[发明专利]一种便携式密码模块

说明书

技术领域

本发明涉及数据安全技术领域，特别涉及一种便携式密码模块。

背景技术

随着数据价值不断提升以及存储技术不断发展，存储系统的重要性不断提升，数据成为最核心的资产。存储系统作为数据的保存空间，是数据保护的最后一道防线。随着存储系统由本地直连向网络化和分布式的方向发展，并被网络上的众多计算机共享，使存储系统变得更易受到攻击。

其中，相对静态的存储系统往往成为攻击者的首选目标，达到窃取、篡改或破坏数据的目的。如果没有存储安全防范措施，一旦攻击者成功地渗透到数据存储系统中，其负面影响将是无法估计的，因此存储安全变得至关重要。

针对网络化和分布式发展中传统存储系统安全系数低，容易被攻击，威胁用户数据安全这一问题，本发明提出了一种便携式密码模块。该便携式密码模块基于FPGA，旨在解决数据共享时，提供用户认证和数据加/解密操作，保障用户数据信息的完整、不受损坏、不被窃取，同时保证数据在网络中安全传输需求。

FPGA（Field－ProgrammableGateArray），即现场可编程门阵列，它是在PAL、GAL、CPLD等可编程器件的基础上进一步发展的产物。它是作为专用集成电路（ASIC）领域中的一种半定制电路而出现的，既解决了定制电路的不足，又克服了原有可编程器件门电路数有限的缺点。

FPGA采用了逻辑单元阵列LCA（LogicCellArray）这样一个概念，内部包括可配置逻辑模块CLB（ConfigurableLogicBlock）、输入输出模块IOB（InputOutputBlock）和内部连线（Interconnect）三个部分。现场可编程门阵列（FPGA）是可编程器件，与传统逻辑电路和门阵列（如PAL，GAL及CPLD器件）相比，FPGA具有不同的结构。FPGA利用小型查找表（16×1RAM）来实现组合逻辑，每个查找表连接到一个D触发器的输入端，触发器再来驱动其他逻辑电路或驱动I/O，由此构成了既可实现组合逻辑功能又可实现时序逻辑功能的基本逻辑单元模块，这些模块间利用金属连线互相连接或连接到I/O模块。FPGA的逻辑是通过向内部静态存储单元加载编程数据来实现的，存储在存储器单元中的值决定了逻辑单元的逻辑功能以及各模块之间或模块与I/O间的联接方式，并最终决定了FPGA所能实现的功能，FPGA允许无限次的编程。

加电时，FPGA芯片将EPROM中数据读入片内编程RAM中，配置完成后，FPGA进入工作状态。掉电后，FPGA恢复成白片，内部逻辑关系消失，因此，FPGA能够反复使用。FPGA的编程无须专用的FPGA编程器，只须用通用的EPROM、PROM编程器即可。当需要修改FPGA功能时，只需换一片EPROM即可。这样，同一片FPGA，不同的编程数据，可以产生不同的电路功能。因此，FPGA的使用非常灵活。

发明内容

本发明为了弥补现有技术的缺陷，提供了一种应用范围广泛，安全稳定，使用方便的便携式密码模块。

本发明是通过如下技术方案实现的：

一种便携式密码模块，其特征在于：由USB物理层芯片，FPGA芯片，网络物理层芯片，MCU以及输入模块组成，所述输入模块包括指纹模块和键盘，所述USB物理层芯片、网络物理层芯片以及MCU均连接到FPGA芯片，所述输入模块连接到MCU，所述USB物理层芯片连接到计算机PC，所述网络物理层芯片连接到网络；所述MCU负责策略下发，密钥保护和系统进程控制，所述指纹模块和键盘输入提供用户身份认证。

所述FPGA芯片内部包括USB控制模块，网络控制模块，密码算法模块，策略匹配模块，密钥交换模块和两个FIFO，所述策略匹配模块，密钥交换模块和两个FIFO均连接到密码算法模块，所述USB控制模块和网络控制模块各自连接到一个FIFO；所述USB物理层芯片连接到USB控制模块，所述网络物理层芯片连接到网络控制模块，所述MCU连接到策略匹配模块。

用户通过指纹模块和键盘进行身份认证后，所述便携式密码模块进入工作模式，对用户数据进行解析，解析后的数据与策略匹配模块进行策略适配，策略适配后数据进行相应处理即可。

所述数据进行策略适配后，明通策略数据不经过任何处理明文通过；而点对点需要加密或解密传输的数据，通过密钥交换模块协商的密钥进行加密或解密传输；用于网络存储的用户私人数据将会加密上传或解密下载；未能匹配到策略的数据直接丢弃即可。