CN110837662B - 用于密码算法ip核的蜜罐模块 - Google Patents
用于密码算法ip核的蜜罐模块 Download PDFInfo
- Publication number
- CN110837662B CN110837662B CN201911131144.XA CN201911131144A CN110837662B CN 110837662 B CN110837662 B CN 110837662B CN 201911131144 A CN201911131144 A CN 201911131144A CN 110837662 B CN110837662 B CN 110837662B
- Authority
- CN
- China
- Prior art keywords
- core
- interface
- cryptographic algorithm
- data
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
- G06F21/755—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于数字芯片设计技术领域,具体涉及一种用于密码算法IP核的蜜罐模块。该蜜罐模块,检测当前的密码算法IP核在应用时是否受到攻击,并在受到攻击时返回加扰数据,增强密码算法IP核的安全性。本发明有益效果在于,当密码算法IP核在受到攻击时,保护密钥等敏感数据不易被窃取,从而增强密码算法IP核的安全性。
Description
技术领域
本发明属于数字芯片设计技术领域,具体涉及一种用于密码算法IP核的蜜罐模块。
背景技术
密码算法IP核是信息安全芯片中最核心的功能部分,可提供密钥生成、数据加密与身份认证等安全功能。但是密码算法IP核作为芯片架构中的从设备,通常是不具备主动防护功能,所以信息***一旦被破解,密码算法IP核只能被动的响应攻击者的操作请求,以致泄露密钥与敏感数据。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提供一种应用于密码算法IP核的技术方案,保护密码算法IP核在受到攻击时敏感数据不易被窃取。
(二)技术方案
为解决上述技术问题,本发明提供一种用于密码算法IP核的蜜罐模块,所述蜜罐模块所作用的密码算法IP核包括:接口模块和算法模块;
所述蜜罐模块包括:请求过滤单元、地址过滤单元、控制单元与数据保护单元,其通过请求过滤单元、地址过滤单元、控制单元与数据保护单元的协同工作实现对密码算法IP核的保护;
其中,所述请求过滤单元用于接收来自接口模块的接口请求信息,判断当前的接口请求信息是否合法,生成接口请求判断结果输出至控制单元,同时将来自接口模块的接口请求信息发送至算法模块;
所述地址过滤单元用于接收来自接口模块请求的接口地址信息,判断当前的接口地址信息是否合法,生成接口地址判断结果输出至控制单元,同时将来自接口模块的接口地址信息发送至算法模块;
所述控制单元用于接收所述接口请求判断结果,如果请求非法,则将开启保护的触发指令发送至数据保护单元;
所述控制单元还用于接收所述接口地址判断结果,如果地址非法,则判断当前密码算法IP核是否为调试模式,非调试模式时,则将开启保护的触发指令发送至数据保护单元;
所述数据保护单元用于在收到开启保护的触发指令后,调用其内部的随机数生成单元生成随机数,对来自算法模块的数据输出中的数据内容进行加扰操作。
其中,所述接口模块接收到来自外部的数据读或写请求,生成接口请求信息并发送至请求过滤单元,所述请求过滤单元判断接口请求信息的传输类型、数据位宽、突发类型、保护类型是否为密码算法IP核支持的类型,由此生成接口请求判断结果。
其中,所述地址过滤单元判断请求的接口地址信息是否合法,非法类型定义为包括访问地址越界、非授权寄存器地址、连续访问相邻地址在内的非正常使用情况出现的地址变化。
其中,所述密码算法IP核的调试模式仅为芯片出厂测试使用,普通用户无法配置。
其中,所述数据保护单元所生成的随机数,在每次数据输出时更换一次随机数。
其中,所述数据保护单元对算法模块的数据输出中与数据安全无关的状态内容进行原文输出。
其中,所述状态内容包括算法的状态机信息、错误信息、忙信息、中断信息在内各种状态信息。
其中,所述数据保护单元在在收到开启保护的触发指令后,还将通过其内部的非易失性存储设备记录开启保护的状态,该状态仅能通过调试模式进行清除。
其中,所述来自算法模块的数据输出中的数据内容包括:密钥、加密结果、解密结果在内的运算信息。
其中,所述接口模块表示密码算法IP核与外部相连的部分,用于与外部进行数据交互;所述算法模块表示密码算法IP核运算功能的部分,用于实现密钥生成、数据加密与身份认证逻辑功能。
(三)有益效果
与现有技术相比较,本发明提供一种应用于密码算法IP核的蜜罐模块,其用于检测当前的密码算法IP核在应用时是否受到攻击,并在受到攻击时返回加扰数据,增强密码算法IP核的安全性。本发明有益效果在于,当密码算法IP核在受到攻击时,保护密钥等敏感数据不易被窃取,从而增强密码算法IP核的安全性。
附图说明
图1为本发明的整体结构示意框图。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
为解决现有技术问题,本发明提供一种用于密码算法IP核的蜜罐模块,蜜罐技术是一种对攻击者进行欺骗的技术,当蜜罐模块检测到被攻击时,将返回虚假信息,从而迷惑攻击者来保护真正的数据。
所述蜜罐模块所作用的密码算法IP核包括:接口模块和算法模块;
如图1所示,所述蜜罐模块包括:请求过滤单元、地址过滤单元、控制单元与数据保护单元,其通过请求过滤单元、地址过滤单元、控制单元与数据保护单元的协同工作实现对密码算法IP核的保护;
其中,所述请求过滤单元用于接收来自接口模块的接口请求信息,判断当前的接口请求信息是否合法,生成接口请求判断结果输出至控制单元,同时将来自接口模块的接口请求信息发送至算法模块;
所述地址过滤单元用于接收来自接口模块请求的接口地址信息,判断当前的接口地址信息是否合法,生成接口地址判断结果输出至控制单元,同时将来自接口模块的接口地址信息发送至算法模块;
所述控制单元用于接收所述接口请求判断结果,如果请求非法,则将开启保护的触发指令发送至数据保护单元;
所述控制单元还用于接收所述接口地址判断结果,如果地址非法,则判断当前密码算法IP核是否为调试模式,非调试模式时,则将开启保护的触发指令发送至数据保护单元;
所述数据保护单元用于在收到开启保护的触发指令后,调用其内部的随机数生成单元生成随机数,对来自算法模块的数据输出中的数据内容进行加扰操作。
其中,所述接口模块接收到来自外部的数据读或写请求,生成接口请求信息并发送至请求过滤单元,所述请求过滤单元判断接口请求信息的传输类型、数据位宽、突发类型、保护类型是否为密码算法IP核支持的类型,由此生成接口请求判断结果。
其中,所述地址过滤单元判断请求的接口地址信息是否合法,非法类型定义为包括访问地址越界、非授权寄存器地址、连续访问相邻地址在内的非正常使用情况出现的地址变化。
其中,所述密码算法IP核的调试模式仅为芯片出厂测试使用,普通用户无法配置。
其中,所述数据保护单元所生成的随机数,在每次数据输出时更换一次随机数。
其中,所述数据保护单元对算法模块的数据输出中与数据安全无关的状态内容进行原文输出。
其中,所述状态内容包括算法的状态机信息、错误信息、忙信息、中断信息在内各种状态信息。
其中,所述数据保护单元在在收到开启保护的触发指令后,还将通过其内部的非易失性存储设备记录开启保护的状态,该状态仅能通过调试模式进行清除。若密码算法IP核的实现工艺不支持内部的非易失性存储设备,则可使用芯片的非易失性存储设备或密钥存储空间记录该信息。
其中,所述来自算法模块的数据输出中的数据内容包括:密钥、加密结果、解密结果在内的运算信息。
其中,所述接口模块表示密码算法IP核与外部相连的部分,用于与外部进行数据交互;所述算法模块表示密码算法IP核运算功能的部分,用于实现密钥生成、数据加密与身份认证逻辑功能。接口模块与算法模块是密码算法IP核的功能模块,并非本发明提供的设计,若密码算法IP核无蜜罐模块时,则接口模块与算法模块直接互连。所述接口模块中的接口请求、接口地址、接口写数据、接口读数据,以及算法模块中的数据输入、数据处理、数据输出部分,仅代表其与蜜罐模块互连时使用的相关功能。
实施例1
本实施例用于密码算法IP核的蜜罐模块的工作原理和工作流程是:
步骤1:接口模块接收到外部的数据读或写请求,蜜罐模块的请求过滤单元判断请求的传输类型、数据位宽、突发类型、保护类型等控制信息是否为密码算法IP核支持的类型,并将判断结果发送至控制单元,同时将原接口请求发送至算法模块;
步骤2:蜜罐模块的地址过滤单元判断请求的地址信息是否合法,非法类型定义为访问地址越界、非授权寄存器地址、连续访问相邻地址等非正常使用情况出现的地址变化,并将判断结果发送至控制单元,同时将原接口地址发送至算法模块;
步骤3:蜜罐模块的控制单元收到请求过滤单元的判断结果,如果请求非法,则将开启保护的结果发送至数据保护单元;收到地址过滤单元的判断结果,如果地址非法,则判断当前密码算法IP核是否为调试模式(调试模式仅为芯片出厂测试使用,普通用户无法配置),非调试模式时,则将开启保护的结果发送至数据保护单元;
步骤4:蜜罐模块的数据保护单元判断是否处于开启保护状态,处于开启保护状态或收到控制单元的开启保护的信息时,则调用数据保护单元内部的随机数生成功能生成随机数,对算法模块的数据输出中的数据内容进行加扰操作(数据内容包括密钥、加密结果、解密结果等运算信息),并且每次数据输出时更换一次随机数;对算法模块的数据输出中与数据安全无关的状态内容原文输出(状态内容包括算法的状态机信息、错误信息、忙信息、中断信息等状态信息)。
步骤5:蜜罐模块一旦检测到非法攻击,将使用数据保护单元内部的非易失性存储设备记录开启状态,该状态仅能通过调试模式进行清除。(若密码算法IP核的实现工艺不支持内部的非易失性存储设备,则可使用芯片的非易失性存储设备或密钥存储空间记录该信息)
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (9)
