一种智能终端主控芯片与加密芯片的绑定及认证方法技术

本发明专利技术公开了一种智能终端主控芯片与加密芯片的绑定及认证方法，包括如下步骤：预置密钥装置生成两个随机数KEY_CPUID和KEY_SN作为密钥；将两个密钥KEY_CPUID和KEY_SN均分别预置到主控芯片和加密芯片中；主控芯片读取加密芯片的序列号SN并存储，加密芯片读取主控芯片的中央处理器标识符CPUID并存储，以完成主控芯片与加密芯片的绑定；比对主控芯片和加密芯片中所存储的对方的序列号SN和中央处理器标识符CPUID，若序列号SN和中央处理器标识符CPUID均比对正确则主控芯片与加密芯片认证成功，否则认证失败。本发明专利技术不需要改变智能终端的物理结构，更安全、操作性更强、成本更低。

A method of binding and authentication of the main control chip and the encryption chip of the intelligent terminal

The invention discloses a binding intelligent terminal master control chip and chip encryption and authentication method, which comprises the following steps: preset key device generates two random numbers KEY_CPUID and KEY_SN as the key; the two key KEY_CPUID and KEY_SN were preset to the main control chip and encryption chip; the main control chip read encryption chip serial number and SN storage, encryption chip read the main control chip CPU identifier CPUID and stored in the main control chip and encryption chip binding; CPUID sequence number SN and the central processor identifier is stored on the main control chip and the encryption chip in the other, if the sequence number of SN and CPUID were compared to the central processor identifier right is the main control chip and chip encryption authentication is successful, otherwise the authentication failed. The invention does not need to change the physical structure of the intelligent terminal, which is safer, more operable and lower in cost.

【技术实现步骤摘要】
一种智能终端主控芯片与加密芯片的绑定及认证方法
本专利技术属于通信领域，尤其涉及一种智能终端主控芯片与加密芯片的绑定及认证方法。
技术介绍
智能终端，尤其是移动智能终端作为通讯社交及娱乐工具，已发展成人们生活工作的必需电子产品。根据国内领先的独立第三方数据服务提供商TalkingData提供的数据显示，仅在国内移动智能终端规模已突破13.7亿台，移动智能终端的快速发展也导致了个人信息被盗、数据泄露、数据欺诈等多种信息安全问题。在此背景下，如何保障用户个人信息与数据安全已是亟待解决的问题。目前，移动智能终端OEM和其他安全厂商都在移动智能终端制定了相应的安全解决方案。为保障移动智能终端的数据安全，厂商通常采用加密手段(软/硬件加密)来加密存储用户数据，以保障数据安全性。对于当前的移动智能终端加密数据采用的软件加密和硬件的加密方式，两者主要区别在于加密是否有硬件支持，软件加密运行是在系统级别，运算在纯软件环境下，而硬件加密需要一个专用的硬件设备(加密芯片)进行运算，从安全能力方面比较，硬件加密方案比软件加密更具优势。然而，虽然硬件加密(加密芯片)对移动智能终端数据加密更加安全，但亦无法防止非法人员通过相应的技术在软硬件层篡改主控芯片和/或加密芯片以获取移动智能终端已加密的数据及加密芯片保存的敏感信息，或通过对主控芯片与加密芯片的通信监听来获取敏感信息，从而为破解移动终端的安全机制提供更多有用信息。为防止这种软硬件层的篡改和监听，需要将移动智能终端的主控芯片与加密芯片进行安全绑定，提高终端的安全性能。而现有技术方案主要是通过修改芯片电路或焊接方式绑定，虽从物理上将主控芯片与加密芯片绑定了，同时具备一定的安全性，但是再对芯片的电路或终端的物理结构进行修改后，会导致可操作性难度和经济成本的增加。现有技术的另一种，是以软件方式直接对主控芯片和加密芯片进行ID绑定，这是一种表层的绑定，很容易被破解。
技术实现思路
为了解决上述技术问题，本专利技术的目的在于通过产生随机数的装置或系统，在无网络的安全环境下对智能终端预置密钥，从而提供主控芯片与加密芯片的安全绑定及认证，进而实现主控芯片和加密芯片的相互安全访问，增强移动智能终端的安全性，有效防止通过软件盗刷、篡改、及物理拆卸等攻击方式对智能终端的破解。本专利技术为了解决上述技术问题所采用的技术方案如下：一种智能终端主控芯片与加密芯片的绑定及认证方法，所述方法包括如下步骤：预置密钥装置生成两个随机数KEY_CPUID和KEY_SN作为密钥；将两个密钥KEY_CPUID和KEY_SN均分别预置到主控芯片和加密芯片中；主控芯片读取加密芯片的序列号SN并存储，加密芯片读取主控芯片的中央处理器标识符CPUID并存储，以完成主控芯片与加密芯片的绑定；比对主控芯片和加密芯片中所存储的对方的序列号SN和中央处理器标识符CPUID，若序列号SN和中央处理器标识符CPUID均比对正确则主控芯片与加密芯片认证成功，否则认证失败。作为本专利技术上述技术方案的进一步改进，一旦完成主控芯片与加密芯片的绑定，则对主控芯片与加密芯片进行写熔断操作。作为本专利技术上述技术方案的进一步改进，在智能终端与网络隔离的情况下将两个密钥KEY_CPUID和KEY_SN进行预置。作为本专利技术上述技术方案的进一步改进，将两个密钥KEY_CPUID和KEY_SN存储在主控芯片的TEE存储区。作为本专利技术上述技术方案的可选方案，在智能终端初始化时主控芯片与加密芯片分别读取对方的序列号SN和中央处理器标识符CPUID。作为本专利技术上述技术方案的可选方案，主控芯片将自己的中央处理器标识符CPUID和/或加密芯片的序列号SN存储在自己的Flash模块中。作为本专利技术上述技术方案的可选方案，加密芯片将两个密钥KEY_CPUID和KEY_SN存储在自己的安全存储区。作为本专利技术上述技术方案的可选方案，通过如下步骤来比对主控芯片和加密芯片中所存储的对方的序列号SN和中央处理器标识符CPUID：通过随机数发生器产生一个随机数RandNum，使用主控芯片中的密钥KEY_CPUID对主控芯片的中央处理器标识符CPUID和随机数RandNum进行加密运算，得到中央处理器标识符CPUID的加密密文；将中央处理器标识符CPUID的加密密文发送给加密芯片，并用加密芯片中的密钥KEY_CPUID对中央处理器标识符CPUID的加密密文进行解密运算，得到中央处理器标识符的明文CPUID和随机数RandNum；将上述明文CPUID与加密芯片中的中央处理器标识符CPUID进行比对，若比对正确则使用加密芯片中的密钥KEY_SN对加密芯片的序列号SN和随机数RandNum进行加密运算，得到序列号SN的加密密文，否则认证失败；将序列号SN的加密密文发送给主控芯片，并用主控芯片中的密钥KEY_SN对序列号SN的加密密文进行解密运算，得到序列号的明文SN和随机数RandNum；将上述明文SN与主控芯片中的序列号SN进行比对，若比对正确则认证成功，否则认证失败。作为本专利技术上述技术方案的可选方案，使用SM4算法对中央处理器标识符CPUID和序列号SN进行加解密运算。作为本专利技术上述技术方案的可选方案，若认证失败，则主控芯片与加密芯片无法再次进行数据通信。本专利技术相对现有技术具有如下有益的技术效果：本专利技术一种智能终端主控芯片与加密芯片的绑定及认证方法，通过产生随机数的装置或系统，在无网络的安全环境下对智能终端预置密钥，从而提供主控芯片与加密芯片的安全绑定及认证，进而实现主控芯片和加密芯片的相互安全访问，增强移动智能终端的安全性，有效防止通过软件盗刷、篡改、及物理拆卸等攻击方式对智能终端的破解；在本专利技术的方法中，一旦完成主控芯片与加密芯片的绑定，则对主控芯片与加密芯片进行写熔断操作，芯片一旦被写熔断后将无法再对配置区的信息进行更改和读取，可以有效保护芯片安全；本专利技术于利用现有的硬件条件和技术环境，在不改变移动智能终端物理结构的前提下，对终端的主控芯片和加密芯片进行绑定认证，其与现有技术相比更安全、操作性更强、成本更低。附图说明图1为本专利技术一种智能终端主控芯片与加密芯片的绑定及认证方法的一个实施例的系统结构示意图；图2为本专利技术一种智能终端主控芯片与加密芯片的绑定及认证方法的另一个实施例的系统结构示意图；图3为本专利技术在图2所示的系统结构下的方法流程示意图。具体实施方式以下结合附图对本专利技术的具体实施例作进一步详细地描述。通常，每款芯片都会有序列号SN，每款处理器也都会有中央处理器标识符CPUID。芯片的序列号SN即通常所指的身份识别码，它都是固定且可以作为身份标识的一组编码，厂家对每款芯片都有自己编号以示区别。从而，可以利用这些序列号和标识符来进行绑定即认证。根据本专利技术一种智能终端主控芯片与加密芯片的绑定及认证方法的一个实施例，实现本专利技术方法的系统结构示意图如图1所示，该系统包括主控芯片、加密芯片以及预置密钥装置，所述预置密钥装置不仅限于密码机、身份认证系统等具有下发随机数的硬件装置或软件系统，只要满足可安全的自动产生随机数作为密钥的装置或设备均可使用。其中，主控芯片具有自己的中央处理器标识符CPUID，加密芯片具有自己的序列号SN。在包含上述芯片及装置的这种系统下，本专利技术的一种智能终端主控芯片与加密芯本文档来自技高网...

