CN106295404B - 基于安全内核的一体化soc芯片 - Google Patents
基于安全内核的一体化soc芯片 Download PDFInfo
- Publication number
- CN106295404B CN106295404B CN201510336901.2A CN201510336901A CN106295404B CN 106295404 B CN106295404 B CN 106295404B CN 201510336901 A CN201510336901 A CN 201510336901A CN 106295404 B CN106295404 B CN 106295404B
- Authority
- CN
- China
- Prior art keywords
- secure
- application
- spu
- key
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于安全内核的一体化SOC芯片,包括安全SPU和带加密运算的CPU,安全SPU采用自动加载随机噪声的指令体系,抗逻辑分析和DPA探测,采用防止低频分析结构,采用抗打磨传感器和自毁装置防止芯片打磨探测,采用扰乱加密总线对加载指令和数据做保护,集成带语音加密的基带模块,对语音音频进行加解密处理,并能抵抗移动网络的编码和损耗,同时还包括视频处理芯片、音频处理芯片、解复用处理芯片、内存控制器、内置存储器、加密协处理器和控制其它CPU及总线的接口,能通过标识认证有效控制所有CPU的应用程序执行和安全更新。
Description
技术领域
本发明涉及一种基于安全内核的一体化SOC芯片,包括独立的安全SPU、CPU、基带、多媒体处理器和内存控制器的一体化安全芯片,并能够兼容多应用。
背景技术
普通的CPU不能防止数据拷贝,在没有公钥运算协处理器的情况下也无法进行数字签名运算,如果在CPU内核中加入具有唯一编号的安全处理器,使数据和唯一编号做关联,并通过与唯一编号绑定的授权文件保护数字签名,就能够实现更安全的多应用安全SOC芯片。
发明内容
本发明公开了一种基于安全内核的一体化SOC芯片,其特征在于,至少包括两个独立的CPU,其中至少包括一个安全SPU,所述安全SPU即安全CPU,是基于独立的安全内核架构,即包括唯一编号、独立的内存、程序存储器、数据存储器、加密运算组件和控制其它CPU及总线的加密接口,所述安全SPU内部的启动程序根据加密逻辑和认证公钥,调用加密运算组件,能够有效控制所有CPU及SPU的操作系统及应用程序的执行和安全更新,操作系统和应用程序代码通过特定私钥签名,才能用安全SPU的认证公钥认证通过,所有CPU及SPU的操作系统和应用程序经过特定的安全编译器编译后,也需要安全SPU进行协助处理才能正确执行,通过安全SPU的唯一编号或数字签名方的唯一编号能够计算认证公钥,并保护数字签名,实现更安全的多应用。
控制其它CPU进入加密运算的模式包括使用HMAC运算。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述认证公钥的计算方法采用基于组合公钥的标识认证方法,即构架多个椭圆曲线公私钥对,用标识的摘要值及非线性算法计算出多个坐标,分别将对应的公钥点加成标识公钥,将对应的私钥模加成标识私钥,因此每个安全CPU包含自己的私钥及公钥矩阵,能够直接计算与标识对应的公钥,验证标识对应的数字签名。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全编译器通过外部的安全硬件钥匙进行加密和数字签名运算,所述安全硬件钥匙每个都具有唯一编号,代表了操作系统或应用程序开发者的可信身份,也便于通过数字签名进行追溯。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述基于安全内核的一体化SOC芯片还包括基带芯片、音视频多媒体处理芯片、应用协处理器芯片、内存控制器和电源管理芯片。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全内核的工作流程包括:(1)在安全内核中设置安全SPU;(2)启动信息处理设备,由安全SPU验证当前底层固件的完整性,如正确则完成正常的系统初始化后执行步骤(3),否则停止启动该信息处理设备;(3)由底层固件验证当前操作系统的完整性,如正确则正常运行操作系统,否则停止装入操作系统;SPU是通过在信息处理设备的启动过程中对监控程序或BIOS、底层固件、操作系统依次进行完整性验证,从而保证信息处理设备的安全启动之后,再利用安全SPU内置的加密运算组件调用并管理系统中各种密钥,对应用模块进行加解密,以保证手机或智能信息设备中应用模块的安全。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全SPU具有多安全分区,通过对唯一标识运算实现的可信认证功能,同时兼容现有应用系统规范,能够创建互联互通应用,具备电子钱包和电子存折功能;所述可信认证通过将密钥运算绑定安全SPU芯片唯一编号和/或用户唯一标识实现;所述可信认证互联互通应用上有多种应用目录,包括兼容现有应用系统规范的应用,以及带有可信认证功能的应用;带可信认证功能的应用名称和发行密钥是用户能够自定义的;在装载现有应用系统统一密钥的情况下能够在现有应用系统中运行;在装载配合可信认证的自定义密钥的情况下能够在装有可信认证的系统中运行。
