一种通用处理器,其特征在于:该通用处理器包括能够进行安全处理的安全内核,所述安全内核的至少一部分是可重组的。
【技术实现步骤摘要】
本专利技术涉及通用处理器,具体的,涉及支持可重组安全设计的通用处理器。
技术介绍
信息技术的飞速发展及其广泛应用,在给人们带来巨大便利的同时,也面临着信 息安全的问题。现已采取了许多措施以期解决信息安全的问题。其中,对信息进行加密就 是一行之有效的措施。传统的数据加密方法有两种,一种是软件加密方法,即用软件实现加密/解密算 法,在通用计算机上完成数据加密/解密操作;另外一种是硬件加密方法,即完全用硬件实 现某种加密/解密算法,制造出针对某种加密/解密算法的ASIC芯片,数据的加密/解密 在专用的加密芯片上实现。软件加密方法较为灵活,但速度较慢;而专用加密芯片的加/解 密速度很快,但是由于其针对特定算法,灵活性差。另外,从安全的角度来讲,上述两种加密方法都有极大的安全隐患。对软件加密方 法而言,攻击者可以用各种跟踪工具秘密修改算法而使任何人都不知道。对专用密码芯片 来讲,一旦芯片生产出来以后,其实现的密码算法是不可改变的,然而任何算法都有可能被 攻破,因此长期使用一种专用密码芯片难以保证信息的安全。而且针对某种特定算法的专 用密码芯片不能适应其它的密码算法。此外,专用密码芯片所实现的算法在设计阶段和生 产阶段是已知的,存在算法泄密的隐患。因此,要使密码芯片能够灵活、快速地实现多种不同的密码算法,则密码芯片的体 系结构必须具有一定程度的灵活性,例如是可重组(也称作可重构)的,从而可以实现不同 的密码算法。而相关领域的技术人员将理解,称一系统或电路等是可重组或可重构的是指 该系统或电路等中的部件或元件可以重新组合来实现不同或相同的功能。由于可重组密码芯片能够随时方便地改变算法或销毁算法,有效地防止算法泄露 或密码攻击;可重组密码芯片也能够选择每个算法的多种配置文件,有效地防止算法代码 被攻破。典型的,可重组密码逻辑由三部分组成重组元素、可控节点、以及它们之间的连 接网络。重组元素用于实现各种密码算法的基本操作成分,是可重组密码逻辑用于构建各 种密码算法的基本元素。重组元素之间的连接网络用于为各种密码算法建立所需的数据传 输通路。显然,重组元素及其连接网络须在可控节点的控制下才能实现不同的密码算法。可重组密码逻辑实现逻辑重组的基础是重组元素的功能可变、重组元素之间的数 据传输路径可变。可重组密码逻辑所实现的任何一个密码算法,都是由重组元素以某种组 合方式和连接关系构成的。在可重组密码逻辑中,常用的重组元素的类型有移位单元、置换单元、S盒、线性反 馈移位寄存器等。可重组密码逻辑连接网络的典型结构包括全部直接相连型连接网络、寄 存器堆间接相连型连接网络、部分直接部分间接相连型连接网络及其组合。为了实现重组元素的可变,需在重组元素的内部电路结构中设置某些可控节点,以控制重组元素的功能的改变,这类可控节点称之为功能控制节点;为了实现重组元素之 间的数据传输路径的可变,需在重组元素的数据传输网络中设置某些可控节点,以控制重 组元素之间的数据传输路径的改变,这类可控节点称之为通路控制节点。可重组密码逻辑的电路结构和功能的改变是通过对可控节点赋以不同的编码值 来实现的。密码算法的每一个操作步骤都是通过对多个可控节点赋予一定的控制编码来完 成的。所述控制编码也称为配置文件。因此,需要一种能够提供可重组的密码逻辑的通用处理器,以高效灵活地实现多 种期望的算法,从而提高系统密码体系的安全性。另一方面,随着信息技术的高速发展,危害信息安全的事件也不断发生。目前的计 算机特别是个人计算机的安全结构过于简单。而信息技术的发展使计算机变成网络中的一 部份,但是网络协议缺少安全设计,存在安全缺陷,而操作系统过于庞大,软件故障与安全 缺陷不可避免。因而,可信计算是日渐成为目前信息安全领域研究的热点问题之一。计算机系统 是否可信,包括硬件、网络、操作系统、间件、应用软件、信息系统使用者以及它们之问的交 互的复杂系统等是否可信。只有对上述诸多方面综合采取措施,才能有效地提高其安全性。 可信计算的基本思想是在计算机系统中首先建立一个信任根,再建立一条信任链,一级测 量认证一级,一级信任一级,把信任关系扩大到整个计算机系统,从而确保计算机系统的可fn °然而,在现有技术中,尚未有报道在如此多的方面全面地实现可信计算。通常,是 在主板上嵌入ESM模块(嵌入式安全模块),或者TPM/TCM芯片,其通过例如LPC总线与CPU 连接,并以此为信任根,对计算机包括BIOS、操作系统等等进行可信度量。在计算机启动时, 首先启动安全芯片对系统进行安全度量(这称作静态安全度量),而CPU不启动,在通过安 全度量之后,CPU启动执行指令。问题在于,一方面,TPM/TCM芯片存在于主板上、CPU之外,造成主板上布线等设 计的问题,还造成总线外露,在电磁上造成信息不安全。另一方面,由于各国之间安全标准 (协议、算法等等)不同,各国之间的安全模块或安全芯片又难以彼此兼容,使得难以在通 用CPU中嵌入安全模块。因此,需要一种能够提供进行安全度量、能够作为信任根的通用处理器,其能够极 大地提高安全性,并简化主板设计。还需要能够满足多个国家的安全标准的通用处理器。针对上述问题,本申请的专利技术人提出了一种支持可重组安全设计的通用处理器, 其能够克服或解决上述问题中的一个或多个。
技术实现思路
本专利技术的处理器采用一种不含任何算法的“白裸片”设计,不涉及密码算法,仅包 括支持密码算法实现的可重组和配置IP,使芯片在设计和生产过程中不会泄露任何密码算 法的信息。本专利技术的处理器实现了安全与计算一体化,从而本专利技术的处理器可以作为符合安 全要求的信任根和密码服务体系。根据本专利技术一个方面,本专利技术提供一种通用处理器,该通用处理器包括能够进行5安全处理的安全内核。所述安全内核包括下列中的一个或多个密码处理内核,其用于密码 处理;安全COS内核,其用于与安全协议有关的处理;以及安全度量内核,其用于安全度量处理。附图说明下面结合附图介绍示例性的实施例介绍本专利技术的各种方案、特点、优点及应用,其 中图1概念性地示出了根据本专利技术一个实施例的通用处理器的框图;图2概念性地示出了根据本专利技术一个实施例的密码内核的框图;图3概念性地示出了根据本专利技术一个实施例的密码内核的框图;图4概念性地示出了根据本专利技术一个实施例的安全COS内核的功能示例;图5示出了根据本专利技术一个实施例的安全COS内核的一种具体实现;以及图6示出了根据本专利技术一个实施例的体系结构图。具体实施例方式本领域技术人员将理解,下面的具体说明仅是示例性的,是为了更清楚地说明本 专利技术的总体概念、思想、结构,而并非是对权利要求的限制。图1示出了根据本专利技术的支持可重组安全设计的通用处理器的框图。根据本专利技术 一个实施例,该通用处理器包括安全内核和处理内核。所述安全内核用于进行安全处理。所 述安全处理至少包括,但是不限于,密码处理、与安全协议相关的处理、以及安全度量。相应 的,所述安全内核可以包括分别用于密码处理、与安全协议相关的处理、以及安全度量的密 码处理内核、安全COS内核以及安全度量内核中的一个或多个。安全COS内核还可以用于 1/0管理、存储管理、初始化控制等等。根据本专利技术不同的实施方式,安全COS内核执行的功 能可能有所不同。所述处理内核可以是常规的本文档来自技高网...
【技术保护点】
一种通用处理器,其特征在于:该通用处理器包括能够进行安全处理的安全内核,所述安全内核的至少一部分是可重组的。
【技术特征摘要】
【专利技术属性】
技术研发人员:刘大力,曹春春,
申请(专利权)人:北京多思科技发展有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。