CN103034893B - 射频卡芯片安全协处理器及电子标签读写器 - Google Patents
射频卡芯片安全协处理器及电子标签读写器 Download PDFInfo
- Publication number
- CN103034893B CN103034893B CN201110298256.1A CN201110298256A CN103034893B CN 103034893 B CN103034893 B CN 103034893B CN 201110298256 A CN201110298256 A CN 201110298256A CN 103034893 B CN103034893 B CN 103034893B
- Authority
- CN
- China
- Prior art keywords
- unit
- nuclear unit
- modular multiplication
- module
- core unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种射频卡芯片安全协处理器及电子标签读写器,其中协处理器包括:SM2 IP核单元,用于提供有源电子标签应用中的数字签名/身份验证、密钥协商或数据加密/解密功能的安全机制;SM3 IP核单元,用于提供消息杂凑安全机制;SM7 IP核单元,用于提供满足射频卡标准的安全机制;模乘模块,用于完成1024bit大数RSA算法的模乘硬件加速;存储单元,用于作为射频卡芯片安全协处理器与中央处理单元的接口,根据来自中央处理单元的指令为SM2 IP核单元、SM3 IP核单元、SM7 IP核单元或模乘模块提供控制字,使其中一个功能模块使能;控制模块,用于当SM2 IP核单元、SM3IP核单元、SM7IP核单元或模乘模块中的一个功能模块使能后,通过控制模块的输出端将数据写入存储单元。
Description
技术领域
本发明涉及信息安全领域,具体而言,涉及一种射频卡芯片安全协处理器及电子标签读写器。
背景技术
2009年初国外MIFARE IC芯片的密码算法被破解,我国一些采用该芯片的非接触IC卡系统的安全正受到严重威胁。为保障国家信息安全,我国的密码管理政策要求在信息安全领域必须使用国产密码产品。
国密SM2 SM3 SM7算法是国家密码管理局为保障国家信息安全,推出的自主研发的RFID专用密码算法,这些算法可保护数据交换的安全,从根本上解决安全威胁。国密SM7算法是由国家密码管理局编制的一种对称算法。国密SM2算法是国家密码管理局公开的一款基于离散对数椭圆曲线的公钥算法,包括二元域和素数域,并以256或192bit两种较低的位宽,实现数字签名/身份认证,密钥协商,数据加密/解密的功能。算法本身具有安全性高、密钥量小、灵活性好等等优点。国密SM3算法是国家密码管理局推出的一款杂凑算法,杂凑值长度为256比特。
发明内容
本发明提供一种射频卡芯片安全协处理器及电子标签读写器,用以提高数据交换的安全性和一卡完成多种终端业务的便利性。
为达到上述目的,本发明提供了一种射频卡芯片安全协处理器,其包括:
SM2 IP核单元,用于提供有源电子标签应用中的数字签名/身份验证、密钥协商或数据加密/解密功能的安全机制;
SM3 IP核单元,用于提供消息杂凑安全机制;
SM7 IP核单元,用于提供满足射频卡标准的安全机制,包括:密钥分散、安全报文加解密、安全报文MAC计算和MAC/TAC/GMAC/GTAC计算;
模乘模块,用于完成1024bit大数RSA算法的模乘硬件加速;
存储单元,用于作为射频卡芯片安全协处理器与中央处理单元的接口,根据来自中央处理单元的指令为SM2 IP核单元、SM3 IP核单元、SM7 IP核单元或模乘模块提供控制字,使其中一个功能模块使能;
控制模块,用于当SM2IP核单元、SM3IP核单元、SM7IP核单元或模乘模块中的一个功能模块使能后,通过控制模块的输出端将数据写入存储单元。
较佳的,SM3 IP核单元的输出端作为SM2 IP核单元的子模块,返回给SM2 IP核单元。
较佳的,模乘模块的输出端作为SM2 IP核单元的子模块,返回给SM2 IP核单元。
较佳的,SM2 IP核单元同时具有2元域或p元域、256bit或192bit的4种参数选择。
较佳的,SM3 IP核单元的输出端直接返回给存储单元。
较佳的,模乘模块的输出端直接返回给存储单元。
较佳的,控制字包括SM2 IP核单元、SM3 IP核单元、SM7 IP核单元和模乘模块的控制位和SM2算法参数。
为达到上述目的,本发明还提供了一种电子标签读写器,其包括上述射频卡芯片安全协处理器。
在上述实施例中,SM7算法将算法的安全性与功耗量综合考虑,适用于无源电子标签,SM7 IP核单元提供128bit的密钥分发、密钥加解密安全功能;SM2算法具有高安全性,适用于有源标签,SM2模块提供256bit或192bit两种位宽、二元域或素域两种算法的公钥体制的数字签名,密钥协商,数据加解密的安全功能;SM3 IP核单元提供HASH(哈斯)算法,成长度L小于264bit的消息的256bit杂凑值;MMUL(模乘)模块完成1024bit大数RSA算法的模乘硬件加速器功能。本实施例的基于国产SM2、SM3和SM7算法的射频卡芯片安全协处理器,通过单卡多算法的方式,可以以1张/人的持卡量,完成多种终端业务,是基于国密SM2、SM3和SM7算法的新一代电子标签读写器上的芯片安全协处理器,完全使用我国自主算法和行业安全标准的电子标签芯片,具有较好的安全性,在国内有广阔的前景和应用价值。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例的射频卡芯片安全协处理器结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一实施例的射频卡芯片安全协处理器结构示意图;如图1所示,该协处理器包括:
SM2 IP核单元2,用于提供有源电子标签应用中的数字签名/身份验证、密钥协商或数据加密/解密功能的安全机制;
SM3 IP核单元3,用于提供消息杂凑安全机制;
SM7 IP核单元1,用于提供满足射频卡标准的安全机制,包括:密钥分散、安全报文加解密、安全报文MAC计算和MAC/TAC/GMAC/GTAC计算;
模乘模块4,用于完成1024bit大数RSA算法的模乘硬件加速;
存储单元6,用于作为射频卡芯片安全协处理器与中央处理单元的接口,根据来自中央处理单元的指令为SM2 IP核单元、SM3 IP核单元、SM7 IP核单元或模乘模块提供控制字,使其中一个功能模块使能;
控制模块5,用于当SM2IP核单元2、SM3 IP核单元3、SM7 IP核单元1或模乘模块4中的一个功能模块使能后,通过控制模块5的输出端将数据写入存储单元6。
SM2、SM3、SM7和MMUL(模乘)各算法IP核,共用存储单元读入各自的输入参数和数据,输出各自结果。中央处理单元CPU通过读/写存储单元来调用控制各算法IP核,和读取各IP核的输出结果。同时满足有源/无源电子标签的安全协处理器要求。
中央处理CPU通过地址总线、数据总线和控制信号与存储单元交互,通过数据总线向存储单元交互写入/读出数据,可以完成SM7密钥分发,SM7密钥加解密,SM2数字签名/身份认证,SM2密钥协商,SM2数据加密/解密,SM3消息杂凑和1024bit模乘的多种功能的使能控制。其中SM2模块可以有限域中2元域核素属域椭圆曲线的选择,完成256和192两种位宽的选择。
SM7算法将算法的安全性与功耗量综合考虑,适用于无源电子标签,SM7IP核单元提供128bit的密钥分发、密钥加解密安全功能;SM2算法具有高安全性,适用于有源标签,SM2模块提供256bit或192bit两种位宽、二元域或素域两种算法的公钥体制的数字签名,密钥协商,数据加解密的安全功能;SM3IP核单元提供HASH(哈斯)算法,成长度L小于264bit的消息的256bit杂凑值;MMUL(模乘)模块完成1024bit大数RSA算法的模乘硬件加速器功能。本实施例的基于国产SM2、SM3和SM7算法的射频卡芯片安全协处理器,通过单卡多算法的方式,可以以1张/人的持卡量,完成多种终端业务,是基于国密SM2、SM3和SM7算法的新一代电子标签读写器上的芯片安全协处理器,完全使用我国自主算法和行业安全标准的电子标签芯片,具有较好的安全性,在国内有广阔的前景和应用价值。
例如,SM3IP核单元的输出端作为SM2IP核单元的子模块,返回给SM2IP核单元。
例如,模乘模块的输出端作为SM2IP核单元的子模块,返回给SM2 IP核单元。
参阅图1,SM3 IP核单元3和模乘模块4作为SM2模块2的子模块,3个功能模块公用与存储单元6连接的输入端,共用与控制单元5公用的数据输出端;当SM2 IP核单元使能,其输入端数据则来自SM2 IP核单元内部,否则,其输入端数据来自存储单元6的控制字;其输出端同时直接驱动SM2 IP核单元内部和SM2 IP核单元的输出端。
例如,SM2 IP核单元同时具有2元域或p元域、256bit或192bit的4种参数选择。
例如,SM3 IP核单元的输出端直接返回给存储单元,为中央处理单元CPU读取,完成264bit消息杂凑安全机制。
例如,模乘模块的输出端直接返回给存储单元,为CPU读取,SM2 IP核提供模乘硬件加速器的接口,完成以软硬结合的方式实现1024bit大数RSA算法。
表1示出了本发明一实施例的存储单元存储空间分配情况。
表1
参阅图1和表1,存储单元6为SM2、SM3、SM7和MMUL各IP核功能模块共用(1+8*13)*32bit的存储空间,寻址空间XXFFH-XX6FH;其地址XX08H上的32bit控制字提供给SM2 IP核单元、SM3IP核单元、SM7 IP核单元或MMUL模块其中一个功能模块使能信号为1。SM2 IP核单元、SM3IP核单元、SM7 IP核单元或MMUL模块等各功能模块使能后,数据和地址输出端作为控制模块5的输入端,根据地址,控制控制模块5的输出端数据写入所述存储单元6的指定地址空间。
表2和表3示出了本发明一实施例的控制字寄存器数据格式。
表2
| 22~15 | 14~7 | 6 | 5 | 4 | 3~2 | 1~0 |
| entl | klen | fxctrl | gfctrl | dectrl | smctrl | enctrl |
表3
| 31 | 30 | 29 | 28 | 27 | 26 | 25~23 |
| gf2xg | gf2yg | gf2xp | gf2yp | gf2xr | gf2yr | h |
