CN105631366A - 一种加密芯片及其加密方法 - Google Patents
一种加密芯片及其加密方法 Download PDFInfo
- Publication number
- CN105631366A CN105631366A CN201510657625.XA CN201510657625A CN105631366A CN 105631366 A CN105631366 A CN 105631366A CN 201510657625 A CN201510657625 A CN 201510657625A CN 105631366 A CN105631366 A CN 105631366A
- Authority
- CN
- China
- Prior art keywords
- encryption
- safe space
- encryption chip
- memorizer
- random access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种利用MRAM的加密芯片和方法,加密芯片包括主控芯片、内存和存储器,所述主控芯片分别与内存和存储器相互连接,所述主控芯片内集成有MRAM单元;所述MRAM内设有一个安全空间,所述安全空间用于存储涉密信息和进行涉密运算。在进行加密时,所有的涉密信息都在所述安全空间中存储和运行。本发明使得信息更为安全。
Description
技术领域
本发明涉及信息加密技术领域,特别是涉及一种加密芯片及其加密方法。
背景技术
所有的保密技术和软件安全措施,都是针对特定的安全威胁设计的。目前没有一种技术敢于声称绝对安全,都致力于把特定的威胁降至最低,把窃密者或破坏者的困难最大化。这些特定的威胁包括:
1.设备之间的通信被窃听;
2.设备的软件被更换为非授权的软件;
3.设备被植入病毒或蠕虫,导致运行失效;
4.设备被植入病毒或蠕虫,导致秘密数据失窃;
5.设备被具有恶意的人获取,通过拆解设备来获得秘密数据。
其中,第5种安全威胁是获得了设备又怀有恶意的人是具备高科技手段的(此后简称敌人),因此所有的军用设备、涉密设备的设计都必须充分考虑此种威胁。我们的这项发明,主要针对这种威胁。由于敌人是具备高科技手段的,同时还需要兼顾第4种威胁。
由于现有的工艺技术的限制,现行的计算机、通讯设备和所有的电子设备都分为主控芯片(或CPU)、存储和内存三个部分。所有的数据和程序保存在非易失的存储设备里。CPU和存储以及内存之间都通过标准化的接口交换数据。
如果存储里存有涉密数据,敌人获得了设备后,拆下存储单元,可以很轻易地读出它。所以,对于涉密数据和程序的加密是涉密设备中起码的安全措施。但是这远远不够。存储只能用来存储数据,如果要计算,还需要把数据解密后在内存中进行。现有的能和CPU集成在一起的内存只有SRAM,只有少量的SRAM能和CPU集成在一起,主要的计算还需要在主芯片外的DRAM中进行。一旦涉密数据和程序被解密存在外部的内存芯片里,敌人就可以用探针插在主芯片与内存芯片的连线上,通过监听总线上的信息获得解密后的数据。
如图1所示,更高级的加密手段是把主控芯片和内存之间的通讯也加密。由于这是一个高速的通讯接口,只有在主控芯片中增加加密/解密的硬件才可以胜任。
然而使用硬件的加密解密器本身就有安全问题。在涉密领域,加密算法本身也是很高的机密。硬件的加密机解密器固化在芯片里,敌人获取了设备后,原则上就有可能破译加密算法,这本身就是重大损失。
密钥的存储又是另外一个问题,存储在主控芯片内肯定比在存储中安全。一般是使用eFUSE之类的技术烧在主芯片里,这也是不能擦除的。并且,eFUSE由于是类似烧断保险丝的技术,在芯片不上电的情况下,用显微镜就可以读出。
目前的涉密设备都有数据自毁功能。在设备丢失的情况下,通过遥控删除其数据。然而,数据自毁不能保证每次都可以实施。如果敌人在之前拿到设备,拆除电池,拿到射频屏蔽的环境去研究。那么情况将非常糟:敌人通过分析芯片破解加密算法,读出密钥,然后就可以获得全部加密信息。
当然,如果使用软件进行加密解密,目前的技术还是不能很好地解决存储问题。因为这个算法本身无法加密,放在存储里,被敌人获得的情况下都不用破解,然而如果固化在芯片内部的ROM中,也有同样的问题。
所以,现有的加密技术在设备被敌人获得的情况下是非常不安全的。
发明内容
本发明所要解决的技术问题是提供一种加密芯片及其加密方法,使得信息更为安全。
本发明解决其技术问题所采用的技术方案是:提供一种加密芯片,包括主控芯片、内存和存储器,所述主控芯片分别与内存和存储器相互连接,所述主控芯片内集成有非易失随机存储器(例如MRAM);所述非易失随机存储器内设有一个安全空间,所述安全空间用于存储涉密信息和进行涉密运算。
进一步地,所述涉密信息包括从存储器中解密后的数据和程序、加解密算法、密钥和安全管理软件,将所有的涉密信息存储在安全空间内,使得解密后的内容不用存在外部的RAM中,不必再使用硬件的加解密器,在数据自毁时可以删除掉加解密程序,使敌人无法知道。
