CN106295404A - 基于安全内核的一体化soc芯片 - Google Patents
基于安全内核的一体化soc芯片 Download PDFInfo
- Publication number
- CN106295404A CN106295404A CN201510336901.2A CN201510336901A CN106295404A CN 106295404 A CN106295404 A CN 106295404A CN 201510336901 A CN201510336901 A CN 201510336901A CN 106295404 A CN106295404 A CN 106295404A
- Authority
- CN
- China
- Prior art keywords
- spu
- safe
- application
- key
- security kernel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于安全内核的一体化SOC芯片,包括安全SPU和带加密运算的CPU,安全SPU采用自动加载随机噪声的指令体系,抗逻辑分析和DPA探测,采用防止低频分析结构,采用抗打磨传感器和自毁装置防止芯片打磨探测,采用扰乱加密总线对加载指令和数据做保护,集成带语音加密的基带模块,对语音音频进行加解密处理,并能抵抗移动网络的编码和损耗,同时还包括视频处理芯片、音频处理芯片、解复用处理芯片、内存控制器、内置存储器、加密协处理器和控制其它CPU及总线的接口,能通过标识认证有效控制所有CPU的应用程序执行和安全更新。
Description
技术领域
本发明涉及一种基于安全内核的一体化SOC芯片,包括独立的安全SPU、CPU、基带、多媒体处理器和内存控制器的一体化安全芯片,并能够兼容多应用。
背景技术
普通的CPU不能防止数据拷贝,在没有公钥运算协处理器的情况下也无法进行数字签名运算,如果在CPU内核中加入具有唯一编号的安全处理器,使数据和唯一编号做关联,并通过与唯一编号绑定的授权文件保护数字签名,就能够实现更安全的多应用安全SOC芯片。
发明内容
本发明公开了一种基于安全内核的一体化SOC芯片,其特征在于,至少包括两个独立的CPU,其中至少包括一个安全SPU,所述安全SPU即安全CPU,是基于独立的安全内核架构,即包括唯一编号、独立的内存、程序存储器、数据存储器、加密运算组件和控制其它CPU及总线的加密接口,所述安全SPU内部的启动程序根据加密逻辑和认证公钥,调用加密运算组件,能够有效控制所有CPU及SPU的操作系统及应用程序的执行和安全更新,操作系统和应用程序代码通过特定私钥签名,才能用安全SPU的认证公钥认证通过,所有CPU及SPU的操作系统和应用程序经过特定的安全编译器编译后,也需要安全SPU进行协助处理才能正确执行,通过安全SPU的唯一编号或数字签名方的唯一编号能够计算认证公钥,并保护数字签名,实现更安全的多应用。
控制其它CPU进入加密运算的模式包括使用HMAC运算。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述认证公钥的计算方法采用基于组合公钥的标识认证方法,即构架多个椭圆曲线公私钥对,用标识的摘要值及非线性算法计算出多个坐标,分别将对应的公钥点加成标识公钥,将对应的私钥模加成标识私钥,因此每个安全CPU包含自己的私钥及公钥矩阵,能够直接计算与标识对应的公钥,验证标识对应的数字签名。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全编译器通过外部的安全硬件钥匙进行加密和数字签名运算,所述安全硬件钥匙每个都具有唯一编号,代表了操作系统或应用程序开发者的可信身份,也便于通过数字签名进行追溯。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述基于安全内核的一体化SOC芯片还包括基带芯片、音视频多媒体处理芯片、应用协处理器芯片、内存控制器和电源管理芯片。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全内核的工作流程包括:(1)在安全内核中设置安全SPU;(2)启动信息处理设备,由安全SPU验证当前底层固件的完整性,如正确则完成正常的系统初始化后执行步骤(3),否则停止启动该信息处理设备;(3)由底层固件验证当前操作系统的完整性,如正确则正常运行操作系统,否则停止装入操作系统;SPU是通过在信息处理设备的启动过程中对监控程序或BIOS、底层固件、操作系统依次进行完整性验证,从而保证信息处理设备的安全启动之后,再利用安全SPU内置的加密运算组件调用并管理系统中各种密钥,对应用模块进行加解密,以保证手机或智能信息设备中应用模块的安全。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全SPU具有多安全分区,通过对唯一标识运算实现的可信认证功能,同时兼容现有应用系统规范,能够创建互联互通应用,具备电子钱包和电子存折功能;所述可信认证通过将密钥运算绑定安全SPU芯片唯一编号和/或用户唯一标识实现;所述可信认证互联互通应用上有多种应用目录,包括兼容现有应用系统规范的应用,以及带有可信认证功能的应用;带可信认证功能的应用名称和发行密钥是用户能够自定义的;在装载现有应用系统统一密钥的情况下能够在现有应用系统中运行;在装载配合可信认证的自定义密钥的情况下能够在装有可信认证的系统中运行。
