CN111262696B - 片上系统的密钥管理方法、装置、设备及存储介质 - Google Patents

片上系统的密钥管理方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN111262696B
CN111262696B CN202010042718.2A CN202010042718A CN111262696B CN 111262696 B CN111262696 B CN 111262696B CN 202010042718 A CN202010042718 A CN 202010042718A CN 111262696 B CN111262696 B CN 111262696B
Authority
CN
China
Prior art keywords
key
chip
access request
access
life cycle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010042718.2A
Other languages
English (en)
Other versions
CN111262696A (zh
Inventor
谢鹏
郭御风
刘涛
屈利婵
田鹏
刘浩
王银峰
王旭
程鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phytium Technology Co Ltd
Original Assignee
Phytium Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phytium Technology Co Ltd filed Critical Phytium Technology Co Ltd
Priority to CN202010042718.2A priority Critical patent/CN111262696B/zh
Publication of CN111262696A publication Critical patent/CN111262696A/zh
Application granted granted Critical
Publication of CN111262696B publication Critical patent/CN111262696B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供了一种片上系统的密钥管理方法、装置、设备及存储介质,其中,片上系统内集成有一次性可烧写非易失性存储器,一次性可烧写非易失性存储器包括控制器和存储阵列,密钥管理方法应用于控制器,密钥管理方法包括:接收片上系统的CPU核发送的用于访问片上系统的密钥的访问请求;片上系统的密钥存储于存储阵列中;获取片上系统的当前生命周期状态;根据当前生命周期状态和访问请求携带的访问地址,判断访问请求是否合法;当访问请求合法时,根据访问请求携带的访问类型,对密钥进行管理。本发明能提高片上系统密钥的安全性。

