WO2018090932A1

WO2018090932A1 - 一种集成有安全组件的终端芯片

Info

Publication number: WO2018090932A1
Application number: PCT/CN2017/111140
Authority: WO
Inventors: 尹飞飞; 刘宇; 鹿甲寅
Original assignee: 华为技术有限公司
Priority date: 2016-11-15
Filing date: 2017-11-15
Publication date: 2018-05-24
Also published as: US11436376B2; CN108073830B; EP3534289B1; JP6814305B2; EP3534289A4; JP2019534528A; EP3534289A1; KR20190077089A; CN108073830A; US20190266360A1; KR102225283B1

Abstract

本发明提供一种终端芯片。所述终端芯片包括安全组件，应用处理器，以及用于在所述应用处理器和所述安全组件之间传递信息的接口模块，所述终端芯片上设有第一电源接口，用于从所述终端芯片外部接收电力，所述安全组件的第一供电端口被连接到所述第一电源接口，所述应用处理器和所述接口模块中的至少一个被连接到所述第一电源接口。在本发明的终端芯片中，所述安全组件的电源端口与终端芯片的应用处理器或接口模块的电源端口连接到一起。因此，当发生电源攻击时，电源攻击会使得应用处理器或者接口模块发生异常，从而导致所述安全组件内的信息无法被外部正确获取。

Description

一种集成有安全组件的终端芯片

技术领域

本发明涉及芯片领域，尤其涉及一种集成有安全组件的终端芯片。

背景技术

随着智能终端的性能的提升，以及互联网应用的普及，通过智能终端的无线网络进行在线支付等金融活动已经成了人们日常生活的一部分。为了降低随之而来的金融安全风险，智能终端一般都要搭配安全组件。所述安全组件往往内置协处理器、用于加解密和验证的安全应用以及对应协议平台。所述安全组件在金融交易过程中，为智能终端的用户提供身份验证和信息加密的服务。

SIM卡是一种比较常见的安全组件，其由运营商分发，可以用于身份验证。甚至，可以在SIM卡中保存U盾管理客户端，用来满足各大银行的网络银行的功能需要。SIM卡一般都是通过智能终端上的专用插槽，来与智能终端中的系统连接。

随着生产工艺的进步，近来又出现了将安全组件以独立芯片的形式与智能终端的处理器芯片等其他组件一起固定在智能终端内的背板上，业界将其称为内嵌式安全组件(Embedded Security Element，简称eSE)芯片。内嵌式安全组件芯片的功能与SIM卡基本一致。不过，由于内嵌式安全组件芯片是由终端设备制造商订制，因此其接口和通信模块可以更灵活的设置，以便与智能终端内的其他芯片和组件互通和共享。

内嵌式安全组件芯片和处理器芯片都通过智能终端内的电源管理芯片供电。现在存在一种攻击方式，名叫电源管脚毛刺注入。攻击者通过在内嵌式安全组件芯片的电源管脚做电压毛刺注入。电压毛刺注入使得电源管脚上的电压信号产生短暂波动，这种短暂波动会造成芯片内晶体管的阈值电压发生漂移，使得一些触发器的采样输入时间异常，最终导致触发器进入错误的状态，产生误操作。攻击者可以利用产生的误操作进行建模分析，进而可能会发现隐藏在内嵌式安全组件芯片中的重要安全信息，损害用户利益。

因此，有必要提供一种解决方案，避免安全组件在受到电源攻击时泄露安全信息。

发明内容

本发明实施例提供了一种终端芯片。所述终端芯片包括安全组件、应用处理器，以及用于在所述应用处理器和所述安全组件之间传递信息的接口模块。所述终端芯片上设有第一电源接口，用于从所述终端芯片外部接收电力。所述安全组件的第一供电端口被连接到所述第一电源接口，所述应用处理器和所述接口模块中的至少一个的电源端口被连接到所述第一电源接口。

