一種安全芯片的復(fù)位和自毀管理系統(tǒng)的制作方法
【專(zhuān)利摘要】一種安全芯片的復(fù)位和自毀管理系統(tǒng)���,包括一安全芯片,所述安全芯片上封裝有中央處理器����,所述中央處理器上連接有復(fù)位管理單元、自毀管理單元����、電源管理單元�、調(diào)試單元��、加解密單元�、存儲(chǔ)器、總線單元�����,所述復(fù)位管理單元和自毀管理單元均與異常檢測(cè)單元連接����,所述異常檢測(cè)單元包括多個(gè)用于檢測(cè)系統(tǒng)中各單元的異常情況的模擬或數(shù)字的異常檢測(cè)單元,當(dāng)所述異常檢測(cè)單元檢測(cè)到某個(gè)單元異常時(shí)���,則輸出該單元的異常信號(hào)給中央處理器����,中央處理器在接收到異常信號(hào)后發(fā)出相應(yīng)單元的復(fù)位使能信號(hào)或自毀使能信號(hào)給復(fù)位管理單元或自毀管理單元����,所述復(fù)位管理單元或自毀管理單元在接收到相應(yīng)的使能信號(hào)時(shí)對(duì)相應(yīng)的單元進(jìn)行復(fù)位或選擇性自毀。
【專(zhuān)利說(shuō)明】—種安全芯片的復(fù)位和自毀管理系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種安全芯片的復(fù)位和自毀管理系統(tǒng)。
【背景技術(shù)】
[0002]在信息安全應(yīng)用領(lǐng)域�����,基于特定密碼算法的安全芯片能夠?yàn)槊舾行畔⑻峁C(jī)密性與完整性保護(hù)�����。同時(shí)�,安全芯片在信息安全保護(hù)方面的重要作用使其容易遭受各種攻擊,面臨著越來(lái)越嚴(yán)重的安全性挑戰(zhàn)����,已經(jīng)出現(xiàn)了各種不同層次、不同水平的攻擊手段�����。這些攻擊手段概括起來(lái)主要有兩種:非破壞性攻擊和破壞性攻擊�,前者包括竊聽(tīng)攻擊方法(即功耗分析方法)����、軟件攻擊方法和故障攻擊方法(如高低溫、高低壓��、快慢時(shí)鐘、電磁干擾等)�,后者為微區(qū)探測(cè)方法(如FIB或反向分析)。針對(duì)上述非破壞性攻擊方法�,目前性加密算法和電路設(shè)計(jì)層面已經(jīng)發(fā)展處了多種有效的抗攻擊措施,如掩碼技術(shù)���、功耗平衡技術(shù)���、時(shí)鐘擾亂技術(shù)等。除此以外���,針對(duì)軟件攻擊�、故障攻擊以及微區(qū)探測(cè)等���,設(shè)計(jì)了各種檢測(cè)單元����,當(dāng)芯片遭受到對(duì)應(yīng)攻擊時(shí)����,檢測(cè)單元向芯片報(bào)告異常,芯片針對(duì)異常作出響應(yīng)��。復(fù)位作為一種有效便捷的響應(yīng)手段得以廣泛應(yīng)用,更高安全層級(jí)的響應(yīng)手段就是自毀��。于是在芯片內(nèi)部如何管理各種異常復(fù)位����、如何實(shí)現(xiàn)自毀比處理單個(gè)異常更重要,而且該復(fù)位和自毀電路自身的抗攻擊能力也極其重要�����。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種對(duì)芯片的異常進(jìn)行管理����,能夠?qū)崿F(xiàn)異常復(fù)位和自毀的安全芯片的復(fù)位和自毀管理系統(tǒng)。
[0004]本發(fā)明采用的技術(shù)方案是:
一種安全芯片的復(fù)位和自毀管理系統(tǒng)�����,其特征在于:包括一安全芯片�����,所述安全芯片上封裝有中央處理器�,所述中央處理器上連接有復(fù)位管理單元�、自毀管理單元、電源管理單元、調(diào)試單元��、加解密單元��、存儲(chǔ)器�����、總線單元����,所述復(fù)位管理單元和自毀管理單元均與異常檢測(cè)單元連接,所述異常檢測(cè)單元包括多個(gè)用于檢測(cè)系統(tǒng)中各單元的異常情況的模擬或數(shù)字的異常檢測(cè)單元�����,當(dāng)所述異常檢測(cè)單元檢測(cè)到某個(gè)單元異常時(shí)����,則輸出該單元的異常信號(hào)給中央處理器,中央處理器在接收到異常信號(hào)后發(fā)出相應(yīng)單元的復(fù)位使能信號(hào)或自毀使能信號(hào)給復(fù)位管理單元或自毀管理單元��,所述復(fù)位管理單元或自毀管理單元在接收到相應(yīng)的使能信號(hào)時(shí)對(duì)相應(yīng)的單元進(jìn)行復(fù)位或選擇性自毀�。
