CN1331017C - 安全芯片 - Google Patents
安全芯片 Download PDFInfo
- Publication number
- CN1331017C CN1331017C CNB2005100561685A CN200510056168A CN1331017C CN 1331017 C CN1331017 C CN 1331017C CN B2005100561685 A CNB2005100561685 A CN B2005100561685A CN 200510056168 A CN200510056168 A CN 200510056168A CN 1331017 C CN1331017 C CN 1331017C
- Authority
- CN
- China
- Prior art keywords
- module
- encryption
- decryption
- data
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Abstract
本发明公开了两种具有安全接口的安全芯片,一种安全芯片包括处理器模块、加解密模块,存储模块,电源检测模块和安全输入输出接口模块,且所述所有模块通过安全芯片内部的总线相互连接;另一种安全芯片包括处理器模块、加解密模块,存储模块,电源检测模块和I/O接口模块,所述所有模块通过安全芯片内部的总线相互连接,其中,该安全芯片还包括安全输入模块、安全输出模块和南桥接口模块且所述所有模块通过安全芯片内部的总线相互连接。应用本发明提供的安全芯片,应用本发明提供的安全芯片,能够对信息处理设备的输入输出信息进行加解密处理,保证输入输出信息的安全,从而防止了监听,避免了信息的外泄。
Description
技术领域
本发明涉及计算机安全技术领域,特别是涉及具有安全接口的安全芯片。
背景技术
在现实当中,信息处理设备已被广泛应用在人们的日常生活中。信息处理设备主要是指个人电脑(PC),笔记本电脑,掌上电脑,手机等设备。
1999年由Intel、IBM、HP、Microsoft、Compaq发起的可信计算机联盟(TCPA,Trusted Computing Platform Alliance)组织在推动构建一个可信赖的计算环境,这个组织定义了一个平台设备认证的架构,以及嵌入在主板上的安全芯片(TPM:Trusted Platform Module)和上层软件中间件TSS(TrustedSoftware Stack)的规范;2003年TCPA重组为可信计算机组(TCG,TrustedComputing Group),对TPM和TSS进行完善补充。
图1所示为TCG要求的安全芯片体系结构示意图。安全芯片内包括用于控制的处理器模块101,如微控制器(MCU)处理器,加解密模块102,用于存储加解密密钥的存储模块103,输入输出(I/O)接口模块104和用于检测安全芯片电源的电源检测模块105。所述所有模块通过安全芯片内部的总线相互连接,其中,所述处理器模块101,其根据从I/O接口模块104收到的指令对加解密模块102进行控制,或根据接收到的指令将指令处理结果传送给I/O接口模块104;或者,直接从存储模块103中取出秘密信息,如密钥等,传送给I/O接口模块104;加解密模块102在处理器模块101的控制下,从存储模块103内获取预先存储的加解密密钥,应用加解密密钥对接收到的数据进行加解密,将加解密后的数据传输通过I/O接口模块104传输给外部设备,所述I/O接口模块104用于传输安全芯片和外部设备之间的数据和/或指令。
通常,加解密模块102由安全杂凑算法/哈希消息鉴别码(Secure HashAlgorithm/Hashed Message Authentication Codes,SHA/HMAC)引擎模块、随机数发生器、公钥算法(RSA)处理器模块和密钥生成模块构成,所述SHA/HMAC引擎模块,在处理器模块101的控制下,用于对接收到的数据进行SHA/HMAC运算,将计算结果传送给I/O接口模块104;所述RSA处理器模块,在处理器模块101的控制下,用于对接收到的数据进行RSA运算,将计算结果传送给I/O接口模块104;所述随机数发生器,在处理器模块101的控制下,用于生成随机数以便产生随机密钥;所述密钥生成模块,利用随机数发生器产生的随机数,生成RSA、SHA/HMAC算法所需的密钥。存储模块103由用于保存密钥数据、用户数据和程序的非易失性存储器,和用于保存临时数据和临时程序的易失性存储器构成。
安全芯片内还可以包含用于管理当前安全芯片的状态的其他可选部件。
图2所示为现有技术的安全芯片与主板之间的示意图。信息处理设备的CPU 201与主板上的北桥202相连,北桥202与南桥203和静态存储器(SRAM)204分别直接相连,南桥203分别与超级输入输出接口(SuperIO)205和安全芯片206通过LPC(Low Pin Count Bus)总线直接相连。目前TCG组织规定的安全芯片主要功能包括在计算机启动过程中对BIOS进行完整性验证,对硬件设备进行完整性验证,对操作系统进行完整性验证;在操作系统运行后,安全芯片还负责对受保护的应用软件的完整性进行监视验证;再有,安全芯片还负责生成并管理系统中各种密钥;并可以提供数字签名。
上述安全芯片虽然能够保证信息处理设备具有一个安全的运行环境,但并不能保证输入输出的环节也是安全的。这是因为,安全芯片仅对信息处理设备内已存在的数据进行验证及监视等操作,并不对输入输出的数据进行任何验证监视等操作,而当前有许多木马程序可以监听键盘输入的数据、鼠标在屏幕上的位置以及送往显卡的输出数据,从而获取用户相关的机密信息。这对于基于安全芯片的可信终端而言是一个明显的漏洞,因此,现有的安全芯片并没有解决可信输入输出的问题。
