专利名称:一种安全芯片、无线控制模块及终端的制作方法
技术领域:
本发明涉及通信领域,一种安全芯片、无线控制模块及终端。
背景技术:
在现有各个行业应用领域特别是新兴的物联网行业中,一种新型的无线控制模块 正在获得越来越多的应用,该无线控制模块的功能包括采集、处理传感器的原始物理数据, 并通过无线通道传送到后台的应用系统平台进行进一步的分析、处理及控制,但其中物体 安全控制、行业数据保密极为关键,业务使用的安全性问题逐步凸显。一种典型的现有无线控制模块的技术方案如图1所示,实线部分为无线控制模块 组成部分范围,虚线部分为外围系统,其中主要包括六个组成部分无线通信单元主要负责与控制单元之间进行数据收发并通过无线通道与外部无 线通信实体进行无线通信,可以是ZIGBEE、蓝牙、WAPI、WIFI、RFID等近程无线通信模块的 任意一种,也可以是GSM、CDMA、TD-SCDMA, WCDMA, CDMA2000、LTE、WIMAX等远程无线通信模 块中的任意一种。控制单元主要负责完成外部传感器器件(不属于无线控制模块的一部分)与无 线通信单元之间的数据收发、数据存储、数据处理等功能,一般为嵌入式通用型CPU器件。存储器主要负责为控制模块提供程序及数据存储空间,一般为FLASH、SDRAM、 SRAM、DRAM、DDRAM等通用存储器件。第一控制接口 主要负责完成控制模块与无线通信模块之间的数据收发接口,一 般为UART、USB、SPI等通用接口。第二控制接口 主要负责完成控制模块与外部传感器器件之间的数据收发接口, 一般为UART、USB、电压、电流、ONE WIRE、I2C等通用接口。电源单元主要负责为其他各个单元提供电源,既可以是电池方式,也可以是外部 电源适配器方式。这种典型的现有无线控制模块的工作原理是由第二控制接口接收外部传感器的 数据并传递给控制模块,由控制模块进行存储、处理后通过第一控制接口传送给无线通信 模块,最后由无线通信模块通过无线通道传送给外部无线通信实体。现有技术的缺点在于(1)现有无线控制模块中不采用安全控制或者安全控制强度不足,例如采用蓝牙 模块的无线控制模块中,应用数据的传输加密依赖于PIN码,而PIN码数据要么为了方便用 户记忆设置的长度很短或者很有规律如1234,6666等,要么是蓝牙模块制造商统一预置为 相同的PIN码。无论是不采用安全控制还是安全控制强度不足,均对应用数据的传输安全 性带来巨大的隐患。(2)密钥存储现有技术方案中,控制模块对数据进行处理的过程中,无论是进行 加解密运算还是进行身份认证、数字签名,均采用了通用存储器(如FLASH器件)来保存各 种安全算法所需要的密钥数据。攻击者通过低成本的读取设备即可简单的将其中的密钥数据读取出来并加以利用,其安全隐患及安全风险极为严重。更为严重的是,现有技术方案中 均采用了密钥统一或者用于分散密钥的根密钥统一的密钥管理方式,一旦密钥或者根密钥 数据被破解,攻击者就可以在非法无线控制模块中批量复制密钥或者根密钥数据。在涉及 到用户隐私、行业保密、甚至是国家信息安全的各个应用领域,采用这种低级别安全性的密 钥存储方式无疑将使我国的物联网及其他业务体系面临重大风险和考验。(3)算法存储现有技术方案中,控制模块对数据进行处理的过程中,无论是进行 加解密运算还是进行身份认证、数字签名,其均采用了通用存储器(如FLASH器件)来保存 各种安全算法的方式。攻击者通过低成本的读取设备即可简单的将其中的算法程序代码读 取出来并加以利用,其安全隐患及安全风险极为严重。更为严重的是,现有技术方案中均采 用了统一的算法管理方式,一旦算法被破解,攻击者就可以在非法无线控制模块中批量复 制安全算法。在涉及到用户隐私、行业保密、甚至是国家信息安全的各个应用领域,采用这 种低级别安全性的安全算法存储方式无疑将使我国的物联网及其他业务体系面临重大风 险和考验。(4)协议存储现有技术方案中,控制模块对数据进行处理的过程中,均采用了通 用存储器(如FLASH器件)来保存各种安全协议的方式。攻击者通过低成本的读取设备即 可简单的将其中的安全协议代码读取出来并加以利用,其安全隐患及安全风险极为严重。 更为严重的是,现有技术方案中均采用了统一的安全协议管理方式,一旦安全协议被破解, 攻击者就可以在非法无线控制模块中批量复制安全协议。在涉及到用户隐私、行业保密、甚 至是国家信息安全的各个应用领域,采用这种低级别安全性的安全协议存储方式无疑将使 我国的物联网及其他业务体系面临重大风险和考验。