所述的基于安全内核的一体化SOC芯片,其特征在于,安全SPU能够控制基带对HOST PCM实现加解密处理,使得语音信号加密传输,不被传输通道窃听,配合基于标识的加扰序列,具备指定接收方才能解扰的特点。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述可信认证互联互通应用还包括符合中国人民银行PBOC标准的应用,在装载PBOC系统发行密钥的情况下能够在PBOC系统中运行;所述可信认证互联互通应用还包括符合国际金融EMV标准的应用,在装载EMV系统发行的密钥的情况下能够在EMV系统中运行。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述可信认证的具体实现方式为,根据外部云服务平台或终端中PSAM卡发出的随机数和认证申请,所述可信认证互联互通应用通过安全SPU内部安全指令方式获取唯一编号和认证密钥,然后用认证密钥对唯一编号和随机数进行运算,把运算结果返回给外部云服务平台或PSAM卡,由外部云服务平台或PSAM卡判断可信认证互联互通应用申请的合法性;所述唯一编号的来源是所述可信认证互联互通应用写入安全SPU的用户唯一标识和/或安全SPU的芯片唯一编号。
所述的基于安全内核的一体化SOC芯片,其特征在于,所述随机数的一部分能够校验随机数另一部分的正确性,且校验运算还需要唯一编号、特定密钥、授权文件数据和时间数据中的一种或多种数据参与。
具体实施方式
本发明所述的基于安全内核的一体化SOC芯片,具体实施方式为,选择合适的CPU内核进行加密运算改进,置入HMAC等多种加密运算,安全SPU采用自动加载随机噪声的指令体系,能够抗逻辑分析和DPA探测,采用低频自动抑制结构防止低频分析,采用抗打磨传感器和自毁装置防止芯片打磨探测,采用扰乱加密总线对加载指令和数据做保护;并集成带语音加密的基带模块,能够对语音音频进行加解密处理,并能抵抗移动网络的编码和损耗;其它内置的模块还包括视频处理芯片、音频处理芯片、解复用处理芯片、内存控制器、内置存储器和加密协处理器。基于安全内核的一体化SOC芯片支持可信认证系统,并兼容现有的操作系统,同时能够创建互联互通应用。所述可信认证通过将密钥运算绑定SPU的芯片唯一编号和/或用户唯一标识实现;装载现有应用系统密钥和可信认证发行系统密钥,即能够在现有应用系统中使用,也能够在更安全的可信认证系统中运行。
Claims (8)
1.一种基于安全内核的一体化SOC芯片,其特征在于,至少包括两个独立的CPU,其中至少包括一个安全SPU,所述安全SPU内部的启动程序根据加密逻辑和认证公钥,调用加密运算组件,控制所有CPU及SPU的操作系统及应用程序的执行和安全更新,操作系统和应用程序代码通过特定私钥签名,才能用安全SPU的认证公钥认证通过,所有CPU及SPU的操作系统和应用程序经过特定的安全编译器编译后,也需要安全SPU进行协助处理才能正确执行,通过安全SPU的唯一标识或数字签名方的唯一标识能够计算认证公钥,并保护数字签名,实现更安全的多应用;
所述安全SPU采用自动加载随机噪声的指令体系,采用低频自动抑制结构防止低频分析,采用抗打磨传感器和自毁装置防止芯片打磨探测,采用扰乱加密总线对加载指令和数据做保护;并集成带语音加密的基带模块,能够对语音音频进行加解密处理,并能抵抗移动网络的编码和损耗;所述SPU还包括:视频处理芯片、音频处理芯片、解复用处理芯片、内存控制器、内置存储器和加密协处理器;
所述安全内核的工作流程包括:(1)在安全内核中设置安全SPU;(2)启动信息处理设备,由安全SPU验证当前底层固件的完整性,如正确则完成正常的系统初始化后执行步骤(3),否则停止启动该信息处理设备;(3)由底层固件验证当前操作系统的完整性,如正确则正常运行操作系统,否则停止装入操作系统;SPU是通过在信息处理设备的启动过程中对监控程序或BIOS、底层固件、操作系统依次进行完整性验证,从而保证信息处理设备的安全启动之后,再利用安全SPU内置的加密运算组件调用并管理系统中各种密钥,对应用模块进行加解密,以保证手机或智能信息设备中应用模块的安全;
所述安全SPU具有多安全分区,通过对SPU的唯一标识运算实现的可信认证功能,所述可信认证的具体实现方式为:根据外部云服务平台或终端中PSAM卡发出的随机数和认证申请,所述可信认证互联互通应用通过安全SPU内部安全指令方式获取唯一标识和认证密钥,然后用认证密钥对唯一标识和随机数进行运算,把运算结果返回给外部云服务平台或PSAM卡,由外部云服务平台或PSAM卡判断可信认证互联互通应用申请的合法性;所述唯一标识的来源是所述可信认证互联互通应用写入安全SPU的用户唯一标识和/或安全SPU的芯片唯一标识。
2.根据权利要求1中所述的基于安全内核的一体化SOC芯片,其特征在于,所述认证公钥的计算方法采用基于组合公钥的标识认证方法,即构架多个椭圆曲线公私钥对,用标识的摘要值及非线性算法计算出多个坐标,分别将对应的公钥点加成标识公钥,将对应的私钥模加成标识私钥,因此每个安全CPU包含自己的私钥及公钥矩阵,能够直接计算与标识对应的公钥,验证标识对应的数字签名。
3.根据权利要求2中所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全编译器通过外部的安全硬件钥匙进行加密和数字签名运算,所述安全硬件钥匙每个都具有唯一标识,代表了操作系统或应用程序开发者的可信身份,也便于通过数字签名进行追溯。
4.根据权利要求3中所述的基于安全内核的一体化SOC芯片,其特征在于,所述基于安全内核的一体化SOC芯片还包括基带芯片、音视频多媒体处理芯片、应用协处理器芯片、内存控制器和电源管理芯片。
5.根据权利要求4中所述的基于安全内核的一体化SOC芯片,其特征在于,所述安全SPU具有多安全分区,通过对唯一标识运算实现的可信认证功能,同时兼容现有应用系统规范,能够创建互联互通应用,具备电子钱包和电子存折功能;所述可信认证通过将密钥运算绑定安全SPU芯片唯一标识和/或用户唯一标识实现;所述可信认证互联互通应用上有多种应用目录,包括兼容现有应用系统规范的应用,以及带有可信认证功能的应用;带可信认证功能的应用名称和发行密钥是用户能够自定义的;在装载现有应用系统统一密钥的情况下能够在现有应用系统中运行;在装载配合可信认证的自定义密钥的情况下能够在装有可信认证的系统中运行。
6.根据权利要求5中所述的基于安全内核的一体化SOC芯片,其特征在于,安全SPU能够控制基带对HOST PCM实现加解密处理,使得语音信号加密传输,不被传输通道窃听,配合基于标识的加扰序列,具备指定接收方才能解扰的特点。
7.根据权利要求6中所述的基于安全内核的一体化SOC芯片,其特征在于,所述可信认证互联互通应用还包括符合中国人民银行PBOC标准的应用,在装载PBOC系统发行密钥的情况下能够在PBOC系统中运行;所述可信认证互联互通应用还包括符合国际金融EMV标准的应用,在装载EMV系统发行的密钥的情况下能够在EMV系统中运行。
8.根据权利要求7中所述的基于安全内核的一体化SOC芯片,其特征在于,所述随机数的一部分能够校验随机数另一部分的正确性,且校验运算还需要唯一标识、特定密钥、授权文件数据和时间数据中的一种或多种数据参与。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510336901.2A CN106295404B (zh) | 2015-06-17 | 2015-06-17 | 基于安全内核的一体化soc芯片 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510336901.2A CN106295404B (zh) | 2015-06-17 | 2015-06-17 | 基于安全内核的一体化soc芯片 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106295404A CN106295404A (zh) | 2017-01-04 |
| CN106295404B true CN106295404B (zh) | 2020-04-07 |
Family
ID=57650071
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510336901.2A Expired - Fee Related CN106295404B (zh) | 2015-06-17 | 2015-06-17 | 基于安全内核的一体化soc芯片 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106295404B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107358087B (zh) * | 2017-07-07 | 2018-09-14 | 北京海泰方圆科技股份有限公司 | 用于蓝牙身份认证装置的蓝牙芯片的信息存储方法和装置 |
| CN107395365B (zh) * | 2017-08-04 | 2020-07-31 | 中国信息安全测评中心 | 一种卡片片上系统及安全认证方法 |
| CN109784098B (zh) * | 2019-01-23 | 2023-01-17 | 湖南国科微电子股份有限公司 | 一种ai加速器的加密装置及其数据处理方法 |
| CN114077758A (zh) * | 2020-08-11 | 2022-02-22 | 量子芯云(山西)微电子科技有限公司 | Ssd与应用环境间安全锁定方法 |
| CN112270021B (zh) * | 2020-09-23 | 2024-03-26 | 成都三零嘉微电子有限公司 | 一种用于安全芯片的无线自毁控制电路及方法 |
| CN112241519A (zh) * | 2020-11-05 | 2021-01-19 | 王志平 | 一种软件版权保护的实现方法 |
| CN112989362B (zh) * | 2021-05-06 | 2021-08-17 | 北京乐研科技有限公司 | 一种基于安全型芯片监测的cpu可信启动系统及方法 |
| CN113613140B (zh) * | 2021-08-03 | 2022-10-18 | 重庆邮电大学 | 一种基于RISC v软核的音频降噪系统、方法及介质 |
| CN113722771B (zh) * | 2021-08-23 | 2024-04-16 | 杭州中天微系统有限公司 | 处理单元、片上系统、电子设备和物联网设备 |
| CN116795741B (zh) * | 2023-08-28 | 2023-11-10 | 凡澈科技(武汉)有限公司 | 存储器数据防删除篡改方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262599A (zh) * | 2007-03-08 | 2008-09-10 | 美国博通公司 | 一种数据处理的方法和系统 |
| CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
| CN101454783A (zh) * | 2006-06-27 | 2009-06-10 | 英特尔公司 | 用于芯片上系统器件中数据通路安全的系统和技术 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101951603B (zh) * | 2010-10-14 | 2013-05-22 | 中国电子科技集团公司第三十研究所 | 一种无线局域网接入控制方法及系统 |
| WO2014138626A1 (en) * | 2013-03-08 | 2014-09-12 | Robert Bosch Gmbh | Systems and methods for maintaining integrity and secrecy in untrusted computing platforms |
-
2015
- 2015-06-17 CN CN201510336901.2A patent/CN106295404B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101454783A (zh) * | 2006-06-27 | 2009-06-10 | 英特尔公司 | 用于芯片上系统器件中数据通路安全的系统和技术 |
| CN101262599A (zh) * | 2007-03-08 | 2008-09-10 | 美国博通公司 | 一种数据处理的方法和系统 |
| CN101340282A (zh) * | 2008-05-28 | 2009-01-07 | 北京易恒信认证科技有限公司 | 复合公钥的生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106295404A (zh) | 2017-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106295404B (zh) | 基于安全内核的一体化soc芯片 | |
| CN110677418B (zh) | 可信声纹认证方法、装置、电子设备及存储介质 | |
| CN110784491B (zh) | 一种物联网安全管理系统 | |
| CN107464109B (zh) | 可信移动支付装置、系统和方法 | |
| CN107743067B (zh) | 数字证书的颁发方法、系统、终端以及存储介质 | |
| CN102063593B (zh) | 主动控制功能的可信设备及其认证方法 | |
| CN103218571A (zh) | 在处理器之间验证数据的系统及方法 | |
| CN103988461A (zh) | 用于对数据进行解密的设备和方法 | |
| CN111435396A (zh) | 智能安全主控 | |
| WO2013167043A2 (zh) | 数据安全验证方法和装置 | |
| CN110874478A (zh) | 密钥处理方法及装置、存储介质和处理器 | |
| CN106372497B (zh) | 一种应用编程接口api保护方法和保护装置 | |
| CN107992729A (zh) | 一种控制方法、终端及用户识别模块卡 | |
| JP6387908B2 (ja) | 認証システム | |
| CN102667800A (zh) | 用于与安全元件的安全交互的方法 | |
| CN111181960B (zh) | 一种基于终端设备区块链应用安全授信和签名系统 | |
| US12526162B2 (en) | Secure module and method for app-to-app mutual trust through app-based identity | |
| CN101281575A (zh) | 一种软件保护方法 | |
| CN116881936A (zh) | 可信计算方法及相关设备 | |
| US7721100B2 (en) | Granting an access to a computer-based object | |
| CN111160879A (zh) | 一种硬件钱包及其安全性提升方法和装置 | |
| CN111628863B (zh) | 一种数据签名的方法、装置、电子设备及存储介质 | |
| CN112861137A (zh) | 安全固件 | |
| CN105592056A (zh) | 用于移动设备的密码安全系统及其密码安全输入方法 | |
| CN114915504A (zh) | 安全芯片初始认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100040 China Ruida Building M902, 74 Lugu Road, Shijingshan District, Beijing Applicant after: Beijing Hufu Polytron Technologies Inc Address before: 100040 China Ruida Building M902, 74 Lugu Road, Shijingshan District, Beijing Applicant before: Beijing Hufu Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200407 Termination date: 20200617 |