进一步地,所述主控芯片中还设有与中央处理器相连的安全监控器,所述安全监控器用于在每次中央处理器读写操作时判断是否只有在安全空间内的程序在读写安全空间的内容,如此可以有效防止因设备被植入病毒或蠕虫从而导致涉密数据失窃的问题。
进一步地,所述安全空间的范围存储在所述非易失随机存储器中所述安全空间内部的约定地址中。
进一步地,所述传感器检测到所述加密芯片被非授权的方式打开时,所述安全管理软件擦除所述非易失随机存储器内所有的涉密信息,利用MRAM的擦写速度非常快的特性能够顺利删除涉密信息,提高信息的安全性。
进一步地,所述安全管理软件利用备份电容的余电擦除所述非易失随机存储器内所有的涉密信息,利用MRAM耗电非常少的特性,在电池脱离的情况下也能够删除涉密信息。
进一步地,所述安全管理软件还用于擦除存储器中的加密内容,能够完全删除芯片中的涉密信息,从而使敌人无法破解。
进一步地,所述安全管理软件根据存储器脱离或者存储器中没有授权的内容启动数据自毁程序,从而保证信息的安全性。
本发明解决其技术问题所采用的技术方案是:还提供一种上述加密芯片的加密方法,将所有的涉密信息都在所述安全空间中存储和运行。
进一步地,当所述传感器检测到所述加密芯片被非授权的方式打开时,所述安全管理软件先擦除所述非易失随机存储器内所有的涉密信息,如果有多余时间,再擦除所述存储器中的加密内容。
进一步地,当所述存储器脱离或者存储器中没有授权的内容时,所述安全管理软件启动数据自毁程序。
进一步地,当检测到所述安全空间外的程序试图读写所述安全空间内的内容,通过中断通知所述安全空间内存储的安全管理软件,启动数据自毁程序。
有益效果
由于采用了上述的技术方案,本发明与现有技术相比,具有以下的优点和积极效果:
(1)本发明将涉密信息全部存储在集成在主控芯片上的MRAM的安全空间内,不再使用外部的RAM,由于解密后的内容不用存在外部的RAM中,不必再使用硬件的加解密器。数据自毁时可以删除掉加解密程序,使敌人无法知道。
(2)MRAM的擦写速度非常快(可以比DRAM还快),耗电又非常少,利用添加的传感器,当设备被非授权的方式打开时,即使电池已经脱离,仍可以用主板上的备份电容的余电,擦除MRAM内所有的涉密信息,包括解密后的内容、密钥、加密算法,如果有时间还可以擦除存储器中的加密内容,即便存储没有被擦除,没有密钥又不知道加密算法,敌人很难进行破解。
(3)由于目前还没有不用上电就读取MRAM内容的技术。因此万一数据自毁没成功,敌人获得了芯片,研究它的时候也必须上电。一旦芯片上电,安全管理软件仍旧可以根据其他线索,比如存储脱离或者存储中没有授权的内容,启动数据自毁程序。
附图说明
图1是现有技术中加密芯片的结构示意图;
图2是本发明的结构示意图。
具体实施方式
下面结合具体实施例,进一步阐述本发明。应理解,这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解,在阅读了本发明讲授的内容之后,本领域技术人员可以对本发明作各种改动或修改,这些等价形式同样落于本申请所附权利要求书所限定的范围。
本发明的第一实施方式涉及一种利用MRAM的加密芯片,如图2所示,包括主控芯片、内存和存储器,所述主控芯片分别与内存和存储器相互连接,所述主控芯片内集成有MRAM单元;所述MRAM内设有一个安全空间,所述安全空间用于存储涉密信息和进行涉密运算。如此,所有的涉密计算都在安全空间中进行,包括从存储中解密后的数据和程序都在安全空间中存储和运行,不再使用外部的RAM。
其中,所述涉密信息包括从存储器中解密后的数据和程序、加解密算法、密钥和安全管理软件,将所有的涉密信息存储在安全空间内,使得解密后的内容不用存在外部的RAM中,不必再使用硬件的加解密器,在数据自毁时可以删除掉加解密程序,使敌人无法知道。
虽然本发明主要防范第5种安全威胁(设备被敌人获取),但因敌人是具备高科技能力的,还必须兼顾第4种威胁(被植入病毒或蠕虫窃取安全数据)。所述安全空间的范围可以存储在非易失存储器中,在实际实施时,可以用MRAM中的指定地址来实施,但安全空间必须把这个地址包括在内。所述主控芯片中还设有与中央处理器相连的安全监控器,所述安全监控器用于在每次中央处理器读写操作时判断是否只有在安全空间内的程序在读写安全空间的内容,即在每次CPU读写操作时,如果读写的地址在安全空间内,安全监控器检查发出/引起这次读写的那条指令的地址(通常存在PC寄存器内),如果这个地址不在安全空间内,停止读写操作,并通知安全管理软件(发出BusError信号)。如此可以有效防止因设备被植入病毒或蠕虫从而导致涉密数据失窃的问题。安全监控器还可以控制安全管理软件采取相应的措施,例如:启动数据自毁程序。
