CN210515295U - 一种基于安全芯片的安全认证系统与信息处理装置 - Google Patents
一种基于安全芯片的安全认证系统与信息处理装置 Download PDFInfo
- Publication number
- CN210515295U CN210515295U CN201921877211.8U CN201921877211U CN210515295U CN 210515295 U CN210515295 U CN 210515295U CN 201921877211 U CN201921877211 U CN 201921877211U CN 210515295 U CN210515295 U CN 210515295U
- Authority
- CN
- China
- Prior art keywords
- chip
- security
- unit
- auxiliary
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本实用新型涉及一种基于安全芯片的安全认证系统与信息处理装置,属于安全通信技术领域。安全认证系统包括上位机、与上位机通信连接的安全芯片及与安全芯片通信连接的辅助芯片;辅助芯片受控于安全芯片,包括控制单元、易失性存储单元、用于存储安全密钥的非易失性存储单元及用于将所述安全密钥加密成第一密文数据的硬件算法单元。将安全认证所需的安全密钥与其他数据分开存储,并将安全密钥存储至受控于安全芯片的辅助芯片中,以增加芯片破解难度而提高信息安全,可广泛应用于通信与认证设备领域中。
Description
技术领域
本实用新型涉及安全通信技术领域,具体地说,涉及一种基于安全芯片的安全认证系统与可用于构建该安全认证系统的信息处理装置。
背景技术
在安全通信技术领域,为了面向诸如家庭自动化、工业联网、配件与耗材验证、医疗、移动等物联网(IOT)市场提供可靠的安全通信防护,许多厂商都采用了具有加密对策和安全认证功能的安全芯片来有效地为那些由MCU或MPU在软件内运行如ECC等加密/解密算法的系统提供卓越的保密性、数据完整性和身份验证功能。
如图2所示为安全芯片2的基本结构,其主要包括MCU内核单元20、易失性存储单元21、非易失性存储单元22、高速硬件算法单元231、高速硬件算法单元232、高速硬件算法单元233及I/O接口24等基本单元。其中,MCU内核单元20主要用于芯片内部控制和运算,通常为MSP430、CORTEX-M0等通用的MCU内核;易失性存储单元21主要用于存储临时性的数据,例如硬件算法模块的输入数据或芯片程序运行中产生的数据,具体为SRAM;非易失性存储单元22包含ROM和FLASH,ROM用于存储BOOT程序,FLASH用于存储芯片内部软件数据;高速硬件算法单元用于复杂安全认证算法的硬件实现,例如AEA,AES,DES等加解密模块;I/O接口用于安全芯片与上位机的通讯连接。
在工作过程中,安全芯片与上位机的通讯中通常存有通信认证的过程,其涉及安全认证算法的大量运算,常用安全算法包括ECC加/解密算法、DES加/解密算法、DSA签名算法、ECDSA签名算法等,这些安全认证算法运算由芯片内嵌的专门硬件模块实现。
为了能够进行安全通信,在安全芯片内部会采取物理/软件加密设计以保护片内程序,以无法用编程器直接读取芯片内部的程序,而保护该程序。然而,外部攻击者可以选择观测通信认证的过程,采取能量分析攻击或者借助专用设备、自制设备,利用安全芯片设计上的漏洞或软件缺陷,通过FIB等多种技术手段,以突破芯片的加密防护,而从芯片内部提取关键信息,获取软件程序以及安全认证密钥,严重影响到信息安全。
至少基于前述,存在对基于安全芯片所构建安全认证系统及信息处理系统等的结构进行改进的需求,以提高信息安全。
此外,在对前述结构进行改进的过程中,需考虑相关成本,尤其是对于初创型企业而言。
实用新型内容