【技术保护点】
一种智能终端主控芯片与加密芯片的绑定及认证方法，其特征在于，所述方法包括如下步骤：预置密钥装置生成两个随机数KEY_CPUID和KEY_SN作为密钥；将两个密钥KEY_CPUID和KEY_SN均分别预置到主控芯片和加密芯片中；主控芯片读取加密芯片的序列号SN并存储，加密芯片读取主控芯片的中央处理器标识符CPUID并存储，以完成主控芯片与加密芯片的绑定；比对主控芯片和加密芯片中所存储的对方的序列号SN和中央处理器标识符CPUID，若序列号SN和中央处理器标识符CPUID均比对正确则主控芯片与加密芯片认证成功，否则认证失败。

【技术特征摘要】
1.一种智能终端主控芯片与加密芯片的绑定及认证方法，其特征在于，所述方法包括如下步骤：预置密钥装置生成两个随机数KEY_CPUID和KEY_SN作为密钥；将两个密钥KEY_CPUID和KEY_SN均分别预置到主控芯片和加密芯片中；主控芯片读取加密芯片的序列号SN并存储，加密芯片读取主控芯片的中央处理器标识符CPUID并存储，以完成主控芯片与加密芯片的绑定；比对主控芯片和加密芯片中所存储的对方的序列号SN和中央处理器标识符CPUID，若序列号SN和中央处理器标识符CPUID均比对正确则主控芯片与加密芯片认证成功，否则认证失败。2.根据权利要求1所述的一种智能终端主控芯片与加密芯片的绑定及认证方法，其特征在于，一旦完成主控芯片与加密芯片的绑定，则对主控芯片与加密芯片进行写熔断操作。3.根据权利要求2所述的一种智能终端主控芯片与加密芯片的绑定及认证方法，其特征在于，在智能终端与网络隔离的情况下将两个密钥KEY_CPUID和KEY_SN进行预置。4.根据权利要求3所述的一种智能终端主控芯片与加密芯片的绑定及认证方法，其特征在于，将两个密钥KEY_CPUID和KEY_SN存储在主控芯片的TEE存储区。5.根据权利要求3所述的一种智能终端主控芯片与加密芯片的绑定及认证方法，其特征在于，在智能终端初始化时主控芯片与加密芯片分别读取对方的序列号SN和中央处理器标识符CPUID。6.根据权利要求2所述的一种智能终端主控芯片与加密芯片的绑定及认证方法，其特征在于，主控芯片将自己的中央处理器标识符CPUID和/或加密芯片的序列号SN存储在自己的Flash模块中。7.根据权利要求6所述的一种智能终端主控芯片与加密芯片的绑...

【专利技术属性】
技术研发人员：文明，刘俊，
申请(专利权)人：深圳市中易通安全芯科技有限公司，
类型：发明
国别省市：广东,44