发明内容
有鉴于此,本发明的目的是提供两种具有安全接口的安全芯片,以保证信息处理设备输入输出信息的安全。
为达到上述目的,本发明的技术方案是这样实现的:
一种安全芯片,包括处理器模块、加解密模块,存储模块,电源检测模块和安全输入输出接口模块,且所述所有模块通过安全芯片内部的总线相互连接,
所述处理器模块,控制安全输入输出接口模块将接收到的数据传送给加解密模块,或者,控制加解密模块进行加解密运算,并控制加解密模块将运算结果传输给安全输入输出接口模块,或者,控制存储模块保存加解密模块所生成的加解密密钥;
所述安全输入输出接口模块,用于接收外部装置的输入数据,在处理器模块的控制下,将接收到的数据传送给加解密模块;或者,将来自加解密模块的数据传输给外部装置;
所述存储模块,用于存储加解密密钥;
所述加解密模块,在处理器模块的控制下,从存储模块内获取预先存储的加解密密钥,应用加解密密钥对接收到的数据进行加解密,将加解密后的数据传输给安全输入输出接口模块,或者,生成加解密操作所需的密钥;
所述电源检测模块,在处理器模块的控制下,用于检测提供给安全芯片的电源。
较佳地,所述安全芯片位于输入装置内时,所述安全输入输出接口模块采集输入装置输出的未加密数据,将采集到的数据传送给加解密模块;或者,将来自加解密模块的加密后的数据传输给外部装置。
较佳地,所述安全输入输出接口模块为与通用串行总线(Universal SerialBus,USB)接口的输入装置直接相连的USB安全输入输出接口模块,或为与非USB接口的输入装置直接相连的非USB安全输入输出接口模块,或为所述USB安全输入输出接口模块和非USB安全输入输出接口模块的组合。
较佳地,所述输入装置包括但不限于鼠标键盘。
较佳地,所述安全芯片位于输入装置内时,所述安全输入输出接口模块接收来自外部装置的已加密数据,将接收到的数据传送给加解密模块;或者,将来自加解密模块的已解密后的数据传输给输出装置。
较佳地,所述输出装置包括但不限于声卡显卡。
较佳地,所述加解密模块由SHA/HMAC引擎模块、随机数发生器、RSA处理器模块和密钥生成模块构成,
所述SHA/HMAC引擎模块,在处理器模块的控制下,用于对接收到的数据进行SHA/HMAC运算,将计算结果传送给安全输入输出接口模块;
所述RSA处理器模块,在处理器模块的控制下,用于对接收到的数据进行RSA运算,将计算结果传送给安全输入输出接口模块;
所述随机数发生器,在处理器模块的控制下,用于生成随机数以便产生随机密钥;
所述密钥生成模块,利用随机数发生器产生的随机数,生成RSA、SHA/HMAC算法所需的密钥。
较佳地,所述存储模块由用于保存密钥数据、用户数据和程序的非易失性存储器,和用于保存临时数据和临时程序的易失性存储器构成。
一种安全芯片,包括处理器模块、加解密模块,存储模块,电源检测模块和I/O接口模块,所述所有模块通过安全芯片内部的总线相互连接,所述处理器模块,其根据从I/O接口模块收到的指令对加解密模块进行控制,或根据接收到的指令将指令执行结果传送给I/O接口模块;或者,直接从存储模块中取出秘密信息,传送给I/O接口模块;所述存储模块用于存储加解密密钥;所述I/O接口模块,与外部设备相连,I/O接口模块由处理器模块控制接收外部设备的指令,并将外部要求的运算结果返回给外部设备;所述电源检测模块,在处理器模块的控制下,用于检测提供给安全芯片的电源;
该安全芯片还包括安全I/O模块,
所述加解密模块,在处理器模块的控制下,从存储模块内获取已预先存储的加解密密钥,应用加解密密钥对接收到数据进行解密,将加解密后的数据传输给安全I/O模块;
所述安全I/O模块,与安全芯片内部的总线直接相连,从外部装置接收数据,在处理器模块的控制下,将接收到的数据传送给加解密模块;或者,将来自加解密模块的数据传送给用于接收输入装置输出信息的装置或输出装置。
较佳地,所述安全I/O模块内包括安全输入模块、安全输出模块和南桥接口模块,其中,
所述安全输入模块,与安全芯片内部的总线直接相连,从外部的输入装置接收已加密的数据,在处理器模块的控制下,将接收到的数据传送给加解密模块;
所述南桥接口模块,与安全芯片内部的总线直接相连,从外部装置接收未加密的数据,在处理器模块的控制下,将接收到的数据传送给加解密模块;或者,将来自加解密模块的已解密的数据传送给用于接收输入装置输出信息的装置;
所述安全输出模块,与安全芯片内部的总线直接相连,将来自加解密模块的已加密后的数据传送给输出装置。
较佳地,所述加解密模块由SHA/HMAC引擎模块、随机数发生器、RSA处理器模块和密钥生成模块构成,其中,
所述SHA/HMAC引擎模块,在处理器模块的控制下,用于对接收到的数据进行SHA/HMAC运算,将计算结果传送给安全输出模块或南桥接口模块;
所述RSA处理器模块,在处理器模块的控制下,用于对接收到的数据进行RSA运算,将计算结果传送给安全输出模块或南桥接口模块;
所述随机数发生器,在处理器模块的控制下,用于生成随机数以便产生随机密钥;
所述密钥生成模块,利用随机数发生器产生的随机数,生成RSA、SHA/HMAC算法所需的密钥。
较佳地,所述存储模块由用于保存密钥数据、用户数据和程序的非易失性存储器,和用于保存临时数据和程序的易失性存储器构成。
较佳地,所述安全输入模块为与USB接口的输入装置直接相连的USB安全输入输出接口模块,或为与非USB接口的输入装置直接相连的非USB安全输入输出接口模块,或为所述USB安全输入模块和非USB安全输入模块的组合。
较佳地,所述安全输入模块为与鼠标直接相连的鼠标安全输入模块,或为与键盘直接相连的键盘安全输入模块,或为所述鼠标安全输入模块和键盘安全输入模块的组合。