Description

片上系统的密钥管理方法、装置、设备及存储介质
技术领域
本发明涉及信息安全技术领域,特别涉及一种片上系统的密钥管理方法、装置、设备及存储介质。
背景技术
互联网的快速发展改变了人们的生活,人们通过互联网进行金融交易、文件传输、机密信息传递。这些行为会产生大量机密信息,如个人银行密码,机密文件,而这些内容是不希望被他人获取的,因此对这些内容加密是非常重要的。而确保加密所使用的密钥不被他人非法获取,是加密行为中的重中之重。这便要求对密钥进行管理的片上系统具有安全可靠的密钥管理机制或方法,但目前片上系统的密钥管理方法造成密钥的安全性低。
发明内容
本发明提供了一种片上系统的密钥管理方法、装置、设备及存储介质,其目的是为了解决片上系统密钥的安全性低的问题。
为了达到上述目的,本发明的实施例提供了一种片上系统的密钥管理方法,片上系统内集成有一次性可烧写非易失性存储器,所述一次性可烧写非易失性存储器包括控制器和存储阵列,所述密钥管理方法应用于所述控制器,所述密钥管理方法包括:
接收所述片上系统的CPU核发送的用于访问所述片上系统的密钥的访问请求;所述片上系统的密钥存储于所述存储阵列中;
获取所述片上系统的当前生命周期状态;
根据所述当前生命周期状态和所述访问请求携带的访问地址,判断所述访问请求是否合法;
当所述访问请求合法时,根据所述访问请求携带的访问类型,对所述密钥进行管理。
其中,所述根据所述当前生命周期状态和所述访问请求携带的访问地址,判断所述访问请求是否合法的步骤,包括:
根据预先给所述片上系统的每个生命周期状态配置的授权地址范围,确定出所述当前生命周期状态的授权地址范围;
根据所述当前生命周期状态的授权地址范围和所述访问请求携带的访问地址,判断所述访问请求是否合法。
其中,所述根据所述当前生命周期状态的授权地址范围和所述访问请求携带的访问地址,判断所述访问请求是否合法的步骤,包括:
判断所述访问地址是否在所述当前生命周期状态的授权地址范围内;
当所述访问地址在所述当前生命周期状态的授权地址范围内时,确定所述访问请求合法;
当所述访问地址不在所述当前生命周期状态的授权地址范围内时,确定所述访问请求不合法。
其中,在所述确定所述访问请求不合法的步骤之后,所述密钥管理方法还包括:
向所述CPU核返回用于提示所述访问请求不合法的第一提示信息。
其中,所述根据所述访问请求携带的访问类型,对所述密钥进行管理的步骤,包括:
当所述访问类型为读访问时,从所述存储阵列存储的多个密钥中,获取所述片上系统在所述当前生命周期状态下的密钥,并将获取到的密钥返回给所述CPU核。
其中,所述根据所述访问请求携带的访问类型,对所述密钥进行管理的步骤,包括:
当所述访问类型为写访问时,获取所述存储阵列中所述访问地址上存储的密钥;
将所述密钥与所述访问请求携带的待写数据进行比较;
当所述密钥与所述待写数据相同时,确定所述待写数据为非法数据;
当所述密钥与所述待写数据不相同时,分别针对所述待写数据的每个比特位,判断所述密钥中该比特位的数值是否为1,若所述密钥中该比特位的数值为1,则不对该密钥中该比特位的数值进行更改,若所述密钥中该比特位的数值为0,则将该密钥中该比特位的数值更改为所述待写数据中该比特位的数值;
向所述CPU核返回用于表征对所述密钥的写访问已完成的响应信息。
其中,在所述确定所述待写数据为非法数据的步骤之后,所述密钥管理方法还包括:
向所述CPU核返回用于提示所述待写数据为非法数据的第二提示信息。
本发明的实施例还提供了一种片上系统的密钥管理装置,片上系统内集成有一次性可烧写非易失性存储器,所述一次性可烧写非易失性存储器包括控制器和存储阵列,所述密钥管理装置应用于所述控制器,所述密钥管理装置包括:
接收模块,用于接收所述片上系统的CPU核发送的用于访问所述片上系统的密钥的访问请求;所述片上系统的密钥存储于所述存储阵列中;
获取模块,用于获取所述片上系统的当前生命周期状态;
判断模块,用于根据所述当前生命周期状态和所述访问请求携带的访问地址,判断所述访问请求是否合法,当所述访问请求合法时,触发管理模块;
管理模块,用于根据所述判断模块的触发,根据所述访问请求携带的访问类型,对所述密钥进行管理。
本发明的实施例还提供了一种片上系统的密钥管理设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的片上系统的密钥管理方法的步骤。
本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的片上系统的密钥管理方法的步骤。
本发明的上述方案至少有如下的有益效果:
在本发明的实施例中,通过在片上系统内集成一次性可烧写非易失性存储器,将片上系统的密钥存储于该一次性可烧写非易失性存储器的存储阵列中,当一次性可烧写非易失性存储器的控制器接收到片上系统的CPU核发送的用于访问片上系统的密钥的访问请求时,控制器通过获取片上系统的当前生命周期状态,并基于该当前生命周期状态核访问请求携带的访问地址,判断CPU核发送的访问请求是否合法,只有当该访问请求合法时,才根据访问请求携带的访问类型对片上系统的密钥进行管理,实现CPU核对密钥的读写操作。其中由于控制器在接收到访问请求时,基于片上系统的生命周期状态对访问请求的合法性进行判断,只有当访问请求合法时,才执行对密钥的读写操作,从而大大提高了片上系统密钥的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1是本发明实施例的片上系统的密钥管理方法的流程图;
