本申请实施例公开了一种密钥加解密方法、装置、安全机以及介质,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器,能够满足大量密钥的存储需求;通过从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,依靠于DDR存储器支持快速读写操作的特性,能够满足安全芯片高速运算的需求,提高运算效率;通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据,保障数据安全。保障数据安全。保障数据安全。
【技术实现步骤摘要】
一种密钥加解密方法、装置、安全机以及介质
[0001]本申请实施例涉及数据安全
,尤其涉及一种密钥加解密方法、装置、安全机以及介质。
技术介绍
[0002]随着信息技术的快速发展,数据安全在各个领域的应用也显得日益重要。数据安全通常是通过加解密运算来保障数据的传输安全,例如,服务器可以通过配置安全芯片来对数据进行加解密处理,而面对海量的加解密数据,安全芯片往往需要生成大量密钥来完成加解密运算。
[0003]然而,相关技术中,安全芯片主要通过片内密钥管理模块来生成并存储密钥,由于片内存储资源有限,所能存储的密钥数量较少,为了满足大量的加解密请求需要频繁启动密钥管理模块更新密钥,影响处理效率,而通过增加安全芯片内部存储单元,会增加芯片面积,进而增加了安全芯片的成本,降低产品的竞争力。此外,通过外挂片外存储资源来存储大量密钥,会存在读写速度较慢,无法满足安全芯片高速运算的需求。
技术实现思路
[0004]本申请实施例提供一种密钥加解密方法、装置、安全机以及介质,通过将安全芯片生成的密钥存储在外部安全机的DDR存储器中,能够满足大量密钥的存储需求,同时,基于DDR存储器支持快速读写操作的特性,从DDR存储器中调用密钥进行加解密运算,能够满足安全芯片高速运算的需求,提高运算效率。
[0005]在第一方面,本申请实施例提供了一种密钥加解密方法,应用于密钥加解密装置,所述方法包括:
[0006]响应于密钥生成指令,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器;
[0007]响应于算法运算请求,从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,其中所述运算请求信息包括配置参数以及待处理数据;
[0008]通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据。
[0009]可选的,所述将所述第一密钥通过安全数据通道输出到外部的DDR存储器,具体包括:
[0010]将所述第一密钥存储至片外存储器,并通过所述密钥管理模块生成加密密钥,并将所述加密密钥存储至所述加密密钥存储器,其中,所述加密密钥用于对密钥进行加解密;
[0011]通过所述密钥管理模块从所述片外存储器中读取第二密钥,并根据预设选定原则通过所述密钥管理模块从所述加密密钥存储器中读取目标加密密钥,以及通过所述密钥管理模块利用所述目标加密密钥对所述第二密钥进行加密得到安全密钥,将所述安全密钥通
过安全数据通道输出到外部的DDR存储器;
[0012]所述从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,具体包括:
[0013]从所述DDR存储器中读取目标安全密钥,将所述目标安全密钥通过高速数据通道输入到密钥解密模块,并通过密钥解密模块利用与所述目标安全密钥对应的目标解密密钥对所述目标安全密钥进行解密得到目标密钥;
[0014]将与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块。
[0015]可选的,所述根据预设选定原则通过所述密钥管理模块从所述加密密钥存储器中读取目标加密密钥,具体包括:
[0016]根据预设匹配关系通过所述密钥管理模块从所述加密密钥存储器中读取与所述第二密钥相匹配的目标加密密钥;
[0017]或,
[0018]根据预设时段关系通过所述密钥管理模块从所述加密密钥存储器中读取与当前时段相匹配的目标加密密钥。
[0019]可选的,在将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块之前,还包括:
[0020]根据预设分配原则通过所述调度模块从处于空闲状态的算法运算模块中确定目标运算模块。
[0021]可选的,所述根据预设分配原则通过所述调度模块从处于空闲状态的算法运算模块中确定目标运算模块,具体包括:
[0022]根据预设编号顺序通过所述调度模块从处于空闲状态的算法运算模块中确定编号最小的算法运算模块作为目标运算模块;
[0023]或,
[0024]根据所述算法运算请求对应的算法类型通过所述调度模块确定满足所述算法类型的算法运算模块作为目标运算模块。
