本發(fā)明涉及網(wǎng)絡(luò)信息安全，尤其涉及一種otp存儲(chǔ)器的安全訪問控制方法及系統(tǒng)。

背景技術(shù)：

1、1、otp存儲(chǔ)器

2、一次性可編程(one?time?programmable，otp)存儲(chǔ)器是指在應(yīng)用中只允許被一次編程的非易失性存儲(chǔ)器類型，該種存儲(chǔ)器具有存儲(chǔ)數(shù)據(jù)可靠性高，編程靈活性好的特點(diǎn)。我們知道，rom可通過修改某些掩膜層(mask)來進(jìn)行編程，其可靠性雖然較高，但編程的靈活性差，如需修改，只能修改掩碼版再次加工，所以不管是加工成本還是時(shí)間成本都較高。otp存儲(chǔ)器很好解決了這一問題，用戶可以根據(jù)市場(chǎng)上對(duì)產(chǎn)品的不同需求，隨時(shí)來對(duì)編程單元進(jìn)行操作，這樣的靈活性和可操作性是大家所渴望的。作為可靠性高且成本低的非易失性存儲(chǔ)器，otp存儲(chǔ)器被廣泛地應(yīng)用在身份識(shí)別，編碼存儲(chǔ)，密鑰存儲(chǔ)等領(lǐng)域。合適的otp存儲(chǔ)器可以提供低功耗特性，較小的芯片面積需求，還可以滿足非易失存儲(chǔ)器的要求。

3、2、otp存儲(chǔ)安全

4、otp存儲(chǔ)器編程前后存儲(chǔ)單元的變化非常微小，幾乎不可能對(duì)otp存儲(chǔ)器的系統(tǒng)進(jìn)行逆向設(shè)計(jì)，且具有一次性編程特性，因此otp存儲(chǔ)器中存儲(chǔ)的數(shù)據(jù)具有很高的可考靠性和保密性，可以很好的用于芯片內(nèi)的安全性控制，如芯片的可測(cè)性控制、安全模式控制等，在目前cmos高工藝芯片制程中，由于無片內(nèi)eflash非易失性存儲(chǔ)的支持，otp存儲(chǔ)器可有效支持固件、版本號(hào)、重要的參數(shù)、密鑰等敏感數(shù)據(jù)的片內(nèi)安全存儲(chǔ)，在信息安全領(lǐng)域如射頻識(shí)別、片上soc系統(tǒng)等有著不可或缺的廣泛應(yīng)用，由于otp存儲(chǔ)數(shù)據(jù)的重要性，其安全性需要格外注重。

技術(shù)實(shí)現(xiàn)思路

1、為了解決上述問題，本發(fā)明提出一種otp存儲(chǔ)器的安全訪問控制方法及系統(tǒng)，可實(shí)現(xiàn)otp存儲(chǔ)器的分區(qū)權(quán)限控制機(jī)制、敏感數(shù)據(jù)區(qū)讀權(quán)限安全控制、寫保護(hù)安全控制、編程狀態(tài)標(biāo)識(shí)安全控制、敏感數(shù)據(jù)加擾保護(hù)以及數(shù)據(jù)糾錯(cuò)校驗(yàn)保護(hù)。

2、本發(fā)明采用的技術(shù)方案如下：

3、一方面，本發(fā)明提出一種otp存儲(chǔ)器的安全訪問控制方法，包括：

4、分區(qū)權(quán)限控制：基于otp存儲(chǔ)器使用者類型與數(shù)據(jù)重要程度，將otp存儲(chǔ)器從硬件訪問邏輯上劃分為若干類受保護(hù)區(qū)域，并對(duì)不同的受保護(hù)區(qū)域設(shè)置不同的讀寫訪問權(quán)限以及全0或全1透明化數(shù)據(jù)加擾、數(shù)據(jù)糾錯(cuò)校驗(yàn)保護(hù)策略；

5、敏感數(shù)據(jù)讀權(quán)限安全控制：基于兩級(jí)身份認(rèn)證執(zhí)行敏感數(shù)據(jù)的讀權(quán)限控制，其中第一級(jí)身份認(rèn)證包括通用寄存器值認(rèn)證，第二級(jí)身份認(rèn)證包括otp存儲(chǔ)器的認(rèn)證碼值認(rèn)證。

6、進(jìn)一步地，還包括寫保護(hù)安全控制：針對(duì)otp存儲(chǔ)器進(jìn)行硬件級(jí)寫操作權(quán)限保護(hù)，即在otp存儲(chǔ)器寫操作前進(jìn)行對(duì)應(yīng)受保護(hù)區(qū)域認(rèn)證碼的權(quán)限認(rèn)證，當(dāng)認(rèn)證成功時(shí)才能夠進(jìn)行otp存儲(chǔ)器寫操作，否則無otp存儲(chǔ)器的寫操作權(quán)限。