所述的基于安全内核的一体化SOC芯片,其特征在于,安全SPU能够控制基带对HOST PCM实现加解密处理,使得语音信号加密传输,不被传输通道窃听,配合基于标识的加扰序列,具备指定接收方才能解扰的特点。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述可信认证互联互通应用还包括符合中国人民银行PBOC标准的应用,在装载PBOC系统发行密钥的情况下能够在PBOC系统中运行;所述可信认证互联互通应用还包括符合国际金融EMV标准的应用,在装载EMV系统发行的密钥的情况下能够在EMV系统中运行。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述可信认证的具体实现方式为,根据外部云服务平台或终端中PSAM卡发出的随机数和认证申请,所述可信认证互联互通应用通过安全SPU内部安全指令方式获取唯一编号和认证密钥,然后用认证密钥对唯一编号和随机数进行运算,把运算结果返回给外部云服务平台或PSAM卡,由外部云服务平台或PSAM卡判断可信认证互联互通应用申请的合法性;所述唯一编号的来源是所述可信认证互联互通应用写入安全SPU的用户唯一标识和/或安全SPU的芯片唯一编号。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述随机数的一部分能够校验随机数另一部分的正确性,且校验运算还需要唯一编号、特定密钥、授权文件数据和时间数据中的一种或多种数据参与。
具体实施方式
本发明所述的基于安全内核的一体化SOC芯片,具体实施方式为,选择合适的CPU内核进行加密运算改进,置入HMAC等多种加密运算,安全SPU采用自动加载随机噪声的指令体系,能够抗逻辑分析和DPA探测,采用低频自动抑制结构防止低频分析,采用抗打磨传感器和自毁装置防止芯片打磨探测,采用扰乱加密总线对加载指令和数据做保护;并集成带语音加密的基带模块,能够对语音音频进行加解密处理,并能抵抗移动网络的编码和损耗;其它内置的模块还包括视频处理芯片、音频处理芯片、解复用处理芯片、内存控制器、内置存储器和加密协处理器。基于安全内核的一体化SOC芯片支持可信认证系统,并兼容现有的操作系统,同时能够创建互联互通应用。所述可信认证通过将密钥运算绑定SPU的芯片唯一编号和/或用户唯一标识实现;装载现有应用系统密钥和可信认证发行系统密钥,即能够在现有应用系统中使用,也能够在更安全的可信认证系统中运行。
Claims (10)
1.一种基于安全内核的一体化SOC芯片,其特征在于,至少包括两个独立的CPU,其中至少包括一个安全SPU,所述安全SPU即安全CPU,是基于独立的安全内核架构,即包括唯一编号、独立的内存、程序存储器、数据存储器、加密运算组件和控制其它CPU及总线的加密接口,所述安全SPU内部的启动程序根据加密逻辑和认证公钥,调用加密运算组件,能够有效控制所有CPU及SPU的操作系统及应用程序的执行和安全更新,操作系统和应用程序代码通过特定私钥签名,才能用安全SPU的认证公钥认证通过,所有CPU及SPU的操作系统和应用程序经过特定的安全编译器编译后,也需要安全SPU进行协助处理才能正确执行,通过安全SPU的唯一编号或数字签名方的唯一编号能够计算认证公钥,并保护数字签名,实现更安全的多应用。
2.根据权利要求1中所述的基于安全内核的一体化SOC芯片,其特征在于,所述认证公钥的计算方法采用基于组合公钥的标识认证方法,即构架多个椭圆曲线公私钥对,用标识的摘要值及非线性算法计算出多个坐标,分别将对应的公钥点加成标识公钥,将对应的私钥模加成标识私钥,因此每个安全CPU包含自己的私钥及公钥矩阵,能够直接计算与标识对应的公钥,验证标识对应的数字签名。
3.根据权利要求2中所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全编译器通过外部的安全硬件钥匙进行加密和数字签名运算,所述安全硬件钥匙每个都具有唯一编号,代表了操作系统或应用程序开发者的可信身份,也便于通过数字签名进行追溯。
4.根据权利要求3中所述的基于安全内核的一体化SOC芯片,其特征在于,所述基于安全内核的一体化SOC芯片还包括基带芯片、音视频多媒体处理芯片、应用协处理器芯片、内存控制器和电源管理芯片。
5.根据权利要求4中所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全内核的工作流程包括:(1)在安全内核中设置安全SPU;(2)启动信息处理设备,由安全SPU验证当前底层固件的完整性,如正确则完成正常的系统初始化后执行步骤(3),否则停止启动该信息处理设备;(3)由底层固件验证当前操作系统的完整性,如正确则正常运行操作系统,否则停止装入操作系统;SPU是通过在信息处理设备的启动过程中对监控程序或BIOS、底层固件、操作系统依次进行完整性验证,从而保证信息处理设备的安全启动之后,再利用安全SPU内置的加密运算组件调用并管理系统中各种密钥,对应用模块进行加解密,以保证手机或智能信息设备中应用模块的安全。