本实用新型的主要目的是提供一种结构改进的安全认证系统与信息处理装置,以提高信息安全。
为了实现上述主要目的,本实用新型提供基于安全芯片的安全认证系统包括上位机、与上位机通信连接的安全芯片及与安全芯片通信连接的辅助芯片;辅助芯片受控于安全芯片,包括控制单元、易失性存储单元、用于存储安全密钥的非易失性存储单元及用于将所述安全密钥加密成第一密文数据的硬件算法单元。
将安全认证所需的安全密钥与例如码表数据等其他数据分开存储,并将安全密钥存储至受控于安全芯片的辅助芯片中,并基于安全芯片与上位机进行通信与数据传输;在需与上位机进行安全身份认证行为时,安全芯片从辅助芯片处通过加密方式获取由安全密钥加密成的密文数据,并解密出安全密钥,从而与存储在安全芯片内的码表数据一起进行安全身份认证,即本安全认证系统基于双芯片设计,即使其中一个芯片被破解,也难以获取全部密钥数据,以提高芯片破解成本,有效地提高了信息安全。
具体的方案为安全芯片包括用于对第一密文数据进行解密的硬件算法单元。
优选的方案为硬件算法单元为对称硬件算法单元;控制单元为MCU内核单元。
优选的方案为安全芯片包括用于生成随机数的随机数生成单元,及用于将随机数加密成第二密文数据的对称硬件算法单元;辅助芯片包括用于对第二密文数据进行解密的对称硬件算法单元。从而可基于随机数进行加密,而提高信息安全。
优选的方案为辅助芯片为通用芯片,辅助芯片与安全芯片电连接。采用通用芯片构建辅助芯片,能有效地降低设备成本,即可利用现有安全芯片产品进行改造构建,有效地降低成本。
为了实现上述主要目的,本实用新型提供基于安全芯片的信息处理装置包括安全芯片及与安全芯片耦合连接的辅助芯片;辅助芯片受控于安全芯片,包括控制单元与用于提供由安全密钥经加密成的第一密文数据的密文供给单元。
将需在安全芯片内进行信息处理所需的安全密钥存储至受控于安全芯片的辅助芯片中,并基于安全芯片与外接设备进行通信、数据交换;在需与上位机等外接设备进行安全身份认证行为等信息处理时时,安全芯片从辅助芯片处通过加密方式获取由安全密钥加密成的密文数据,并解密出安全密钥,从而与存储在安全芯片内的其他数据一起进行安全身份认证,即本信息处理装置基于双芯片设计,即使其中一个芯片被破解,也难以获取全部密钥数据,以提高芯片破解成本,有效地提高了信息安全。
具体的方案为密文供给单元包括辅助芯片上用于存储安全密钥的非易失性存储单元,及用于将安全密钥加密成密文数据的硬件算法单元。
优选的方案为安全芯片包括用于对所述密文数据进行解密的硬件算法单元。
优选的方案为硬件算法单元为对称硬件算法单元;控制单元为MCU内核单元。
优选的方案为辅助芯片与所述安全芯片电连接。
优选的方案为辅助芯片为通用芯片。采用通用芯片构建辅助芯片,能有效地降低设备成本,即可利用现有安全芯片产品进行改造构建,有效地降低成本。
优选的方案为安全芯片包括用于生成随机数的随机数生成单元,及用于将随机数加密成第二密文数据的对称硬件算法单元;辅助芯片包括用于对第二密文数据进行解密的对称硬件算法单元。
附图说明
图1为本实用新型实施例中安全认证系统的电路原理结构框图;
图2为本实用新型实施例中安全芯片的电路原理结构框图;
图3为本实用新型实施例中辅助芯片的电路原理结构框图;
图4为本实用新型实施例1中安全芯片在安全认证过程中的工作流程图;
图5为本实用新型实施例1中辅助芯片在安全认证过程中的工作流程图。
具体实施方式
以下结合实施例及其附图对本实用新型作进一步说明。
实施例1
参见图1,本实用新型安全认证系统1包括上位机10及与上位机10耦合连接的安全认证装置11;安全认证装置11包括与上位机10耦合连接的安全芯片2及与安全芯片2耦合连接的辅助芯片3。
参见图2,安全芯片2包括MCU内核单元20、易失性存储单元21、非易失性存储单元22、I/O接口24及高速硬件算法单元;其中,高速硬件算法单元包括高速硬件算法单元231、高速硬件算法单元232、高速硬件算法单元233等多个高速硬件算法单元。MCU内核单元20主要用于芯片内部控制和运算,通常为MSP430、CORTEX-M0等通用的MCU内核;易失性存储单元21主要用于存储临时性的数据,例如硬件算法模块的输入数据或芯片程序运行中产生的数据,具体选用SRAM;非易失性存储单元22包含ROM和FLASH,其中,ROM用于存储BOOT程序,FLASH用于存储芯片内部软件数据;高速硬件算法单元用于复杂安全认证算法的硬件实现,例如AEA,AES,DES等加解密模块;I/O接口24用于安全芯片2与上位机10间的通讯连接及与辅助芯片3间的通讯连接。
参见图3,附件芯片3包括MCU内核单元30、易失性存储单元31、非易失性存储单元32、I/O接口34及一个以上的硬件算法单元331。MCU内核单元30主要用于芯片内部控制和运算,通常为MSP430、CORTEX-M0等通用的MCU内核;易失性存储单元31主要用于存储临时性的数据,例如硬件算法模块的输入数据或芯片程序运行中产生的数据,具体选用SRAM;非易失性存储单元32包含ROM和FLASH,其中,ROM用于存储BOOT程序,FLASH用于存储芯片内部软件数据;硬件算法单元331用于安全认证算法的硬件实现,例如AEA,AES,DES等加解密模块;I/O接口34用于辅助芯片3与安全芯片2间的通讯连接。辅助芯片3可采用加密芯片或者通用芯片进行构建,在本实施例中,具体采用通用芯片进行构建,以降低成本。
在本实施例中,安全芯片2与辅助芯片3中的硬件算法单元均包括对称硬件算法单元。
在工作过程中,辅助芯片3的非易失性存储单元32至少用于存储安全密钥,而安全芯片用于存储软件数据与码表数据,并在安全芯片2与上位机10之间构建出用于通信的通信链路12,以利用I/O接口进行通讯,及在安全芯片2与辅助芯片3之间构建用于通信的通信链路13,以利用I/O接口进行通讯;即在本实施例中,附件芯片3只与安全芯片2耦合连接而进行通讯,且辅助芯片3的工作状态受控于安全芯片2,即在二者间形成主从工作关系,从而构成双芯片工作模式。
在下述描述中,以进行安全身份认证过程这种信息处理过程为例,对本实用新型安全认证系统的工作过程进行说明。
如图4所示为安全芯片2在安全身份认证过程的工作流程图,即安全芯片2的信息处理方法的工作流程图,具体包括第一接收步骤S11、请求步骤S12、第二接收步骤S13及处理步骤S14,具体如下:
第一接收步骤S11,通过I/O接口24接收上位机10所发送的安全身份认证请求。
安全芯片2在上电后,对各单元模块进行初始化,而进入正常工作工作状态,并通过I/O接口24与上位机10进行通讯。同时,也对辅助芯片3进行上电,以对其各单元进行初始化,且辅助芯片3在完成上电后将进入休眠模式,而处于待机状态,直至安全芯片对其发送唤醒指令。即在正常状态下,安全芯片2处于工作状态,并能独立地与上位机10进行通信,而辅助芯片3处于休眠模式的待机状态以节省功耗。
在需进行安全身份认证时,上位机10将通过I/O接口24向安全芯片2发送安全身份认证请求,具体以指令的形式发送。
请求步骤S12,安全芯片2基于接收到由上位机10所发送的安全认证请求,向辅助芯片3发送密钥获取请求。
安全芯片2在接收到上位机10所发送的安全身份认证请求时,首先需唤醒处于休眠状态的辅助芯片3,并向辅助芯片3发起会话请求,并在两者间构建出加密的通信模式,以通过加密的通信方式从辅助芯片3处获取安全身份认证所需的密钥数据中的安全密钥。
具体为向辅助芯片3发送唤醒指令,该唤醒指令用于唤醒处于休眠状态的辅助芯片,辅助芯片3在收到唤醒指令并完成初始化后,将从休眠状态进入工作状态,并向安全芯片2发送“就绪”信号,并正式开始加密通讯,具体为利用事先存储在两个芯片的非易失性存储单元内的对称密钥在两者之间构建出用于传输加密数据的加密通道。
当安全芯片2在接收辅助芯片3所发送针对唤醒指令所发出的响应信息后,在本实施例中为接收到前述的就绪信号后,生成第一随机数,并利用预先存储在安全芯片2内的事先约定好的对称密钥,对该第一随机数进行加密处理,获取第二密文数据,并将该第二密文数据发送给辅助芯片3。
辅助芯片3利用预先存储在其内的事先约定好的对称密钥,对第二密文数据进行解密处理,获取该第一随机数,从而可以利用在两者中所临时存储的第一随机数在两个芯片间构建出以该第一随机数为临时对称密钥的加密通道,即以临时生成的第一随机数为明文进行加密。
在本实施例中,第一随机数为一组随机数,在生成之后,存储在易失性存储单元21内。在本步骤中,对称加密算法选用AES,其密钥为双方事先约定好。
第二接收步骤S13,接收辅助芯片3响应于密钥获取请求所发送的第一密文数据,该第一密文数据为由安全密钥经加密生成。
辅助芯片3利用解密所获取的第一随机数作为对称密钥,将存储在其非易失性存储单元32内的安全密钥加密成第一密文数据,即以安全密钥数据为明文,而解密出的随机数原文作为加密密钥,并将该第一密文数据发送给安全芯片2。即在本实施例中,第一密文数据为由存储在辅助芯片3的非易失性存储单元32内的安全密钥经加密而成。在本实施例中,非易失性存储单元32选用FLASH;在本步骤中,对称加密算法选用AES,其密钥为双方事先约定好。
处理步骤S14,对所接收到的第一密文数据进行解密处理,并基于解密所获取的安全密钥与存储在其内的码表数据,进行安全身份认证。即处理步骤S14包括解密步骤S141与安全身份认证步骤S142。
其中,解密步骤S141包括安全芯片2在接收到辅助芯片3所发送的第一密文数据后,利用事前已产生并存储在其易失性存储单元21内的第一随机数作为对称密钥,进行解密处理,而通过加密方式获取原本存储在辅助芯片3的非易失性存储单元32内的安全密钥数据。在本步骤中,使用对称加密算法AES进行解密,并将解密所获得的安全密钥数据存储在易失性存储单元22内。即在本实施例中,对第一密文数据进行解密处理的步骤包括利用请求步骤所生成的第一随机数对第一密文数据进行解密处理而获得。
安全身份认证步骤S142包括基于解密步骤S141所获取的安全密钥与存储在安全芯片的非易失性存储单元22内的码表数据,进行安全认证处理。具体为安全芯片2使用安全密钥数据与码表数据,并依靠高速硬件算法模块进行计算,在后续步骤中完成和上位机10的身份验证,安全身份认证的具体过程可参照现有技术,其并非本申请的改进点,在此不再赘述。
辅助芯片3在完成对第一密文数据的发送之后,进行休眠状态,以降低功耗。
如图5所示为辅助芯片3在安全身份认证过程中的工作流程图,即辅助芯片3的信息处理方法的工作流程图,即辅助芯片3响应于所接收到由安全芯片2发送的密钥获取请求后,将由安全密钥经加密成的第一密文数据发送给安全芯片。在本实施例中,辅助芯片3在完成第一密文数据的发送后进入休眠模式,而处于待机状态以节省功耗。辅助芯片3的信息处理方法具体包括唤醒步骤S21、加解密处理步骤S22及休眠步骤S23,具体如下:
唤醒步骤S21,在接收到安全芯片2所发出的唤醒指令后,处于待机状态的辅助芯片3进行工作状态,并向安全芯片2发送响应信息。
辅助芯片3在上电后,对其各单元进行初始化,并在完成上电后将进入休眠模式,而处于待机状态,以节省功耗,直至安全芯片对其发送唤醒指令。
其在接收到安全芯片2所发送的唤醒指令后,表征整个安全认证装置将要进行安全身份认证,将从待机状态进入正常工作状态,并向安全芯片发送“就绪”信号。其中,“就绪”信号可以为二者间之间约定高电平或低电平等多种形式信号,或者为一个预先约定的字节数据,例如0XA0,即辅助芯片3响应于所接收到的唤醒指令而向安全芯片2发送一个规定的字节数据“0XA0”表示工作就绪,其构成本实施例中的响应信息。
加解密处理步骤S22,将存储在其内的安全密钥加密成第一密文数据,再将该第一密文数据发送给安全芯片2。
