本实用新型涉及芯片电路设计领域,特别涉及一种ssd主控芯片随机缓存保密电路。
背景技术:
ssd数据存储已经逐渐成为消费设备数据存储和云存储的主要存储介质。对于ssd数据存储来说,数据纠错的意义十分重大,特别是个人关键数据和政府机构相关的数据。ssd主控芯片作为ssd存储设备的大脑,其安全性能直接决定ssd硬盘的安全性。目前,ssd主控芯片的安全性能是通过固定的加解密算法电路对数据进行加密加以实现,一旦算法或密钥被破解,则黑客就可以获得加密的重要数据。
技术实现要素:
为此,需要提供一种ssd主控芯片随机缓存保密电路的技术方案,用以解决现有技术中ssd主控芯片安全性弱的问题。
为实现上述目的,本实用新型第一方面提供了一种ssd主控芯片随机缓存保密电路,所述随机缓存保密电路包括:随机数发生器、哈希运算单元、加解密电路控制单元、加解密电路组合;所述加解密电路组合包括多个加解密电路;
所述随机数发生器与所述哈希运算单元连接,所述哈希运算单元与所述加解密电路控制单元连接,所述加解密电路控制单元与所述加解密电路组合中的各个加解密电路连接,所述加解密电路控制单元还与所述随机数发生器连接。
进一步地,所述随机缓存保密电路还包括:开机次数统计单元和密钥产生单元;
所述开机次数统计单元分别与所述随机数发生器、哈希运算单元连接;所述哈希运算单元与所述密钥产生单元连接。
进一步地,所述密钥产生单元包括密钥数据读取单元、信号选择单元、密钥缓存单元和密钥输出控制单元;
所述信号选择单元包括第一信号选择器、第二信号选择器、第三信号选择器、第四信号选择器;所述密钥缓存单元包括多个密钥缓存模块;
所述密钥数据读取单元与所述第一信号选择器连接,所述第一信号选择器与所述加解密电路控制单元连接,各个所述加解密电路与所述第二信号选择器连接,所述第二信号选择器与各个所述密钥缓存模块连接,各个所述密钥缓存模块与所述第三信号选择器连接,所述第三信号选择器与所述第四信号选择器连接,所述第四信号选择器分别与所述密钥输出控制单元、所述第一信号选择器连接。
进一步地,所述信号选择单元还包括第五信号选择器;各个所述加解密电路分别与所述第五信号选择器连接,所述第五信号选择器与所述第二信号选择器连接。
进一步地,所述信号选择单元还包括第六信号选择器,所述第六信号选择器分别与第四信号选择器、加解密电路控制单元连接。
进一步地,所述随机缓存保密电路还包括:地址空间存储单元;
所述地址空间存储单元用于数据访问地址与密钥产生单元生成的访问密钥信息的映射关系。
进一步地,所述随机缓存保密电路还包括:flash存储单元;
所述flash存储单元与所述哈希运算单元连接。
进一步地,所述哈希运算单元的输出结果有n种类型,所述加解密电路的数量为n-1个,所述哈希运算单元的每种类型的输出结果分别对应1个选通信号,每一选通信号用于选择对应的加解密电路或使所述随机数发生器重新生成随机数;n为大于2的正整数。
进一步地,n的数量为4。
进一步地,所述加解密电路包括aes加解密电路、tdes加解密电路、sm4加解密电路中的任一项。
区别于现有技术,本实用新型所述的ssd主控芯片随机缓存保密电路,包括:随机数发生器、哈希运算单元、加解密电路控制单元、加解密电路组合;所述加解密电路组合包括多个加解密电路;所述随机数发生器与所述哈希运算单元连接,所述哈希运算单元与所述加解密电路控制单元连接,所述加解密电路控制单元与所述加解密电路组合中的各个加解密电路连接,所述加解密电路控制单元还与所述随机数发生器连接。上述方案通过哈希运算单元对随机数发生器进行哈希运算,并将哈希运算结果拆分成若干相同位数的数据段后,两两做逻辑运算,并将最终得到的结果输入至加解密电路控制单元,以使得加解密电路控制单元根据所述最终得到的结果确定当前数据的加解密电路,由于哈希运算最终结果是基于随机数发生器生成的随机数得到的,因而极大增强了数据加密过程的安全性。
附图说明
图1为本实用新型一实施例涉及的ssd主控芯片随机缓存保密电路的电路结构示意图;
图2为本实用新型另一实施例涉及的ssd主控芯片随机缓存保密电路的电路结构示意图;
图3为本实用新型另一实施例涉及的ssd主控芯片随机缓存保密电路的密钥产生单元的电路结构示意图;
图4为本实用新型一实施例涉及的哈希运算单元计算过程的示意图。
附图标记说明:
10、ssd主控芯片随机缓存保密电路;
201、随机数发生器;
202、哈希运算单元;
203、加解密电路控制单元;
204、加解密电路组合;2041、第一加解密电路;2042、第二加解密电路;2043、第三加解密电路;
205、开机次数统计单元
206、地址空间存储单元;
207、flash存储单元
30、密钥产生单元;
101、密钥数据读取单元;
1021、第一信号选择器;1022、第二信号选择器;1023、第三信号选择器;1024、第四信号选择器;1025、第五信号选择器;1026、第六信号选择器
104、密钥输出控制单元;
105、密钥缓存单元;
107、初始密钥存储单元;
50、数据读写设备;
70、ddr。
具体实施方式
为详细说明技术方案的技术内容、构造特征、所实现目的及效果,以下结合具体实施例并配合附图详予说明。
请参阅图1,为本实用新型一实施例涉及的ssd主控芯片随机缓存保密电路的电路结构示意图。所述ssd主控芯片随机缓存保密电路10包括:随机数发生器201、哈希运算单元202、加解密电路控制单元203、加解密电路组合204;所述加解密电路组合204包括多个加解密电路;
所述随机数发生器201与所述哈希运算单元202连接,所述哈希运算单元202与所述加解密电路控制单元203连接,所述加解密电路控制单元203与所述加解密电路组合204中的各个加解密电路连接,所述加解密电路控制单元203还与所述随机数发生器201连接。
在本实施例中,所述哈希运算单元的输出结果有n种类型,所述加解密电路的数量为n-1个,所述哈希运算单元的每种类型的输出结果分别对应1个选通信号,每一选通信号用于选择对应的加解密电路或使所述随机数发生器重新生成随机数;n为大于2的正整数。优选的,n的数量为4。
如图2所示,所述加解密电路组合204包括第一加解密电路2041、第二加解密电路2042、第三加解密电路2043。优选的,所述第一加解密电路2041为aes加解密电路,所述第二加解密电路2042为tdes加解密电路,所述第三加解密电路2043为sm4加解密电路。
随机数发生器201在每次开机启动后会随机生成一个随机数,哈希运算单元202基于该随机数进行哈希运算,可以得到一个128bit的数,而后可以将该个128bit的数拆为四个部分,每个部分各32bit,如图4所示,对于每个32bit部分,先两两做异或运算(32bit中第0bit与第1bit做运算,第2bit与第3bit做运算,两者的运算结果再做异或,以此类推),直至4个32bit部分各自只得到1位数,再将4个1位数两两异或,得到最终的哈希运算结果,最终的哈希运算结果有以下四种类型:00、01、10、11。如果最终的哈希运算结果是00,则哈希运算单元202发送控制信号至所述随机数发生器201,以使得所述随机数发生器201生成新的随机数,而后再次重复上述过程,如果得到最终的哈希运算结果是01、10或11,则发送相应的选通信号至所述加解密电路控制单元203,以使得加解密电路控制单元203选择相应的加解密算法对当前待加密的数据进行加解密运算。例如01表示选择aes加解密电路,10表示选择des加解密电路,11表示选择sm4加解密电路。
当然,在另一些实施例中,128bit的数在拆分为4个32bit部分的数后,两两进行的运算可以选其他逻辑运算,如同或、与非、或非等。加解密电路组合所包含的加解密电路数量也可以为其他数值,例如包含7个加解密电路,则哈希运算最终结果可以为三位,包括000、001、010、011、100、101、110、111,其中000表示需要重新生成随机数,001、010、011、100、101、110、111各自分别对应一种加解密电路的选通信号。
