[发明专利]密码卡及其加解密方法

说明书

本发明提供了一种密码卡及其加解密方法，其中密码卡包括：密码算法模块，包括多个密码算法芯片，每种密码算法芯片用于执行一种或多种密码算法的加密解密运算；现场可编程门阵列，其内部集成有PCI‑E IP核和密码计算调度机，其中PCI‑E IP核用于连接主机的PCI‑E接口，与主机进行数据交互，以接收来自于主机的待进行加解密的数据和计算指令，并在加解密完成后向主机提供加解密后的数据，密码计算调度机与密码算法模块连接，用于调用多个密码算法芯片进行密码计算；数字信号处理器，与现场可编程门阵列连接，并用于控制现场可编程门阵列进行数据和命令的读写操作。本发明方案支持多种国密算法和国际算法，简化了硬件架构，可以有效发挥高速算法芯片的速度性能。

技术领域

本发明涉及数据安全，具体地，涉及一种密码卡及其加解密方法。

背景技术

随着通信与计算机网络技术的飞速发展，物联网、大数据、云计算等战略性产业的兴起，人们对网络环境和网络信息资源的依赖程度日益加深。计算机网络已经成为当今信息化社会发展的重要保障，网络信息安全关系到国家主权的安全、社会的稳定，关系到公私财物和个人隐私的安全，正是由于网络信息安全问题的存在，所以大量网络中存储和传输的重要数据需要得到有效的保护。网络信息安全问题的根源一方面是来自网络自身的安全缺陷，如网络协议的不安全和业务的不安全，另一方面是人为因素，如管理不善导致黑客攻击。

为了保证特殊数据或行业的数据安全，网络数据需要采取加密方式进行传输。一般承担数据加密任务的主要是设备中集成的密码卡。目前，密码卡作为一种硬件加密方法能够提高加解密的处理速度的加密方式，已经被广泛应用。国家密码局根据我国信息安全需要先后颁布了多套国产密码算法，包括SM1、SM2、SM3、SM4及祖冲之序列密码算法等。为支持不同的密码算法，需要设计各种密码卡来满足支持这些密码算法。目前的密码卡不能支持多种密码算法，运算效率不高，不能满足目前的加密需要。

发明内容

本发明的目的是提供一种密码卡，其包括：密码算法模块，包括多个密码算法芯片，每种密码算法芯片用于执行一种或多种密码算法的加密解密运算；现场可编程门阵列，其内部集成有PCI-E IP核和密码计算调度机，其中PCI-E IP核用于连接主机的PCI-E接口，与主机进行数据交互，以接收来自于主机的待进行加解密的数据和计算指令，并在加解密完成后向主机提供加解密后的数据，密码计算调度机与密码算法模块连接，用于调用多个密码算法芯片进行密码计算；数字信号处理器，与现场可编程门阵列连接，并用于控制现场可编程门阵列进行数据和命令的读写操作。

可选地，现场可编程门阵列内部设置有双端口RAM，其中双端口RAM的一个端口作为输入数据缓冲区，用于存放待进行加解密的数据和计算指令；双端口RAM的另一个端口作为输出数据缓冲区，用于存放用于待向主机提供的加解密后的数据。

可选地，现场可编程门阵列还配置成对输入数据缓冲区中的计算指令进行解析，并根据计算指令使密码计算调度机调用对应的密码算法芯片进行密码计算，并在计算结束后将计算结果提供给输出数据缓冲区。

可选地，上述密码卡还包括：存储器，与数字信号处理器连接，用于存储数字信号处理器的DSP固件程序以及内置密钥；并且现场可编程门阵列还配置成若解析结果为使用内置密钥，触发数字信号处理器的中断，以供数字信号处理器读取存储器保存的内置密钥，并写入输入数据缓冲区，以供密码计算调度机计算使用。

可选地，密码计算调度机使用有限状态机进行逻辑控制，并且密码算法芯片执行的密码算法包括以下任意一种或多种：SM1、SM2/3、SM4、RSA。

可选地，上述密码卡还包括：用户验证接口，用于读取外部身份验证设备中的身份信息；数字信号处理器，还与用户验证接口相连，还用于获取身份信息，以验证用户的合法性。

可选地，上述密码卡还包括：两片随机数发生器，分别连接至现场可编程门阵列以及数字信号处理器，以向现场可编程门阵列以及数字信号处理器分别提供随机数序列。