[发明专利]一种面向对象的安全芯片及其加密方法

说明书

本发明涉及一种面向对象的安全芯片及其加密方法，所述安全芯片包括：中央处理单元CPU，其用于协调安全芯片中其他功能模块，使其正常工作；对称密码算法单元，其采用国密对称密码算法对数据加解密运算；非对称密码算法单元，其采用国密非对称密码算法，实现数字证书的签名、验签，计算信息摘要以及通信双方的密钥协商；通信单元，其用于数据通信；安全保护单元，其用于保证安全芯片的正常运行；数据存储单元，其用于存储密钥；中断源，其用于向CPU提出事件的中断请求；以及定时/计数器，其用于安全芯片工作中进行计数和定时。所述安全芯片加密方法为分别建立传输层安全链接和应用层安全链接，采用传输层和应用层双层保护机制实现信息的安全传输。

技术领域

本发明涉及信息安全技术领域，并且更具体地，涉及一种面向对象的安全芯片及其加密方法。

背景技术

目前，各类信息采集系统信息集成度、融合度更高，系统依赖性更强，业务系统之间、业务系统与外界用户之间实时交互更加丰富与频繁，系统接入的终端数量庞大、类型多样，终端设备接入方式和接入环境比较复杂、并发量比较大，导致其运行环境日趋复杂，来自公网的信息安全威胁也日趋增多。安全芯片作为保护终端信息安全的重要介质，在身份识别、安全隔离、信息加密、完整性保护和抗抵赖等方面发挥着不可替代的重要作用。然而，现有安全芯片大多采用7816通信接口或单路串行外围通信接口SPI(Serial PeripheralInterface)，通信效率及并发处理能力相对较低，安全通信灵活性相对较弱，无法满足面向对象协议的安全传输要求，很难适应当前信息采集系统复杂的业务应用环境。因此，亟需研发面向对象的适用于多业务处理能力的安全芯片及其加密方法，提高信息采集系统的安全性。

发明内容

为了解决背景技术存在的上述问题，本发明提供一种面向对象的安全芯片，所述安全芯片包括：

中央处理单元CPU，其用于协调安全芯片中除中央处理单元CPU以外的其他功能模块，使其正常工作；

对称密码算法单元，其采用国密对称密码算法对数据进行加解密运算；

非对称密码算法单元，其采用国密非对称密码算法，实现数字证书的签名、验签，计算信息摘要以及通信双方的密钥协商；

通信单元，其用于在安全芯片和安全隔离网关之间以及安全芯片和业务前置密码机之间进行数据通信，所述通信单元包括ISO/IEC7816通信接口和多个串行外围通信接口SPI；

安全保护单元，通过电压监测、频率监测、存储器数据加密和总线加扰安全防护功能来保证安全芯片的正常运行；

数据存储单元，其用于存储固定密钥、数字证书、应用广播密钥和初始向量、外部认证密钥、内部认证密钥、本地加密计算MAC密钥、本地解密验证MAC密钥和文件保护密钥；

中断源，其用于向CPU提出事件的中断请求；

定时/计数器，其采用可编程芯片计数、定时，所述定时/计数器包括单地址链路协商计数器LSCTR、终端主动上报计数器ARCTR和单地址应用协商计数器ASCTR；以及

随机数发生器，其用于产生随机数进行加解密运算。

进一步地，所述安全芯片适用于用电信息采集系统接入的终端。

进一步地，所述中央处理单元CPU是32位的。

进一步地，所述数据存储单元只用于存储密钥，经安全芯片加密运算后的数据存储在终端的数据存储区。

根据本发明的另一方面，本发明提供一种面向对象的安全芯片的加密方法，所述方法包括：

步骤一、安全芯片与安全隔离网关之间建立传输层加密链接，实现终端设备的接入认证和传输层数据的加密传输；