参阅表1和表2、3,存储单元6的XXFFH地址上的控制字寄存器,enctrl[1:0]等于2’b00,则SM7IP核单元使能;等于2’b01,则SM2 IP核单元使能;等于2’b10,则SM3IP核单元使能;等于2’b11,则MMUL模块使能;smctrl[1:0]当SM7 IP核单元使能时,等于2’b10,则执行密钥分发;等于2’b11,则执行密钥加解密。当sm7 IP核单元使能时,等于2’b01,则执行数字签名/身份认证;等于2’b10,则执行密钥协商;等于2’b11,则执行数据加解密。当SM3IP核单元使能时,等于2’b00,则消息待续;等于2’b11,则最后256*13一组消息。加解密控制位dectrl,等于1’b0,则各模块执行相应的加密运算;等于1’b1,执行解密运算。25至7bit位为SM2 IP核单元专用控制位,从低到高依次为:有限域控制位gfctrl,等于1’b0为素数域;等于1’b1为二元域。位宽控制位fxctrl,等于1’b0,则执行192bit数据;等于1’b1,则执行256bit数据。8bit数据长度klen,8bit的ID长度entl,3bit余因子h。31至26bit位为SM2IP核单元二元域点最高位专用数据位,从低到高位依次为:点R的gf2xr和gf2yr,点P的gf2xp和gf2yp,点G的gf2xg和gf2yg。
综上所述,本发明上述实施例中的协处理器通过地址总线、数据总线和控制信号与CPU交互,利用国密SM2、SM3、SM7硬件电路IP核,提供1024bit大数RSA的模乘硬件加速器接口,通过对国密SM2、SM3、SM7及子功能的全面的硬件固化,比软件方法和软硬结合的方法具有更快速和更高的安全性的特点;针对读写射频卡需要多种场合使用的特性,满足读写射频卡的安全的功能;基于国产算法的基础上,通过存储单元和功能模块的复用,达到1卡多算法,实现1人1卡对多种安全模式的支持。完成对射频卡的安全应用所需的信息安全功能,满足多种业务的多重安全要求,并满足国家金融集成电路(IC)卡规范规定的其他硬件要求。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
Claims (2)
1.一种射频卡芯片安全协处理器,其特征在于,包括:
SM2IP核单元,用于提供有源电子标签应用中的数字签名/身份验证、密钥协商或数据加密/解密功能的安全机制;
SM3IP核单元,用于提供消息杂凑安全机制;
SM7IP核单元,用于提供满足射频卡标准的安全机制,包括:密钥分散、安全报文加解密、安全报文MAC计算和MAC/TAC/GMAC/GTAC计算;
模乘模块,用于完成1024bit大数RSA算法的模乘硬件加速;
存储单元,用于作为所述射频卡芯片安全协处理器与中央处理单元的接口,根据来自所述中央处理单元的指令为所述SM2IP核单元、所述SM3IP核单元、所述SM7IP核单元或所述模乘模块提供控制字,使其中一个功能模块使能;
控制模块,用于当所述SM2IP核单元、所述SM3IP核单元、所述SM7IP核单元或所述模乘模块中的一个功能模块使能后,通过所述控制模块的输出端将数据写入所述存储单元;
所述SM3IP核单元的输出端作为所述SM2IP核单元的子模块,返回给所述SM2IP核单元;
所述模乘模块的输出端作为所述SM2IP核单元的子模块,返回给所述SM2IP核单元;
所述SM2IP核单元同时具有2元域或p元域、256bit或192bit的4种参数选择;
所述SM3IP核单元的输出端直接返回给所述存储单元;
所述模乘模块的输出端直接返回给所述存储单元;
所述控制字包括所述SM2IP核单元、所述SM3IP核单元、所述SM7IP核单元和所述模乘模块的控制位和SM2算法参数。
2.一种电子标签读写器,其特征在于,其包括权利要求1所述的射频卡芯片安全协处理器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110298256.1A CN103034893B (zh) | 2011-09-29 | 2011-09-29 | 射频卡芯片安全协处理器及电子标签读写器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110298256.1A CN103034893B (zh) | 2011-09-29 | 2011-09-29 | 射频卡芯片安全协处理器及电子标签读写器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103034893A CN103034893A (zh) | 2013-04-10 |
| CN103034893B true CN103034893B (zh) | 2017-02-08 |
Family