图2是本发明实施例的片上系统的密钥管理装置的结构示意图;
图3是本发明实施例的片上系统的密钥管理设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
本发明的实施例提供了一种片上系统的密钥管理方法,片上系统内集成有一次性可烧写非易失性存储器,所述一次性可烧写非易失性存储器包括控制器和存储阵列,上述密钥管理方法应用于所述控制器,以实现密钥访问权限控制。
如图1所示,上述片上系统的密钥管理方法包括如下步骤:
步骤11,接收所述片上系统的CPU核发送的用于访问所述片上系统的密钥的访问请求。
其中,上述片上系统的密钥存储于所述存储阵列中,当然存储阵列还可存储片上系统其它的关键数据。作为一个优选的示例,该存储阵列可以为一4k比特的存储阵列。
需要说明的是,为实现中央处理器(CPU,Central Processing Unit)核对密钥的读写操作,上述访问请求中携带访问地址核访问类型,其中,访问地址指的是CPU核本次访问所要访问的地址,访问类型指的是CPU核本次访问的类型,如读访问、写访问等。
步骤12,获取所述片上系统的当前生命周期状态。
其中,本发明实施例的密钥管理方法是基于片上系统的生命周期实现的。具体的,片上系统的全生命周期包括五个生命周期状态:芯片厂商状态(CM,Chip Manufacturing)、OEM厂商状态(DM,Device Manufacturing)、用户/安全使用状态(SE,Secure)、返厂至OEM厂商状态(DM RMA)和返厂至芯片厂商状态(CM RMA)。其中,CM:片上系统的出厂阶段,是片上系统生产出来后的初始状态,片上系统在片上系统制造厂商手中;DM:进入整机厂商阶段,片上系统已交付到整机厂商,片上系统作为重要元器件用于整机厂商所制造的整机产品;SE:到达用户使用阶段,片上系统随同整机产品交付给用户使用;DM RMA:整机返厂阶段,片上系统随同整机一起返厂给整机制造厂商用于维修测试;CM RMA:片上系统返厂阶段,整机厂商将片上系统返厂给片上系统制造厂商用于维修测试。其中,在DM RMA和CM RMA状态时,片上系统的密钥不可访问。
需要说明的是,片上系统的密钥包括:芯片厂商密钥,整机厂商密钥和用户密钥。其中芯片厂商密钥和整机厂商密钥存储在一次性可烧写非易失性存储器的存储阵列中,用户密钥也可存储在该存储阵列中(具体的,可在存储阵列内为用户划分1k比特的用户密钥存储空间)。当然可以理解的是,用户也可根据实际需要,通过用户程序将用户密钥存储在其它位置。
步骤13,根据所述当前生命周期状态和所述访问请求携带的访问地址,判断所述访问请求是否合法,当所述访问请求合法时,执行步骤14。
其中,在本发明的实施例中,片上系统的每个生成周期状态都预先配置有授权地址范围,因此,在获取到片上系统的当前生命周期状态后,可基于该当前生命周期状态的授权地址范围,完成对访问请求合法性的检验。
具体的,在本发明的实施例中,可根据预先给所述片上系统的每个生命周期状态配置的授权地址范围,确定出所述当前生命周期状态的授权地址范围;然后根据所述当前生命周期状态的授权地址范围和所述访问请求携带的访问地址,判断所述访问请求是否合法。
其中,根据所述当前生命周期状态的授权地址范围和所述访问请求携带的访问地址,判断所述访问请求是否合法的具体实现方式为:判断所述访问地址是否在所述当前生命周期状态的授权地址范围内。其中,当所述访问地址在所述当前生命周期状态的授权地址范围内时,确定所述访问请求合法;而当所述访问地址不在所述当前生命周期状态的授权地址范围内时,确定所述访问请求不合法。
需要说明的是,在确定所述访问请求不合法的步骤之后,上述密钥管理方法还包括如下步骤:向所述CPU核返回用于提示所述访问请求不合法的第一提示信息,使用户清楚本次访问请求被拒绝,以便用户采取相应措施,如重启片上系统等。
步骤14,根据所述访问请求携带的访问类型,对所述密钥进行管理。
其中,在本发明的实施例中,在确定访问请求合法后,控制器会具体根据访问类型,实现对片上系统的密钥进行读写,完成对所述片上系统的密钥的管理。
值得一提的是,在本发明的实施例中,通过在片上系统内集成一次性可烧写非易失性存储器,将片上系统的密钥存储于该一次性可烧写非易失性存储器的存储阵列中,当一次性可烧写非易失性存储器的控制器接收到片上系统的CPU核发送的用于访问片上系统的密钥的访问请求时,控制器通过获取片上系统的当前生命周期状态,并基于该当前生命周期状态核访问请求携带的访问地址,判断CPU核发送的访问请求是否合法,只有当该访问请求合法时,才根据访问请求携带的访问类型对片上系统的密钥进行管理,实现CPU核对密钥的读写操作。其中由于控制器在接收到访问请求时,基于片上系统的生命周期状态对访问请求的合法性进行判断,只有当访问请求合法时,才执行对密钥的读写操作,从而大大提高了片上系统密钥的安全性。