在接收到安全芯片2所发送的第二密文数据后,将利用预先存储的对称密钥对第二密文数据进行解密,而获取安全芯片2在本轮安全身份认证过程中临时生成的第一随机数,并以该第一随机数作为对称密钥,对原本存储在辅助芯片3的非易失性存储单元32内的安全密钥数据进行加密处理,即以安全密钥数据为明文,而解密出的随机数原文作为加密密钥,并将该第一密文数据发送给安全芯片2。在本实施例中,非易失性存储单元32选用FLASH;在本步骤中,对称加密算法选用AES,其对称密钥为临时生成并经过加密通道传输的第一随机数。即在本实施例中,辅助芯片先将存储在其内的安全密钥加密成第一密文数据,再将该第一密文数据发送给安全芯片。
休眠步骤S23,在发送第一密文数据之后,进入休眠模式而处于待机状态。
其中,辅助芯片3进入休眠模式的时机,可以在发送第一密文数据并收到安全芯片2的收到第一密文的响应信息之后,立即且自动地进入休眠状态;或,辅助芯片3在接收到安全芯片2所发送的安全认证完成确认信息或休眠指令后,进入休眠状态。其中,休眠指令可以在接收到第一密文数据至完成安全身份认证这一时间段内的任一时机发送,也可在完成安全身份认证之后的时机发送。
在本实施例中,加解密算法可以选用但不限于AES、DES、3DES、ECC、RSA等。
本实用新型安全芯片实施例的功能单元结构,按其在信息处理过程中的先后步骤顺序,其至少包括请求单元、接收单元与处理单元,它们可以由硬件实现,也可由软件实现。
请求单元用于在接收到由上位机10所发送的信息处理请求后,向辅助芯片3发送密钥获取请求。具体地,请求单元用于向辅助芯片3发送唤醒指令,该唤醒指令用于唤醒处于休眠状态的辅助芯片3;并在接收到辅助芯片针对唤醒指令所发出的响应信息后,生成第一随机数,利用预先存储的对称密钥对该第一随机数进行加密,并发送给辅助芯片3。
接收单元用于接收辅助芯片响应于密钥获取请求所发送的第一密文数据,第一密文数据为由安全密钥经加密生成。该第一密文数据为辅助芯片以第一随机数为对称密钥进行加密所获取的密文数据。
处理单元用于对第一密文数据进行解密处理,并基于解密所获取的安全密钥进行信息处理。在本实施例中,信息处理的具体内容为与上位机10的安全身份认证,具体为利用请求单元所生成的第一随机数作为对称密钥所解密处的安全密钥与原本存储在非易失性存储单元22内的码表数据,利用高速硬件算法单元进行安全身份认证工作。
对于请求单元、接收单元与处理单元的具体信息处理过程可参照上述安全芯片2的信息处理方法的对应步骤,在此不再赘述。
本实用新型安全认证方法实施例的具体过程由上位机10、安全芯片2及辅助芯片3一起所完成,如图4及图5所示的两个芯片的工作流程,具体包括以下步骤:
步骤S31,安全芯片2响应于上位机10所发送的安全认证请求,向辅助芯片3发送密钥获取请求。
向辅助芯片3发送密钥获取请求的步骤具体包括:
(1)安全芯片2向辅助芯片3发送唤醒请求,用于唤醒处于休眠状态的辅助芯片3;而辅助芯片响应于该唤醒请求,并向安全芯片发送响应信息;在本实施例中,“响应信息”具体为“就绪”信号。
(2)安全芯片2在接收到辅助芯片3所发送的响应信息后,生成第一随机数,利用预先存储的对称密钥将该第一随机数加密成第二密文数据,并发送给辅助芯片3。从而在二者间构建出以该第一随机数作为临时对称密钥的加密通道。
步骤S32,辅助芯片3响应于所接收到的密钥获取请求,将由安全密钥经加密成的第一密文数据发送给安全芯片2。
在本实施例中,辅助芯片3先将存储在其非易失性存储单元32内的安全密钥加密成第一密文数据,再将该第一密文数据发送给安全芯片2。具体地包括以下步骤:
(1)辅助芯片3利用预先存储的对称密钥对所接收到的第二密文数据进行解密而获取第一随机数,再利用该第一随机数作为对称密钥而将安全密钥加密成第一密文数据。
(2)将加密生成的第一密文数据发送给安全芯片2。
步骤S33,安全芯片2对所接收到的第一密文数据进行解密而获取安全密钥,并结合存储在其上的码表数据,与上位机10进行安全认证。
本实用新型安全认证方法实施例中的安全芯片2与辅助芯片3对信息处理方法的具体过程在上述对二者信息处理过程中进行了详细描述,在此不再赘述。
从上述的细节描述过程中,可以看出本实用新型中安全认证装置11中的安全芯片2与辅助芯片3构成辅助芯片3受控于安全芯片2的主从工作关系。
