[发明专利]一种soc国密安全芯片安全启动时防御故障注入的方法

说明书

本发明公开了一种soc国密安全芯片安全启动时防御故障注入的方法。当芯片设计完成后，新出现的故障注入方法很难进行防御。本发明包括：芯片内置的硬件检测模块、存储器权限控制模块、特定的软件启动流程。本方法通过内置的硬件检测模块追踪安全启动时，软件的执行顺序；在检测到软件执行顺序不正确时，通过存储器权限控制模块禁止软件对存储器的读写或执行权限，令软件无法继续执行，安全启动流程终止。本发明方法有效防御了因故障注入导致的关键步骤被跳过的风险。本发明方法实现了安全启动时对故障注入引起的软件异常跳转的防御，提高了系统的安全性。

技术领域

本发明集成电路技术领域，尤其是嵌入式系统和芯片设计的技术领域，涉及一种soc(system on chip，片上系统)国密芯片安全启动时，防止故障注入的方法。

背景技术

现有的嵌入式系统中，系统的引导程序和镜像文件一般存储在外部的介质中，例如FLASH。在一些涉及高级安全的应用领域，一般都会对引导程序和镜像文件进行加密和签名。在系统安全启动过程中，会进行解密和验签，保证程序的真实性和完整性，防止程序被篡改和替换。

但是在安全启动过程中，如果攻击者采用电磁干扰、电压浪涌或时钟毛刺等物理手段，精准注入故障，使程序在执行过程中发生错误，跳过解密验签功能，就能破坏安全启动的信任链，非法获得嵌入式系统的权限。

现有技术中，针对故障注入，更多的是采用电压检测或者时钟毛刺检测等手段，这些都是通过检测故障注入的方法来判断，是否受到了故障注入攻击。随着故障注入方法越来越多，需要的检测内容也越来越多。且当芯片设计完成后，新出现的故障注入方法很难进行防御。

发明内容

本发明的目的就是针对现有技术的不足，提供一种soc国密安全芯片安全启动时防御故障注入的方法，该方法不依赖与检测故障注入方法，可以与原有防御方法相结合，提供更好的防御效果。

本发明包括：芯片内置的硬件检测模块、存储器权限控制模块、特定的软件启动流程。

芯片设计时，将硬件检测模块内置在芯片中，硬件检测模块追踪软件执行的过程，当检测到顺序正确时，操作存储器权限控制模块，逐级释放存储器的读写或执行权限；当检测到顺序不正确时，不再通过存储器权限控制模块释放存储器的读写或执行权限，令软件无法继续执行，具体是：在芯片设计阶段，软硬件共同约定，对安全启动的每一个关键步骤，用一个特定的字符标记，且在安全启动时，软件每执行一个关键步骤，向硬件检测模块写入对应字符。

硬件检测模块内嵌状态机，根据预先设定值，依次检查写入的字符，判断软件是否被正确执行。在每个状态下由特定的安全启动软件写入对应的字符，才能正确跳转；如果写入字符错误，状态机将进入错误状态，陷入死循环，只有重新上电复位，才能恢复。

所述的关键步骤，包括各种SM4对称解密算法、SM2非对称验签算法、SM3杂凑算法、随机数自测以及特定的系统操作。所述特定的系统操作包括等待硬件安全模块自检、程序从ROM跳转内部SRAM等。

存储器权限控制模块在芯片上电后，默认禁止CPU对存储器读写及执行权限。所述的存储器包括芯片内部的SRAM(随机静态存储器)和外部的DRAM(随机动态存储器)。存储器权限控制模块仅受硬件检测模块控制。

特定的软件启动流程是指在常规安全启动流程的基础上，每执行一个关键步骤或特定的系统操作，向内置的硬件检测模块写入对应字符。

本发明方法具体步骤是：

步骤(1).芯片上电，CPU执行ROM代码，等待安全硬件国密算法模块的自检和随机数自测；自检自测通过，CPU向硬件检测模块写入特定字符。

所述的安全硬件国密算法模块是指SM4对称加解密算法、SM2非对称验签算法和SM3杂凑算法的硬件实现模块。