[发明专利]一种外部安全内存装置及系统级芯片SOC

说明书

本发明提供一种外部安全内存装置及系统级芯片SOC，属于数据加密处理技术领域。所述系统级芯片SOC包括：SOC本体；外部安全内存装置，所述外部安全内存装置位于所述SOC本体外部；其中，所述SOC以及外部安全内存事先通过数字签名相互验证身份以及密钥协商算法协商出密钥；所述SOC通过总线从所述外部安全内存读取或写入数据，并通过与所述数据对应的密钥将所述数据进行解密或加密。通过使用本发明提供的外部安全内存装置及系统级芯片SOC，解决了SEV技术中数据存储在内存中不安全的技术问题。

技术领域

本发明属于数据加密处理技术领域，具体涉及一种外部安全内存装置及系统级芯片SOC。

背景技术

AMD公司的安全加密虚拟化(security encryption virtual ization)技术通过对虚拟机所使用的物理内存进行加密，而且不同的虚拟机使用不同的密钥，这样可以保证在运行时即使hypervisor(虚拟机管理程序)也不能看到虚拟机的内存。

但是这个方案有如下安全方面的隐患：

SEV是对虚拟机内存页面做加密保护，但是并不能保证数据的完整性。

虚拟机使用的内存由宿主机提供，因此虽然内存内容是被加密的，但是宿主机上的恶意程序能够通过重放攻击，密文冲突攻击等方法修改加密后的数据，由于缺乏保护数据完整性的机制，虚拟机无法知晓，这样黑客就能够达到恶意入侵虚拟机数据的目的。

在计算机系统中，数据是存放在内存中，而内存虽然对用户态程序是专用资源，但是对操作系统而言是公共资源，当操作系统被攻破时，内存的安全性就无法保证了。因此如何保证存放在内存中的数据的安全是一个难题。

发明内容

为了解决SEV技术中数据存储在内存中不安全的技术问题，本发明提供一种外部安全内存装置及系统级芯片SOC。

本发明提供一种外部安全内存装置，所述装置包括：

外部安全内存装置本体；

外部安全内存，其位于所述外部安全内存本体内部，所述外部安全内存通过外部安全内存接口进行初始化，并将处理模块数据存储在其内部。

此外，本发明还提供一种系统级芯片SOC，所述SOC包括：

SOC本体；

如上所述外部安全内存装置，所述外部安全内存装置位于所述SOC本体外部；

其中，所述SOC以及外部安全内存事先通过数字签名相互验证身份以及密钥协商算法协商出密钥；

所述SOC通过总线从所述外部安全内存读取或写入数据，并通过与所述数据对应的密钥将所述数据进行解密或加密。

所述密钥协商算法包括Diffie-Hel lman算法或国密SM2算法。

所述SOC以及外部安全内存均设置有加解密引擎单元，所述加解密引擎单元用于所述SOC以及外部安全内存事先通过数字签名相互验证身份以及密钥协商算法协商出密钥。

在所述传输的数据尾部，还添加了对数据正文的HMAC，SOC和外部安全内存通过对HMAC的校验。

所述SOC和外部安全内存均设置有随机数生成单元，所述随机数生成单元用于产生随机数，并将该随机数混入到密钥中，生成新的密钥，所述SOC使用该密钥进行对数据进行解密或加密。

使用本发明提供的一种外部安全内存装置及系统级芯片SOC克服了SEV技术中数据存储在内存中不安全的技术问题

附图说明

图1为本发明实施例提供的一种外部安全内存装置结构示意图；