一種安全芯片的復位和自毀管理系統的制作方法
【專利摘要】一種安全芯片的復位和自毀管理系統,包括一安全芯片,所述安全芯片上封裝有中央處理器,所述中央處理器上連接有復位管理單元、自毀管理單元、電源管理單元、調試單元、加解密單元、存儲器、總線單元,所述復位管理單元和自毀管理單元均與異常檢測單元連接,所述異常檢測單元包括多個用于檢測系統中各單元的異常情況的模擬或數字的異常檢測單元,當所述異常檢測單元檢測到某個單元異常時,則輸出該單元的異常信號給中央處理器,中央處理器在接收到異常信號后發出相應單元的復位使能信號或自毀使能信號給復位管理單元或自毀管理單元,所述復位管理單元或自毀管理單元在接收到相應的使能信號時對相應的單元進行復位或選擇性自毀。
【專利說明】—種安全芯片的復位和自毀管理系統
【技術領域】
[0001]本發明涉及一種安全芯片的復位和自毀管理系統。
【背景技術】
[0002]在信息安全應用領域,基于特定密碼算法的安全芯片能夠為敏感信息提供機密性與完整性保護。同時,安全芯片在信息安全保護方面的重要作用使其容易遭受各種攻擊,面臨著越來越嚴重的安全性挑戰,已經出現了各種不同層次、不同水平的攻擊手段。這些攻擊手段概括起來主要有兩種:非破壞性攻擊和破壞性攻擊,前者包括竊聽攻擊方法(即功耗分析方法)、軟件攻擊方法和故障攻擊方法(如高低溫、高低壓、快慢時鐘、電磁干擾等),后者為微區探測方法(如FIB或反向分析)。針對上述非破壞性攻擊方法,目前性加密算法和電路設計層面已經發展處了多種有效的抗攻擊措施,如掩碼技術、功耗平衡技術、時鐘擾亂技術等。除此以外,針對軟件攻擊、故障攻擊以及微區探測等,設計了各種檢測單元,當芯片遭受到對應攻擊時,檢測單元向芯片報告異常,芯片針對異常作出響應。復位作為一種有效便捷的響應手段得以廣泛應用,更高安全層級的響應手段就是自毀。于是在芯片內部如何管理各種異常復位、如何實現自毀比處理單個異常更重要,而且該復位和自毀電路自身的抗攻擊能力也極其重要。
【發明內容】
[0003]本發明提供了一種對芯片的異常進行管理,能夠實現異常復位和自毀的安全芯片的復位和自毀管理系統。
[0004]本發明采用的技術方案是:
一種安全芯片的復位和自毀管理系統,其特征在于:包括一安全芯片,所述安全芯片上封裝有中央處理器,所述中央處理器上連接有復位管理單元、自毀管理單元、電源管理單元、調試單元、加解密單元、存儲器、總線單元,所述復位管理單元和自毀管理單元均與異常檢測單元連接,所述異常檢測單元包括多個用于檢測系統中各單元的異常情況的模擬或數字的異常檢測單元,當所述異常檢測單元檢測到某個單元異常時,則輸出該單元的異常信號給中央處理器,中央處理器在接收到異常信號后發出相應單元的復位使能信號或自毀使能信號給復位管理單元或自毀管理單元,所述復位管理單元或自毀管理單元在接收到相應的使能信號時對相應的單元進行復位或選擇性自毀。
[0005]進一步,所述異常檢測單元包括對相應單元檢測的SRAM檢測單元、ROM檢測單元、有源屏蔽層檢測單元、下電檢測單元、內核電壓檢測單元、核外電壓檢測單元、溫度檢測單元、頻率檢測單元、外部自毀輸入檢測單元、看門狗檢測單元、MPU保護異常檢測單元、電磁檢測單元、光檢測單元。這些檢測單元對目前常見的軟件攻擊、故障攻擊和微區探測進行了覆蓋,對芯片易遭受的各種攻擊介質進行了檢測保護。
