信息安全處理器及實現運行時上下文信息保密的方法

專利名稱：信息安全處理器及實現運行時上下文信息保密的方法
技術領域：
本發明涉及信息安全處理領域，尤其涉及應用于集成電路系統中的使用的基于密碼學算法的信息安全處理器及實現運行時上下文信息保密的方法。
背景技術：
隨著網絡技術的迅猛發展，信息安全技術在當前變得尤為重要。對于日益增長的網絡流量，單純利用軟件方式對數據流進行加密或者解密運算已經不能滿足需求，因此構建由硬件實現的專用密碼芯片的方法稱為了一種新趨勢。當前的信息安全芯片包括單功能型(比如DES、3DES、AES、RSA等)、多功能型、高端芯片、SOC、ASIC等等，在嵌入式系統 (Embedded System)應用中，提供信息安全解決方案的信息安全處理器被廣泛采用。
然而，在一些復雜的應用中，一個信息安全處理器需要進行多任務處理，在進行任務切換時需要存取上下文信息時，如何對上下文信息進行保護以防止重要信息泄漏是目前亟待解決的問題。發明內容
為解決上述技術問題，本發明的目的在于提供一種信息安全處理器，其可確保在進行多任務處理時，對上下文信息進行加密后存放到外部可見的位置，從而防止多任務處理過程中重要信息的泄露。
相應地，本發明的目的還在于提供一種應用上述信息安全處理器實現多任務運行中上下文信息保密的方法。
為實現上述發明目的之一，本發明的一種信息安全處理器，包括如下單元上下文存儲單元、其為外部不可見的，用于存儲未加密的上下文信息；密鑰存儲單元、存儲有用于給所述上下文信息加密的上下文密鑰；信息安全處理核心、用于通過所述上下文密鑰將所述上下文信息加密后，存儲于外部可見位置。
作為本發明的進一步改進，所述信息安全處理核心還用于通過加密時采用的上下文密鑰對上下文進行解密。
作為本發明的進一步改進，所述外部可見位置包括設于所述信息安全處理器內部的外部可見空間、或者設于所述信息安全處理器外部的外部空間。
作為本發明的進一步改進，所述信息安全處理核心還用于將上下文信息寫入到所述上下文存儲單元。
作為本發明的進一步改進，所述密鑰存儲單元為外部不可見的、只能被所述信息安全處理核心使用。
為實現本發明的另一發明目的，一種實現上下文信息保密的方法，包括如下步驟 運行過程中調用未加密的上下文信息；調用上下文密鑰；通過所述上下文密鑰給所述上下文信息進行加密，并存儲到外部可見位置；再次使用上下文信息時，采用同一上下文密鑰對所述上下文信息進行解密。
作為本發明的進一步改進，所述外部可見位置包括設于所述信息安全處理器內部的外部可見空間、或者設于所述信息安全處理器外部的外部空間。
作為本發明的進一步改進，所述“上下文信息的調用”包括讀取、或者更改動作。
作為本發明的進一步改進，所述未加密的上下文信息存儲于外部不可見的第一空間內，所述上下文密鑰也存儲于外部不可見的第二空間內。
與現有技術相比，本發明通過存放運行時上下文信息到信息安全處理器內外部不可見的位置，當需要存儲上下文信息到外部可見位置時，使用上下文密鑰對上下文信息進行加密，從而防止多任務處理過程中重要信息的泄露。


圖1是本發明一實施方式中信息安全處理器的上下文存儲的工作原理圖； 圖2是本發明一實施方式中信息安全處理器的存儲空間的配置及使用流程； 圖3是本發明一實施方式中實現運行時上下文信息保密的方法的工作流程圖。
具體實施方式
以下將結合附圖所示的具體實施方式
對本發明進行詳細描述。但這些實施方式并不限制本發明，本領域的普通技術人員根據這些實施方式所做出的結構、方法、或功能上的變換均包含在本發明的保護范圍內。
請參照圖1所示，在本發明一具體實施方式
中，一種信息安全處理器10，為了支持多任務處理，具有密鑰存儲單元101及信息安全處理核心103兩個必要部件，其還包括上下文存儲單元102。
其中，上下文存儲單元102為外部不可見的，用于存儲未加密的上下文信息，該單元只能被處理器內部使用(即只能由信息安全處理核心訪問)，外部器件不可對其進行訪問。在本實施方式中，上下文存儲單元可包括存儲動態信息的隨機訪問存儲器(RAM)等動態存儲器，上下文信息可從上下文存儲單元被寫入和讀出。
密鑰存儲單元101內用于存儲用于給上下文信息加密的上下文密鑰，所述密鑰存儲單元為外部不可見的、只能被所述信息安全處理核心使用。其中，密鑰是一種參數，它是在明文(未加密上下文)轉換為密文(加密上下文)或將密文轉換為明文的算法中輸入的數據，密鑰分為兩種對稱密鑰與非對稱密鑰。所述密鑰存儲單元101包括存儲動態信息的隨機訪問存儲器(RAM)等動態存儲器，和存儲靜態信息的只讀存儲器(ROM)等靜態存儲器。
信息安全處理核心103用于通過上下文密鑰將上下文信息加密后，存儲于外部可見位置。其中，所述外部可見位置包括設于所述信息安全處理器內部的外部可見空間104、 或者設于所述信息安全處理器外部的外部空間105。這里所提及的外部可見空間和外部空間均為具有一定大小的存儲空間的存儲器。所述信息安全處理核心103還用于將上下文信息寫入到所述上下文存儲單元102。
于本發明中，信息安全處理核心103還用于通過加密時采用的上下文密鑰對上下文進行解密。具體地，當需要再次使用存儲到外部可見位置中的上下文信息時，通過同一密鑰對加密了的上下文信息進行解密以使其可以被使用。
如圖2所示，為本發明一實施方式中信息安全處理器的存儲空間的配置及使用流程圖。其中，當系統硬復位后，開始安全啟動過程；在執行安全啟動過程中，初始化安全空間大小(增加安全空間O-N次)；安全啟動結束后，可以調整安全空間和非安全空間的比例(安全空間只能增加)，在此之后，便可開始使用信息安全處理器，過程中可以根據需要再次增加安全空間比例，最后，在使用完畢后作一下硬復位。
如圖3所示，在本發明一具體實施方式
中，一種運用信息安全處理器實現上下文信息保密的方法，其包括如下步驟Si、運行過程中調用未加密的上下文信息；其中，在本實施方式中，所述“上下文信息的調用”包括讀取、或者更改動作。
上下文為一種屬性的有序序列，它們為駐留在環境內的對象定義環境。在對象的激活過程中創建上下文，對象被配置為要求某些自動服務，如同步、事務、實時激活、安全性寸寸。
S2、調用上下文密鑰；其中，密鑰是一種參數，它是在明文(未加密上下文)轉換為密文(加密上下文)或將密文轉換為明文的算法中輸入的數據，密鑰分為兩種對稱密鑰與非對稱密鑰。
值得一提的是，本實施方式中，所示未加密的上下文信息和對應的上下文密鑰分別單獨存儲在不同的空間中，所述未加密的上下文信息存儲于外部不可見的第一空間內 (即圖1中的上下文存儲單元102)，所述上下文密鑰也存儲于外部不可見的第二空間內(即圖1中的上下文存儲單元101)。
S3、通過所述上下文密鑰給所述上下文信息進行加密，并存儲到外部可見位置；所述外部可見位置包括設于所述信息安全處理器內部的外部可見空間、或者設于所述信息安全處理器外部的外部空間。
S4、再次使用上下文信息時，采用同一上下文密鑰對所述上下文信息進行解密。在本實施方式中，當需要再次使用存儲到外部可見位置中的上下文信息時，通過同一密鑰對加密了的上下文信息進行解密以使其可以被使用。
與現有技術相比，本發明通過存放運行時上下文信息到信息安全處理器內外部不可見的位置，當需要存儲上下文信息到外部可見位置時，使用上下文密鑰對上下文信息進行加密，從而防止多任務處理過程中重要信息的泄露。
以上所描述的裝置實施方式僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本實施方式方案的目的。本領域普通技術人員在不付出創造性勞動的情況下，即可以理解并實施。
為了描述的方便，描述以上裝置時以功能分為各種單元分別描述。當然，在實施本申請時可以把各單元的功能在同一個或多個軟件和/或硬件中實現。