由于,MRAM的擦写速度非常快(可以比DRAM还快),耗电又非常少,因此所述的利用MRAM的加密芯片还包括传感器,该传感器一旦检测到所述加密芯片被非授权的方式打开时,即使电池已经脱离的情况下,所述安全管理软件仍然可以利用主板上备份电容的余电擦除MRAM内所有的涉密信息,包括解密后的内容、密钥、加密算法。如果有时间,所述安全管理软件还能擦除存储器中的加密内容,从而能够完全删除芯片中的涉密信息,从而使敌人无法破解。即便存储器中的加密内容没有被擦除,在没有密钥且又不知道加密算法的情况下,敌人很难进行破解。
由于目前还没有不用上电就读取MRAM内容的技术。万一上述数据自毁没有成功,敌人获得了芯片,研究它的时候也必须上电。一旦芯片上电,所述安全管理软件仍旧可以根据其他线索,例如存储器脱离或者存储器中没有授权的内容启动数据自毁程序,从而保证信息的安全性。
本发明的第二实施方式涉及一种利用MRAM的加密方法,采用第一实施方式的利用MRAM的加密芯片,所有的涉密信息都在所述安全空间中存储和运行。当所述传感器检测到所述加密芯片被非授权的方式打开时,所述安全管理软件先擦除所述非易失随机存储器内所有的涉密信息,如果有多余时间,再擦除所述存储器中的加密内容。当所述存储器脱离或者存储器中没有授权的内容时,所述安全管理软件启动数据自毁程序。此外,当检测到所述安全空间外的程序试图读写所述安全空间内的内容,通过中断通知所述安全空间内存储的安全管理软件,启动数据自毁程序。
由此可见,本发明由于解密后的内容不用存在外部的RAM中,不必再使用硬件的加解密器,数据自毁时可以删除掉加解密程序,使敌人无法知道,从而提高了信息的安全性。
Claims (11)
1.一种加密芯片,包括主控芯片、内存和存储器,所述主控芯片分别与内存和存储器相互连接,其特征在于,所述主控芯片内集成有非易失随机存储器;所述非易失随机存储器内设有一个安全空间,所述安全空间用于存储涉密信息和进行涉密运算。
2.根据权利要求1所述的加密芯片,其特征在于,所述涉密信息包括从存储器中解密后的数据和程序、加解密算法、密钥和安全管理软件。
3.根据权利要求1所述的加密芯片,其特征在于,所述主控芯片中还设有与中央处理器相连的安全监控器,所述安全监控器用于在每次中央处理器读写操作时判断是否只有在安全空间内的程序在读写安全空间的内容。
4.根据权利要求1所述的加密芯片,其特征在于,所述安全空间的范围存储在所述非易失随机存储器中所述安全空间内部的约定地址中。
5.根据权利要求2所述的加密芯片,其特征在于,还包括传感器,所述传感器检测到所述加密芯片被非授权的方式打开时,所述安全管理软件擦除所述非易失随机存储器内所有的涉密信息。
6.根据权利要求5所述的加密芯片,其特征在于,所述安全管理软件利用备份电容的余电擦除所述非易失随机存储器内所有的涉密信息。
7.根据权利要求2所述的加密芯片,其特征在于,所述非易失随机存储器为MRAM。
8.一种如权利要求1-7中任一项所述的加密芯片的加密方法,其特征在于,将所有的涉密信息在所述安全空间中存储和运行。
9.根据权利要求8所述的加密芯片的加密方法,其特征在于,当检测到所述加密芯片被非授权的方式打开时,先擦除所述非易失随机存储器内所有的涉密信息,如果有多余时间,再擦除所述存储器中的加密内容。
10.根据权利要求8所述的加密芯片的加密方法,其特征在于,当所述存储器脱离或者存储器中没有授权的内容时,启动数据自毁程序。
11.根据权利要求8所述的加密芯片的加密方法,其特征在于,当检测到所述安全空间外的程序试图读写所述安全空间内的内容,通过中断通知所述安全空间内存储的安全管理软件,启动数据自毁程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510657625.XA CN105631366A (zh) | 2015-10-13 | 2015-10-13 | 一种加密芯片及其加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510657625.XA CN105631366A (zh) | 2015-10-13 | 2015-10-13 | 一种加密芯片及其加密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105631366A true CN105631366A (zh) | 2016-06-01 |
Family
ID=56046286
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510657625.XA Pending CN105631366A (zh) | 2015-10-13 | 2015-10-13 | 一种加密芯片及其加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105631366A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107492390A (zh) * | 2017-08-18 | 2017-12-19 | 讯翱(上海)科技有限公司 | 一种基于RSA加密NVMe标准PCIe固态存储装置 |
| CN107506656A (zh) * | 2017-08-21 | 2017-12-22 | 深圳市四季宏胜科技有限公司 | 一种wifi移动存储设备 |
| CN109145613A (zh) * | 2018-07-10 | 2019-01-04 | 杨俊佳 | 安全加密芯片及含有该芯片的电子设备 |
| CN109508156A (zh) * | 2017-09-14 | 2019-03-22 | 北京立思辰计算机技术有限公司 | 一种激光打印机专用芯片 |
| CN110321317A (zh) * | 2019-06-28 | 2019-10-11 | 兆讯恒达微电子技术(北京)有限公司 | 一种多接口和多协处理器的芯片 |
| CN112256338A (zh) * | 2020-10-27 | 2021-01-22 | 记忆科技(深圳)有限公司 | Soc启动方法、装置、计算机设备及存储介质 |
| CN117235816A (zh) * | 2023-09-29 | 2023-12-15 | 广州市金其利信息科技有限公司 | 基于芯片加密的数据保护方法、装置、计算机设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080112300A1 (en) * | 2006-11-15 | 2008-05-15 | David Bruce Kumhyr | Method and system for protecting data |
| CN101510243A (zh) * | 2009-03-04 | 2009-08-19 | 深圳市凯明杨科技有限公司 | 一种数据安全保护装置及安全支付设备 |
| CN101562040A (zh) * | 2008-04-15 | 2009-10-21 | 航天信息股份有限公司 | 高安全性移动存储器及其数据处理方法 |
| US20100031375A1 (en) * | 2008-07-29 | 2010-02-04 | International Business Machines Corporation | Signal Quality Monitoring to Defeat Microchip Exploitation |
| CN102799819A (zh) * | 2012-07-04 | 2012-11-28 | 北京京航计算通讯研究所 | 一种嵌入式软件安全保护系统 |
| CN103440462A (zh) * | 2013-08-28 | 2013-12-11 | 成都卫士通信息产业股份有限公司 | 一种提高安全微处理器安全保密性能的嵌入式控制方法 |
-
2015
- 2015-10-13 CN CN201510657625.XA patent/CN105631366A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080112300A1 (en) * | 2006-11-15 | 2008-05-15 | David Bruce Kumhyr | Method and system for protecting data |
| CN101562040A (zh) * | 2008-04-15 | 2009-10-21 | 航天信息股份有限公司 | 高安全性移动存储器及其数据处理方法 |
| US20100031375A1 (en) * | 2008-07-29 | 2010-02-04 | International Business Machines Corporation | Signal Quality Monitoring to Defeat Microchip Exploitation |
| CN101510243A (zh) * | 2009-03-04 | 2009-08-19 | 深圳市凯明杨科技有限公司 | 一种数据安全保护装置及安全支付设备 |
| CN102799819A (zh) * | 2012-07-04 | 2012-11-28 | 北京京航计算通讯研究所 | 一种嵌入式软件安全保护系统 |
| CN103440462A (zh) * | 2013-08-28 | 2013-12-11 | 成都卫士通信息产业股份有限公司 | 一种提高安全微处理器安全保密性能的嵌入式控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| 孙践知: "《PC硬件技术基础教程》", 31 March 2003, 科学出版社 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107492390A (zh) * | 2017-08-18 | 2017-12-19 | 讯翱(上海)科技有限公司 | 一种基于RSA加密NVMe标准PCIe固态存储装置 |