6.根据权利要求5中所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全SPU具有多安全分区,通过对唯一标识运算实现的可信认证功能,同时兼容现有应用系统规范,能够创建互联互通应用,具备电子钱包和电子存折功能;所述可信认证通过将密钥运算绑定安全SPU芯片唯一编号和/或用户唯一标识实现;所述可信认证互联互通应用上有多种应用目录,包括兼容现有应用系统规范的应用,以及带有可信认证功能的应用;带可信认证功能的应用名称和发行密钥是用户能够自定义的;在装载现有应用系统统一密钥的情况下能够在现有应用系统中运行;在装载配合可信认证的自定义密钥的情况下能够在装有可信认证的系统中运行。
7.根据权利要求6中所述的基于安全内核的一体化SOC芯片,其特征在于,安全SPU能够控制基带对HOST PCM实现加解密处理,使得语音信号加密传输,不被传输通道窃听,配合基于标识的加扰序列,具备指定接收方才能解扰的特点。
8.根据权利要求7中所述的基于安全内核的一体化SOC芯片,其特征在于,所述可信认证互联互通应用还包括符合中国人民银行PBOC标准的应用,在装载PBOC系统发行密钥的情况下能够在PBOC系统中运行;所述可信认证互联互通应用还包括符合国际金融EMV标准的应用,在装载EMV系统发行的密钥的情况下能够在EMV系统中运行。
9.根据权利要求8中所述的基于安全内核的一体化SOC芯片,其特征在于,所述可信认证的具体实现方式为,根据外部云服务平台或终端中PSAM卡发出的随机数和认证申请,所述可信认证互联互通应用通过安全SPU内部安全指令方式获取唯一编号和认证密钥,然后用认证密钥对唯一编号和随机数进行运算,把运算结果返回给外部云服务平台或PSAM卡,由外部云服务平台或PSAM卡判断可信认证互联互通应用申请的合法性;所述唯一编号的来源是所述可信认证互联互通应用写入安全SPU的用户唯一标识和/或安全SPU的芯片唯一编号。
10.根据权利要求9中所述的基于安全内核的一体化SOC芯片,其特征在于,所述随机数的一部分能够校验随机数另一部分的正确性,且校验运算还需要唯一编号、特定密钥、授权文件数据和时间数据中的一种或多种数据参与。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510336901.2A CN106295404B (zh) | 2015-06-17 | 2015-06-17 | 基于安全内核的一体化soc芯片 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510336901.2A CN106295404B (zh) | 2015-06-17 | 2015-06-17 | 基于安全内核的一体化soc芯片 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106295404A true CN106295404A (zh) | 2017-01-04 |
CN106295404B CN106295404B (zh) | 2020-04-07 |
Family
ID=57650071
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510336901.2A Expired - Fee Related CN106295404B (zh) | 2015-06-17 | 2015-06-17 | 基于安全内核的一体化soc芯片 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106295404B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107358087A (zh) * | 2017-07-07 | 2017-11-17 | 北京海泰方圆科技股份有限公司 | 用于蓝牙身份认证装置的蓝牙芯片的信息存储方法和装置 |
CN107395365A (zh) * | 2017-08-04 | 2017-11-24 | 中国信息安全测评中心 | 一种卡片片上系统及安全认证方法 |
CN109784098A (zh) * | 2019-01-23 | 2019-05-21 | 湖南国科微电子股份有限公司 | 一种ai加速器的加密装置及其数据处理方法 |
CN112241519A (zh) * | 2020-11-05 | 2021-01-19 | 王志平 | 一种软件版权保护的实现方法 |
CN112270021A (zh) * | 2020-09-23 | 2021-01-26 | 成都三零嘉微电子有限公司 | 一种用于安全芯片的无线自毁控制电路及方法 |
CN112989362A (zh) * | 2021-05-06 | 2021-06-18 | 北京乐研科技有限公司 | 一种基于安全型芯片监测的cpu可信启动系统及方法 |