在本发明实施例的终端芯片中，所述安全组件的电源端口与终端芯片的应用处理器或接口模块的电源端口连接到一起。因此，当发生电源攻击时，电源同时会使得终端芯片的应用处理器或者接口模块发生异常。所述应用处理器和所述接口模块的异常会导致所述安全组件内的信息无法被外部正确获取，使得攻击者无法通过电源攻击获取安全组件内的敏感信息。

所述终端芯片包括多个接口模块，比如总线和内存控制器，所述应用处理器、所述内存和所述内存控制器中的至少一个被连接到所述第一电源接口。

所述第一电源接口为数字电源接口。

所述终端芯片还设有第二电源接口，所述第二电源接口为模拟电源。所述安全组件还包括模拟电源端口，所述模拟电源端口被连接至所述模拟电源接口。

所述终端芯片还包括高速接口物理层电路、锁相环电路以及电编程熔丝电路，所述高速接口物理层电路、锁相环电路以及电编程熔丝电路中的至少一个被连接至所述模拟电源接口，所述模拟电源端口被连接至所述模拟电源接口。从而当所述电源攻击从所述模拟电源接口发起时，所述高速接口物理层电路、锁相环电路或电编程熔丝电路的损坏，也能够影响应用处理器的正常工作，从而提高攻击者从安全组件中获取敏感信息的难度。

为了进一步提高安全性，所述安全组件中的最低时序余量大于被连接到所述第一电源接口上的应用处理器或接口模块的最低时序余量，从而保证应用处理器或者接口模块在电源攻击下会先发生异常。

所述安全组件中设有用于安全验证的系统。

所述安全组件中包括协处理器，安全总线，以及用于加解密、身份验证的模块。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例的终端设备的示意图；

图2是有关集成电路中的“时序余量”的指示图。

具体实施方式

图1是本发明实施例的终端设备的架构示意图。如图所示，所述终端设备包括终端芯片10，片外内存20以及电源管理单元30(Power Management Unit，简称PMU)。所述终端芯片10内设有应用处理器12，总线14(Bus),内存控制器16，以及安全组件18。

所述应用处理器12，一般即为所谓的中央处理器(Central Process ing Unit，简称CPU)，用于按照各种应用程序的指示执行任务。所述应用处理器12通过总线14与所述主芯片10内的其他模块进行交互。在可选择实施例中，当具有安全需求的应用程序要访问所述安全组件时，所述应用处理器12将所述访问请求通过所述内存控制器16写入所述片外内存20，并通知所述安全组件18通过所述内存控制器16从所述片外内存20中提取所述访问请求。当所述安全组件18有数据要回传给所述应用处理器12时，所述安全组件18也通过所述内存控制器16将回传数据写入所述片外内存20，并通知所述应用处理器12从所述片外内存20中提取所述回传数据。

所述安全组件18在功能上与背景技术部分记述的安全组件相似，用于在安全系统下针对有安全需求的任务提供认证、加解密等安全服务。在本发明实施例中，所述安全组件 18的各个模块被集成于所述终端芯片内部，并通过唯一的接口与所述应用处理器12和片外内存20进行数据交互。如图1所示，本发明实施例的安全组件18包括协处理器182，交互接口183，安全内存184，存储加解扰模块185，安全总线186，以及感应器模块187。

所述协处理器182，用于在安全系统下协调和调度各种任务。

所述交互接口183中设有IPC(Inter-Process Communication，进程间通信)模块1832，以及共享缓存1834。IPC模块用于向所述应用处理器12或者所述协处理器182发送中断请求，所述共享缓存1834则用于同时为所述应用处理器12或者所述协处理器182缓存待执行的请求数据。所述共享缓存1834是所有安全组件18与外界唯一的数据接口。当所述中断芯片10有请求数据需要所述安全组件18处理时，所述请求数据一般都会首先被保存在所述片外内存20中，然后由所述应用处理器12通过总线将所述请求数据写入到所述共享缓存1834中，并通过所述总线13和所述IPC模块1832向所述协处理器182发送中断请求。所述协处理器182接收到所述中断请求后，就从所述共享缓存中提取所述请求数据，并执行对应的任务。当所述协处理器182执行完成所述请求数据后，可以将处理结果写入所述共享缓存1834中，然后命令IPC模块，通过总线14发送中断请求，来通知所述应用处理器12提取所述处理结果。

