一种数据密码运算方法及数据密码服务器与流程

本发明涉及网络安全技术领域，具体主要涉及一种数据密码运算方法及数据密码服务器。

背景技术

近年来，随着网络和计算机技术的迅猛发展，网络已经成为人们获取、传递信息的重要手段，互联网的方便快捷使得电子商务、电子政务、网络办公发展的如火如荼。但由于互联网的开放向，黑客技术和非法入侵等愈发猖獗，使得互联网用户面临线路窃听、篡改数据、冒充合法用户等诸多安全威胁，对数据进行有效的加密就成了重中之重，网络安全技术也在各个行业得到了广泛重视和应用。而现有的数据加密系统存在数据安全保障度低、加密运算速度慢、随机数强度低、不能确保密钥及应用系统的存储安全、通用型和可扩展性较差等问题，无法安全快捷地为用户提供签名/验证、加密/解密服务。

技术实现要素：

针对现有技术中存在的缺陷，为了能够提高加密强度及加密运算速度，保证用户密钥的存储安全，实现更加安全快捷地密码运算服务及更高的可扩展性，本发明提供一种数据密码运算方法及数据密码服务器。

为了解决上述问题，本发明公开了一种数据密码运算方法，包括：

从vpn模块接收和响应用户发送的密码运算请求，将所述密码运算请求发送至密码运算模块；

所述密码运算模块根据所述密码运算请求独立完成密码运算，得到密码运算结果，并将所述密码运算结果发送至密码服务模块；

所述密码服务模块将所述密码运算结果发送至所述vpn模块，将所述密码运算结果返回给所述用户。

进一步的，采⽤加密卡进行所述密码运算，所述加密卡采用双wng系列物理噪声源芯⽚生成随机数。

进一步的，所述密码运算模块采用三层密钥保护结构，保证⽤户密钥及应⽤系统的安全性。

进一步的，该方法还包括：对密钥进行备份，并通过主密钥保护密钥备份文件。

进一步的，该方法还包括：所述vpn模块为vpn交换机或vpn路由器，所述vpn交换机或vpn路由器采用透明安全防护，集成安全协议并具有硬件防⽕墙。

本发明还公开了一种数据密码服务器，包括数据服务模块、密码运算模块及vpn模块；

数据服务模块，用于从所述vpn模块接收和响应用户发送的密码运算请求，将所述密码运算请求发送至所述密码运算模块，并将从所述密码运算模块接收到的密码运算结果发送至所述vpn模块；

密码运算模块，用于根据所述密码运算请求独立完成密码运算，得到所述密码运算结果，并将所述密码运算结果发送至所述密码服务模块；

vpn模块，用于将所述密码运算结果返回给所述用户。

进一步的，所述密码运算模块为加密卡，所述加密卡采用双wng系列物理噪声源芯⽚生成随机数。

进一步的，所述密码运算模块还包括密钥生成与管理模块，所述密钥生成与管理模块采用三层密钥保护结构，保证⽤户密钥及应⽤系统的安全性。

进一步的，所述密码运算模块还包括密钥备份与恢复模块，所述密钥备份与恢复模块用于对密钥进行备份，并通过主密钥保护密钥备份文件。

进一步的，所述vpn模块为vpn交换机或vpn路由器，所述vpn交换机或vpn路由器采用透明安全防护，集成安全协议并具有硬件防⽕墙。

与现有技术相比，本发明的有益效果是:本发明采用基于专⽤硬件的密码运算模块和vpn模块，不占用主机计算资源，能够适⽤于各类密码安全应⽤系统进⾏⾼速的、多任务并⾏处理的密码运算，可以满⾜应⽤系统数据的签名/验证、加密/解密的要求，保证传输信息的机密性、完整性和有效性。同时，本发明能够提供安全、完善的密钥管理机制，通过采用双wng系列物理噪声源芯片能够保证生成随机数的强度，并通过“系统保护密钥-卡内rsa/ecc密钥对/kek-会话密钥”的三层密钥保护结构，能够保证⽤户密钥及应⽤系统的安全性，并通过主密钥保护密钥备份文件，保证关键密钥在任何情况下都不以明文的形式出现在设备外，实现密钥的安全、可靠存储。此外，本发明还能提供符合规范的api接口，并提供较多数量的不同类型的传输接口和扩展插槽，大大增强了数据密码服务器的通用型和可扩展性，能够满⾜大多数应⽤系统的要求，广泛应用于证券、商贸、邮电等各个领域。

