(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111397336.2 (22)申请日 2021.11.23 (71)申请人 中国银行股份有限公司 地址 100818 北京市西城区复兴门内大街1 号 (72)发明人 孙永　王波　 (74)专利代理 机构 北京三友知识产权代理有限 公司 11127 代理人 周晓飞　汤在彦 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/06(2006.01) H04L 9/32(2006.01) (54)发明名称 鉴别加解密装置及方法 (57)摘要 本发明提供了一种鉴别加解密装置及方法， 可用于网络安全技术领域， 该装置包括： 鉴别加 密模块， 用于： 完成初始化过程； 在接收到应用系 统发送的鉴别码计算指令后， 对鉴别码计算指令 中的仅鉴别数据进行鉴别码计算， 更新鉴别码计 算内部状态； 在接收到应用系统发送的加密计算 指令后， 对加密计算指令中的待加密明文进行加 密计算和鉴别码计算， 获得初始化向量和密文数 据； 在接收到应用系统发送的解密计算指令后， 对解密计算指令中的密文数据进行鉴别码计算， 根据初始化向量， 对解密计算指令中的密文数据 进行解密计算， 获得明文数据； 在接收到应用系 统发送的MAC获取指令后， 计算MAC。 本发明支持 对超长数据的加/解密和MAC 计算/验证 。 权利要求书3页 说明书14页 附图5页 CN 114095259 A 2022.02.25 CN 114095259 A 1.一种鉴别加解密装置， 其特 征在于， 包括： 鉴别加密模块， 用于： 接收到应用系统发送的初始化指令后， 完成初始化过程； 在接收到应用系统发送的鉴别码计算指令后， 对鉴别码计算指令 中的仅鉴别数据进行 鉴别码计算， 更新 鉴别码计算内部状态； 在接收到应用系统发送的加密计算指令后， 对加密计算指令 中的待加密明文进行加密 计算和鉴别码计算， 获得初始化向量和密文数据； 将初始化向量和密文数据返回应用系统； 在接收到应用系统发送的解密计算指令后， 对解密计算指令 中的密文数据进行鉴别码 计算， 根据初始化向量， 对解密计算指令中的密文数据进行解密计算， 获得明文数据， 并返 回应用系统； 在接收到应用系统发送的MAC获取指令后， 获取MAC计算初始值， 使用MAC计算初始值、 鉴别码计算内部状态和仅鉴别数据的长度、 密文数据的长度计算MAC， 返回计算的MAC， 其 中， 所述应用系统作为解密方时， 对比所述MAC和作为加密方的应用系统得到的MAC， 判断解 密获得的明文数据的完整性。 2.如权利要求1所述的鉴别加解密装置， 其特征在于， 还包括缓冲区模块和适配模块， 其中， 缓冲区模块， 用于在接收到缓冲区初始化指令后， 进行缓冲区初始化； 适配模块， 用于在接收到适配初始化指令后， 进行适配初始化； 鉴别加密模块还用于： 在接收到应用系统发送的初始化指令后， 进行鉴别加密初始化； 向适配模块发送适配 初始化指令； 在初始化指令中的模式参数为加密模式时， 向缓冲区模块发送缓冲区初始化 指令。 3.如权利要求2所述的鉴别加解密装置， 其特征在于， 鉴别加密模块具体用于： 采用 如 下步骤， 进行鉴别加密初始化： 向适配模块发送加密指令； 在接收到GMAC子密钥后， 根据所 述GMAC子密钥和初始化指令中的加速表参数产生加速表； 适配模块还用于： 接收到加密指令后， 根据加密指令中的分组加密密钥ID， 用全零明文 数据加密产生GMAC 子密钥并返回鉴别加密模块。 4.如权利要求2所述的鉴别加解密装置， 其特征在于， 适配模块具体用于： 采用 如下步 骤进行适配初始 化： 在接收到适配初始 化指令后， 根据适配初始 化指令中的连接参数， 进 行 密码机连接、 线程池准备。 5.