本发明专利技术是一种用于安全存储控制管理的芯片,包括:32位的CPU,负责整个芯片的资源调度,数据流的控制管理;PKI硬件模块SM2/SM3,负责身份认证功能,包括密钥对生成、HASH功能、签名验签功能和公钥加密和私钥解密等功能;数据加密模块AES/SM1,负责数据的加解密功能,采用最高密级的256位算法;USB控制器(HOST/DEVICE),通过USBDEVICE、USBHOST和数据加密模块可以构造一条加密数据通路。本发明专利技术的优点是:该安全存储控制管理的芯片,采用多种,多级别安全机制,有效保护存储数据的安全,同时采用多级流水的方式,高效的实现数据的有效传输。
【技术实现步骤摘要】
本专利技术属于信息安全领域,尤其涉及一种支持采用硬件加密算法的高速存储控制SOC 芯片,通过采用硬件加密算法和多种存储接口可以实现身份认证和对不同存储介质的信息加解密。_2]
技术介绍
:信息时代,信息已经成为最重要的资产之一,同时信息量呈几何级数关系增长,如何有效的保护信息的安全已经引起了越来越多的关注。近年来,各种信息秘密泄密事件比比皆是公众人物电话网上披露、股票密码被盗、网上银行账户被篡改等等。据全球知名信息管理研究公司波耐蒙研究所统计,77%的机构2010年都曾遭遇数据丢失。每次数据泄露事件使企业失去31%的客户群及相关收入。更值得关注的是相当数量的泄密事件,都是由内部人员所为。所以,如何保护好重要数据的存储安全至关重要。因此,也对存储数据的安全性和私密性也提出了一个较高的要求。普通的移动存储设备读写速度快,但是无安全性可言。 而利用软件提供存储数据的安全强度往往以牺牲传输速度作为代价的,并且在自身安全和易于攻击破解方面远远不如硬件加密。因此传统意义上的安全移动存储设备很难做到高安全性和高读写速度兼备。更重要的事信息安全涉及到国家和国防的安全,其重要性和必要性不言而喻,并且在这些地方决不允许使用国外的加密芯片。因此,开发、推广集成高性能国产算法的带身份认证的加解密器件,并使之产业化有着巨大的社会效益和经济效益。为此,北京华虹推出了这款智能移动存储加密SOC芯片。细观整个信息过程,可以分为信息处理、信息传输和信息存储三个阶段。对于信息的安全处理和的安全传输方面,已经有了很多种方法,在此不在详述。本产品的关注点是信息的安全存储,目前已有产品多以软件形式进行加密存储,无论其性能还是安全性,都已无法满足当前信息安全的需求。因此,在信息存储中,如何有效地实现数据的加密存取和用户数据的安全管理,特别是移动存储设备设计中重点关注的问题。对于安全存储,既要在安全性方面保证,又要最小限度的不影响存储性能。目前对存储的安全设计方面,主要有两种方法,一是对访问权限的控制,一是对存储内容的的安全处理。基于第一种方法,基本能保证不影响存储的性能, 但这种方法的缺点是安全性低,极易被攻破。对于第二种方法,目前大多采用软件加密的方式,这种方式安全性比第一种高,但因为以软件加密的的方式,使用加密强度越高的加密算法,所需要的系统资源越多,同时对数据传输的性能影响也越大。因此本专利技术的一个目标是提供一种安全,高效的安全存储控制芯片,既保证高强度的安全性,又保证高效的存储性能。本专利技术主要贯注在这样的一种安全控制芯片的功能及架构上。
技术实现思路
本专利技术的目的就是为实现一种高速安全存储方案,提供一种控制芯片,以保证存储安全高效。为了实现上述目的,本专利技术采用的技术方案是采用身份认证和数据加解密相结合的双重保护机制来保护数据信息的安全性,采用硬件和软件多级流水的方式来保证存储性能的高效性。对于身份认证,采用UKey/SMKey安全身份认证技术和用户PIN码保护的双因子安全技术,其中,UKey/SIMKey安全钥匙要先经过数字证书授权中心预先处理才能使用,而用户PIN码输入则用于保护UKey/SMKey安全。在对数据进行加解密处理方面,采用高强度的全硬件国产密码算法SMl (256)或国际密码算法AES(256)来实现,同时在硬件实现时,采用多级流水的方式,有效的保证数据传输的性能。同时在软件数据流传输的过程中,同样采用多级流水的方式,基于软硬件双方面的流水控制,数据流基本达到了无损耗传输。另一方面,由于加密算法采用全硬件实现, 所有的密钥只存在于芯片内部,不会进入到计算机内存,能有效的防止木马、黑客的攻击。一种支持采用硬件加密算法的高速存储控制SOC芯片,包括O自主指令系统处理器一UniC0re32-II :负责整个芯片的资源调度,数据流的控制管理;2)PKI硬件模块SM2/SM3:负责身份认证和公钥加密功能,包括密钥对生成、HASH功能、 私钥签名功能、公钥验签、公钥加密及私钥解密功能;3)数据加密模块AES/SM1:负责数据包的加解密功能,采用最高密级的256位算法;4)USB2/3 控制器(HOST/DEVICE):包括 USB DEVICE 和 USB HOST,通过 USB DEVICE、 USB HOST和数据加密模块能够构造一条加密数据通路,并且USB HOST接口还支持USB 2.0 HIGH SPEED的多种存储设备及USBKEY,通过USB DEVICE接口能够将芯片模拟成虚拟存储设备,向PC机提供密码服务;5)SATA2/3 硬盘控制器(HOST/DEVICE):包括 SATA DEVICE 和 SATA H0ST,通过 SATA DEVICE、SATA HOST和数据加密模块能够构造一条加密数据通路,并且USB DEVICE、SATA HOST和数据加密模块能够构造一条加密数据通路,同时通过SATA HOST接口能够连接支持 SATAII 3Gb/6Gb的磁盘、SSD硬盘及光驱;6)7816接口 支持7816-3协议,能够访问SIMKEY及符合协议的CPU卡;7)采用PIN码保护和UKEY/SMKEY双重身份认证机制,采用高密级数据加解密模式,同时采用硬件流水实现加解密算法和软件实现流水操作模式,实现数据传输。本专利技术效果是提供一种用于安全存储控制管理的控制芯片的架构,该控制芯片使用多种,多级别安全机制,可有效保护存储数据的安全,同时采用多级流水方式,能高效实现数据的有效传输。附图说明图I是硬件架构图;图2 SOC基本工作流程示意图;图3 USB Device和USB Host双向数据交互模式图;图4 SATA Device和SATA Host双向数据交互模式图;图5 USB Device和SATA Host双向数据交互模式图;图6硬件加密/解密模块流水线结构图;图7硬件加密/解密模块流水线时空图;图8数据读取流水示意图;图9数据写入流水示意图。具体实施例方式图I为硬件的整体架构图,其中USB HOST IP或7816接口主要用于完成芯片的验签工作;主机和SATA/USB DEVICE IP之间的通讯,以及SATA/USB HOST IP和硬盘之间的通讯是完全符合Serial ATA Revision 2. 6或USB 2. O协议的;CPU模块负责IP的初始化、DMA 的配置工作及命令FIS和状态FIS的传递。SM1/AES模块负责数据的加密和解密;而SMl/ AES有三种工作模式,根据传输的方向及DATA FIS的类型,对数据采用加密、解密、不加密不解密的操作。根据工作过程,对该项目划分为两块一块为身份认证模块,另一块为数据加解密模块。SOC芯片的基本工作流程如图2所示通过Unic0re32-II处理器的调度完成身份认证和数据加解密,其中身份认证过程采用的是SM2和SM3算法,数据加解密采用SMl或 AES算法,通过SM2、SM3算法可以实现对密钥对生成、公钥导出和私钥签名及公钥加密和私钥解密等功能。按照以下流程可以完成身份认证功能O首先利用UKEY/SMKEY生成密钥对;2)将公钥导出并发送到发KEY系统;3)发KEY系统生成数字证书,并利用其私钥进行签名;4)下载签名数字证书;5)UKEY/SIMK本文档来自技高网...
【技术保护点】
一种支持采用硬件加密算法的高速存储控制SOC芯片,其特征在于,其包括:1)自主指令系统处理器??UniCore32?II:负责整个芯片的资源调度,数据流的控制管理;2)PKI硬件模块SM2/SM3:负责身份认证和公钥加密功能,包括密钥对生成、HASH功能、私钥签名功能、公钥验签、公钥加密及私钥解密功能;?3)数据加密模块AES/SM1:负责数据包的加解密功能,采用最高密级的256位算法;4)?USB2/3控制器(HOST/DEVICE):包括USB?DEVICE?和USB?HOST,通过USB?DEVICE、USB?HOST和数据加密模块能够构造一条加密数据通路,并且USB?HOST接口还支持USB?2.0?HIGH?SPEED的多种存储设备及USBKEY,通过USB?DEVICE?接口能够将芯片模拟成虚拟存储设备,向PC机提供密码服务;5)SATA2/3硬盘控制器(HOST/DEVICE):包括SATA?DEVICE?和SATA?HOST,通过SATA?DEVICE、SATA?HOST和数据加密模块能够构造一条加密数据通路,并且USB?DEVICE、SATA?HOST和数据加密模块能够构造一条加密数据通路,同时通过SATA?HOST接口能够连接支持SATAII?3Gb/6Gb的磁盘、SSD硬盘及光驱;6)7816接口:支持7816?3协议,能够访问SIMKEY及符合协议的CPU卡;其中,该芯片采用PIN码保护和UKEY/SIMKEY双重身份认证机制,采用高密级数据加解密模式,同时采用硬件流水实现加解密算法和软件实现流水操作模式,实现数据传输。...
【技术特征摘要】
1.一种支持采用硬件加密算法的高速存储控制SOC芯片,其特征在于,其包括 O自主指令系统处理器一UniC0re32-II :负责整个芯片的资源调度,数据流的控制管 理; 2)PKI硬件模块SM2/SM3:负责身份认证和公钥加密功能,包括密钥对生成、HASH功能、私钥签名功能、公钥验签、公钥加密及私钥解密功能; 3)数据加密模块AES/SM1:负责数据包的加解密功能,采用最高密级的256位算法; 4)USB2/3 控制器(HOST/DEVICE):包括 USB DEVICE 和 USB HOST,通过 USB DEVICE、USB HOST和数据加密模块能够构造一条加密数据通路,并且USB HOST接口还支持USB 2.0HIGH SPEED的多种存储设备及USBKEY,通过USB ...
【专利技术属性】
技术研发人员:李云岗,胡兵,
申请(专利权)人:北京华虹集成电路设计有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。