为了提高信息安全,本实施例将安全认证所需的密钥数据中安全密钥与码表数据分开存储;其中,码表数据存储在安全芯片2的非易失性存储单元22中,而安全密钥存储在辅助芯片3的非易失性存储单元32中,并在和上位机10发生安全身份认证行为时,安全芯片2从辅助芯片3通过加密方式获取安全密钥信息,计算会话密钥,完成身份认证。
即在本实施例中,辅助芯片3包括MCU内核单元30及用于提供由安全密钥经加密成的第一密文数据的密文供给单元;其中,密文供给单元包括用于存储安全密钥的非易失性存储单元32,与用于将安全密钥加密成第一密文数据的硬件算法单元。
而安全芯片2包括MCU内核单元20,用于存储码表数据的非易失性存储单元22,用于对辅助芯片3所发送的第一密文数据进行解密的硬件算法单元,及用于临时存储解密所获取的安全密钥的易失性存储单元21。具体地,安全芯片2还包括用于生成第一随机数的随机数生成单元,以利用其所生成的第一随机数在两个芯片之间构建出用于对称加密的临时加密通道。
实施例2
在本实施例的描述中,仅对两芯片的信息处理过程的不同之处进行示例性描述,即仅对与上述实施例1的区别之处进行说明,各单元的标号延用实施例1中的标号。
在辅助芯片3的非易失性存储单元32中存储原本就已进行加密处理的安全密钥信息,即存储有实施例1中的第一密文数据,用于解密该第一密文数据的第一解密密钥预先存储在安全芯片2的非易失性存储单元22中。即非易失性存储单元32构成本实施例中的密文供给单元。
即在本实施例中,该第一密文数据由安全认证所需的安全密钥数据经加密生成,其解密所需密钥为前述第一解密密钥,而无需安全芯片2生成第一随机数并进行对称加解密计算。对于第一密文数据的加解密,既可以采用对称加密算法进行加解密,也可采用非对称加解密算法进行加解密。
此外,为了进一步减少通信步骤,可直接将预先存储的第一密文数据作为针对唤醒指令的响应信息发送给安全芯片2。
实施例3
在本实施例的描述中,仅对两芯片的信息处理过程的不同之处进行示例性描述,即仅对与上述实施例1的区别之处进行说明,各单元的标号延用实施例1中的标号。
在辅助芯片3收到唤醒指令后,其基于非对称加解密算法生成一对公钥与私钥,私钥存储在易失性存储单元31中,并将公钥发送给安全芯片2,具体地,可利用该公钥作为针对唤醒指令的响应信息,安全芯片2利用该公钥对第一随机数使用非对称加解密算法进行加密,以获取第二密文数据并发送给辅助芯片3,辅助芯片利用存储在易失性存储单元31中的私钥进行解密,再利用解密所获取的第一随机数作为对称密钥对安全密钥进行加密处理,而获取第一密文数据。
实施例4
在本实施例的描述中,仅对两芯片的信息处理过程的不同之处进行示例性描述,即仅对与上述实施例1的区别之处进行说明,各单元的标号延用实施例1中的标号。
安全芯片2在收到辅助芯片3针对唤醒指令所的响应信息后,直接生成一对公钥与私钥,并将公钥发送给辅助芯片3对安全密钥进行加密处理,生成第一密文数据,即无需生成第二密文数据的过程。
在本实用新型中,可在现有安全芯片的基础上,通过增设一块通常由通用芯片所构建的辅助芯片,且该辅助芯片受控于安全芯片而与安全芯片构成主从工作关系,将身份认证的安全密钥和码表数据分开存储,安全密钥存储于辅助芯片中,而码表数据存储于安全芯片中。安全芯片可以单独完成和上位机的常规通信,以进行数据交换;当和上位机发生安全身份认证行为时,安全芯片从辅助芯片通过加密方式获取安全密钥信息,计算会话密钥,完成身份认证。这种双芯片设计,即使安全芯片或者辅助芯片被单独破解,攻击者都无法得到全部的密钥数据。使芯片破解难度加大,破解成本增加。
此外,该主从工作关系的双芯片保护结构的使用并不局限于上述实施例中的安全认证过程,具体地还可以用于安全认证之外的其他信息处理过程,即可将安全密钥存储在辅助芯片内,而将与该安全密钥配合的其他认证信息或者由该安全密钥所加解密的信息存储在安全芯片内,从而使芯片破解者难以通过破解其中一个芯片而获取信息处理所需的所有数据,有效地提高了信息安全。
Claims (10)
1.一种基于安全芯片的安全认证系统,其特征在于,所述安全认证系统包括上位机、与所述上位机通信连接的安全芯片及与所述安全芯片通信连接的辅助芯片;
所述辅助芯片受控于所述安全芯片,包括控制单元、易失性存储单元、用于存储安全密钥的非易失性存储单元及用于将所述安全密钥加密成第一密文数据的硬件算法单元。
2.根据权利要求1所述的安全认证系统,其特征在于:
所述安全芯片包括用于对所述第一密文数据进行解密的硬件算法单元。
3.根据权利要求1或2所述的安全认证系统,其特征在于:
硬件算法单元为对称硬件算法单元;
控制单元为MCU内核单元。
4.根据权利要求1或2所述的安全认证系统,其特征在于:
所述安全芯片包括用于生成随机数的随机数生成单元,及用于将所述随机数加密成第二密文数据的对称硬件算法单元;
所述辅助芯片包括用于对所述第二密文数据进行解密的对称硬件算法单元。
5.根据权利要求1或2所述的安全认证系统,其特征在于:
所述辅助芯片为通用芯片;
所述辅助芯片与所述安全芯片电连接。
6.一种基于安全芯片的信息处理装置,其特征在于,所述信息处理装置包括安全芯片及与所述安全芯片通信连接的辅助芯片;
所述辅助芯片受控于所述安全芯片,用于通过加密方式向所述安全芯片输出信息处理所需的安全密钥,包括控制单元与用于提供由所述安全密钥经加密成的第一密文数据的密文供给单元。
7.根据权利要求6所述的信息处理装置,其特征在于:
所述密文供给单元包括所述辅助芯片上用于存储所述安全密钥的非易失性存储单元,及用于将所述安全密钥加密成所述密文数据的硬件算法单元。
8.根据权利要求6或7所述的信息处理装置,其特征在于:
所述安全芯片包括用于对所述密文数据进行解密的硬件算法单元;
硬件算法单元为对称硬件算法单元;
控制单元为MCU内核单元;
所述辅助芯片与所述安全芯片电连接。
9.根据权利要求6或7所述的信息处理装置,其特征在于:
所述辅助芯片为通用芯片。
10.根据权利要求6或7所述的信息处理装置,其特征在于:
所述安全芯片包括用于生成随机数的随机数生成单元,及用于将所述随机数加密成第二密文数据的对称硬件算法单元;
所述辅助芯片包括用于对所述第二密文数据进行解密的对称硬件算法单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201921877211.8U CN210515295U (zh) | 2019-11-01 | 2019-11-01 | 一种基于安全芯片的安全认证系统与信息处理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201921877211.8U CN210515295U (zh) | 2019-11-01 | 2019-11-01 | 一种基于安全芯片的安全认证系统与信息处理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN210515295U true CN210515295U (zh) | 2020-05-12 |
Family
ID=70574149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201921877211.8U Active CN210515295U (zh) | 2019-11-01 | 2019-11-01 | 一种基于安全芯片的安全认证系统与信息处理装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN210515295U (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021083349A1 (zh) * | 2019-11-01 | 2021-05-06 | 浙江地芯引力科技有限公司 | 一种基于安全芯片的安全认证方法与系统、安全芯片及可读存储介质 |