(5)密钥、算法及安全协议配置现有技术方案中,密钥、算法及安全协议的配置 是根据具体的业务需求而定制固化的,一旦业务需求发生变化,需要重新进行密钥、算法及 安全协议的重新配置甚至是产品的重新生产,无法实现整体安全体系的灵活配置,从而无 法向用户及应用提供最佳解决方案。(6)个性化发行现有技术方案中,用来对无线控制模块进行身份标示的网络标 示信息需要进行个人化发行,而这些个人化发行数据只能存储在无线控制模块的通用存储 器(如FLASH器件)中,采用这种发行方式的成本及生产流程复杂性很高,造成了无线控制 模块批量生产个人化发行困难的实际问题。(7)标示不统一在现有技术方案中,无线控制模块的身份标示信息随着行业、产 品、业务的不同而不同,包括编码规则、识别方式等都是混乱无序的,无法解决有效安全管 理的问题。(8)业务标准不统一在现有技术方案中,无线控制模块普遍存在着密钥配置、算 法配置、安全协议、业务使用等诸多接口不统一、规范混乱的问题,产品之间的互联性、通用 性及兼容性等各个方面均存在很大的问题;同时因为无线控制模块的身份标示信息的不统 一,在一个需要进行全行业、全产品、全业务融合(例如物联网、两化融合、3C融合)的领域, 将会带来用户使用不便、业务开展不便的现实问题。(9)业务绑定现有技术方案中,通过非法的手段(如破解密钥、算法、协议)可以 转移业务的使用对象(例如将家庭业务应用于手机业务),带来客户运营市场的混乱以及 以此引发的经济损失。
发明内容
本发明要解决的技术问题是提供一种安全芯片、无线控制模块及终端,能够提高安全控制的强度。为了解决上述问题,本发明提供了一种安全芯片,包括接口单元、存储单元;还 包括主控单元;所述存储单元用于保存程序以及一个或多个密钥;所述程序包括以下两者或其中 任一一种或多种安全算法、一种或多种协议;所述主控单元用于保存所配置的当前使用的程序及密钥;从外部通信实体接收请 求,所述请求包括以下一种或几种加/解密请求、解析请求、认证请求;当所述请求为加/ 解密请求或认证请求时,从所述存储单元中查找到当前使用的安全算法及密钥,对该请求 中携带的数据进行加/解密或认证,得到加/解密结果或认证结果,通过所述接口单元返回 给所述外部通信实体;当所述请求为解析请求时,从所述存储单元中查找到当前使用的协 议及密钥,对该请求中携带的数据进行解析,得到解析结果,通过所述接口单元返回给所述 外部通信实体。进一步地,所述存储单元所保存的密钥数据包括仅与本安全芯片对应的随机密 钥,以及根密钥;所保存的程序包括分散算法;所述主控芯片在加/解密、认证或解析时,如果所配置的当前使用的密钥为随机 密钥,则直接使用该密钥;如果所配置的当前使用的密钥为根密钥,则使用根据所述根密钥 和所述分散算法计算出的密钥。进一步地,所述主控单元还用于当从外部通信实体收到获取所述存储单元中保存 的程序或密钥的请求时,丢弃该请求或返回表示失败的响应。本发明还提供了一种无线控制模块,包括控制单元;还包括安全芯片;所述安 全芯片包括接口单元;存储单元,用于保存程序以及一个或多个密钥;所述程序包括以下两者或其中任 一一种或多种安全算法、一种或多种协议;主控单元,用于保存所配置的当前使用的程序及密钥;从外部通信实体接收请求, 所述请求包括以下一种或几种加/解密请求、解析请求、认证请求;当所述请求为加/解 密请求或认证请求时,从所述存储单元中查找到当前使用的安全算法及密钥,对该请求中 携带的数据进行加/解密或认证,得到加/解密结果或认证结果,通过所述接口单元返回给 所述外部通信实体;当所述请求为解析请求时,从所述存储单元中查找到当前使用的协议 及密钥,对该请求中携带的数据进行解析,得到解析结果,通过所述接口单元返回给所述外 部通信实体;所述控制单元用于在所述安全芯片的所述主控单元中配置当前使用的安全算法、 协议及密钥。