45接口、BOOT flash以及密码模块运行指示灯。
[0010]优选的，所述接口处理模块接收数据信息后传递给密钥管理模块，密钥管理模块将处理后的数据传输给驱动程序模块。
[0011]优选的，所述软件部分采用国产商用密码算法(SM2\SM3\SM4)三层密钥结构体系，
第一层为主密钥，永久保存在安全芯片中，不需要更换；基于SM2算法产生加密/解密密钥用于加密/解密会话密钥，加密密钥私钥通过主密钥加密保存在存中，避免密钥泄露造成数据安全问题，通过SM4算法协商产生会话密钥用于加密通信数据，提高加解密效率的同时，保证数据传输安全；SM3密码杂凑算法用于保证密码硬件模块软件程序及安全策略文件的完整性，避免程序被篡改。
[0012]优选的，安全策略文件包含会话密钥更新周期、鉴权方式，密码硬件模块启动时会自动读取安全策略文件以导入安全策略。
[0013]一种基于国产商用密码算法的硬件密码模块的实现方法，所述实现方法包括以下步骤：
[0014]设pc机a的ip地址为192.168.10.8，pc机b的ip地址为192.168.10.7，该两个pc机之间的网络通信都需要通过国密算法密码模块进行保护；
[0015]两个pc机上都要链接密码硬件模块，密码硬件模块过滤规则表中分别增加了一个对方ip地址项；
[0016]pc机a发送网络数据包进入密码硬件模块，密码硬件模块把该数据包内的目的ip地址(192.168.10.7)与过滤规则表进行匹配，过滤规则表中有192.168.10.7地址项，匹配成功；
[0017]pc机a链接的密码硬件模块通过协商的会话密钥，对ip包数据进行加密，并将加密数据包发送出去；
[0018]连接pc机b的密码模块接收pc机a发出的数据包把该包的源地址(192.168.10.8)与过滤规则表进行匹配，过滤规则表中有192.168.10.8地址项，匹配成功后基于会话密钥进行解密，将数据包恢复成明文。
[0019]与现有技术相比，本专利技术的有益效果是：
[0020]本专利技术提出的基于国产商用密码算法的硬件密码模块及其实现方法对数据进行加密设置，可以使该数据被人非法窃取时产生乱码现象，从而无法得知具体的信息内容。选择加密性能较高的对称加密算法进行数据加解密处理，可以降低数据处理时延。集中化的密钥管理与安全密钥分发机制，实现对密钥存储的高效安全管理与维护，减少被窃取或窃取无法使用的风险。
附图说明
[0021]图1为本专利技术硬件密码模块硬件架构图；
[0022]图2为本专利技术密码模块密钥体系图；
[0023]图3为本专利技术硬件密码模块使用示例图。
具体实施方式
[0024]为了使本专利技术的目的、技术方案进行清楚、完整地描述，及优点更加清楚明白，以下结合附图对本专利技术实施例进行进一步详细说明。应当理解，此处所描述的具体实施例是本专利技术一部分实施例，而不是全部的实施例，仅仅用以解释本专利技术实施例，并不用于限定本专利技术实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0025]实施例一
[0026]请参阅图1至图3，本专利技术提供一种技术方案：一种基于国产商用密码算法的硬件密码模块，所述硬件密码模块包括硬件部分和软件部分；
[0027]硬件部分包括安全芯片、中央控制单元、flash、BOOT flash、USB接口、DDRAM、电源、RJ45接口、总线接口单元以及密码模块运行指示灯；安全芯片和总线接口单元双向互通，总线接口单元和中央控制单元双向互联，且总线接口单元分别和DDRAM、flash双向互联，中央控制单元分别双向互联RJ45接口、BOOT flash以及密码模块运行指示灯；接口处理模块接收数据信息后传递给密钥管理模块，密钥管理模块将处理后的数据传输给驱动程序模块；
[0028]软件部分包括接口处理模块，密钥管理模块以及驱动程序模块；软件部分采用国产商用密码算法(SM2\SM3\SM4)三层密钥结构体系，第一层为主密钥，永久保存在安全芯片中，不需要更换；基于SM2算法产生加密/解密密钥用于加密/解密会话密钥，加密密钥私钥通过主密钥加密保存在存中，避免密钥泄露造成数据安全问题，通过SM4算法协商产生会话密钥用于加密通信数据，提高加解密效率的同时，保证数据传输安全；SM3密码杂凑算法用于保证密码硬件模块软件程序及安全策略文件的完整性，避免程序被篡改；安全策略文件包含会话密钥更新周期、鉴权方式，密码硬件模块启本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于国产商用密码算法的硬件密码模块，其特征在于：所述硬件密码模块包括硬件部分和软件部分；硬件部分包括安全芯片、中央控制单元、flash、BOOT flash、USB接口、DDRAM、电源、RJ45接口、总线接口单元以及密码模块运行指示灯；软件部分包括接口处理模块，密钥管理模块以及驱动程序模块。2.根据权利要求1所述的一种基于国产商用密码算法的硬件密码模块，其特征在于：所述安全芯片和总线接口单元双向互通，总线接口单元和中央控制单元双向互联，且总线接口单元分别和DDRAM、flash双向互联，中央控制单元分别双向互联RJ45接口、BOOT flash以及密码模块运行指示灯。3.根据权利要求1所述的一种基于国产商用密码算法的硬件密码模块，其特征在于：所述接口处理模块接收数据信息后传递给密钥管理模块，密钥管理模块将处理后的数据传输给驱动程序模块。4.根据权利要求1所述的一种基于国产商用密码算法的硬件密码模块，其特征在于：所述软件部分采用国产商用密码算法(SM2\SM3\SM4)三层密钥结构体系，第一层为主密钥，永久保存在安全芯片中，不需要更换；基于SM2算法产生加密/解密密钥用于加密/解密会话密钥，加密密钥私钥通过主密钥加密保存在存中，避免密钥泄露造成数据安全问题，通过SM4算法协商产生会话密钥用于加密通信数据，提高加解密效率的同时，保证数据传输...

【专利技术属性】
技术研发人员：蒋彩霞，
申请(专利权)人：浪潮云信息技术股份公司，
类型：发明
国别省市：