基于PCI-E高性能密码卡的关键技术的研究

摘要

天地一体化网络具有信道开放、卫星节点暴露、异构网络互联等特点，相比传统地面网络更易遭受实体假冒、非授权访问、信息窃取、重放攻击等安全威胁，面临前所未有的安全挑战。随着云计算和大数据的发展，数据中心的数据越来越复杂，既有结构化数据也有非结构化数据，这些数据均需要服务器进行处理，更需要高性能的设备进行加密存储保护。针对这些数据所面临的威胁，提供一种安全的保护措施变得极为重要。传统的密码卡设计在速度和安全性上均无法满足以上业务数据吞吐率高，在线并发服务数高等特点，因此在现有密码卡的基础上研究安全可靠的高性能密码卡关键技术来保护网络和信息安全是非常有必要的。 本文将立足于国密算法及标准[1]，研究基于 PCI-E的高性能密码卡的关键技术，在提高其性能的同时保证安全和可靠性。它作为一个独立的密码单元，同时具备数据加解密、完整性保护、身份认证、密钥管理(密钥生成、分发、储存等)、权限管理等功能。该密码卡采用了PCI-E高速串行总线标准，硬件描述语言实现密码算法，使得该密码卡具备高速的数据加解密性能及与宿主机之间高速的响应能力。本文的研究内容主要为以下几个方面： （1）根据密码卡的应用场景，从安全性方面、性能方面和安全防护方面进行需求分析，提出了高性能密码卡总体所要实现的目标。根据需求提出了密码卡系统的总体框架并进行了分析。基于当前研究现状提出了密码卡的硬件体系结构，通过设计硬件隔离的方式来保护密码卡的内部数据，通过设计FPGA外置高性能DDR实现海量的密钥缓存来提高密码服务的并发性能，提高了密码运算的性能和安全性。提出了密码卡的软件体系结构，并对该框架中的每个模块的功能进行了详细介绍。该框架能够很好地实现系统的功能和可扩展性。提出了密码服务引擎作为密码运算的调度模块，解决了复杂的高并发性密码服务请求，多密码算法交叉计算及统一虚拟化管理的问题。 （2）根据密码卡使用场景的需求，设计了密码卡系统的密钥体系，在此基础上使用三级密钥结构进行保护，对密钥的分类和具体的管理策略进行了详细介绍。基于密码卡的软硬件系统框架提出了密钥管理系统的框架并详细介绍了每个模块的功能。设计了密钥的存储保护结构并提出了密钥的缓存机制；提出了基于USB Key且适用于密码卡系统的登录模型和身份认证协议来提高用户获取密码服务时身份认证的安全性。 （3）设计并实现了密码卡的硬件结构，初始化流程及密码服务流程；设计实现了密钥管理体系中密钥存储和缓存的方案以及管理的流程。最后分别对密码卡的硬件，功能及密码运算性能进行了检测，其结果达到了总体目标的要求。 该密码卡充分利用硬件加密的速度优势和PCI-E传输的高速性能，为用户提供安全高速的数据加解密、数字签名以及验签等安全服务。既可应用到信息安全通信系统中的端到端加密，又可以作为VPN加密网关、数据安全平台、服务器密码机等商用密码产品的基础密码模块，也可作为各种信息安全密钥管理系统中的核心构件，具有广泛的系统集成和应用潜力。

目录

第一个书签之前

摘要

ABSTRACT

插图索引

表格索引

符号对照表

缩略语对照表

第一章 绪论

1.1 选题背景和意义

1.2 课题来源

1.3 国内外研究现状

1.4 论文工作和组织结构

第二章 相关理论和技术

2.1 硬件加密平台

2.2 密码学相关理论

2.2.1 非对称密码算法

2.2.2 杂凑算法

2.2.3 分组密码算法

2.2.4 Shamir门限秘密共享

2.3 本章小结

第三章 密码卡系统总体设计

3.1 需求分析

3.1.1 应用场景分析

3.1.2 密码服务需求

3.1.3 安全防护需求

3.2 密码卡系统总体框架

3.3 密码卡状态转换

3.4 硬件总体设计

3.5 软件总体设计

3.5.1 密码卡内部软件结构

3.5.2 密码服务引擎

3.6.1 密钥体系

3.6.2 密钥管理架构

3.6.3 密钥安全防护

3.7 本章小结

第四章 密钥管理系统设计与实现

4.1 密钥管理系统设计

4.2.1 密钥管理策略

4.2.2 密钥存储模块

4.2.3 密钥缓存模块

4.2.4 密钥管理权限

4.3 本章小结

第五章 系统设计与实现

5.1 硬件设计与实现

5.1.1 密码运算单元

5.1.2 密码控制单元

5.1.3 PCI-E传输协议

5.1.4 SPI接口

5.2 软件设计与实现

5.2.1 密码卡工作流程

5.2.2 密码设备应用接口

5.2.3 密码服务引擎设计

5.3 安全性设计与实现

5.3.1 密码卡自检防护

5.3.2 管理员身份认证

5.3.3 用户身份认证

5.4 本章小结

第六章 测试方法与结果

6.1 硬件检测

6.1.1 安装测试

6.1.2 初始化测试

6.2 功能检测

6.2.1 密码运算功能测试

6.2.2 随机数检测

6.2.3 密钥管理功能测试

6.3 性能检测

6.4 本章小结

第七章 总结与展望

7.1 研究总结

7.2 展望

参考文献

致谢

作者简介

1. 基本情况

2. 教育背景

3. 攻读硕士学位期间的研究成果

3.1 发表学术论文

3.2 参与科研项目及获奖