?

技術(shù)領(lǐng)域：

本發(fā)明屬于信息安全領(lǐng)域，尤其涉及一種支持采用硬件加密算法的高速存儲(chǔ)控制SOC芯片，通過采用硬件加密算法和多種存儲(chǔ)接口可以實(shí)現(xiàn)身份認(rèn)證和對(duì)不同存儲(chǔ)介質(zhì)的信息加解密。

背景技術(shù)：

信息時(shí)代，信息已經(jīng)成為最重要的資產(chǎn)之一，同時(shí)信息量呈幾何級(jí)數(shù)關(guān)系增長(zhǎng)，如何有效的保護(hù)信息的安全已經(jīng)引起了越來越多的關(guān)注。近年來，各種信息秘密泄密事件比比皆是：公眾人物電話網(wǎng)上披露、股票密碼被盜、網(wǎng)上銀行賬戶被篡改等等。據(jù)全球知名信息管理研究公司波耐蒙研究所統(tǒng)計(jì)，77%的機(jī)構(gòu)2010年都曾遭遇數(shù)據(jù)丟失。每次數(shù)據(jù)泄露事件使企業(yè)失去31%的客戶群及相關(guān)收入。更值得關(guān)注的是相當(dāng)數(shù)量的泄密事件，都是由內(nèi)部人員所為。所以，如何保護(hù)好重要數(shù)據(jù)的存儲(chǔ)安全至關(guān)重要。因此，也對(duì)存儲(chǔ)數(shù)據(jù)的安全性和私密性也提出了一個(gè)較高的要求。普通的移動(dòng)存儲(chǔ)設(shè)備讀寫速度快，但是無安全性可言。而利用軟件提供存儲(chǔ)數(shù)據(jù)的安全強(qiáng)度往往以犧牲傳輸速度作為代價(jià)的，并且在自身安全和易于攻擊破解方面遠(yuǎn)遠(yuǎn)不如硬件加密。因此傳統(tǒng)意義上的安全移動(dòng)存儲(chǔ)設(shè)備很難做到高安全性和高讀寫速度兼?zhèn)洹?/p>

更重要的事信息安全涉及到國(guó)家和國(guó)防的安全，其重要性和必要性不言而喻，并且在這些地方?jīng)Q不允許使用國(guó)外的加密芯片。因此，開發(fā)、推廣集成高性能國(guó)產(chǎn)算法的帶身份認(rèn)證的加解密器件，并使之產(chǎn)業(yè)化有著巨大的社會(huì)效益和經(jīng)濟(jì)效益。為此，北京華虹推出了這款智能移動(dòng)存儲(chǔ)加密SOC芯片。

細(xì)觀整個(gè)信息過程，可以分為信息處理、信息傳輸和信息存儲(chǔ)三個(gè)階段。對(duì)于信息的安全處理和的安全傳輸方面，已經(jīng)有了很多種方法，在此不在詳述。本產(chǎn)品的關(guān)注點(diǎn)是信息的安全存儲(chǔ)，目前已有產(chǎn)品多以軟件形式進(jìn)行加密存儲(chǔ)，無論其性能還是安全性，都已無法滿足當(dāng)前信息安全的需求。

因此，在信息存儲(chǔ)中，如何有效地實(shí)現(xiàn)數(shù)據(jù)的加密存取和用戶數(shù)據(jù)的安全管理，特別是移動(dòng)存儲(chǔ)設(shè)備設(shè)計(jì)中重點(diǎn)關(guān)注的問題。對(duì)于安全存儲(chǔ)，既要在安全性方面保證，又要最小限度的不影響存儲(chǔ)性能。目前對(duì)存儲(chǔ)的安全設(shè)計(jì)方面，主要有兩種方法，一是對(duì)訪問權(quán)限的控制，一是對(duì)存儲(chǔ)內(nèi)容的的安全處理。基于第一種方法，基本能保證不影響存儲(chǔ)的性能，但這種方法的缺點(diǎn)是安全性低，極易被攻破。對(duì)于第二種方法，目前大多采用軟件加密的方式，這種方式安全性比第一種高，但因?yàn)橐攒浖用艿牡姆绞剑褂眉用軓?qiáng)度越高的加密算法，所需要的系統(tǒng)資源越多，同時(shí)對(duì)數(shù)據(jù)傳輸?shù)男阅苡绊懸苍酱蟆?/p>

因此本發(fā)明的一個(gè)目標(biāo)是提供一種安全，高效的安全存儲(chǔ)控制芯片，既保證高強(qiáng)度的安全性，又保證高效的存儲(chǔ)性能。本發(fā)明主要貫注在這樣的一種安全控制芯片的功能及架構(gòu)上。

發(fā)明內(nèi)容：????

?本發(fā)明的目的就是為實(shí)現(xiàn)一種高速安全存儲(chǔ)方案，提供一種控制芯片，以保證存儲(chǔ)安全高效。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案是：采用身份認(rèn)證和數(shù)據(jù)加解密相結(jié)合的雙重保護(hù)機(jī)制來保護(hù)數(shù)據(jù)信息的安全性，采用硬件和軟件多級(jí)流水的方式來保證存儲(chǔ)性能的高效性。

對(duì)于身份認(rèn)證，采用UKey/SIMKey安全身份認(rèn)證技術(shù)和用戶PIN碼保護(hù)的雙因子安全技術(shù)，其中，UKey/SIMKey安全鑰匙要先經(jīng)過數(shù)字證書授權(quán)中心預(yù)先處理才能使用，而用戶PIN碼輸入則用于保護(hù)UKey/SIMKey安全。

在對(duì)數(shù)據(jù)進(jìn)行加解密處理方面，采用高強(qiáng)度的全硬件國(guó)產(chǎn)密碼算法SM1(256)或國(guó)際密碼算法AES（256）來實(shí)現(xiàn)，同時(shí)在硬件實(shí)現(xiàn)時(shí)，采用多級(jí)流水的方式，有效的保證數(shù)據(jù)傳輸?shù)男阅堋Ｍ瑫r(shí)在軟件數(shù)據(jù)流傳輸?shù)倪^程中，同樣采用多級(jí)流水的方式，基于軟硬件雙方面的流水控制，數(shù)據(jù)流基本達(dá)到了無損耗傳輸。另一方面，由于加密算法采用全硬件實(shí)現(xiàn)，所有的密鑰只存在于芯片內(nèi)部，不會(huì)進(jìn)入到計(jì)算機(jī)內(nèi)存，能有效的防止木馬、黑客的攻擊。

一種支持采用硬件加密算法的高速存儲(chǔ)控制SOC芯片，包括：

1）自主指令系統(tǒng)處理器--UniCore32-II：負(fù)責(zé)整個(gè)芯片的資源調(diào)度，數(shù)據(jù)流的控制管理；

2）PKI硬件模塊SM2/SM3：負(fù)責(zé)身份認(rèn)證和公鑰加密功能，包括密鑰對(duì)生成、HASH功能、私鑰簽名功能、公鑰驗(yàn)簽、公鑰加密及私鑰解密功能；?

3）數(shù)據(jù)加密模塊AES/SM1：負(fù)責(zé)數(shù)據(jù)包的加解密功能，采用最高密級(jí)的256位算法；