7、進(jìn)一步地，還包括編程狀態(tài)標(biāo)識(shí)安全控制：針對(duì)otp存儲(chǔ)器應(yīng)用數(shù)據(jù)設(shè)置編程狀態(tài)標(biāo)識(shí)，用于防止otp存儲(chǔ)器使用者再次修改或誤操作已寫入的關(guān)鍵數(shù)據(jù)；所述編程狀態(tài)標(biāo)識(shí)存放在otp存儲(chǔ)器的編程狀態(tài)標(biāo)識(shí)區(qū)地址上，以每一比特的狀態(tài)信息標(biāo)識(shí)對(duì)應(yīng)的編程狀態(tài)。

8、進(jìn)一步地，還包括敏感數(shù)據(jù)加擾保護(hù)：針對(duì)otp存儲(chǔ)器敏感數(shù)據(jù)進(jìn)行硬件級(jí)數(shù)據(jù)加擾保護(hù)，加解擾key設(shè)置為硬件固定值或來源于otp存儲(chǔ)器的密鑰區(qū)，由硬件上電時(shí)自動(dòng)讀取到密鑰寄存器；加解擾算法采用輕量化的密碼算法或者是線性變換處理，得到加解擾結(jié)果；針對(duì)otp存儲(chǔ)器敏感數(shù)據(jù)進(jìn)行硬件級(jí)全0或全1透明化操作，即全0或全1的數(shù)據(jù)經(jīng)加解擾后同樣也為全0或全1。

9、進(jìn)一步地，還包括數(shù)據(jù)糾錯(cuò)校驗(yàn)保護(hù)：針對(duì)otp存儲(chǔ)器數(shù)據(jù)采用糾錯(cuò)碼進(jìn)行編解碼保護(hù)，選取相應(yīng)量級(jí)的碼字生成矩陣g以及校驗(yàn)矩陣h，所述糾錯(cuò)碼包括線性分組碼。

10、另一方面，本發(fā)明提出一種otp存儲(chǔ)器安全訪問控制系統(tǒng)，包括：

11、分區(qū)權(quán)限控制模塊，被配置為基于otp存儲(chǔ)器使用者類型與數(shù)據(jù)重要程度，將otp存儲(chǔ)器從硬件訪問邏輯上劃分為若干類受保護(hù)區(qū)域，并對(duì)不同的受保護(hù)區(qū)域設(shè)置不同的讀寫訪問權(quán)限以及全0或全1透明化數(shù)據(jù)加擾、數(shù)據(jù)糾錯(cuò)校驗(yàn)保護(hù)策略；

12、敏感數(shù)據(jù)讀權(quán)限安全控制模塊，被配置為基于兩級(jí)身份認(rèn)證執(zhí)行敏感數(shù)據(jù)的讀權(quán)限控制，其中第一級(jí)身份認(rèn)證包括通用寄存器值認(rèn)證，第二級(jí)身份認(rèn)證包括otp存儲(chǔ)器的認(rèn)證碼值認(rèn)證。

13、進(jìn)一步地，還包括寫保護(hù)安全控制模塊，被配置為針對(duì)otp存儲(chǔ)器進(jìn)行硬件級(jí)寫操作權(quán)限保護(hù)，即在otp存儲(chǔ)器寫操作前進(jìn)行對(duì)應(yīng)受保護(hù)區(qū)域認(rèn)證碼的權(quán)限認(rèn)證，當(dāng)認(rèn)證成功時(shí)才能夠進(jìn)行otp存儲(chǔ)器寫操作，否則無otp存儲(chǔ)器的寫操作權(quán)限。

14、進(jìn)一步地，還包括編程狀態(tài)標(biāo)識(shí)安全控制模塊，被配置為針對(duì)otp存儲(chǔ)器應(yīng)用數(shù)據(jù)設(shè)置編程狀態(tài)標(biāo)識(shí)，用于防止otp存儲(chǔ)器使用者再次修改或誤操作已寫入的關(guān)鍵數(shù)據(jù)；所述編程狀態(tài)標(biāo)識(shí)存放在otp存儲(chǔ)器的編程狀態(tài)標(biāo)識(shí)區(qū)地址上，以每一比特的狀態(tài)信息標(biāo)識(shí)對(duì)應(yīng)的編程狀態(tài)。