进一步地,所述安全芯片中所述存储单元所保存的密钥数据包括仅与本安全芯片对应的随机密钥,以及根密 钥;所保存的程序包括分散算法;所述主控芯片在加/解密、认证或解析时,如果所配置的当前使用的密钥为随机密钥,则直接使用该密钥;如果所配置的当前使用的密钥为根密钥,则使用根据所述根密钥 和所述分散算法计算出的密钥。进一步地,所述安全芯片中所述主控单元还用于当从外部通信实体收到获取所述存储单元中保存的程序或 密钥的请求时,丢弃该请求或返回表示失败的响应。进一步地,所述的无线控制模块还包括与外部的无线通信实体相连的无线通信 单元,以第一控制接口与所述控制单元相连;所述安全芯片集成在无线控制模块的主板上,与所述控制单元直接进行交互,通 过所述控制单元与所述无线通信单元相连,与外部的无线通信实体进行交互。进一步地,所述的无线控制模块还包括与外部的无线通信实体相连的无线通信 单元,以第一控制接口与所述控制单元相连;所述安全芯片集成在所述无线通信单元中,通过所述无线通信单元与所述控制单 元以及外部的无线通信实体进行交互。进一步地,所述的无线控制模块还包括与外部的无线通信实体相连的无线通信 单元,以第一控制接口与所述控制单元相连;一转接板,所述无线通信单元和所述安全芯片都集成在所述转接板上;所述安全芯片通过该转接板与所述控制单元及外部的无线通信实体进行交互。本发明还提供了一种终端,包括控制单元;害包括安全芯片;所述安全芯片包 括接口单元;存储单元,用于保存程序以及一个或多个密钥;所述程序包括以下两者或其中任 一一种或多种安全算法、一种或多种协议;主控单元,用于保存所配置的当前使用的程序及密钥;从外部通信实体接收请求, 所述请求包括以下一种或几种加/解密请求、解析请求、认证请求;当所述请求为加/解 密请求或认证请求时,从所述存储单元中查找到当前使用的安全算法及密钥,对该请求中 携带的数据进行加/解密或认证,得到加/解密结果或认证结果,通过所述接口单元返回给 所述外部通信实体;当所述请求为解析请求时,从所述存储单元中查找到当前使用的协议 及密钥,对该请求中携带的数据进行解析,得到解析结果,通过所述接口单元返回给所述外 部通信实体;所述控制单元用于在所述安全芯片的所述主控单元中配置当前使用的安全算法、 协议及密钥。进一步地,所述安全芯片中所述存储单元所保存的密钥数据包括仅与本安全芯片对应的随机密钥,以及根密 钥;所保存的程序包括分散算法;所述主控芯片在加/解密、认证或解析时,如果所配置的当前使用的密钥为随机 密钥,则直接使用该密钥;如果所配置的当前使用的密钥为根密钥,则使用根据所述根密钥 和所述分散算法计算出的密钥。进一步地,所述安全芯片中所述主控单元还用于当从外部通信实体收到获取所述存储单元中保存的程序或 密钥的请求时,丢弃该请求或返回表示失败的响应。
本发明的技术方案提供了基于硬件芯片级的整体安全解决方案,实现了密钥、安 全算法、协议的灵活配置;尤其是通过配置一机一密的高长度真随机序列的密钥、以及配置 为特殊非公开算法如SCB2或者配置为公钥密码算法,具有高度的安全性,解决了现有无线 控制模块中密钥、安全算法、协议配置不灵活的问题。本发明的优化方案解决了将密钥及安全算法存储在终端或模块通用存储器易被 读出、易被破解、以及破解后可以批量复制的安全问题,提高了业务安全性;解决了现有无 线控制模块中不采用安全控制或者安全控制强度不足的问题,实现了密钥、算法、协议的安 全存储。本发明的其又一优化方案提出了多种在无线控制模块中集成安全芯片的方法,能 够针对不同的具体情况灵活选择集成方式。本发明的其它优化方案能够实现业务绑定、统一标识、统一标准、以及个性化发 行。