本发明主要提供了两种安全芯片,一种与现有的安全芯片的区别是去掉了I/O接口模块而增加了安全输入输出接口模块;另一种与现有的安全芯片相比,仅增加了安全I/O模块。在信息处理设备中应用本发明提供的安全芯片,能够对信息处理设备的输入输出信息进行加解密处理,保证了输入输出信息的安全,从而防止了监听,避免了信息的外泄。
附图说明
图1所示为TCG要求的安全芯片体系结构示意图;
图2所示为现有技术的安全芯片与主板之间的示意图;
图3所示为本发明提供的一种安全芯片的结构示意图;
图3a所示为应用本发明的仅用于USB接口输入装置内的安全芯片;
图3b所示为应用本发明的仅用于非USB接口输入装置内的安全芯片;
图3c所示为应用本发明的即可用于USB接口也可用于非USB接口输入装置内的安全芯片;
图4所示为本发明提供的另一种安全芯片的结构示意图;
图5所示为图4安全芯片与主板之间的示意图。
具体实施方式
下面结合附图对本发明再做进一步地详细说明。
图3所示为本发明提供的一种安全芯片的结构示意图。该安全芯片内包括处理器模块101、加解密模块102,存储模块103,电源检测模块105和安全输入输出接口模块306,且所述所有模块通过安全芯片内部的总线相互连接。其中,所述处理器模块101,如MCU,控制安全输入输出接口模块306将接收到的数据传送给加解密模块102,或者,控制加解密模块102进行加解密运算,并控制加解密模块102将运算结果传输给安全输入输出接口模块306,或者,控制存储模块103保存加解密模块102所生成的加解密密钥;所述安全输入输出接口模块306,用于接收外部装置的输入数据,在处理器模块101控制下,将接收到的数据传送给加解密模块102,或者,将来自加解密模块102的数据传输给外部装置;所述存储模块103,用于存储加解密密钥;所述加解密模块102,在处理器模块101的控制下,从存储模块102内获取预先存储的加解密密钥,应用加解密密钥对接收到的数据进行加解密,将加解密后的数据传输给安全输入输出接口模块306;所述电源检测模块105,用于检测给安全芯片供电的电源。
加解密模块102由SHA/HMAC引擎模块、随机数发生器、RSA处理器模块和密钥生成模块构成,所述SHA/HMAC引擎模块,在处理器模块101的控制下,用于对接收到的数据进行SHA/HMAC运算,将计算结果传送给安全输入输出接口模块306;所述RSA处理器模块,在处理器模块101的控制下,用于对接收到的数据进行RSA运算,将计算结果传送给安全输入输出接口模块306;所述随机数发生器,在处理器模块101的控制下,用于生成随机数以便产生随机密钥;所述密钥生成模块,利用随机数发生器产生的随机数,生成RSA、SHA/HMAC算法所需的密钥。存储模块103由用于保存密钥数据、用户数据和程序的非易失性存储器,和用于保存临时数据和程序的易失性存储器构成。
图3所示安全芯片通常位于信息处理设备的输入装置或输出装置内,仅用于加解密数据,不再执行其他操作指令,因而其与现有的图1所示安全芯片相比,不存在I/O接口模块,而增加了安全输入输出接口模块,其余均与图1所示安全芯片相同。
当图3所示安全芯片存在于输入装置内时,所述安全输入输出接口模块306采集输入装置输出的未加密数据,将采集到的数据传送给加解密模块102;或者,将来自加解密模块102的加密后的数据传输给外部装置。所述安全输入输出接口模块306可以是用于仅具有USB接口输入装置内的USB安全输入输出接口模块306a,参见图3a,也可以是用于仅具有非USB接口输入装置的非USB安全输入输出接口模块306b,参见图3b,还可以是所述USB安全输入输出接口模块和非USB安全输入输出接口模块的组合如安全输入输出接口模块306c,即既可以用于具有USB接口的输入装置内,也可以用于具有非USB接口的输入装置内,参见图3c。上述输入装置包括但不限于鼠标键盘。
当图3所示安全芯片存在于输出装置内时,所述安全输入输出接口模块306接收来自外部装置的已加密数据,将接收到的数据传送给加解密模块102;或者,将来自加解密模块102的已解密后的数据传输给输出装置,由输出装置显示。上述输出装置包括但不限于声卡显卡。
图4所示为本发明提供的另一种安全芯片的结构示意图。该安全芯片包括处理器模块101、加解密模块102,存储模块103,电源检测模块105和I/O接口模块104,该安全芯片还包括安全I/O模块406,所述所有模块通过安全芯片内部的总线相互连接。其中,所述I/O接口模块104,与外部设备相连,I/O接口模块104由处理器模块101控制接收外部设备的指令,并将外部设备要求的运算结果返回给外部设备;所述处理器模块101,如MCU,其根据从I/O接口模块104收到的指令对加解密模块进行控制,或根据接收到的指令将指令执行结果传送给I/O接口模块104,或者,直接从存储模块103中取出秘密信息,如密钥等,传送给I/O接口模块104;所述存储模块103用于存储加解密密钥,所述加解密模块102在处理器模块101控制下,从存储模块103内获取已预先存储的加解密密钥,应用加解密密钥对接收到的数据进行加解密,将加解密后的数据传输给安全I/O模块406;所述安全I/O模块406,与安全芯片内部的总线直接相连,从外部装置接收数据,在处理器模块101的控制下,将接收到的数据传送给加解密模块102;或者,将来自加解密模块102的数据传送给用于接收输入装置输出信息的装置或输出装置。
上述安全I/O模块406由安全输入模块406a、安全输出模块406b和南桥接口模块406c构成。所述安全输入模块406a,从输入装置接收已加密的数据,在处理器模块101的控制下,将接收到的已加密的数据传送给加解密模块102;所述安全输出模块406b,将来自加解密模块102的已加密后的数据传输给输出装置;所述南桥接口模块406c,从外部装置接收未加密的数据,在处理器模块101的控制下,将接收到的数据传送给加解密模块102;或者,将来自加解密模块102的已解密数据传送给用于接收输入装置输出信息的装置。
