国密算法
--A12系列加密芯片
北京万协通A12 芯片属于自主研发的一款高性能高速32 位安全芯片。
芯片内包含高性能高安全的32位CPU、548KB的NorFlash Memory和40KB的系统内存,支持SM1/SM2/SM4/DES/RSA等安全算法,具有SD/NFC/SPI/SWP/TYEA/EMI 等多种接口;具有16-bit CRC、2 个32-bitTimer、WDT 等模块,提供多种低功耗运行模式。
可应用于U Key、U 盘Key、SD Key、加密U 盘、标准TF 卡(安全加密)标准SD 卡(大SD 卡)、加密机芯片(EMI 通用存储器)、SD 控制芯片、U 盘控制芯片等领域,与市场主流手机兼容。
芯片架构
接口丰富:
SD/NFC/TYPEA/SWP/EMI/SPI/GPIO
算法众多:
SM1/SM2/SM3/SM4/DES/3DES/RSA
资源丰富:
548KB NorFlash,40KB SRAM
真随机数:
芯片具有5个真随机数发生器
相关参数:
●工作温度:-40℃~85℃
●存储温度:-40℃~125℃
●工作电压:1.62V~5.5V
●功耗:正常工作模式10mA
低功耗模式50uA 芯片优势:
●自主设计,国产安全芯片
●专利设计,加密传输速度快
●集成国密算法
●低功耗
●防攻击
●成本低
国家商用密码算法简介 密码学是研究编制密码和破译密码的技术科学,起源于隐秘消息传输,在编码和破译中逐渐发展起来。密码学是一个综合性的技术科学,与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。密码学的基本思想是对敏感消息的保护,主要包括机密性,鉴别,消息完整性和不可否认性,从而涉及加密,杂凑函数,数字签名,消息认证码等。 一.密码学简介 密码学中应用最为广泛的的三类算法包括对称算法、非对称算法、杂凑算法。 1.1 对称密码 对称密码学主要是分组密码和流密码及其应用。分组密码中将明文消息进行分块加密输出密文区块,而流密码中使用密钥生成密钥流对明文消息进行加密。世界上应用较为广泛的包括DES、3DES、AES,此外还有Serpent,Twofish,MARS和RC6等算法。对称加密的工作模式包括电码本模式(ECB 模式),密码反馈模式(CFB 模式),密码分组链接模式(CBC 模式),输入反馈模式(OFB 模式)等。1.2 非对称密码 公钥密码体制由Diffie和Hellman所提出。1978年Rivest,Shamir和Adleman提出RAS密码体制,基于大素数分解问题。基于有限域上的离散对数问题产生了ElGamal密码体制,而基于椭圆曲线上的离散对数问题产生了椭圆曲线密码密码体制。此外出现了其他公钥密码体制,这些密码体制同样基于困难问题。目前应用较多的包括RSA、DSA、DH、ECC等。 1.3杂凑算法 杂凑算法又称hash函数,就是把任意长的输入消息串变化成固定长的输出串的一种函数。这个输出串称为该消息的杂凑值。一个安全的杂凑函数应该至少满足以下几个条件。 1)输入长度是任意的; 2)输出长度是固定的,根据目前的计算技术应至少取128bits长,以便抵抗生日攻击; 3)对每一个给定的输入,计算输出即杂凑值是很容易的; 4)给定杂凑函数的描述,找到两个不同的输入消息杂凑到同一个值是计算上不可行的,或给定 杂凑函数的描述和一个随机选择的消息,找到另一个与该消息不同的消息使得它们杂凑到同一个值是计算上不可行的。 杂凑函数主要用于完整性校验和提高数字签名的有效性,目前已有很多方案。这些算法都是伪随机函数,任何杂凑值都是等可能的。输出并不以可辨别的方式依赖于输入;在任何输入串中单个比特
芯片验证测试及失效分析1 檀彦卓韩银和李晓维 摘要本文对验证测试与失效分析技术进行了系统介绍,包括验证测试的一般流程、常用的分析方法以及基于验证测试的失效分析。通过分析集成电路设计和制造工艺的发展给测试带来的影响,简要介绍了验证测试面临的挑战以及未来关注的若干问题。 1 芯片的验证测试 在现代集成电路制造工艺中,芯片加工需要经历一系列化学、光学、冶金、热加工等工艺环节。每道工艺都可能引入各种各样的缺陷。与此同时由于特征尺寸的不断缩小,各类加工设施成本也急剧上升。例如有人估计90nm器件的一套掩模成本可能超过130万美元。因此器件缺陷造成的损失代价极为高昂。在这种条件下,通过验证测试,分析失效原因,减少器件缺陷就成为集成电路制造中不可少的环节。 验证测试(Verification Test , Design Debug)是实现“从设计到测试无缝连接”的关键。在0.18微米以下的制造工艺下,芯片验证测试变得更加至关重要。它的主要任务是验证设计和测试程序(Test Programs)的正确性,确定芯片是否符合所有的设计规范([2], pp.21)。它通过合理的失效分析(Failure Analysis)不仅为探求设计的关键参数所决定的特性空间奠定基础,还为设计人员改进设计及时反馈有效的数据依据,并为优化整体测试流程、减小测试开销以及优化后期的生产测试(Production Test)开拓了便利途径。 对芯片最显著的改进不仅仅在设计流程中产生,而且在芯片调试和验证流程中反复进行。尤其是在高性能芯片研制过程中,随着芯片复杂度的提高,对验证测试的要求更加严格,与设计流程的交互更加频繁。因此,从某种意义上说,“设计”与“验证测试”是一个非常密切的“交互过程”。对于设计工程师而言,关于芯片功能和性能方面的综合数据是关键的信息。他们通常根据设计规范预先假设出关于芯片各项性能大致的参数范围,提交给验证测试人员,通过验证测试分析后,得出比较真实的性能参数范围或者特定值。设计工程师再根据这些值进行分析并调整设计,使芯片的性能参数达到符合设计规范的范围。往往这样的交互过程不只一次。通常一个健全的验证测试策略包含很多详细的信息。它一般以数据文件的形式(Data Sheet)为设计人员和测试人员在修复或者完善设计的交互过程中提供有效的数据依据,主要包括芯片的CMOS工艺等的特征描述、工作机理的描述、电气特征(DC参数,AC参数,上/拉电阻,电容,漏电,温度等测试条件,等等)、时序关系图、应用信息、特征数值、芯片电路图、布局图等等([3],pp.24 )。将芯片在验证测试流程中经过参数测试、功能性测试、结构性测试后得出的测试结果与上述数据信息比较,就会有针对性地反映芯片性能方面存在的种种问题。依据这些问题,设计工程师可以对设计做出相应的改进。 随着芯片速度与功能的不断提高,超大规模集成电路尤其是集成多核的芯片系统(System-On-a- Chip, SOC)的出现使得芯片迅速投入量产过程难度增加,由此验证测试变 1本文摘自中国科学院计算技术研究所内部刊物—信息技术快报 2004 年第 9 期
芯片验证的策略篇(作者良心大作,验证必看) 本文分六个部分: 验证的策略篇之一:设计的流程验证的策略篇之二:验证的层次验证的策略篇之三:验证的透明度验证的策略篇之四:激励的原则验证的策略篇之五:检查的方法验证的策略篇之六:集成的环境验证的策略篇之一:设计的流程 我们在上一章芯片芯片验证全视中给出过芯片产品开发 的流程图,而在描述中我们将开发流程分为了两条主线:芯片功能的细分不同人员的任务分配即是说不同人员需要在 硅前的不同阶段实现和测试芯片的模块功能。 如果我们从另外一个角度看,芯片的开发即是将抽象级别逐次降低的过程,从一开始的抽象自然语言描述到硬件的HDL 语言描述再到最后的门级网表。而在我们已经介绍过RTL 设计和门级网表以后,这里需要引入一个目前更高抽象级的描述TLM(事务级模型,transaction level models)。 TLM一般会在早期用于构建硬件的行为,侧重于它的功能描述,不需要在意时序。同时各个TLM模型也会被集成为一个系统,用来评估系统的整体性能和模块之间的交互。同时TLM模型在早期的设计和验证中,如果足够准确的话,甚至可以替代验证人员的参考模型,一方面为硬件设计提供了可以参考的设计(来源于系统描述侧),一方面也加速了验证
(无需再构建参考模型,而且TLM模型足够准确反映硬件 描述)。 TLM模型的需求和ESL开发早期的芯片开发模式是遵循先 从系统结构设计、到芯片设计制造、再到上层软件开发的。但随着产品开发的压力,一方面我们需要让系统人员、硬件人员和软件人员都保持着充沛的工作量,同时对于一个芯片项目而言,我们也希望硬件人员和软件人员可以尽可能的同时进行开发。这听起来怎么可能?毕竟芯片还没有制造出来,没有开发板怎么去构建软件呢?在这里我们系统结构人员 会在早期构建一个高抽象级的系统,同时该系统必须具备该有的基本功能和各模块的接口保持信息交互,通过将功能描述变成可运行的系统,让硬件人员和软件人员可以在早期就利用该系统进行硬件参照和软件开发。这种可以为复杂系统建立模型,让多个流程分支并行开发的方式被称作ESL(电子系统级,electronic system-level)开发。 传统的系统设计流程传统的系统设流程是瀑布形式(waterfall)开发的,这种顺序开发的方式存在明显的边界:时间边界:不同的开发子过程之间是保持顺序执行的,几乎没有可以交叠的空间来缩短整体的项目交付时间。组织边界:不同的开发小组之间的交流是计划是发生在前一个过程结束,后一个过程开始的,这也引入了额外的沟通成本。 ESL系统设计流程为了模糊或者融合这种边界,ESL开发流
国产密码算法及应用 商用密码,是指能够实现商用密码算法的加密、解密和认证等功能的技术。(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。 商用密码的应用领域十分广泛,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如各种安全认证、网上银行、数字签名等。 为了保障商用密码安全,国家商用密码管理办公室制定了一系列密码标准,包括SSF33 SM1(SCB2、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法等等。其中SSF33 SM1、SM4 SM7、祖冲之密码是对称算法;SM2、SM9是非对称算法;SM3是哈希算法。 目前已经公布算法文本的包括SM2椭圆曲线公钥密码算法、SM3 密码杂凑算法、SM4分组密码算法等。 一、国密算法简介 1. SM1对称密码 国密SM1算法是由国家密码X局编制的一种商用密码分组标准对称算法,分组长度为128位,密钥长度都为128比特,算法安全保密强度及相关软硬件实现性能与AES相当,算法不公开,仅以IP核的形式存在于
芯片中。 采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 2. SM2椭圆曲线公钥密码算法 SM2算法就是ECC椭圆曲线密码机制,但在签名、密钥交换方面不同于ECDSA ECDH等国际标准,而是采取了更为安全的机制。国密SM2算法标准包括4个部分,第1部分为总则,主要介绍了ECC 基本的算法描述,包括素数域和二元扩域两种算法描述,第2部分为数字签名算法,这个算法不同于ECDSA算法,其计算量大,也比ECDSA 复杂些,也许这样会更安全吧,第3部分为密钥交换协议,与ECDH 功能相同,但复杂性高,计算量加大,第4部分为公钥加密算法,使用ECC公钥进行加密和ECC私钥进行加密算法,其实现上是在ECDH 上分散出流密钥,之后与明文或者是密文进行异或运算,并没有采用第3部分的密钥交换协议产生的密钥。对于SM2算法的总体感觉,应该是国家发明,其计算上比国际上公布的ECC算法复杂,相对来说算法速度可能慢,但可能是更安全一点。 设需要发送的消息为比特串M , len为M的比特长度。为了对明文M 进行加密,作为加密者的用户应实现以下运算步骤:步骤1:用随机数发生器产生随机数k€ [1, n -1]; 步骤2:计算椭圆曲线点C仁[k]G=(X1 , Y1 ),将C1的数据类型转换为比特串;
概述
双因子认证: PIN 码和硬件构成了用户使用 NiKey180 的两个必要的因素。带 有安全存储空间: 存储空间的读写操作必须通过程序实现,可以存储数字证书、 用户密钥等秘密数据。 硬件实现加密算法:内置 CPU 智能卡芯片,可以实现 PKI 体系中使用的数据 加解密和签名的各种算法。符合 MS CAPI、HID 等规范和标准。 基于国密办批准的安全智能芯片设计,自主设计片上操作系统( COS) ,数据 存于芯片中,更高的安全性,更好的稳定性。支持国家密码管理委员会办公室 批准的分组密码算法。 芯片内部集成随机数发生器,采用物理噪声源,产生真随机数。密钥存于智能
智能密码钥匙
芯片中,运算也在智能芯片中完成,无法跟踪。 支持 ITU-T X.509v3 证书存储。支持多证书,底层动态库接口支持最多 79 张 证书 (证书总大小<28KB) , CSP 接口支持最多 16 张证书 (证书总大小<28KB) ,
管理工具支持最多 9 张证书(证书总大小<28KB) 。 NiKey180
提供基于 Windows 和 Linux 平台的用户开发接口函数库 (提供底层 API 接口)。 标准中间件(Middleware):Microsoft CSP,PKCS#11。 体积与普通 U 盘相同,体积小,重量轻,方便用户随身携带和移动作业。 64 位全球唯一系列号。
智能密码钥匙 NiKey180 是曙光公司精心打造的 USB Key 解决方案,内置 8
位国产安全芯片,自主开发 COS,实现 RSA、DES、3DES、AES、SM1 算 法,支持 Key 内生成 RSA 密钥对。硬件实现数字签名,私钥永不出 Key。 NiKey180 智能密码钥匙提供 CSP 和 PKCS#11 接口以及底层动态库,通过非 对称密钥技术实现可靠的身份认证和数据加密,广泛应用于 PKI 体系,可以满 足网上银行、数字证书用户的需求。
特点: ? ? ? ? 双因子认证 硬件加密算法 便于携带 安全可靠
1/9
河南某商业银行金融IC卡国密改造安全建设方案 一、项目背景 2011年3月,中国人民银行发布了《关于推进金融IC卡应用工作的意见》,全面启动我国金融IC卡迁移,要求2015年起银行业金融机构发卡的银行卡均应为金融IC卡。2014年11月3日,人民银行印发了《关于进一步做好金融IC卡应用工作的通知》,要求自2015年4月1日起,各发卡银行新发卡的金融IC卡应符合PBOC3.0规范,相较于PBOC2.0规范,PBOC3.0规范的核心内容是支持国密算法。 河南某商业银行金融IC卡国密改造国内第一家按照PBOC3.0规范建设的商业银行IC卡系统,主要针对发卡系统、受理系统、核心交易系统、密钥管理系统及ATM、POS机等交易终端进行支持SM2/SM3/SM4等国密算法的改造,用来开展金融IC卡借贷记、电子现金、电子钱包相关业务。 金融IC卡国密改造的核心在于安全体系建设,需要解决如何运用国密算法保证卡片的发卡和交易过程的安全。 二、需求分析 江南天安根据PBOC3.0规范要求,以及该银行的业务实际,对改银行金融IC卡国密算法改造做了安全分析,安全体系建设主要有如下几点需求: 1、需要建设符合PBOC3.0规范的密钥管理系统,保证密钥生命周期的安全。 2、需要提供一整套的应用国产密码算法的金融IC卡发卡的安全解决方案。 3、需要为金融IC卡的交易过程中涉及的各业务系统提供基于国产密码算法的安全服务。 三、解决方案 江南天安根据PBOC3.0规范要求,以及该银行的业务实际,项目中应用江南天安金融IC 卡安全支撑系统,保证了国密算法在金融IC卡发卡和交易过程的应用,为金融IC卡业务应用的安全性奠定了基础:
一种基于国密算法安全芯片的物联网数据安全设计方案—— TF32A09 物联网相较于传统网络,其感知节点大都部署在无人监控的环境,具有能力脆弱、资源受限等特点, 并且由于物联网是在现有传输网络基础上扩展了感知网络和智能处理平台, 传统网络安全措施不足以提供可靠的安全保障, 从而使得物联网的安全问题具有特殊性。物联网主要由传感器、传输系统(泛在网以及处理系统3个要素构成, 因此, 物联网的安全形态也体现在这3个要素上。第一是物理安全,主要是传感器的安全,包括对传感器的干扰、屏蔽、信号截获等,是物联网安全特殊性的体现; 第二是运行安全, 存在于各个要素中, 涉及到传感器、传输系统及处理系统的正常运行, 与传统信息系统安全基本相同; 第三是数据安全,也是存在于各个要素中,要求在传感器、传输系统、处理系统中的信息不会出现被窃取、被篡改、被伪造、被抵赖等性质。因此,物联网除面临一般信息网络所具有的安全问题外,还面临物联网特有的威胁和攻击。 1、针对传输层数据安全解决方案: □ 简介 本方案通过为物联网建立虚拟专用网(VPN ,在现有的公用网络环境下,建立安全的通讯信道,对数据进行加解密,提供完整性校验机制,保证信息传输的安全。 本方案主要包括两个部分:物联网安全网关和终端安全模块。 □ 定义 VPN :虚拟专用网络 (Virtual Private Network , 简称 VPN 指的是在公用网络上建立专用网络的技术。 IPSEC VPN:IPSEC 是一套比较完整成体系的 VPN 技术,它规定了一系列的协议标准,旨在公网上建立安全的专用通讯信道。 2、产品特点
■ 数据安全 ■ 网络专用 ■ 纵向认证 ■ 数据传输安全 ■ 实时监控 ■ 移动性数据查询 ■ 数据采集 ■ 信息回报产品优势 3、产品安全性设计 ■ 采用 VPN 虚拟专用网。 ■ 遵循 IPSEC VPN标准。 ■ 网关内核级的加解密处理 ■ 支持内外网物理隔离。 ■ 建立双向认证。 4、主控芯片的特殊性 TF32A09FDL1是同方自主研发的 TF32A09系列中的一款安全芯片, 通过国家密码管理局的审核认证,并获得产品型号为 SSX1019。芯片具有如下特性: 1 芯片自身有很好的物理抗攻击能力。 2 提供硬件级 SM1国密算法。
RJMU401国密算法应用流程 一、国密芯片RJMU401数据加密传输、身份认证及数据完整性保证 1、传输信道中的数据都采用SM4分组加密算法,保证数据传输时数据的机密性; 2、使用散列算法SM3保证数据的完整性,以防止数据在传输的过程中被篡改; 3、使用非对称算法SM2的私钥签名来保证数据的不可抵赖性,确保数据是从某一个确 定的车载用户端发出; 4、具体流程如下: a、用户数据使用SM3进行散列运算得到数据摘要,再使用非对称算法SM2进行 摘要签名; b、同时使用对称算法SM4的密钥对数据摘要进行加密并传输给安全模块; c、使用同一个对称算法SM4密钥对用户数据进行加密,并将加密后的密文传输给 监控端; d、监控端收到数据密文后,使用对应的密钥进行对称算法SM4解密,并使用散列 算法对解密后的数据进行运算得到数据摘要1; e、监控端对收到的摘要签名进行对称算法SM4解密,再经过非对称算法解密得到 最初的数据摘要2; f、对比数据摘要1和数据摘要2,若两者相等则认为传输数据具备完整性;否则 认为数据出错; 图1、数据加密传输、数据完整性及签名认证流程 补充说明: 1、需要有一主机发起认证指令,监控端收到对应指令后,会产生一个随机数(会话密 钥),可用该随机数作为对称加密SM4的单次密钥,用于加密传输的数据; 2、此SM4的会话密钥不会明文传输,监控端查找对应车载用户端的公钥进行加密,传 给对应的车载用户端,车载用户端收到数据后,用自己的SM2私钥解密,即可得到此次会话密钥。(会话密钥采用非对称密钥机制进行传输) 3、每一个车载用户端存放一个或者两个SM2密钥对,可采用CA证书形式。证书在车 载用户端生产时候预置进安全芯片RJMU401,监控端存储所有的车载用户端的SM2密钥对(证书)。
芯片验证策略六部曲 验证的策略篇之一:设计的流程 通过芯片产品开发的流程图,而在描述中我们将开发流程分为了两条主线: 芯片功能的细分 不同人员的任务分配 即是说不同人员需要在硅前的不同阶段实现和测试芯片的模块功能。 如果我们从另外一个角度看,芯片的开发即是将抽象级别逐次降低的过程,从一开始的抽象自然语言描述到硬件的HDL语言描述再到最后的门级网表。而在我们已经介绍过RTL设计和门级网表以后,这里需要引入一个目前更高抽象级的描述TLM(事务级模型,transaction level models)。 TLM一般会在早期用于构建硬件的行为,侧重于它的功能描述,不需要在意时序。同时各个TLM模型也会被集成为一个系统,用来评估系统的整体性能和模块之间的交互。同时TLM模型在早期的设计和验证中,如果足够准确的话,甚至可以替代验证人员的参考模型,一方面为硬件设计提供了可以参考的设计(来源于系统描述侧),一方面也加速了验证(无需再构建参考模型,而且TLM 模型足够准确反映硬件描述)。 TLM模型的需求和ESL开发 早期的芯片开发模式是遵循先从系统结构设计、到芯片设计制造、再到上层软件开发的。但随着产品开发的压力,一方面我们需要让系统人员、硬件人员和软件人员都保持着充沛的工作量,同时对于一个芯片项目而言,我们也希望硬件人员和软件人员可以尽可能的同时进行开发。这听起来怎么可能?毕竟芯片还没有制造出来,没有开发板怎么去构建软件呢?在这里我们系统结构人员会在早期构建一个高抽象级的系统,同时该系统必须具备该有的基本功能和各模块的接口保持信息交互,通过将功能描述变成可运行的系统,让硬件人员和软件人员可以在早期就利用该系统进行硬件参照和软件开发。这种可以为复杂系统建立模型,让多个流程分支并行开发的方式被称作ESL(电子系统级,electronic system-level)开发。 传统的系统设计流程 传统的系统设流程是瀑布形式(waterfall)开发的,这种顺序开发的方式存在明显的边界: 时间边界:不同的开发子过程之间是保持顺序执行的,几乎没有可以交叠的空间来缩短整体的项目交付时间。
基于国密算法和区块链的移动端安全e lD 及 认证协议设计 ------------------------胡卫、吴邱涵、刘胜利2,付伟1-------------------------- (1.海军工程大学信息安全系,湖北武汉430033 ; 2.北京航天飞行控制中心,北京100094) 摘要:当前,我国二代居民身份证的读取设备获取渠道多样,价格低廉,很容 易被不法分子利用以获取公民的身份隐私信息,并实施诈骗、违规办理信用卡等犯罪 行为。此外,一些需要对公民进行实名制验证的单位大都采取基于中心的认证方式, 并且以明文方式大量地存储用户实名信息,存在隐私泄露的风险。 SM 2算法相较于传 统认证方案中使用的R S A 算法和国际标准的E C C 算法具有安全性更高、存储空间更 小、签名速度更快的特点,可以应用在当今广泛使用的智能手机等移动终端上。区块 链技术具有去中心化、难篡改的特点,可以解决基于中心的认证方式中存在的单点失 败和多认证授权机构(C A )信任难的问题。针对用户隐私泄露问题,文章基于SM 2 算法和区块链技术,并结合二维码、面部识别等技术,对传统身份认证服务系统进行 了改进,提出了一种移动端的安全电子身份证系统,详细设计了基于 SM 2算法和区 块链的身份认证协议。 关键词:SM 2算法;区块链;身份认证;移动终端 中图分类号:T P 309文献标识码:A 文章编号:1671-1122 (2018) 07-0007-09 中文引用格式:胡卫,吴邱涵,刘胜利,等 .基于国密算法和区块链的移动端安全elD 及认证协议设计[J]. 信息网络安全,2018,18(7): 7-15.英文引用格式: HU Wei,WU Qiuhan,LIU Shengli,et al. Design of Secure elD and Identity Authentication Agreement in Mobile Terminal Based on Guomi Algorithm and Blockchain[J], Netinfo Security, 2018, 18 (7): 7—15./--------------------- n C t in f o s e c u r it y _________________________________________________________________________________________________________/2018年第7期技术研究国■ doi :10.3969/j.issn.1671-1122.2018.07.002 Design of Secure elD and Identity Authentication Agreement in Mobile Terminal Based on Guomi Algorithm and Blockchain HU Wei1, WU Qiuhan1, LIU Shengli2, FU Wei1(1. Department of I nformation Security, Naval University o f E ngineering, W-uhan H ubei 430033, China ; 2. Beijing Aerospace Control Center, Beijing 100094, China)Abstract: Currently, there are many accesses to gain the card readers of the second generation of resident identity cards, which are inexpensive and easy to be misused by the criminals to obtain citizens’ identity privacy information so that they can use it to commit fraud, illegally open up credit cards and other crimes. Besides, when people are checking in the hotels or opening an account in the banks, these institutions which need to verify citizens’ 收稿日期:2018—4—18 基金项目:国家自然科学基金[61672531];海军工程大学自主立项项目[20161607] 作者简介:胡卫( 1979—),男,湖北,副教授,博士,主要研究方向为密码学、信息安全、隐私保护;吴邱涵( 1995—),女,湖北, 硕士研究生,主要研究方向为信息安全、隐私保护;刘胜利( 1976—),男,河南,硕士,主要研究方向为信息安全;付伟( 1978—), 男,湖北,副教授,博士,主要研究方向为分布式计算、云计算、信息安全。 通信作者:吴邱涵627971660@https://www.doczj.com/doc/cc1865648.html, 7
加密芯片十大品牌对比 各大品牌加密芯片厂商都为各自的加密芯片定了型号,用户在进行加密芯片的选型时,如果没有明确的参考依据,很难效率而准确的选取到合适的加密芯片。作者结合自身经验,为大家提供一些简单实用的加密芯片选型建议。 加密芯片的安全体系 加密芯片(安全芯片Secure Element),简称SE,是一个可以独立进行密钥管理、安全计算的可信单元,内部安全存储模块可存储密钥和特征数据。通过参照加密芯片的安全体系(见图1)可以简单了解加密芯片的构成。 图1:加密芯片安全体系 通过观察加密芯片的安全体系,可以了解到加密芯片是在硬件和软件结合的基础上实现:全面融入多方位的安全防护设计,相关的安全特性涵盖芯片的防篡改设计、唯一序列号、防DPA攻击、多种检测传感器、自毁功能、总线加密、屏蔽防护层等。 加密芯片的安全资质 如何判断加密芯片的安全性能是否有保障?可以根据各大品牌加密芯片厂商通过检测机构(如:国密局等)获得的安全资质包括EAL4+、国密二级等。 加密芯片的算法单元 什么是影响加密芯片选型的关键要素呢?随着中兴、华为事件的不断发酵,国产芯片已
成趋势,国密算法是国家密码局制定标准的一系列算法,从根本上使我国摆脱了对国外密码技术的依赖,因此,具备国密算法单元的加密芯片才是更符合市场需求的。 即使各大品牌加密芯片厂商的加密芯片构成相似,用户也可以根据算法运算单元的差异进行加密芯片的选型,作者选取网络搜索热度较高的加密芯片厂商,摘用其官网上代表性的加密芯片数据绘制表格(表1—4),仅供大家参考。 表1:8位内核加密芯片国际算法对比 (注:上表数据2020年3月20日摘自各加密芯片厂商官网)
基于国密算法、数字证书的安全问题理解 1. 国密算法发展背景 随着金融安全上升到国家安全高度,近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对国外技术和产品的过度依赖,建设行业网络安全环境,增强我国行业信息系统的“安全可控”能力显得尤为必要和迫切。 密码算法是保障信息安全的核心技术,尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA-1、RSA等国际通用的密码算法体系及相关标准,为从根本上摆脱对国外密码技术和产品的过度依赖。2010年底,国家密码管理局公布了我国自主研制的“椭圆曲线公钥密码算法”(SM2算法)。为保障重要经济系统密码应用安全,国家密码管理局于2011年发布了《关于做好公钥密码算法升级工作的通知》,要求“自2011年3月1日期,在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用SM2算法。自2011年7月1日起,投入运行并使用公钥密码的信息系统,应使用SM2算法。” 2. 国密算法 安全的本质是算法和安全系统 保证安全最根本的方法是基础软件和基础硬件都是自己控制,目前我国无法短期国产化的情况下,数据加密是最好的方式。如果加密算法以及实现都是外国提供的,安全性从何说起,所以我国国家密码局发布了自主可控的国密算法 国密算法:为了保障商用密码的安全性,国家商用密码管理办公室制定了一系列密码标准,包括SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法(ZUC)那等等。 其中SM1、SM4、SM7、祖冲之密码(ZUC)是对称算法;SM2、SM9是非对称算法;SM3是哈希算法。 目前SM1、SM7算法不公开,调用该算法时,需要通过加密芯片的接口进行调用 3. 国密算法的现状 虽然在SSL VPN、数字证书认证系统、密钥管理系统、金融数据加密机、签名验签服务器、智能密码钥匙、智能IC卡、PCI密码卡等产品上改造完毕,但是目前的信息系统整体架构中还有操作系统、数据库、中间件、浏览器、网络设备、负载均衡设备、芯片等软硬件,由于复杂的原因无法完全把密码模块升级为国产密码模块,导致整个信息系统还存在安全薄弱环节。 4. 浏览器与SSL证书 SSL证书的作用就是传输加密 如果网站安装了SSL证书,就启用了https访问,那么你的访问就更加安全了。
(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910333923.1 (22)申请日 2019.04.24 (71)申请人 深圳贝特莱电子科技股份有限公司 地址 518000 广东省深圳市南山区高新中 二道深圳国际软件园4栋506 (72)发明人 陈荣 (74)专利代理机构 深圳市兰锋知识产权代理事 务所(普通合伙) 44419 代理人 曹明兰 (51)Int.Cl. G06F 11/263(2006.01) G06F 11/22(2006.01) (54)发明名称一种芯片验证系统及方法(57)摘要本发明公开了一种芯片验证方法,该方法包括如下步骤:步骤S1,系统初始化;步骤S2,对所述测试主界面输入的模块命令进行扫描;步骤S3,判断所述测试主界面是否输入的模块命令,若是,则执行步骤S4;步骤S4,识别所述模块命令并选中所述测试功能模块中对应的功能;步骤S5,识别所述测试功能模块输入的测试用例命令,并选中所述测试用例模块中对应的用例选项;步骤S6,跳转至所述测试用例模块被选中的用例选项,借由该用例选项对芯片的相应功能进行验证。本发明相比现有技术而言能够规范管理验证FW,能有效降低芯片验证的复杂度,可有效 提高芯片验证效率。权利要求书1页 说明书4页 附图7页CN 110147301 A 2019.08.20 C N 110147301 A
权 利 要 求 书1/1页CN 110147301 A 1.一种芯片验证系统,其特征在于,包括有测试主界面(1)、测试功能模块(2)和测试用例模块(3),其中: 所述测试主界面(1)用于输入预设的模块命令来选择所述测试功能模块(2)中的相应功能; 所述测试功能模块(2)用于输入相应的测试用例命令来选择所述测试用例模块(3)中需要测试的用例选项; 所述测试用例模块(3)用于对芯片的相应功能进行验证。 2.一种芯片验证方法,其特征在于,该方法包括如下步骤: 步骤S1,系统初始化; 步骤S2,对所述测试主界面(1)输入的模块命令进行扫描; 步骤S3,判断所述测试主界面(1)是否输入的模块命令,若是,则执行步骤S4; 步骤S4,识别所述模块命令并选中所述测试功能模块(2)中对应的功能; 步骤S5,识别所述测试功能模块(2)输入的测试用例命令,并选中所述测试用例模块(3)中对应的用例选项; 步骤S6,跳转至所述测试用例模块(3)被选中的用例选项,借由该用例选项对芯片的相应功能进行验证。 3.如权利要求2所述的芯片验证方法,其特征在于,还包括有:步骤S7,验证完成后,打印验证结果。 4.如权利要求2所述的芯片验证方法,其特征在于,所述步骤S1中,所述初始化步骤包括:初始化UART timer配置步骤。 5.如权利要求2所述的芯片验证方法,其特征在于,所述步骤S3中,若未检测到所述测试主界面(1)输入的模块命令,则检测是否有帮助命令,若是则返回至步骤S2,若否,则继续执行步骤S3,并且定时检测所述测试主界面(1)输入的模块命令。 6.如权利要求2所述的芯片验证方法,其特征在于,所述步骤S4中,判断所述测试功能模块(2)是否检测到所述模块命令,若是,则执行步骤S5,若否,则返回至步骤S3。 7.如权利要求2所述的芯片验证方法,其特征在于,所述步骤S5中,判断所述测试用例模块(3)是否检测到所述测试用例命令,若是,则执行步骤S6,若否,则返回至步骤S3。 2
信息安全加密芯片 ---SD卡安全芯片 概述: WIS08SD548芯片是北京万协通自主研发设计的一款高性能高速32位SD卡安全芯片。SD系列加密芯片支持安全算法种类多,安全算法运算速度快。 SD系列芯片集成度高、安全性强、接口丰富、加解密速度快,具有极高的性价比。该系列芯片可广泛的应用于NFC手机、手机支付、金融、电子政务、视频 加密、安全存储、工业安全防护、物联网安全防护等安全领域。 芯片架构:
特性: ?高性能高安全的32位CPU内核 ?548KB norflash,寿命10年,擦写次数10万次 ?32KB系统SRAM ?SD控制模块,支持SD2.0,支持CMD Class0-10 ?Nand Flash控制模块,兼容主流NandFlash,可根据客户定制不同容量 ?安全芯片+Nandflash 加解密速率达到5MB/S ?支持SM1/SM2/SM3/SM4/RSA/DES/3DES/SHA1/SHA256等安全算法 ?高速专利设计架构使数据流加密更快; ?低功耗设计 ?防DPA/SPA功耗攻击 ?芯片内置2个硬件真随机数发生器 ?芯片唯一硬件序列号 ?三芯片方案简化为两芯片,提高性能,生产成品率。 ?独特的安全设计,确保芯片内部代码和数据安全; 内部存储器: ?32KB SRAM ?548KB FLASH 外部接口: ?SDC控制器接口,支持SD2.0协议; ?Nandflash控制接口,兼容ONFI1.x与2.2标准; ?NFC手机SWP接口; ?ISO14443 typeA射频接口; ?支持主流Nandflash memory; ?高速并行加密模块接口;
英飞凌TPM安全芯片通过全球TCG和通用准则认证 英飞凌科技股份公司近日宣布,作为TPM(可信平台模块)安全芯片半 导体供应商,该公司率先通过了当今最为严格的PC安全测试。非盈利的中立 标准组织TCG(可信计算组织)证实,英飞凌的TPM成功通过TCG认证。TCG 认证是以国际安全标准通用准则和TCG合规测试为基础。英飞凌TPM获得的 通用准则评估保证级别EAL 4+,被认为是芯片供应商持续在PC安全应用领域取得成功不可或缺的条件。 ? TCG总裁兼主席Scott Rotondo指出:为了鼓励采用合规和安全的产品,TCG近期推出了TPM认证计划。该计划旨在对各种产品进行合规和安全评估,确定成功满足所有认证要求的产品。英飞凌是全球首个成功通过TPM认证的 半导体供应商,进一步巩固了它在硬件安全领域的领先地位。 继TPM成功通过CC和TCG认证后,英飞凌还与CESG密切合作,确 保产品满足英国政府有关关键安全数据保护的严格要求。CESG是英国政府负 责信息安全保障的机构。 CESG与英飞凌密切合作,首次对TPM从开发到部署的安全性实施了全面和深入的评估。CESG的评估结果为,英飞凌的TPM适合保护业务影响度为3级(如限制类数据)的关键安全数据。这使英飞凌成为当今惟一完全符合英国政府严格要求的TPM供应商。 CESG信息保障和安全负责人Nick Hopkinson指出:与业界合作对于CESG而言至关重要。CESG的主要职责是汇总英国政府的信息保障(IA)要求,为商用IA产品提供保障,降低对昂贵的定制系统的依赖。与英飞凌的合作是 确保英国政府网络采用可信计算技术的重要的第一步。
国密算法(SM1/2/4)芯片用户手册(UART接口) 注意:用户在实际使用时只需通过UART口控制国密算法芯片即可,控制协议及使用参考示例见下面 QQ:1900109344(算法芯片交流)
目录 1.概述 (3) 2.基本特征 (3) 3.通信协议 (3) 3.1.物理层 (3) 3.2.链路层 (4) 3.2.1.通讯数据包定义 (4) 3.2.2.协议描述 (4) 3.3.数据单元格式 (5) 3.3.1.命令单元格式 (5) 3.3.2.应答单元格式 (5) 3.4.SM1算法操作指令 (6) 3.4.1.SM1 加密/解密 (6) 3.4.2.SM1算法密钥导入指令 (6) 3.5.SM2算法操作指令 (7) 3.5.1.SM2_Sign SM2签名 (7) 3.5.2.SM2_V erify SM2验证 (7) 3.5.3.SM2_Enc SM2加密 (8) 3.5.4.SM2_Dec SM2解密 (9) 3.5.5.SM2_GetPairKey 产生SM2密钥对 (9) 3.5.6.SM2算法公钥导入 (10) 3.6.SM4算法操作指令 (10) 3.6.1.SM4加密/解密 (10) 3.6.2.SM4算法密钥导入指令 (11) 3.7.校验/修改Pin指令 (11) 3.8.国密算法使用示例(Uart口命令流) (12) 3.8.1.SM1算法操作示例 (12) 3.8.2.SM2算法操作示例 (13) 3.8.3.SM4算法操作示例 (14) 3.9.参考数据 (15) 3.9.1.SM1参考数据 (15) 3.9.2.SM2参考数据 (15) 3.9.3.SM4参考数据 (17)
身份认证加密芯片助力智能锁发展 我国智能锁大多数采用密码、指纹、手机等多种识别方式。其中,半导体指纹识别和光学指纹识别,是目前我国智能锁行业最主流的指纹识别技术。智能门锁大多数使用电池供电,有严格的低功耗要求,多采用ZigBee、WiFi或NB-IOT等无线连接方式。WiFi、Zigbee协议安全(内网安全),与外网通讯安全尚不完善。云端安全,虚拟机安全由云服务商提供,但针对应用的防御攻击服务较少构建。为了达到有效的身份认证目的,很多厂商只是采用软件加密算法对系统密钥、敏感信息进行加密。随着对于客户身份认证信息安全性越来越重视,越来越多厂商开始在智能锁中配置加密芯片。搭载身份认证加密芯片的智能锁在维护数据安全方面有极大的提升。 指纹锁有两大核心部件,识别模块和芯片,其原理就是:当我们的指纹按压在识别模块上面,它识别后会将其传送到芯片进行判断,是否为主人的指纹。 根据指纹识别原理采集状态分类:目前主要有光学指纹锁和半导体指纹锁,市场走向是半导体方向倾斜,光学处于慢慢淘汰被取代的状态,半导体的也一样有很多种,有平贴的也有滑动的,采集面积也不一样,拼贴的也会有大小区别。 指纹传感器通常集成在智能锁上,用户指纹模版和数据存贮在云端的安全隐患:指纹模版和数据的网络传输有攻击风险;需要简历数据传输安全机制;云端存储风险。云端安全,虚拟机安全由云服务商提供。 设备安全问题:敏感数据存储;通信加密;软件系统运行环境保护;安全设备授权访问。
连接安全问题:通信链路加密;设备-云端双向认证授权;设备-设备的连接安全与认证。 既然云端服务商提供云端安全保障的义务。那么智能锁生产厂商也有保证设备安全和连接安全的义务,智能锁只有从软件安全上升到硬件安全的层级,才能匹配人们对家庭财产和人身安全的重视度。搭载身份认证加密芯片是智能锁可以有效的保证设备安全和连接安全。 身份认证加密芯片具有性能高、功耗低、稳定性高、兼容性强等特点,完美契合智能锁安全方案的需求。智能锁作为智能家居的入口,只有落实最基本的安全职责,才能打响自身品牌的知名度得到消费者和市场的认可。 更多关于身份认证(智能锁)加密芯片的信息,欢迎咨询INZOTEK——专业从事物联网安全芯片与安全方案的高新科技企业。具备安全芯片、区块链安全、物联网设备认证、配件认证、电子产品防盗版安全芯片等全系列产品与方案。为客户量身定制的物联网设备安全方案,唯一序列号对应的加密芯片切实保障物联网设备安全。
国密算法芯片 用户手册 注意:用户在实际使用时需要通过UART口控制国密算法芯片,控制协议见下面说明,芯片本身只包含其中某几个算法,需要在购买时说明。 通过UART口发命令即可,方便用户使用,价格便宜 QQ:2425053909(注明加密芯片)
目录 1.概述 (2) 2.基本特征 (2) 3.通信协议 (2) 3.1.物理层 (2) 3.2.链路层 (3) 3.2.1. 通讯数据包定义 (3) 3.2.2. 协议描述 (3) 3.3.数据单元格式 (4) 3.3.1. 命令单元格式 (4) 3.3.2. 应答单元格式 (4) 4.国密芯片加解密指令 (5) 4.1.SM1算法操作指令 (5) 4.2.SM4算法操作指令 (5) 4.3.SM7算法操作指令 (6) 4.4.SSF33算法操作指令 (7) 4.5.SM3算法操作指令 (7)
1.概述 本文档适用于使用国密算法芯片进行终端开发的用户。终端开发者通过发送串口命令的方式操作国密芯片进行数据交换,国密产品应用开发。通过阅读本文档,终端开发者可以在无需考虑国密算法实现细节情况下,借助国密芯片来迅速改造现有系统使之适合国密应用。 2.基本特征 芯片的基本特征见下表: 3.通信协议 3.1.物理层 国密芯片采用系统供电方式,电压5V或者3.3V。国密芯片串口与系统MCU 串口相连,异步全双工通讯,波特率默认为115200bps。数据格式为1位起始位、8位数据位和1位停止位,无校验位。 系统MCU向国密芯片发送命令时,在同一个命令内,相连两个发送字符之间的间隔不应大于10个字符时间,否则国密芯片可能会认为命令超时导致无任何响应。