本發(fā)明提出了一種用于物理芯片內(nèi)的密鑰生成組件，包括：隨機數(shù)發(fā)生器，用于響應(yīng)第一信號從而產(chǎn)生不可預(yù)估的編碼值；燒錄單元，用于執(zhí)行將所述編碼值燒入OTP存儲單元的操作；OTP存儲單元，用于固化所述編碼值以作為私鑰。本發(fā)明中的密鑰生成組件中的私鑰是在芯片內(nèi)部由不可預(yù)知的隨機數(shù)產(chǎn)生的，再燒入OTP模塊中，私鑰值與芯片外部無任何關(guān)系與交互，保證私鑰的獨有性和不可探知性，組件外部無論是開發(fā)設(shè)計人員或攻擊人員均無法獲知私鑰，從而保障私鑰的安全性與可靠性。

技術(shù)領(lǐng)域

本發(fā)明屬于數(shù)據(jù)加密/解密技術(shù)領(lǐng)域，尤其涉及一種用于物理芯片內(nèi)的密鑰生成組件。

背景技術(shù)

數(shù)據(jù)已經(jīng)被證明是企業(yè)重要資產(chǎn)之一，數(shù)據(jù)的高速增長使企業(yè)面臨前所未有的挑戰(zhàn)。針對目前的數(shù)據(jù)安全的需求，主流的技術(shù)是通過密碼算法的加密/解密處理，以及作為加密/解密處理的基礎(chǔ)的密鑰管理。

密鑰是指相互配對的公鑰與私鑰，公鑰是密鑰對中公開的部分，通常用于加密會話密鑰、驗證數(shù)據(jù)簽名，或加密可以用相應(yīng)的私鑰解密的數(shù)據(jù)流；私鑰是密鑰對中非公開的部分，通常用于解密會話密鑰、進行數(shù)據(jù)簽名、解密用相應(yīng)的公鑰加密的數(shù)據(jù)流、或加密可以用相應(yīng)的公鑰解密的數(shù)據(jù)流。因此，私鑰的安全性尤為重要。

現(xiàn)有技術(shù)中的私鑰保存要么不設(shè)置安全機制、要么再通過其它密鑰進行加密處理，又或者通過在主存中開辟一塊安全區(qū)域來存儲私鑰，這些密鑰安全技術(shù)在一定程度上提高了密鑰的安全性，但私鑰實際上存儲在計算機系統(tǒng)的主存、或芯片(如加密芯片)內(nèi)部的寄存器當中，當攻擊者獲取到了計算機系統(tǒng)的超級用戶的權(quán)限，那么上述安全機制則形同虛設(shè)，攻擊者則可輕易的獲取到私鑰；另外一點，現(xiàn)有技術(shù)中的私鑰在產(chǎn)生、交互、使用的過程中是處于流轉(zhuǎn)狀態(tài)下的，包括私鑰在安全域中的流轉(zhuǎn)、私鑰在安全域與芯片內(nèi)之間的流轉(zhuǎn)等，無法保證私鑰在流轉(zhuǎn)過程中是否發(fā)生泄漏的問題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的一個目的是提出一種用于物理芯片內(nèi)的密鑰生成組件，以解決現(xiàn)有技術(shù)私鑰的產(chǎn)生、保存、使用等過程沒有確實有效的安全措施的問題。

在一些說明性實施例中，所述片內(nèi)密鑰生成組件，包括：隨機數(shù)發(fā)生器，用于響應(yīng)第一信號從而產(chǎn)生不可預(yù)估的編碼值；燒錄單元，用于執(zhí)行將所述編碼值燒入OTP存儲單元的操作；OTP存儲單元，用于固化所述編碼值以作為私鑰。

在一些優(yōu)選地實施例中，所述片內(nèi)密鑰生成組件，還包括：密碼邏輯單元，用于響應(yīng)第二信號從而讀取所述OTP存儲單元中固化的私鑰，生成與其對應(yīng)的公鑰。

在一些優(yōu)選地實施例中，所述密碼邏輯單元，還用于輸出生成的所述公鑰。

在一些優(yōu)選地實施例中，所述密碼邏輯單元，還用于響應(yīng)第三信號從而讀取所述OTP存儲單元中固化的私鑰，對輸入的數(shù)據(jù)流進行加密/解密處理，并輸出處理后的數(shù)據(jù)流。

在一些優(yōu)選地實施例中，所述密碼邏輯單元，還用于響應(yīng)第四信號從而讀取所述OTP存儲單元中固化的私鑰，對輸入的數(shù)據(jù)流進行簽名/驗簽處理，并輸出處理后的數(shù)據(jù)流。

在一些優(yōu)選地實施例中，所述片內(nèi)密鑰生成組件，還包括：轉(zhuǎn)換單元，用于將所述OTP存儲單元中固化的密鑰進行特定轉(zhuǎn)換，再將經(jīng)過轉(zhuǎn)換后的密鑰提供給所述密碼邏輯單元。

在一些優(yōu)選地實施例中，所述片內(nèi)密鑰生成組件，還包括：易失性存儲單元，用于緩存所述隨機數(shù)發(fā)生器產(chǎn)生的編碼值；所述燒錄單元，用于執(zhí)行將所述易失性存儲單元中的所述編碼值燒入所述OTP存儲單元的操作。

在一些優(yōu)選地實施例中，所述OTP存儲單元，還用于記錄并固化OTP存儲單元的狀態(tài)值；所述狀態(tài)值用于指示所述OTP存儲單元可被執(zhí)行燒錄操作或不可被執(zhí)行燒錄操作。

在一些優(yōu)選地實施例中，所述OTP存儲單元采用由若干條熔絲構(gòu)成的OTP熔絲存儲器單元。

在一些優(yōu)選地實施例中，所述若干條熔絲采用0.18um以下的熔絲。