| CN107506656A (zh) * | 2017-08-21 | 2017-12-22 | 深圳市四季宏胜科技有限公司 | 一种wifi移动存储设备 |
| CN109508156A (zh) * | 2017-09-14 | 2019-03-22 | 北京立思辰计算机技术有限公司 | 一种激光打印机专用芯片 |
| CN109145613A (zh) * | 2018-07-10 | 2019-01-04 | 杨俊佳 | 安全加密芯片及含有该芯片的电子设备 |
| CN110321317A (zh) * | 2019-06-28 | 2019-10-11 | 兆讯恒达微电子技术(北京)有限公司 | 一种多接口和多协处理器的芯片 |
| CN112256338A (zh) * | 2020-10-27 | 2021-01-22 | 记忆科技(深圳)有限公司 | Soc启动方法、装置、计算机设备及存储介质 |
| CN112256338B (zh) * | 2020-10-27 | 2023-12-05 | 记忆科技(深圳)有限公司 | Soc启动方法、装置、计算机设备及存储介质 |
| CN117235816A (zh) * | 2023-09-29 | 2023-12-15 | 广州市金其利信息科技有限公司 | 基于芯片加密的数据保护方法、装置、计算机设备及介质 |
| CN117235816B (zh) * | 2023-09-29 | 2024-07-02 | 广州市金其利信息科技有限公司 | 基于芯片加密的数据保护方法、装置、计算机设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105631366A (zh) | 一种加密芯片及其加密方法 | |
| US9465755B2 (en) | Security parameter zeroization | |
| CN103177223B (zh) | 于两装置间保护数据存取的方法及系统 | |
| CN201408535Y (zh) | 面向可信计算密码支撑平台的可信硬盘 | |
| US8555083B1 (en) | Systems and methods for protecting against unauthorized access of encrypted data during power-management modes | |
| CN101038568B (zh) | 外置式计算机硬盘数据加密方法及其装置 | |
| CN102289623A (zh) | 防失密笔记本电脑 | |
| CN101650693A (zh) | 一种移动硬盘的安全控制方法及安全移动硬盘 | |
| CN102799819A (zh) | 一种嵌入式软件安全保护系统 | |
| CN107622390B (zh) | 用于没有电池的安全支付终端的系统及方法 | |
| CN103440462A (zh) | 一种提高安全微处理器安全保密性能的嵌入式控制方法 | |
| CN108108631A (zh) | 一种根密钥处理方法及相关装置 | |
| CN201397508Y (zh) | 单机终端安全登录与监控装置 | |
| CN102915411A (zh) | 嵌入式系统软硬件反复制加密锁 | |
| CN103559435A (zh) | 终端设备的调试端口控制方法和装置 | |
| CN102932140A (zh) | 一种增强密码机安全的密钥备份方法 | |
| CN102622547A (zh) | 一种基于key的服务器数据读取方法 | |
| CN105205416A (zh) | 一种移动硬盘密码模块 | |
| CN105740733A (zh) | 一种加密移动硬盘及其实现方法 | |
| CN201917912U (zh) | Usb存储设备的监控管理系统 | |
| CN102279813B (zh) | 一种加密卡内系统的保护方法 | |
| CN102768646A (zh) | 串口硬盘加解密装置 | |
| CN103473512A (zh) | 一种移动存储介质管理方法和装置 | |
| CN103207976A (zh) | 移动存储文件防泄密方法及基于该方法的保密u盘 | |
| CN110932853B (zh) | 一种基于可信模块的密钥管理装置和密钥管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160601 |
|
| RJ01 | Rejection of invention patent application after publication |