一种用于信息安全的嵌入式CPU

摘要

一种用于信息安全的嵌入式CPU，其特征是：在CPU核与存储器及外设间设置一道MEPU(存储器加密保护单元)闸门。特点是：1.采用对数据加密同时将数据存放的地址打散的做法实现了先进的反跟踪机制；2.将用户分为超级用户和普通用户，超级用户具有特定的权限能配置MEPU，设置普通用户的权限；3.将内存空间分成系统区块、MEPU控制区块和若干个超级用户可编程区块，其中各可编程区块可由超级用户设置其大小和位置，指定其访问权限和是否加密；4.对超级用户可编程区块采用软密钥加密，而且每个区块的加密密钥不相同，对系统区块采用硬密钥加密，该密钥只有芯片制造商知道；5.设有访问非法类型判定及计数机制，能检测到外部的恶意攻击和破解，并采取措施保护系统。

主权项

1、一种用于信息安全的嵌入式CPU，其特征在于：在CPU核与存储器及外设之间设置一存储器加密保护单元，系统复位后将内存逻辑空间划分成三类区域，即若干个超级用户可编程区块、一个系统区、一个存储器保护单元控制区，同时将访问用户分为超级用户和普通用户两种；存储器加密保护单元中包含有一访问属性保护单元、一存储区加密单元和一系统区加密单元，其中：(1)、访问属性保护单元，用于对上述三类区块进行访问保护，其内容包括：①、地址分块寄存器，用于存放识别存储器及外设对应各区块的地址范围信息；②、访问属性寄存器，用于存放存储器及外设对应各区块的访问属性信息；③、地址比较器，用于将CPU核发出的一个地址与对应各区块的地址范围进行比较，如果说一个或多个区块包含该地址，将产生对应这些包含区块的信号，如果地址不在各区块地址范围，将产生一个地址异常信号；④、属性判别逻辑，根据地址比较器产生的对应包含区块信号，按照优先原则选择最严格的访问属性来确定属性对照标准，并输出对应区块的属性与这次访问的属性进行比较，如果属性匹配将产生一个访问正常信号，如果不匹配将产生一个访问异常信号；⑤、门开关，响应地址比较器和属性判别逻辑的信号，对应作出关闭或开启地址、控制及数据总线的反应；(2)、存储区加密单元，用于对若干个超级用户可编程区块进行加密保护，其内容包括：①、加密使能寄存器，用来配置各个超级用户可编程区块的加密使能；②、密钥寄存器，用于存放可软件编程的密钥；③、数据加密/解密器，使用密钥寄存器中的软密钥对CPU核输出到各个超级用户可编程区块的数据进行加密，对各个超级用户可编程区块输入到CPU核的数据进行解密；④、地址加密器，使用密钥寄存器中的软密钥将CPU核输出到各个超级用户可编程区块的地址打散；(3)、系统区加密单元，用于对系统区进行加密保护，其内容包括：①、硬密钥，该密钥为硬件编程的密钥，用于对系统区加密；②、数据加密/解密器，使用硬密钥对CPU核输出到系统区的数据进行加密，对系统区输入到CPU核的数据进行解密；③、地址加密器，使用硬密钥将CPU核输出到系统区的地址打散。