首页 > 专利 > 苏州中科安源信息技术有限公司 > 一种多级别安全存储芯片构架专利详情

一种多级别安全存储芯片构架 0 0

有效专利查看PDF

申请进展

基本信息

申请人信息

代理人信息

摘要

法律状态

权利要求

说明书

专利申请流程有哪些步骤？

申请

申请号：指国家知识产权局受理一件专利申请时给予该专利申请的一个标示号码。唯一性原则。

申请日：提出专利申请之日。

2019-09-10

申请公布

申请公布指发明专利申请经初步审查合格后，自申请日（或优先权日）起18个月期满时的公布或根据申请人的请求提前进行的公布。

申请公布号：专利申请过程中，在尚未取得专利授权之前，国家专利局《专利公报》公开专利时的编号。

申请公布日：申请公开的日期，即在专利公报上予以公开的日期。

2020-02-11

授权

授权指对发明专利申请经实质审查没有发现驳回理由，授予发明专利权；或对实用新型或外观设计专利申请经初步审查没有发现驳回理由，授予实用新型专利权或外观设计专利权。

2021-06-29

预估到期

发明专利权的期限为二十年，实用新型专利权期限为十年，外观设计专利权期限为十五年，均自申请日起计算。专利届满后法律终止保护。

2039-09-10

基本信息

有效性	有效专利	专利类型	发明专利
申请号	CN201910851760.6	申请日	2019-09-10
公开/公告号	CN110674515B	公开/公告日	2021-06-29
授权日	2021-06-29	预估到期日	2039-09-10
申请年	2019年	公开/公告年	2021年
缴费截止日
分类号	G06F21/60 、G06F21/74 、G06F21/79 、G05B19/042	主分类号	G06F21/60
是否联合申请	联合申请	文献类型号	B
独权数量	1	从权数量	0
权利要求数量	1	非专利引证数量	0
引用专利数量	0	被引证专利数量	0
非专利引证
引用专利		被引证专利
专利权维持	3	专利申请国编码	CN
专利事件		事务标签	公开、实质审查、授权

申请人信息

申请人	苏州中科安源信息技术有限公司、杭州电子科技大学	第一申请人	苏州中科安源信息技术有限公司
专利权人	苏州中科安源信息技术有限公司,杭州电子科技大学	当前专利权人	苏州中科安源信息技术有限公司,杭州电子科技大学
发明人	姜显扬、王德富、陈木市、徐欣	第一发明人	姜显扬
地址	江苏省苏州市吴中区苏州工业园区金鸡湖大道99号苏州纳米城西北区01幢(NW-01幢)701室	邮编	215002
申请人数量	2	发明人数量	4
申请人所在省	江苏省	申请人所在市	江苏省苏州市

代理人信息

代理机构

专利代理机构是经省专利管理局审核，国家知识产权局批准设立，可以接受委托人的委托，在委托权限范围内以委托人的名义办理专利申请或其他专利事务的服务机构。

杭州君度专利代理事务所

代理人

专利代理师是代理他人进行专利申请和办理其他专利事务，取得一定资格的人。

杨舟涛

摘要

本发明公开了一种多级别安全存储芯片构架。针对根据嵌入式系统中对存储程序与数据的保密性要求的不同，本发明包括微控制单元和存储模块。微控制单元为一块MCU芯片，包括接入认证模块与数据加/解密单元。存储模块包括两块片外Flash存储芯片，其中一块作为普通存储区，另一块作为安全存储区；普通存储区按照地址分为公共区和验证区。微控制单元与存储模块采用SPI总线连接。该安全存储芯片的读写模式按照安全等级由低到高分为三种模式：普通模式、认证模式和密文模式。本发明的存储芯片构架提供不同的安全存储模式，提高对存储数据有不同保密要求的嵌入式系统的工作效率。

