[发明专利]一种存储路径上主动防御硬件木马的系统及方法

说明书

本发明提供一种存储路径上主动防御硬件木马的系统及方法，所述系统包括：密钥单元，与CPU连接，用于根据CPU的指令产生变码操作及解码操作所需的密钥；变码单元，与存储器、所述密钥单元连接，用于获取原始数据，利用所述密钥对原始数据进行变码操作，并传输至所述存储器进行存储；解码单元，与所述存储器、所述密钥单元连接，用于获取所述存储器输出的数据，利用所述密钥对所述存储器输出的数据进行解码操作。本发明可以有效的防御初、高阶木马，既可以充分实现抗硬件木马性能，又能够满足存储器的速率要求，保证芯片的正常工作。

技术领域

本发明涉及信息安全技术领域，具体涉及一种存储路径上主动防御硬件木马的系统及方法。

背景技术

硬件木马结构通常包括触发模块以及执行模块两部分。触发部分一般通过一些内设的触发机制，通过读取传输通路中有特殊意义的数据字段，或者某些信号或信号组合满足一定条件时，实现木马的触发。这种触发机制很难被发现，现有技术中还没有一种非常可靠且成本低廉的办法能够实现隐藏木马的扫描检测，而一旦使用含有硬件木马的设备，造成的影响严重性不言而喻。

由于现阶段我国芯片的生产还严重依赖外部企业，包括芯片设计的EDA(Electronics Design Automation，电子设计自动化)软件、版图生成以及生产部分，而这些环节都有引入木马的可能性，这对芯片的应用(尤其是军工、政务)有个非常大的制约。

发明内容

针对上述问题，本发明提供一种存储路径上主动防御硬件木马的系统及方法，通过将存储器内的存储数据转换为变码后数据，实现对芯片内部存储路径上硬件木马的主动防御。

本发明的技术方案是这样实现的：

第一方面，本发明提供一种存储路径上主动防御硬件木马的系统，包括：

密钥单元，与CPU连接，用于根据CPU的指令产生变码操作及解码操作所需的密钥；

变码单元，与存储器、所述密钥单元连接，用于获取原始数据，利用所述密钥对原始数据进行变码操作，并传输至所述存储器进行存储；

解码单元，与所述存储器、所述密钥单元连接，用于获取所述存储器输出的数据，利用所述密钥对所述存储器输出的数据进行解码操作。

更进一步地，所述系统在FPGA上实现。

更进一步地，所述密钥单元包括：

控制器，与CPU连接，用于接收CPU的指令，根据CPU的指令生成控制随机数模块的指令；

随机数模块，与所述控制器连接，用于根据所述控制器的指令产生主密钥及第一标签；

密钥生成模块，与所述随机数模块连接，用于根据所述主密钥生成若干子密钥。

更进一步地，所述密钥生成模块，包括：

密钥扩展模块，用于根据所述主密钥产生若干子密钥；

更新控制模块，用于控制所述密钥扩展模块产生子密钥的时间，控制子密钥写入密钥池的顺序，以及生成第二标签；

至少两组密钥池，用于存储子密钥，其中，至少一组密钥池用于存储当前周期的子密钥，至少一组密钥池用于存储下一周期更新的子密钥。

更进一步地，所述密钥扩展模块利用轮函数将所述主密钥迭代产生若干子密钥。

更进一步地，所述系统还包括：

第一校验单元，与所述存储器连接，用于对原始数据进行校验，计算第一校验码，所述第一校验码与变码操作后的数据一同传输至存储器进行存储；

第二校验单元，与所述存储器连接，用于对解码操作后的数据进行校验，计算第二校验码，并将所述第一校验码与所述第二校验码进行比对。