CN209402526U - 安全芯片的密钥存储装置 - Google Patents

安全芯片的密钥存储装置 Download PDF

Info

Publication number
CN209402526U
CN209402526U CN201920419671.XU CN201920419671U CN209402526U CN 209402526 U CN209402526 U CN 209402526U CN 201920419671 U CN201920419671 U CN 201920419671U CN 209402526 U CN209402526 U CN 209402526U
Authority
CN
China
Prior art keywords
key
module
storage
encryption
memory block
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201920419671.XU
Other languages
English (en)
Inventor
高建
王东山
李温静
王立城
霍超
白晖峰
侯莹莹
赵广怀
王磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
State Grid Beijing Electric Power Co Ltd
Beijing Smartchip Microelectronics Technology Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Information and Telecommunication Co Ltd
State Grid Beijing Electric Power Co Ltd
Beijing Smartchip Microelectronics Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Information and Telecommunication Co Ltd, State Grid Beijing Electric Power Co Ltd, Beijing Smartchip Microelectronics Technology Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201920419671.XU priority Critical patent/CN209402526U/zh
Application granted granted Critical
Publication of CN209402526U publication Critical patent/CN209402526U/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本实用新型公开了一种安全芯片的密钥存储装置,包括:接口模块,用于接收密钥导入信息;存储模块与接口模块通信连接,设置有多个不同安全级别的存储区,每一个安全级别的存储区用于存储该安全级别的密钥;加解密模块与存储模块通信连接,用于对密钥进行加密或解密;控制模块分别与存储模块和加解密模块通信连接,用于在安全芯片的工作模式为允许密钥写入的模式时,控制接口模块将接收到的密钥按照预设的安全级别存储至与安全级别对应的存储区,或者,控制接口模块将接收到的密钥传输至加解密模块中,进行加密或解密。本实用新型提供的安全芯片的密钥存储装置,提高了密钥的更新频率,降低密钥泄露风险,提高了密钥的存储安全。

