专利名称:一种实现保密通信的方法及其加密设备的利记博彩app
技术领域:
本发明涉及保密通信领域,更具体地说是涉及一种实现保密通信的方法和其硬件加密设备。
对于计算机通信系统中实现保密通信,已经有多种实现加密的方式,总起来包括软件加密和硬件加密。软件加密是在通信系统的应用层中加入一个专门负责加密、解密的软件模块,对往来于通信系统的数据进行加密和解密。由于在进行这种方式时,关键的加密、解密密钥以及加、解密过程中出现的数据都要在本机的内存中出现,如果本机的操作系统有漏洞,那么远程密码分析者就可以取得这些关键的数据,从而轻松对以后的保密通信实现破译。另外,由于加密算法的运算量非常大,所以加、解密过程对系统宝贵资源的大量占有也是无法容忍。
为了克服这两个缺点随之产生了许多采用硬件加密的方式。硬件加密就是将加密密码算法和密钥存储到专用的硬件中去,加密、解密过程也由硬件中的微处理器来完成。虽然硬件加密从根本上克服了上述软件加密的缺点,但是如何将专门负责加密的硬件连接到通信终端中却能产生更多需要考虑的问题。任何一个通信终端或者微处理器都要通过称为“总线”的结构与一定数量的部件和外围设备比如硬件加密卡连接,目前已有多种基于总线的加密卡,这些总线包括ISA(AT)、EISA、VESA、PCI总线等。
其中ISA总线是98只引脚的8/16位数据总线,在80286至80486时代应用非常广泛;EISA总线在原来ISA总线的98条信号线上又增加了98条信号线,也就是在两条ISA信号线之间添加一条EISA信号线;VESA(video electronics standardassociation)定义了32位数据线,且可通过扩展槽扩展到64位,使用33MHz时钟频率,最大传输率达132MB/s,可与CPU同步工作。PCI(peripheral componentinterconnect)总线是当前最流行的总线之一,它是由Intel公司推出的一种局部总线。它定义了32位数据总线,且可扩展为64位。PCI总线主板插槽的体积比原ISA总线插槽还小,其功能比VESA、ISA有极大的改善,支持突发读写操作,最大传输速率可达132MB/s,可同时支持多组外围设备。基于这些系统总线的加密卡与通信终端的连接方式是一样的,如
图1所示采用上述系统总线来挂接加密卡的一个显著优点是较高的数据传输速率,可以高达100MB/s。如果实现加密的外部部件的速率跟得上,那么完全可以满足保密通信对速率的要求。
但对于加密这种特殊的功能来说,由于系统安全的需要,要经常对密钥进行更新和管理,并且也有可能对加密卡中的密码算法进行更新操作。密钥管理和密码算法是由加密卡中的专门芯片来完成的,如果面临更新的要求,就要把加密设备从通信终端中取下来之后,通过相应的读写装置对专门芯片进行程序读写来实现更新。所以通过上述系统总线来挂接加密卡缺乏一定的灵活性。另外,由于实现方式的设备复杂,所以设备也往往较昂贵。总起来,通过上述系统总线挂接加密卡的方式的最大缺点就是缺乏灵活性。为了减少费用以及增加灵活性,又出现了通过RS-232等串行口挂接加密卡的方式,连接图同上图。但RS-232等串口传输的最大缺点就是速率低,并不能满足一些通信系统的要求。另外,还有一种在智能IC卡中完成加密功能,此时IC卡与系统连接时必须需要一个IC卡读写器,读写器再通过串口与系统连接。如图2所示如此当在手机或计算机等通信终端中增加外设加密卡时,还要对它们进行改造,以增加一个读写IC外设功能的模块,既不方便又增加额外费用。
所以,迫切需要一种既能提供很高的数据传输速率又能灵活地连接外部加密设备与通信终端的方式。
