安全的软件定义无线电芯片的制作方法

本发明涉及安全处理，尤其是无线电信号处理领域的安全处理。

背景技术：

随着数字处理器的出现变得越来越强大，传统上以硬件实现的用于无线电通信系统的组件(例如，混频器、滤波器、放大器等)现在可以通过软件来实现。因此，可以在数字处理器上或嵌入式系统中构建软件定义无线电“sdr”。

例如，通过能够使用通用处理器、专用集成电路asic或硬件可编程逻辑设备(例如，现场可编程门阵列设备fpga)来设计无线电以实现必要的数字信号处理算法(例如，无线电信号生成、编码和调制)，提供了sdr优于传统的基于硬件的无线电的优势。以这种方式，由于能够根据需要修改软件以覆盖关于无线电协议、带宽和用户偏好或操作环境特征的不同要求，因此可以容易地实现根据无线电协议的广泛变化的宽带无线电信号的接收和传输，同时保持很大的灵活性。fpga提供了比asic更大的灵活性，因为即使fpga在现场部署后，fpga也可以重新配置。当预期无线电参数不会随时间变化时，通常使用asic。

在已知的sdr中，发送和/或接收路径中的大量块具有由软件定义的功能，从而可以通过编程轻松改变功能。因此，sdr正在移动通信领域获得使用，其中需要快速调整手持设备的能力，包括其射频、协议或操作环境变量。可以使用无线更新即时改变这样的特征。

当前可用的可编程逻辑设备(例如，asic)和可重新配置硬件可编程逻辑设备(例如，fpga)并不以其高安全性特性而著称，实际上，它们都仅提供非常基本的安全性特征。因此，需要一种允许实现安全的sdr的硬件可编程芯片。

附图说明

由于以下详细描述和附图，将更好地理解本发明的构思，附图作为发明构思的实施方式的非限制性示例给出，即：

图1示出了已知的软件定义无线电系统的示意图；

图2表示嵌入本文所述的主机设备中的安全的软件定义无线电芯片的实施方式；

图3示出了本文所述的替代实施方式；

图4示出了包括加密模块的可重新配置硬件可编程逻辑电路；

图5示出了可在实施方式中部署的可重新配置硬件可编程逻辑电路；

图6示出了可以在实施方式中使用的方法；

图7示出了包括加密模块的可编程设备；以及

图8示出了图2所示的嵌入主机设备中的安全的软件定义无线电芯片的实施方式的更多细节。

具体实施方式

根据第一方面，为了解决尤其在软件定义无线电的实现中的安全性问题，本文公开的实施方式提供了使用具有安全加密设备的软件定义无线电芯片的安全无线电处理装置。根据一个实施方式，在加密设备中创建信任根，并使用密钥梯形图以确保对加载到软件定义无线电芯片上的任何软件进行认证。根据其他实施方式，可以对进入和/或离开安全的软件定义无线电芯片的任何数据和/或指令、规则或命令进行认证。

根据另一方面，提供了一种用于对包括可重新配置硬件可编程逻辑电路的软件定义无线电芯片进行编程的方法，该软件定义无线电芯片包括信任根，该方法包括：

在使用作为从信任根的特定密钥导出的密钥梯形图的一部分的密钥对信息进行认证和解密之后，将所述信息加载到可重新配置硬件可编程逻辑电路上。

根据一个实施方式，上述方法还可以包括对离开可重新配置硬件可编程逻辑电路的任何信息的至少一部分进行签名。将会很好地理解的是，也可以对已经被捕获并发送到服务器的任何rf数据进行加密。

图1是示出了已知的软件定义无线电系统的示意图。所选择的调谐(tune)射频输入信号rf被移位以提供模拟中频信号if。然后，使用a/d转换器adc将if信号从模拟域转换为数字域，从而提供数字if样本ifsamp。为了便于后续处理，数字if样本通常以i/q数据的形式表示，因为这是使用硬件可编程设备以软件执行各种所需处理操作的便利格式。如图1所示，原本以硬件执行的各种功能现在可以在sdr系统中以软件执行。这些功能一起可以被描述为用于提供数字基带样本bbsamp的数字下变频ddc。这种在sdr中以软件实现并在可编程硬件设备上执行的功能在图1中示出，并且包括借助数字本地振荡器osc对信号mix进行数字混频以及低通滤波filt。然后可以对数字基带样本bbsamp执行通用数字信号处理功能dsp。

