CN101364249A - 一种安全算法保护方法 - Google Patents
一种安全算法保护方法 Download PDFInfo
- Publication number
- CN101364249A CN101364249A CNA2007101199794A CN200710119979A CN101364249A CN 101364249 A CN101364249 A CN 101364249A CN A2007101199794 A CNA2007101199794 A CN A2007101199794A CN 200710119979 A CN200710119979 A CN 200710119979A CN 101364249 A CN101364249 A CN 101364249A
- Authority
- CN
- China
- Prior art keywords
- security algorithm
- data
- security
- download
- guard method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种安全算法保护的方法,主要应用于信息安全领域,如USBKey、PKI智能卡等。通过采用高级的数据流加解密和存储器安全保护技术,实现对安全算法从数据传输到调用执行等环节的多级保护,从而防止安全算法中知识产权或者保密数据的泄露。
Description
技术领域
本发明主要应用于PKI智能卡、USB Key等信息安全领域。
背景技术
随着信息科技的发展,信息安全保护变得日益重要,安全性需求渗透到电子系统设计的各个环节。由于通过软件/固件设计已经很难保证全面的系统安全性,这就需要借助硬件来获得更有效的安全体系。
目前,在安全算法地保护主要存在以下几个方面的技术问题需要解决:
1.安全传输:在将密钥或明文下载到芯片的传输过程中,存在信息泄漏或监听的隐患。目前流行的软件攻击就是使用微处理器的通用通讯接口,寻求安全协议、加密算法以及它们物理实现的弱点。
2.安全执行:安全执行包括保证执行的完整性和保证代码和数据的保密性。多种类型的威胁会有损系统的完整性或保密性。例如,通过逻辑分析器来观察处理器与存储器之间的通信量。或者利用窃听技术,采用高时域精度的方法,分析电源接口在微处理器正常工作过程中产生的各种电磁辐射的模拟特征。
发明内容
本发明的目的在于解决上述的两个问题,提供一种软件技术与硬件设计相结合的方法。在实现加密功能的基础上,增加物理保护措施,保护信息在存储和传输过程中免受恶意的篡改或泄漏,使得系统更加安全可靠。
为了实现上述目的,采用了以下的技术方案:在传输过程中,将要下载的安全数据通过软件进行加密后传输到芯片的端口,保证数据在芯片外的环境中不会被监测到真实的信息。数据在芯片内部先进行解密,然后将解密后的信息通过加扰写入到物理存储空间,保证了外界对存储器进行攻击时的安全。在执行过程中,用户只能对安全区中的数据进行调用,没有读和写的权限。
本文提到的安全算法保护方法有以下几个特点:
1.安全算法下载到芯片存储器过程的安全保护。由于下载的算法是经过加密的,通过外部IO接口传输的数据虽然能够被恶意监听,但即使获得也是无意义的,这就保证了安全算法数据传输过程的安全性。
2.安全算法存储的安全保护。下载程序把安全算法写入存储器的时候,是经过加扰处理的,即使通过外部物理探测能够获取存储器内容,也是无效的,因为直接读出的数据并不是真实的安全算法代码数据,这就保证了安全算法存储过程的安全性。
3.安全算法使用过程的安全保护。在用户开发完COS后,需要调用安全算法,从硬件上这是允许的,但是安全算法存放区域是受到读写保护的,因此普通用户是无法获得安全算法真实内容的。这就保证了用户可以通过软件程序使用安全算法,但无法通过软件程序读出其内容。
附图说明
图1系统功能流程图
具体实施方式
结合附图,对本发明进一步详细描述:如图1所示,安全算法保护主要是从软件层面和硬件两个角度进行。
1.在算法的下载过程中,通过设置安全区窗口寄存器,定义安全区的起始地址和结束地址,以及安全区保护属性,然后加密后的算法库通过下载程序进行下载。芯片接收到外部密文数据后,通过软件程序进行解密获得真实安全算法数据,然后再下载到内部存储器中,其中存储器地址是进行加扰处理的,即使外部恶意用户能够物理探测获取程序存储器内容也将是无效的。因此这种方法无论是外部监听还是物理探测都很难获得真实的数据,除非恶意用户破解加解密算法和硬件的加扰逻辑。
2.在用户需要调用安全算法的时候,可以直接根据算法入口地址进行调用,硬件会根据当前用户权限决定是否能够访问这块安全算法区域,如果权限许可则执行安全算法流程,否则会给出异常中断。如果恶意用户企图读取安全算法,由于这块安全区是受到读写保护的,将对给出异常中断。例如,在管理员模式,对安全算法区是具有读写、执行权限的,可以在这种工作模式进行安全算法的下载和读出校验;在普通用户模式,对安全算法区仅有执行权限,无读取权限,因此无法获得安全算法的真实内容,起到保护作用。
Claims (4)
1.一种安全算法保护方法,其特征在于包括以下步骤:
将密钥或明文下载到芯片的传输过程;把密钥或明文写入存储器的存储过程;用户对密钥或明文数据进行调用的执行过程。
2.根据权利要求1所述的一种安全算法保护方法,其特征在于传输过程中通过下载工具,将要下载的安全算法库进行加密后下载到芯片,下载过程进行传输的数据为密文,保证数据在传输过程中的安全。
3.根据权利要求1所述的一种安全算法保护方法,其特征在于存储过程中安全算法库在下载时对数据进行内部解密后,再经过地址加扰,最后写入到物理存储空间,存放安全算法的物理存储空间地址可以通过寄存器进行配置,保证数据在存储过程过程中的安全。
4.根据权利要求1所述的一种安全算法保护方法,其特征在于在执行过程中,用户在调用安全区中的算法库时,硬件会自动判断当前用户对算法库存储区的访问权限,安全算法存放区域是受到读写保护的,只有执行权限,无读写权限,因此通过这种方法可以有效地保证安全算法在使用过程中的安全性,防止数据被恶意读出泄露。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101199794A CN101364249A (zh) | 2007-08-06 | 2007-08-06 | 一种安全算法保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007101199794A CN101364249A (zh) | 2007-08-06 | 2007-08-06 | 一种安全算法保护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101364249A true CN101364249A (zh) | 2009-02-11 |
