技术领域

[0001] 本发明涉及安全技术领域， 尤其涉及一种基于加密总线的多处理器系统。

背景技术

[0002] 在信号通信过程中， 安全通信一直都是关注的重点。 现有技术中的通信系统和 /或设备虽然釆用了很多加解密的技术手段来� �保通信安全， 伹是很难从根本上 解决通信安全的问题。

[0003] 具体地， 图 1是现有技术中的一种常见系统模型。 在该模型中， 所有的模块都 连接在高级高性能总线 （AHB) 上， 从而通过该总线实现与其他模块的通信。 这些模块包括密码算法单元、 存储单元、 接口单元、 看门狗单元等。 通常， AH B上传输的数据都是未加密的， 通信安全性极低。 即便是采用密码算法单元进行 了加密， 但各模块与 AHB之间的连线上的数据还是未加密的， 数据很容易被窃 取或窃听。 因此， 现有技术中并没有从硬件上根本解决通信安全 的问题。

技术问题

[0004] 现有技术中并没有从硬件上根本解决通信安全 的问题。

问题的解决方案

技术解决方案

[0005] 针对现有技术中没有从硬件上根本解决通信安 全问题的缺陷， 本发明提供一种 基于加密总线的多处理器系统。

[0006] 本发明就上述技术问题而提出的技术方案如下 ：

[0007] 一种基于加密总线的多处理器系统， 包括： 明文总线， 用于传输明文信号； 至 少一个信号处理模块， 连接至所述明文总线， 用于通过所述明文总线传输明文 信号； 加解密模块， 分别耦合至所述明文总线和外部加密总线， 用于对外部加 密总线输入的加密信号进行解密并对明文总线 输入的明文信号进行加密； 以及 封装模块， 用于将所述明文总线、 至少一个信号处理模块和加解密模块以不可 拆卸的方式固封在一起从而当拆卸或破坏所述 封装模块吋所述明文总线、 至少 一个信号处理模块、 加解密模块或它们之间的电路也会被破坏。

[0008] 可选的， 封装模块为芯片封装， 用于将所述明文总线、 至少一个信号处理模块 和加解密模块封装成独立的芯片从而当拆卸或 破坏所述封装模块时所述明文总 线、 至少一个信号处理模块、 加解密模块或它们之间的电路也会被破坏。

[0009] 可选的， 封装模块为金属封装、 胶封、 蜡封中的一种或多种， 用于将所述明文 总线、 至少一个信号处理模块和加解密模块封装成不 可拆卸的整体从而当拆卸 或破坏所述封装模块时所述明文总线、 至少一个信号处理模块、 加解密模块或 它们之间的电路也会被破坏。

[0010] 可选的， 所述系统还包括： 接口模块， 用于将所述加解密模块连接至所述外部 加密总线； 所述接口模块包括至少一个并行输出接口， 用于并行连接至少一个 外部加密总线； 封装模块还用于将所述明文总线、 至少一个信号处理模块、 加 解密模块和接口模块以不可拆卸的方式固封在 一起从而当拆卸或破坏所述封装 模块时所述明文总线、 至少一个信号处理模块、 加解密模块、 接口模块或它们 之间的电路也会被破坏。

[0011] 可选的， 所述加解密模块配置有至少一种加解密算法， 每个加解密算法对应一 种安全级别。

[0012] 可选的， 每个加解密算法匹配一种外部加密总线。 可选的， 所述加解密模块包 括至少一个加解密单元， 每个加解密单元配置一种加解密算法并单独连 接至接 口模块。

[0013] 可选的， 每个加解密单元匹配一种外部加密总线。

[0014] 可选的， 所述明文总线是： 高级高性能总线 （AHB) 、 高级外设总线 （APB) 和高级系统总线 （ASB) 总的至少一种。

[0015] 可选的， 所述至少一个信号处理模块包括： 信号处理器、 存储器、 随机数发生 器、 接口单元、 时钟单元和看门狗中的至少一个。

发明的有益效果

有益效果

[0016] 实施本发明实施例， 具有如下有益效果： 本发明通过加解密单元和封装单元， 使多处理器系统为一个不可拆卸的整体， 而系统对外接口上的信号又全部都是 加密了的， 从而可以从根本上保证系统的安全， 防止信息被窃取或窃听。