图2示出了安全的软件定义无线电芯片的实施方式。该实施方式可以是独立的芯片，也可以是可以作为芯片上的较大系统的一部分用在较大芯片内的模块或单元，所述较大芯片包括软件定义无线电单元以及执行不同功能的其他单元或模块。例如，在图3中，安全的sdr芯片不是实际的芯片，它可以是与cpu包含在同一物理芯片中的单元。在整个说明书中，术语“软件定义无线电芯片”也可以被认为是指软件定义无线电单元或一个硬件ip。安全的sdr芯片被示出为嵌入在主机设备中。根据该实施方式，提供了一种自包含的安全芯片，其包括所有的模拟和数字块，模拟部分包括射频收发器rft以及任何所需的信号转换单元，例如模数转换器adc，并且数字部分包括微控制器单元mcu、用于安全的sdr芯片的存储区stor和数字信号处理能力，该数字信号处理能力至少包括可重新配置硬件可编程逻辑电路rhpc。根据一种变形，可以在可重新配置硬件可编程逻辑电路内执行可能需要的任何通用dsp功能。根据另一种变形，通用dsp功能可以在适当配置的dsp模块上执行，由于dsp是标准模块，从而提供更快的处理速度和降低的成本的优点。相反，在可编程硬件设备中执行的dsp功能允许dsp功能可重新编程，因此更加灵活。取决于所讨论的变形例的图2的rhpc或rhpc和dsp的组合可以被称为用于执行sdr功能的数字信号处理器dspr。在一个实施方式中，可以在dspr内执行安全功能。在另一个实施方式中，安全功能可以由微控制器单元执行。在第一变形中，rhpc部分将处理if样本的数字下变频以提供基带样本和sdr芯片的频带处理步骤。在第二变形中，rhpc部分将仅处理if样本的数字下变频以提供基带样本，并且将包括dsp以处理sdr芯片的基带处理步骤。数字下变频可以包括混频和滤波，混频使用本地振荡器。主机设备包括安全的sdr芯片、主处理单元cpu和用于与诸如云服务器的服务器进行通信的通信接口com。下面将描述安全的sdr芯片的各种组件。微控制器单元mcu优选是安全微控制器单元以确保整个安全的sdr芯片的安全性。这种安全性可以例如通过执行密钥管理功能、加密操作等来提供。安全微控制器控制或以其他方式驱动各种无线电组件。mcu可以做出决定，例如要调谐到哪个射频、需要接收/发送多少带宽、如何调制/解调信号、如何处理接收到的数据等。mcu还可以经由通信接口com处理与主机设备和/或云服务器的安全通信。

存储单元stor用作用于从无线电信号中提取的数据或元数据的安全的sdr芯片本地的存储区域。宽带信号通常需要大量的存储空间，因此安全的sdr芯片优选应具有本地存储装置。存储器可以是i/o缓冲器的形式，由于通常需要高速操作，该存储器优选作为随机存取存储器ram来实现。在需要长期存储的情况下，优选使用非易失性型的内存作为存储单元，通常是在需要存储元数据或分析规则的情况下。

射频收发器rft是sdr的主要模拟部分。射频收发器接收并可以发送无线电信号，并且可以使用模数转换器adc以使经由天线接收到的模拟射频信号可用在mcu的数字域和安全的软件定义无线电芯片的无线电数字信号处理器中。射频收发器还可以使用数模转换器dac将信号从数字域转换回模拟域以经由天线进行传输。射频收发器rft使用的天线优选匹配所需的频率。虽然可以使用宽带天线来实现合适的接收，但是为了保持低驻波比swr，发射需要一个或多个特定的天线。如果将sdr设计为使用具有足够高频率的信号，例如在特高频范围uhf(包括在uhf300mhz和3ghz之间的那些频率)中或在超高频范围shf(包括在3ghz和30ghz之间的那些频率)中，则有可能将对应的天线嵌入其上部署有主机设备的印刷电路板pcb上。