中断请求，顾名思义，会使得接收方中断当前正在进行的操作或者应用。与安全相关的应用，比如在线支付、金融交易等，往往具有高优先级的需求。因此，通过中断请求的方式能保证所述安全组件18中的协处理器可以用高优先级地方式提取所述缓存1834中的请求数据并执行。

所述安全内存184，作为所述协处理器182的专用内存，用于系统或平台代码。所述安全内存184中一般设有ROM(Read-Only Memory，只读存储器)和RAM(Ramdom Access Memory，随即接入存储器)两种存储器。其中，ROM用来保存安全系统启动、自检及初始化的代码；RAM则用来存储安全相关的操作系统软件等安全应用代码和数据。

所述验证模块185，用于根据接收自所述共享缓存1834的请求数据，执行身份验证相关的工作，比如生成随机数、密钥管理、加解密等。

所述安全总线186，用于为所述安全组件18内的模块提供总线服务。

所述感应器模块187包括数字感应器和模拟感应器，用于检测所述安全组件18受到非法物理入侵，并发出告警给所述协处理器182。所述协处理器182会采用复位或者清除寄存器等方式保护安全组件中的敏感信息。

当然，除上述模块之外，终端芯片和所述安全组件内还有很多其他功能模块，在这里不一一进行介绍。

在本发明实施例中，所述终端芯片10上还设有电源接口17。在可选择的实施方式中，所述电源接口17可以为所述终端芯片10的一支管脚。所述电源接口17与所述电源管理单元30连接，用于自所述电源管理单元30处接收电力，并将电力供应给所述终端芯片10中的多个模块。

所述安全组件18的电源端口与所述电源接口17相连，用于通过所述电源接口17接收电力，以满足所述安全组件18内部的各个模块的电力需要。同时，所述应用处理器12、总线14以及内存控制器16中的至少一个的电压输入端与所述电源接口17相连，用于通过所述电源接口17接收电力用于满足各自的电力需要。从而当有攻击者通过电源接口17发动电源攻击时，应用处理器12、总线14或内存控制器16就会先发生异常，导致攻击者无法获得安全组件18的准确反馈信息，避免了信息泄露。

为了更好地避免安全组件17在电源攻击下信息泄露的问题，在本发明实施例中，使得所述安全组件18内部各个寄存器阵列中的最小时序余量大于与所述电源接口17相连的应用处理器12、总线14或者内存控制器16的最小时序余量。通过这种方法，使得当有电源攻击时，所述应用处理器12、总线14或者内存控制器16中会有寄存器阵列先出现异常。

为了便于理解本发明实施例的技术内容，这里介绍一下时序余量的概念。

现场可编程逻辑门阵列(Field-Programmable Gate Array，简称FPGA)等集成电路是当前集成电路中非常常用的组合方式，可以用于传递指令和数据。FPGA在终端芯片内更是被广泛应用于包括处理器、总线和内存控制器在内的功能模块中。本发明实施例中的安全组件中也包括协处理器、安全总线和存储控制的相应集成电路，自然也包括了各种FPGA。

寄存器是FPGA中的基本单元，在FPGA运作的过程中，数字信号在一个个寄存器间传递。如图2所示，寄存器D1向寄存器D2传递信号0或者1。寄存器D1和D2均在统一的时钟信号的控制下工作。在图2中所示的时钟信号有三个上升沿，分别是Edge0、Edge1和Edge2。寄存器D1在上升沿Edge0开始发送所述信号。由于寄存器在锁存所述数据的过程中会存在延时，为了保证寄存器D2能正确地锁存所述信号，所述信号需要在上升沿Edge1到来之前再提前一段时间到达寄存器D2。所述的“提前一段时间”即可以被视作“时序余量”。如果时序余量的大小能满足寄存器D2在上升沿Edge1到来前锁存所述信号，则所述由寄存器D2就能正确的锁存寄存器D1发出的信号。如果时序余量的大小没有满足寄存器D2锁存所述信号的时间，即上升沿Edge1到来时寄存器D2没有成功锁存寄存器D1发出的信号，则寄存器D2最终锁存的信号可能会发生错误。

从上述描述中不难看出，对于设定好的两个相邻的寄存器及其之间的组合逻辑来说，能满足正常工作的时序余量是存在最小值的，即在正常工作下，只要满足最小时序余量，那么两个相邻的寄存器就可以彼此正确的传递信号。在正常的情况下，设计集成电路都会保证时序余量能够满足要求。但是，在受到电源攻击的情况下，两个相邻寄存器间的信号传递就会产生额外的延时，从而导致时序余量不足。因此，时序余量越大，寄存器阵列承受电源攻击的能力就越强。

在本发明实施例中，在满足正常工作的最低时序余量的前提下，在设计阶段就对安全组件18内的各个寄存器阵列的时序余量采用更严格的标准，保证安全组件18中的最低时序余量大于同样被连接到电源接口17的总线、内存控制器或应用处理器的最低时序余量。通过这样的方式，当发生电源攻击时，总线、内存控制器或应用处理器会有寄存器阵列先发生异常，结果就是在电源攻击下所述安全组件18的对外信息路径会发生混乱，攻击者没有办法通过电源攻击的异常反馈获得所述安全组件18中的敏感信息。

当然，在可选择的实施例中，如果除所述应用处理器12、总线14和所述内存控制器 16之外，终端芯片中还有其他接口模块的工作状态能直接影响数据进出所述安全组件18，将所述接口模块和所述安全组件的供电端口连接至同一个电源管脚上，一样能实现本发明的技术效果。

在应用处理器、总线、内存控制器以及安全组件18这样的功能模块中，往往会有多个寄存器阵列。

在图2中，所述寄存器D1向所述寄存器D2发送的数据在到达寄存器D2之前要经过两段延时。寄存器D1在Edge0的时刻开始触发所述数据的发送，在经过某个很小的时间t1之后才会使得所述数据从寄存器D1正式离开，这里的时间t1是由寄存器D1本身带来的传播时延，在本发明实施例中，时间t1被命名为发送时延。信号在寄存器D1和到达所述寄存器D2之间的路径上的路径会消耗时间，所述寄存器D1和所述寄存器D2之间还会设有各种逻辑器件，信号通过这些逻辑器件也会消耗时间。在本发明实施例中，把所述信号在所述寄存器D1和D2间的路径上消耗的时间，与通过所述寄存器D1和D2间的逻辑器件所消耗的时间相加得到时间t2，作为路径时延。由此，所述信号Edge0被寄存器D1发送，要经过时间t1+t2才能达到所述寄存器D2。由于Edge0和Edge1之间的时间间隔是固定的，因此，要增大时序余量可以通过缩短所述时间t1+t2来实现。要缩短所述时间t1+t2，可以选用更敏感的寄存器，来缩短发送时延t1，或者，简化寄存器之间的逻辑器件，来缩短路径时延t2。

在实际产品中，终端芯片会有两种电源接口，分别是数字电源接口和模拟电源接口。数字电源接口在一般接0.8v的数字电压(16nm，28nm新工艺下是0.8v，其他老工艺数据电源电压可能会大于0.8v)，用于为终端芯片中的应用处理器、总线和存储控制器等数字功能器件提供电力。所以上文所述的电源接口其实就是一个数字电源接口。对于所述安全组件来说，安全组件内部的协处理器、验证模块和安全总线等重要器件都是需要数字电源的输入。因此，防止从数字电源侧发起的电源攻击有非常重要的意义。