15、進(jìn)一步地，還包括敏感數(shù)據(jù)加擾保護(hù)模塊，被配置為針對(duì)otp存儲(chǔ)器敏感數(shù)據(jù)進(jìn)行硬件級(jí)數(shù)據(jù)加擾保護(hù)，加解擾key設(shè)置為硬件固定值或來源于otp存儲(chǔ)器的密鑰區(qū)，由硬件上電時(shí)自動(dòng)讀取到密鑰寄存器；加解擾算法采用輕量化的密碼算法或者是線性變換處理，得到加解擾結(jié)果；并針對(duì)otp存儲(chǔ)器敏感數(shù)據(jù)進(jìn)行硬件級(jí)全0或全1透明化操作，即全0或全1的數(shù)據(jù)經(jīng)加解擾后同樣也為全0或全1。

16、進(jìn)一步地，還包括數(shù)據(jù)糾錯(cuò)校驗(yàn)保護(hù)模塊，被配置為針對(duì)otp存儲(chǔ)器數(shù)據(jù)采用糾錯(cuò)碼進(jìn)行編解碼保護(hù)，選取相應(yīng)量級(jí)的碼字生成矩陣g以及校驗(yàn)矩陣h，所述糾錯(cuò)碼包括線性分組碼。

17、本發(fā)明的有益效果在于：

18、1、高安全度的訪問控制機(jī)制

19、otp存儲(chǔ)模塊，主要用于存放芯片標(biāo)識(shí)碼，安全控制信息，根密鑰、可信密鑰、保護(hù)算法密鑰等敏感數(shù)據(jù)信息，在安全性上具有較高的要求?；诜謪^(qū)身份鑒權(quán)與數(shù)據(jù)機(jī)密性機(jī)制，根據(jù)otp的一次性編程特性，設(shè)計(jì)兩級(jí)身份認(rèn)證的讀權(quán)限控制與一級(jí)身份認(rèn)證的寫保護(hù)權(quán)限控制方法，嚴(yán)格控制對(duì)otp的非法訪問。otp存儲(chǔ)器編程前后存儲(chǔ)單元的變化非常微小的基礎(chǔ)上，引入全0或全1透明化數(shù)據(jù)加擾設(shè)計(jì)，進(jìn)一步加強(qiáng)探針、版圖逆向、形象化等物理攻擊防護(hù)。針對(duì)cmos高工藝制程下的otp存儲(chǔ)器存在少量存儲(chǔ)數(shù)據(jù)不穩(wěn)定的情況，對(duì)otp數(shù)據(jù)采用糾錯(cuò)碼進(jìn)行編解碼保護(hù)，結(jié)合靈活的多比特?cái)?shù)據(jù)編程狀態(tài)標(biāo)識(shí)安全控制方法，otp存儲(chǔ)整體安全性上，具有高強(qiáng)度的安全防護(hù)能力。

20、2、區(qū)域化安全控制，滿足用戶、廠商各層次應(yīng)用需求

21、將otp存儲(chǔ)器從硬件訪問邏輯上劃分為多個(gè)受保護(hù)區(qū)域，可根據(jù)用戶、廠商等各層級(jí)的應(yīng)用需求，設(shè)置相應(yīng)的讀寫訪問權(quán)限，這種區(qū)域化的安全訪問控制，利于安全防護(hù)方案的精細(xì)化設(shè)計(jì)，兼具靈活性的同時(shí)，具備高安全性。

22、3、靈活的多比特?cái)?shù)據(jù)一次性編程鎖定機(jī)制

23、otp存儲(chǔ)器的一次性編程特性通常對(duì)應(yīng)為比特級(jí)行為，針對(duì)比特級(jí)數(shù)據(jù)，可用于芯片安全行為的控制，如dft的使能，cp測(cè)試的使能，jtag測(cè)試接口控制使能，電源域使能等。對(duì)于多比特的數(shù)據(jù)，本設(shè)計(jì)運(yùn)用的編程狀態(tài)標(biāo)識(shí)安全控制方法，可保證關(guān)鍵信息僅在編程一次后，即使認(rèn)證通過，也不能被修改，具備多位寬的一次性編程鎖定特點(diǎn)。因此，根據(jù)數(shù)據(jù)應(yīng)用特點(diǎn)，按需使用多比特?cái)?shù)據(jù)一次性編程鎖定安全控制方法，可更加靈活且有效保障otp存儲(chǔ)數(shù)據(jù)安全。

24、綜上所述，本發(fā)明基于數(shù)據(jù)的機(jī)密性與鑒權(quán)保護(hù)原則，具備高安全度的訪問控制機(jī)制，嚴(yán)格控制對(duì)otp的非法訪問，同時(shí)具有防探針、版圖逆向、信息形象化等物理攻擊的特點(diǎn)。采用區(qū)域化安全控制，滿足用戶、廠商各層次應(yīng)用需求，同時(shí)靈活的多比特?cái)?shù)據(jù)一次性編程鎖定機(jī)制，進(jìn)一步有效保障otp存儲(chǔ)數(shù)據(jù)安全。