图1为现有的无线控制模块的结构示意图;图2为实施例一中的安全芯片的结构示意图;图3为实施例二中无线控制模块的一种实施方式的结构示意图;图4为实施例二中无线控制模块的另一种实施方式的结构示意图;图5为实施例二中无线控制模块的又一种实施方式的结构示意图。
具体实施例方式下面将结合附图及实施例对本发明的技术方案进行更详细的说明。需要说明的是,如果不冲突,本发明实施例以及实施例中的各个特征可以相互结 合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机 可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况 下,可以以不同于此处的顺序执行所示出或描述的步骤。实施例一、一种安全芯片,如图2所示,包括接口单元、主控单元、存储单元;所述存储单元用于保存程序以及一个或多个密钥等;所述程序包括以下两者或其 中任一一种或多种安全算法、一种或多种协议;所述接口单元用于传输所述主控单元与外部通信实体之间交互的数据;所述主控单元用于保存所配置的当前使用的程序及密钥;从外部通信实体接收请 求,所述请求包括以下一种或几种加/解密请求、解析请求、认证请求;当所述请求为加/ 解密请求或认证请求时,从所述存储单元中查找到当前使用的安全算法及密钥,对该请求 中携带的数据进行加/解密或认证,得到加/解密结果或认证结果,通过所述接口单元返回 给所述外部通信实体;当所述请求为解析请求时,从所述存储单元中查找到当前使用的协 议及密钥,对该请求中携带的数据进行解析,得到解析结果,通过所述接口单元返回给所述 外部通信实体。本实施例中,配置当前使用的密钥时,可以但不限于为各种安全算法或协议配置 不同的密钥;所述主控单元进行加/解密、认证或解析时,所使用的密钥是为当前所用算法配置的密钥。本实施例中,可以将业务应用安全所依赖的数据安全算法和/或相关安全协议全 部内置在安全芯片中,针对不同的用户及应用领域,所使用的安全算法及协议也是可以灵 活配置在所述主控单元中的。例如,在强实时性及一对一应用环境下,DES、AES等传统对称 密码算法可以获得良好的应用,在高强度多方认证应用环境下,则RSA、ECC等公钥密码算 法将会是最好的选择。同样的,除了以上这些公开密码算法外,如果有特定的应用需求提出 算法保密的特殊要求,则SCB2等受控、非公开的密码算法将会获得其强大的生命力。上述 所有对于算法及协议配置的要求,通过安全芯片是可以灵活配置和实现的。本实施例中,可以人工直接或通过其它设备在所述主控单元中配置当前使用的安 全算法、协议及密钥,也可以由外部应用系统决定采用什么安全算法、协议及密钥,然后通 过无线通信模块或终端里的控制单元在所述主控单元中进行配置;还可以分别配置,比如 安全算法及其密钥由人工配置,而协议及其密钥由外部应用系统配置。实际应用时可根据 客观情况灵活选用。本实施例不仅可以灵活配置所采用的安全算法、协议及密钥,而且当目前使用的 安全算法、协议或密钥泄密时,可以通过更改配置,来更新当前所使用的安全算法、协议或 密钥,因此可以进一步提高安全性。 如果为各安全芯片配置一样的安全算法、协议、密钥,则可以统一标准。本实施例中,所述存储单元所保存的密钥数据包括仅与本安全芯片对应的随机密 钥(即各安全芯片分别对应不同的随机密钥),也包括根密钥;所保存的程序包括分散算 法;所述主控芯片在加/解密、认证或解析时,如果所配置的当前使用的密钥为随机 密钥,则直接使用该密钥;如果所配置的当前使用的密钥为根密钥,则使用根据所述根密钥 和所述分散算法计算出的密钥。这样一来,本实施例中的安全芯片既可以实现真正随机特性的密钥生成方式,也 可以实现基于分散算法的密钥生成方式,而且密钥长度几乎不受限制,两者所面向的应用 客户及应用领域均有所不同。实际应用中,可以根据不同应用场合配置所用的加解密方式;比如可以针对高安 全应用可以采用随机密钥方式,实现一机一密的密钥安全体系,针对低安全应用则可以采 用分散密钥安全体系,在成本与安全性的均衡方面取得最优性能。