一種手機安全協處理芯片的制作方法
【技術領域】
[0001]本實用新型公開了一種手機安全協處理芯片，涉及手機安全認證技術領域。
【背景技術】
[0002]公私鑰密碼體系是一種非對稱密碼技術，有別于傳統的對稱密碼技術。公私鑰密碼體系加密和解密過程使用不同的密碼算子，即公鑰和私鑰對。該項技術廣泛應用于互聯網加密、簽名等安全方面。本實用新型所對應的芯片是實現手機安全認證的核心模塊。
[0003]公私鑰密碼體系廣泛應用于通信、加密、認證等領域，但大部分應用是軟件實現；硬件的實現較少，特別是用于手機安全認證方面的實現。指紋認證技術的發展，特別是隨著各大廠商推出指紋手機的嘗試，設備安全及安全支付越來越成為人們關注的焦點，迫切需要一體化的硬件實現來保證安全。例如華為2014年9月I日推出的Mate7指紋手機。該手機采用的指紋技術將指紋特征存儲于CPU的保護區域，解決了手機本地認證的問題；但業務安全及通信安全認證仍然由具體應用來完成，華為的方案中必須通過支付寶認證體系來保障業務安全及通信安全。
[0004]現有技術中的常用方案雖然能解決很多問題，但在特定的場合，特別是作為移動設備的手機上，存在安全隱患。①軟件實現的公私鑰密碼體系存在被破解的可能，尤其是用在移動場合，比如私鑰被盜取；②現有指紋手機的指紋認證方案無法保證通信和業務安全，軟件方式實現的通信和業務安全也存在被破解可能，指紋手機采用的指紋認證技術只解決了本機認證的問題，也即證明本手機是通過指紋認證的人合法擁有的，現有的技術中，在指紋認證完畢之后，手機應用與服務器的通信認證，指紋模塊不再參與，而交由具體應用來實現，就存在被破解的可能。因此通信和業務安全也必須通過硬件的過程來實現，也就是硬件產生隨機數和簽名值。
【實用新型內容】
[0005]本實用新型所要解決的技術問題是:針對現有技術的缺陷，提供一種手機安全協處理芯片，用硬件方式實現了公私鑰密碼體系、隨機序列產生和簽名的過程，用來解決手機與應用的安全通信及認證難題。芯片由于采用硬件實現簽名過程，所產生的私鑰也無法被應用獲取，因此可以保證通信的安全。
[0006]本實用新型為解決上述技術問題采用以下技術方案:
[0007]一種手機安全協處理芯片，包括設置于芯片基板上的密鑰對產生模塊、隨機序列發生器模塊、公鑰存儲單元、私鑰存儲單元、隨機序列存儲單元、簽名模塊、隨機數簽名值存儲單元、編碼模塊、向量存儲模塊、總控制器模塊和參數存儲單元，其中，
[0008]所述密鑰對產生模塊用以產生公鑰和私鑰，密鑰對產生模塊通過引腳分別與公鑰存儲單元、私鑰存儲單元相連接，將產生的公鑰和私鑰分別存儲至公鑰存儲單元和私鑰存儲單元；
[0009]所述隨機序列發生器模塊用以產生隨機數序列，隨機序列發生器模塊通過引腳與隨機序列存儲單元相連接，將產生的隨機數序列存儲至隨機序列存儲單元內；
[0010]所述簽名模塊用以計算簽名值，它的輸入引腳分別和私鑰存儲單元、隨機序列存儲單元相連接，它的輸出引腳和隨機數簽名值存儲單元相連接；
[0011]所述隨機數簽名值存儲單元用以存儲簽名值，它的輸出引腳與公鑰存儲單元的輸出引腳一同和編碼模塊相連接；
[0012]所述編碼模塊用以對二進制字節碼進行轉碼，編碼模塊的輸出引腳與向量存儲模塊相連接；
[0013]所述向量存儲模塊用以用來存儲芯片內的參數及模塊間產生的數據，并實現芯片的外部讀取；
[0014]所述總控制器模塊通過外部輸入的參數以實現控制所述密鑰對產生模塊、隨機序列發生器模塊、公鑰存儲單元、私鑰存儲單元、隨機序列存儲單元、簽名模塊、隨機數簽名值存儲單元、編碼模塊、向量存儲模塊和參數存儲單元的運行，外部輸入參數存儲至參數存儲單元，并進一步發送至向量存儲模塊。
[0015]作為本實用新型的進一步優選方案，所述總控制器模塊中還設置有一個時鐘序列發生器。
[0016]作為本實用新型的進一步優選方案，所述芯片基板的大小可設計為1-2平方厘米，以配合手機小尺寸的要求。
[0017]下述技術特征用以描述和解釋本實用新型的實現原理和過程，并不是本實用新型意欲保護的權利要求范圍:所述密鑰對產生模塊中通過RSA算法或者DSA算法產生公鑰和私鑰，使用1024、2048和3072三種位數的秘鑰位數。所述隨機序列發生器模塊產生的隨機序列長度包括1、2、4、8四種。所述編碼模塊中的編碼類型包括BASE64編碼或HEX編碼。向量存儲模塊中，所述模塊間產生的數據包括隨機數、公鑰、簽名值以及各個模塊所選擇的算法種類、密鑰長度。所述總控制器模塊中還設置有一個時鐘序列發生器。所述簽名模塊中，計算簽名值的過程為:首先對隨機數序列數據計算哈希值，然后用私鑰對哈希值進行加密，其中，哈希算法的選擇包括shal、sha-256、sha-512和MD5 ;哈希值的加密使用RSA算法。
[0018]所述手機安全協處理芯片的工作方法，具體過程如下:
[0019]步驟一、總控制器模塊依次控制密鑰對產生模塊、公鑰存儲單元、編碼模塊和向量存儲單元按時鐘序列順序執行，產生公鑰和私鑰；
[0020]步驟二、總控制器模塊依次控制隨機序列發生器模塊、隨機序列存儲單元、私鑰存儲單元、簽名模塊、隨機數簽名存儲單元、編碼模塊和向量存儲單元按時鐘序列順序執行，使用已有公鑰和私鑰對進行簽名；
[0021]步驟三、控制參數輸入，應用讀取存儲向量進行反編碼，再由應用后臺驗證簽名值是否正確，完成認證流程。
[0022]本實用新型采用以上技術方案與現有技術相比，具有以下技術效果:本實用新型所實用新型的芯片不是對指紋識別芯片的取代，而是對指紋認證技術的強化；同時，本芯片也可單獨使用，用來替代軟件方式簽名，增強簽名的安全性。所述芯片可以作為單獨的硬件，來實現簽名功能；還可以作為指紋認證的后續模塊，與指紋認證模塊一起使用來實現整個認證流程的安全，也即手機本地認證和通信認證安全；此模塊還可以在各種應用之間實現“密碼共享”-共用私鑰分享公鑰。
【附圖說明】
[0023]圖1是本實用新型的結構模塊示意圖。
【具體實施方式】
[0024]下面詳細描述本實用新型的實施方式，所述實施方式的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施方式是示例性的，僅用于解釋本實用新型，而不能解釋為對本實用新型的限制。
[0025]下面結合附圖對本實用新型的技術方案做進一步的詳細說明:
[0026]本實用新型的結構模塊示意圖如圖1所示，采用結構示意圖和模塊圖，結合輸入、輸出及模塊間處理流程來說明本芯片作用，以及本芯片是如何從硬件方面保證通信認證安全的。
[0027]—、芯片構成模塊說明
[0028]圖1中各個模塊的引線，細引線代表的是輸入位(0，1，Mt)，輸入單個控制信號；粗引線代表的是數據流，是多位輸入輸出。控制信號輸入部分引線可組合在一起，形成二進制序列。比如1-2位，就有4種組合00，01，10，11，分別代表數字0，1,2,3ο
[0029]模塊I為密鑰對產生模塊，用來產生公鑰和私鑰。卜2位用于算法選擇，共可支持4種算法，建議2種算法00對應RSA、01對應DSA ;3_4位用于密鑰位數(長度)選擇，支持4種位數，建議使用1024、2048和3072三種位數，3072位RSA保密年限至2040年，足夠用于實踐了 ；5位用于控制；引線7輸出公鑰；引線8輸出私鑰。目前，市場上已有基于RSA的單獨的硬件加密產品，但沒有參數輸入功能；考慮到整個芯片的作用和尺寸，本實用新型在具體實施中建議對現有的廣品進彳丁