[0005]進(jìn)一步,所述異常檢測(cè)單元包括對(duì)相應(yīng)單元檢測(cè)的SRAM檢測(cè)單元���、ROM檢測(cè)單元�、有源屏蔽層檢測(cè)單元、下電檢測(cè)單元���、內(nèi)核電壓檢測(cè)單元����、核外電壓檢測(cè)單元���、溫度檢測(cè)單元����、頻率檢測(cè)單元�����、外部自毀輸入檢測(cè)單元����、看門(mén)狗檢測(cè)單元、MPU保護(hù)異常檢測(cè)單元�����、電磁檢測(cè)單元�����、光檢測(cè)單元����。這些檢測(cè)單元對(duì)目前常見(jiàn)的軟件攻擊、故障攻擊和微區(qū)探測(cè)進(jìn)行了覆蓋����,對(duì)芯片易遭受的各種攻擊介質(zhì)進(jìn)行了檢測(cè)保護(hù)。
[0006]進(jìn)一步�����,所述復(fù)位管理單元采用分級(jí)復(fù)位的方法對(duì)各種異常有效源和芯片功能復(fù)位源進(jìn)行管理�����,復(fù)位等級(jí)共三級(jí)�����,第一級(jí)復(fù)位由芯片內(nèi)部上電復(fù)位和外部復(fù)位共同產(chǎn)生��,為正常功能模式下的全局復(fù)位源;第二級(jí)復(fù)位為全局復(fù)位源與各異常復(fù)位共同產(chǎn)生��,為系統(tǒng)復(fù)位信號(hào)�����;第三級(jí)復(fù)位為系統(tǒng)復(fù)位信號(hào)與軟復(fù)位共同產(chǎn)生����,為總線復(fù)位信號(hào);所述總線復(fù)位信號(hào)用于復(fù)位總線單元��、存儲(chǔ)器���、加解密單元以及SRAM����、ROM��、MPU的異常檢測(cè)單元��;系統(tǒng)復(fù)位信號(hào)用于復(fù)位電源管理單元�、調(diào)試單元以及總線復(fù)位信號(hào)復(fù)位到的組件;全局復(fù)位源用于復(fù)位系統(tǒng)復(fù)位信號(hào)復(fù)位到的組件和有源屏蔽層檢測(cè)單元����、下電檢測(cè)單元�����、內(nèi)核電壓檢測(cè)單元、核外電壓檢測(cè)單元��、溫度檢測(cè)單元�、頻率檢測(cè)單元、自毀輸入檢測(cè)���、電磁檢測(cè)單元以及看門(mén)狗檢測(cè)單元�。系統(tǒng)復(fù)位信號(hào)復(fù)位的電源管理單元和調(diào)試單元不受總線復(fù)位影響����,全局復(fù)位源復(fù)位的異常檢測(cè)組件不受系統(tǒng)復(fù)位信號(hào)和總線復(fù)位信號(hào)復(fù)位影響。該分級(jí)復(fù)位的方法為各復(fù)位源設(shè)置了不同的復(fù)位權(quán)限����,在保障芯片安全性的同時(shí)不影響芯片使用額便利性。
[0007]進(jìn)一步����,所述復(fù)位管理單元的分級(jí)復(fù)位中與總線復(fù)位無(wú)關(guān)的異常檢測(cè)單元上電后一直處于工作狀態(tài)����,持續(xù)檢測(cè)異常����,不受芯片內(nèi)各復(fù)位狀態(tài)的影響;與總線復(fù)位相關(guān)的異常檢測(cè)單元當(dāng)總線復(fù)位后上述相關(guān)的異常檢測(cè)單元按新的配置重新啟動(dòng)檢測(cè)��,直至下一次總線復(fù)位�����。
[0008]進(jìn)一步�,所述安全芯片在正常工作模式下各異常檢測(cè)單元應(yīng)為全“ I ”輸出,此時(shí)全局復(fù)位源旁路到系統(tǒng)復(fù)位信號(hào)�,當(dāng)某異常檢測(cè)單元檢測(cè)到異常輸出“O”后,該異常信號(hào)將疊加到系統(tǒng)復(fù)位信號(hào)上�。為提高芯片的應(yīng)用適應(yīng)性,為各個(gè)異常檢測(cè)配置使能信號(hào)����,各異常只有在對(duì)應(yīng)的使能信號(hào)有效時(shí)才會(huì)產(chǎn)生復(fù)位信號(hào),在不同的應(yīng)用場(chǎng)景針對(duì)性的設(shè)置復(fù)位保護(hù)����。
