本發明屬于數字芯片設計技術領域，具體涉及一種用于密碼算法IP核的蜜罐模塊。該蜜罐模塊，檢測當前的密碼算法IP核在應用時是否受到攻擊，并在受到攻擊時返回加擾數據，增強密碼算法IP核的安全性。本發明有益效果在于，當密碼算法IP核在受到攻擊時，保護密鑰等敏感數據不易被竊取，從而增強密碼算法IP核的安全性。

技術領域

本發明屬于數字芯片設計技術領域，具體涉及一種用于密碼算法IP核的蜜罐模塊。

背景技術

密碼算法IP核是信息安全芯片中最核心的功能部分，可提供密鑰生成、數據加密與身份認證等安全功能。但是密碼算法IP核作為芯片架構中的從設備，通常是不具備主動防護功能，所以信息系統一旦被破解，密碼算法IP核只能被動的響應攻擊者的操作請求，以致泄露密鑰與敏感數據。

發明內容

(一)要解決的技術問題

本發明要解決的技術問題是：如何提供一種應用于密碼算法IP核的技術方案，保護密碼算法IP核在受到攻擊時敏感數據不易被竊取。

(二)技術方案

為解決上述技術問題，本發明提供一種用于密碼算法IP核的蜜罐模塊，所述蜜罐模塊所作用的密碼算法IP核包括：接口模塊和算法模塊；

所述蜜罐模塊包括：請求過濾單元、地址過濾單元、控制單元與數據保護單元，其通過請求過濾單元、地址過濾單元、控制單元與數據保護單元的協同工作實現對密碼算法IP核的保護；

其中，所述請求過濾單元用于接收來自接口模塊的接口請求信息，判斷當前的接口請求信息是否合法，生成接口請求判斷結果輸出至控制單元，同時將來自接口模塊的接口請求信息發送至算法模塊；

所述地址過濾單元用于接收來自接口模塊請求的接口地址信息，判斷當前的接口地址信息是否合法，生成接口地址判斷結果輸出至控制單元，同時將來自接口模塊的接口地址信息發送至算法模塊；

所述控制單元用于接收所述接口請求判斷結果，如果請求非法，則將開啟保護的觸發指令發送至數據保護單元；

所述控制單元還用于接收所述接口地址判斷結果，如果地址非法，則判斷當前密碼算法IP核是否為調試模式，非調試模式時，則將開啟保護的觸發指令發送至數據保護單元；

所述數據保護單元用于在收到開啟保護的觸發指令后，調用其內部的隨機數生成單元生成隨機數，對來自算法模塊的數據輸出中的數據內容進行加擾操作。

其中，所述接口模塊接收到來自外部的數據讀或寫請求，生成接口請求信息并發送至請求過濾單元，所述請求過濾單元判斷接口請求信息的傳輸類型、數據位寬、突發類型、保護類型是否為密碼算法IP核支持的類型，由此生成接口請求判斷結果。

其中，所述地址過濾單元判斷請求的接口地址信息是否合法，非法類型定義為包括訪問地址越界、非授權寄存器地址、連續訪問相鄰地址在內的非正常使用情況出現的地址變化。

其中，所述密碼算法IP核的調試模式僅為芯片出廠測試使用，普通用戶無法配置。

其中，所述數據保護單元所生成的隨機數，在每次數據輸出時更換一次隨機數。

其中，所述數據保護單元對算法模塊的數據輸出中與數據安全無關的狀態內容進行原文輸出。

其中，所述狀態內容包括算法的狀態機信息、錯誤信息、忙信息、中斷信息在內各種狀態信息。

其中，所述數據保護單元在在收到開啟保護的觸發指令后，還將通過其內部的非易失性存儲設備記錄開啟保護的狀態，該狀態僅能通過調試模式進行清除。

其中，所述來自算法模塊的數據輸出中的數據內容包括：密鑰、加密結果、解密結果在內的運算信息。