图2中名为dspr的块提供了安全的sdr芯片的数字处理能力。dspr可以包括用于执行标准dsp功能的标准数字信号处理器dsp以及可重新配置硬件可编程逻辑电路rhpc，例如fpga，以提供可编程的数字信号处理功能，从而至少在dspr中提供必要的灵活性。rhpc有助于实现所需的灵活性，其中无线电必须能够以不同的无线电频率和针对不同的无线电协议或者根据不同的用户喜好或操作环境条件工作。因此，可以通过软件重新编程以重新配置可编程逻辑电路来容易地改变无线电的功能。功能的这种改变还可以包括对dsp进行编程的软件编程。还将示出的是，根据本文描述的实施方式的可重新配置硬件可编程逻辑电路有助于安全的软件定义无线电芯片的整体安全性。dspr单元可以被视为sdr的处理器。dspr可以被描述为标准dsp和可重新配置硬件可编程逻辑电路rhpc的组合。该处理器的固件可以由mcu加载。可以根据目标应用修改固件。dsp可以说是软件定义无线电芯片的处理器的软件可编程部分，而可重新配置硬件可编程逻辑电路可以说是处理器的硬件可编程部分。

根据一个实施方式，可重新配置硬件可编程逻辑电路包括用于处理来自和去往射频收发器的i/q数字if样本所需的逻辑。这部分处理代表了标准微控制器通常无法完成的密集处理。这样的处理包括比如调制、解调、数字下变频、快速傅立叶变换fft、无线电信号检测等功能。

根据另一个实施方式，诸如rf收发器以及模数和数模转换器的模拟无线电组件可以保留在安全的sdr芯片之外。这在图3中示出。这样做可以实现成本优势，因为可以减小芯片尺寸或模块尺寸。由于当模拟组件不必与数字处理功能位于同一芯片或模块上时，可以利用不同的设计选择，因此将会实现进一步的优势。该实施方式对系统的安全性具有有限的影响，因为系统的主要组件保持在安全区内。这种方法的主要缺点是可以想到的是，攻击者可以发现正在调谐到的频率，从而使攻击者可以获取通过rf接收的i/q数据。这被称为情报泄漏。如上所述，根据一个实施方式，安全的sdr“芯片”可以不是实际芯片，而是例如可以是包括在cpu内的ip单元。

根据本文所述的实施方式，安全的sdr芯片可用于对输入rf频谱的组块进行预分析。对输入信号或频谱进行预分析可以描述为提取特定数据并从输入rf信号中收集某些元数据。优选对输入信号进行预分析，因为将代表输入信号的完整的i/q数据发送到服务器以进行信号的远程分析将涉及到传输大量数据，因此需要大量网络带宽。即使在对信号进行数字下变频之后，情况仍然如此。因此，根据实施方式，rf数据在可重新配置逻辑电路dspr内被本地解调，并且至少被处理以提取与信号有关的某些特定数据并收集与信号有关的某些元数据。这些是预分析的结果。然后将预分析的结果发送到服务器以进行进一步处理。以这种方式，所需的带宽量被大大减少。

本文所述的安全软件定义无线电的可消费输出可以是允许用户消费内容的信号。例如，根据一个实施方式，可消费内容是代表广播节目的音频信号。类似地，可消费输出可以是视频信号或音频/视频信号。可消费输出的其他示例包括根据协议(例如wifi、lte、蓝牙等)的无线信号。