以上所描述的裝置實施方式僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部模塊來實現本實施方式方案的目的。本領域普通技術人員在不付出創造性勞動的情況下，即可以理解并實施。
本申請可以在由計算機執行的計算機可執行指令的一般上下文中描述，例如程序模塊。一般地，程序模塊包括執行特定任務或實現特定抽象數據類型的例程、程序、對象、組件、數據結構等等。也可以在分布式計算環境中實踐本申請，在這些分布式計算環境中，由通過通信網絡而被連接的遠程處理設備來執行任務。在分布式計算環境中，程序模塊可以位于包括存儲設備在內的本地和遠程計算機存儲介質中。
應當理解，雖然本說明書按照實施方式加以描述，但并非每個實施方式僅包含一個獨立的技術方案，說明書的這種敘述方式僅僅是為清楚起見，本領域技術人員應當將說明書作為一個整體，各實施方式中的技術方案也可以經適當組合，形成本領域技術人員可以理解的其他實施方式。
上文所列出的一系列的詳細說明僅僅是針對本發明的可行性實施方式的具體說明，它們并非用以限制本發明的保護范圍，凡未脫離本發明技藝精神所作的等效實施方式或變更均應包含在本發明的保護范圍之內。
權利要求
1.一種信息安全處理器，其特征在于，其包括如下單元上下文存儲單元、其為外部不可見的，用于存儲未加密的上下文信息；密鑰存儲單元、存儲有用于給所述上下文信息加密的上下文密鑰；信息安全處理核心、用于通過所述上下文密鑰將所述上下文信息加密后，存儲于外部可見位置。
2.根據權利要求1所述的信息安全處理器，其特征在于，所述信息安全處理核心還用于通過加密時采用的上下文密鑰對上下文進行解密。
3.根據權利要求1或2所述的信息安全處理器，其特征在于，所述外部可見位置包括設于所述信息安全處理器內部的外部可見空間、或者設于所述信息安全處理器外部的外部空間。
4.根據權利要求1所述的信息安全處理器，其特征在于，所述信息安全處理核心還用于將上下文信息寫入到所述上下文存儲單元。
5.根據權利要求1所述的方法，其特征在于，所述密鑰存儲單元為外部不可見的、只能被所述信息安全處理核心使用。
6.一種應用權利要求1所述的信息安全處理器實現上下文信息保密的方法，其特征在于，其包括如下步驟運行過程中調用未加密的上下文信息；調用上下文密鑰；通過所述上下文密鑰給所述上下文信息進行加密，并存儲到外部可見位置；再次使用上下文信息時，采用同一上下文密鑰對所述上下文信息進行解密。
7.根據權利要求6所述的方法，其特征在于，所述外部可見位置包括設于所述信息安全處理器內部的外部可見空間、或者設于所述信息安全處理器外部的外部空間。
8.根據權利要求6所述的方法，其特征在于，所述“上下文信息的調用”包括讀取、或者更改動作。
9.根據權利要求6至8中任意一項所述的方法，其特征在于，所述未加密的上下文信息存儲于外部不可見的第一空間內，所述上下文密鑰也存儲于外部不可見的第二空間內。
全文摘要
本發明提供一種信息安全處理器，其包括如下單元上下文存儲單元、其為外部不可見的，用于存儲未加密的上下文信息；密鑰存儲單元、存儲有用于給所述上下文信息加密的上下文密鑰；信息安全處理核心、用于通過所述上下文密鑰將所述上下文信息加密后，存儲于外部可見位置。與現有技術相比，本發明通過存放運行時上下文信息到信息安全處理器內外部不可見的位置，當需要存儲上下文信息到外部可見位置時，使用上下文密鑰對上下文信息進行加密，從而防止多任務處理過程中重要信息的泄露。
文檔編號H04L9/00GK102542213SQ20111039818
公開日2012年7月4日 申請日期2011年12月5日 優先權日2011年12月5日
發明者余紅斌, 妙維, 李張豐, 袁宏駿 申請人:蘇州希圖視鼎微電子有限公司