1.一种用于密码算法IP核的芯片,其特征在于,所述密码算法IP核包括:蜜罐模块、接口模块和算法模块;
所述蜜罐模块包括:请求过滤单元、地址过滤单元、控制单元与数据保护单元,其通过请求过滤单元、地址过滤单元、控制单元与数据保护单元的协同工作实现对密码算法IP核的保护;
其中,所述请求过滤单元用于接收来自接口模块的接口请求信息,判断当前的接口请求信息是否合法,生成接口请求判断结果输出至控制单元,同时将来自接口模块的接口请求信息发送至算法模块;
所述地址过滤单元用于接收来自接口模块请求的接口地址信息,判断当前的接口地址信息是否合法,生成接口地址判断结果输出至控制单元,同时将来自接口模块的接口地址信息发送至算法模块;
所述控制单元用于接收所述接口请求判断结果,如果请求非法,则将开启保护的触发指令发送至数据保护单元;
所述控制单元还用于接收所述接口地址判断结果,如果地址非法,则判断当前密码算法IP核是否为调试模式,非调试模式时,则将开启保护的触发指令发送至数据保护单元;
所述数据保护单元用于在收到开启保护的触发指令后,调用其内部的随机数生成单元生成随机数,对来自算法模块的数据输出中的数据内容进行加扰操作。
2.如权利要求1所述的用于密码算法IP核的芯片,其特征在于,所述接口模块接收到来自外部的数据读或写请求,生成接口请求信息并发送至请求过滤单元,所述请求过滤单元判断接口请求信息的传输类型、数据位宽、突发类型、保护类型是否为密码算法IP核支持的类型,由此生成接口请求判断结果。
3.如权利要求1所述的用于密码算法IP核的芯片,其特征在于,所述地址过滤单元判断请求的接口地址信息是否合法,非法类型定义为包括访问地址越界、非授权寄存器地址、连续访问相邻地址在内的非正常使用情况出现的地址变化。
4.如权利要求1所述的用于密码算法IP核的芯片,其特征在于,所述密码算法IP核的调试模式仅为芯片出厂测试使用,普通用户无法配置。
5.如权利要求1所述的用于密码算法IP核的芯片,其特征在于,所述数据保护单元对算法模块的数据输出中与数据安全无关的状态内容进行原文输出。
6.如权利要求5所述的用于密码算法IP核的芯片,其特征在于,所述状态内容包括算法的状态机信息、错误信息、忙信息、中断信息在内各种状态信息。
7.如权利要求1所述的用于密码算法IP核的芯片,其特征在于,所述数据保护单元在在收到开启保护的触发指令后,还将通过其内部的非易失性存储设备记录开启保护的状态,该状态仅能通过调试模式进行清除。
8.如权利要求1所述的用于密码算法IP核的芯片,其特征在于,所述来自算法模块的数据输出中的数据内容包括:密钥、加密结果、解密结果在内的运算信息。
9.如权利要求1所述的用于密码算法IP核的芯片,其特征在于,所述接口模块表示密码算法IP核与外部相连的部分,用于与外部进行数据交互;所述算法模块表示密码算法IP核运算功能的部分,用于实现密钥生成、数据加密与身份认证逻辑功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911131144.XA CN110837662B (zh) | 2019-11-19 | 2019-11-19 | 用于密码算法ip核的蜜罐模块 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911131144.XA CN110837662B (zh) | 2019-11-19 | 2019-11-19 | 用于密码算法ip核的蜜罐模块 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110837662A CN110837662A (zh) | 2020-02-25 |
| CN110837662B true CN110837662B (zh) | 2023-07-28 |
Family
ID=69576901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911131144.XA Active CN110837662B (zh) | 2019-11-19 | 2019-11-19 | 用于密码算法ip核的蜜罐模块 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110837662B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004005267A (ja) * | 2002-05-31 | 2004-01-08 | Le Tekku:Kk | 遊技機制御用チップ及び遊技機制御方法 |
| CN104484583A (zh) * | 2014-12-15 | 2015-04-01 | 天津大学 | 一种限定有效期的ip核的保护方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004185782A (ja) * | 2002-12-06 | 2004-07-02 | Pioneer Electronic Corp | 情報処理装置、情報記録装置、情報記録媒体、コンピュータプログラム及び情報処理方法 |
| US10873458B2 (en) * | 2016-04-28 | 2020-12-22 | Arnold G. Reinhold | System and method for securely storing and utilizing password validation data |
-
2019
- 2019-11-19 CN CN201911131144.XA patent/CN110837662B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004005267A (ja) * | 2002-05-31 | 2004-01-08 | Le Tekku:Kk | 遊技機制御用チップ及び遊技機制御方法 |
| CN104484583A (zh) * | 2014-12-15 | 2015-04-01 | 天津大学 | 一种限定有效期的ip核的保护方法 |
Non-Patent Citations (2)
| Title |
|---|
| 张跃军.基于正交混淆的多硬件IP核安全防护设计.电子与信息学报.2019,第41卷(第41期),全文. * |
| 赵英豪 ; 吴朔媚 ; 宋建卫 ; .嵌入式数据库加密管理***的设计.微计算机信息.2009,(第17期),全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110837662A (zh) | 2020-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW382681B (en) | Securely generating a computer system password by utilizing an external encryption algorithm | |
| CN104951409B (zh) | 一种基于硬件的全盘加密***及加密方法 | |
| CN108055133B (zh) | 一种基于区块链技术的密钥安全签名方法 | |
| EP3403185B1 (en) | Memory operation encryption | |
| CN101533445B (zh) | 提供安全执行环境的微处理器及其执行安全编码的方法 | |
| TWI471754B (zh) | 用於電腦系統中安全物件之支援 | |
| US8909932B2 (en) | Method and apparatus for security over multiple interfaces | |
| AU2010201896B2 (en) | Secure read-write storage device | |
| KR100607016B1 (ko) | 메모리 장치 | |
| CN110659458A (zh) | 支持软件代码数据保密可信执行的中央处理器设计方法 | |
| CN102855161B (zh) | 用于安全微控制器的外部存储器的数据交织方案 | |
| KR20060135467A (ko) | 보호된 비휘발성 메모리를 사용하는 시스템 및 방법 | |
| JP2007526661A (ja) | 信頼できる周辺機構 | |
| CN103440462A (zh) | 一种提高安全微处理器安全保密性能的嵌入式控制方法 | |
| JP4791250B2 (ja) | マイクロコンピュータおよびそのソフトウェア改竄防止方法 | |
| US8913745B2 (en) | Security within integrated circuits | |
| CN110765470A (zh) | 安全键盘实现方法、装置、计算机设备及存储介质 | |
| JP2008005408A (ja) | 記録データ処理装置 | |
| CN110837662B (zh) | 用于密码算法ip核的蜜罐模块 | |
| CN110912881B (zh) | 用于密码算法ip核的蜜罐加扰方法 | |
| Dionysiou et al. | Lethe: Practical data breach detection with zero persistent secret state | |
| US20090055660A1 (en) | Security flash memory, data encryption device and method for accessing security flash memory | |
| US9069988B2 (en) | Detecting key corruption | |
| CN101930523A (zh) | 文档保护***及方法 | |
| CN114048502B (zh) | 一种轻量级可信通道及其通信控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |