论文部分内容阅读
天地一体化网络具有信道开放、卫星节点暴露、异构网络互联等特点,相比传统地面网络更易遭受实体假冒、非授权访问、信息窃取、重放攻击等安全威胁,面临前所未有的安全挑战。随着云计算和大数据的发展,数据中心的数据越来越复杂,既有结构化数据也有非结构化数据,这些数据均需要服务器进行处理,更需要高性能的设备进行加密存储保护。针对这些数据所面临的威胁,提供一种安全的保护措施变得极为重要。传统的密码卡设计在速度和安全性上均无法满足以上业务数据吞吐率高,在线并发服务数高等特点,因此在现有密码卡的基础上研究安全可靠的高性能密码卡关键技术来保护网络和信息安全是非常有必要的。本文将立足于国密算法及标准[1],研究基于PCI-E的高性能密码卡的关键技术,在提高其性能的同时保证安全和可靠性。它作为一个独立的密码单元,同时具备数据加解密、完整性保护、身份认证、密钥管理(密钥生成、分发、储存等)、权限管理等功能。该密码卡采用了PCI-E高速串行总线标准,硬件描述语言实现密码算法,使得该密码卡具备高速的数据加解密性能及与宿主机之间高速的响应能力。本文的研究内容主要为以下几个方面:(1)根据密码卡的应用场景,从安全性方面、性能方面和安全防护方面进行需求分析,提出了高性能密码卡总体所要实现的目标。根据需求提出了密码卡系统的总体框架并进行了分析。基于当前研究现状提出了密码卡的硬件体系结构,通过设计硬件隔离的方式来保护密码卡的内部数据,通过设计FPGA外置高性能DDR实现海量的密钥缓存来提高密码服务的并发性能,提高了密码运算的性能和安全性。提出了密码卡的软件体系结构,并对该框架中的每个模块的功能进行了详细介绍。该框架能够很好地实现系统的功能和可扩展性。提出了密码服务引擎作为密码运算的调度模块,解决了复杂的高并发性密码服务请求,多密码算法交叉计算及统一虚拟化管理的问题。(2)根据密码卡使用场景的需求,设计了密码卡系统的密钥体系,在此基础上使用三级密钥结构进行保护,对密钥的分类和具体的管理策略进行了详细介绍。基于密码卡的软硬件系统框架提出了密钥管理系统的框架并详细介绍了每个模块的功能。设计了密钥的存储保护结构并提出了密钥的缓存机制;提出了基于USB Key且适用于密码卡系统的登录模型和身份认证协议来提高用户获取密码服务时身份认证的安全性。(3)设计并实现了密码卡的硬件结构,初始化流程及密码服务流程;设计实现了密钥管理体系中密钥存储和缓存的方案以及管理的流程。最后分别对密码卡的硬件,功能及密码运算性能进行了检测,其结果达到了总体目标的要求。该密码卡充分利用硬件加密的速度优势和PCI-E传输的高速性能,为用户提供安全高速的数据加解密、数字签名以及验签等安全服务。既可应用到信息安全通信系统中的端到端加密,又可以作为VPN加密网关、数据安全平台、服务器密码机等商用密码产品的基础密码模块,也可作为各种信息安全密钥管理系统中的核心构件,具有广泛的系统集成和应用潜力。