[0025]可选的,还包括:
[0026]响应于密钥更新指令,通过所述密钥管理模块重新生成新的密钥以及新的加密密钥,并将所述新的密钥存储至片外存储器,以及将所述新的加密密钥存储至所述加密密钥存储器。
[0027]可选的,还包括:
[0028]将所述安全数据通过高速数据通道输入所述DDR存储器。
[0029]在第二方面,本申请实施例提供了一种应用本申请任一实施例所述密钥加解密方法的密钥加解密装置,所述密钥加解密装置包括安全芯片以及片外存储器,所述安全芯片包括第一PCIE接口、密钥管理模块、至少一个算法运算模块、加密密钥存储器、密钥解密模块以及调度模块;所述第一PCIE接口、所述密钥解密模块、所述算法运算模块以及所述调度模块之间通过高速数据通道连接;所述第一PCIE接口与所述密钥管理模块之间通过安全数据通道连接。
[0030]在第三方面,本申请实施例提供了一种安全机,所述安全机包括:处理器、DDR存储
器、通信模块、输入装置、输出装置、第二PCIE接口以及本申请任一实施例所述的密钥加解密装置。
[0031]在第四方面,本申请实施例提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如本申请任一实施例所述的密钥加解密方法。
[0032]本申请实施例中,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器,能够满足大量密钥的存储需求;通过从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,依靠于DDR存储器支持快速读写操作的特性,能够满足安全芯片高速运算的需求,提高运算效率;通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据,保障数据安全。
附图说明
[0033]图1是本申请实施例提供的一种密钥加解密装置的结构示意图;
[0034]图2是本申请实施例提供的一种密钥加解密方法的流程图;
[0035]图3是本申请实施例提供的另一种密钥加解密方法的流程图;
[0036]图4是本申请实施例提供的另一种密钥加解密方法的流程图;
[0037]图5是本申请实施例提供的一种安全机的结构示意图。
具体实施方式
[0038]为了使本申请的目的、技术方案和优点更加清楚,下面结合附图对本申请具体实施例作进一步的详细描述。可以理解的是,此处所描述的具体实施例仅仅用于解释本申请,而非对本申请的限本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种密钥加解密方法,其特征在于,应用于密钥加解密装置,所述方法包括:响应于密钥生成指令,通过密钥管理模块生成第一密钥,并将所述第一密钥通过安全数据通道输出到外部的DDR存储器;响应于算法运算请求,从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,其中所述运算请求信息包括配置参数以及待处理数据;通过所述目标运算模块利用所述配置参数以及所述目标密钥对所述待处理数据进行加解密运算得到安全数据。2.根据权利要求1所述的密钥加解密方法,其特征在于,所述将所述第一密钥通过安全数据通道输出到外部的DDR存储器,具体包括:将所述第一密钥存储至片外存储器,并通过所述密钥管理模块生成加密密钥,并将所述加密密钥存储至所述加密密钥存储器,其中,所述加密密钥用于对密钥进行加解密;通过所述密钥管理模块从所述片外存储器中读取第二密钥,并根据预设选定原则通过所述密钥管理模块从所述加密密钥存储器中读取目标加密密钥,以及通过所述密钥管理模块利用所述目标加密密钥对所述第二密钥进行加密得到安全密钥,将所述安全密钥通过安全数据通道输出到外部的DDR存储器;所述从所述DDR存储器中读取目标密钥,并将所述目标密钥以及与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块,具体包括:从所述DDR存储器中读取目标安全密钥,将所述目标安全密钥通过高速数据通道输入到密钥解密模块,并通过密钥解密模块利用与所述目标安全密钥对应的目标解密密钥对所述目标安全密钥进行解密得到目标密钥;将与所述算法运算请求对应的运算请求信息通过高速数据通道输入目标运算模块。3.根据权利要求2所述的密钥加解密方法,其特征在于,所述根据预设选定原则通过所述密钥管理模块从所述加密密钥存储器中读取目标加密密钥,具体包括:根据预设匹配关系通过所述密钥管理模块从所述加密密钥存储器中读取与所述第二密钥相匹配的目标加密密钥;或,根据预设时段关系通过所述密钥管理模块从所述加...
【专利技术属性】
技术研发人员:刘曼,罗晓林,王立峰,
申请(专利权)人:广州万协通信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。