ID=48021771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110298256.1A Active CN103034893B (zh) | 2011-09-29 | 2011-09-29 | 射频卡芯片安全协处理器及电子标签读写器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103034893B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104408511A (zh) * | 2014-08-27 | 2015-03-11 | 北京中电华大电子设计有限责任公司 | 超高频rfid安全算法模块的自适应变频时钟设计方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1512322A (zh) * | 2002-12-27 | 2004-07-14 | 上海华虹集成电路有限责任公司 | 一种实现ic卡rsa加密算法的协处理器 |
| CN101840592A (zh) * | 2010-05-18 | 2010-09-22 | 上海集成通信设备有限公司 | 采用商用密码的ic卡门禁终端及其操作方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060059369A1 (en) * | 2004-09-10 | 2006-03-16 | International Business Machines Corporation | Circuit chip for cryptographic processing having a secure interface to an external memory |
| CN101794276B (zh) * | 2010-03-30 | 2012-06-06 | 无锡致新电子科技有限公司 | 适用于soc的dct_idct协处理器 |
-
2011
- 2011-09-29 CN CN201110298256.1A patent/CN103034893B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1512322A (zh) * | 2002-12-27 | 2004-07-14 | 上海华虹集成电路有限责任公司 | 一种实现ic卡rsa加密算法的协处理器 |
| CN101840592A (zh) * | 2010-05-18 | 2010-09-22 | 上海集成通信设备有限公司 | 采用商用密码的ic卡门禁终端及其操作方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103034893A (zh) | 2013-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102737270B (zh) | 一种基于国产算法的银行智能卡芯片安全协处理器 | |
| CN201054140Y (zh) | 信息安全控制芯片 | |
| CN106022080B (zh) | 一种基于PCIe接口的密码卡及该密码卡的数据加密方法 | |
| CN105099711B (zh) | 一种基于zynq的小型密码机及数据加密方法 | |
| CN108011716A (zh) | 一种密码装置及实现方法 | |
| CN102088349B (zh) | 一种智能卡个人化的方法及系统 | |
| CN206611427U (zh) | 一种基于可信计算装置的密钥存储管理系统 | |
| CN108718313A (zh) | 应用软件数据安全使用方法、终端设备及服务器 | |
| CN105471855A (zh) | 一种用于电子标签快速身份鉴别的低功耗椭圆曲线加密引擎 | |
| CN111767586A (zh) | 内置硬件密码学算法协处理器的微处理器及安全芯片 | |
| CN201150069Y (zh) | 一种支持多身份认证的信息安全设备 | |
| CN104899620A (zh) | 一种带安全处理功能的rfid读写器 | |
| CN103034893B (zh) | 射频卡芯片安全协处理器及电子标签读写器 | |
| CN205232389U (zh) | 一种安全音视频编解码soc芯片 | |
| CN105138891B (zh) | 一种基于USBKey的无驱动加解密认证通信电路和方法 | |
| CN103473495A (zh) | 一种现场服务终端权限管理系统及其方法 | |
| CN207475576U (zh) | 一种基于安全芯片的安全移动终端系统 | |
| CN202600714U (zh) | 基于sd可信计算模块的嵌入式终端 | |
| CN205486124U (zh) | 一种基于fpga芯片的安全可信通信单元 | |
| CN108243006A (zh) | 一种基于国产tcm芯片的可信冗余密码服务器 | |
| CN2906747Y (zh) | 带有数据存储和智能密钥的usb设备 | |
| CN202694349U (zh) | 多种接口方式的USBKey | |
| CN204836195U (zh) | 一种基于zynq的小型密码机 | |
| CN102739396A (zh) | 一种应用于信息安全的协处理器 | |
| CN214704617U (zh) | 一种基于PCIe104接口的国密算法卡 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |