專利名稱:一種安全算法保護方法
技術領域:
本發明主要應用于PKI智能卡、USB Key等信息安全領域。
背景技術:
隨著信息科技的發展,信息安全保護變得日益重要,安全性需求滲透到電子系統設計的 各個環節。由于通過軟件/固件設計已經很難保證全面的系統安全性,這就需要借助硬件來獲 得更有效的安全體系。
目前,在安全算法地保護主要存在以下幾個方面的技術問題需要解決
1. 安全傳輸在將密鑰或明文下載到芯片的傳輸過程中,存在信息泄漏或監聽的隱患。
目前流行的軟件攻擊就是使用微處理器的通用通訊接口,尋求安全協議、加密算法 以及它們物理實現的弱點。
2. 安全執行安全執行包括保證執行的完整性和保證代碼和數據的保密性。多種類型 的威脅會有損系統的完整性或保密性。例如,通過邏輯分析器來觀察處理器與存儲 器之間的通信量。或者利用竊聽技術,采用高時域精度的方法,分析電源接口在微 處理器正常工作過程中產生的各種電磁輻射的模擬特征。
發明內容
本發明的目的在于解決上述的兩個問題,提供一種軟件技術與硬件設計相結合的方法。 在實現加密功能的基礎上,增加物理保護措施,保護信息在存儲和傳輸過程中免受惡意的篡 改或泄漏,使得系統更加安全可靠。
為了實現上述目的,采用了以下的技術方案在傳輸過程中,將要下載的安全數據通過 軟件進行加密后傳輸到芯片的端口,保證數據在芯片外的環境中不會被監測到真實的信息。 數據在芯片內部先進行解密,然后將解密后的信息通過加擾寫入到物理存儲空間,保證了外 界對存儲器進行攻擊時的安全。在執行過程中,用戶只能對安全區中的數據進行調用,沒有 讀和寫的權限。
本文提到的安全算法保護方法有以下幾個特點
1. 安全算法下載到芯片存儲器過程的安全保護。由于下載的算法是經過加密的,通過 外部10接口傳輸的數據雖然能夠被惡意監聽,但即使獲得也是無意義的,這就保證 了安全算法數據傳輸過程的安全性。
2. 安全算法存儲的安全保護。下載程序把安全算法寫入存儲器的時候,是經過加擾處
理的,即使通過外部物理探測能夠獲取存儲器內容,也是無效的,因為直接讀出的 數據并不是真實的安全算法代碼數據,這就保證了安全算法存儲過程的安全性。 3.安全算法使用過程的安全保護。在用戶開發完COS后,需要調用安全算法,從硬件 上這是允許的,但是安全算法存放區域是受到讀寫保護的,因此普通用戶是無法獲 得安全算法真實內容的。這就保證了用戶可以通過軟件程序使用安全算法,但無法 通過軟件程序讀出其內容。
圖l系統功能流程圖
具體實施例方式
結合附圖,對本發明進一步詳細描述如圖1所示,安全算法保護主要是從軟件層面和 硬件兩個角度進行。
1. 在算法的下載過程中,通過設置安全區窗口寄存器,定義安全區的起始地址和結束 地址,以及安全區保護屬性,然后加密后的算法庫通過下載程序進行下載。芯片接 收到外部密文數據后,通過軟件程序進行解密獲得真實安全算法數據,然后再下載 到內部存儲器中,其中存儲器地址是進行加擾處理的,即使外部惡意用戶能夠物理 探測獲取程序存儲器內容也將是無效的。因此這種方法無論是外部監聽還是物理探 測都很難獲得真實的數據,除非惡意用戶破解加解密算法和硬件的加擾邏輯。
2. 在用戶需要調用安全算法的時候,可以直接根據算法入口地址進行調用,硬件會根 據當前用戶權限決定是否能夠訪問這塊安全算法區域,如果權限許可則執行安全算 法流程,否則會給出異常中斷。如果惡意用戶企圖讀取安全算法,由于這塊安全區 是受到讀寫保護的,將對給出異常中斷。例如,在管理員模式,對安全算法區是具 有讀寫、執行權限的,可以在這種工作模式進行安全算法的下載和讀出校驗;在普 通用戶模式,對安全算法區僅有執行權限,無讀取權限,因此無法獲得安全算法的 真實內容,起到保護作用。
權利要求
1.一種安全算法保護方法,其特征在于包括以下步驟將密鑰或明文下載到芯片的傳輸過程;把密鑰或明文寫入存儲器的存儲過程;用戶對密鑰或明文數據進行調用的執行過程。
2. 根據權利要求1所述的一種安全算法保護方法,其特征在于傳輸過程中通過下載工具, 將要下載的安全算法庫進行加密后下載到芯片,下載過程進行傳輸的數據為密文,保證 數據在傳輸過程中的安全。
3. 根據權利要求1所述的一種安全算法保護方法,其特征在于存儲過程中安全算法庫在下 載時對數據進行內部解密后,再經過地址加擾,最后寫入到物理存儲空間,存放安全算 法的物理存儲空間地址可以通過寄存器進行配置,保證數據在存儲過程過程中的安全。
4. 根據權利要求1所述的一種安全算法保護方法,其特征在于在執行過程中,用戶在調用 安全區中的算法庫時,硬件會自動判斷當前用戶對算法庫存儲區的訪問權限,安全算法 存放區域是受到讀寫保護的,只有執行權限,無讀寫權限,因此通過這種方法可以有效 地保證安全算法在使用過程中的安全性,防止數據被惡意讀出泄露。
全文摘要
本發明公開了一種安全算法保護的方法,主要應用于信息安全領域,如USBKey、PKI智能卡等。通過采用高級的數據流加解密和存儲器安全保護技術,實現對安全算法從數據傳輸到調用執行等環節的多級保護,從而防止安全算法中知識產權或者保密數據的泄露。
文檔編號G06K19/073GK101364249SQ200710119979
公開日2009年2月11日 申請日期2007年8月6日 優先權日2007年8月6日
發明者坤 李, 李自然, 娜 盛 申請人:北京中電華大電子設計有限責任公司