技術(shù)領(lǐng)域

本發(fā)明涉及計算機(jī)信息安全領(lǐng)域，尤其涉及兼容可信計算領(lǐng)域的不同密碼設(shè)備的訪問方法。

背景技術(shù)

為了增加系統(tǒng)的安全性，很多對安全要求較高的信息系統(tǒng)均部署了密碼設(shè)備，以提高計算機(jī)系統(tǒng)運(yùn)行的安全性和數(shù)據(jù)的保密性。與之相關(guān)標(biāo)準(zhǔn)主要有：

RSA?Security?Inc.組織發(fā)布的PKCS標(biāo)準(zhǔn)組。

GM/T?0011-2012?《可信計算可信密碼支撐平臺功能與接口規(guī)范》

GM/T?0012-2012?《可信計算可信密碼模塊接口規(guī)范》

GM/T?0016-2012?《智能密碼鑰匙密碼應(yīng)用接口規(guī)范》

GM/T?0017-2012?《智能密碼鑰匙密碼應(yīng)用接口數(shù)據(jù)格式規(guī)范》

GM/T?0018-2012?《密碼設(shè)備應(yīng)用接口規(guī)范》

GM/T?0019-2012?《通用密碼服務(wù)接口規(guī)范》

現(xiàn)有市場上密碼設(shè)備種類繁多。設(shè)備形態(tài)主要包括PCI設(shè)備、USB設(shè)備、嵌入式設(shè)備等，各種設(shè)備執(zhí)行的設(shè)計標(biāo)準(zhǔn)及接口標(biāo)準(zhǔn)不統(tǒng)一，造成各種設(shè)備之間功能接口、性能差異巨大。

例如，雖然大部分通用密碼設(shè)備符合PKCS規(guī)范，但很少有設(shè)備提供了內(nèi)核層調(diào)用接口。而且一些專用設(shè)備的調(diào)用接口及運(yùn)行方式更是千差萬別，造成基于密碼設(shè)備進(jìn)行安全軟件開發(fā)的不便。此外，有些設(shè)備也存在計算性能瓶頸，部署后，可能導(dǎo)致計算機(jī)系統(tǒng)性能嚴(yán)重下降等問題。

發(fā)明內(nèi)容

本發(fā)明提供一種兼容不同密碼設(shè)備的訪問方法，實(shí)現(xiàn)不同的密碼設(shè)備的可信訪問，提高密碼設(shè)備的訪問效率。

為實(shí)現(xiàn)上述目標(biāo)，本發(fā)明提供一種兼容不同密碼設(shè)備的通用訪問方法，通過可信軟件棧訪問密碼設(shè)備，可信軟件棧包括TSI模塊、KTSI模塊、TCS模塊和TDDI模塊，所述的訪問方法包括如下步驟：

（1）????TSI模塊和KTSI模塊分別在應(yīng)用層/內(nèi)核層接收用戶的訪問請求；

（2）????TSI模塊和KTSI模塊判斷調(diào)用參數(shù)的合法性，通過后將訪問請求發(fā)送至TCS模塊；

（3）????TCS模塊判斷調(diào)用者權(quán)限，若合法，則對調(diào)用進(jìn)行序列優(yōu)化和串行化后發(fā)送至TDDI模塊；

（4）????TDDI模塊接收上層TCS模塊下發(fā)的命令，按密碼設(shè)備硬件規(guī)定的命令報告格式封裝后轉(zhuǎn)發(fā)給下層驅(qū)動，實(shí)現(xiàn)對密碼設(shè)備的訪問；

（5）????將密碼設(shè)備返回的運(yùn)算結(jié)果按調(diào)用路徑反向回傳給調(diào)用者。

如上所述的訪問方法，所述步驟（2）中，所述TSI模塊/KTSI響應(yīng)用戶的訪問密碼設(shè)備的請求的處理流程進(jìn)一步包括：

（1）????用戶調(diào)用TSI模塊于應(yīng)用層或KTSI模塊于內(nèi)核層提供的接口；

（2）????TSI模塊/KTSI模塊對輸入?yún)?shù)進(jìn)行檢查，參數(shù)合法進(jìn)入下一步驟；

（3）????傳輸?shù)絻?nèi)核TCS模塊進(jìn)行后繼處理，否則通過調(diào)用接口向調(diào)用者返回錯誤信息；

（4）????TCS模塊處理返回后，向調(diào)用者返回調(diào)用結(jié)果。

如上所述的訪問方法，所述TSI到TCS的傳輸方式包括ioctl、netlink、獨(dú)立System_Call應(yīng)用/內(nèi)核間通信方式，所述KTSI到TCS的傳輸方式為函數(shù)調(diào)用。

如上所述的訪問方法，其特征在于，所述的步驟（3）中，TCS模塊的處理流程包括：

（1）????TCS模塊接收TSI模塊/KTSI模塊傳輸?shù)恼{(diào)用指令；

（2）????TCS模塊對調(diào)用指令的上下文進(jìn)行分析，若指令是對連續(xù)數(shù)據(jù)進(jìn)行操作，則將數(shù)據(jù)存入數(shù)據(jù)操作緩沖區(qū)；

（3）????若操作緩沖區(qū)長度超過了當(dāng)前加密設(shè)備單次處理長度限制，則將等于當(dāng)前加密設(shè)備單次處理長度的數(shù)據(jù)做為參數(shù)，加入調(diào)用隊列，否則直接返回調(diào)用者，等待后繼數(shù)據(jù)；

（4）????工作線程檢查隊列長度，如果隊列長度超過了預(yù)設(shè)限制，則過濾隊列中可以使用軟算法進(jìn)行計算的指令，用軟算法計算后返回調(diào)用者；

（5）????工作線程將隊列中的指令按優(yōu)先級發(fā)送給TDDI模塊；

（6）????將TDDI模塊返回的數(shù)據(jù)回復(fù)給上層調(diào)用者。

如上所述的訪問方法，所述TCS模塊對調(diào)用指令的上下文進(jìn)行分析，若指令是對連續(xù)數(shù)據(jù)進(jìn)行操作的操作包括加密或摘要計算。

如上所述的訪問方法，所述的步驟（3）中，還進(jìn)一步包括TCS模塊維護(hù)調(diào)用隊列，并建立工作線程對調(diào)用隊列進(jìn)行輪詢，按優(yōu)先級向tddi模塊的轉(zhuǎn)發(fā)隊列中的指令，從而實(shí)現(xiàn)串行化機(jī)制。