一种加密设备,包括微处理器模块、RAM模块、程序存储模块、数据存储模块、密钥管理模块、算法管理模块,所述的微处理器模块与数据存储区模块、RAM模块及程序存储区模块通过数据线相连,数据存储区模块与密钥管理模块之间,程序存储区模块与算法管理模块之间,分别通过数据线相连,其特征在于,所述的加密设备还包括USB接口模块,所述USB接口模块通过数据线与密钥管理模块、RAM模块及算法管理模块连接,用来与需加密终端的USB接口相连接,完成数据、程序、密码的更新。
所述的USB接口模块,可以为一个或多个。
一种保密通信方法,其特征在于通过通信终端的USB接口连接加密设备,进而通过运行加密设备内存储的加密算法,完成保密通信。
所述的连接加密设备的步骤,可以连接一个加密设备,也可以连接多个加密设备。
所述的连接加密设备的步骤,可以先在通信终端的USB接口连接集线器,进而再连接多个加密设备。
所述的保密通信方法,还包括一个在通信终端上安装所述加密设备驱动程序的步骤。
所述的保密通信方法,可以通过通信终端的输入设备,完成所述的加密设备中加密算法的更新。
本发明具有职能卡加密的所有优点,并由于USB协议可以直接与终端通信而且不需额外的供电,所以无须附加一个读卡器。并且由于无需额外的附属设备,可以将加密设备采用集成化处理集成到通信系统中,与内部的USB接口通信,增加极大的应用灵活性。
USB支持非常高的数据传输速率,其中低速为10-100kbs,全速为500kbs-10Mbs,高速为25-400Mbs。采用适当的微处理器USB加密设备与通信终端的数据传输速率足以应付3G的通信速率要求,并有低速、全速、高速等级别可供选择。而智能卡加密以及串口连接是无法提供高的传输速率的,当通信系统传输数据业务的速率要求急速增加时,目前的许多技术方案可能根本无法满足要求,而且由于本身的设计出发点可能也无法改进。
由于USB协议支持即插即用,所以本技术方案可以做到对USB加密设备即插即用、无设备及硬件冲突的问题。这在实际应用中,可以提供非常大的灵活性。
USB支持的存储空间非常大,可以在加密设备中存储较复杂的算法或者在应用PKI时存储众多的鉴权证书及密钥,这是智能卡很难做到的。
本技术方案可以做到轻松升级。对系统来说,可以对现有通信设备的串口进行改造以支持USB通信,以后如果要求协议升级时,可以只需升级协议软件,非常灵活。对功能改进来说,通信速率的增加、数据传送方式的改变、密码算法和密钥的更新都可以只需软件在线更新。而其他所有的方案都无法做到如此灵活。
图7是多个本发明的加密设备与通信终端的连接示意图。
如图3所示,本发明的加密设备是一个有USB接口模块的加密卡,该卡包括微处理器模块负责数据运算,通过调用数据存储模块与程序存储模块中的数据和程序,进行加密运算,完成对通信中传递信息数据的加密工作。
RAM模块完成数据的输入输出及读写功能。
程序存储模块主要存储加密、完整性保护算法,可以以密文的形式存放,在加电后,加载进密码运算器中,解密恢复出密文再运行。
数据存储模块用来安全保存主密钥、非队成加密算法密钥对,加电后,主密钥、密钥对由数据存储区调入处理器中参与运算。
密钥管理模块负责密钥的更新与管理。
所述的微处理器模块与数据存储区模块、RAM模块及程序存储区模块通过数据线相连,数据存储区模块与密钥管理模块之间,程序存储区模块与算法管理模块之间,分别通过数据线相连。
在本发明中,创新点是增加了一个USB(通用串行总线Universal SerialBus)接口模块,该USB接口模块通过数据线与密钥管理模块、RAM模块及算法管理模块连接,用来与需加密终端的USB接口相连接,完成数据、程序、密码的更新。
如图4所示,是本发明的加密卡与通信终端的连接示意图。
在实际的加密设备设计中,该USB接口模块,可以为一个或多个,这样,可以同时连接若干USB接口。
本发明的加密卡在使用中,通信终端可以是不同的设备,比如手机、PC机、掌上电脑PDA等,这些通信终端上要开有USB接口并安装所述加密设备驱动程序。
本发明的方法实用极为简单先通过通信终端的USB接口连接加密设备,进而通过运行加密设备内存储的加密算法,即可完成信息在传输过程中的加密,实现保密通信。
如图5所示,是在有线通信中,通信终端为PC机的情况,图6是在无线通信中,通信终端为手机的情况。在这些通信过程中,本发明的加密方法都可以使用,并且简单、方便,而且实用,产生积极的效果。
如图7所示,在实际使用中,如果因为运算速度、存储空间等因素,一个加密设备无法完成所需功能,则可以在运算中,增加若干个加密设备,即不只是使用一个加密卡,也可以同时连接运行多个加密卡,通过若干个加密卡的同时运行,达到系统的要求。其具体的实现,可以在通信终端的USB接口先连接一个集线器,再通过集线器提供的接口,连接多个加密设备,这样,可以同时使用多个加密卡来完成加密工作,增大了容量,也加快了运行速度。
由于算法的淘汰、密钥的更新等,经过一段时间,该加密卡中的相应数据需要更新,这时可以通过通信终端的输入设备,完成所述的加密设备中加密算法的更新。
本发明的设备与方法的使用,将外设加密卡通过USB与通信系统终端灵活连接,大大提高了通信的保密性及设备的灵活性。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
权利要求
1.一种加密设备,包括微处理器模块、RAM模块、程序存储模块、数据存储模块、密钥管理模块、算法管理模块,所述的微处理器模块与数据存储区模块、RAM模块及程序存储区模块通过数据线相连,数据存储区模块与密钥管理模块之间,程序存储区模块与算法管理模块之间,分别通过数据线相连,其特征在于,所述的加密设备还包括USB接口模块,所述USB接口模块通过数据线与密钥管理模块、RAM模块及算法管理模块连接,用来与需加密终端的USB接口相连接,完成数据、程序、密码的更新。
2.如权利要求1所述的加密设备,其特征在于所述的USB接口模块,可以设置为一个,也可以设置为多于一个。
3.一种保密通信方法,其特征在于通过通信终端的USB接口连接加密设备,进而运行加密设备内存储的加密算法,完成保密通信。
4.如权利要求3所述的保密通信方法,其特征在于所述的与通信终端连接加密设备的步骤,可以是连接一个加密设备,也可以是连接多于一个加密设备。
5.如权利要求4所述的保密通信方法,其特征在于所述的与通信终端连接加密设备的步骤,可以先在进行保密通信的通信终端的USB接口上连接集线器,进而再连接多个加密设备。
6.如权利要求3所述的保密通信方法,其特征在于还包括一个在通信终端上安装所述加密设备驱动程序的步骤。
7.如权利要求3所述的保密通信方法,其特征在于可以通过通信终端的输入设备,完成所述的加密设备中加密算法的更新。
全文摘要
本发明涉及一种保密通信方法和所用加密设备。一种加密设备,包括微处理器模块、RAM模块、程序存储模块、数据存储模块、密钥管理模块、算法管理模块,所述的微处理器模块与数据存储区模块、RAM模块及程序存储区模块通过数据线相连,数据存储区模块与密钥管理模块之间,程序存储区模块与算法管理模块之间,分别通过数据线相连,其特征在于,所述的加密设备还包括USB接口模块,所述USB接口模块通过数据线与密钥管理模块、RAM模块及算法管理模块连接,用来与需加密终端的USB接口相连接,完成数据、程序、密码的更新。本发明将外设加密卡通过USB与通信系统终端灵活连接,大大提高了通信的保密性。
文档编号H04K1/00GK1464676SQ0212320
公开日2003年12月31日 申请日期2002年6月12日 优先权日2002年6月12日
发明者谢秀鹏, 郑志彬 申请人:华为技术有限公司