通常,加解密模块102由SHA/HMAC引擎模块、随机数发生器、RSA处理器模块和密钥生成模块构成,所述SHA/HMAC引擎模块,在处理器模块101的控制下,用于对接收到的数据进行SHA/HMAC运算,将计算结果传送给安全输出模块406b或南桥接口模块406c;所述RSA处理器模块,在处理器模块101的控制下,用于对接收到的数据进行RSA运算,将计算结果传送给安全输出模块406b或南桥接口模块406c;所述随机数发生器,在处理器模块101的控制下,用于生成随机数以便产生随机密钥;所述密钥生成模块,利用随机数发生器产生的随机数,生成RSA、SHA/HMAC算法所需的密钥。存储模块103由用于保存密钥数据、用户数据和程序的非易失性存储器,和用于保存临时数据和临时程序的易失性存储器构成。
图4所示安全芯片通常位于信息处理设备的主板内,不仅执行数据加解密操作,还执行其他与安全芯片相关的指令操作,因而其与现有的图1所示安全芯片相比,不仅具有图1所示安全芯片的所有功能,还增加了安全IO模块406,即增加了安全输入模块406a、安全输出模块406b和南桥接口模块406c。之所以增加南桥接口模块406c,是为了增加数据传输速度。
上述安全输入模块为与具有USB接口的输入装置直接相连的USB安全输入模块,或为与具有非USB接口的输入装置直接相连的非USB安全输入模块,或为所述USB安全输入模块和非USB安全输入模块的组合;所述USB安全输入模块可以为与USB鼠标相连的USB鼠标安全输入模块,或所述USB安全输入模块为与USB键盘相连的USB键盘安全输入模块,或所述USB安全输入模块为USB鼠标安全输入模块和USB键盘安全输入模块的组合。非USB安全输入模块与USB安全输入模块相类似。
当然,上述安全输入模块也可以为与鼠标相连的鼠标安全输入模块,或与键盘相连的键盘安全输入模块,或鼠标安全输入模块和键盘安全输入模块的组合;且鼠标安全输入模块可以为与USB鼠标相连的USB鼠标安全输入模块,或与非USB鼠标相连的非USB鼠标安全输入模块,或USB鼠标安全输入模块和非USB鼠标安全输入模块的组合。键盘输入模块与鼠标安全输入模块相类似。
同样地,上述安全输出模块可以是声卡输出模块,也可以是显卡输出模块,还可以是所述声卡输出模块和显卡输出模块的组合。
图5所示为图4安全芯片与主板之间的示意图。信息处理设备的CPU201与主板上的北桥202相连,北桥202与南桥203和静态存储器(SRAM)204分别直接相连,南桥203与安全芯片205通过专用的南桥接口传输数据,这样能够使得传送速度加快。安全芯片205则直接与鼠标键盘等输入装置相连。另外,图4所示安全芯片还可通过LPC总线、PCI总线、USB总线、1394总线或GPIO总线与主板系统相连,用于传输指令。
下面以计算机为例,简单说明上述不同安全芯片的应用。
通常,在计算机的输入装置(如鼠标键盘等)和输出装置(如声卡显卡等)内分别装有如图3所示安全芯片,当然,输入装置内的安全芯片可以如图3a或图3b或图3c所示,在计算机的主板内装有如图4所示安全芯片。
主板内的安全芯片对输入装置内的安全芯片和输出装置内的安全芯片分别进行可信性验证,验证成功后,主板内的安全芯片与输入和输出装置内的安全芯片之间分别确定用于加解密数据的加解密密钥并保存;
输入装置内的安全芯片通过安全输入输出接口采集输入装置待输出的数据,应用所述加解密密钥对采集到的数据加密后,通过安全输入输出接口发送给主板内的安全芯片;主板内的安全芯片采用与输入装置内的安全芯片相同的加解密密钥,对通过安全输入接口接收到的已加密的数据进行解密,将解密后的数据通过南桥接口传送给信息处理设备内用于接收输入装置输出信息的装置,由该装置继续进行后续处理。
主板内的安全芯片通过南桥接口采集待传输给输出装置的数据,应用与输出装置内的安全芯片相同的加解密密钥对采集到的数据加密后,通过安全输出接口发送给输出装置内的安全芯片;输出装置内的安全芯片采用与主板内的安全芯片相同的加解密密钥,对通过安全输入输出接口接收到的已加密的数据进行解密,将解密后的数据通过安全输入输出接口传送给输出装置进行输出。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1、一种安全芯片,其特征在于,包括处理器模块、加解密模块,存储模块,电源检测模块和安全输入输出接口模块,且所述所有模块通过安全芯片内部的总线相互连接,
所述处理器模块,控制安全输入输出接口模块将接收到的数据传送给加解密模块,或者,控制加解密模块进行加解密运算,并控制加解密模块将运算结果传输给安全输入输出接口模块,或者,控制存储模块保存加解密模块所生成的加解密密钥;
所述安全输入输出接口模块,用于接收外部装置的输入数据,在处理器模块的控制下,将接收到的数据传送给加解密模块;或者,将来自加解密模块的数据传输给外部装置;
所述存储模块,用于存储加解密密钥;
所述加解密模块,在处理器模块的控制下,从存储模块内获取已预先存储的加解密密钥,应用加解密密钥对接收到的数据进行加解密,将加解密后的数据传输给安全输入输出接口模块,或者,生成加解密操作所需的密钥;
所述电源检测模块,在处理器模块的控制下,用于检测提供给安全芯片的电源。
2、根据权利要求1所述的安全芯片,其特征在于,所述安全芯片位于输入装置内时,所述安全输入输出接口模块采集输入装置输出的未加密数据,将采集到的数据传送给加解密模块;或者,将来自加解密模块的加密后的数据传输给外部装置。
3、根据权利要求2所述的安全芯片,其特征在于,所述安全输入输出接口模块为与通用串行总线USB接口的输入装置直接相连的USB安全输入输出接口模块,或为与非USB接口的输入装置直接相连的非USB安全输入输出接口模块,或为所述USB安全输入输出接口模块和非USB安全输入输出接口模块的组合。