Description

安全芯片的密钥存储装置
技术领域
本实用新型是关于一种电力通信安全领域,特别是关于一种安全芯片的密钥存储装置。
背景技术
随着智能电网建设,终端技术不断发展,终端系统的安全性和保密性要求也越来越高。为了提高数据传输的安全性,当进行数据交互时,使用该终端密钥对所传输的数据进行加密或解密。因此,如何提高密钥存储的安全性成为提高数据传输安全性的重要研究方向之一。
目前配用电业务采用加密芯片作为终端加密通信手段,通常是配用电终端会一次性从密钥分发网络获取一定数量的密钥,同时主站业务系统也会从密钥分发网络获取相对应的密钥,在主站业务系统及配用电终端存放一定数量的密钥,形成密钥池,提供业务数据加密通信使用,用于接下来一段时间内业务加密通信。
基于此,本申请的发明人发现,目前的配用电业务一次性从密钥分发网络获取一定数量的密钥灌注在安全芯片中,密钥基本一次灌注使用全生命周期,存在密钥泄露风险,无法满足现在高安全需求的配电网数据业务。
公开于该背景技术部分的信息仅仅旨在增加对本实用新型的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
实用新型内容
本实用新型的目的在于提供一种安全芯片的密钥存储装置,其能够降低密钥泄露风险,以及提高密钥存储的安全性。
为实现上述目的,本实用新型提供了一种安全芯片的密钥存储装置,所述密钥存储装置包括:接口模块,用于接收密钥导入信息,所述密钥导入信息中包括密钥以及密钥标识;存储模块,与所述接口模块通信连接,所述存储模块设置有多个不同安全级别的存储区,每一个安全级别的存储区用于存储该安全级别的密钥;加解密模块,与所述存储模块通信连接,用于对所述密钥进行加密或解密;以及控制模块,分别与所述存储模块和所述加解密模块通信连接,用于判断当前安全芯片的工作模式,在所述安全芯片的工作模式为允许密钥写入的模式时,控制所述接口模块将接收到的密钥按照预设的安全级别以及所述密钥标识存储至与所述安全级别对应的存储区,或者,控制所述接口模块将接收到的密钥传输至所述加解密模块中,进行加密或解密。
在一优选的实施方式中,所述存储区包括:第一存储区,用于存储根密钥,其中,所述根密钥为芯片出厂时写入的密钥信息;以及第二存储区,用于存储密钥导入信息中的密钥。
在一优选的实施方式中,当所述密钥导入信息中的密钥是明文密钥时,所述控制模块用于控制所述接口模块将所述明文密钥传输至所述加解密模块中;所述加解密模块用于使用所述根密钥对所述明文密钥进行加密,将加密后的密钥存储至存储模块的第二存储区中。
在一优选的实施方式中,所述控制模块还用于,对明文密钥进行分段,分段后的每段密钥具有唯一的编号,将分段后的密钥传输至所述加解密模块;所述加解密模块还用于对每段密钥进行加密,将加密后的密钥以及与加密后的密钥对应的编号存储至存储模块的第二存储区中,其中每段密钥为K比特,K为大于等于1的整数。
在一优选的实施方式中,当所述密钥导入信息中的密钥是密文密钥时,所述控制模块用于控制所述接口模块将接收到的密钥存储至存储模块的第二存储区中。
在一优选的实施方式中,所述存储区还包括:第三存储区,用于存储外设或安全芯片的数据。
在一优选的实施方式中,所述接口模块还用于接收数据的存储或导出指令;所述控制模块还用于在所述接口模块接收到所述数据的存储或导出指令之后,判断所述安全芯片的工作模式;控制所述加解密模块使用存储区存储的密钥对所述数据的存储或导出指令进行解密;以及根据解密后的数据的存储或导出指令,执行与所述安全芯片的工作模式对应的存储区的数据存储或导出。
在一优选的实施方式中,所述接口模块包括:UART、USB、GPIO、SPI、I2C中的一种或多种接口。
与现有技术相比,根据本实用新型的安全芯片的密钥存储装置,在具有权限的情况下可以实现密钥的写入,提高了密钥的更新频率,降低密钥泄露风险。另外,通过对安全芯片存储区进行分区存储,实现普通数据和密钥数据的有效分离,也实现了不同等级密钥数据的分区存储。进一步的对密钥进行分段加密存储,极大地提高了密钥的存储安全。
附图说明
图1是根据本实用新型一实施方式的安全芯片的密钥存储装置的结构示意图。
图2是根据本实用新型一实施方式的分段加密存储结构示意图。
具体实施方式
下面结合附图,对本实用新型的具体实施方式进行详细描述,但应当理解本实用新型的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
如图1所示,根据本实用新型优选实施方式的一种安全芯片的密钥存储装置的结构示意图,本实施例中的密钥存储装置集成于为安全芯片上,为安全芯片中用于实现密钥存储的部分。安全芯片的密钥存储装置包括:接口模块1、控制模块2、存储模块3、加解密模块4。
其中,接口模块1,用于接收密钥生成器生成的密钥导入信息,所述密钥导入信息中包括密钥以及密钥标识。所述接口模块1包括:通用异步收发传输器(英文全称:Universal Asynchronous Receiver/Transmitter,英文缩写:UART)、通用串行总线(英文全称:Universal Serial Bus,英文缩写:USB)、通用输入/输出口(英文全称:GeneralPurpose Input Output,英文缩写:GPIO)、串行外设接口(英文全称:Serial PeripheralInterface,英文缩写:SPI)、集成电路总线接口(英文全称:Inter Integrated Circuit,英文缩写:I2C)中的一种或多种接口。
存储模块3与所述接口模块通信连接,所述存储模块设置有多个不同安全级别的存储区,每一个安全级别的存储区用于存储该安全级别的密钥。