对附图的简要说明

附图说明

[0017] 为了更清楚地说明本发明实施例或现有技术中 的技术方案， 下面将对实施例或 现有技术描述中所需要使用的附图作简单地介 绍， 显而易见地， 下面描述中的 附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创 造性劳动的前提下， 还可以根据这些附图获得其他的附图。

[0018] 图 1是本发明提供的现有技术中通信系统模型示� �图；

[0019] 图 2是本发明提供的第一实施例基于加密总线的� �处理器系统结构示意图； [0020] 图 3是本发明提供的第二实施例基于加密总线的� �处理器系统结构示意图； [0021] 图 4是本发明提供的一个具体的基于加密总线的� �处理器系统结构示意图； [0022] 图 5是本发明提供的一个实施例加解密模块结构� �意图；

[0023] 图 6是本发明提供的另一个实施例加解密模块结� �示意图。

发明实施例

本发明的实施方式

[0024] 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部 的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做出创造性劳 动的前提下所获得的所有其他实施例， 都属于本发明保护的范围。

[0025] 本发明实施例提供一种基于加密总线的多处理 器系统， 用于解决没有从硬件上 根本解决安全通信问题的问题。

[0026] 如图 2所示， 本发明实施例提供一种基于加密总线的多处理 器系统， 包括： 明 文总线 112、 至少一个信号处理模块 102~108、 加解密模块 114和封装模块 116。

[0027] 其中， 明文总线 112用于传输明文信号， 其是 AHB、 高级外围总线 （APB) 或 高级系统总线 （ASB) 的至少一种总线。 根据实际的使用需求， 明文总线 112可 以为单独的一根总线， 也可以为多根相同或不同的总线， 多个总线可以以分层 的方式设置在不同的层上。

[0028] 信号处理模块 102~108分别连接至明文总线 112， 用于通过明文总线 112传输明 文信号。 信号处理模块包括： 信号处理器、 存储器、 随机数发生器、 密码算法 处理器、 10处理器、 吋钟单元或看门狗单元中的至少一项。 在本发明提供的实 施例中， 信号处理模块的数量可以根据实际的需要进行 选取， 可以是一个、 两 个或多个。

[0029] 信号处理模块 102~108之间可以通过明文总线 112相互进行明文通信， 信号处理 模块 102~108还可以通过明文总线 112， 加解密模块 114与外部加密总线 202进行 密文通信。

[0030] 加解密模块 114, 分别耦合至明文总线 112和外部加密总线 202, 用于对外部加 密总线 202输入的加密信号进行解密并对明文总线 112输入的明文信号进行加密

[0031] 封装模块 116， 用于将明文总线 112、 至少一个信号处理模块和加解密模块 114 以不可拆卸的方式固封在一起从而当拆卸或破 坏封装模块 116时明文总线 112、 至少一个信号处理模块、 加解密模块 114或它们之间的电路也会被破坏。

[0032] 具体的， 在实际实施过程中， 封装模块 116至少包括， 但不限于以下两种方式

[0033] 第一种方式： 将整个基于加密总线的多处理器系统封装成独 立的芯片， 即将明 文总线 112、 信号处理模块 102~108以及加解密模块 114全部分装在封装模块 116 内， 形成一个独立的芯片。 当暴力破坏或拆卸芯片封装吋， 芯片的内部电路或 模块也会被破坏， 从而导致芯片不能正常工作， 进而无法窃取或窃听到芯片内 的任何信号。 封装方式包括但不限于： 双列直插式封装 （DIP) 、 塑料四边引出 扁平封装 （PQFP) 、 插针网格式封装 （PGAP) 、 球栅阵列式封装 （BGAP) 、 芯片尺寸式封装 （CSP) 等。 封装材料包括但不限于： 塑料、 陶瓷、 玻璃、 金属 等。