[0006]進一步,所述復位管理單元采用分級復位的方法對各種異常有效源和芯片功能復位源進行管理,復位等級共三級,第一級復位由芯片內部上電復位和外部復位共同產生,為正常功能模式下的全局復位源;第二級復位為全局復位源與各異常復位共同產生,為系統復位信號;第三級復位為系統復位信號與軟復位共同產生,為總線復位信號;所述總線復位信號用于復位總線單元、存儲器、加解密單元以及SRAM、ROM、MPU的異常檢測單元;系統復位信號用于復位電源管理單元、調試單元以及總線復位信號復位到的組件;全局復位源用于復位系統復位信號復位到的組件和有源屏蔽層檢測單元、下電檢測單元、內核電壓檢測單元、核外電壓檢測單元、溫度檢測單元、頻率檢測單元、自毀輸入檢測、電磁檢測單元以及看門狗檢測單元。系統復位信號復位的電源管理單元和調試單元不受總線復位影響,全局復位源復位的異常檢測組件不受系統復位信號和總線復位信號復位影響。該分級復位的方法為各復位源設置了不同的復位權限,在保障芯片安全性的同時不影響芯片使用額便利性。
[0007]進一步,所述復位管理單元的分級復位中與總線復位無關的異常檢測單元上電后一直處于工作狀態,持續檢測異常,不受芯片內各復位狀態的影響;與總線復位相關的異常檢測單元當總線復位后上述相關的異常檢測單元按新的配置重新啟動檢測,直至下一次總線復位。
[0008]進一步,所述安全芯片在正常工作模式下各異常檢測單元應為全“ I ”輸出,此時全局復位源旁路到系統復位信號,當某異常檢測單元檢測到異常輸出“O”后,該異常信號將疊加到系統復位信號上。為提高芯片的應用適應性,為各個異常檢測配置使能信號,各異常只有在對應的使能信號有效時才會產生復位信號,在不同的應用場景針對性的設置復位保護。
[0009]進一步,所述自毀管理單元用于在檢測到異常時將安全芯片的存儲器的關鍵信息進行銷除,當異常檢測單元檢測到內核電壓、核外電壓、工作溫度、自毀輸入、工作頻率、電磁、SRAM、ROM、MPU出現異常時,中央處理器啟動自毀管理單元的自毀操作:一關閉給SRAM供電的電源開關,切斷SRAM的電源;二啟動FALSH自毀控制器,該自毀控制器對所要保護的FLASH內容執行插除操作,同時關閉對FLASH的正常取值和取數通路。本發明中的上電復位、下點復位、看門狗為正常功能組件,不對自毀操作進行控制,芯片中存儲關鍵信息的存儲器有SRAM、FLASH,因SRAM和FLASH的不同特性分別采用不同的自毀手段。FLASH為非易失性存儲器,掉電后數據繼續存在,因此采用全片插除操作自毀,SRAM為易失性存儲器,采用掉電自毀。為提高安全芯片的應用適應性,為各個異常檢測單元配置使能信號,各異常只有在對應的使能信號有效時才會產生自毀信號,在不同的應用場景針對性的設置自毀保護。
[0010]本發明中的中央處理器是芯片的工作核心,為各種應用開發、抗攻擊技術提供硬件平臺及程序。所述異常檢測單元在檢測到異常后輸出相應異常信號給中央處理器,中央處理器發送相應的使能信號給復位管理單元和自毀管理單元。所述復位管理單元采用分級復位的方法對各種異常有效源和芯片功能復位源進行管理。所述自毀管理單元用于在檢測到異常時將安全芯片的存儲器的關鍵信息進行銷除。電源管理單元為電源管理組件,通過該組件可以使中央處理器工作在各種省電模式下,該單元不受軟復位影響。調試單元為芯片的調試組件,通過該組件調試工具可以觀察芯片內部的寄存器、存儲器等資源,該組件不受軟復位影響,在安全芯片中程序調試完成后,調試端口通常會鎖止,防止芯片內部數據通過調試端口被偷窺。