附图说明

图1是本发明一个实施例的一种数据密码运算方法的流程图。

图2是本发明一个实施例的一种数据密码服务器的框图。

图3是本发明一个实施例的一种数据密码服务器中的密码运算模块框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

以下分别进行详细说明。首先请参见附图1,图1是本发明一个实施例提供的一种数据密码运算方法的流程图。如图1所示，本发明一个实施例提供的一种数据密码运算方法可包括以下步骤：

从vpn模块接收和响应用户发送的密码运算请求，将所述密码运算请求发送至密码运算模块；

所述密码运算模块根据所述密码运算请求独立完成密码运算，得到密码运算结果，并将所述密码运算结果发送至密码服务模块；

所述密码服务模块将所述密码运算结果发送至所述vpn模块，将所述密码运算结果返回给所述用户。

在本发明的一些可能实施方式中，所述密码运算包括数据加密运算、数据解密运算、数据签名运算、数据验证运算中的一种或多种，上述密码运算均由专用硬件完成，不占用主机计算资源。

在本发明的一些可能实施方式中，通过数据服务模块按照统一密码服务协议提供统一密码服务接口，负责各种数据的采集，并对密码运算模块、vpn模块进行管理和配置。其中数据服务模块可提供gui管理页面，并由管理员负责设备管理、证书管理及用户权限管理等操作，管理员在登录系统时必须通过设备密钥通过验证后才能执行相应操作。所述数据服务模块还负责对接收到的密码运算请求进行解析和语法分析，仅将合法的密码运算请求发送至密码运算模块，并将密码运算模块返回的运算结果进行整理，最终经由vpn模块返回给用户。在本发明的另一些可能实施方式中，所述数据服务模块能够运⾏数据采集、整理、清洗等多个数据预处理的功能模块及系统配置管控交互软件平台，并可提供日志管理、状态监测、策略配置功能。在另一些可能实施方式中，采⽤服务器级别的计算机对所述数据服务模块进行配置，可采用单个处理器、双处理器、多处理器配合完成各项功能，并⽀持多硬盘扩展及硬盘阵列组建，同时还⽀持多块pci-e功能卡扩展插槽，从而提⾼扩展功能，有效地提⾼系统⼯作的可靠性，并延长整个系统的平均⽆故障⼯作时间。在本发明的另一些可能实施方式中，所述数据服务模块配备多个高速sata接口、多个ied接口及一个或多个m.2接口，从而使得所述数据密码服务器能够扩展至更大的存储容量和额外的os存储。在另一些可能实施方式中，所述数据服务模块配备有多个pci扩展插槽、及pciexpress3.0扩展插槽，例如可设置2个pciexpress3.0×16插槽或5个pciexpress3.0×8插槽。

在本发明的一些可能实施方式中，通过密码运算模块独立完成密码运算，并得到密码运算结果。所述密码运算模块为采⽤双wng系列物理噪声源芯⽚的加密卡，所述加密卡采用双wng系列物理噪声源芯⽚生成随机数，产生的随机数符合国家发布的随机数质量监测标准，并保证随机数强度。所述密码运算模块还包括算法专用芯片，所述算法专用芯片，所述算法专用芯片与fpga模块连接，用于嵌入相应的加密算法。在本发明的另一些可能实施方式中，所述密码运算模块可提供完善的密钥管理体系，实现公私密钥⽣成、注⼊、导出、转发、验证、备份功能，并实现消息来源完整性、正确性验证，保证⽤户密钥及应⽤系统的安全性。

在本发明的一些可能实施方式中，所述密码运算模块进一步包括数据加密/解密模块、数字签名/验证模块、消息鉴别码生成/验证模块、数字信封模块、密钥生成与管理模块、密钥备份与恢复模块、密钥销毁模块。其中，所述数据加密/解密模块支持sm1、sm4、ssf33等国内标准算法及3des、aes等国际标准算法的ecb模式、cbc模式的数据加密/解密运算。所述数字签名/验证模块用于响应用户的签名请求，可根据用户需要利用内部存储的rsa/ecc密钥对或外部导入的rsa/ecc私钥对请求数据进行数字签名/验证运算。所述消息鉴别码生成/验证模块，用于进行mac的生成和验证。所述数字信封模块，用于将对称密钥通过非对称加密的结果分发对称密钥，从而实现信息完整性验证。所述密钥生成与管理模块可以采用双wng系列物理噪声源芯⽚生成的随机数，采用专用rsa算法芯片和专用ecc算法芯片分别生成1024/2048位rsa密钥对及256位ecc密钥对。所述密钥生成与管理模块采用“系统保护密钥-卡内rsa/ecc密钥对/kek-会话密钥”的三层密钥保护结构，保证⽤户密钥及应⽤系统的安全性。其中，系统保护密钥按照工作类型可分为设备密钥、密钥保护密钥、工作密钥、备份密钥，设备密钥用于启动系统及系统初始化时对用户的身份、权限进行认证和识别，密钥保护密钥用于对加密密钥进行保护，工作密钥用于业务传输时的安全保护。所述密钥备份与恢复模块用于对数据密码服务器中的各种密钥提供备份和恢复功能，并能够通过主密钥保护密钥备份文件，保证关键密钥在任何情况下都不以明文的形式出现在设备外，实现密钥的安全、可靠存储。所述密钥销毁模块，用于向用户提供密码销毁功能，用户可选择通过软件销毁或硬件销毁的方式对相应密钥进行销毁操作。

在本发明的一些可能实施方式中，本发明的所述vpn模块采用专用硬件实现，能够采用vpn（virtualprivatenetwork）技术构建虚拟专用网络，不占用主机计算资源。进一步的，所述vpn模块为千兆vpn交换机或千兆vpn路由器。vpn交换机或vpn路由器采用透明安全防护，其wan外⽹接口连接外部数据⽹，数据终端机通过加密机终端专线独⽴接⼊交换机。在本发明的另一些可能实施方式中，所述vpn模块可采用集成ipsec、ssl等安全协议并具有硬件防⽕墙的vpn交换机/vpn路由器，支持上千条ipsec隧道。在本发明的另一些可能实施方式中，所述vpn模块可采用硬件防⽕墙配置、内外⽹配置、路由策略、攻击防范、⽤户与认证、安全策略与内容安全、vlan，nqa，vpn隧道协议、带宽管理及监控系统诊断等安全策略配置。在本发明的另一些可能实施方式中，所述vpn模块为内置vpn交换机/vpn路由器，可提供1个千兆wan口和多个千兆lan口，采用预共享密钥ipsec认证方式，支持arp双重防护、内/外网攻击防护功能，从而保障内外网安全。

参见附图2，本发明实施例还提供一种数据密码服务器20，其包括数据服务模块21、密码运算模块22及vpn模块23。

数据服务模块21，用于从所述vpn模块23接收和响应用户发送的密码运算请求，将所述密码运算请求发送至所述密码运算模块22，并将从所述密码运算模块22接收到的密码运算结果发送至所述vpn模块23；

密码运算模块22，用于根据所述密码运算请求独立完成密码运算，得到所述密码运算结果，并将所述密码运算结果发送至所述密码服务模块21；

vpn模块23，用于将所述密码运算结果返回给所述用户。

在本发明的一些可能实施方式中，所述密码运算包括数据加密运算、数据解密运算、数据签名运算、数据验证运算中的一种或多种，上述密码运算均由专用硬件完成，不占用主机计算资源。

在本发明的一些可能实施方式中，所述数据服务模块21能够按照统一密码服务协议提供统一密码服务接口，负责各种数据的采集，并对密码运算模块22、vpn模块23进行管理和配置。其中数据服务模块21可提供gui管理页面，并由管理员负责设备管理、证书管理及用户权限管理等操作，管理员在登录系统时必须通过设备密钥通过验证后才能执行相应操作。所述数据服务模块21还负责对接收到的密码运算请求进行解析和语法分析，仅将合法的密码运算请求发送至密码运算模块22，并将密码运算模块22返回的运算结果进行整理，最终经由vpn模块23返回给用户。在本发明的另一些可能实施方式中，所述数据服务模块21能够运⾏数据采集、整理、清洗等多个数据预处理的功能模块及系统配置管控交互软件平台，并可提供日志管理、状态监测、策略配置功能。在另一些可能实施方式中，采⽤服务器级别的计算机对所述数据服务模块21进行配置，可采用单个处理器、双处理器、多处理器配合完成各项功能，并⽀持多硬盘扩展及硬盘阵列组建，同时还⽀持多块pci-e功能卡扩展插槽，从而提⾼扩展功能，有效地提⾼系统⼯作的可靠性，并延长整个系统的平均⽆故障⼯作时间。在本发明的另一些可能实施方式中，所述数据服务模块21配备多个高速sata接口、多个ied接口及一个或多个m.2接口，从而使得所述数据密码服务器能够扩展至更大的存储容量和额外的os存储。在另一些可能实施方式中，所述数据服务模块21配备有多个pci扩展插槽、及pciexpress3.0扩展插槽，例如可设置2个pciexpress3.0×16插槽或5个pciexpress3.0×8插槽。