在一种实现方式中所述存储区包括:第一存储区,用于存储根密钥,其中,所述根密钥为芯片出厂时写入的密钥信息;第二存储区,用于存储密钥导入信息中的密钥。第三存储区,用于存储外设或安全芯片的数据。实现不同等级密钥数据的分区存储,极大地提高了逻辑安全的强度。
加解密模块4与所述存储模块3通信连接,用于对所述密钥进行加密或解密。具体的,加解密模块4配置有高级加密标准(英文全称:Advanced Encryption Standard,英文缩写:AES),数据加密标准(英文全称:Data Encryption Standard,英文缩写:DES),三重数据加密算法块密码(Triple DES),国密算法SM2、SM4等加密算法。
控制模块2分别与所述存储模块3和所述加解密模块4通信连接,用于判断当前安全芯片的工作模式,在所述安全芯片的工作模式为允许密钥写入的模式时,控制所述接口模块1将接收到的密钥按照预设的安全级别以及密钥标识存储至与所述安全级别对应的存储区,或者,控制所述接口模块1将接收到的密钥传输至所述加解密模块4中,进行加密或解密。
其中,当前安全芯片的工作模式为管理模式时,可以实现密钥的写入。在管理模式下实现密钥的导入时,将密钥根据密钥标识存储至第二存储区。
接口模块1接收的密钥可以是明文传输的也可以是密文传输的。当所述密钥导入信息中的密钥是明文密钥时,所述控制模块2用于控制所述接口模块1将所述明文密钥传输至所述加解密模块4中;所述加解密模块4用于使用所述第一存储区的根密钥对明文密钥进行加密,将加密后的密钥存储至存储模块的第二存储区中。
由此,本实施例提供的安全芯片的密钥存储装置,在具有权限的情况下可以实现密钥的写入,提高了密钥的更新频率,降低密钥泄露风险。另外,通过对安全芯片存储区进行分区存储,实现普通数据和密钥数据的有效分离,也实现了不同等级密钥数据的分区存储,极大地提高了密钥的存储安全。
当所述密钥导入信息中的密钥是密文密钥时,所述控制模块2用于控制所述接口模块1将接收到的密钥存储至存储模块3的第二存储区中。或者,控制模块2控制所述接口模块1将接收到的密文密钥传输至加解密模块4中,使加解密模块4对密文密钥进行解密。
进一步地,所述控制模块2还用于,对明文密钥进行分段,分段后的每段密钥具有唯一的编号,将分段后的密钥传输至所述加解密模块4;所述加解密模块4还用于对每段密钥进行加密,将加密后的密钥以及与加密后的密钥对应的编号存储至存储模块3的第二存储区中,其中每段密钥为K比特,K为大于等于1的整数。
进行分段的明文密钥可以是密钥导入信息的是明文密钥,也可以是密文密钥解密后的明文密钥。如图2所示,根据本实用新型优选实施方式的分段加密存储结构示意图,将明文密钥按照每段K比特进行分段,相应的编号为ID1,ID2,ID3……。将每一段密钥存储至访问存储区1的密钥分段中,并存储相应的编号ID,密钥分段与编号ID一一对应。
相应的,存储模块中还存储有密钥标识与分段后密钥编号的对应关系。当需要获取密钥时,根据密钥标识与分段后密钥编号的对应关系,查找到分段密钥的存储区,对该分段密钥解密再重新组合还原成密钥。
由此,通过密钥分段加密存储方法,所有密钥进行分段存储并通过根密钥进行加密存储,保证密钥在全生命周期应用的安全性。
在一种实现方式中,所述接口模块1还可以用于接收数据的存储或导出指令。
所述控制模块2还用于在所述接口模块1接收到所述数据的存储或导出指令之后,判断当前所述安全芯片的工作模式。其中,安全芯片的工作模式包括:用户模式、应用模式以及管理模式。
所述控制模块2控制所述加解密模块4使用根密钥或导入密钥对所述数据的存储或导出指令进行解密;根据解密后的数据的存储或导出指令,执行与所述安全芯片的工作模式对应的存储区的数据存储或导出。
例如,接收到数据的存储指令,该存储指令中包括指令内容、待存储的数据以及存储地址。首先,判断当前所述安全芯片的工作模式。当为管理模式时,判断存储地址是否为可以进行写入的地址。若为可以写入的地址,则将待存储的数据进行相应的地址的存储。
当接收到数据的导出指令,该存储指令中包括指令内容以及导出数据的地址。首先,判断当前所述安全芯片的工作模式。当为管理模式时,判断导出数据的地址是否为可以进行导出的地址。第一存储去为不可导出的地址。若为可以导出的地址,所述控制模块2可以使用解密后的密钥对第三存储区中的数据进行加密,将加密后的数据传输至接口模块1进行导出。
其中,在数据处理时,管理模式为权限最高的模式,可以写入第一存储区中的根密钥,可以读取第二存储区中的导入密钥,可以读取或写入第三存储区的外设或安全芯片的数据。应用模式可以设置为,可以读取第二存储区中的导入密钥,可以读取或写入第三存储区的外设或安全芯片的数据。而用户模式则可以设置为可以读取第三存储区的外设或安全芯片的数据。而在密钥导入时,安全芯片应处于管理模式。
由此,通过将芯片的工作模式分为用户模式、应用模式、管理模式,在不同的工作模式下,即便是存储器的同一个存储区的访问权限也有不同的限定。通过存储区域的划分和工作模式的限定,安全芯片中的普通数据和重要数据被有效地分离,各自接受不同程序的条件保护,提高了逻辑安全的强度。
此外,安全芯片中还可以设置有校验模块。存储模块3中可以采用循环冗余码校验和奇偶校验的方法来验证存储器中数据的正确性。当每一次将密钥写入芯片存储区时,校验模块生成校验码并安全存放,保证芯片存储区量子密钥的安全可靠性。
前述对本实用新型的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本实用新型限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本实用新型的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本实用新型的各种不同的示例性实施方案以及各种不同的选择和改变。本实用新型的范围意在由权利要求书及其等同形式所限定。