Family
ID=40390615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101199794A Pending CN101364249A (zh) | 2007-08-06 | 2007-08-06 | 一种安全算法保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101364249A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102591803A (zh) * | 2011-01-17 | 2012-07-18 | 上海华虹集成电路有限责任公司 | 一种flash数据保护的方法 |
| CN103154963A (zh) * | 2010-10-05 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 对地址的加扰和对需存储于存储设备中的写入数据的加密 |
| CN112632476A (zh) * | 2020-12-31 | 2021-04-09 | 四川虹微技术有限公司 | 算法授权保护方法、装置、集成电路芯片及电子设备 |
-
2007
- 2007-08-06 CN CNA2007101199794A patent/CN101364249A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103154963A (zh) * | 2010-10-05 | 2013-06-12 | 惠普发展公司,有限责任合伙企业 | 对地址的加扰和对需存储于存储设备中的写入数据的加密 |
| US9397834B2 (en) | 2010-10-05 | 2016-07-19 | Hewlett-Packard Development Company, L.P. | Scrambling an address and encrypting write data for storing in a storage device |
| CN102591803A (zh) * | 2011-01-17 | 2012-07-18 | 上海华虹集成电路有限责任公司 | 一种flash数据保护的方法 |
| CN112632476A (zh) * | 2020-12-31 | 2021-04-09 | 四川虹微技术有限公司 | 算法授权保护方法、装置、集成电路芯片及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gueron | Memory encryption for general-purpose processors | |
| CN104392188B (zh) | 一种安全数据存储方法和系统 | |
| Elbaz et al. | Tec-tree: A low-cost, parallelizable tree for efficient defense against memory replay attacks | |
| Li et al. | The survey of RFID attacks and defenses | |
| WO2009073863A1 (en) | Secure software download | |
| WO2004006075A1 (ja) | 開放型汎用耐攻撃cpu及びその応用システム | |
| WO2010016875A2 (en) | Integrated cryptographic security module for a network node | |
| CN103988461A (zh) | 用于对数据进行解密的设备和方法 | |
| CN102799819A (zh) | 一种嵌入式软件安全保护系统 | |
| Shepherd et al. | Physical fault injection and side-channel attacks on mobile devices: A comprehensive analysis | |
| CN110659458A (zh) | 支持软件代码数据保密可信执行的中央处理器设计方法 | |
| CN103440462A (zh) | 一种提高安全微处理器安全保密性能的嵌入式控制方法 | |
| CN102508792A (zh) | 一种实现硬盘数据安全访问的方法 | |
| US20140108818A1 (en) | Method of encrypting and decrypting session state information | |
| CN101364249A (zh) | 一种安全算法保护方法 | |
| US8413906B2 (en) | Countermeasures to secure smart cards | |
| US20100088770A1 (en) | Device and method for disjointed computing | |
| Wanderley et al. | Security fpga analysis | |
| Volokitin et al. | Logical attacks on secured containers of the Java Card platform | |
| Sarma | Security of hard disk encryption | |
| Tsoutsos et al. | Trust no one: Thwarting" heartbleed" attacks using privacy-preserving computation | |
| Yadav et al. | Implementation of white-box cryptography in credit card processing combined with code obfuscation | |
| CN104392153A (zh) | 一种软件保护方法及系统 | |
| Matsumoto et al. | RAM Encryption Mechanism without Hardware Support | |
| Elbaz et al. | Block-level added redundancy explicit authentication for parallelized encryption and integrity checking of processor-memory transactions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090211 |