| CN116707772A (zh) * | 2023-08-04 | 2023-09-05 | 山东天河科技股份有限公司 | 一种控制器芯片的身份信息管理方法 |
-
2019
- 2019-11-01 CN CN201921877211.8U patent/CN210515295U/zh active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021083349A1 (zh) * | 2019-11-01 | 2021-05-06 | 浙江地芯引力科技有限公司 | 一种基于安全芯片的安全认证方法与系统、安全芯片及可读存储介质 |
| CN116707772A (zh) * | 2023-08-04 | 2023-09-05 | 山东天河科技股份有限公司 | 一种控制器芯片的身份信息管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110909338B (zh) | 一种基于安全芯片的安全认证方法与系统及安全芯片 | |
| US10482291B2 (en) | Secure field-programmable gate array (FPGA) architecture | |
| CN110889123B (zh) | 一种认证方法及密钥对的处理方法、装置与可读存储介质 | |
| CN110995642B (zh) | 使用预共享密钥提供安全连接 | |
| WO2018120883A1 (zh) | 低功耗蓝牙设备通讯加密方法及系统 | |
| CN104902138B (zh) | 加密/解密系统及其控制方法 | |
| EP2684332A1 (en) | Improving security for remote access vpn | |
| CN104253694A (zh) | 一种用于网络数据传输的保密方法 | |
| CN210515295U (zh) | 一种基于安全芯片的安全认证系统与信息处理装置 | |
| CN104270242A (zh) | 一种用于网络数据加密传输的加解密装置 | |
| JPH11289324A (ja) | 送受信装置および送受信方法 | |
| CN204180095U (zh) | 一种用于网络数据加密传输的加解密装置 | |
| CN111884814B (zh) | 一种用于智能终端防伪造的方法和系统 | |
| CN105117658A (zh) | 一种基于指纹认证的密码安全管理方法与设备 | |
| CN107155184B (zh) | 一种带有安全加密芯片的wifi模块及其通信方法 | |
| WO2020030132A1 (zh) | 智能门锁的控制方法、设备及存储介质 | |
| CN110191136A (zh) | 一种便捷的文件安全传输方法及设备 | |
| CN105825135A (zh) | 一种加密芯片、加密系统、加密方法及解密方法 | |
| WO2021083349A1 (zh) | 一种基于安全芯片的安全认证方法与系统、安全芯片及可读存储介质 | |
| CN112425116A (zh) | 一种智能门锁无线通信方法、智能门锁、网关及通信设备 | |
| CN100464337C (zh) | 一种usb设备与主机进行安全通信的方法及装置 | |
| CA2539658C (en) | Securing a link between devices | |
| CN109413644B (zh) | LoRa加密认证通信方法、存储介质及电子终端 | |
| WO2018076299A1 (zh) | 数据传输方法及装置 | |
| JP2001111539A (ja) | 暗号鍵生成装置および暗号鍵伝送方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |