[发明专利]一种具有双路异构功能的高性能安全加密系统

说明书

本发明公开了一种具有双路异构功能的高性能安全加密系统，所述系统包括：业务处理模块，用于对输入数据的加解密；异构处理模块，作为另一路用于对输入数据进行加解密，采用与业务处理模块不同的软、硬件架构；度量模块，用于接收业务处理模块和异构处理模块的加、解密输出，并进行输出结果的一致性度量，若不一致，切断数据输入。本发明可以防止数据在加解密过程中被篡改，提高加密存储的安全性。

技术领域

本发明涉及信息安全数据加密技术领域，尤其涉及一种基于国产密码算法、具有双路异构功能的高性能安全加密系统。

背景技术

随着国家对信息安全技术的重视，当前很多机构和企业要求使用国产算法对其信息数据进行保护。基于该现状很多厂商研制了基于PCIE等接口的密码卡。随着用户规模大幅增长，对密码卡加解密处理的安全性、可靠性也提出了更高的要求。

现有的基于国产密码算法的数据加解密存储方法如图1所示，需要进行加密存储的数据通过PCIE接口进入接口模块，并由接口模块分配给业务处理模块进行加解密操作，加解密完成的数据送回接口模块，并由PCIE接口送出，完成对需要存储数据的加解密处理。

对于传统的加密存储方案，如果PCIE接口进入的数据被篡改过，或者业务处理模块中的加解密算法处理过程中数据被篡改，设备是无法检测到的，因而传统加密存储方案的安全可靠性大大降低。

发明内容

本发明是一种具有双路异构功能的高性能安全加密系统，本发明对于接收到的数据，采用两路完全不同接口，不同芯片，不同协议的链路同时进行加解密处理，并在最后对比两条链路的加解密结果和关键数据，如果结果不一致，则表明数据很可能遭到篡改，本发明可以防止数据在加解密过程中被篡改，提高加密存储的安全性，详见下文描述：

一种具有双路异构功能的高性能安全加密系统，所述系统包括：

业务处理模块，用于对输入数据的加解密；

异构处理模块，作为另一路用于对输入数据进行加解密，采用与业务处理模块不同的软、硬件架构；

度量模块，用于接收业务处理模块和异构处理模块的加、解密输出，并进行输出结果的一致性度量，若不一致，切断数据输入。

其中，所述度量模块还用于对业务处理模块运行时的数据进行完整性度量。

进一步地，所述系统还包括：

接口模块，用于处理PCIE接口与应用宿主机的数据传输，将PCIE接口收到的数据转发给业务处理模块与异构处理模块，再通过PCIE接口将业务处理模块处理后的数据发送出去；

还用于，根据度量模块的控制信号对PCIE接口的输入数据进行切断。

其中，所述系统还包括：

微电防护模块，用于检测外壳是否被异常开启，若异常开启时，销毁内部存储的开机分量，并通知配置管理模块进行其他数据销毁。

本发明提供的技术方案的有益效果是：

1、本发明采用模块化设计，具备双路异构度量、密码算法关键数据度量等功能，发现异常，立即上报异常并通过声、光方式产生告警，同时该设备可以阻断PCIE接口的数据收发，具有一定抵抗未知攻击的能力，具有更高的安全性、可靠性；

2、本发明的整机加解密速率≥400Mbps，加密时延≤1ms；

3、本发明是基于FPGA编程实现的高速数据加密设备，具备资源管理功能，支持密码算法更换、密码资源本地分级销毁，具备应急开关销毁措施。

附图说明

图1为现有的加密存储的示意图；

图2为本发明提供的安全加密系统的结构示意图；