接下来,对上述步骤14,根据所述访问请求携带的访问类型,对所述密钥进行管理的具体实现方式进行说明。
其中,当所述访问类型为读访问时,上述对上述步骤14,根据所述访问请求携带的访问类型,对所述密钥进行管理的具体实现方式为:从所述存储阵列存储的多个密钥中,获取所述片上系统在所述当前生命周期状态下的密钥,并将获取到的密钥返回给所述CPU核。
举例说明,若片上系统的当前生命周期状态为芯片厂商状态,则将芯片厂商密钥返回给CPU核;若片上系统的当前生命周期状态为OEM厂商状态,则将整机厂商密钥返回给CPU核;若片上系统的当前生命周期状态为用户使用状态,则将用户密钥返回给CPU核。
其中,当所述访问类型为写访问时,上述对上述步骤14,根据所述访问请求携带的访问类型,对所述密钥进行管理的具体实现方式为:获取所述存储阵列中所述访问地址上存储的密钥;并将所述密钥与所述访问请求携带的待写数据进行比较。
其中,当所述密钥与所述待写数据不相同时,分别针对所述待写数据的每个比特位,判断所述密钥中该比特位的数值是否为1,若所述密钥中该比特位的数值为1,则不对该密钥中该比特位的数值进行更改,若所述密钥中该比特位的数值为0,则将该密钥中该比特位的数值更改为所述待写数据中该比特位的数值;然后向所述CPU核返回用于表征对所述密钥的写访问已完成的响应信息,以告知用户密钥的写操作已完成。需要说明的是,当密钥中某个比特位的数值为1时,不对该比特位的数值进行修改,是为了保证不对同一比特位写两次或两次以上,因为一次性可烧写非易失性存储器具有只写一次的特性,一次性可烧写非易失性存储器的每一个存储位一旦被写入比特值1,就不能写回为0,使得存储在一次性可烧写非易失性存储器内部的密钥一旦重写即被破坏且这种破坏是不可逆的。
而当所述密钥与所述待写数据相同时,确定所述待写数据为非法数据。需要说明的是,在确定所述待写数据为非法数据的步骤之后,上述密钥管理方法还包括如下步骤:向所述CPU核返回用于提示所述待写数据为非法数据的第二提示信息,使用户清楚本次写访问失败,以便用户采取相应措施,如重启片上系统等。
举例说明,假设存储阵列中所述访问地址上存储的密钥为1010,访问请求携带的待写数据为0001,则确定密钥与待写数据不相同,此时针对待写数据的第一个比特位,密钥的第一个比特位为1,则不对密钥的第一个比特位进行更改,针对待写数据的第二个比特位,密钥的第二个比特位为0,则将密钥的第二个比特位的数值更改为待写数据的第二个比特位的数值0,针对待写数据的第三个比特位,密钥的第三个比特位为1,则不对密钥的第三个比特位进行更改,针对待写数据的第四个比特位,密钥的第四个比特位为0,则将密钥的第四个比特位的数值更改为待写数据的第四个比特位的数值1,即完成写操作后的密钥为1011。
如图2所示,本发明的实施例还提供了一种片上系统的密钥管理装置,片上系统内集成有一次性可烧写非易失性存储器,所述一次性可烧写非易失性存储器包括控制器和存储阵列,所述密钥管理装置应用于所述控制器,所述密钥管理装置包括:接收模块21、获取模块22、判断模块23和管理模块24。
其中,接收模块21,用于接收所述片上系统的CPU核发送的用于访问所述片上系统的密钥的访问请求;所述片上系统的密钥存储于所述存储阵列中;
获取模块22,用于获取所述片上系统的当前生命周期状态;
判断模块23,用于根据所述当前生命周期状态和所述访问请求携带的访问地址,判断所述访问请求是否合法,当所述访问请求合法时,触发管理模块;
管理模块24,用于根据所述判断模块的触发,根据所述访问请求携带的访问类型,对所述密钥进行管理。
其中,在本发明的实施例中,片上系统的密钥管理装置20为与上述片上系统的密钥管理方法对应的装置,能提高片上系统密钥的安全性。
需要说明的是,片上系统的密钥管理装置20包括实现上述片上系统的密钥管理方法的所有模块或者单元,为避免过多重复,在此不对片上系统的密钥管理装置20的各模块或者单元进行赘述。
如图3所示,本发明的实施例还提供了一种片上系统的密钥管理设备,包括存储器31、处理器32以及存储在所述存储器31中并可在所述处理器32上运行的计算机程序33,所述处理器32执行所述计算机程序33时实现上述的片上系统的密钥管理方法的步骤。
即,在本发明的具体实施例中,片上系统的密钥管理设备30的处理器32执行所述计算机程序33时实现上述的片上系统的密钥管理方法的步骤,能提高片上系统密钥的安全性。
此外,本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的片上系统的密钥管理方法的步骤。
即,在本发明的具体实施例中,计算机可读存储介质的计算机程序被处理器执行时实现上述的片上系统的密钥管理方法的步骤,能提高片上系统密钥的安全性。
示例性的,计算机可读存储介质的计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (9)

1.一种片上系统的密钥管理方法,其特征在于,片上系统内集成有一次性可烧写非易失性存储器,所述一次性可烧写非易失性存储器包括控制器和存储阵列,所述密钥管理方法应用于所述控制器,所述密钥管理方法包括:
接收所述片上系统的CPU核发送的用于访问所述片上系统的密钥的访问请求;所述片上系统的密钥存储于所述存储阵列中;
获取所述片上系统的当前生命周期状态;所述当前生命周期状态为芯片厂商状态、OEM厂商状态、用户/安全使用状态、返厂至OEM厂商状态和返厂至芯片厂商状态中的一种;
根据所述当前生命周期状态和所述访问请求携带的访问地址,判断所述访问请求是否合法;
当所述访问请求合法时,根据所述访问请求携带的访问类型,对所述密钥进行管理;
其中,所述根据所述当前生命周期状态和所述访问请求携带的访问地址,判断所述访问请求是否合法的步骤,包括:
根据预先给所述片上系统的每个生命周期状态配置的授权地址范围,确定出所述当前生命周期状态的授权地址范围;
根据所述当前生命周期状态的授权地址范围和所述访问请求携带的访问地址,判断所述访问请求是否合法。
2.根据权利要求1所述的密钥管理方法,其特征在于,所述根据所述当前生命周期状态的授权地址范围和所述访问请求携带的访问地址,判断所述访问请求是否合法的步骤,包括:
判断所述访问地址是否在所述当前生命周期状态的授权地址范围内;
当所述访问地址在所述当前生命周期状态的授权地址范围内时,确定所述访问请求合法;
当所述访问地址不在所述当前生命周期状态的授权地址范围内时,确定所述访问请求不合法。
3.根据权利要求2所述的密钥管理方法,其特征在于,在所述确定所述访问请求不合法的步骤之后,所述密钥管理方法还包括:
向所述CPU核返回用于提示所述访问请求不合法的第一提示信息。
4.根据权利要求1所述的密钥管理方法,其特征在于,所述根据所述访问请求携带的访问类型,对所述密钥进行管理的步骤,包括:
当所述访问类型为读访问时,从所述存储阵列存储的多个密钥中,获取所述片上系统在所述当前生命周期状态下的密钥,并将获取到的密钥返回给所述CPU核。
5.根据权利要求1所述的密钥管理方法,其特征在于,所述根据所述访问请求携带的访问类型,对所述密钥进行管理的步骤,包括:
当所述访问类型为写访问时,获取所述存储阵列中所述访问地址上存储的密钥;
将所述密钥与所述访问请求携带的待写数据进行比较;
当所述密钥与所述待写数据相同时,确定所述待写数据为非法数据;
当所述密钥与所述待写数据不相同时,分别针对所述待写数据的每个比特位,判断所述密钥中该比特位的数值是否为1,若所述密钥中该比特位的数值为1,则不对该密钥中该比特位的数值进行更改,若所述密钥中该比特位的数值为0,则将该密钥中该比特位的数值更改为所述待写数据中该比特位的数值;
向所述CPU核返回用于表征对所述密钥的写访问已完成的响应信息。
6.根据权利要求5所述的密钥管理方法,其特征在于,在所述确定所述待写数据为非法数据的步骤之后,所述密钥管理方法还包括:
向所述CPU核返回用于提示所述待写数据为非法数据的第二提示信息。
7.一种片上系统的密钥管理装置,其特征在于,片上系统内集成有一次性可烧写非易失性存储器,所述一次性可烧写非易失性存储器包括控制器和存储阵列,所述密钥管理装置应用于所述控制器,所述密钥管理装置包括:
接收模块,用于接收所述片上系统的CPU核发送的用于访问所述片上系统的密钥的访问请求;所述片上系统的密钥存储于所述存储阵列中;
获取模块,用于获取所述片上系统的当前生命周期状态;所述当前生命周期状态为芯片厂商状态、OEM厂商状态、用户/安全使用状态、返厂至OEM厂商状态和返厂至芯片厂商状态中的一种;
判断模块,用于根据所述当前生命周期状态和所述访问请求携带的访问地址,判断所述访问请求是否合法,当所述访问请求合法时,触发管理模块;
管理模块,用于根据所述判断模块的触发,根据所述访问请求携带的访问类型,对所述密钥进行管理;
所述判断模块,具体用于根据预先给所述片上系统的每个生命周期状态配置的授权地址范围,确定出所述当前生命周期状态的授权地址范围,并根据所述当前生命周期状态的授权地址范围和所述访问请求携带的访问地址,判断所述访问请求是否合法。
8.一种片上系统的密钥管理设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的片上系统的密钥管理方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的片上系统的密钥管理方法的步骤。
CN202010042718.2A 2020-01-15 2020-01-15 片上系统的密钥管理方法、装置、设备及存储介质 Active CN111262696B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010042718.2A CN111262696B (zh) 2020-01-15 2020-01-15 片上系统的密钥管理方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010042718.2A CN111262696B (zh) 2020-01-15 2020-01-15 片上系统的密钥管理方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN111262696A CN111262696A (zh) 2020-06-09
CN111262696B true CN111262696B (zh) 2023-01-03

