技術領域

本發明涉及具有安全加密功能的智能電表主控芯片和基于該芯片的安全加密方法。

背景技術

目前，國家電網公司開展的電力用戶用電信息采集系統的全面統一建設工作，系統中大量使用的電力采集終端都按照規范統一設計。電力采集終端普遍采用稱為嵌入式安全控制模塊（Embedded?Secure?Access?Module，ESAM）的獨立安全芯片以達到安全防護的目的。

由于智能電表終端的主控單元運行的用來實現電表終端主要功能的應用軟件是由諸多不確定的生產廠商開發的，出于安全管理的目的，密鑰等關鍵敏感信息不能出現在主控單元中，因此ESAM芯片由運營方或委托的第三方獨立開發制造，并采用ISO/IEC7816-3《帶觸點的集成電路卡電信號和傳輸協議》標準及協議與電力采集終端主控單元相連。

采用物理上分離的ESAM芯片實現電力采集終端的安全控制，雖然使得電力采集終端生產商只需專注于智能電表終端本身的功能性設計，無需過多關注其安全性的實現，但存在如下問題：

1）所有安全操作的指令轉發和ESAM芯片執行結果的利用仍然需要主控芯片的主處理器模塊作為中間或最終節點來負責，因此，可能由于調試和測試的需要或者應用軟件設計漏洞等原因，造成應用軟件繞過智能電表終端正常運行必須執行的安全操作流程而直接將ESAM芯片旁路。這種安全漏洞一旦出現，將極大地危害電力運營方的利益；

2）由于主站和電表終端存在一個公鑰交換過程，開放的ESAM芯片接口會帶來仿冒ESAM芯片的風險；

3）獨立形式的ESAM芯片必須預先植入測試密鑰并安裝到電表終端，以方便開發、生產和測試，這就不可避免地帶來相關生產測試成本的提高，以及ESAM芯片生產管理和安裝使用的大量開銷。

另一方面，ESAM芯片只采用對稱加密算法（比如DES算法、SM1算法等）來實現。由于對稱密碼體制的基本特征是加密密鑰和解密密鑰相同或實質上相同，因此對稱密碼系統的加密強度除依賴于算法本身的強度外還依賴于密鑰的分配與管理。在對稱密碼系統中，多部電表終端會共享同一個密鑰，因此一旦某級密鑰由于密鑰管理等原因泄露，則其下所有的相關密鑰將全部失效，其影響范圍較大。

專利CN102111265A公布了一種基于ESAM芯片的采用對稱加密體制（SM1）和非對稱加密體制（RSA）相結合的混合密碼體制的加密方法，其在ESAM芯片中加入了非對稱加密算法，解決了對稱密碼體制中密鑰管理（密鑰生成、存儲和分發）的難題，但由于公鑰體制存在一個公鑰的交換過程，會加大通過ESAM芯片開放的外部接口進行仿冒ESAM芯片的風險，同時也給整個電力系統帶來了安全隱患。

發明內容

為了解決現有技術中存在的上述問題，本發明提出了一種具有新型結構的智能電表主控芯片，能夠有效地避免智能電表終端的應用軟件旁路ESAM芯片的安全漏洞；同時提出了一種基于智能電表主控芯片和證書授權（Certificate?Authority，CA）中心的公鑰證書體系的安全加密方法，進一步保證了電力系統的安全。

本發明提供了一種智能電表主控芯片，該芯片包括內部總線以及連接到所述內部總線上的主處理器模塊、數據存儲模塊和包括計量模塊在內的至少一個應用模塊其特征在于，該芯片內還集成有安全控制模塊，其連接到所述內部總線上并配置為提供安全加密功能；該芯片還包括連接在所述主處理器模塊和所述內部總線之間，并配置為對非法的存儲器訪問指令進行屏蔽的存儲保護模塊。

進一步地，所述主處理器模塊被配置為能夠以特權模式運行片上操作系統軟件和以普通模式運行應用軟件；所述數據存儲模塊被劃分為特權數據存儲區和普通數據存儲區，所述特權數據存儲區被配置為允許所述片上操作系統軟件的訪問且不允許所述應用軟件的訪問，所述普通數據存儲區被配置為允許所述片上操作系統軟件和所述應用軟件的訪問；所述存儲保護模塊被配置為將所述應用軟件對所述特權數據存儲區的訪問指令進行屏蔽。

優選地，所述存儲保護模塊具有熔絲開關，其被配置為控制所述存儲保護模塊的啟用和停用。

進一步地，所述安全控制模塊包括用于對消息進行加解密的對稱加密算法模塊、用于生成密鑰對和身份認證的非對稱加密算法模塊、用于消息校驗的雜湊算法模塊和/或用于協商會話密鑰的隨機數生成模塊。