模拟电源接口一般接1.8v的模拟电压(16nm、28nm新工艺下是1.8v，其它老工艺数据电源电压可能会比1.8v高)，一般用于为终端芯片内的芯片存储器的高速接口物理层电路(DDR-phy)、锁相环电路(Phase Locked Loop，简称PLL)以及efuse电路(电编程熔丝)等模拟器件提供电力。而安全组件18中则往往是监控和感应电路等需要模拟电源输入，这些电路不涉及敏感信息的处理和存放。因此，攻击者从模拟电源发起的电源攻击并不会造成很大的泄密风险。

安全组件作为终端芯片内置的集成模块，其本身面积在终端芯片中的占比很小。因此，安全组件作为一个整体一般来说仅拥有两个电源输入端口，分别为模拟电源输入和数字电源输入。所述数字电源输入和所述模拟电源输入被分别连接所述终端芯片的数字电源接口和模拟电源接口。终端芯片要考虑布线需要，有可能有多个数字电源输入端，或者多个模拟电源端。无论如何，按照上文实施例中所述，将终端芯片的总线、存储控制器或应用处理器与所述安全组件的数字电源输入连接至同一个数字电源接口上，能防止安全组件中的信息泄露。并且，使得所述安全组件内的接在所述数字电源接口上的模块的最低时序余量大于所述终端芯片的总线、存储控制器或应用处理器的最低时序余量，能起到更好的安全效果。

不过，终端芯片中的接收模拟电源输入的功能模块，比如芯片存储器的高速接口物理层电路、锁相环电路或eFuse电路，如果在电源攻击下发生异常，也会干扰攻击者通过终端芯片的功能模块窃取安全组件内的敏感信息。因此，在特殊场景下，也可以选择将终端芯片的某些接收模拟电源输入的功能模块与所述安全组件接在同一个模拟电源接口上，并使得所述安全组件的对应模块的最低时序余量大于接在所述模拟电源接口上的其他模块的最低时序余量。

在本申请所提供的实施例中，应该理解到，所揭露的系统可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络节点上。可以根据实际的需要选择其中的部分或者全部节点来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

一种终端芯片，其特征在于，包括安全组件，应用处理器，以及用于在所述应用处理器和所述安全组件之间传递信息的接口模块，所述终端芯片上设有第一电源接口，用于从所述终端芯片外部接收电力，所述安全组件的第一供电端口被连接到所述第一电源接口，所述应用处理器和所述接口模块中的至少一个被连接到所述第一电源接口。
如权利要求1所述的终端芯片，其特征在于，所述终端芯片包括多个所述接口模块，所述多个接口模块中的至少一个被连接到所述第一电源接口。
如权利要求1或2所述的终端芯片，其特征在于，所述接口模块为总线或内存控制器。
如权利要求1-3中任一项所述的终端芯片，其特征在于，所述第一电源接口为数字电源接口。
如权利要求1-4中任一项所述的终端芯片，其特征在于，所述终端芯片还设有第二电源接口，所述第二电源接口为模拟电源。
如权利要求5所述的终端芯片，其特征在于，所述第一供电端口为数字电源端口，所述安全组件还包括模拟电源端口，所述模拟电源端口被连接至所述模拟电源接口。
如权利要求6所述的终端芯片，其特征在于，所述终端芯片还包括高速接口物理层电路、锁相环电路以及电编程熔丝电路，所述高速接口物理层电路、锁相环电路以及电编程熔丝电路中的至少一个被连接至所述模拟电源接口。
如权利要求1-7中任一项所述的终端芯片，其特征在于，所述安全组件中的最低时序余量大于被连接到所述第一电源接口上的应用处理器或接口模块的最低时序余量。
如权利要求1-8中任一项所述的终端芯片，其特征在于，所述安全组件中设有用于安全验证的系统。
如权利要求1-9中任一项所述的终端芯片，其特征在于，所述安全组件中包括协处理器，安全总线，以及用于加解密、身份验证的模块。