摘要附图
说明书附图：图1
说明书附图：图2

法律状态

序号	法律状态公告日	法律状态	法律状态信息
1	2021-06-29	授权
2	2020-02-11	实质审查的生效	IPC(主分类): G06F 21/60 专利申请号: 201910851760.6 申请日: 2019.09.10
3	2020-01-10	公开

权利要求

权利要求书是申请文件最核心的部分，是申请人向国家申请保护他的发明创造及划定保护范围的文件。

1.一种多级别安全存储芯片构架，所述的存储芯片构架包括微控制单元和存储模块，其特征在于：
所述的微控制单元为一块MCU芯片，包括接入认证模块和数据加/解密单元；
所述存储模块包括两块片外Flash存储芯片，其中一块作为普通存储区，另一块作为安全存储区；普通存储区按照地址分为公共区和验证区；
微控制单元与存储模块采用SPI总线连接，外围设备经过GPIO总线由微控制单元处理向所述存储模块读取与写入数据的请求，不能与所述存储模块直接通信；
采用SIP堆叠封装方法，将MCU芯片、片外Flash存储芯片以及电路相应的无源元器件封装在一个封装体内；每块安全存储芯片都烧录有不相同的设备码，每段设备码都具有对应的公私密钥，所述的公私密钥储存在微控制单元的寄存器中，将所述设备码通过Hash函数运算生成固定长度的消息摘要储存在微控制单元的寄存器中；
所述的安全存储芯片的读写模式按照安全等级由低到高分为三种模式：普通模式、认证模式和密文模式；进行读写操作前，外围设备与安全存储芯片建立通信连接，使安全存储芯片进入工作状态；
所述普通模式：适用于没有保密性要求的数据的读写，读取与写入的命令请求的格式包括读/写指令、模式字节和数据地址字节；外围设备发送命令请求至安全存储芯片，安全存储芯片根据命令请求中的读/写指令进行相应操作；
进行写入操作时，外围设备发送需要写入的数据至微控制单元，微控制单元根据数据地址字节，将需要写入的数据传输至作为普通存储区的片外Flash存储芯片的公共区；进行读取操作时，微控制单元根据数据地址字节从作为普通存储区的片外Flash存储芯片的公共区提取要读取的数据，然后将数据传输至外围设备；
所述认证模式：适用于低保密性要求的数据的读写，数据以密文的形式储存在作为普通存储区的片外Flash存储芯片的验证区，读取与写入的命令请求的格式包括读/写指令、模式字节、认证字节、数据地址字节；
外围设备发送命令请求至安全存储芯片，安全存储芯片首先通过微控制单元中的接入认证模块将消息摘要同认证字节进行比对：若比对结果一致则进入读/写操作；进行写入操作时，外围设备发送需要写入的数据至微控制单元，微控制单元中的加/解密单元采用对称加密模式算法将数据加密处理，然后微控制单元根据数据地址字节将加密后的数据传输至作为普通存储区的片外Flash存储芯片的验证区；进行读取操作时，微控制单元根据数据地址字节从作为普通存储区的片外Flash存储芯片的验证区提取要读取的数据，通过加/解密单元将提取的数据进行解密操作，然后将解密后的数据传输至外围设备；若比对结果不一致则拒绝读/写操作；
所述密文模式：适用于高保密性要求的数据的读写，数据信息以密文的方式存储在作为安全存储区的片外Flash存储芯片，读取与写入的命令请求为密文模式的指令格式，包括：读/写指令、模式字节、认证字节、数据地址字节；
外围设备发送命令请求至安全存储芯片，首先通过微控制单元中的接入认证模块将消息摘要同认证字节进行比对：若比对结果一致则进入读/写操作；进行写入操作时，外围设备发送需要写入的数据至微控制单元，微控制单元中的加/解密单元将使用公钥对数据进行加密处理，然后微控制单元根据数据地址字节将加密后的数据传输至作为安全存储区的片外Flash存储芯片；进行读取操作时，微控制单元根据数据地址字节从作为安全存储区的片外Flash存储芯片提取要读取的数据传输至外围设备，外围设备通过授权得到私钥，然后利用私钥对读取的数据进行解密。

说明书

技术领域

[0001] 本发明属于芯片及信息安全领域，具体是嵌入式存储芯片领域，涉及一种多级别安全存储芯片构架。

背景技术

[0002] 嵌入式设备作为以其出色的适应性、可靠性和专用性被广泛应用于工业制造之中。基于嵌入式的电子设备种类繁多。而随着科技的发展，现在的工业生产越来越朝着智能化、大型化发展。嵌入式设备实现的功能种类越来越丰富，人们对其要求也随之增加。这相应的使得嵌入式设备所需要的代码与数据量也随之增长。因此，在很多的嵌入式设备中需要额外的片外存储芯片来进行程序和数据的保存。

[0003] 对于存储芯片除了实现对设备正常运行的程序和数据的保存外，还要保证存储数据的安全性。在嵌入式系统的研发中需要投入大量的人力物力，而往往其产品却很容易被复制剽窃。程序与数据遭到窃取，对开发者造成极大的损失。安全芯片的设计研究显得尤为重要。现阶段的一些安全存储芯片的设计种类很多，运用的方法技术也各不相同。但它们往往都是针对单一的固定安全加密方法设计。对于有的嵌入式设备，可能并不是所有的数据信息都需要进行严格的加密或者不同的数据对保密性的要求也不一样。因此，针对不同的保密要求设计一种多保密等级的安全存储芯片有着重要的社会与市场需求。

发明内容

[0004] 本发明的目的是提供一种多级别安全存储芯片构架。针对根据嵌入式系统中对存储程序与数据的保密性要求的不同，本发明的存储芯片构架提供不同的安全存储模式，提高对存储数据有不同保密要求的嵌入式系统的工作效率。

[0005] 本发明的存储芯片构架包括微控制单元和存储模块。

[0006] 所述的微控制单元为一块MCU芯片，包括接入认证模块与数据加/解密单元。

[0007] 所述存储模块包括两块片外Flash存储芯片，其中一块作为普通存储区，另一块作为安全存储区；普通存储区按照地址分为公共区和验证区。

[0008] 微控制单元与存储模块采用SPI总线连接，外围设备经过GPIO总线由微控制单元处理向所述存储模块读取与写入数据的请求，不能与所述存储模块直接通信，保证存储芯片内的数据安全。

[0009] 采用SIP堆叠封装方法，将MCU芯片、片外Flash存储芯片以及电路相应的无源元器件封装在一个封装体内，形成一个具有多模式存储功能的安全存储系统，作为嵌入式安全存储芯片使用。这种封装设计使得芯片的开发周期短、生产成本低，且相对于PCB板电路具有更大的集成规模，有效缩小了系统的体积。每块安全存储芯片都烧录有不相同的设备码，每段设备码都具有对应的公私密钥，所述的公私密钥储存在微控制单元的寄存器中，将所述设备码通过Hash函数运算生成固定长度的消息摘要储存在微控制单元的寄存器中。生成消息摘要所使用的Hash函数算法包括MD5、SHA算法。

[0010] 所述的安全存储芯片的读写模式按照安全等级由低到高分为三种模式：普通模式、认证模式和密文模式。三种模式具有相应的命令请求格式，用户根据具体的需要选择合适的模式来进行数据的读取与写入。进行读写操作前，外围设备与安全存储芯片建立通信连接，使安全存储芯片进入工作状态。

[0011] 普通模式：适用于没有保密性要求的数据的读写，读取与写入的命令请求的格式包括读/写指令、模式字节和数据地址字节。外围设备发送命令请求至安全存储芯片，安全存储芯片根据命令请求中的读/写指令进行相应操作。

[0012] 进行写入操作时，外围设备发送需要写入的数据至微控制单元，微控制单元根据数据地址字节，将需要写入的数据传输至作为普通存储区的片外Flash存储芯片的公共区；进行读取操作时，微控制单元根据数据地址字节从作为普通存储区的片外Flash存储芯片的公共区提取要读取的数据，然后将数据传输至外围设备。在信息交互的过程中不会对数据进行加密。也不会在设备进行连接之后再次进行认证。

[0013] 认证模式：适用于低保密性要求的数据的读写，数据以密文的形式储存在作为普通存储区的片外Flash存储芯片的验证区，读取与写入的命令请求的格式包括读/写指令、模式字节、认证字节、数据地址字节。

[0014] 外围设备发送命令请求至安全存储芯片，安全存储芯片首先通过微控制单元中的接入认证模块将消息摘要同认证字节进行比对：若比对结果一致则进入读/写操作；进行写入操作时，外围设备发送需要写入的数据至微控制单元，微控制单元中的加/解密单元采用对称加密模式算法将数据加密处理，然后微控制单元根据数据地址字节将加密后的数据传输至作为普通存储区的片外Flash存储芯片的验证区；进行读取操作时，微控制单元根据数据地址字节从作为普通存储区的片外Flash存储芯片的验证区提取要读取的数据，通过加/解密单元将提取的数据进行解密操作，然后将解密后的数据传输至外围设备；若比对结果不一致则拒绝读/写操作。

[0015] 认证字节使用的是设备码的Hash函数算法值，即使泄露对方也不会得到芯片的设备码。保证了认证模式的安全性。

[0016] 密文模式：适用于高保密性要求的数据的读写，数据信息以密文的方式存储在作为安全存储区的片外Flash存储芯片，读取与写入的命令请求为密文模式的指令格式，包括：读/写指令、模式字节、认证字节、数据地址字节。

[0017] 外围设备发送命令请求至安全存储芯片，首先通过微控制单元中的接入认证模块将消息摘要同认证字节进行比对：若比对结果一致则进入读/写操作；进行写入操作时，外围设备发送需要写入的数据至微控制单元，微控制单元中的加/解密单元将使用公钥对数据进行加密处理，然后微控制单元根据数据地址字节将加密后的数据传输至作为安全存储区的片外Flash存储芯片；进行读取操作时，微控制单元根据数据地址字节从作为安全存储区的片外Flash存储芯片提取要读取的数据传输至外围设备，外围设备通过授权得到私钥，然后利用私钥对读取的数据进行解密。

[0018] 对于非法的外围设备得到的只是加密后的无序数据，由于没有私钥，将无法得到真正的明文数据。

[0019] 本发明有益效果：本发明将多种加密模式集合于同一芯片中，用户可以根据存储数据不同的保密要求来发送不同格式指令来进行读写操作。避免了在单一的安全存储芯片中一些无需加密的公开数据也要经过加密过程或认证流程，增强了数据读/写效率。

实施方案

[0022] 下面结合附图和实施例对本发明作进一步说明，但本发明保护范围不局限于以下所述。

[0023] 如图1所示，本发明的存储芯片构架包括微控制单元和存储模块。

[0024] 微控制单元1为一块MCU芯片，包括接入认证模块1‑1与数据加/解密单元1‑2。

[0025] 存储模块包括两块片外Flash存储芯片，其中一块作为普通存储区2，另一块作为安全存储区3；普通存储区按照地址分为公共区2‑1和验证区2‑2。

[0026] 微控制单元1采用SPI总线连接所述的存储模块，外围设备4经过GPIO总线由微控制单元1处理向存储模块读取与写入数据的请求，不能与存储模块直接通信，保证存储芯片内的数据安全。

[0027] 采用SIP堆叠封装方法，将MCU芯片、片外Flash存储芯片以及电路相应的无源元器件封装在一个封装体内，形成一个具有多模式存储功能的安全存储系统，作为嵌入式安全存储芯片使用。这种封装设计使得芯片的开发周期短、生产成本低，且相对于PCB板电路具有更大的集成规模，有效缩小了系统的体积。每块安全存储芯片都烧录有不相同的设备码，每段设备码都具有对应的公私密钥，公私密钥储存在微控制单元1的寄存器中，将设备码通过Hash函数运算生成固定长度的消息摘要储存在微控制单元1的寄存器中。生成消息摘要所使用的Hash函数算法包括MD5、SHA算法。

[0028] 如图2所示，安全存储芯片的读写模式按照安全等级由低到高分为三种模式：普通模式、认证模式和密文模式。三种模式具有相应的命令请求格式，用户根据具体的需要选择合适的模式来进行数据的读取与写入。进行读写操作前，外围设备4与安全存储芯片建立通信连接，使安全存储芯片进入工作状态。

[0029] 普通模式：适用于没有保密性要求的数据的读写，读取与写入的命令请求的格式包括读/写指令、模式字节和数据地址字节。外围设备4发送命令请求至安全存储芯片，安全存储芯片根据命令请求中的读/写指令进行相应操作。

[0030] 进行写入操作时，外围设备4发送需要写入的数据至微控制单元1，微控制单元1根据数据地址字节，将需要写入的数据传输至作为普通存储区2的片外Flash存储芯片的公共区2‑1；进行读取操作时，微控制单元1根据数据地址字节从作为普通存储区2的片外Flash存储芯片的公共区2‑1提取要读取的数据，然后将数据传输至外围设备4。在信息交互的过程中不会对数据进行加密，也不会在设备进行连接之后再次进行认证。

[0031] 认证模式：适用于低保密性要求的数据的读写，数据以密文的形式储存在作为普通存储区2的片外Flash存储芯片的验证区2‑2，读取与写入的命令请求的格式包括读/写指令、模式字节、认证字节、数据地址字节。

[0032] 外围设备4发送命令请求至安全存储芯片，安全存储芯片首先通过微控制单元1中的接入认证模块1‑1将消息摘要同认证字节进行比对：若比对结果一致则进入读/写操作；进行写入操作时，外围设备4发送需要写入的数据至微控制单元1，微控制单元1中的加/解密单元1‑2采用对称加密模式算法将数据加密处理，然后微控制单元1根据数据地址字节将加密后的数据传输至作为普通存储区2的片外Flash存储芯片的验证区2‑2；进行读取操作时，微控制单元1根据数据地址字节从作为普通存储区2的片外Flash存储芯片的验证区2‑2提取要读取的数据，通过加/解密单元1‑2将提取的数据进行解密操作，然后将解密后的数据传输至外围设备4；若比对结果不一致则拒绝读/写操作。

[0033] 认证字节使用的是设备码的Hash函数算法值，即使泄露对方也不会得到芯片的设备码。保证了认证模式的安全性。

[0034] 密文模式：适用于高保密性要求的数据的读写，数据信息以密文的方式存储在作为安全存储区3的片外Flash存储芯片，读取与写入的命令请求为密文模式的指令格式，包括：读/写指令、模式字节、认证字节、数据地址字节。

[0035] 外围设备4发送命令请求至安全存储芯片，首先通过微控制单元1中的接入认证模块1‑2将消息摘要同认证字节进行比对：若比对结果一致则进入读/写操作；进行写入操作时，外围设备4发送需要写入的数据至微控制单元1，微控制单元1中的加/解密单元1‑2将使用公钥对数据进行加密处理，然后微控制单元1根据数据地址字节将加密后的数据传输至作为安全存储区3的片外Flash存储芯片；进行读取操作时，微控制单元1根据数据地址字节从作为安全存储区3的片外Flash存储芯片提取要读取的数据传输至外围设备4，外围设备4通过Licence(许可证)授权得到私钥，然后利用私钥对读取的数据进行解密。

[0036] 对于非法的外围设备得到的只是加密后的无序数据，由于没有私钥，将无法得到真正的明文数据。

附图说明

[0020] 图1为本发明安全存储芯片构架示意图；

[0021] 图2为本发明安全存储芯片构架流程图。

1一种多级别安全存储芯片构架