根据实施方式，服务器可以将协议规范或参考和/或所需的调制和其他相关联的数据发送到安全的sdr芯片，以便该安全的sdr芯片可以随后根据所需协议和所需的调制封装预分析结果以及根据需要执行数字上变频。根据变形，代替如上所述的封装预分析结果，sdr芯片可以封装分析前处理规则。通常将实际的预分析结果或参数视为专有信息，因此具有商业价值，因此可能希望不要使此信息遭受潜在的盗窃。这是保持sdr处理和数据分析处理安全的动机之一。还值得注意的是，即使没有商业价值，从无线电信号中提取的数据或元数据也可能仅需要保密，因此安全处理仍然是希望的功能。

在使用中，本文所述的安全的sdr芯片的实施方式尤其提供以下益处：

-安全芯片和服务器之间的相互认证；

-在安全芯片和服务器之间传递的数据和/或元数据的机密性和完整性；

-需要安全芯片执行的处理规则(包括dsp功能)的机密性；

-不能被完全信任的主机的主cpu从不访问数据或元数据；

为了提供端到端的安全性，希望服务器也具有特征硬件安全性，特别是在网络不是防泄漏的情况下。例如，防泄漏网络(另外称为气隙网络)将是不包括互联网的网络。还值得注意的是，尽管通常不能完全信任主cpu，但是在某些情况下，仍可以允许主cpu执行某些不会损害安全性的rf操作。

安全的软件定义无线电ip单元或芯片的实施方式包括用于将数字中频样本转换为数字基带样本的数字前端以及用于处理数字基带样本以提供可消费内容的数字后端。一些实施方式还可包括模拟前端，该模拟前端至少用于将射频信号转换为模拟中频信号，然后对该模拟中频信号进行转换以提供上述数字中频信号。软件定义无线电芯片还包括可重新配置硬件可编程逻辑电路。根据一个实施方式，可重新配置硬件可编程逻辑电路被配置为提供数字前端和数字后端的功能。根据另一个实施方式，软件定义无线电芯片还包括适于有效执行数字信号通用处理功能的dsp。在这种情况下，可重新配置硬件可编程逻辑电路可以配置为将数字中频信号转换为数字基带样本，dsp被配置为处理数字基带信号。根据实施方式，可重新配置硬件可编程逻辑电路包括安全加密设备。根据不同的实施方式，安全加密设备可以在数字前端和/或数字后端中实现。

作为本文描述的实施方式的一部分而部署的安全加密设备可以基于信任根，优选硬件信任根。根据一个实施方式，可以结合使用信任根和密钥梯形图。可以通过例如在安全软件定义无线电单元的制造期间生成特定密钥并将该特定密钥安全地存储在该单元中来创建信任根。对此方便的地方例如可能是存储单元，只要以安全的方式存储它即可。理想情况下，根密钥可以存储在一次性可编程内存otp中。该密钥可以被称为根密钥。替代地，为了避免必须在个性化时加载密钥或以其他方式初始化密钥，可以使用物理上不可克隆函数puf生成根密钥。puf和otp都很好地保证了根密钥不能被改变。

例如，根密钥可用于使用密钥导出函数或算法来生成密钥梯形图的其他密钥。其他密钥例如可以是用于对配置数据、分析参数或处理规则进行验证或以其他方式进行认证的密钥，或签名密钥，优选作为非对称加密方案的私钥-公钥对的一部分。因此，可以对可重新配置硬件可编程逻辑电路的内容或内容的一部分执行单向函数，例如哈希函数。此外，有可能获得签名的哈希。因此，例如图2或图3所示的系统中的服务器可以对安全的软件定义无线电芯片进行认证，反之亦然。实际上，任何模块都可以对系统内的任何通信进行认证。由于信任根，可以对加载到可重新配置硬件可编程逻辑电路的软件进行认证，可以优选通过验证签名来对进出芯片的规则、命令、指令和数据进行认证。

下面是对如何实现具有相关联的配置逻辑的灵活的或以其他方式可编程的加密设备的特定示例的描述，根据本文描述的实施方式，该相关联的配置逻辑可以部署在dspr中。可以使用此处描述的任何技术和方法来实现用于安全的sdr芯片的安全的可重新配置硬件可编程逻辑电路，该安全的sdr芯片的功能在其制造后可以重新编程以用于上述任何实施方式。例如，用作安全的软件定义无线电信号处理器dspr的rhpc/dsp组合的可重新配置硬件可编程部分除了可重新编程以提供上述灵活的无线电处理特性外，还可进行编程以为芯片提供安全性。下面描述用于对可重新配置硬件可编程逻辑电路进行编程以提供安全性的技术。