[0034] 第二种方式： 在很多情况下， 多处理器系统并不能直接封装成芯片， 例如只能 做成单片机。 在这种情况下， 就不能采用芯片封装的形式， 但是可以采用其他 封装将多处理器系统封装成一个不可拆卸的整 体， 例如金属封装、 胶封或蜡封 或它们的结合。 金属封装是指采用可不拆卸的金属外壳将多处 理器系统包裹起 来， 还可以结合胶封或蜡封， 向金属外壳内注入粘胶或石蜡， 从而将多处理器 系统与金属外壳耦合成一个不可分割的整体。 胶封是指采用粘胶将多处理器系 统粘合成一个不可分割的整体。 粘胶通常是绝缘材料， 还可具有防潮、 防漏电 - 防震、 防尘、 防腐蚀、 防老化、 耐电晕等特性。 蜡封是指釆用石蜡等化学材 料将多处理器系统结合成一个不可分割的整体 。 通常还可在石蜡中添加其他添 加剂以提高石蜡的温度特性。

[0035] 具体地， 如图 3所示， 本发明的基于加密总线的多处理器系统还包括 接口模块 1 18 , 用于将加解密模块 114连接至外部加密总线 202。 接口模块 118包括至少一个 并行输出接口， 用于并行连接至少一个外部加密总线 202。 在该实施例中， 接口 模块 118也封装在封装模块 116内， 从而当拆卸或破坏封装模块 116时明文总线 11 2、 信号处理模块 102~108、 加解密模块 114、 接口模块 118或它们之间的电路也 会被破坏。

[0036] 因此， 本发明加解密模块 114至少具有以下两种实施方式。

[0037] 实施方式一： 参考图 5 , 加解密模块 114内配置有至少一种加解密算法 122, 每 个加解密算法 122对应一种安全级别。 例如， 加解密模块 114内置配置了一种加 密算法 122， 如数据加密标准 （DES) 、 三重数据加密标准 （3DES) 、 RC4 (Ri vest Cipher 4) 、 数字签名算法 （DSA) 、 高级加密标准 （AES) 等。 可以根据 不同的安全要求和可用资源等因素选择配置不 同的加密算法。 在本实施例中， 加解密模块 114可与外部加密总线 202直接连接， 或通过接口模块 118与外部加密 总线连接， 从而接收加密总线 202输入的加密信号或将加密信号发送至加密总 线 202。 又例如， 加解密模块 114内可配置两种加密算法 122， 两种加密算法的安全 级别可以相同也可以不同。 两种加密算法 122加密的数据可以采用时分的方式在 同一根外部加密总线 202上传输。 加解密模块 114也可以通过接口模块 118分别连 接至两根外部加密总线 202, 每根外面加密总线 202对应一种加密算法。 如果需 要， 两种加密算法的安全级别可以分为高级和低级 ， 分别用于加密多处理器系 统内不同的信号处理模块的信号。 又例如， 加解密模块 114内可配置三种加密算 法 122, 每种加密算法的安全级别可以相同也可以不同 。 三种加密算法加密的数 据可以采用吋分的方式在同一根外部加密总线 202上传输。 加解密模块 114也可 以通过接口模块 118分别连接至三根外部加密总线 202， 每根外面加密总线 202对 应一种加密算法。 如果需要， 三种加密算法的安全级别可以分为第一安全级 别 、 第二安全级别和第三安全级别， 分别用于加密多处理器系统内不同的信号处 理模块的信号。 解密算法与相应的加密算法相对应， 在此不再累述。 当然， 本 实施例所列举的和附图所示出的加解密算法的 数量是说明性的， 并不是用来限 制本发明。 可以根据实际的需要， 选择加解密算法的数量和外部加密总线 202的 数量。