CN113613140A (zh) * | 2021-08-03 | 2021-11-05 | 重庆邮电大学 | 一种基于RISC v软核的音频降噪系统、方法及介质 |
CN113722771A (zh) * | 2021-08-23 | 2021-11-30 | 平头哥(上海)半导体技术有限公司 | 处理单元、片上系统、电子设备和物联网设备 |
CN116795741A (zh) * | 2023-08-28 | 2023-09-22 | 凡澈科技(武汉)有限公司 | 存储器数据防删除篡改方法及系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101262599A (zh) * | 2007-03-08 | 2008-09-10 | 美国博通公司 | 一种数据处理的方法和系统 |
CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
CN101454783A (zh) * | 2006-06-27 | 2009-06-10 | 英特尔公司 | 用于芯片上系统器件中数据通路安全的系统和技术 |
CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及系统 |
US20140258736A1 (en) * | 2013-03-08 | 2014-09-11 | Robert Bosch Gmbh | Systems and Methods for Maintaining Integrity and Secrecy in Untrusted Computing Platforms |
-
2015
- 2015-06-17 CN CN201510336901.2A patent/CN106295404B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101454783A (zh) * | 2006-06-27 | 2009-06-10 | 英特尔公司 | 用于芯片上系统器件中数据通路安全的系统和技术 |
CN101262599A (zh) * | 2007-03-08 | 2008-09-10 | 美国博通公司 | 一种数据处理的方法和系统 |
CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
CN101951603A (zh) * | 2010-10-14 | 2011-01-19 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及系统 |
US20140258736A1 (en) * | 2013-03-08 | 2014-09-11 | Robert Bosch Gmbh | Systems and Methods for Maintaining Integrity and Secrecy in Untrusted Computing Platforms |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107358087A (zh) * | 2017-07-07 | 2017-11-17 | 北京海泰方圆科技股份有限公司 | 用于蓝牙身份认证装置的蓝牙芯片的信息存储方法和装置 |
CN107395365A (zh) * | 2017-08-04 | 2017-11-24 | 中国信息安全测评中心 | 一种卡片片上系统及安全认证方法 |
CN107395365B (zh) * | 2017-08-04 | 2020-07-31 | 中国信息安全测评中心 | 一种卡片片上系统及安全认证方法 |
CN109784098B (zh) * | 2019-01-23 | 2023-01-17 | 湖南国科微电子股份有限公司 | 一种ai加速器的加密装置及其数据处理方法 |
CN109784098A (zh) * | 2019-01-23 | 2019-05-21 | 湖南国科微电子股份有限公司 | 一种ai加速器的加密装置及其数据处理方法 |
CN112270021A (zh) * | 2020-09-23 | 2021-01-26 | 成都三零嘉微电子有限公司 | 一种用于安全芯片的无线自毁控制电路及方法 |
CN112270021B (zh) * | 2020-09-23 | 2024-03-26 | 成都三零嘉微电子有限公司 | 一种用于安全芯片的无线自毁控制电路及方法 |
CN112241519A (zh) * | 2020-11-05 | 2021-01-19 | 王志平 | 一种软件版权保护的实现方法 |
CN112989362A (zh) * | 2021-05-06 | 2021-06-18 | 北京乐研科技有限公司 | 一种基于安全型芯片监测的cpu可信启动系统及方法 |
CN112989362B (zh) * | 2021-05-06 | 2021-08-17 | 北京乐研科技有限公司 | 一种基于安全型芯片监测的cpu可信启动系统及方法 |
CN113613140A (zh) * | 2021-08-03 | 2021-11-05 | 重庆邮电大学 | 一种基于RISC v软核的音频降噪系统、方法及介质 |
CN113613140B (zh) * | 2021-08-03 | 2022-10-18 | 重庆邮电大学 | 一种基于RISC v软核的音频降噪系统、方法及介质 |
CN113722771A (zh) * | 2021-08-23 | 2021-11-30 | 平头哥(上海)半导体技术有限公司 | 处理单元、片上系统、电子设备和物联网设备 |
CN113722771B (zh) * | 2021-08-23 | 2024-04-16 | 杭州中天微系统有限公司 | 处理单元、片上系统、电子设备和物联网设备 |
CN116795741A (zh) * | 2023-08-28 | 2023-09-22 | 凡澈科技(武汉)有限公司 | 存储器数据防删除篡改方法及系统 |
CN116795741B (zh) * | 2023-08-28 | 2023-11-10 | 凡澈科技(武汉)有限公司 | 存储器数据防删除篡改方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106295404B (zh) | 2020-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106295404A (zh) | 基于安全内核的一体化soc芯片 | |
KR101918827B1 (ko) | 결제 검증 시스템, 방법 및 장치 | |
CN105391840B (zh) | 自动创建目标应用程序 | |
CN103888251B (zh) | 一种云环境中虚拟机可信保障的方法 | |
CN109379369A (zh) | 单点登录方法、装置、服务器及存储介质 | |
US8099765B2 (en) | Methods and systems for remote password reset using an authentication credential managed by a third party | |
EP2979221B1 (en) | Systems, methods and apparatuses for secure storage of data using a security-enhancing chip | |
CN103136463B (zh) | 用于电子装置的暂时安全开机流程的系统与方法 | |
CN109840430B (zh) | Plc的安全处理单元及其总线仲裁方法 | |
TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
CN102904719B (zh) | 一种USB-key的使用方法及USB-key | |
CN106357672B (zh) | 一种登录方法和终端 | |
CN105162797B (zh) | 一种基于视频监控系统的双向认证方法 | |
CN106716957A (zh) | 高效且可靠的认证 | |
CN111435396A (zh) | 智能安全主控 | |
WO2017193750A1 (zh) | 一种防止拷贝攻击的处理方法、服务器及客户端 | |
CN106663163A (zh) | 保障音频通信安全 | |
CN107992729A (zh) | 一种控制方法、终端及用户识别模块卡 | |
TW202137199A (zh) | 生物支付設備的認證方法、裝置、電腦設備和儲存媒體 | |
JP5183517B2 (ja) | 情報処理装置及びプログラム | |
US7073062B2 (en) | Method and apparatus to mutually authentication software modules | |
CN101478547A (zh) | 对智能密码钥匙进行可信数字签名的装置及其工作方法 | |
CN102983969B (zh) | 一种操作系统的安全登录系统及安全登录方法 | |
CN108965315A (zh) | 一种终端设备的可信认证方法、装置及终端设备 | |
CN112861137A (zh) | 安全固件 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 100040 China Ruida Building M902, 74 Lugu Road, Shijingshan District, Beijing Applicant after: Beijing Hufu Polytron Technologies Inc Address before: 100040 China Ruida Building M902, 74 Lugu Road, Shijingshan District, Beijing Applicant before: Beijing Hufu Technology Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200407 Termination date: 20200617 |