Claims (8)

1.一种安全芯片的密钥存储装置,其特征在于,所述密钥存储装置包括:
接口模块,用于接收密钥导入信息,所述密钥导入信息中包括密钥以及密钥标识;
存储模块,与所述接口模块通信连接,所述存储模块设置有多个不同安全级别的存储区,每一个安全级别的存储区用于存储该安全级别的密钥;
加解密模块,与所述存储模块通信连接,用于对所述密钥进行加密或解密;以及
控制模块,分别与所述存储模块和所述加解密模块通信连接,用于判断当前安全芯片的工作模式,在所述安全芯片的工作模式为允许密钥写入的模式时,控制所述接口模块将接收到的密钥按照预设的安全级别以及所述密钥标识存储至与所述安全级别对应的存储区,或者,控制所述接口模块将接收到的密钥传输至所述加解密模块中,进行加密或解密。
2.如权利要求1所述的密钥存储装置,其特征在于,所述存储区包括:
第一存储区,用于存储根密钥,其中,所述根密钥为芯片出厂时写入的密钥信息;以及
第二存储区,用于存储密钥导入信息中的密钥。
3.如权利要求2所述的密钥存储装置,其特征在于,当所述密钥导入信息中的密钥是明文密钥时,所述控制模块用于控制所述接口模块将所述明文密钥传输至所述加解密模块中;
所述加解密模块用于使用所述根密钥对所述明文密钥进行加密,将加密后的密钥存储至存储模块的第二存储区中。
4.如权利要求3所述的密钥存储装置,其特征在于,所述控制模块还用于,对明文密钥进行分段,分段后的每段密钥具有唯一的编号,将分段后的密钥传输至所述加解密模块;
所述加解密模块还用于对每段密钥进行加密,将加密后的密钥以及与加密后的密钥对应的编号存储至存储模块的第二存储区中,其中每段密钥为K比特,K为大于等于1的整数。
5.如权利要求2所述的密钥存储装置,其特征在于,当所述密钥导入信息中的密钥是密文密钥时,所述控制模块用于控制所述接口模块将接收到的密钥存储至存储模块的第二存储区中。
6.如权利要求2所述的密钥存储装置,其特征在于,所述存储区还包括:
第三存储区,用于存储外设或安全芯片的数据。
7.如权利要求2所述的密钥存储装置,其特征在于,所述接口模块还用于接收数据的存储或导出指令;
所述控制模块还用于在所述接口模块接收到所述数据的存储或导出指令之后,判断所述安全芯片的工作模式;
控制所述加解密模块使用存储区存储的密钥对所述数据的存储或导出指令进行解密;以及
根据解密后的数据的存储或导出指令,执行与所述安全芯片的工作模式对应的存储区的数据存储或导出。
8.如权利要求1所述的密钥存储装置,其特征在于,
所述接口模块包括:UART、USB、GPIO、SPI、I2C中的一种或多种接口。
CN201920419671.XU 2019-03-29 2019-03-29 安全芯片的密钥存储装置 Active CN209402526U (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201920419671.XU CN209402526U (zh) 2019-03-29 2019-03-29 安全芯片的密钥存储装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201920419671.XU CN209402526U (zh) 2019-03-29 2019-03-29 安全芯片的密钥存储装置