由于每次加解密选用的算法电路是基于随机数的哈希运算结果随机选择的,从而有效防止了黑客破译当前待读写数据选用的加解密算法的可能,提升了数据读写的安全性。
如图2所示,在某些实施例中,所述随机缓存保密电路还包括:开机次数统计单元205和密钥产生单元30。所述开机次数统计单元205分别与所述随机数发生器201、哈希运算单元202连接;所述哈希运算单元202与所述密钥产生单元30连接。
在这一实施例中,在每次系统开机启动后,所述开机次数统计单元205统计当前的开机次数(一般是每次开机后,次数 1,以保证每次开机后统计的开机次数均不相同),而后将本次的开机次数发往所述哈希运算单元进行哈希运算,哈希运算单元在对开机次数进行哈希运算后,同样可以得到128bit的数,而后可以将该个128bit的数拆为四个部分,每个部分各32bit,采用如前所述的方法两两进行运算得到以下四种结果:00、01、10、11。其中,00对应为让当前开机次数再 1。01、10、11分别对应第一安全密钥等级、第二安全密钥等级、第三安全密钥等级的选通信号,密钥产生单元30接收相应的选通信号后就可以生成相应安全等级的密钥访问信息。而后选定的加解密电路采用所述相应安全等级的密钥访问信息对将要写入到ddr70中的数据进行加密,或者对从ddr70中读取的加密数据进行解密后输出给数据读写设备50。
通过上述方案,密钥算法的选择(选择怎样的加解密电路)以及访问密钥信息的生成(由密钥产生单元依据开机次数的哈希运算结果计算得到)均是随机的,相较于现有技术固定设定加解密算法电路的方式,极大提高了数据读写访问的安全性。
如图3所示,在某些实施例中,所述密钥产生单元30包括密钥数据读取单元101、信号选择单元、密钥缓存单元105和密钥输出控制单元104;
所述信号选择单元包括第一信号选择器1021、第二信号选择器1022、第三信号选择器1023、第四信号选择器1024;所述密钥缓存单元105包括多个密钥缓存模块;
所述密钥数据读取单元101与所述第一信号选择器1021连接,所述第一信号选择器1021与所述加解密电路控制单元203连接,各个所述加解密电路与所述第二信号选择器1022连接,所述第二信号选择器1022与各个所述密钥缓存模块连接,各个所述密钥缓存模块与所述第三信号选择器1023连接,所述第三信号选择器1023与所述第四信号选择器1024连接,所述第四信号选择器1024分别与所述密钥输出控制单元104、所述第一信号选择器1021连接。
密钥产生单元生成相应安全等级的访问密钥信息的工作原理如下:
首先密钥数据读取单元101从外部存储单元中读取加密后的源密钥,第一信号选择器1021将读取的所述加密后的源密钥发给所述加解密电路控制单元203,加解密电路控制单元203选用对应的加解密电路对源密钥进行解密,并将解密后的源密钥存储于所述密钥屉1中(图3的“密钥屉”相当于前文所述的“密钥缓存模块”,密钥屉1即密钥缓存模块1)。
而后密钥屉1中解密后的源密钥依次经过第三信号选择器1023、第四信号选择器1024、第一信号选择器1021进入加解密电路控制单元203,并行地,密钥数据读取单元101从外部存储单元中读取用户标识信息(如用户id或厂商id),并将所述用户标识信息传输给所述哈希运算单元202,所述哈希运算单元202对所述解密后的源密钥和所述用户标识信息进行哈希运算,得到根密钥信息,并经过所述第二信号选择器1022将所述根密钥信息存入密钥屉2(即密钥缓存模块2)。
而后所述根密钥信息依次经过第三信号选择器1023、第四信号选择器1024、第一信号选择器1021进入加解密电路控制单元203,并行地,密钥数据读取单元101读取第一层源密钥,并将所述第一层源密钥传输给所述加解密电路控制单元203,所述加解密电路控制单元203选用相应的加解密电路,并采用所述根密钥信息对所述第一层源密钥进行解密,得到一级密钥存入密钥屉3(即密钥缓存模块3)。
若当前密钥产生单元30接收的选通信号为01,则一级密钥即为第一安全等级的访问密钥信息。若当前密钥产生单元30接收的选通信号为10,则一级密钥可以传输给所述密钥输出控制单元104作为最终密钥信息进行输出,也可以进一步传输给第一信号选择器1021进行下一步运算。
在生成二级密钥时,所述密钥数据读取单元101读取第二层源密钥,并将所述第二层源密钥传输给所述加解密电路控制单元203,所述加解密电路控制单元203选用相应的加解密电路以采用所述一级密钥对所述第二层源密钥进行解密,得到二级密钥存入下一个密钥屉。二级密钥即为第二安全等级的访问密钥信息,其既可以传输给所述密钥输出控制单元104作为最终密钥信息进行输出,也可以进一步传输给第一信号选择器1021进行下一步运算。
在生成三级密钥时,密钥数据读取单元101读取第三层源密钥,并将所述第三层源密钥传输给所述加解密电路控制单元203,所述加解密电路控制单元203选择相应的加解密电路,并采用所述二级密钥对所述第三层源密钥进行解密,得到三级密钥存入下一个密钥屉。三级密钥即为第三安全等级的访问密钥信息,其可以传输给所述密钥输出控制单元104作为最终密钥信息进行输出,也可以进一步传输给第一信号选择器1021进行下一步运算。
在某实施例中,所述信号选择单元还包括第五信号选择器1025;各个所述加解密电路分别与所述第五信号选择器连接,所述第五信号选择器与所述第二信号选择器连接。所述密钥产生单元30还包括初始密钥存储单元107,所述初始密钥存储单元107与所述加解密电路控制单元203连接。所述初始密钥存储单元107用于存储用户标识信息,即所述用户标识信息是固化存储于所述密钥产生单元30内,由于根密钥信息是由所述解密后的源密钥和所述用户标识信息进行哈希运算得到,每次密钥产生单元30生成的密钥访问信息是不退的,进一步加强了数据安全性。
优选的,所述信号选择单元还包括第六信号选择器1026,所述第六信号选择器分别与第四信号选择器、加解密电路控制单元连接。通过设置第六信号选择器1026,可以实现对密钥产生单元30生成的访问密钥信息的校验功能,以生成一级密钥为例,校验过程具体如下:
一级密钥在传输给所述密钥输出控制单元104之前,所述第四信号选择器1024先将所述一级密钥传输给所述加解密电路控制单元203,加解密电路控制单元203选择相应的加解密电路(预先配置好的)采用所述一级密钥对所述一级密钥自身进行解密后,将解密后的一级密钥经由所述第二信号选择器1022存储于密钥屉4中。而后将对自身解密后的一级密钥传输给加解密电路控制单元203,并行地,密钥数据读取单元101从外部存储单元中读取握手请求数据,加解密电路控制单元203选定的加解密电路采用所述对自身解密后的一级密钥对所述握手请求数据进行加密,得到握手加密信息,并将所述握手加密信息存储于密钥屉5。而后密钥数据读取单元从外部存储单元中读取握手响应数据,比较所述握手响应数据与所述握手加密信息是否一致,若一致则校验通过,否则校验失败,向cpu发出中断信号。
在某些实施例中,所述随机缓存保密电路还包括:地址空间存储单元206;所述地址空间存储单元206用于数据访问地址与密钥产生单元生成的访问密钥信息的映射关系。所述数据访问地址是指ddr中待写入数据的存储地址,或者ddr中待读取数据的存储地址。当密钥产生单元生成相应安全等级的访问密钥信息后,可以根据所述映射关系确定待访问的数据地址段,并采用生成的访问密钥信息对数据进行加密后写入相应的数据访问地址中,或者从相应的数据访问地址中读取数据进行解密后输出给数据读写设备。
在某些实施例中,所述随机缓存保密电路还包括:flash存储单元207;所述flash存储单元207与所述哈希运算单元202连接。优选的,所述flash存储单元207还与所述开机次数统计单元205、地址空间存储单元206连接。flash存储单元为非易失性存储器,可以对哈希运算单元产生的中间或最终结果进行存储,也可以用于存储当前开机次数、数据访问地址与密钥产生单元生成的访问密钥信息的映射关系等。保证每次开机后所述随机缓存保密电路能够正常运行。
本实用新型公开了一种ssd主控芯片随机缓存保密电路,包括:随机数发生器、哈希运算单元、加解密电路控制单元、加解密电路组合;所述加解密电路组合包括多个加解密电路;所述随机数发生器与所述哈希运算单元连接,所述哈希运算单元与所述加解密电路控制单元连接,所述加解密电路控制单元与所述加解密电路组合中的各个加解密电路连接,所述加解密电路控制单元还与所述随机数发生器连接。上述方案通过降哈希运算单元运算得到的最终结果输入至加解密电路控制单元,以使得加解密电路控制单元根据所述最终结果确定当前数据的加解密电路,由于哈希运算的最终结果是基于随机数发生器生成的随机数得到的,因而极大增强了数据加密过程的安全。
需要说明的是,尽管在本文中已经对上述各实施例进行了描述,但并非因此限制本实用新型的专利保护范围。因此,基于本实用新型的创新理念,对本文所述实施例进行的变更和修改,或利用本实用新型说明书及附图内容所作的等效结构或等效流程变换,直接或间接地将以上技术方案运用在其他相关的技术领域,均包括在本实用新型的专利保护范围之内。
1.一种ssd主控芯片随机缓存保密电路,其特征在于,所述随机缓存保密电路包括:随机数发生器、哈希运算单元、加解密电路控制单元、加解密电路组合;所述加解密电路组合包括多个加解密电路;
所述随机数发生器与所述哈希运算单元连接,所述哈希运算单元与所述加解密电路控制单元连接,所述加解密电路控制单元与所述加解密电路组合中的各个加解密电路连接,所述加解密电路控制单元还与所述随机数发生器连接。
2.如权利要求1所述的ssd主控芯片随机缓存保密电路,其特征在于,所述随机缓存保密电路还包括:开机次数统计单元和密钥产生单元;
所述开机次数统计单元分别与所述随机数发生器、哈希运算单元连接;所述哈希运算单元与所述密钥产生单元连接。
3.如权利要求2所述的ssd主控芯片随机缓存保密电路,其特征在于,所述密钥产生单元包括密钥数据读取单元、信号选择单元、密钥缓存单元和密钥输出控制单元;
所述信号选择单元包括第一信号选择器、第二信号选择器、第三信号选择器、第四信号选择器;所述密钥缓存单元包括多个密钥缓存模块;
所述密钥数据读取单元与所述第一信号选择器连接,所述第一信号选择器与所述加解密电路控制单元连接,各个所述加解密电路与所述第二信号选择器连接,所述第二信号选择器与各个所述密钥缓存模块连接,各个所述密钥缓存模块与所述第三信号选择器连接,所述第三信号选择器与所述第四信号选择器连接,所述第四信号选择器分别与所述密钥输出控制单元、所述第一信号选择器连接。
4.如权利要求3所述的ssd主控芯片随机缓存保密电路,其特征在于,所述信号选择单元还包括第五信号选择器;各个所述加解密电路分别与所述第五信号选择器连接,所述第五信号选择器与所述第二信号选择器连接。
5.如权利要求3所述的ssd主控芯片随机缓存保密电路,其特征在于,所述信号选择单元还包括第六信号选择器,所述第六信号选择器分别与第四信号选择器、加解密电路控制单元连接。
6.如权利要求3所述的ssd主控芯片随机缓存保密电路,其特征在于,所述随机缓存保密电路还包括:地址空间存储单元;
所述地址空间存储单元用于数据访问地址与密钥产生单元生成的访问密钥信息的映射关系。
7.如权利要求1所述的ssd主控芯片随机缓存保密电路,其特征在于,所述随机缓存保密电路还包括:flash存储单元;
所述flash存储单元与所述哈希运算单元连接。
8.如权利要求1所述的ssd主控芯片随机缓存保密电路,其特征在于,所述哈希运算单元的输出结果有n种类型,所述加解密电路的数量为n-1个,所述哈希运算单元的每种类型的输出结果分别对应1个选通信号,每一选通信号用于选择对应的加解密电路或使所述随机数发生器重新生成随机数;n为大于2的正整数。
9.如权利要求8所述的ssd主控芯片随机缓存保密电路,其特征在于,n的数量为4。
10.如权利要求1或9所述的ssd主控芯片随机缓存保密电路,其特征在于,所述加解密电路包括aes加解密电路、tdes加解密电路、sm4加解密电路中的任一项。
技术总结