根据实施方式的各方面，提供了一种对可重新配置可编程设备进行编程的方法，该方法包括：获取配置数据、将配置数据加载到可编程设备上、通过单向函数处理至少一部分配置数据以形成或生成经处理的配置数据、以及使用来自处理步骤的经处理的配置数据来配置可编程设备的至少一个可配置模块。这允许以安全的方式对至少一个可配置模块进行制造后编程，因此在保持安全性的同时简化了可编程设备的设计和制造并且成本更低。在一些实施方式中，单向函数包括哈希函数，该哈希函数可以是加密哈希函数。

在一些实施方式中，加载步骤还包括对配置数据进行解密，可选地，加载步骤还包括借助于非对称密钥或对称密钥来对配置数据的真实性和/或完整性进行验证。在可以对配置数据进行保密和/或可以验证其真实性和完整性的意义上，这提供了配置数据的安全性。

在一些实施方式中，加载步骤包括将配置数据加载到可编程设备的配置模块上。解密和/或验证可以由配置模块执行。

在一些实施方式中，配置步骤包括以下步骤中的至少一个：使可编程设备初始化、配置可编程设备的可配置模块、以及配置可编程设备的模块之间的互连，其中这些模块可以是可配置的或不可配置的。

在一些方面，可编程设备被设置为执行本文所述的任何方法。可编程设备可以包括单向函数和至少一个可配置模块。单向函数可以包括可以是加密哈希函数的哈希函数。在一些实施方式中，可编程设备包括配置模块和/或处理模块。可编程设备可以包括例如fpga、pld、cpld或反熔丝设备。

在一些实施方式中，至少一个可配置模块包括加密模块。在一些实施方式中，加密模块包括以下模块中的至少一个：替换盒模块、替换表模块、比特置换模块、字节置换模块或矩阵乘法模块。在一些实施方式中，加密模块包括用于真实随机数生成器或物理上不可克隆函数“puf”的硬化器(hardener)。

在一些实施方式中，至少一个可配置模块包括可编程状态机。可编程设备可以包括安全元件。可编程设备可以被部署在智能卡和/或机顶盒、无线电设备或用于提供消费内容的其他设备内。

在一些实施方式中，执行该方法时的功耗符合智能卡操作参数和/或可编程设备的形状因数符合智能卡参数。在一些实施方式中，可编程设备中的任何可配置模块可以通过该方法来配置。

图4示出了可编程设备1。可编程设备的示例尤其包括fpga、pld、cpld和反熔丝设备，并且也可以称为可重新配置硬件可编程逻辑电路。图4的可重新配置硬件可编程逻辑电路包括用于向可重新配置硬件可编程逻辑电路的其他模块提供输入和输出的至少一个输入/输出模块或io模块10以及一个或多个加密模块，如本领域技术人员所理解的，该一个或多个加密模块包括替换盒/替换列表模块12、比特/字节置换模块14和矩阵乘法模块16。垂直和水平线所示的互连网络18在可重新配置硬件可编程逻辑电路的模块之间通过。可以理解的是，图4是一个示例。可以部署io模块10、其他模块12、14、16和互连网络的任意组合。

转到图5，可以看出，图4所示的io模块10中的至少一个可以包括解密和验证模块22和处理模块24，它们都可以被认为是配置模块2的一部分。模块22和24可以是可重新配置硬件可编程逻辑电路1上的同一物理模块的一部分。如图5所示，互连网络18在可重新配置硬件可编程逻辑电路的模块之间通过。例如，至少一个模块10、12、14、16和/或粗线所示的任何互连网络18的至少一个子集28可以使用配置模块2来配置。可重新配置硬件可编程逻辑电路的任何模块都能够通过配置模块2来配置。因此，可编程设备1可以被认为包括灵活加密设备。根据变形，上述解密和验证模块和处理模块可以被包括作为安全的sdr芯片的mcu的一部分，尤其是在mcu是安全的mcu的情况下，因此不一定需要包含在可重新配置硬件可编程逻辑电路中。

参照图6，现在将描述一种方法，其中可以以安全的方式配置可重新配置硬件可编程逻辑电路1的至少一个模块。在第一步骤30中，获取配置数据，然后通过在所讨论的可重新配置硬件可编程逻辑电路1上可用的任何合适的手段将该配置数据加载31到可重新配置硬件可编程逻辑电路1上。在加载之后，配置数据可以驻留在设备1的配置模块2上。特别地，配置数据可以驻留在解密和验证模块22中。配置数据可以由模块22解密31a。配置数据的真实性和/或完整性可以通过模块22借助于将会理解的至少一个非对称或对称密钥或其组合来验证31b。验证可以在解密之前或之后进行。当证明数据来自可信来源时，可以确保数据的真实性。当可以证明数据没有被修改或毁坏时，确保数据的完整性。在可选的解密和验证之后，然后在步骤32中由处理模块24处理至少一部分配置数据，以生成经处理的配置数据。处理模块24包括可在配置数据上操作以提供经处理的配置数据的单向函数。单向函数是这样一种函数，即在给定输入时，通过该函数可以直接计算输出，但是给定输出时，通过该函数难以计算输入。也就是说，难以计算单向函数的逆函数，优选地，不能计算逆函数。

处理步骤32可以在步骤31a和31b的任何解密和/或验证之前或之后执行。

在步骤33，使用经处理的配置数据来配置可重新配置硬件可编程逻辑电路1的至少一个可配置模块10、12、14、16。可配置模块可以包括加密模块，例如替换盒模块、替换表模块、比特置换模块、字节置换模块或矩阵乘法模块中的至少一个。可配置模块还可以包括用于真正随机数生成器或物理上不可克隆函数“puf”的硬化器和/或灵活的状态机或互连网络(见图5的28)的任何部分。

借助于经处理的配置数据进行配置可以包括至少一个以下步骤：

-使可重新配置硬件可编程逻辑电路1初始化，由此使可重新配置硬件可编程逻辑电路1的一个或多个可配置模块的内部构建块(例如，触发器)初始化。

-配置可重新配置硬件可编程逻辑电路的可配置模块，例如，诸如替换盒、比特置换或灵活的状态机或诸如矩阵乘法、乘法或加法的算术运算的加密模块和/或诸如线性反馈移位寄存器的其他模块的配置。

-配置可重新配置硬件可编程逻辑电路的模块之间的互连。可以配置可重新配置硬件可编程逻辑电路1的可配置模块或不可配置模块之间的互连。这可以包括在可重新配置硬件可编程逻辑电路1的任何模块之间建立、断开或连接互连。

补充地或者替代地，配置可以包括通过单向函数生成要素，例如影响可配置模块(例如，通过充当分割要素、初始化向量、伪随机置换、静态密钥的加密模块)的性能的恒定值。单向函数的输出也可以与选择的其他配置要素组合，以使所产生的输出与期望值匹配。

可通过未经处理模块24处理的配置数据来配置可重新配置硬件可编程逻辑电路1的一些模块。

在步骤33之后，安全地配置可重新配置硬件可编程逻辑电路1。为了将以上概念放在上下文中，参见图7，图7示出了位于智能卡设备4内的可重新配置硬件可编程逻辑电路1。将理解的是，图7示出了智能卡的各种组件。在图的左手侧示出了输入/输出焊盘，包括接地、vcc、时钟、i/o数据和额外的焊盘，而示出的各种功能组件15仅出于说明目的存在。示出了用于与诸如rom的各种板载内存交互的内存管理单元mmu，将理解的是，rom是可一次性编程rom，诸如可擦除rom、ram和闪存eeprom。由于本领域技术人员已知其他模块的功能，因此这里不对它们进行描述。在其他示例中可以存在所示出的功能块的子集。可重新配置的硬件可编程逻辑电路1可以被认为是安全元件。执行本文所述方法时的功耗可能会符合智能卡操作参数，和/或可重新配置硬件可编程逻辑电路的形状因数可以符合智能卡参数标准。