如权利要求2所述的鉴别加解密装置， 其特征在于， 缓冲区模块具体用于： 采用 如下 步骤进行缓冲区初始化： 向适配模块发送随机数产生指令， 将接 收到的返回的随机数作为 初始化向量， 并基于该随机数按照计数器模式填充缓冲区， 触发异步线程池， 根据缓冲区初 始化指令中的并发数向适配模块并发发送缓冲区加密指 令， 并等待加密结果， 将返回的第1 组加密结果保存为MAC计算初始值； 适配模块还用于： 在接收到产生随机数指令后， 产生随机数并返回； 在收到缓冲区加密 指令后， 对缓冲区进行加密， 并返回加密结果。 6.如权利要求2所述的鉴别加解密装置， 其特 征在于， 鉴别加密模块具体用于： 采用如下步骤 对鉴别码计算指令中的仅鉴别数据进行鉴别码计算：权　利　要　求　书 1/3 页 2 CN 114095259 A 2对仅鉴别数据进行分组后通过加速表 做有限域乘法计算伽罗华哈希值GHASH； 累加仅鉴别数据的长度。 7.如权利要求2所述的鉴别加解密装置， 其特 征在于， 鉴别加密模块具体用于： 采用如下步骤， 对加密计算指令中的待加密明文进行加密计算， 获得初始化向量和密 文数据： 调用缓冲区模块获取初始化向量， 计算加密所需预加密数据分组数， 向缓冲区模块发 送获取预加密数据请求， 并接 收返回的预加密数据， 所述获取预加密数据请求中含有加密 所需预加密数据分组数； 将所述预加密数据和加密计算指令中的待加密明文异或加密， 获得密文数据， 对密文 数据进行鉴别码计算， 更新 鉴别码计算内部状态； 如果返回的预加密数据的分组数小于加密所需预加密数据分组数， 获得返回的预加密 数据的分组数与加密所需预加密数据分组数的差值长度， 向缓冲区模块 发送新的获取预加 密数据请求， 并接 收返回的新的预加密数据， 新的获取预加密数据请求中含有所述差值长 度。 8.如权利要求7 所述的鉴别加解密装置， 其特 征在于， 缓冲区模块具体用于： 在接收到获取 预加密数据请求后， 检查能够用的预加密数据数量； 若所述预加密数据 数量大于0， 根据缓冲区消耗程度触发异步预加密数据动作， 不等待 完成即返回现有预加密数据； 若所述预加密数据数量等于0， 触发异步预加密数据动作， 等待完成后返回预加密数 据。 9.如权利要求8所述的鉴别加解密装置， 其特征在于， 缓冲区模块具体用于： 采用 如下 步骤， 执行预加密数据动作： 根据计数器模式补充预加密数据明文， 启动异步线程； 并发调 用适配模块对补充的预加密数据明文 进行加密， 并返回预加密数据； 适配模块还用于： 对补充的预加密数据明文 进行加密， 获得 预加密数据。 10.如权利要求2所述的鉴别加解密装置， 其特 征在于， 鉴别加密模块还用于： 在接收到应用系统发送的MAC获取指令后， 调用缓冲区模块， 获得MAC计算初始值。 11.如权利要求2所述的鉴别加解密装置， 其特 征在于， 鉴别加密模块具体用于： 采用如下步骤， 根据初始化向量， 对解密计算指令中的密文数据进行解密计算： 调用缓冲区模块设置初始化向量； 对密文数据进行鉴别码计算； 计算解密所需预加密数据分组数， 向缓冲区模块发送获取预加密数据请求， 并接收返 回的预加密数据， 所述获取预加密数据请求中含有解密所需预加密数据分组数和初始化向 量； 将返回的预加密数据和解密请求中的密文数据异或解密， 获得明文数据； 如果返回的预加密数据的分组数小于解密所需预加密数据分组数， 获得返回的预加密 数据的分组数与解密所需预加密数据分组数的差值长度， 向缓冲区模块 发送新的获取预加 密数据请求， 所述 新的获取 预加密数据请求中含有所述差值长度。 12.如权利要求1 1所述的鉴别加解密装置， 其特 征在于， 缓冲区模块具体用于： 在收到获取预加密数据请求后， 若获取预加密数据请求中含有的初始化向量未命中缓权　利　要　求　书 2/3 页 3 CN 114095259 A 3