[0009]進(jìn)一步�,所述自毀管理單元用于在檢測(cè)到異常時(shí)將安全芯片的存儲(chǔ)器的關(guān)鍵信息進(jìn)行銷(xiāo)除��,當(dāng)異常檢測(cè)單元檢測(cè)到內(nèi)核電壓����、核外電壓、工作溫度��、自毀輸入���、工作頻率、電磁�、SRAM、ROM����、MPU出現(xiàn)異常時(shí),中央處理器啟動(dòng)自毀管理單元的自毀操作:一關(guān)閉給SRAM供電的電源開(kāi)關(guān)����,切斷SRAM的電源;二啟動(dòng)FALSH自毀控制器�����,該自毀控制器對(duì)所要保護(hù)的FLASH內(nèi)容執(zhí)行插除操作,同時(shí)關(guān)閉對(duì)FLASH的正常取值和取數(shù)通路�。本發(fā)明中的上電復(fù)位、下點(diǎn)復(fù)位���、看門(mén)狗為正常功能組件���,不對(duì)自毀操作進(jìn)行控制,芯片中存儲(chǔ)關(guān)鍵信息的存儲(chǔ)器有SRAM�����、FLASH�,因SRAM和FLASH的不同特性分別采用不同的自毀手段。FLASH為非易失性存儲(chǔ)器����,掉電后數(shù)據(jù)繼續(xù)存在,因此采用全片插除操作自毀�����,SRAM為易失性存儲(chǔ)器��,采用掉電自毀。為提高安全芯片的應(yīng)用適應(yīng)性����,為各個(gè)異常檢測(cè)單元配置使能信號(hào),各異常只有在對(duì)應(yīng)的使能信號(hào)有效時(shí)才會(huì)產(chǎn)生自毀信號(hào)�,在不同的應(yīng)用場(chǎng)景針對(duì)性的設(shè)置自毀保護(hù)。
[0010]本發(fā)明中的中央處理器是芯片的工作核心����,為各種應(yīng)用開(kāi)發(fā)、抗攻擊技術(shù)提供硬件平臺(tái)及程序��。所述異常檢測(cè)單元在檢測(cè)到異常后輸出相應(yīng)異常信號(hào)給中央處理器��,中央處理器發(fā)送相應(yīng)的使能信號(hào)給復(fù)位管理單元和自毀管理單元���。所述復(fù)位管理單元采用分級(jí)復(fù)位的方法對(duì)各種異常有效源和芯片功能復(fù)位源進(jìn)行管理。所述自毀管理單元用于在檢測(cè)到異常時(shí)將安全芯片的存儲(chǔ)器的關(guān)鍵信息進(jìn)行銷(xiāo)除��。電源管理單元為電源管理組件��,通過(guò)該組件可以使中央處理器工作在各種省電模式下���,該單元不受軟復(fù)位影響����。調(diào)試單元為芯片的調(diào)試組件,通過(guò)該組件調(diào)試工具可以觀察芯片內(nèi)部的寄存器���、存儲(chǔ)器等資源�,該組件不受軟復(fù)位影響���,在安全芯片中程序調(diào)試完成后�����,調(diào)試端口通常會(huì)鎖止����,防止芯片內(nèi)部數(shù)據(jù)通過(guò)調(diào)試端口被偷窺����。總線單元為標(biāo)準(zhǔn)總線接口及該接口連接的外設(shè)控制器��,如SP1���、I2C���、UART, USB���、對(duì)稱(chēng)算法加速器、非對(duì)稱(chēng)算法加速器�����、FLASH控制器�、SRAM控制器等。存儲(chǔ)器為芯片的存儲(chǔ)組件��,通常有易失性存儲(chǔ)器和非易失性存儲(chǔ)器�����,易失性存儲(chǔ)器為SRAM���,非易失性存儲(chǔ)器為FLASH。加解密單元是一個(gè)可以實(shí)現(xiàn)一種或多種加解密算法的單元�,這些算法通常同時(shí)有對(duì)稱(chēng)算法(如AES,DES/3DES����,國(guó)密SMl等)和非對(duì)稱(chēng)算法(如RSA���、ECC、國(guó)密SM2等)��,該單元可以采用純硬件實(shí)現(xiàn)��,也可采用軟硬結(jié)合方式實(shí)現(xiàn)���。
