一种面向信息安全的嵌入式计算机SiP模块设计方法及电路技术

本发明专利技术实施例提供了一种面向信息安全的嵌入式计算机SiP模块设计方法，及电路，其中，所述方法包括：处理器上电启动后执行引导程序，通过外部总线接口接收外部命令；当接收到应用程序加密指令时，从外部总线接口接收应用程序的原始数据，其中，所述原始数据未加密；处理器将所述原始数据通过SPI总线发送给算法安全芯片；所述算法安全芯片通过SM4算法协处理器对所述原始数据进行加密，形成应用程序的加密数据，并将加密密钥固化至所述算法安全芯片内部的FLASH存储器中；处理器通过SPI总线接收所述加密数据；处理器将所述加密数据固化进连接的FLASH中的应用程序存储区域。

A Design Method and Circuit of Embedded Computer SiP Module for Information Security

【技术实现步骤摘要】
一种面向信息安全的嵌入式计算机SiP模块设计方法及电路
本专利技术属于嵌入式计算机信息安全
,尤其涉及一种面向信息安全的嵌入式计算机SiP模块设计方法及电路。
技术介绍
在嵌入式计算机领域，SiP(SysteminPackage系统级封装)技术是实现嵌入式计算机小型化的核心技术。SiP技术可以使航空电子设备体积和重量数十倍地减小，可靠性上数十倍地提高，制造周期大大缩短，制造成本显著下降，是航空电子产品的集成化和小型化重要技术手段。信息安全的保密性可防止对手破译系统中的机密信息。加密技术是保证信息安全的关键技术，常用的加密技术有：对称密钥加密、公开密钥加密、哈希函数加密等。已经公布的国密算法包括：SM1对称算法、SM2非对称算法、SM3杂凑(Hash)算法、SM4分组加密算法。算法安全芯片是为系统提供安全配置、数据加密、安全存储、密钥管理和数字签名等安全功能的专用芯片。芯片内部集成国家密码管理局颁布的国密算法协处理器，具有加解密速度快，保密数据固化在芯片中，数据运算在芯片内部完成，外界无法感知获取，并有防御机制防止其泄露等技术优势。
技术实现思路
本专利技术是为了解决嵌入式计算机SiP模块缺乏信息安全的保密措施，存在核心数据和关键应用程序代码易被窃取的问题，提出了一种面向信息安全的嵌入式计算机SiP模块设计方法及电路。第一专利技术，本专利技术提供了一种面向信息安全的嵌入式计算机SiP模块设计方法，所述方法包括：处理器上电启动后执行引导程序，通过外部总线接口接收外部命令；当接收到应用程序加密指令时，从外部总线接口接收应用程序的原始数据，其中，所述原始数据未加密；处理器将所述原始数据通过SPI总线发送给算法安全芯片；所述算法安全芯片通过SM4算法协处理器对所述原始数据进行加密，形成应用程序的加密数据，并将加密密钥固化至所述算法安全芯片内部的FLASH存储器中；处理器通过SPI总线接收所述加密数据；处理器将所述加密数据固化进连接的FLASH中的应用程序存储区域。可选的，所述应用程序包括应用程序1和应用程序2，在所述处理器将所述加密数据固化进连接的FLASH中的应用程序存储区域后，所述方法还包括：处理器通过SPI接口或局部总线接口从连接的FLASH存储器的应用程序1存储区域中读取应用程序1的加密数据a；处理器将所述加密数据a通过SPI接口发送给安全加密芯片，并按照SM2算法生成解密密钥[A2]和加密密钥B2，将加密密钥B2通过SPI接口发送给所述安全加密芯片；所述安全芯片从自身的FLASH芯片中读取所述解密密钥[A]，将所述加密数据a解密，解密数据a经加密密钥B2加密后形成加密密文[a]，通过SPI接口发给处理器；处理器采用解密密钥[A2]对加密密文[a]进行解密，并生成解密数据A，将所述解密数据A存入自身处理器的SRAM中。可选的，在将所述解密数据A存入自身处理器的SRAM中之后，所述方法还包括：处理器通过SPI接口或局部总线接口从自身FLASH存储器的应用程序2存储区域中读取应用程序2的加密数据b；处理器将所述加密数据b通过SPI接口发送给所述安全加密芯片；所述安全芯片从自身的FLASH芯片中读取解密密钥[B]，将所述加密数据b解密，并生成解密数据B，将所述解密数据B存放在安全芯片内部的SRAM中。可选的，在将所述解密数据B存放在安全芯片内部的SRAM中后，所述方法还包括：处理器跳转至自身SRAM中的应用程序1执行，并向所述算法安全芯片发送应用程序2执行命令；所述算法安全芯片接收所述应用程序2执行命令时，跳转至自身SRAM中的应用程序2执行，并产生应用程序2运行结果；处理器中的应用程序1的通过函数接口，获得所述应用程序2运行结果。可选的，所述引导程序的代码段、所述应用程序1的代码段和所述应用程序2的代码段在所述处理器所连接的FLASH中分段存储。可选的，采用所述算法安全芯片用于存储解密密钥[A]和解密密钥[B]，所述算法安全芯片内部集成SM2和SM4算法协处理器。可选的，所述处理器和所述算法安全芯片之间采用SPI总线或内部总线进行互联，所述SPI总线上的数据采用公钥密码算法加密保护。第二专利技术，本专利技术提供了一种面向信息安全的嵌入式计算机SiP电路，所述电路包括处理器(1)、FLASH存储器(2)和安全芯片(3)，其中，所述处理器(1)与FLASH存储器(2)连接，所述处理器(1)和所述安全芯片(3)连接。可选的，所述处理器(1)、所述FLASH存储器(2)和所述安全芯片(3)封装在一个腔体内，通过键合丝、陶瓷基板或塑料基板互联。综上所述，在该方法中，安全数据的密钥保存在算法安全芯片中，且解密后的部分数据也在算法安全芯片中，达到了外部无法探测解密的目的；所有裸芯集成在一个封装体内通过键合丝、陶瓷基板或塑料基板互联，增加了物理探测的难度，且内部总线通信均为加密通道，可达到总线数据不易破解的目的。附图说明图1为本专利技术实施例提供的系统结构示意图；图2为本专利技术实施例提供的FLASH存储器中程序分区示意图。具体实施例本专利技术公开了一种面向信息安全的嵌入式计算机SiP模块设计方法及电路。所述SiP模块包括封装体、处理器裸芯、FLASH存储器裸芯和算法安全芯片裸芯，上述裸芯封装在一个封装体内；FLASH存储器实现安全数据的长期保存，算法安全芯片实现安全数据的加解密和密钥存储，处理器从FLASH存储器中读取加密数据，并将加密数据发送给算法安全芯片；算法安全芯片将加密数据解密后，一部分数据存放在算法安全芯片内部的SRAM中，一部分数据通过与处理器的软件加密通道发给处理器，处理器解密后，放入处理器内部的SRAM中。解密后的代码采用分布式运行，主要代码在处理器的SRAM中运行，部分计算性能要求不高的代码在安全芯片上运行，主处理器和安全芯片通过SiP模块内部总线进行信息通信。在该方法中，安全数据的密钥保存在算法安全芯片中，且解密后的部分数据也在算法安全芯片中，达到了外部无法探测解密的目的；所有裸芯集成在一个封装体内通过键合丝、陶瓷基板或塑料基板互联，增加了物理探测的难度，且内部总线通信均为加密通道，可达到总线数据不易破解的目的。该方案可解决嵌入式计算机SiP模块关键数据及程序代码的信息安全性，达到知识产权保护和防止数据窃取的目的。一种面向信息安全的嵌入式计算机SiP模块工作原理图如图1所示。本专利技术的实施例包括以下内容：(1)SiP模块硬件组成包括：1处理器(SoPC)、1片DDR3存储器、1片SPI接口FLASH存储器和1片算法安全芯片。SiP模块封装采用塑封BGA480，系统组成见图。性能指标：1、处理器：主频600MHz，内部集成浮点处理器，片上SRAM容量256KB，1路SPI接口。2、DDR3：存储容量1Gb，16-bit总线宽度，数据速率1333Mb/s。3、FLASH：存储128Mbit，支持四口SPI，最大四数据位读速度：50MHz。4、算法安全芯片：主频100MHz，片上SRAM容量256KB，片上ROM容量64KB，片上FLASH容量1MB，1路SPI接口，内部集成公钥算法引擎、SM2非对称算法协处理器、SM3杂凑(Hash)算法协处理器、SM4分组加密算法协处理器。(2)加密实施步骤如下：步骤101：处理器上电启动后本文档来自技高网...

【技术保护点】
1.一种面向信息安全的嵌入式计算机SiP模块设计方法，其特征在于，所述方法包括：处理器上电启动后执行引导程序，通过外部总线接口接收外部命令；当接收到应用程序加密指令时，从外部总线接口接收应用程序的原始数据，其中，所述原始数据未加密；处理器将所述原始数据通过SPI总线发送给算法安全芯片；所述算法安全芯片通过SM4算法协处理器对所述原始数据进行加密，形成应用程序的加密数据，并将加密密钥固化至所述算法安全芯片内部的FLASH存储器中；处理器通过SPI总线接收所述加密数据；处理器将所述加密数据固化进连接的FLASH中的应用程序存储区域。

【技术特征摘要】
1.一种面向信息安全的嵌入式计算机SiP模块设计方法，其特征在于，所述方法包括：处理器上电启动后执行引导程序，通过外部总线接口接收外部命令；当接收到应用程序加密指令时，从外部总线接口接收应用程序的原始数据，其中，所述原始数据未加密；处理器将所述原始数据通过SPI总线发送给算法安全芯片；所述算法安全芯片通过SM4算法协处理器对所述原始数据进行加密，形成应用程序的加密数据，并将加密密钥固化至所述算法安全芯片内部的FLASH存储器中；处理器通过SPI总线接收所述加密数据；处理器将所述加密数据固化进连接的FLASH中的应用程序存储区域。2.如权利要求1所述的方法，其特征在于，所述应用程序包括应用程序1和应用程序2，在所述处理器将所述加密数据固化进连接的FLASH中的应用程序存储区域后，所述方法还包括：处理器通过SPI接口或局部总线接口从连接的FLASH存储器的应用程序1存储区域中读取应用程序1的加密数据a；处理器将所述加密数据a通过SPI接口发送给安全加密芯片，并按照SM2算法生成解密密钥[A2]和加密密钥B2，将加密密钥B2通过SPI接口发送给所述安全加密芯片；所述安全芯片从自身的FLASH芯片中读取所述解密密钥[A]，将所述加密数据a解密，解密数据a经加密密钥B2加密后形成加密密文[a]，通过SPI接口发给处理器；处理器采用解密密钥[A2]对加密密文[a]进行解密，并生成解密数据A，将所述解密数据A存入自身处理器的SRAM中。3.如权利要求1所述的方法，其特征在于，在将所述解密数据A存入自身处理器的SRAM中之后，所述方法还包括：处理器通过SPI接口或局部总线接口从自身FLASH存储器的应用程序2存储区域中读取...

【专利技术属性】
技术研发人员：楚要钦，高浩，刘永强，陈川，吕浩，刘小剑，
申请(专利权)人：中国航空工业集团公司西安航空计算技术研究所，
类型：发明
国别省市：陕西,61