4、根据权利要求2或3所述的安全芯片,其特征在于,所述输入装置包括鼠标键盘。
5、根据权利要求1所述的安全芯片,其特征在于,所述安全芯片位于输入装置内时,所述安全输入输出接口模块接收来自外部装置的已加密数据,将接收到的数据传送给加解密模块;或者,将来自加解密模块的已解密后的数据传输给输出装置。
6、根据权利要求5所述的安全芯片,其特征在于,所述输出装置包括声卡显卡。
7、根据权利要求1所述的安全芯片,其特征在于,所述加解密模块由安全杂凑算法/哈希消息鉴别码SHA/HMAC引擎模块、随机数发生器、公钥算法RSA处理器模块和密钥生成模块构成,
所述SHA/HMAC引擎模块,在处理器模块的控制下,用于对接收到的数据进行SHA/HMAC运算,将计算结果传送给安全输入输出接口模块;
所述RSA处理器模块,在处理器模块的控制下,用于对接收到的数据进行RSA运算,将计算结果传送给安全输入输出接口模块;
所述随机数发生器,在处理器模块的控制下,用于生成随机数以便产生随机密钥;
所述密钥生成模块,利用随机数发生器产生的随机数,生成RSA、SHA/HMAC算法所需的密钥。
8、根据权利要求1所述的安全芯片,其特征在于,所述存储模块由用于保存密钥数据、用户数据和程序的非易失性存储器,和用于保存临时数据和临时程序的易失性存储器构成。
9、一种安全芯片,包括处理器模块、加解密模块,存储模块,电源检测模块和I/O接口模块,所述所有模块通过安全芯片内部的总线相互连接,
所述处理器模块,其根据从I/O接口模块收到的指令对加解密模块进行控制,或根据接收到的指令将指令执行结果传送给I/O接口模块;或者,直接从存储模块中取出秘密信息,传送给I/O接口模块;
所述存储模块用于存储加解密密钥;
所述I/O接口模块,与外部设备相连,I/O接口模块由处理器模块控制接收外部设备的指令,并将外部要求的运算结果返回给外部设备;
所述电源检测模块,在处理器模块的控制下,用于检测提供给安全芯片的电源;
其特征在于,该安全芯片还包括安全I/O模块,
所述加解密模块,在处理器模块的控制下,从存储模块内获取已预先存储的加解密密钥,应用加解密密钥对接收到数据进行解密,将加解密后的数据传输给安全I/O模块;
所述安全I/O模块,与安全芯片内部的总线直接相连,从外部装置接收数据,在处理器模块的控制下,将接收到的数据传送给加解密模块;或者,将来自加解密模块的数据传送给用于接收输入装置输出信息的装置或输出装置。
10、根据权利要求9所述的安全芯片,其特征在于,所述安全I/O模块内包括安全输入模块、安全输出模块和南桥接口模块,其中,
所述安全输入模块,与安全芯片内部的总线直接相连,从外部的输入装置接收已加密的数据,在处理器模块的控制下,将接收到的数据传送给加解密模块;
所述南桥接口模块,与安全芯片内部的总线直接相连,从外部装置接收未加密的数据,在处理器模块的控制下,将接收到的数据传送给加解密模块;或者,将来自加解密模块的已解密的数据传送给用于接收输入装置输出信息的装置;
所述安全输出模块,与安全芯片内部的总线直接相连,将来自加解密模块的已加密后的数据传送给输出装置。
11、根据权利要求10所述的安全芯片,其特征在于,所述加解密模块由SHA/HMAC引擎模块、随机数发生器、RSA处理器模块和密钥生成模块构成,其中,
所述SHA/HMAC引擎模块,在处理器模块的控制下,用于对接收到的数据进行SHA/HMAC运算,将计算结果传送给安全输出模块或南桥接口模块;
所述RSA处理器模块,在处理器模块的控制下,用于对接收到的数据进行RSA运算,将计算结果传送给安全输出模块或南桥接口模块;
所述随机数发生器,在处理器模块的控制下,用于生成随机数以便产生随机密钥;
所述密钥生成模块,利用随机数发生器产生的随机数,生成RSA、SHA/HMAC算法所需的密钥。
12、根据权利要求9所述的安全芯片,其特征在于,所述存储模块由用于保存密钥数据、用户数据和程序的非易失性存储器,和用于保存临时数据和程序的易失性存储器构成。
13、根据权利要求10所述的安全芯片,其特征在于,所述安全输入模块为与USB接口的输入装置直接相连的USB安全输入输出接口模块,或为与非USB接口的输入装置直接相连的非USB安全输入输出接口模块,或为所述USB安全输入模块和非USB安全输入模块的组合。
14、根据权利要求10所述的安全芯片,其特征在于,所述安全输入模块为与鼠标直接相连的鼠标安全输入模块,或为与键盘直接相连的键盘安全输入模块,或为所述鼠标安全输入模块和键盘安全输入模块的组合。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100561685A CN1331017C (zh) | 2005-03-23 | 2005-03-23 | 安全芯片 |
| GB0718306A GB2438359A (en) | 2005-03-23 | 2005-11-29 | Security chip |
| PCT/CN2005/002049 WO2006099785A1 (fr) | 2005-03-23 | 2005-11-29 | Puce de sécurité |
| US11/886,762 US7987374B2 (en) | 2005-03-23 | 2005-11-29 | Security chip |
| DE112005003513.1T DE112005003513B4 (de) | 2005-03-23 | 2005-11-29 | Sicherheitschip |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100561685A CN1331017C (zh) | 2005-03-23 | 2005-03-23 | 安全芯片 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1702593A CN1702593A (zh) | 2005-11-30 |
| CN1331017C true CN1331017C (zh) | 2007-08-08 |
Family
ID=35632368
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100561685A Active CN1331017C (zh) | 2005-03-23 | 2005-03-23 | 安全芯片 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7987374B2 (zh) |
| CN (1) | CN1331017C (zh) |
| DE (1) | DE112005003513B4 (zh) |
| GB (1) | GB2438359A (zh) |
| WO (1) | WO2006099785A1 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2725071B1 (fr) * | 1994-09-28 | 1996-12-13 | Schneider Electric Sa | Interrupteur differentiel associe a un ou plusieurs elements de protection de circuits tels des coupe-circuits a fusibles ou disjoncteurs |
| US8473754B2 (en) * | 2006-02-22 | 2013-06-25 | Virginia Tech Intellectual Properties, Inc. | Hardware-facilitated secure software execution environment |
| CN100581163C (zh) * | 2006-03-28 | 2010-01-13 | 华为技术有限公司 | 一种公钥运算数据的安全处理设备及方法 |
| CN100446018C (zh) * | 2006-07-11 | 2008-12-24 | 北京飞天诚信科技有限公司 | 信息安全存储方法及其信息安全设备 |
| CN101226571B (zh) * | 2007-01-16 | 2011-02-09 | 瑞达信息安全产业股份有限公司 | 一种信息安全计算机 |
| TWI357006B (en) * | 2008-05-15 | 2012-01-21 | Wistron Corp | Electronic device |
| TWI476622B (zh) * | 2009-07-22 | 2015-03-11 | Giga Byte Tech Co Ltd | 電腦裝置安全性之管理方法 |
| US20110055534A1 (en) * | 2009-08-26 | 2011-03-03 | Chung Chieh-Fu | Management Method for Security of Computer Device |
| CN102236751A (zh) * | 2010-04-22 | 2011-11-09 | 研华股份有限公司 | 具有安全锁的电脑系统与执行安全锁的方法 |
| CN101908112B (zh) * | 2010-07-30 | 2013-04-17 | 上海华岭集成电路技术股份有限公司 | 安全芯片的测试方法与系统 |
| US8813218B2 (en) | 2012-02-14 | 2014-08-19 | Janus Technologies, Inc. | Security-enhanced computer systems and methods |
| DE102014007789A1 (de) * | 2014-05-23 | 2015-11-26 | Giesecke & Devrient Gmbh | Browserbasierte Applikation |
| JP2016181836A (ja) * | 2015-03-24 | 2016-10-13 | キヤノン株式会社 | 情報処理装置、暗号装置、情報処理装置の制御方法、およびプログラム |
| CN107425976A (zh) * | 2017-04-26 | 2017-12-01 | 美的智慧家居科技有限公司 | 密钥芯片系统和物联网设备 |
| US10608822B2 (en) * | 2017-04-26 | 2020-03-31 | Nxp B.V. | Efficient calculation of message authentication codes for related data |
| CN107395341A (zh) * | 2017-06-23 | 2017-11-24 | 陈景辉 | 一种物联网安全认证芯片及基于该芯片的访问控制方法 |
| CN108337053B (zh) * | 2017-12-29 | 2020-10-20 | 北京航天测控技术有限公司 | 一种测试诊断信息无线传输装置及系统 |
| CN109697173B (zh) * | 2018-12-11 | 2023-05-23 | 中国航空工业集团公司西安航空计算技术研究所 | 一种面向信息安全的嵌入式计算机SiP模块设计方法及电路 |
| CN110084054A (zh) * | 2019-05-08 | 2019-08-02 | 深圳豪杰创新电子有限公司 | 一种数据保密装置、方法、电子设备及存储介质 |