Publications (1)

Publication Number Publication Date
CN209402526U true CN209402526U (zh) 2019-09-17

Family

ID=67900162

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201920419671.XU Active CN209402526U (zh) 2019-03-29 2019-03-29 安全芯片的密钥存储装置

Country Status (1)

Country Link
CN (1) CN209402526U (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112235102A (zh) * 2020-09-29 2021-01-15 北京智芯微电子科技有限公司 混合式密钥存储和管理方法及存储设备
CN112468175A (zh) * 2020-10-16 2021-03-09 清华大学 植入式医疗设备、通信方法、终端和存储介质
CN114297114A (zh) * 2021-11-23 2022-04-08 北京智芯微电子科技有限公司 加密卡及其数据交互方法、装置及计算机可读存储介质
CN114697064A (zh) * 2020-12-31 2022-07-01 宸芯科技有限公司 一种多数据模块之间的数据安全交互方法及安全芯片

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112235102A (zh) * 2020-09-29 2021-01-15 北京智芯微电子科技有限公司 混合式密钥存储和管理方法及存储设备
CN112235102B (zh) * 2020-09-29 2023-07-21 北京智芯微电子科技有限公司 混合式密钥存储和管理方法及存储设备
CN112468175A (zh) * 2020-10-16 2021-03-09 清华大学 植入式医疗设备、通信方法、终端和存储介质
CN114697064A (zh) * 2020-12-31 2022-07-01 宸芯科技有限公司 一种多数据模块之间的数据安全交互方法及安全芯片
CN114697064B (zh) * 2020-12-31 2024-05-03 宸芯科技股份有限公司 一种多数据模块之间的数据安全交互方法及安全芯片
CN114297114A (zh) * 2021-11-23 2022-04-08 北京智芯微电子科技有限公司 加密卡及其数据交互方法、装置及计算机可读存储介质
CN114297114B (zh) * 2021-11-23 2024-01-23 北京智芯微电子科技有限公司 加密卡及其数据交互方法、装置及计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN209402526U (zh) 安全芯片的密钥存储装置
CN101196855B (zh) 移动加密存储设备及密文存储区数据加解密处理方法
CN1878055B (zh) 一种分离式大数据量加/解密设备及实现方法
CN101894235B (zh) 一种智能卡安全会话系统
CN114218592A (zh) 敏感数据的加解密方法、装置、计算机设备及存储介质
CN102377566A (zh) 一种电表数据的安全处理装置及系统
CN102111265A (zh) 一种电力系统采集终端的安全芯片加密方法
CN102088349B (zh) 一种智能卡个人化的方法及系统
CN107070660A (zh) 一种区块链加密射频芯片的存储设计方法
CN110084054A (zh) 一种数据保密装置、方法、电子设备及存储介质
CN102693385A (zh) 基于sd可信计算模块的嵌入式终端及实现方法
CN107508679A (zh) 一种智能终端主控芯片与加密芯片的绑定及认证方法
CN108011716A (zh) 一种密码装置及实现方法
CN109460639A (zh) 一种license授权控制方法、装置、终端及存储介质
CN102163267A (zh) 固态硬盘安全访问控制方法、装置和固态硬盘
CN110300108A (zh) 一种配电自动化报文加密传输方法、系统、终端及存储介质
CN104281272B (zh) 密码输入处理方法及装置
CN104867004A (zh) 移动支付系统及其移动支付的方法
CN103138932A (zh) 一种Mifare卡扇区密钥的配置方法及系统
CN111435389A (zh) 一种配电终端运维工具安全防护系统
CN105574442A (zh) Puf电路及片上存储加密解密电路
CN201044180Y (zh) 智能卡式安全u盘
CN103873245B (zh) 虚拟机系统数据加密方法及设备
CN102270182B (zh) 基于同步用户和主机认证的加密可移动存储设备
CN106339621B (zh) 一种usb设备的数据处理方法、及该usb设备

Legal Events

Date Code Title Description
GR01 Patent grant
GR01 Patent grant