[发明专利]一种基于PCIe链路数据透传加解密的方法

说明书

本发明公开了一种基于PCIe链路数据透传加解密的方法，该方法在硬件上在上位机与设备端之间增加了加解密模块，该方法分为发送和接收两个方向。本发明将PCIe系统中的加解密过程由应用层下移至数据链路层，使之对应用层用户而言，完全透明。这样做可以加强加解密工作的稳定性，也可以在应用程序不做修改的情况下，实现项目的加解密需求，改变了现有的加密技术在应用层容易暴露的问题，增加了实施的安全性。

技术领域

本发明属于数据传输领域，具体是一种基于PCIe链路数据透传加解密的方法。

背景技术

PCIe是目前非常流行的计算机总线架构，尤其在以X86架构为核心的桌面级平台以及服务器平台计算系统中，有着非常广泛的应用。但是，PCIe数据流在传输过程中都使用明文进行，因此，传统的加解密过程，是将有加解密需求的数据在应用侧完成加解密动作后，再通过PCIe链路向外部设备发送。

由于移动互联网络的快速发展，联网设备的数量呈井喷式发展。相应的，联网设备的安全性问题，成为日益突出的问题。数据安全的需求越来越强烈，在各个层级的数据加解密技术得到广泛应用。从目前通用的网络协议栈的五层结构中(五层分别是应用层、传输层、网际层、数据链路层和物理层)可以看到，安全加解密功能可以在应用层、传输层、网际层、数据链路层实施，但通常会选择在应用层实施。

常见的计算机系统加解密过程，通常由系统的主处理器，调用带有加解密功能的模块，加解密功能可以通过硬件，也可以通过软件实现。这种加解密方式对于应用程序来说是不透明的，加解密过程必须通过应用流程调用相应的加解密功能来实现。

从网络协议栈的角度看，在应用层实施的安全加解密功能暴露程度较高，越靠近底层的加解密技术，暴露程度越低；同时对应用程序使用者来说，其加解密功能的透明程度越高。

发明内容

针对现有技术的不足，本发明拟解决的技术问题是，提供一种基于PCIe链路数据透传加解密的方法。

本发明解决所述技术问题的技术方案是，提供一种基于PCIe链路数据透传加解密的方法，其特征在于该方法在硬件上在上位机与设备端之间增加了加解密模块，该方法分为发送和接收两个方向，具体包括以下步骤：

发送方向：

(1)上位机的数据流通过PCIe物理层高速串行传输通道传递，通过PCIe数据链路层进行数据传输流程管理，在PCIe数据链路层通过加解密模块的命令解析单元完成解析；解析出的数据为加解密模块提供下游通信用的物理地址信息、操作类型、有效数据长度和校验码等关键信息；

(2)根据应用项目的具体要求，利用逻辑提取关键数据段，将数据段内容写入加解密模块的待加密数据存储区间；

(3)调用加解密模块的加密单元，对待加密数据存储区间中的内容进行加密操作，加密使用对称加密算法；

(4)将完成加密的数据写入加解密模块的待发送数据存储区间；

(5)在PCIe数据链路层实现加密数据的再封装，从PCIe数据链路层发送至PCIe物理层，再发送至设备端，完成数据发送；

接收方向：

(1)设备端的数据包通过PCIe物理层高速串行传输通道传递，通过PCIe数据链路层进行数据传输流程管理，在PCIe数据链路层通过加解密模块的接收解析单元解析接收到的数据包，提取有效控制信息，比如数据长度等；

(2)根据应用项目的具体要求，利用逻辑提取有效加密数据段，将有效加密数据段内容写入加解密模块的待解密数据存储区间；

(3)调用加解密模块的解密单元，对待解密数据存储区间中的内容进行解密操作，解密使用对称解密算法；

(4)将完成解密的数据写入加解密模块的待读取数据存储区间；