[0011]本發(fā)明的有益效果:弓I入復(fù)位管理單元和自毀管理單元���,分別處理復(fù)位(功能復(fù)位和異常復(fù)位)和自毀,復(fù)位管理單元將復(fù)位按復(fù)位權(quán)限不同分為三個(gè)等級(jí):全局復(fù)位�����、系統(tǒng)復(fù)位��、總線復(fù)位��,該分級(jí)復(fù)位的方法為各復(fù)位源設(shè)置了不同的復(fù)位權(quán)限���,在保障芯片安全性的同時(shí)不影響芯片使用額便利性��。自毀的對(duì)象為SRAM和FLASH����,前者采用掉電的方式實(shí)現(xiàn)自毀,后者則是檢測(cè)到異常就啟動(dòng)FLASH全片插除操作��。為了兼顧芯片在不同應(yīng)用領(lǐng)域的安全性和穩(wěn)定性���,為每個(gè)異常輸出設(shè)置復(fù)位使能和自毀使能����,只有當(dāng)該異常的使能有效時(shí)���,復(fù)位管理單元和自毀管理單元才會(huì)產(chǎn)生對(duì)應(yīng)的復(fù)位信號(hào)和自毀信號(hào)���,啟動(dòng)對(duì)應(yīng)等級(jí)的復(fù)位和自毀操作。本發(fā)明中安全芯片設(shè)計(jì)中各個(gè)異常源的管理合理有序�,隨著攻擊能力的不斷提升,防攻擊用的異常探測(cè)器將不斷增多���,設(shè)計(jì)者只需為新增加的異常探測(cè)器設(shè)置與應(yīng)用對(duì)應(yīng)的復(fù)位等級(jí)����、使能和自毀使能����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0012]圖1是本發(fā)明的原理框圖。
[0013]圖2是本發(fā)明的復(fù)位管理單元的分級(jí)復(fù)位示意圖�。
[0014]圖3是本發(fā)明的自毀管理單元的自毀示意圖。
[0015]圖4是本發(fā)明的一種具體應(yīng)用示意圖����。
【具體實(shí)施方式】
[0016]下面結(jié)合具體實(shí)施例來(lái)對(duì)本發(fā)明進(jìn)行進(jìn)一步說(shuō)明,但并不將本發(fā)明局限于這些【具體實(shí)施方式】�����。本領(lǐng)域技術(shù)人員應(yīng)該認(rèn)識(shí)到���,本發(fā)明涵蓋了權(quán)利要求書(shū)范圍內(nèi)所可能包括的所有備選方案�、改進(jìn)方案和等效方案���。
[0017]參照?qǐng)D1-3����,一種安全芯片的復(fù)位和自毀管理系統(tǒng)�,包括一安全芯片,所述安全芯片上封裝有中央處理器1���,所述中央處理器I上連接有復(fù)位管理單元2�、自毀管理單元3、電源管理單元4�����、調(diào)試單元5�����、加解密單元8�����、存儲(chǔ)器7���、總線單元6�����,所述復(fù)位管理單元2和自毀管理單元3均與異常檢測(cè)單元9連接��,所述異常檢測(cè)單元9包括多個(gè)用于檢測(cè)系統(tǒng)中各單元的異常情況的模擬或數(shù)字的異常檢測(cè)單元9��,當(dāng)所述異常檢測(cè)單元9檢測(cè)到某個(gè)單元異常時(shí)���,則輸出該單元的異常信號(hào)給中央處理器1,中央處理器I在接收到異常信號(hào)后發(fā)出相應(yīng)單元的復(fù)位使能信號(hào)或自毀使能信號(hào)給復(fù)位管理單元2或自毀管理單元3�,所述復(fù)位管理單元2或自毀管理單元3在接收到相應(yīng)的使能信號(hào)時(shí)對(duì)相應(yīng)的單元進(jìn)行復(fù)位或選擇性自毀。
[0018]本發(fā)明所述異常檢測(cè)單元9包括對(duì)相應(yīng)單元檢測(cè)的SRAM檢測(cè)單元����、ROM檢測(cè)單元、有源屏蔽層檢測(cè)單元ActiveShield�����、下電檢測(cè)單元���、內(nèi)核電壓檢測(cè)單元��、核外電壓檢測(cè)單元��、溫度檢測(cè)單元���、頻率檢測(cè)單元、外部自毀輸入檢測(cè)單元��、看門(mén)狗檢測(cè)單元、MPU保護(hù)異常檢測(cè)單元��、電磁檢測(cè)單元����、光檢測(cè)單元。這些檢測(cè)單元對(duì)目前常見(jiàn)的軟件攻擊�����、故障攻擊和微區(qū)探測(cè)進(jìn)行了覆蓋����,對(duì)芯片易遭受的各種攻擊介質(zhì)進(jìn)行了檢測(cè)保護(hù)。