本实施例中,所述主控单元还用于当从外部通信实体(包括外部的有线/无线通 信实体)收到获取所述存储单元中保存的数据(包括程序或密钥等)的请求时,可以但不 限于丢弃该请求或返回表示失败的响应,总之在任何情况下都不将存储单元中的数据从接 口单元发出。由此,外部通信实体无论是用无线或有线方式连接所述安全芯片的接口单元, 都无法获取安全芯片中保存的数据,因此本实施例中的安全芯片将具有防盗读、防刺探、防 攻击的多重高安全特性;所述安全芯片中保存的安全算法、协议及密钥,外部通信实体无法 通过接口模块直接访问,可以实现最高程度的安全保密性,以保障用户的核心数据不被非 法窃取和使用。本实施例中,所述存储单元还可以用于保存业务应用程序代码,所述主控单元还 可以用于进行各种业务应用的处理和控制。
本实施例中,所述存储单元可以具体包括程序存储子单元,用于保存各种安全算法及协议;数据存储子单元,用于保存各种安全算法、协议各自对应的密钥数据;还可以用于 保存网络标识信息数据。本实施例中,所述安全芯片还包括外部电路单元主要是指电源、复位、时钟等安 全芯片正常运行所必需的外部电路。
本实施例中,所述数据存储子单元所保存的密钥数据可以包括长度很长的真随机 序列密钥,所述程序存储子单元可保存各种高强度安全算法及协议,因此可以提供一种高 强度的整体安全解决方案。本实施例中,通过在安全芯片中保存各种个性化数据如网络标识信息等,可以统 一标识,以及个性化发行。实施例二、一种无线控制模块,包括实施例一中的安全芯片;控制单元,用于在所述安全芯片的所述主控单元中配置当前使用的安全算法、协 议及密钥;其它组成部分可以同现有技术。本实施例中,该无线控制模块还可以包括与外部的无线通信实体相连的无线通信单元,以第一控制接口与所述控制单元相 连;本实施例的一种实施方式如图3所示,所述安全芯片与所述控制单元直接进行交 互,通过所述控制单元与所述无线通信单元相连,从而与外部的无线通信实体进行交互。在这种实施方式中,安全芯片集成在无线控制模块的主板上。本实施例的另一种实施方式如图4所示,所述安全芯片集成在所述无线通信单元 中,成为所述无线通信单元的组成部分,通过所述无线通信单元与所述控制单元以及外部 的无线通信实体进行交互。该实施方式中,所述无线控制模块的主板不用进行更改,可以兼容当前的无线控 制模块的主板,只需要改动无线通信单元即可。本实施例的又一种实施方式如图5所示,所述无线控制模块还包括一转接板,所 述无线通信单元和所述安全芯片都集成在所述转接板上并成为一个整体,通过该转接板与 所述控制单元及外部的无线通信实体进行交互。该实施方式中,所述无线控制模块的主板和无线通信单元均不用进行更改,可以 兼容当前的无线控制模块的主板及无线通信单元,只需要增加一连接板即可。本实施例中,可以但不限于采用SMD(贴片)焊接并涂刷防拆胶的方式将所述安全 芯片连接在所述无线控制模块的主板上,或所述连接板上。本实施例中,采用专用安全芯片的解决方案,可以实现各种无线控制模块产品与 安全芯片的强力捆绑,例如采用SMD焊接并涂刷防拆胶的方式实现无线控制模块产品与安 全芯片的一体化,对于某些具有特殊需求的业务如低资费套餐绑定家庭用户的应用需求, 采用业务安全体系平台的控制下的专用安全芯片可以准确的锁定最终用户,避免业务在不 同无线控制模块产品上的交互使用。本实施例中,安全芯片内保存的网络标识信息数据具有统一的标准和格式,即使应用在不同的行业、不同的产品以及不同的应用中,仍然能够统一网络标识信息。同时将终 端、模块产品的网络标示信息集成在安全芯片中并与终端、模块产品形成一体化,既实现了 统一的网络标识资源管理问题,又可以有效的防止非法伪造现象的发生,对于家庭应用、物 流应用以及商业零售等领域具有重要的现实意义。本实施例中,从密钥的生成方式、算法的使用策略、业务下载及使用的流程、安全 芯片与无线控制模块产品的外部软硬件及结构接口等各个方面均可以实现高度的统一标 准,使得目前标准不统一、规范混乱的现状得到根本的解决。