總線單元為標準總線接口及該接口連接的外設控制器,如SP1、I2C、UART, USB、對稱算法加速器、非對稱算法加速器、FLASH控制器、SRAM控制器等。存儲器為芯片的存儲組件,通常有易失性存儲器和非易失性存儲器,易失性存儲器為SRAM,非易失性存儲器為FLASH。加解密單元是一個可以實現一種或多種加解密算法的單元,這些算法通常同時有對稱算法(如AES,DES/3DES,國密SMl等)和非對稱算法(如RSA、ECC、國密SM2等),該單元可以采用純硬件實現,也可采用軟硬結合方式實現。
[0011]本發明的有益效果:弓I入復位管理單元和自毀管理單元,分別處理復位(功能復位和異常復位)和自毀,復位管理單元將復位按復位權限不同分為三個等級:全局復位、系統復位、總線復位,該分級復位的方法為各復位源設置了不同的復位權限,在保障芯片安全性的同時不影響芯片使用額便利性。自毀的對象為SRAM和FLASH,前者采用掉電的方式實現自毀,后者則是檢測到異常就啟動FLASH全片插除操作。為了兼顧芯片在不同應用領域的安全性和穩定性,為每個異常輸出設置復位使能和自毀使能,只有當該異常的使能有效時,復位管理單元和自毀管理單元才會產生對應的復位信號和自毀信號,啟動對應等級的復位和自毀操作。本發明中安全芯片設計中各個異常源的管理合理有序,隨著攻擊能力的不斷提升,防攻擊用的異常探測器將不斷增多,設計者只需為新增加的異常探測器設置與應用對應的復位等級、使能和自毀使能。
【專利附圖】
【附圖說明】
[0012]圖1是本發明的原理框圖。
[0013]圖2是本發明的復位管理單元的分級復位示意圖。
[0014]圖3是本發明的自毀管理單元的自毀示意圖。
[0015]圖4是本發明的一種具體應用示意圖。
【具體實施方式】
[0016]下面結合具體實施例來對本發明進行進一步說明,但并不將本發明局限于這些【具體實施方式】。本領域技術人員應該認識到,本發明涵蓋了權利要求書范圍內所可能包括的所有備選方案、改進方案和等效方案。
[0017]參照圖1-3,一種安全芯片的復位和自毀管理系統,包括一安全芯片,所述安全芯片上封裝有中央處理器1,所述中央處理器I上連接有復位管理單元2、自毀管理單元3、電源管理單元4、調試單元5、加解密單元8、存儲器7、總線單元6,所述復位管理單元2和自毀管理單元3均與異常檢測單元9連接,所述異常檢測單元9包括多個用于檢測系統中各單元的異常情況的模擬或數字的異常檢測單元9,當所述異常檢測單元9檢測到某個單元異常時,則輸出該單元的異常信號給中央處理器1,中央處理器I在接收到異常信號后發出相應單元的復位使能信號或自毀使能信號給復位管理單元2或自毀管理單元3,所述復位管理單元2或自毀管理單元3在接收到相應的使能信號時對相應的單元進行復位或選擇性自毀。
[0018]本發明所述異常檢測單元9包括對相應單元檢測的SRAM檢測單元、ROM檢測單元、有源屏蔽層檢測單元ActiveShield、下電檢測單元、內核電壓檢測單元、核外電壓檢測單元、溫度檢測單元、頻率檢測單元、外部自毀輸入檢測單元、看門狗檢測單元、MPU保護異常檢測單元、電磁檢測單元、光檢測單元。這些檢測單元對目前常見的軟件攻擊、故障攻擊和微區探測進行了覆蓋,對芯片易遭受的各種攻擊介質進行了檢測保護。