[0019]本發(fā)明所述復(fù)位管理單元2采用分級(jí)復(fù)位的方法對(duì)各種異常有效源和芯片功能復(fù)位源進(jìn)行管理�,復(fù)位等級(jí)共三級(jí),第一級(jí)復(fù)位由芯片內(nèi)部上電復(fù)位和外部復(fù)位共同產(chǎn)生����,為正常功能模式下的全局復(fù)位源GLOBALREETn ;第二級(jí)復(fù)位為全局復(fù)位源GLOBALREETn與各異常復(fù)位共同產(chǎn)生,為系統(tǒng)復(fù)位信號(hào)MCURESETn ;第三級(jí)復(fù)位為系統(tǒng)復(fù)位信號(hào)MCURESETn與軟復(fù)位共同產(chǎn)生���,為總線復(fù)位信號(hào)HRESETn ;所述總線復(fù)位信號(hào)HRESETn用于復(fù)位總線單元6��、存儲(chǔ)器7�����、加解密單元8以及SRAM�、R0M、MPU的異常檢測(cè)單元����;系統(tǒng)復(fù)位信號(hào)MCURESETn用于復(fù)位電源管理單元4��、調(diào)試單元5以及總線復(fù)位信號(hào)HRESETn復(fù)位到的組件��;全局復(fù)位源GLOBALREETn用于復(fù)位系統(tǒng)復(fù)位信號(hào)MCURESETn復(fù)位到的組件和有源屏蔽層檢測(cè)單元���、下電檢測(cè)單元�����、內(nèi)核電壓檢測(cè)單元��、核外電壓檢測(cè)單元����、溫度檢測(cè)單元����、頻率檢測(cè)單元�����、自毀輸入檢測(cè)��、電磁檢測(cè)單元以及看門(mén)狗檢測(cè)單元��。系統(tǒng)復(fù)位信號(hào)MCURESETn復(fù)位的電源管理單元4和調(diào)試單元5不受總線復(fù)位影響�����,全局復(fù)位源GLOBALREETn復(fù)位的異常檢測(cè)組件不受系統(tǒng)復(fù)位信號(hào)MCURESETn和總線復(fù)位信號(hào)HRESETn復(fù)位影響��。該分級(jí)復(fù)位的方法為各復(fù)位源設(shè)置了不同的復(fù)位權(quán)限��,在保障芯片安全性的同時(shí)不影響芯片使用額便利性�。
[0020]本發(fā)明所述復(fù)位管理單元2的分級(jí)復(fù)位中與總線復(fù)位無(wú)關(guān)的異常檢測(cè)單元9上電后一直處于工作狀態(tài)�,持續(xù)檢測(cè)異常,不受芯片內(nèi)各復(fù)位狀態(tài)的影響�;與總線復(fù)位相關(guān)的異常檢測(cè)單元9當(dāng)總線復(fù)位后上述相關(guān)的異常檢測(cè)單元9按新的配置重新啟動(dòng)檢測(cè),直至下一次總線復(fù)位�。
[0021 ] 本發(fā)明所述安全芯片在正常工作模式下各異常檢測(cè)單元9應(yīng)為全“ I”輸出,此時(shí)全局復(fù)位源GLOBALREETn旁路到系統(tǒng)復(fù)位信號(hào)MCURESETn����,當(dāng)某異常檢測(cè)單元9檢測(cè)到異常輸出“O”后���,該異常信號(hào)將疊加到系統(tǒng)復(fù)位信號(hào)MCURESETn上。為提高芯片的應(yīng)用適應(yīng)性���,為各個(gè)異常檢測(cè)配置使能信號(hào)����,各異常只有在對(duì)應(yīng)的使能信號(hào)有效時(shí)才會(huì)產(chǎn)生復(fù)位信號(hào)�,在不同的應(yīng)用場(chǎng)景針對(duì)性的設(shè)置復(fù)位保護(hù)����。
[0022]本發(fā)明所述自毀管理單元3用于在檢測(cè)到異常時(shí)將安全芯片的存儲(chǔ)器7的關(guān)鍵信息進(jìn)行銷(xiāo)除,當(dāng)異常檢測(cè)單元9檢測(cè)到內(nèi)核電壓����、核外電壓、工作溫度����、自毀輸入、工作頻率��、電磁、SRAM�、ROM、MPU出現(xiàn)異常時(shí)���,中央處理器I啟動(dòng)自毀管理單元3的自毀操作:一關(guān)閉給SRAM供電的電源開(kāi)關(guān)��,切斷SRAM的電源��;二啟動(dòng)FALSH自毀控制器�����,該自毀控制器對(duì)所要保護(hù)的FLASH內(nèi)容執(zhí)行插除操作���,同時(shí)關(guān)閉對(duì)FLASH的正常取值和取數(shù)通路。本發(fā)明中的上電復(fù)位P0R���、下點(diǎn)復(fù)位B0D����、看門(mén)狗WDT為正常功能組件��,不對(duì)自毀操作進(jìn)行控制���,芯片中存儲(chǔ)關(guān)鍵信息的存儲(chǔ)器有SRAM��、FLASH,因SRAM和FLASH的不同特性分別采用不同的自毀手段�。FLASH為非易失性存儲(chǔ)器,掉電后數(shù)據(jù)繼續(xù)存在��,因此采用全片插除操作自毀���,SRAM為易失性存儲(chǔ)器��,采用掉電自毀���。為提高安全芯片的應(yīng)用適應(yīng)性,為各個(gè)異常檢測(cè)單元配置使能信號(hào)�����,各異常只有在對(duì)應(yīng)的使能信號(hào)有效時(shí)才會(huì)產(chǎn)生自毀信號(hào)��,在不同的應(yīng)用場(chǎng)景針對(duì)性的設(shè)置自毀保護(hù)�����。
[0023]本發(fā)明中的中央處理器I是芯片的工作核心���,為各種應(yīng)用開(kāi)發(fā)���、抗攻擊技術(shù)提供硬件平臺(tái)及程序。所述異常檢測(cè)單元9在檢測(cè)到異常后輸出相應(yīng)異常信號(hào)給中央處理器�,中央處理器I發(fā)送相應(yīng)的使能信號(hào)給復(fù)位管理單元2和自毀管理單元3。所述復(fù)位管理單元2采用分級(jí)復(fù)位的方法對(duì)各種異常有效源和芯片功能復(fù)位源進(jìn)行管理��。所述自毀管理單元3用于在檢測(cè)到異常時(shí)將安全芯片的存儲(chǔ)器7的關(guān)鍵信息進(jìn)行銷(xiāo)除���。電源管理單元4為電源管理組件�,通過(guò)該組件可以使中央處理器工作在各種省電模式下���,該單元不受軟復(fù)位影響��。調(diào)試單元5為芯片的調(diào)試組件�����,通過(guò)該組件調(diào)試工具可以觀察芯片內(nèi)部的寄存器�、存儲(chǔ)器等資源�����,該組件不受軟復(fù)位影響,在安全芯片中程序調(diào)試完成后���,調(diào)試端口通常會(huì)鎖止��,防止芯片內(nèi)部數(shù)據(jù)通過(guò)調(diào)試端口被偷窺�����?�?偩€單元6為標(biāo)準(zhǔn)總線接口及該接口連接的外設(shè)控制器����,如SP1�、I2C、UART, USB�、對(duì)稱(chēng)算法加速器、非對(duì)稱(chēng)算法加速器����、FLASH控制器��、SRAM控制器等�����。存儲(chǔ)器7為芯片的存儲(chǔ)組件,通常有易失性存儲(chǔ)器和非易失性存儲(chǔ)器�����,易失性存儲(chǔ)器為SRAM���,非易失性存儲(chǔ)器為FLASH�。加解密單元8是一個(gè)可以實(shí)現(xiàn)一種或多種加解密算法的單元����,這些算法通常同時(shí)有對(duì)稱(chēng)算法(如AES,DES/3DES���,國(guó)密SMl等)和非對(duì)稱(chēng)算法(如RSA����、ECC��、國(guó)密SM2等)��,該單元可以采用純硬件實(shí)現(xiàn),也可采用軟硬結(jié)合方式實(shí)現(xiàn)�。
[0024]一種具體的應(yīng)用:
參見(jiàn)圖4,本實(shí)施例是基于ARM Cortex-MO的SOC安全芯片��,存儲(chǔ)資源有ROM��、SRAM����、FLASH,對(duì)存儲(chǔ)資源的訪問(wèn)受MPU控制。存儲(chǔ)器訪問(wèn)控制(MPU)功能基于安全的存儲(chǔ)器訪問(wèn)控制策略實(shí)現(xiàn)�����,該訪問(wèn)控制策略核心是分區(qū)和權(quán)限控制���。ROM采用地址擾亂和數(shù)據(jù)加密存儲(chǔ)方式保證數(shù)據(jù)安全����,SRAM則采用地址擾亂和數(shù)據(jù)完整性校驗(yàn)保證數(shù)據(jù)安全���。
[0025]本實(shí)施例算法單元包括對(duì)稱(chēng)算法和非對(duì)稱(chēng)算法���,其中對(duì)稱(chēng)算法有AES、DES/3DES���、國(guó)密SMl等�,非對(duì)稱(chēng)算法有RSA�、ECC、國(guó)密SM2等�。外設(shè)單元通過(guò)AHB總線或APB總線與CPU總線連接,其中AHB總線單元有USB��、SD卡從控制器SDS1���、四通道串行FLASH(SQI FLASH)��、FLASH, APB總線單元有隨機(jī)數(shù)生成器TRNG���、智能卡主控制器SC1、智能卡從控制器SCS1��、語(yǔ)音PWM(VPWM)�、單線協(xié)議主接口 SWPM、單線協(xié)議從接口 SWPS��、實(shí)時(shí)時(shí)鐘RTC�、通用1控制器(GP1)�、I2C����、UART、SP1�、SPI 從接口(SSI)。
[0026]本實(shí)施例通過(guò)復(fù)位和自毀管理單元(SCM)對(duì)芯片復(fù)位進(jìn)行分級(jí)管理���,對(duì)安全等級(jí)要求更高的應(yīng)用采用自毀管理�。該復(fù)位和自毀管理單元處理的異常有:上電檢測(cè)�、下電檢測(cè)、電壓檢測(cè)(包括內(nèi)核電壓檢測(cè)和核外電壓檢測(cè))�、光檢測(cè)、電磁檢測(cè)�、有源屏蔽檢測(cè)、溫度檢測(cè)����、頻率檢測(cè)、MPU異常����、SRAM異常、ROM異常����。
[0027]本實(shí)施例中電源由電源轉(zhuǎn)換單元管理���,上電檢測(cè)�、下電檢測(cè)和電壓檢測(cè)對(duì)電源管理單元進(jìn)行監(jiān)測(cè),對(duì)供電異常作出響應(yīng)�。
[0028]本實(shí)施例中時(shí)鐘由時(shí)鐘生成單元產(chǎn)生,頻率檢測(cè)對(duì)時(shí)鐘生成單元的時(shí)鐘輸入進(jìn)行檢測(cè)��,對(duì)時(shí)鐘輸入異常作出響應(yīng)�。
[0029]本實(shí)施例中光檢測(cè)、電磁檢測(cè)����、有源屏蔽檢測(cè)、溫度檢測(cè)都是模擬組件���,分別處理光探測(cè)���、電磁干擾、FIB��、溫度異常的物理攻擊手段���,復(fù)位和自毀管理單元一旦接收到這些模擬組建的異常輸出信號(hào)�,將啟動(dòng)芯片復(fù)位或自毀操作。
[0030]本實(shí)施例中MPU�����、SRAM�����、ROM的異常通過(guò)數(shù)字單元實(shí)現(xiàn)��,MPU單元一旦出現(xiàn)當(dāng)前的訪問(wèn)限制區(qū)域被訪問(wèn)到將產(chǎn)生訪問(wèn)異常��,SRAM��、R0M—旦讀出數(shù)據(jù)的校驗(yàn)出錯(cuò)就產(chǎn)生訪問(wèn)異常�,通過(guò)復(fù)位和自毀管理單元啟動(dòng)芯片復(fù)位和自毀操作。
【權(quán)利要求】
1.一種安全芯片的復(fù)位和自毀管理系統(tǒng)����,其特征在于:包括一安全芯片,所述安全芯片上封裝有中央處理器����,所述中央處理器上連接有復(fù)位管理單元�����、自毀管理單元�����、電源管理單元、調(diào)試單元�����、加解密單元�����、存儲(chǔ)器����、總線單元,所述復(fù)位管理單元和自毀管理單元均與異常檢測(cè)單元連接��,所述異常檢測(cè)單元包括多個(gè)用于檢測(cè)系統(tǒng)中各單元的異常情況的模擬或數(shù)字的異常檢測(cè)單元��,當(dāng)所述異常檢測(cè)單元檢測(cè)到某個(gè)單元異常時(shí)�,則輸出該單元的異常信號(hào)給中央處理器��,中央處理器在接收到異常信號(hào)后發(fā)出相應(yīng)單元的復(fù)位使能信號(hào)或自毀使能信號(hào)給復(fù)位管理單元或自毀管理單元�����,所述復(fù)位管理單元或自毀管理單元在接收到相應(yīng)的使能信號(hào)時(shí)對(duì)相應(yīng)的單元進(jìn)行復(fù)位或選擇性自毀���。
2.根據(jù)權(quán)利要求1所述的一種安全芯片的復(fù)位和自毀管理系統(tǒng),其特征在于:所述異常檢測(cè)單元包括對(duì)相應(yīng)單元檢測(cè)的SRAM檢測(cè)單元��、ROM檢測(cè)單元�、有源屏蔽層檢測(cè)單元、下電檢測(cè)單元��、內(nèi)核電壓檢測(cè)單元����、核外電壓檢測(cè)單元、溫度檢測(cè)單元��、頻率檢測(cè)單元���、外部自毀輸入檢測(cè)單元����、看門(mén)狗檢測(cè)單元、MPU保護(hù)異常檢測(cè)單元��、電磁檢測(cè)單元�����、光檢測(cè)單元�。
3.根據(jù)權(quán)利要求2所述的一種安全芯片的復(fù)位和自毀管理系統(tǒng),其特征在于:所述復(fù)位管理單元采用分級(jí)復(fù)位的方法對(duì)各種異常有效源和芯片功能復(fù)位源進(jìn)行管理�����,復(fù)位等級(jí)共三級(jí)����,第一級(jí)復(fù)位由芯片內(nèi)部上電復(fù)位和外部復(fù)位共同產(chǎn)生��,為正常功能模式下的全局復(fù)位源���;第二級(jí)復(fù)位為全局復(fù)位源與各異常復(fù)位共同產(chǎn)生�����,為系統(tǒng)復(fù)位信號(hào)��;第三級(jí)復(fù)位為系統(tǒng)復(fù)位信號(hào)與軟復(fù)位共同產(chǎn)生����,為總線復(fù)位信號(hào);所述總線復(fù)位信號(hào)用于復(fù)位總線單元�����、存儲(chǔ)器���、加解密單元以及SRAM���、ROM、MPU的異常檢測(cè)單元�;系統(tǒng)復(fù)位信號(hào)用于復(fù)位電源管理單元、調(diào)試單元以及總線復(fù)位信號(hào)復(fù)位到的組件�;全局復(fù)位源用于復(fù)位系統(tǒng)復(fù)位信號(hào)復(fù)位到的組件和有源屏蔽層檢測(cè)單元、下電檢測(cè)單元�、內(nèi)核電壓檢測(cè)單元、核外電壓檢測(cè)單元�、溫度檢測(cè)單元、頻率檢測(cè)單元��、自毀輸入檢測(cè)、電磁檢測(cè)單元以及看門(mén)狗檢測(cè)單元���。
4.根據(jù)權(quán)利要求3所述的一種安全芯片的復(fù)位和自毀管理系統(tǒng)�����,其特征在于:所述復(fù)位管理單元的分級(jí)復(fù)位中與總線復(fù)位無(wú)關(guān)的異常檢測(cè)單元上電后一直處于工作狀態(tài)�,持續(xù)檢測(cè)異常��,不受芯片內(nèi)各復(fù)位狀態(tài)的影響���;與總線復(fù)位相關(guān)的異常檢測(cè)單元當(dāng)總線復(fù)位后上述相關(guān)的異常檢測(cè)單元按新的配置重新啟動(dòng)檢測(cè)����,直至下一次總線復(fù)位��。
5.根據(jù)權(quán)利要求3所述的一種安全芯片的復(fù)位和自毀管理系統(tǒng)���,其特征在于:所述安全芯片在正常工作模式下各異常檢測(cè)單元應(yīng)為全“ I”輸出,此時(shí)全局復(fù)位源旁路到系統(tǒng)復(fù)位信號(hào)�����,當(dāng)某異常檢測(cè)單元檢測(cè)到異常輸出“O”后,該異常信號(hào)將疊加到系統(tǒng)復(fù)位信號(hào)上��。
6.根據(jù)權(quán)利要求1�����、之一所述的一種安全芯片的復(fù)位和自毀管理系統(tǒng)�����,其特征在于:所述自毀管理單元用于在檢測(cè)到異常時(shí)將安全芯片的存儲(chǔ)器的關(guān)鍵信息進(jìn)行銷(xiāo)除��,當(dāng)異常檢測(cè)單元檢測(cè)到內(nèi)核電壓�����、核外電壓�����、工作溫度��、自毀輸入���、工作頻率�����、電磁�、SRAM、ROM���、MPU出現(xiàn)異常時(shí)��,中央處理器啟動(dòng)自毀管理單元的自毀操作:一關(guān)閉給SRAM供電的電源開(kāi)關(guān)�����,切斷SRAM的電源����;二啟動(dòng)FALSH自毀控制器����,該自毀控制器對(duì)所要保護(hù)的FLASH內(nèi)容執(zhí)行插除操作,同時(shí)關(guān)閉對(duì)FLASH的正常取值和取數(shù)通路��。
【文檔編號(hào)】G06F21/70GK104268487SQ201410488611
【公開(kāi)日】2015年1月7日 申請(qǐng)日期:2014年9月23日 優(yōu)先權(quán)日:2014年9月23日
【發(fā)明者】徐功益, 錢(qián)志恒 申請(qǐng)人:杭州晟元芯片技術(shù)有限公司