Family

ID=70954076

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010042718.2A Active CN111262696B (zh) 2020-01-15 2020-01-15 片上系统的密钥管理方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN111262696B (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104391813B (zh) * 2014-10-23 2018-01-02 山东维固信息科技股份有限公司 一种嵌入式数据安全系统用soc芯片
CN107832635A (zh) * 2017-11-29 2018-03-23 鼎信信息科技有限责任公司 访问权限控制方法、装置、设备及计算机可读存储介质
CN109766165B (zh) * 2018-11-22 2022-07-08 海光信息技术股份有限公司 一种内存访问控制方法、装置、内存控制器及计算机系统

Also Published As

Publication number Publication date
CN111262696A (zh) 2020-06-09

Similar Documents

Publication Publication Date Title
US8059814B1 (en) Techniques for carrying out seed or key derivation
CN111723383B (zh) 数据存储、验证方法及装置
CN101116070B (zh) 使用监控程序将tpm总是锁定为“开”的系统和方法
US9442833B1 (en) Managing device identity
US20070033467A1 (en) Method and device for protecting a memory against attacks by error injection
US20040037121A1 (en) Portable information storage medium and its authentication method
JP4974613B2 (ja) Icメモリ並びにicメモリ用のアクセス装置及び正当性検証方法
JP2006521608A (ja) コンピュータデータを安全に格納する方法およびデバイス
US9298565B1 (en) System and method for identification of memory
CN108762782A (zh) 一种基于安全加密固态硬盘和bios芯片的安全访问控制方法
CN107644173B (zh) 用于控制应用程序访问存储器的方法和装置
JP6518798B2 (ja) 安全な集積回路状態を管理する装置およびその方法
US20090271449A1 (en) Work support apparatus for information processing device
WO2011145096A1 (en) System and method for controlling and monitoring access to data processing applications
CN111339502A (zh) 一种FPGA中kernel的启动方法、系统、设备以及介质
EP3987423B1 (en) Undefined lifecycle state identifier for managing security of an integrated circuit device
CN111262696B (zh) 片上系统的密钥管理方法、装置、设备及存储介质
CN109583197B (zh) 一种可信叠层文件加解密方法
CN115062330B (zh) 基于tpm的智能密码钥匙密码应用接口的实现方法
CN108345804A (zh) 一种可信计算环境中的存储方法和装置
CN110601846B (zh) 一种校验虚拟可信根的系统及方法
US20240078348A1 (en) System for forensic tracing of memory device content erasure and tampering
CN112836221B (zh) 一种多安全级别分区的便携固态硬盘及其设计方法
CN109598154B (zh) 一种可信全盘加解密方法
JP2004062283A (ja) Icカードのパスワード管理方法、ユーザー認証プログラムおよびicカード

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: No.5 building, Xin'an venture Plaza, marine high tech Development Zone, Binhai New Area, Tianjin, 300450

Applicant after: Feiteng Information Technology Co.,Ltd.

Address before: No.5 building, Xin'an venture Plaza, marine high tech Development Zone, Binhai New Area, Tianjin, 300450

Applicant before: TIANJIN FEITENG INFORMATION TECHNOLOGY Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant