一种基于riscv-v架构芯片的终端身份认证方法与流程

本发明主要涉及计算机信息安全，尤其是涉及一种基于riscv-v架构芯片的终端身份认证方法。

背景技术：

1、目前嵌入式终端身份认证的方法普遍采用软件加密算法，算法的逻辑和密钥都存在泄露和被破解的风险，算法的逻辑和密钥都一旦被破解，将会给用户会带来巨大的安全风险，并产生极大的经济损失；还有一部分嵌入式终端身份认证使用加密芯片的方法保护认证算法和密钥安全性的这种方案，但这种形式不仅增加了硬件成本，还导致软件实现的难度同步增加，不能得到普遍的使用。

技术实现思路

1、本发明所要解决的技术问题

2、提供一种基于riscv-v架构芯片的终端身份认证方法，解决目前的嵌入式终端身份认证采用加密软件算法，算法的逻辑和密钥存在泄漏和被破解的风险的问题，以及采用加密芯片保护身份认证算法和密钥安全性，硬件成本增加，软件算法更加复杂的问题。

3、本发明解决上述技术问题所采用的技术方案

4、一种基于riscv-v架构芯片的终端身份认证方法，riscv-v芯片启动后在m模式下运行安全调度器程序，安全调度器程序配置两个enclave空间，第一enclave空间用于运行普通业务，第二enclave空间用于运行安全认证业务，所述普通业务为除身份认证业务以外的业务；安全调度器通过设置risc-v芯片中pmp寄存器，在risc-v芯片运行过程中动态设置不同enclave空间的权限，始终禁止普通业的算法访问第二enclave空间，保证安全认证算法和密钥的安全。

5、进一步的，所述方法具体包括以下步骤：

6、步骤1：riscv-v芯片上电启动，进入m模式运行，执行安全调度器程序；

7、步骤2：安全调度器程序配置两个enclave空间，第一enclave空间用于运行普通业务，第二enclave空间用于运行安全认证业务；

8、步骤3：安全调度器设置risc-v芯片中pmp寄存器，将第二enclave空间设置为不允许读、写和运行权限；将第一enclave空间设置为允许读、写和运行权限；

9、步骤4：安全调度器切换risc-v芯片进入u模式，调度器启动第一enclave空间运行普通业务；

10、步骤5：第一enclave空间运行空闲或安全调度器分配时间结束，保存第一enclave空间当前业务逻辑代码运行状态，返回安全调度器；

11、步骤6：安全调度器切换risc-v芯片进入m模式；

12、步骤7：安全调度器设置risc-v芯片中pmp寄存器，将第二enclave空间设置允许读、写和运行权限，设置第一enclave空间不允许读、写和运行权限；

13、步骤8：安全调度器切换risc-v特权模式为u模式，安全调度器启动第二enclave空间执行安全认证算法；

14、步骤9：第二enclave空间安全认证算法执行完成后，安全调度器切换risc-v芯片进入m模式，进入步骤3；

15、步骤10、安全调度器切换risc-v特权模式为u模式运行，调度器切换到第一enclave空间执行普通业务算法；

16、步骤11、普通业务逻辑算法通过安全调度器共享内存接口读取安全认证结果和加密数据，完成身份认证后进入步骤6。

17、进一步的，步骤8中所述第二enclave空间执行安全认证算法具体包括：

18、第二enclave空间安全认证业务通过调用硬件算法完成身份认证和通信数据加密；

19、第二enclave空间安全认证业务通过安全调度器提供的共享内存接口将身份认证结果和加密通信数据保存到内存中；

20、第二enclave空间清除身份认证结果和加密通信数据，返回安全调度器程序。

21、进一步的，步骤6中安全调度器切换risc-v芯片进入m模式的方法为：调用ecall指令进入系统中断，再配置mstatus寄存器进入m模式。

22、本发明的有益效果

23、本发明所述的一种基于riscv-v架构芯片的终端身份认证方法，riscv-v芯片启动后在m模式下运行安全调度器程序，安全调度器程序配置两个enclave空间，第一enclave空间用于运行普通业务，第二enclave空间用于运行安全认证业务，所述普通业务为除身份认证业务以外的业务；安全调度器通过设置risc-v芯片中pmp寄存器，在risc-v芯片运行过程中动态设置不同enclave空间的权限，始终禁止普通业的算法访问第二enclave空间，在不增加额外器件成本的情况下，更好的保护了身份认证算法被破解和密钥泄露的风险，大大提高了产品安全性能。

技术特征：

1.一种基于riscv-v架构芯片的终端身份认证方法，其特征在于，riscv-v芯片启动后在m模式下运行安全调度器程序，安全调度器程序配置两个enclave空间，第一enclave空间用于运行普通业务，第二enclave空间用于运行安全认证业务，所述普通业务为除身份认证业务以外的业务；安全调度器通过设置risc-v芯片中pmp寄存器，在risc-v芯片运行过程中动态设置不同enclave空间的权限，始终禁止普通业的算法访问第二enclave空间，隔离安全认证算法和安全认证密钥。

2.根据权利要求1所述的一种基于riscv-v架构芯片的终端身份认证方法，其特征在于，所述方法具体包括以下步骤：

3.根据权利要求2所述的一种基于riscv-v架构芯片的终端身份认证方法，其特征在于，步骤8中所述第二enclave空间执行安全认证算法具体包括：

4.根据权利要求2或3所述的一种基于riscv-v架构芯片的终端身份认证方法，其特征在于，步骤6中安全调度器切换risc-v芯片进入m模式的方法为：调用ecall指令进入系统中断，再配置mstatus寄存器进入m模式。

技术总结
本发明主要涉及计算机信息安全技术领域。为了解决目前的嵌入式终端身份认证采用加密软件算法，算法的逻辑和密钥存在泄漏和被破解的风险；采用加密芯片保护身份认证算法和密钥安全性的方法，硬件成本增加和软件算法复杂的问题，本发明提供一种基于riscv‑v架构芯片的终端身份认证方法，芯片启动后在M模式下运行安全调度器程序，安全调度器程序配置两个Enclave空间，第一Enclave空间用于运行普通业务，第二Enclave空间用于运行安全认证业务；安全调度器通过设置芯片中PMP寄存器，在芯片运行过程中动态设置不同Enclave空间的权限，禁止普通业的算法访问第二Enclave空间，保证认证算法和密钥的安全。

技术研发人员：葛季鑫,杨超
受保护的技术使用者：四川启睿克科技有限公司
技术研发日：
技术公布日：2024/3/11