[发明专利]PCI-E密码卡及其密钥保护方法、计算机可读存储介质

说明书

本发明公开了一种PCI‑E密码卡及其密钥保护方法、计算机可读存储介质，方法包括：在PCI‑E密码卡上电启动后，FPGA芯片和主控处理器分别计算出自身的私钥；主控处理器从密钥存储芯片中读取用户密钥的密文，并采用数字信封的加密方式对其加密后发送给管理员设备；管理员设备对数字信封解密后，根据主密钥对用户密钥的密文解密以获得用户密钥的明文，并采用数字信封的方式对其加密后发送给主控处理器；主控处理器对数字信封解密以获得用户密钥的明文，并对其进行存储和使用，以及采用数字信封的方式对其加密后发送给FPGA芯片；FPGA芯片对数字信封解密以获得用户密钥的明文，并对其进行存储和使用。由此，有效保证了用户密钥在上述各个部件之间传输的安全性。

技术领域

本发明涉及计算机信息安全技术领域，尤其涉及一种PCI-E密码卡的密钥保护方法、一种计算机可读存储介质和一种PCI-E密码卡。

背景技术

密码技术主要用于保障云计算、大数据、物联网、工业控制等各种信息系统中的信息安全，包括机密性、完整性、真实性和抗抵赖性。PCI-E(Peripheral ComponentInterconnect-Express，高速串行计算机扩展总线标准)密码卡是一种采用PCI-E总线接口的板卡设备，为计算机或服务器提供数据加解密、消息鉴别、数字签名、身份认证等功能，也是服务器密码机、签名验签服务器、SSL VPN(指采用SSL协议来实现远程接入的一种VPN技术)、IPSec VPN(指采用IPSec协议来实现远程接入的一种VPN技术)等密码设备的核心部件。

密钥是PCI-E密码卡最重要的秘密信息，包括用户的私钥、对称密钥等，必须保证其在存储、传输、使用等过程中的安全。相关技术中，PCI-E密码卡中的密钥主要以密文的形式存储在密码卡的密钥存储芯片中，在密码卡上电启动且管理员登录成功后，密码卡上的CPU处理器读取密文密钥，并对该密文密钥解密后，以明文形式在CPU处理器、FPGA(FieldProgrammable Gate Array，现场可编程逻辑门阵列)芯片以及管理员设备之间实现密钥同步，用于数据加解密、数字签名等密码运算。

该方式主要解决了PCI-E密码卡的密钥存储安全问题，即密钥以密文的形式存储在密码卡的密钥存储芯片中，从而可以有效防止通过拆卸密码卡上的存储芯片来读取密钥信息，但由于CPU处理器、FPGA芯片、管理员设备之间的数据传输是以明文形式传输的，因而存在密钥被监听、窃取的安全风险。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的第一个目的在于提出一种PCI-E密码卡的密钥保护方法，通过在传输过程中采用数字信封的加密方式对用户密钥进行加密，即以对称和非对称相结合的加密方式对用户密钥进行加密，从而有效保证传输过程中密钥的安全性。

本发明的第二个目的在于一种计算机可读存储介质。

本发明的第三个目的在于一种PCI-E密码卡。

为达到上述目的，本发明第一方面实施例提出了一种PCI-E密码卡的密钥保护方法，PCI-E密码卡包括主控处理器、与主控处理器相连的密钥存储芯片、与主控处理器相连的FPGA芯片，主控处理器与外部的管理员设备进行通信，包括以下步骤：在PCI-E密码卡上电启动以建立与管理员设备之间的通信连接后，FPGA芯片和主控处理器分别计算出自身的私钥；主控处理器从密钥存储芯片中读取用户密钥的密文，并采用数字信封的加密方式对用户密钥的密文进行加密后发送给管理员设备；管理员设备对数字信封进行解密后，根据自身存储的主密钥对用户密钥的密文进行解密以获得用户密钥的明文，并采用数字信封的方式对用户密钥的明文进行加密后发送给主控处理器；主控处理器对数字信封进行解密以获得用户密钥的明文，并对用户密钥的明文进行存储，以便于进行密码运算，以及采用数字信封的方式对用户密钥的明文进行加密后发送给FPGA芯片；FPGA芯片对数字信封进行解密以获得用户密钥的明文，并对用户密钥的明文进行存储，以便于进行密码运算。