在本发明的一些可能实施方式中，所述密码运算模块22为采⽤双wng系列物理噪声源芯⽚的加密卡，所述加密卡采用双wng系列物理噪声源芯⽚生成随机数，产生的随机数符合国家发布的随机数质量监测标准，并保证随机数强度。所述密码运算模块22还包括算法专用芯片，所述算法专用芯片，所述算法专用芯片与fpga模块连接，用于嵌入相应的加密算法。在本发明的另一些可能实施方式中，所述密码运算模块22可提供完善的密钥管理体系，实现公私密钥⽣成、注⼊、导出、转发、验证、备份功能，并实现消息来源完整性、正确性验证，保证⽤户密钥及应⽤系统的安全性。

在本发明的一些可能实施方式中，所述密码运算模块22进一步包括数据加密/解密模块31、数字签名/验证模块32、消息鉴别码生成/验证模块33、数字信封模块34、密钥生成与管理模块35、密钥备份与恢复模块36、密钥销毁模块37。其中，所述数据加密/解密模块31支持sm1、sm4、ssf33等国内标准算法及3des、aes等国际标准算法的ecb模式、cbc模式的数据加密/解密运算。所述数字签名/验证模块32用于响应用户的签名请求，可根据用户需要利用内部存储的rsa/ecc密钥对或外部导入的rsa/ecc私钥对请求数据进行数字签名/验证运算。所述消息鉴别码生成/验证模块33，用于进行mac的生成和验证。所述数字信封模块34，用于将对称密钥通过非对称加密的结果分发对称密钥，从而实现信息完整性验证。所述密钥生成与管理模块可以采用双wng系列物理噪声源芯⽚生成的随机数，采用专用rsa算法芯片和专用ecc算法芯片分别生成1024/2048位rsa密钥对及256位ecc密钥对。所述密钥生成与管理模块35采用“系统保护密钥-卡内rsa/ecc密钥对/kek-会话密钥”的三层密钥保护结构，保证⽤户密钥及应⽤系统的安全性。其中，系统保护密钥按照工作类型可分为设备密钥、密钥保护密钥、工作密钥、备份密钥，设备密钥用于启动系统及系统初始化时对用户的身份、权限进行认证和识别，密钥保护密钥用于对加密密钥进行保护，工作密钥用于业务传输时的安全保护。所述密钥备份与恢复模块36用于对数据密码服务器中的各种密钥提供备份和恢复功能，并能够通过主密钥保护密钥备份文件，保证关键密钥在任何情况下都不以明文的形式出现在设备外，实现密钥的安全、可靠存储。所述密钥销毁模块37，用于向用户提供密码销毁功能，用户可选择通过软件销毁或硬件销毁的方式对相应密钥进行销毁操作。

在本发明的一些可能实施方式中，本发明的所述vpn模块23采用专用硬件实现，能够采用vpn（virtualprivatenetwork）技术构建虚拟专用网络，不占用主机计算资源。进一步的，所述vpn模块23为千兆vpn交换机或千兆vpn路由器。vpn交换机或vpn路由器采用透明安全防护，其wan外⽹接口连接外部数据⽹，数据终端机通过加密机终端专线独⽴接⼊交换机。在本发明的另一些可能实施方式中，所述vpn模块23可采用集成ipsec、ssl等安全协议并具有硬件防⽕墙的vpn交换机/vpn路由器，支持上千条ipsec隧道。在本发明的另一些可能实施方式中，所述vpn模块23可采用硬件防⽕墙配置、内外⽹配置、路由策略、攻击防范、⽤户与认证、安全策略与内容安全、vlan，nqa，vpn隧道协议、带宽管理及监控系统诊断等安全策略配置。在本发明的另一些可能实施方式中，所述vpn模块23为内置vpn交换机/vpn路由器，可提供1个千兆wan口和多个千兆lan口，采用预共享密钥ipsec认证方式，支持arp双重防护、内/外网攻击防护功能，从而保障内外网安全。

在本发明的一些可能实施方式中，本发明中的数据密码服务器提供符合《java密码扩展》和《密码设备应用接口规范》的工业标准接口，从而提供安全子系统的api，通用性好，能够平滑接入各种系统平台中。

所述数据密码运算方法及系统如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。