本發明提供一種外部安全內存裝置及系統級芯片SOC，屬于數據加密處理技術領域。所述系統級芯片SOC包括：SOC本體；外部安全內存裝置，所述外部安全內存裝置位于所述SOC本體外部；其中，所述SOC以及外部安全內存事先通過數字簽名相互驗證身份以及密鑰協商算法協商出密鑰；所述SOC通過總線從所述外部安全內存讀取或寫入數據，并通過與所述數據對應的密鑰將所述數據進行解密或加密。通過使用本發明提供的外部安全內存裝置及系統級芯片SOC，解決了SEV技術中數據存儲在內存中不安全的技術問題。

技術領域

本發明屬于數據加密處理技術領域，具體涉及一種外部安全內存裝置及系統級芯片SOC。

背景技術

AMD公司的安全加密虛擬化(security encryption virtual ization)技術通過對虛擬機所使用的物理內存進行加密，而且不同的虛擬機使用不同的密鑰，這樣可以保證在運行時即使hypervisor(虛擬機管理程序)也不能看到虛擬機的內存。

但是這個方案有如下安全方面的隱患：

SEV是對虛擬機內存頁面做加密保護，但是并不能保證數據的完整性。

虛擬機使用的內存由宿主機提供，因此雖然內存內容是被加密的，但是宿主機上的惡意程序能夠通過重放攻擊，密文沖突攻擊等方法修改加密后的數據，由于缺乏保護數據完整性的機制，虛擬機無法知曉，這樣黑客就能夠達到惡意入侵虛擬機數據的目的。

在計算機系統中，數據是存放在內存中，而內存雖然對用戶態程序是專用資源，但是對操作系統而言是公共資源，當操作系統被攻破時，內存的安全性就無法保證了。因此如何保證存放在內存中的數據的安全是一個難題。

發明內容

為了解決SEV技術中數據存儲在內存中不安全的技術問題，本發明提供一種外部安全內存裝置及系統級芯片SOC。

本發明提供一種外部安全內存裝置，所述裝置包括：

外部安全內存裝置本體；

外部安全內存，其位于所述外部安全內存本體內部，所述外部安全內存通過外部安全內存接口進行初始化，并將處理模塊數據存儲在其內部。

此外，本發明還提供一種系統級芯片SOC，所述SOC包括：

SOC本體；

如上所述外部安全內存裝置，所述外部安全內存裝置位于所述SOC本體外部；

其中，所述SOC以及外部安全內存事先通過數字簽名相互驗證身份以及密鑰協商算法協商出密鑰；

所述SOC通過總線從所述外部安全內存讀取或寫入數據，并通過與所述數據對應的密鑰將所述數據進行解密或加密。

所述密鑰協商算法包括Diffie-Hel lman算法或國密SM2算法。

所述SOC以及外部安全內存均設置有加解密引擎單元，所述加解密引擎單元用于所述SOC以及外部安全內存事先通過數字簽名相互驗證身份以及密鑰協商算法協商出密鑰。

在所述傳輸的數據尾部，還添加了對數據正文的HMAC，SOC和外部安全內存通過對HMAC的校驗。

所述SOC和外部安全內存均設置有隨機數生成單元，所述隨機數生成單元用于產生隨機數，并將該隨機數混入到密鑰中，生成新的密鑰，所述SOC使用該密鑰進行對數據進行解密或加密。

使用本發明提供的一種外部安全內存裝置及系統級芯片SOC克服了SEV技術中數據存儲在內存中不安全的技術問題

附圖說明

圖1為本發明實施例提供的一種外部安全內存裝置結構示意圖；