技術領域

本發明涉及一種直接支持證書管理的安全芯片，尤其涉及一種包含可重組邏輯單元的安全芯片。

背景技術

隨著通信技術的普及和發展，信息安全的重要性正在日益凸現。例如，目前的電話銀行交易系統中，雖然客戶可以通過電話在各個地方方便地完成銀行轉帳等業務，但是在這個過程中卻存在著極大的安全隱患。客戶發給銀行的帳號、密碼等敏感信息隨時可能被第三方截獲，這樣將導致客戶巨大的財產損失。同時，目前的電話銀行并沒有一套完整的安全體系，而且用戶無法確認銀行的身份和行為。這也就導致了電話銀行交易過程中的交易雙方地位不平等，用戶處于劣勢和被動狀態的局面。在電話銀行的交易過程中，通訊鏈路是最大的安全漏洞，客戶與銀行的所有通訊信息在通訊鏈路上都是裸露的，毫無安全性可言；并且這個漏洞隨著通訊鏈路的增長而增大，所帶來的損失是不可估量的。針對以上存在的安全隱患和安全漏洞，急需要對銀行的呼叫中心到用戶的通訊鏈路進行安全防護，使第三方無法截獲或者無法識別鏈路上的信息。同時，需要對整個的安全防護體系進行獨立的管理。為此，對通訊鏈路上的信息進行加密是實現通訊鏈路安全防護的最好方法。例如，在銀行設立安全管理服務中心，并且在用戶端提供專用的安全終端設備，則可以對整個安全通訊過程和通訊雙方進行很好的管理。

信息安全的內涵包括協議安全、算法安全、密鑰安全、數據安全等。PSTN網絡通訊業務的日益廣泛和擴展使得PSTN網絡應用端的安全性必須突破傳統的僅具備數據鏈路加密功能的概念，在點到點通訊中使用第三方授權體制的證書，通過自主設計的安全芯片硬件平臺全面實現包括證書申請及發放、密鑰存儲、身份認證、密鑰協商、數據加密的完整的安全體系設計。這樣，可以充分利用目前分布最廣、最穩定可靠的PSTN網，保證商業、金融等各種商密領域在PSTN網上的語音及業務數據的信息傳輸安全需求。

然而，目前的安全終端設備中，并不存在直接支持上述證書管理的芯片。通過運行各種程序，常規的通用芯片也可以也實現授權證書管理(包括諸如密鑰存儲、身份認證、密鑰協商、數據加密等)，但是需要使用的軟件復雜，花費時間多，而且存在安全隱患。

發明內容

本發明旨在提出一種直接支持證書管理的安全芯片，以克服現有技術的以上缺陷。

本發明提供一種用于基于公鑰體系的認證方法的芯片，包括：接口部件，與外圍設備連接以接收并發送數據；存儲器，存儲所述接口部件所接收的被授權機關分配公鑰證書GCi，所述公鑰證書GCi至少包括第一用戶的用戶參數idi，以及存儲所述接口部件所接收的安全熵參數CTi；隨機數發生器，用于產生隨機數Ri；指令譯碼器，用于基于接收的指令來配置粗粒度IP部件和可重組IP部件；粗粒度IP部件，基于安全熵參數CTi來生成安全熵混合數STi；可重組IP部件，被配置為執行如下操作：基于所述隨機數Ri、安全熵參數CTi、安全熵混合數STi來生成第一用戶的第一身份認證參數；從接收的第二身份認證參數，計算第二用戶的公鑰證書GCj’；比較計算出的公鑰證書GCj’和第二用戶公布的公鑰證書GCj，以認證第二用戶。

此外，可重組IP部件被配置為執行如下操作：基于Ri、CTi、STi，按照如下表達式產生Xi、Yi：

Xi＝g^e＊Ri?mod?n

Yi＝Si＊g^STi?Ri?mod?n

其中Xi、Yi、CTi作為第一用戶的第一身份認證參數，其中e、n、g是授權機關的公鑰證書C所公布的參數，參數Si是第一用戶i的私鑰。

此外，可重組IP部件被配置為執行如下操作：從接收的第二身份認證參數提取用戶j的安全熵參數CTj；利用粗粒度IP部件從安全熵參數CTj計算出第二用戶j的安全熵指數CKj；利用Xj、Yj、CKj，按照下述表達式計算第二用戶j的公鑰證書GCj’：

Xj^CKj/Y_j^e?mod?n＝GCj’，

其中e、n是授權機關的公鑰證書C所公布的參數。

附圖說明

圖1示出了使用本發明的安全芯片的認證過程的流程圖。

圖2示出圖1所示的認證過程的步驟S105的實現過程的流程圖。

圖3示出本發明的安全芯片中的可重組密碼邏輯電路300的基本結構框圖。

圖4示出圖3所示的可重組密碼邏輯電路300的一個簡單示例。

圖5示出圖3所示的可重組密碼邏輯電路300的另一個簡單示例。

圖6示出圖1的認證過程的步驟S120的實施過程的流程圖。