[0019]本發明所述復位管理單元2采用分級復位的方法對各種異常有效源和芯片功能復位源進行管理,復位等級共三級,第一級復位由芯片內部上電復位和外部復位共同產生,為正常功能模式下的全局復位源GLOBALREETn ;第二級復位為全局復位源GLOBALREETn與各異常復位共同產生,為系統復位信號MCURESETn ;第三級復位為系統復位信號MCURESETn與軟復位共同產生,為總線復位信號HRESETn ;所述總線復位信號HRESETn用于復位總線單元6、存儲器7、加解密單元8以及SRAM、R0M、MPU的異常檢測單元;系統復位信號MCURESETn用于復位電源管理單元4、調試單元5以及總線復位信號HRESETn復位到的組件;全局復位源GLOBALREETn用于復位系統復位信號MCURESETn復位到的組件和有源屏蔽層檢測單元、下電檢測單元、內核電壓檢測單元、核外電壓檢測單元、溫度檢測單元、頻率檢測單元、自毀輸入檢測、電磁檢測單元以及看門狗檢測單元。系統復位信號MCURESETn復位的電源管理單元4和調試單元5不受總線復位影響,全局復位源GLOBALREETn復位的異常檢測組件不受系統復位信號MCURESETn和總線復位信號HRESETn復位影響。該分級復位的方法為各復位源設置了不同的復位權限,在保障芯片安全性的同時不影響芯片使用額便利性。
[0020]本發明所述復位管理單元2的分級復位中與總線復位無關的異常檢測單元9上電后一直處于工作狀態,持續檢測異常,不受芯片內各復位狀態的影響;與總線復位相關的異常檢測單元9當總線復位后上述相關的異常檢測單元9按新的配置重新啟動檢測,直至下一次總線復位。
[0021 ] 本發明所述安全芯片在正常工作模式下各異常檢測單元9應為全“ I”輸出,此時全局復位源GLOBALREETn旁路到系統復位信號MCURESETn,當某異常檢測單元9檢測到異常輸出“O”后,該異常信號將疊加到系統復位信號MCURESETn上。為提高芯片的應用適應性,為各個異常檢測配置使能信號,各異常只有在對應的使能信號有效時才會產生復位信號,在不同的應用場景針對性的設置復位保護。
[0022]本發明所述自毀管理單元3用于在檢測到異常時將安全芯片的存儲器7的關鍵信息進行銷除,當異常檢測單元9檢測到內核電壓、核外電壓、工作溫度、自毀輸入、工作頻率、電磁、SRAM、ROM、MPU出現異常時,中央處理器I啟動自毀管理單元3的自毀操作:一關閉給SRAM供電的電源開關,切斷SRAM的電源;二啟動FALSH自毀控制器,該自毀控制器對所要保護的FLASH內容執行插除操作,同時關閉對FLASH的正常取值和取數通路。本發明中的上電復位P0R、下點復位B0D、看門狗WDT為正常功能組件,不對自毀操作進行控制,芯片中存儲關鍵信息的存儲器有SRAM、FLASH,因SRAM和FLASH的不同特性分別采用不同的自毀手段。FLASH為非易失性存儲器,掉電后數據繼續存在,因此采用全片插除操作自毀,SRAM為易失性存儲器,采用掉電自毀。為提高安全芯片的應用適應性,為各個異常檢測單元配置使能信號,各異常只有在對應的使能信號有效時才會產生自毀信號,在不同的應用場景針對性的設置自毀保護。
[0023]本發明中的中央處理器I是芯片的工作核心,為各種應用開發、抗攻擊技術提供硬件平臺及程序。所述異常檢測單元9在檢測到異常后輸出相應異常信號給中央處理器,中央處理器I發送相應的使能信號給復位管理單元2和自毀管理單元3。所述復位管理單元2采用分級復位的方法對各種異常有效源和芯片功能復位源進行管理。所述自毀管理單元3用于在檢測到異常時將安全芯片的存儲器7的關鍵信息進行銷除。電源管理單元4為電源管理組件,通過該組件可以使中央處理器工作在各種省電模式下,該單元不受軟復位影響。調試單元5為芯片的調試組件,通過該組件調試工具可以觀察芯片內部的寄存器、存儲器等資源,該組件不受軟復位影響,在安全芯片中程序調試完成后,調試端口通常會鎖止,防止芯片內部數據通過調試端口被偷窺。總線單元6為標準總線接口及該接口連接的外設控制器,如SP1、I2C、UART, USB、對稱算法加速器、非對稱算法加速器、FLASH控制器、SRAM控制器等。存儲器7為芯片的存儲組件,通常有易失性存儲器和非易失性存儲器,易失性存儲器為SRAM,非易失性存儲器為FLASH。加解密單元8是一個可以實現一種或多種加解密算法的單元,這些算法通常同時有對稱算法(如AES,DES/3DES,國密SMl等)和非對稱算法(如RSA、ECC、國密SM2等),該單元可以采用純硬件實現,也可采用軟硬結合方式實現。
[0024]一種具體的應用:
參見圖4,本實施例是基于ARM Cortex-MO的SOC安全芯片,存儲資源有ROM、SRAM、FLASH,對存儲資源的訪問受MPU控制。存儲器訪問控制(MPU)功能基于安全的存儲器訪問控制策略實現,該訪問控制策略核心是分區和權限控制。ROM采用地址擾亂和數據加密存儲方式保證數據安全,SRAM則采用地址擾亂和數據完整性校驗保證數據安全。
[0025]本實施例算法單元包括對稱算法和非對稱算法,其中對稱算法有AES、DES/3DES、國密SMl等,非對稱算法有RSA、ECC、國密SM2等。外設單元通過AHB總線或APB總線與CPU總線連接,其中AHB總線單元有USB、SD卡從控制器SDS1、四通道串行FLASH(SQI FLASH)、FLASH, APB總線單元有隨機數生成器TRNG、智能卡主控制器SC1、智能卡從控制器SCS1、語音PWM(VPWM)、單線協議主接口 SWPM、單線協議從接口 SWPS、實時時鐘RTC、通用1控制器(GP1)、I2C、UART、SP1、SPI 從接口(SSI)。
[0026]本實施例通過復位和自毀管理單元(SCM)對芯片復位進行分級管理,對安全等級要求更高的應用采用自毀管理。該復位和自毀管理單元處理的異常有:上電檢測、下電檢測、電壓檢測(包括內核電壓檢測和核外電壓檢測)、光檢測、電磁檢測、有源屏蔽檢測、溫度檢測、頻率檢測、MPU異常、SRAM異常、ROM異常。
[0027]本實施例中電源由電源轉換單元管理,上電檢測、下電檢測和電壓檢測對電源管理單元進行監測,對供電異常作出響應。
[0028]本實施例中時鐘由時鐘生成單元產生,頻率檢測對時鐘生成單元的時鐘輸入進行檢測,對時鐘輸入異常作出響應。
[0029]本實施例中光檢測、電磁檢測、有源屏蔽檢測、溫度檢測都是模擬組件,分別處理光探測、電磁干擾、FIB、溫度異常的物理攻擊手段,復位和自毀管理單元一旦接收到這些模擬組建的異常輸出信號,將啟動芯片復位或自毀操作。
[0030]本實施例中MPU、SRAM、ROM的異常通過數字單元實現,MPU單元一旦出現當前的訪問限制區域被訪問到將產生訪問異常,SRAM、R0M—旦讀出數據的校驗出錯就產生訪問異常,通過復位和自毀管理單元啟動芯片復位和自毀操作。
【權利要求】
1.一種安全芯片的復位和自毀管理系統,其特征在于:包括一安全芯片,所述安全芯片上封裝有中央處理器,所述中央處理器上連接有復位管理單元、自毀管理單元、電源管理單元、調試單元、加解密單元、存儲器、總線單元,所述復位管理單元和自毀管理單元均與異常檢測單元連接,所述異常檢測單元包括多個用于檢測系統中各單元的異常情況的模擬或數字的異常檢測單元,當所述異常檢測單元檢測到某個單元異常時,則輸出該單元的異常信號給中央處理器,中央處理器在接收到異常信號后發出相應單元的復位使能信號或自毀使能信號給復位管理單元或自毀管理單元,所述復位管理單元或自毀管理單元在接收到相應的使能信號時對相應的單元進行復位或選擇性自毀。
2.根據權利要求1所述的一種安全芯片的復位和自毀管理系統,其特征在于:所述異常檢測單元包括對相應單元檢測的SRAM檢測單元、ROM檢測單元、有源屏蔽層檢測單元、下電檢測單元、內核電壓檢測單元、核外電壓檢測單元、溫度檢測單元、頻率檢測單元、外部自毀輸入檢測單元、看門狗檢測單元、MPU保護異常檢測單元、電磁檢測單元、光檢測單元。
3.根據權利要求2所述的一種安全芯片的復位和自毀管理系統,其特征在于:所述復位管理單元采用分級復位的方法對各種異常有效源和芯片功能復位源進行管理,復位等級共三級,第一級復位由芯片內部上電復位和外部復位共同產生,為正常功能模式下的全局復位源;第二級復位為全局復位源與各異常復位共同產生,為系統復位信號;第三級復位為系統復位信號與軟復位共同產生,為總線復位信號;所述總線復位信號用于復位總線單元、存儲器、加解密單元以及SRAM、ROM、MPU的異常檢測單元;系統復位信號用于復位電源管理單元、調試單元以及總線復位信號復位到的組件;全局復位源用于復位系統復位信號復位到的組件和有源屏蔽層檢測單元、下電檢測單元、內核電壓檢測單元、核外電壓檢測單元、溫度檢測單元、頻率檢測單元、自毀輸入檢測、電磁檢測單元以及看門狗檢測單元。
4.根據權利要求3所述的一種安全芯片的復位和自毀管理系統,其特征在于:所述復位管理單元的分級復位中與總線復位無關的異常檢測單元上電后一直處于工作狀態,持續檢測異常,不受芯片內各復位狀態的影響;與總線復位相關的異常檢測單元當總線復位后上述相關的異常檢測單元按新的配置重新啟動檢測,直至下一次總線復位。
5.根據權利要求3所述的一種安全芯片的復位和自毀管理系統,其特征在于:所述安全芯片在正常工作模式下各異常檢測單元應為全“ I”輸出,此時全局復位源旁路到系統復位信號,當某異常檢測單元檢測到異常輸出“O”后,該異常信號將疊加到系統復位信號上。
6.根據權利要求1、之一所述的一種安全芯片的復位和自毀管理系統,其特征在于:所述自毀管理單元用于在檢測到異常時將安全芯片的存儲器的關鍵信息進行銷除,當異常檢測單元檢測到內核電壓、核外電壓、工作溫度、自毀輸入、工作頻率、電磁、SRAM、ROM、MPU出現異常時,中央處理器啟動自毀管理單元的自毀操作:一關閉給SRAM供電的電源開關,切斷SRAM的電源;二啟動FALSH自毀控制器,該自毀控制器對所要保護的FLASH內容執行插除操作,同時關閉對FLASH的正常取值和取數通路。
【文檔編號】G06F21/70GK104268487SQ201410488611
【公開日】2015年1月7日 申請日期:2014年9月23日 優先權日:2014年9月23日
【發明者】徐功益, 錢志恒 申請人:杭州晟元芯片技術有限公司