WO2019161577A1

WO2019161577A1 - 一种安全芯片

Info

Publication number: WO2019161577A1
Application number: PCT/CN2018/077994
Authority: WO
Inventors: 王良清; 李亚明; 刘华预
Original assignee: 深圳国微技术有限公司
Priority date: 2018-02-23
Filing date: 2018-03-05
Publication date: 2019-08-29
Also published as: CN108280372A

Abstract

本发明公开了一种安全芯片，其包括处理器、可编程电路模块和非易失性存储器，所述可编程电路模块和所述非易失性存储器通过总线与所述处理器相连接，所述可编程电路模块用于根据预设的配置文件来实现所述安全芯片的硬件安全电路，所述非易失性存储器用于存储所述预设的配置文件。本发明的安全芯片安全性高且便于更新客户的私有安全电路。

Description

一种安全芯片

技术领域

本发明涉及芯片领域，尤其涉及一种安全芯片。

背景技术

安全芯片中除了集成标准的通用硬件密码算法电路外，还会根据不同的客户集成各客户所要求的私有的硬件安全电路，比如客户私有的密码算法电路、私有的密钥提取和保护电路、私有的数据加密存储电路、私有的数据下载和管理电路等。而用户的私有密钥等关键数据都会存储在芯片的内置非易失性存储器中，不同客户的用户关键数据往往会以不同的数据格式存储在非易失性存储器的不同区域，外加用户权限管理电路保护各自的数据。其中的各客户所要求的私有的硬件安全电路在芯片设计阶段集成到芯片中，芯片生产出来以后这些电路固定存在于芯片之中不可更改。

如图1所示，现有技术的安全芯片在芯片设计阶段将各目标客户定制化的私有的硬件安全电路集成到芯片中，在芯片设计阶段将各目标客户的用户关键数据在非易失性存储器中的存储区域划分好，再加入各客户存储区域访问的硬件隔离电路，实现安全芯片对多客户的支持。在芯片生产出来以后，根据客户识别号选择该客户定制化的私有硬件安全电路工作，其他客户的私有硬件安全电路不工作。该客户只能访问非易失性存储器中在芯片设计阶段已经分配好的属于自己的存储区域，非易失性存储器中的其它区域不可用。

现有技术的安全芯片为了实现多客户的支持，将各客户的私有硬件安全电路都集成在芯片中，且将非易失性存储器划分为不同客户的区域，导致芯片的面积做得比较大，芯片成本过高，同时芯片的硬件资源浪费率也比较高。由于用户的关键数据存储在非易失性存储器中，导致芯片中用户的关键数据存在被克隆的风险，不利于芯片的安全性。此外由于各客户定制化的私有的硬件安全电路是固化在安全芯片中的，随着信息安全技术的发展，当客户需要更新其私有的硬件安全电路时，就需要重新开发芯片，增加时间和物资成本。而如果通过软件实现客户安全需求的更新，则安全性会降低。

发明内容

本发明的目的是针对上述现有技术存在的缺陷，提供一种安全性高且便于更新客户的私有安全电路的安全芯片。

本发明实施例中，提供了一种安全芯片，其包括处理器、可编程电路模块和非易失性存储器，所述可编程电路模块和所述非易失性存储器通过总线与所述处理器相连接，所述可编程电路模块用于根据预设的配置文件来实现所述安全芯片的硬件安全电路，所述非易失性存储器用于存储所述预设的配置文件。

进一步地，所述可编程电路模块使用eFPGA技术实现。

进一步地，所述安全芯片还包括通过总线与所述处理器相连接的数据接口。

进一步地，所述硬件安全电路包括密码算法电路、密钥提取和保护电路、数据加密存储电路、数据下载和管理电路的一种或多种。

本发明实施例中，还提供了一种安全芯片，其包括可编程电路模块和非易失性存储器，所述可编程电路模块用于根据预设的配置文件来实现所述安全芯片的硬件安全电路，所述非易失性存储器用于存储所述预设的配置文件。

进一步地，所述可编程电路模块使用eFPGA技术实现。

进一步地，可编程电路模块还用于实现处理器、总线和数据接口电路。

与现有技术相比较，本发明的安全芯片采用可编程电路模块代替了传统安全芯片中的硬件安全电路，有效的实现了安全芯片对多客户定制化的私有硬件安全电路的全面支持，同时支持硬件安全电路的更新升级，还把用户的关键数据实现到可编程电路模块中，不仅降低了芯片成本，还提高了芯片的安全性，延长了芯片的产品周期。

附图说明

图1是现有技术的安全芯片的结构示意图。

图2是本发明实施例一的安全芯片的结构示意图。

图3是本发明实施例二的安全芯片的结构示意图。

具体实施方式

以下结合具体实施例对本发明的实现进行详细描述。

实施例一

如图2所示，本发明实施例中，提供了一种安全芯片10，其包括处理器11、可编程电路模块12、非易失性存储器13和数据接口14，所述可编程电路模块12、所述非易失性存储器13和所述数据接口14通过总线与所述处理器11相连接。

所述处理器11，是所述安全芯片10内部总线上的主设备，用于从所述非易失性存储器13中读取指令并执行，通过对芯片中各模块的读写访问以完成芯片的各种功能操作。

所述可编程电路模块12用于根据预设的配置文件来实现所述安全芯片的硬件安全电路。所述可编程电路模块12使用eFPGA(embedded Field Programmable Gate Array，嵌入式现场可编程门陈列)技术实现。所述安全芯片的硬件安全电路可以是密码算法电路、密钥提取和保护电路、数据加密存储电路、数据下载和管理电路的一种或多种。

所述非易失性存储器13用于存储所述可编程电路模块12的配置文件，还存储了特定客户的用户软件程序及私有数据。针对不同的客户，所述非易失性存储器13中的内容和存储格式都不相同，从而保证了客户数据的私密性和安全性。

所述数据接口14用于实现所述安全芯片与外部电路的数据交互。所述可编程电路模块12的配置文件可通过所述数据接口14来下载到所述非易失性存储器13中。

现有技术中，安全芯片的非易失性存储器为不同客户划分了各自的私有区域，各客户的私有区域通过硬件隔离保护电路实现各自独立，存储各自的用户关键数据及软件程序等。与现有技术不同的是，本发明实施例的安全芯片中集成了所述可编程电路模块，在可编程电路模块上实现特定客户的定制化的私有硬件安全电路以及用户的关键数据，每颗芯片中的可编程电路模块的电路因客户的不同而不同，从而保证了客户数据的私密性和安全性。

实施例二

如图3所示，本实施例中，提供了一种安全芯片20，其包括可编程电路模块21和非易失性存储器22，所述可编程电路模块21用于根据预设的配置文件来实现所述安全芯片的硬件安全电路，所述非易失性存储器22用于存储所述预设的配置文件。所述硬件安全电路包括密码算法电路、密钥提取和保护电路、数据加密存储电路、数据下载和管理电路的一种或多种。

所述可编程电路模块21使用eFPGA技术实现。进一步地，所述可编程电路模块21还用于实现处理器、总线和数据接口等电路。

需要说明的是，实施例二与实施例一基于同一发明构思，其采用的技术手段和带来的技术效果与实施例一基本相同，此处不再赘述。

综上所述，本发明的安全芯片采用可编程电路模块代替了传统安全芯片中的硬件安全电路，有效的实现了安全芯片对多客户定制化的私有硬件安全电路的全面支持，同时支持硬件安全电路的更新升级，还把用户的关键数据实现到可编程电路模块中，不仅降低了芯片成本，还提高了芯片的安全性，延长了芯片的产品周期。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

一种安全芯片，其特征在于，包括处理器、可编程电路模块和非易失性存储器，所述可编程电路模块和所述非易失性存储器通过总线与所述处理器相连接，所述可编程电路模块用于根据预设的配置文件来实现所述安全芯片的硬件安全电路，所述非易失性存储器用于存储所述预设的配置文件。
如权利要求1所述的安全芯片，其特征在于，所述可编程电路模块使用eFPGA技术实现。
如权利要求1或2所述的安全芯片，其特征在于，所述安全芯片还包括通过总线与所述处理器相连接的数据接口。
如权利要求1或2所述的安全芯片，其特征在于，所述硬件安全电路包括密码算法电路、密钥提取和保护电路、数据加密存储电路、数据下载和管理电路的一种或多种。
一种安全芯片，其特征在于，包括可编程电路模块和非易失性存储器，所述可编程电路模块用于根据预设的配置文件来实现所述安全芯片的硬件安全电路，所述非易失性存储器用于存储所述预设的配置文件。
如权利要求5所述的安全芯片，其特征在于，所述可编程电路模块使用eFPGA技术实现。
如权利要求5或6所述的安全芯片，其特征在于，所述硬件安全电路包括密码算法电路、密钥提取和保护电路、数据加密存储电路、数据下载和管理电路的一种或多种。
如权利要求5或6所述的安全芯片，其特征在于，所述可编程电路模块还用于实现处理器、总线和数据接口电路。