实施方式二： 参考图 6， 加解密模块 114内设有至少一种加解密单元 124， 每个 加解密单元 124配置一种加解密算法。 例如， 加解密模块 114内只有一个加解密 单元 124, 加解密单元内配置了一种加解密算法， 如数据加密标准 （DES) 、 三 重数据加密标准 （3DES) 、 RC4 (Rivest Cipher 4) 、 数字签名算法 （DSA) 、 高级加密标准 （AES) 等。 可以根据不同的安全要求和可用资源等因素选 择配置 不同的加密算法。 在本实施例中， 加解密模块 114可与外部加密总线 202直接连 接， 或通过接口模块 118与外部加密总线连接， 从而接收加密总线 202输入的加 密信号或将加密信号发送至加密总线 202。 又例如， 加解密模块 114内可设置有 两个加解密单元 124， 两种加解密算法分别配置在这两个加解密单元 中。 这两种 加密算法的安全级别可以相同也可以不同。 两种加解密单元加密的数据可以釆 用时分的方式在同一根外部加密总线 202上传输。 加解密模块 114也可以通过接 口模块 118分别连接至两根外部加密总线 202， 每根外部加密总线 202对应一个加 解密单元 124。 如果需要， 两个加解密单元 124内的两种加密算法的安全级别可 以分为高级和低级， 分别用于加密多处理器系统内不同的信号处理 模块的信号 。 又例如， 加解密模块 114内可设置三个加解密单元 124, 三种加解密算法分别 配置在这三个加解密单元中， 每种加密算法的安全级别可以相同也可以不同 。 三个加解密单元 124加密的数据可以采用吋分的方式在同一根外 部加密总线 202 上传输。 加解密模块 114也可以通过接口模块 118分别连接至三根外部加密总线 2 02, 每根外面加密总线 202对应一个加解密单元 124。 如果需要， 三种加密算法 的安全级别可以分为第一安全级别、 第二安全级别和第三安全级别， 分别用于 加密多处理器系统内不同的信号处理模块的信 号。 当然， 本实施例所列举的加 解密单元的数量是说明性的， 并不是用来限制本发明。 可以根据实际的需要， 选择加解密单元的数量和外部加密总线 202的数量。

[0039] 应理解， 在本发明中实施例中明文总线和信号处理模块 的数量都是示例性的， 并不是用来限制本发明。 在本发明中， 明文总线和信号处理模块的数量可以根 据实际需要进行选择， 并不会影响本发明的封装单元对其进行不可拆 卸封装。

[0040] 下面将结合几个具体的实施例来阐述本发明。

[0041] 实施例 1

[0042] 如图 4所示， 基于加密总线的多处理器系统主要包括信号处 理器 102、 存储器 10 4和随机数发生器 106这三个信号处理模块。 这些模块都固定封装在封装模块 116 内。 加密总线 202与多处理器系统耦合， 位于封装模块 116之外。

[0043] 将存储器 104内的数据以密文的方式发送至外部加密总线 202的过程包括： [0044] 存储器 104， 与明文总线 112耦合， 将存储在其内的明文经明文总线 112发送至 加解密模块 114。

[0045] 加解密模块 114, 与外部加密总线 202直接耦合或通过接口模块耦合， 将明文基 于第一加密算法加密后得到密文， 并将密文直接或通过接口模块发送至外部加 密总线 202。

[0046] 在此实施例中， 如果存储器 104内的数据安全级别很高， 那么加解密模块 114可 以釆用复杂程度高、 破解难度大的加密算法对明文进行加密。 反之， 如果存储 器 104内的数据安全级别比较低， 那么加解密模块 114可以釆用简化的加密算法 对明文进行加密。

[0047] 实施例 2

[0048] 如图 4所示， 基于加密总线的多处理器系统主要包括信号处 理器 102、 存储器 10 4和随机数发生器 106这三个信号处理模块。 这些模块都固定封装在封装模块 116 内。 加密总线 202与多处理器系统耦合， 位于封装模块 116之外。

[0049] 将外部加密总线 202输入的加密数据发送给信号处理器 102的过程包括：

[0050] 外部加密总线 202， 耦合至加解密模块 114， 将密文直接或通过多处理器系统的 接口模块发送至加解密模块 114。

[0051] 加解密模块 114， 耦合至明文总线 112 , 将接收到的密文基于第一解密算法解密 后得到明文， 并将明文直接发送至明文总线 112。 [0052] 明文总线 112， 耦合至信号处理器 102, 将接收到的明文直接发送至信号处理器

[0053] 加解密模块 114， 与外部加密总线 202直接耦合或通过接口模块耦合， 将明文基 于第一加密算法加密后得到密文， 并将密文直接或通过接口模块发送至外部加 密总线 202。

[0054] 以上所揭露的仅为本发明一种较佳实施例而已 ， 当然不能以此来限定本发明之 权利范围， 本领域普通技术人员可以理解实现上述实施例 的全部或部分流程， 并依本发明权利要求所作的等同变化， 仍属于发明所涵盖的范围。