因此，例如，如果智能卡驻留在软件定义无线电芯片或ip单元中，则本文所述和图7所示的包括灵活加密设备的智能卡4能够定制和适应性地进行无线电信号处理。此外，可以向物联网设备或芯片上系统soc嵌入式设备提供灵活的加密功能。

在经历了本文描述的方法之后，可针对个体厂商需求定制可重新配置硬件可编程逻辑电路1的可配置模块和/或可配置互连，而无需进行硅的硬件重新设计。

因此，提供了一种部署安全模块(例如，可重新配置可编程逻辑电路的安全元件)的方法。通过允许在制造后对安全模块的各个方面进行编程，简化了安全模块的设计和制造，因此简化了其所在的设备的设计，因此成本更低。能够制造后编程15允许在启用包含安全模块的设备时或之前部署由安全模块采用的加密方案的各方面。这减轻了诸如安全元件的硅定制设计的负担，这可以缩短产品上市时间以及允许在不同实现方式之间分割设计和安全特征。此外，通过将设计的某些方面推迟到实现阶段，设计级别的攻击不会导致知道实现安全元件所需的所有信息。

这允许在安全模块的设计和制造两方面具有灵活性，因为可以分配包括安全元件的新设备/pcb，该新设备/pcb具有更通用的设计，从而降低了制造成本。

结果，受控的或有条件的访问，内容提供者可以由以下事实来利用：

1.他们可以在包含灵活加密设备(例如，安全元件)的设备的分发点随意定制他们的访问控制算法/密钥/代码；和/或

2.他们通过在硬件分发之后下载到设备来改变安全访问控制的方面，而无需在现场改变硬件。这允许通过改变可能已因成功攻击被破坏的安全数据的方式来保持安全访问。

总的来说，由于嵌入在信任根内的秘密密钥或其他独特元件，因此提供了安全性。此外，将理解的是，由于单向函数的作用，不能重新生成配置数据，以便能够对空白的可重新配置可编程逻辑电路进行编程。即使在编程后获得可重新配置可编程逻辑电路的期望状态，例如通过微观攻击或通过扫描可重新配置可编程逻辑电路或可重新配置可编程逻辑电路所在的其他设备的所有引脚，不可能发现实现特定配置所需的配置数据，因为单向函数阻止了这种认识。

本文所述的可重新配置硬件可编程设备的实施方式可以部署在主机设备内，以从接收到的rf信号中提供可消费内容。借助于将硬件配置为执行软件定义无线电芯片的数字前端中所需的功能的可能性以及借助于包括灵活加密设备(可以称为安全元件)的可重新配置硬件可编程设备，因此，可以在主机设备中部署安全的软件定义无线电芯片。例如，当信息通过指定的安全无线电设备通过指定的无线电频率从服务器传输时，也保证安全性。由于安全的sdr芯片，可以保证此信息的完整性和真实性。

图8示出了部署在主机设备中的根据实施方式的安全的软件定义无线电芯片的实施方式。主机设备可以是用于受保护的数字内容的接收器，例如，包括主处理器cpu和用于与服务器进行通信的通信接口。安全的软件定义无线电芯片可以包括模拟硬件(例如，射频收发器)以及任何必要的模数和数模模块。根据替代实施方式，这样的模拟模块保留在安全的软件定义无线电芯片之外，而是放置在主机设备中。在任一个实施方式中，安全的sdr芯片还包括微控制器和一些本地存储器，如以上关于图2所述。此外，安全的sdr芯片包括安全数字信号处理功能，可以将其视为标准的dsp块和可重新配置硬件可编程电路rhpc的组合。在优选的实施方式中，rhpc部分将处理从收发器转换后的输出中接收到的if样本的数字下变频以提供基带样本，而dsp部分将处理sdr芯片的基带处理安全步骤。

如上所述，必须首先将从软件定义无线电芯片的天线接收的rf信号转换为基带信号，以通过dsp进行基带处理。该转换可以包括由收发器执行的功能，包括从rf到if的调谐和转换、提供if样本的模数转换以及提供基带样本的混频和滤波。执行这些功能的无线电部分可以统称为前端。前端可以由模拟前端组成，包括收发器功能和模数转换。将if样本转换为基带样本的无线电部分可以称为数字前端。本文公开的安全的软件定义无线电芯片的一个实施方式包括：模拟前端，其包括rf收发器和模数转换器；以及数字前端，其包括被配置为提供对由该模拟前端所提供的中频样本进行混频和滤波并通过基带处理器dsp递送基带样本以进行数字信号处理的模块。根据另一个实施方式，模拟前端不包括在sdr芯片上，而是包括在主机设备中。优选地，对于被配置为接收和处理300mhz至3ghz范围内的特高频信号uhf或3ghz至30ghz范围内的超高频信号shf的无线电，可以将天线嵌入与主机设备相同的印刷电路板pcb上。因此，根据一个实施方式，主机设备包括用于接收rf输入的天线、微处理器、接口模块和安全的sdr芯片，该安全的sdr芯片包括微控制器、本地存储器、模拟前端和信号处理，其包括可重新配置硬件可编程逻辑电路和基带处理器的形式的数字前端。根据另一个实施方式，主机设备包括：用于接收rf输入的天线、微处理器、接口模块、模拟前端以及安全的sdr芯片，该安全的sdr芯片包括微控制器、本地存储器和信号处理，其包括可重新配置硬件可编程逻辑电路和基带处理器的形式的数字前端。

以上描述提供了与无线电信号的接收路径有关的示例，其中这样的信号被转换为if、被转换为数字域、进行混频、滤波等，以提供基带样本用于进一步的解调、解码和/或分析。值得注意的是，本文所述的实施方式可同样包括用于将基带样本上变频为if样本以及数模转换为if信号，然后通过收发器传输rf信号的信号链。在一些实施方式中，数字域无线电信号混频和滤波的所有处理可以由可重新配置硬件可编程逻辑电路完成，而在其他实施方式中，由可重新配置硬件可编程逻辑电路进行的处理仅用于提供基带样本，在这种情况下，可以由现成的基带处理模块或dsp进行进一步的基带处理。

本文所述的实施方式提供：

存储在安全芯片内并在安全芯片与服务器之间传输的数据/元数据的机密性和完整性；

由安全芯片执行的处理规则/算法的机密性；

主机的主cpu永远无法访问数据/元数据，因为它不能被完全信任(但是对于某些应用程序，它可以是让主cpu执行某些rf操作的功能)；以及

安全芯片与服务器之间的相互认证可防止sdr功能未经授权的使用。

为了更高的端到端安全性，服务器优选还包括硬件安全性特征。

对终端用户的好处包括：

在设备中本地存储和处理无线电频谱分析规则/算法(这些都是非常有价值的知识产权)的安全方法；

安全的数据存储方法，这可能是法规要求的并有助于保护制造商的声誉(防止数据泄漏)；

可安全获得无线电数据、对其进行存储并进行分析(定制的分析)的云服务；

允许直接从云发送任何类型的无线电传输的安全的云到rf服务；以及

买卖软件无线电数据和元数据的市场。

应理解的是，以上描述仅是说明性的，而不是限制性的。在阅读和理解以上描述之后，许多其他实施方式对于本领域技术人员将是显而易见的。尽管已经参照特定示例实施方式描述了本发明，但是将认识到的是，本发明不限于所描述的实施方式，而是可以在所附权利要求的范围内通过修改和变化来实践。因此，说明书和附图应被认为是说明性而不是限制性的。因此，本发明的范围应参照所附权利要求书以及这些权利要求书所赋予的等效物的全部范围来确定。