[发明专利]一种高速加解密引擎及加解密实现方法

说明书

本发明涉及高速加解密引擎及加解密实现方法，其中通过提供多个物理通道为多个业务处理模块提供密码服务，解决密码卡只能提供单个业务通道的问题；二级密钥导入FPGA芯片内部进行缓存，会话密钥由FPGA芯片实现生命周期管理，可以减少密码运算所需密钥更新的时间开销，明显降低密码服务处理时延；采用FPGA芯片作为密码运算处理核心单元，实现多级并行流水处理，有效提升处理性能。

技术领域

本发明涉及密码领域，具体涉及一种基于新硬件架构实现的高速加解密引擎及加解密实现方法。

背景技术

密码产品在现代通信系统中得到广泛应用，常见的产品包括服务器密码机、密码卡、CA系统等，作为密码产品主要包含两大功能，分别是密码运算、密钥管理。为了提高产品可靠性、方便维护，密码运算、密钥管理一般采用独立的模块实现，密码卡就是这样一款产品。在现有产品设计中，密码运算、密钥管理功能一般通过集成密码卡的方式实现，密码卡通常具有一个PCI-E高速接口，只能为一个业务处理模块提供密码服务。密码卡硬件实现上主要有两种架构，一种是“DSP+FPGA”的实现架构，另一种采用“DSP+密码算法芯片”的架构。

第一种架构中DSP主要实现密钥管理功能，FPGA主要实现密码运算功能，相应硬件架构如图1所示。密码卡一般采用三层密钥结构，包括主密钥、密钥加密密钥和会话密钥，都由DSP进行管理。密码卡接收到业务处理模块服务调用指令，从DSP提取对应密钥传递给FPGA，由FPGA调用算法芯片实现密码运算，并返回结果给业务处理模块。

第二种架构中DSP主要实现密钥管理功能，密码算法芯片实现密码运算，相应硬件架构如图2所示。

目前，密码设备一般通过集成通用PCI-E密码卡实现密码运算、密钥管理等功能。通过研究，发现现有技术中至少存在以下技术缺点：

(1)通用密码卡只能提供一个PCI-E接口，无法同时为多个业务处理模块提供密码服务；

(2)二级、三级密钥在安全芯片内部存储，密码运算频繁切换密钥的时间开销多，业务处理延时大；

(3)密码卡提供密码服务未实现并行、多级流水处理，处理性能低。

发明内容

针对现有技术中的不足之处，本发明通过提供多个物理通道为多个业务处理模块提供密码服务，解决密码卡只能提供单个业务通道的问题；二级密钥导入FPGA内部进行缓存，会话密钥由FPGA实现生命周期管理，可以减少密码运算所需密钥更新的时间开销，明显降低密码服务处理时延；采用FPGA作为密码运算处理核心单元，实现多级并行流水处理，有效提升处理性能。

本发明的第一方面涉及一种高速加解密引擎，其包括FPGA芯片、安全芯片、多个密码运算模块，其中：

所述FPGA芯片被配置成允许通过多个服务接口接收来自多个业务处理模块的调用指令，并对所述调用指令进行解析以获得指令信息；

所述FPGA芯片还被配置成允许根据所述指令信息中的密码服务类型以并行的方式基于所述指令信息分类地进行密码运算处理，以及根据所述指令信息中的密码算法类型将密码运算处理结果发送至与所述密码算法类型对应的所述密码运算模块；

所述密码运算模块被配置成在所述密码算法类型下对所述指令信息中的业务数据进行密码运算，并输出密码运算结果；并且，

所述高速加解密引擎中设置有密钥，所述密钥包括主密钥、密钥加密密钥和会话密钥；

所述安全芯片被配置用于实现所述主密钥和所述密钥加密密钥的生命周期管理；

所述FPGA芯片还被配置用于实现所述会话密钥的生命周期管理；

在执行所述密码运算前，所述密钥加密密钥被同步缓存到所述FPGA芯片中。