技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全技術(shù)領(lǐng)域，特別涉及一種便攜式密碼模塊。

背景技術(shù)

隨著數(shù)據(jù)價值不斷提升以及存儲技術(shù)不斷發(fā)展，存儲系統(tǒng)的重要性不斷提升，數(shù)據(jù)成為最核心的資產(chǎn)。存儲系統(tǒng)作為數(shù)據(jù)的保存空間，是數(shù)據(jù)保護的最后一道防線。隨著存儲系統(tǒng)由本地直連向網(wǎng)絡(luò)化和分布式的方向發(fā)展，并被網(wǎng)絡(luò)上的眾多計算機共享，使存儲系統(tǒng)變得更易受到攻擊。

其中，相對靜態(tài)的存儲系統(tǒng)往往成為攻擊者的首選目標，達到竊取、篡改或破壞數(shù)據(jù)的目的。如果沒有存儲安全防范措施，一旦攻擊者成功地滲透到數(shù)據(jù)存儲系統(tǒng)中，其負面影響將是無法估計的，因此存儲安全變得至關(guān)重要。

針對網(wǎng)絡(luò)化和分布式發(fā)展中傳統(tǒng)存儲系統(tǒng)安全系數(shù)低，容易被攻擊，威脅用戶數(shù)據(jù)安全這一問題，本發(fā)明提出了一種便攜式密碼模塊。該便攜式密碼模塊基于FPGA，旨在解決數(shù)據(jù)共享時，提供用戶認證和數(shù)據(jù)加/解密操作，保障用戶數(shù)據(jù)信息的完整、不受損壞、不被竊取，同時保證數(shù)據(jù)在網(wǎng)絡(luò)中安全傳輸需求。

FPGA（Field－ProgrammableGateArray），即現(xiàn)場可編程門陣列，它是在PAL、GAL、CPLD等可編程器件的基礎(chǔ)上進一步發(fā)展的產(chǎn)物。它是作為專用集成電路（ASIC）領(lǐng)域中的一種半定制電路而出現(xiàn)的，既解決了定制電路的不足，又克服了原有可編程器件門電路數(shù)有限的缺點。

FPGA采用了邏輯單元陣列LCA（LogicCellArray）這樣一個概念，內(nèi)部包括可配置邏輯模塊CLB（ConfigurableLogicBlock）、輸入輸出模塊IOB（InputOutputBlock）和內(nèi)部連線（Interconnect）三個部分。現(xiàn)場可編程門陣列（FPGA）是可編程器件，與傳統(tǒng)邏輯電路和門陣列（如PAL，GAL及CPLD器件）相比，F(xiàn)PGA具有不同的結(jié)構(gòu)。FPGA利用小型查找表（16×1RAM）來實現(xiàn)組合邏輯，每個查找表連接到一個D觸發(fā)器的輸入端，觸發(fā)器再來驅(qū)動其他邏輯電路或驅(qū)動I/O，由此構(gòu)成了既可實現(xiàn)組合邏輯功能又可實現(xiàn)時序邏輯功能的基本邏輯單元模塊，這些模塊間利用金屬連線互相連接或連接到I/O模塊。FPGA的邏輯是通過向內(nèi)部靜態(tài)存儲單元加載編程數(shù)據(jù)來實現(xiàn)的，存儲在存儲器單元中的值決定了邏輯單元的邏輯功能以及各模塊之間或模塊與I/O間的聯(lián)接方式，并最終決定了FPGA所能實現(xiàn)的功能，F(xiàn)PGA允許無限次的編程。

加電時，F(xiàn)PGA芯片將EPROM中數(shù)據(jù)讀入片內(nèi)編程RAM中，配置完成后，F(xiàn)PGA進入工作狀態(tài)。掉電后，F(xiàn)PGA恢復(fù)成白片，內(nèi)部邏輯關(guān)系消失，因此，F(xiàn)PGA能夠反復(fù)使用。FPGA的編程無須專用的FPGA編程器，只須用通用的EPROM、PROM編程器即可。當需要修改FPGA功能時，只需換一片EPROM即可。這樣，同一片F(xiàn)PGA，不同的編程數(shù)據(jù)，可以產(chǎn)生不同的電路功能。因此，F(xiàn)PGA的使用非常靈活。

發(fā)明內(nèi)容

本發(fā)明為了彌補現(xiàn)有技術(shù)的缺陷，提供了一種應(yīng)用范圍廣泛，安全穩(wěn)定，使用方便的便攜式密碼模塊。

本發(fā)明是通過如下技術(shù)方案實現(xiàn)的：

一種便攜式密碼模塊，其特征在于：由USB物理層芯片，F(xiàn)PGA芯片，網(wǎng)絡(luò)物理層芯片，MCU以及輸入模塊組成，所述輸入模塊包括指紋模塊和鍵盤，所述USB物理層芯片、網(wǎng)絡(luò)物理層芯片以及MCU均連接到FPGA芯片，所述輸入模塊連接到MCU，所述USB物理層芯片連接到計算機PC，所述網(wǎng)絡(luò)物理層芯片連接到網(wǎng)絡(luò)；所述MCU負責策略下發(fā)，密鑰保護和系統(tǒng)進程控制，所述指紋模塊和鍵盤輸入提供用戶身份認證。

所述FPGA芯片內(nèi)部包括USB控制模塊，網(wǎng)絡(luò)控制模塊，密碼算法模塊，策略匹配模塊，密鑰交換模塊和兩個FIFO，所述策略匹配模塊，密鑰交換模塊和兩個FIFO均連接到密碼算法模塊，所述USB控制模塊和網(wǎng)絡(luò)控制模塊各自連接到一個FIFO；所述USB物理層芯片連接到USB控制模塊，所述網(wǎng)絡(luò)物理層芯片連接到網(wǎng)絡(luò)控制模塊，所述MCU連接到策略匹配模塊。

用戶通過指紋模塊和鍵盤進行身份認證后，所述便攜式密碼模塊進入工作模式，對用戶數(shù)據(jù)進行解析，解析后的數(shù)據(jù)與策略匹配模塊進行策略適配，策略適配后數(shù)據(jù)進行相應(yīng)處理即可。

所述數(shù)據(jù)進行策略適配后，明通策略數(shù)據(jù)不經(jīng)過任何處理明文通過；而點對點需要加密或解密傳輸?shù)臄?shù)據(jù)，通過密鑰交換模塊協(xié)商的密鑰進行加密或解密傳輸；用于網(wǎng)絡(luò)存儲的用戶私人數(shù)據(jù)將會加密上傳或解密下載；未能匹配到策略的數(shù)據(jù)直接丟棄即可。