[发明专利]一种密码设备的改进及改进后数据同步方法及系统

说明书

技术领域

本发明涉及一种密码设备的改进及改进后数据同步方法及系统，属于信息安全技术领域。

背景技术

PKI，即公钥基础设施，是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必须的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的技术设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

在PKI应用领域一般有分为终端和服务器端。

终端产品有大众耳熟能详的USBkey、POS机、ATM取款机等；服务器领域包括签名验签服务器，服务器密码机，以及金融数据密码机等。在服务器端都需要配备基础密码设备：PCI密码卡。目前主流的密码卡有PCI和PCIE总线的。

PCI密码卡是高性能基础密码设备，能够适用于各类密码安全应用系统进行高速的，多任务并行处理的密码运算，可以满足应用系统数据的签名/验证、加密/解密的要求，保证传输信息的机密性，完整性和有效性，同时提供安全、完善的权限及密钥管理机制。因此PCI密码卡是PKI体系中密码算法的提供者，是PKI体系中的关键基础密码设备。

随着信息技术在各个领域的应用，很多应用场合对PKI应用服务器的性能指标提出了更好的要求，在单张密码卡的性能无法满足服务的性能要求时，就需要多张密码卡来分担业务的运算要求，从而达到提高服务器性能的目的。在多张板卡并行的应用场合中，对PCI密码卡的权限及密钥管理功能提出了新的技术需求。

现有技术中的全功能单板功能包括：

1、密码算法功能模块：

算法包括对称，非对称，摘要算法及随机数模块，以及这些模块组合后的各种功能业务功能；密码算法的调用收到权限控制模块密钥管理及保护模块的影响。

2、密钥的的管理及保护模块：

包括密钥的生成，存储，保护，销毁；

密钥采用三级密钥：系统(设备)密钥，用户密钥，会话密钥。其中系统(设备)密钥和用户密钥为敏感信息，需要安全存储及备份；

3、权限控制模块：

密码卡的调用需要相应的权限，会对密码卡的功能调用存在限制，目前PCI密码卡普遍采用两级权限控制。管理员权限和操作员权限，管理员和操作员的存储介质可以是IC卡，也可以是USBKEY。

密码卡的两级权限，保证密码卡调度过程中的安全性；

4、备份恢复模块：

备份恢复属于灾备机制，确保密码卡的重要数据损坏后能够使系统还原未损坏时的状态。

随着信息技术的广泛应用，目前密码卡的安全机制是比较可靠的，但密码算法的性能及冗余限制了信息安全技术的推广，冗余及性能的要求需要亟需解决。

发明内容

本发明对PKI应用中的基础密码设备(PCI密码卡)进行了改进并提供了改进后权限和密钥同步的方法。本发明要解决的技术问题是：1,提高现有基础密码设备的性能；2、解决新方案中针对现有设备权限和密钥同步技术面临的问题。

本发明首先针对性能问题提出：将传统密码设备拆成管理板和运算板。然后针对新方案解决了管理板和运算板数据同步的难题。

本发明解决上述数据同步问题的技术方案如下：一种密码设备的改进方法，包括，将管理功能和运算功能进行分离。

本发明解决上述数据同步问题的技术方案如下：一种密码设备的改进后数据同步方法，具体包括以下步骤：

步骤1：管理板接收来自管理通道的指令，依指令进行权限和密钥管理，并更新管理板存储空间中的数据；

步骤2：管理板将自身存储空间的数据同步到数据集散中心；

步骤3：管理板向在线运算板发送更新指令，运算板接收指令后获取数据集散中心中的数据，并存储到自身存储空间中；

步骤4：运算板接收来自运算通道的指令；

步骤5：各运算板根据更新后的数据对运算通道的指令进行响应并反馈；结束。

本发明的有益效果是：将管理功能和运算功能进行分离，提升性能的同时兼顾重要数据的保护，确保数据不会进入主机内存中；运算模块分离后为上层软件的冗余调用提供了底层保障。

进一步的方案为：数据同步利用数据集散中心来完成，其中数据集散中心利用FPGA进行实现。

所述数据集散中心模块包括至少两块双端口RAM；

所有所述双端口RAM的写端口与管理模块相通信；每个所述双端口RAM的读端口与一个运算模块相通信。