本实施例中,通过专用的发行设备,可以以低成本高效率的成熟模式在安全芯片 中保存各种个性化数据如网络标识信息等,由于采用SMD焊接并涂刷防拆胶的方式实现无 线控制模块产品与安全芯片的一体化,同时也就实现了无线控制模块、无线控制终端的个 性化发行。实施例三、一种终端,包括实施例一中的安全芯片; 本实施例中,所述终端可以是直接包括实施例一中的安全芯片,也可以是通过包 括实施例二中的无线控制模块二包括该安全芯片。本实施例中,如果终端是直接包括实施例一中的安全芯片,则还包括一控制单元, 用于在所述安全芯片的所述主控单元中配置当前使用的安全算法、协议及密钥。该安全芯片可以直接集成在终端的主板上,也可以集成在终端的其它组成模块 中,或使用一新增的连接板与终端的其它部分相连。本实施例中,可以但不限于采用SMD焊接并涂刷防拆胶的方式将所述安全芯片连 接在所述终端的主板上,或所述连接板上。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们 中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的 硬件和软件结合。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟 悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变 形都应属于本发明的权利要求的保护范围。
权利要求
一种安全芯片,包括接口单元、存储单元;其特征在于,还包括主控单元;所述存储单元用于保存程序以及一个或多个密钥;所述程序包括以下两者或其中任一一种或多种安全算法、一种或多种协议;所述主控单元用于保存所配置的当前使用的程序及密钥;从外部通信实体接收请求,所述请求包括以下一种或几种加/解密请求、解析请求、认证请求;当所述请求为加/解密请求或认证请求时,从所述存储单元中查找到当前使用的安全算法及密钥,对该请求中携带的数据进行加/解密或认证,得到加/解密结果或认证结果,通过所述接口单元返回给所述外部通信实体;当所述请求为解析请求时,从所述存储单元中查找到当前使用的协议及密钥,对该请求中携带的数据进行解析,得到解析结果,通过所述接口单元返回给所述外部通信实体。
2.如权利要求1所述的安全芯片,其特征在于所述存储单元所保存的密钥数据包括仅与本安全芯片对应的随机密钥,以及根密钥; 所保存的程序包括分散算法;所述主控芯片在加/解密、认证或解析时,如果所配置的当前使用的密钥为随机密钥, 则直接使用该密钥;如果所配置的当前使用的密钥为根密钥,则使用根据所述根密钥和所 述分散算法计算出的密钥。
3.如权利要求1所述的安全芯片,其特征在于所述主控单元还用于当从外部通信实体收到获取所述存储单元中保存的程序或密钥 的请求时,丢弃该请求或返回表示失败的响应。
4.一种无线控制模块,包括控制单元;其特征在于,还包括安全芯片;所述安全芯片包括接口单元;存储单元,用于保存程序以及一个或多个密钥;所述程序包括以下两者或其中任一 一种或多种安全算法、一种或多种协议;主控单元,用于保存所配置的当前使用的程序及密钥;从外部通信实体接收请求,所述 请求包括以下一种或几种加/解密请求、解析请求、认证请求;当所述请求为加/解密请 求或认证请求时,从所述存储单元中查找到当前使用的安全算法及密钥,对该请求中携带 的数据进行加/解密或认证,得到加/解密结果或认证结果,通过所述接口单元返回给所述 外部通信实体;当所述请求为解析请求时,从所述存储单元中查找到当前使用的协议及密 钥,对该请求中携带的数据进行解析,得到解析结果,通过所述接口单元返回给所述外部通 信实体;所述控制单元用于在所述安全芯片的所述主控单元中配置当前使用的安全算法、协议 及密钥。