| CN110287736A (zh) * | 2019-06-28 | 2019-09-27 | 李璐昆 | 一种基于安全芯片的安全移动终端系统 |
| CN113557515A (zh) * | 2019-11-01 | 2021-10-26 | 谷歌有限责任公司 | 外围设备与安全电路系统的兼容性 |
| CN110943830A (zh) * | 2019-11-08 | 2020-03-31 | 深圳市东进技术股份有限公司 | 密码机 |
| CN113127888A (zh) * | 2019-12-30 | 2021-07-16 | 广东博智林机器人有限公司 | 安全芯片、终端以及对称密钥的生成方法 |
| CN113472793B (zh) * | 2021-07-01 | 2023-04-28 | 中易通科技股份有限公司 | 一种基于硬件密码设备的个人数据保护系统 |
| CN113596031B (zh) * | 2021-07-29 | 2023-08-25 | 深圳市共进电子股份有限公司 | 电缆调制解调器、信息保护方法和可读存储介质 |
| CN113675097B (zh) * | 2021-08-16 | 2024-02-20 | 深圳市国微电子有限公司 | 一种三维芯片的制造方法以及三维芯片 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3613827A1 (de) * | 1986-04-24 | 1987-10-29 | Wolfgang Prof Dr Ing Weber | Digitalrechner |
| CN1198233A (zh) * | 1995-09-29 | 1998-11-04 | 达拉斯半导体有限公司 | 保密交易的方法、设备、系统和固件 |
| CN2507067Y (zh) * | 2001-11-06 | 2002-08-21 | 深圳市金网安数码科技开发有限公司 | 利用通用串行总线接口识别个人身份和网络身份的装置 |
| CN1553349A (zh) * | 2003-05-29 | 2004-12-08 | 联想(北京)有限公司 | 一种安全芯片及基于该芯片的信息安全处理设备和方法 |
| CN1591362A (zh) * | 2003-08-25 | 2005-03-09 | 联想(北京)有限公司 | 一种安全芯片及基于该芯片的信息处理设备和启动方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1204432A (zh) * | 1995-10-25 | 1999-01-06 | 西门子公司 | 安全芯片 |
| IL126259A0 (en) | 1998-09-17 | 1999-05-09 | Redler Yeshayahu | Secure data entry peripheral device |
| DE19963042A1 (de) | 1999-12-24 | 2001-07-05 | Websmart Technology Gmbh | Vorrichtung und Verfahren zum Verschlüsseln bzw. Entschlüsseln von Daten |
| JP2002014872A (ja) | 2000-06-29 | 2002-01-18 | Fujitsu Ltd | 暗号制御装置 |
| US7216237B2 (en) * | 2001-07-16 | 2007-05-08 | Certicom Corp. | System and method for trusted communication |
| US20030159054A1 (en) * | 2002-02-19 | 2003-08-21 | Minebea Co. | Reconfigurable secure input device |
| JP4461351B2 (ja) * | 2002-08-15 | 2010-05-12 | ソニー株式会社 | 非接触式icカード |
| US7263720B2 (en) * | 2002-12-16 | 2007-08-28 | Intel Corporation | Method and mechanism for validating legitimate software calls into secure software |
| US7284278B2 (en) | 2003-03-04 | 2007-10-16 | Dell Products L.P. | Secured KVM switch |
| US7428314B2 (en) * | 2003-12-03 | 2008-09-23 | Safehouse International Inc. | Monitoring an environment |
| US7743977B2 (en) * | 2005-02-28 | 2010-06-29 | Broadcom Corporation | Method and system for random data access for security applications |
-
2005
- 2005-03-23 CN CNB2005100561685A patent/CN1331017C/zh active Active
- 2005-11-29 DE DE112005003513.1T patent/DE112005003513B4/de active Active
- 2005-11-29 GB GB0718306A patent/GB2438359A/en not_active Withdrawn
- 2005-11-29 WO PCT/CN2005/002049 patent/WO2006099785A1/zh not_active Application Discontinuation
- 2005-11-29 US US11/886,762 patent/US7987374B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3613827A1 (de) * | 1986-04-24 | 1987-10-29 | Wolfgang Prof Dr Ing Weber | Digitalrechner |
| CN1198233A (zh) * | 1995-09-29 | 1998-11-04 | 达拉斯半导体有限公司 | 保密交易的方法、设备、系统和固件 |
| CN2507067Y (zh) * | 2001-11-06 | 2002-08-21 | 深圳市金网安数码科技开发有限公司 | 利用通用串行总线接口识别个人身份和网络身份的装置 |
| CN1553349A (zh) * | 2003-05-29 | 2004-12-08 | 联想(北京)有限公司 | 一种安全芯片及基于该芯片的信息安全处理设备和方法 |
| CN1591362A (zh) * | 2003-08-25 | 2005-03-09 | 联想(北京)有限公司 | 一种安全芯片及基于该芯片的信息处理设备和启动方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7987374B2 (en) | 2011-07-26 |
| GB0718306D0 (en) | 2007-10-31 |
| DE112005003513B4 (de) | 2020-04-23 |
| DE112005003513T5 (de) | 2008-02-07 |
| CN1702593A (zh) | 2005-11-30 |
| GB2438359A (en) | 2007-11-21 |
| WO2006099785A1 (fr) | 2006-09-28 |
| US20090037747A1 (en) | 2009-02-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1331017C (zh) | 安全芯片 | |
| KR102113937B1 (ko) | 메모리 무결성 | |
| TWI465093B (zh) | 硬體認證技術 | |
| CN100447763C (zh) | 一种安全芯片及基于该芯片的信息安全处理设备和方法 | |
| US11921905B2 (en) | Secure collaboration between processors and processing accelerators in enclaves | |
| CN101770386B (zh) | 一种Linux嵌入式系统的安全启动方法 | |
| CN103026347B (zh) | 多核架构中的虚拟机内存划分 | |
| US7392415B2 (en) | Sleep protection | |
| EP2795829B1 (en) | Cryptographic system and methodology for securing software cryptography | |
| CN108769027B (zh) | 安全通信方法、装置、移动终端和存储介质 | |
| CN100334519C (zh) | 建立可信输入输出通道的方法 | |
| KR20010075411A (ko) | 보안기능을 갖는 어댑터 및 이를 이용한 컴퓨터 보안시스템 | |
| CN101335611B (zh) | 安全按键输入系统、设备、和方法 | |
| TW200949601A (en) | Microprocessor apparatus providing for secure interrupts and exceptions | |
| CN108629206B (zh) | 一种安全加密方法、加密机及终端设备 | |
| MY145949A (en) | Trusted computer platform method and system without trust credential | |
| Ling et al. | Secure boot, trusted boot and remote attestation for ARM TrustZone-based IoT Nodes | |
| CN102024115B (zh) | 一种具有用户安全子系统的计算机 | |
| CN101996285B (zh) | 一种电子设备 | |
| CN201917912U (zh) | Usb存储设备的监控管理系统 | |
| Brasser et al. | Softer Smartcards: Usable Cryptographic Tokens with Secure Execution | |
| CN109583196B (zh) | 一种密钥生成方法 | |
| KR101737747B1 (ko) | 집계된 데이터의 탬퍼 방지 개선 | |
| JP2011248792A (ja) | 端末データ管理システム | |
| CN2927185Y (zh) | 一种数据安全传输设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |