一种电子设备 【技术领域】
本发明涉及数据加密技术, 特别是涉及能进行数据安全加解密的一种电子设备。背景技术 随着电子技术的发展, 网上银行、 网上支付等电子商务越来越普及, 数据安全成了 重要课题, 而相关的电子签名、 电子认证和数据加密解密技术也应用的越来越广泛。
现有的数据加密算法大多通过密码对数据进行加密。一旦密码外泄, 被保护的信 息就容易泄露。因此, 现有技术发展出了外接 USB KEY(USB 接口的电子钥匙 ) 的加密方案, 其通过外接的 USB 硬件实体来进行解密, 例如银行的 “U 盾” 。
但是, 在实现本发明技术方案的过程中, 发现这些外接解密装置均基于主板的通 用硬件架构和通用软件开发, 虽然其在外接解密装置中的解密数据是安全的, 但这些解密 数据通过通常的数据接口和线路传递到主板的过程却是不一定安全, 因为这些接口和传输 线路都是公知的通用技术和通用协议, 容易被拦截和破解。
现有的外接解密装置技术, 虽然有外置的 USB 接口硬件电路板, 但其通过计算机 中通用共享的 USB 总线与系统通讯, 就存在着很大风险。
发明内容 本发明实施例的目的是提供一种电子设备, 能够利用专用数据通道进行外部加解 密模块和内部加解密模块之间的数据传输, 解决现有技术因为采用通用共享的 USB 总线与 系统通讯, 而存在着很大风险的技术问题。
为了实现上述目的, 一方面, 提供了一种电子设备, 所述电子设备包括 :
内部加解密模块, 用于与一外部加解密模块配合进行数据的加密和 / 或解密, 获 得加密和 / 或解密后的数据 ;
专用数据通道, 与所述内部加解密模块和所述外部加解密模块连接, 用于在所述 内部加解密模块和所述外部加解密模块之间传递加密和 / 或解密所需数据 ;
内部芯片集, 与所述内部加解密模块连接, 用于处理所述加密和 / 或解密后的数 据。
优选地, 上述的电子设备中, 所述内部加解密模块包括 : 所述专用数据通道的控制 器和保密传输协议。
优选地, 上述的电子设备中, 所述专用数据通道连接所述电子设备的一专用外部 接口, 所述专用外部接口用于连接所述外部加解密模块。
优选地, 上述的电子设备中, 所述专用数据通道连接一切换单元, 所述切换单元连 接所述电子设备的一通用外部接口和一通用数据通道,
其中, 所述切换单元用于 : 当识别接入所述通用外部接口的是所述外部加解密模 块时, 将所述通用外部接口和所述专用数据通道连通, 否则将所述通用外部接口和所述通 用数据通道连通。
优选地, 上述的电子设备中, 还包括识别单元, 与所述切换单元和所述通用外部接 口连接, 用于通过所述通用外部接口的针脚电平信号识别所述外部加解密模块。
优选地, 上述的电子设备中, 所述保密传输协议中记录有所述专用数据通道的信 号电平及封包格式, 所述专用数据通道的信号电平及封包格式与所述通用数据通道的信号 电平及封包格式不相同。
优选地, 上述的电子设备中, 所述内部芯片集具有由 BIOS 支持内部接口, 所述电 子设备内部具有安装所述内部加解密模块的专用空间, 所述内部加解密模块的内部接口界 面连接所述内部接口。
本发明的另一个方面, 还提供一种电子设备, 所述电子设备包括 :
外部加解密模块, 用于存储加密和 / 或解密所需数据 ;
内部加解密模块, 用于与所述外部加解密模块配合进行数据的加密和 / 或解密, 获得加密和 / 或解密后的数据 ;
专用数据通道, 与所述内部加解密模块和所述外部加解密模块连接, 用于在所述 内部加解密模块和所述外部加解密模块之间传递加密和 / 或解密所需数据 ;
内部芯片集, 与所述内部加解密模块连接, 用于处理所述加密和 / 或解密后的数 据。 优选地, 上述的电子设备中, 所述内部加解密模块包括 : 所述专用数据通道的控制 器和保密传输协议。
优选地, 上述的电子设备中, 所述专用数据通道连接一切换单元, 所述切换单元连 接所述电子设备的一通用外部接口和一通用数据通道,
其中, 所述切换单元用于 : 当识别接入所述通用外部接口的是所述外部加解密模 块时, 将所述通用外部接口和所述专用数据通道连通, 否则将所述通用外部接口和所述通 用数据通道连通。
本发明实施例至少存在以下技术效果 :
1) 物理上的专用数据通道 : 用于加解密的专用数据通道、 与通常传输的通用数据 总线相隔离, 其控制器和保密协议与通用数据总线不同, 因此外人无法轻易得知, 增加了拦 截和破解数据的难度。
2) 密钥物理隔离 : 有内部加解密模块、 外部加解密模块两个物理加密装置, 只有 外部加解密模块和内部加解密模块结合起来才能进行加解密。
3) 在内置加密功能和通用接口功能之间自动转换的切换单元 : 识别单元通过开 关讯号自动识别插入外部接口的设备是起密钥作用还是通用作用。
附图说明
图 1 为本发明实施例提供的电子设备的结构图 ;
图 2 为本发明另一实施例提供的电子设备的结构图 ;
图 3 为本发明第三实施例提供的电子设备的结构图。 具体实施方式
为使本发明实施例的目的、 技术方案和优点更加清楚, 下面将结合附图对具体实施例进行详细描述。
图 1 为本发明实施例提供的电子设备的结构图, 如图所示,
所述电子设备包括 :
内部加解密模块 101, 用于与一外部加解密模块 102 配合进行数据的加密和 / 或解 密, 获得加密和 / 或解密后的数据 ;
专用数据通道 103, 与所述内部加解密模块和所述外部加解密模块连接, 用于在所 述内部加解密模块和所述外部加解密模块之间传递加密和 / 或解密所需数据 ;
内部芯片集 104, 与所述内部加解密模块连接, 用于处理所述加密和 / 或解密后的 数据。
图 2 为本发明另一实施例提供的电子设备的结构图, 如图, 所述专用数据通道连 接所述电子设备的一专用外部接口 201, 所述专用外部接口用于连接所述外部加解密模块。
图 3 为本发明第三实施例提供的电子设备的结构图, 如图,
所述专用数据通道连接一切换单元 301, 所述切换单元 301 连接所述电子设备的 一通用外部接口 302 和一通用数据通道 303, 其中, 所述切换单元 301 用于 : 当识别接入所 述通用外部接口 302 的是所述外部加解密模块时, 将所述通用外部接口 302 和所述专用数 据通道连通, 否则将所述通用外部接口 302 和所述通用数据通道 303 连通。
所述的电子设备, 还包括识别单元 304, 设置在所述切换单元 301 和所述通用外部 接口 302 之间, 用于通过所述通用外部接口 302 的针脚电平信号识别所述外部加解密模块。 当然外部加解密模块和普通 U 盘的检测, 除了通过主板上的硬件检测电路检测电平外, 还 可以有其他的识别方式, 例如外部加解密模块插入时发一个连接封包, 告诉主机插入的是 加解密装置, 连接封包带有外部加解密模块的自身信息, 由软件判别。
所述识别单元不但可以识别外部加解密模块, 当然还可以识别普通的 U 盘、 USB 鼠 标等普通的外接设备, 并将这些普通设备的数据按照通常方式 ( 例如转向所述通用数据通 道 ) 进行处理。
其中, 所述内部加解密模块包括 : 所述专用数据通道的控制器和保密传输协议。 所 述保密传输协议中记录有所述专用数据通道的信号电平及封包格式, 所述专用数据通道的 信号电平及封包格式与所述通用数据通道的信号电平及封包格式不相同, 所述通用数据通 道为通用 USB 总线时, 所述专用数据通道与通用 USB 总线的信号电平及封包格式不相同。
如图 3 所示, 所述内部芯片集具有由 BIOS 支持内部接口 305, 所述电子设备内部具 有安装所述内部加解密模块的专用空间, 所述内部加解密模块的内部接口界面 306 连接所 述内部接口 305。
其中, 内部接口界面 306 可以是金手指 ; 内部芯片集 104 可以是计算机的南桥芯 片; 即内部加解密模块通过金手指插入南桥芯片。 加解密是需要南桥芯片配合的, 如果外界 U 盘通过专用数据通道和内部加解密模块连接, 则内部加解密模在物理层解密后通过南桥 芯片传给系统通知用户层做相应的处理。如果外界 U 盘自动切换到通用 USB 总线, 和南桥 直接通信, 则外界 U 盘作为普通 U 盘用。
内部接口可以为 PCI( 周边元件扩展接口 )、 PCIE(PCI Express) 或 SATA( 串行 ATA)。
专用外部接口 201 和通用外部接口 302 可以为 USB、 串口或 ESATA( 外置式 SATA)。所述电子设备可以为台式电脑、 笔记本电脑或个人数字助理等等。
所述电子设备内部还具有安装所述内部加解密模块的专用空间, 而普通机器在内 部是没有预留电气接口和安装空间的, 普通机器无论是在硬件、 BIOS、 结构等方面都是不支 持这些模块的。 并且因为内部加密模块、 外部加密模块的模块化, 如果用户不想要加密模块 对应位置可以换成其他的设备模块。
以下以图 3 为例, 来说明一个解密的过程举例。
外部加解密模块接入通用外部接口 302 ;
识别单元通过针脚电平识别内部加解密模块, 切换单元 301 将所述通用外部接口 302 和所述专用数据通道连通 ;
专用数据通道连通在所述内部加解密模块和所述外部加解密模块之间传递加密 和 / 或解密所需数据, 例如把外部加解密模块中的外部密钥传递给内部加解密模块 ;
内部加解密模块与外部加解密模块配合进行数据的加密和 / 或解密, 获得加密和 / 或解密后的数据 ;
内部芯片集处理所述加密和 / 或解密后的数据。
对于加密的过程, 是内部加解密模块将数据加密后, 更新外部数据密钥并通过专 用数据通道将更新的外部数据密钥发送给外部加解密模块保存。 其中, 外部加解密模块一般用来保存外部密钥, 内部加解密模块用来保存内部密 钥和加解密算法, 通过所述外部密钥、 内部密钥和加解密算法进行数据的加解密。当然, 外 部密钥、 内部密钥和加解密算法的保存位置可以变化, 例如全部密钥都保存在外部加解密 模块, 内部加解密模块只保存算法等等, 因此这些不是特别限定, 只要外部加解密模块和内 部加解密模块所保存的数据和算法结合起来能够进行加解密即可。
可见, 本发明实施例提供的电子设备具有以下优点 :
1) 物理上的专用数据通道 : 用于加解密的专用数据通道、 与通常传输的通用数据 总线相隔离, 其控制器和保密协议与通用数据总线不同, 因此外人无法轻易得知, 增加了拦 截和破解数据的难度。
2) 密钥物理隔离 : 有内部加解密模块、 外部加解密模块两个物理加密装置, 只有 外部加解密模块和内部加解密模块结合起来才能进行加解密。
3) 在内置加密功能和通用接口功能之间自动转换的切换单元 : 识别单元通过开 关讯号自动识别插入外部接口的设备是起密钥作用还是通用作用。( 例如 : 假如外部接口 是 USB, 当插入普通 U 盘时就起普通 U 盘的作用, 数据通信走 USB 总线。当插入解密设备时, 系统自动识别为解密装置, 数据通信走专用安全通道。)
当电子设备为计算机时, 更具体的具有以下优点 :
1, 本发明是将密钥置于两个物理隔离的模块内, 一个模块通过内部接口置于计算 机内部, 组成一个完整的计算机系统。 另一个模块外置作为解密设备由保密人员妥善保管, 当外接模块插入计算机外部接口时, 利用专有的物理数据通道进行通信, 当密钥按照加密 算法吻合时即解密。 两个模块内的密钥会根据算法自动更新以提高安全性。 数据安全性高 : 最终通过加密算法, 密钥物理隔离和专用物理数据通道提高安全性。
2, 加密速度快、 性能好 : 本发明专用数据通道可采用高速总线传输数据, 加密速度 快、 占用资源少, 不影响系统性能。
3, 便于工程化 : 由于采用内部加密模块、 外部加密模块、 切换单元等模块化设计, 内部加密模块通过内部接口直接连接内部芯片集, 结构简单, 成本低, 便于量产。所述电子 设备内部还具有安装所述内部加解密模块的专用空间, 而普通机器在内部是没有预留电气 接口和安装空间的, 普通机器无论是在硬件、 BIOS、 结构等方面都是不支持这些模块的。并 且因为内部加密模块、 外部加密模块的模块化, 如果用户不想要加密模块对应位置可以换 成其他的设备模块。
以上所述仅是本发明的优选实施方式, 应当指出, 对于本技术领域的普通技术人 员来说, 在不脱离本发明原理的前提下, 还可以做出若干改进和润饰, 这些改进和润饰也应 视为本发明的保护范围。