一种用于信息安全的嵌入式CPU,其特征在于:在CPU核与存储器及外设之间设置一存储器加密保护单元,系统复位后将内存逻辑空间划分成三类区域,即若干个超级用户可编程区块、一个系统区、一个存储器保护单元控制区,同时将访问用户分为超级用户和普通用户两种; 存储器加密保护单元中包含有一访问属性保护单元、一存储区加密单元和一系统区加密单元,其中: (1)、访问属性保护单元,用于对上述三类区块进行访问保护,其内容包括: ①、地址分块寄存器,用于存放识别存储器及外设对应各区块的地址范围信息; ②、访问属性寄存器,用于存放存储器及外设对应各区块的访问属性信息; ③、地址比较器,用于将CPU核发出的一个地址与对应各区块的地址范围进行比较,如果说一个或多个区块包含该地址,将产生对应这些包含区块的信号,如果地址不在各区块地址范围,将产生一个地址异常信号; ④、属性判别逻辑,根据地址比较器产生的对应包含区块信号,按照优先原则选择最严格的访问属性来确定属性对照标准,并输出对应区块的属性与这次访问的属性进行比较,如果属性匹配将产生一个访问正常信号,如果不匹配将产生一个访问异常信号; ⑤、门开关,响应地址比较器和属性判别逻辑的信号,对应作出关闭或开启地址、控制及数据总线的反应; (2)、存储区加密单元,用于对若干个超级用户可编程区块进行加密保护,其内容包括: ①、加密使能寄存器,用来配置各个超级用户可编程区块的加密使能; ②、密钥寄存器,用于存放可软件编程的密钥; ③、数据加密/解密器,使用密钥寄存器中的软密钥对CPU核输出到各个超级用户可编程区块的数据进行加密,对各个超级用户可编程区块输入到CPU核的数据进行解密; ④、地址加密器,使用密钥寄存器中的软密钥将CPU核输出到各个超级用户可编程区块的地址打散; (3)、系统区加密单元,用于对系统区进行加密保护,其内容包括: ①、硬密钥,该密钥为硬件编程的密钥,用于对系统区加密; ②、数据加密/解密器,使用硬密钥对CPU核输出到系统区的数据进行加密,对系统区输入到CPU核的数据进行解密; ③、地址加密器,使用硬密钥将CPU核输出到系统区的地址打散。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及一种嵌入式CPU,具体涉及一种用于信息安全的嵌入式CPU。
技术介绍
目前信息安全领域中,最重要的一个部分就是嵌入式系统安全的问题,而嵌入式系统中的一个重要组成部分就是CPU,因而CPU核的安全性则决定了整个嵌入式系统的安全性能的高低。由于目前普通的嵌入式CPU核在结构设计中主要考虑的是速度、可靠性、功耗等一些非安全性的因素,产品的安全漏洞很多,根本不能满足构建信息安全系统的要求,因此要根据信息安全应用中的特殊要求设计专用的信息安全芯片。目前国内的信息安全产品,以银行卡、社保卡、手机SIM卡等卡类产品为例,绝大多数仍然停留在8位机的水平,并且多数的市场也是被一些国外的大公司(如Atmel、Philips、Infineon等)所控制。8位CPU构成的产品功耗和成本相对较低,但是在当前政务网安全、电子商务安全、网络传媒安全、网络安全管理等方面的应用中,8位机在处理能力、安全性等各个方面都已经显得力不从心。针对高端的32位机产品中,英国的ARM公司推出了SC100、SC200以及SC210三款针对信息安全的专用CPU,MIPS也推出了其4Ks系例的信息安全CPU。但是这些产品在使用方面不符合国家密码管理委员会规定的关于我国商用密码必须使用自主知识产权的要求;在安全性方面仍存在一些漏洞,比如ARM公司的SC200中的MPU就没有地址数据的加解密功能,而只有简单的内存保护功能。在国内,已发布的32位机有龙芯、方舟等,但这些公司目前还没有推出针对信息安全的专用CPU。因此,目前国内在32位信息安全专用CPU方面的产品还是一片空白。有鉴于此,本专利技术提出了一种用于信息安全的嵌入式CPU。该嵌入式CPU通过设置存储器加密保护单元(Memory Encryption and Protection Unit,缩写MEPU)实现了先进的数据/地址加解密机制和反攻击机制,对系统数据进行了不同层次的保护,大大提高了系统运行的安全性。其中,MEPU的设计构思适用32位、16位、8位等各种信息安全CPU。
技术实现思路
为达到上述目的,本专利技术采用的技术方案是一种用于信息安全的嵌入式CPU,在未采用安全保护措施的原始CPU核与存储器以及外部设备之间设有一个专门的存储器加密保护单元(以下简称MEPU),CPU核通过地址、控制、数据三总线经过MEPU与存储器以及外部设备通讯沟通。系统复位后将内存逻辑空间划分成三类区域,即若干个超级用户可编程区块、一个系统区、一个存储器保护单元控制区,同时将访问用户分为超级用户和普通用户两种。MEPU中包含有一访问属性保护单元、一存储区加密单元和一系统区加密单元,其中(1)、访问属性保护单元,用于对上述三类区块进行访问保护,其内容包括。①、地址范围寄存器,用于存放识别存储器及外设对应各区块的地址范围信息。②、访问属性寄存器,用于存放存储器及外设对应各区块的访问属性信息。③、地址比较器,用于将CPU核发出的一个地址与对应各区块的地址范围进行比较,如果说一个或多个区块包含该地址,将产生对应这些包含区块的信号,如果地址不在各区块地址范围,将产生一个地址异常信号。④、属性判别逻辑,响应地址比较器产生的对应包含区块信号,按照优先原则选择最严格的访问属性来确定属性对照标准,并输出对应区块的属性与这次访问的属性进行比较,如果属性匹配将产生一个访问正常信号,如果不匹配将产生一个访问异常信号。⑤、门开关,响应地址比较器和属性判别逻辑的信号,对应作出关闭或开启地址、控制及数据总线的反应。(2)、存储区加密单元,用于对若干个超级用户可编程区块进行加密保护,其内容包括①、加密使能寄存器,用来配置各个超级用户可编程区块的加密使能。②、密钥寄存器,用于存放可软件编程的密钥。③、数据加密/解密器,使用密钥寄存器中的软密钥对CPU核输出到各个超级用户可编程区块的数据进行加密,对各个超级用户可编程区块输入到CPU核的数据进行解密。④、地址加密器,使用密钥寄存器中的软密钥将CPU核输出到各个超级用户可编程区块的地址打散。(3)、系统区加密单元,用于对系统区进行加密保护,其内容包括①、硬密钥,该密钥为硬件编程的密钥,用于对系统区加密。②、数据加密/解密器,使用硬密钥对CPU核输出到系统区的数据进行加密,对系统区输入到CPU核的数据进行解密。③、地址加密器,使用硬密钥将CPU核输出到系统区的地址打散。上述技术方案的内容解释如下1、上述方案中,为了进一实现反攻击机制,访问属性保护单元中还包括访问状态寄存器和计数器,其中访问状态寄存器,用于记录非法访问发生的区块和访问类型信息,其中包含访问状态位,对应记录所有区块中的访问状态合法/非法;TC位,存放传输代码信号,该信号与上一次非法访问相联系;RW位,记录上次非法访问时读/写引脚信号;计数器,用于记录相同类型非法访问次数,如果记录的次数到达设定次数后,系统检测到外部的恶意攻击和破解,产生一个信号将阻塞系统。2、上述方案中,为了使超级用户可编程区块实现有效的保护,MEPU还包括一对应超级用户可编程区块的使能控制寄存器,用于将系统复位时处于禁止访问状态的超级用户可编程区块使能。3、上述方案中,为了使每个超级用户可编程区块具有更好的加密性,在对超级用户可编程区块进行加密时,每个区块的加密密钥都是不同的。4、上述方案中,在采用软密钥对若干个超级用户可编程区块中的数据加密时,是以1个字节为单位进行的,而对地址加密时则是在1K字节区内以四个字节为单位而进行的,即32位地址中最高的22位及最低的2位是不加密的,中间8位地址是要通过打乱进行加密的。5、上述方案中,所述若干个超级用户可编程区块的访问属性可选择下列不同类型中的一种访问属性代码普通用户访问超级用户访问0000RWX RWX0001R-X RWX 0010R---- RWX0011----X RWX0100------RWX0101------R-X0110------R----0111----------X1000R-X R-X1001R---- R----1010----X ----X1011------------1100RW-- RW-1101------RW-其中R表示读操作,W表示写操作,X表示执行操作,---表示不允许。6、上述方案中,超级用户可编程区块数≤存储器保护单元中所设的配置寄存器的数量,各配置寄存器与各区块一一对应。7、上述方案中,为了便于实现,每个超级用户可编程区块的大小在1K字节~4G字节范围,并以2的幂的倍数变化。8、上述方案中,每个超级用户可编程区块的基地址可以位于逻辑空间中的任意位置,并且自动变为该分区大小的整数倍。在若干个超级用户可编程区块配置中,各个区块之间允许重叠,重叠区域的访问属性选择对应的最严格访问属性。9、上述方案中,为了使超级用户灵活、有效的控制可编程区块,超级用户可以通过相关寄存器对各超级用户可编程区块的基地址、大小、是否加密以及访问属性进行配置。本专利技术的安全保护原理是MEPU在系统复位后提供了以下三种安全保护措施(1)、MEPU通过软件将访问用户分为超级用户和普通用户两种,超级用户对系统区和MEPU控制区具有访问权限,超级用户通过一组区块配置寄存器对若干个超级用户可编程区块的基本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:季红彬,于麦口,孙涛,蒋斌,
申请(专利权)人:苏州国芯科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。