5.如权利要求4所述的无线控制模块,其特征在于,所述安全芯片中所述存储单元所保存的密钥数据包括仅与本安全芯片对应的随机密钥,以及根密钥; 所保存的程序包括分散算法;所述主控芯片在加/解密、认证或解析时,如果所配置的当前使用的密钥为随机密钥, 则直接使用该密钥;如果所配置的当前使用的密钥为根密钥,则使用根据所述根密钥和所述分散算法计算出的密钥。
6.如权利要求4所述的无线控制模块,其特征在于,所述安全芯片中所述主控单元还用于当从外部通信实体收到获取所述存储单元中保存的程序或密钥 的请求时,丢弃该请求或返回表示失败的响应。
7.如权利要求4到6中任一项所述的无线控制模块,其特征在于,还包括与外部的无 线通信实体相连的无线通信单元,以第一控制接口与所述控制单元相连;所述安全芯片集成在无线控制模块的主板上,与所述控制单元直接进行交互,通过所 述控制单元与所述无线通信单元相连,与外部的无线通信实体进行交互。
8.如权利要求4到6中任一项所述的无线控制模块,其特征在于,还包括与外部的无 线通信实体相连的无线通信单元,以第一控制接口与所述控制单元相连;所述安全芯片集成在所述无线通信单元中,通过所述无线通信单元与所述控制单元以 及外部的无线通信实体进行交互。
9.如权利要求4到6中任一项所述的无线控制模块,其特征在于,还包括与外部的无 线通信实体相连的无线通信单元,以第一控制接口与所述控制单元相连;一转接板,所述无线通信单元和所述安全芯片都集成在所述转接板上;所述安全芯片通过该转接板与所述控制单元及外部的无线通信实体进行交互。
10.一种终端,包括控制单元;其特征在于,还包括安全芯片;所述安全芯片包括接口单元;存储单元,用于保存程序以及一个或多个密钥;所述程序包括以下两者或其中任一 一种或多种安全算法、一种或多种协议;主控单元,用于保存所配置的当前使用的程序及密钥;从外部通信实体接收请求,所述 请求包括以下一种或几种加/解密请求、解析请求、认证请求;当所述请求为加/解密请 求或认证请求时,从所述存储单元中查找到当前使用的安全算法及密钥,对该请求中携带 的数据进行加/解密或认证,得到加/解密结果或认证结果,通过所述接口单元返回给所述 外部通信实体;当所述请求为解析请求时,从所述存储单元中查找到当前使用的协议及密 钥,对该请求中携带的数据进行解析,得到解析结果,通过所述接口单元返回给所述外部通 信实体;所述控制单元用于在所述安全芯片的所述主控单元中配置当前使用的安全算法、协议 及密钥。
11.如权利要求10所述的终端,其特征在于,所述安全芯片中所述存储单元所保存的密钥数据包括仅与本安全芯片对应的随机密钥,以及根密钥; 所保存的程序包括分散算法;所述主控芯片在加/解密、认证或解析时,如果所配置的当前使用的密钥为随机密钥, 则直接使用该密钥;如果所配置的当前使用的密钥为根密钥,则使用根据所述根密钥和所 述分散算法计算出的密钥。
12.如权利要求10所述的终端,其特征在于,所述安全芯片中所述主控单元还用于当从外部通信实体收到获取所述存储单元中保存的程序或密钥 的请求时,丢弃该请求或返回表示失败的响应。
全文摘要
一种安全芯片、无线控制模块及终端;安全芯片包括接口单元,存储单元,用于保存一种或多种安全算法、一种或多种协议,以及所需要的各密钥;主控单元,用于保存所配置的当前使用的安全算法、协议及密钥;从外部通信实体接收请求,当所述请求为加/解密请求或认证请求时,从所述存储单元中查找到当前使用的安全算法及密钥,对该请求中携带的数据进行加/解密或认证,得到加/解密结果或认证结果,通过所述接口单元返回给所述外部通信实体;当所述请求为解析请求时,从所述存储单元中查找到当前使用的协议及密钥,对该请求中携带的数据进行解析,得到解析结果,通过所述接口单元返回给所述外部通信实体。本发明能够提高安全控制的强度。
文档编号H04L9/14GK101873215SQ20101019334
公开日2010年10月27日 申请日期2010年5月27日 优先权日2010年5月27日
发明者孙东昱, 李作为, 王永辉 申请人:大唐微电子技术有限公司