本发明属于网络空间安全,特别涉及一种基于多维访问控制策略的安全管控芯片及其工作方法。
背景技术:
1、应对网络安全隐患,主要有两类保护方法:(1)软件保护,通过研发安全性更好的加密算法和网络通信协议实现;(2)硬件保护,通过安全系统架构设计或安控芯片实现。
2、传统的安全芯片内嵌在系统中,主要实现加解密运算,通过总线与系统连接,利用cpu或控制模块对数据进行加解密操作,数据通过pcie数据线进行传输。这种方式容易收到网络攻击,例如利用旁路电路绕过安全芯片,钓鱼攻击获得加密模块信息,修改驱动控制流程等。
3、近些年安全芯片以嵌入式系统为主,通过独立的芯片系统实现将关键数据与外部环境进行物理隔离,同时增加一定的访问控制约束限制对安全芯片的访问和操作权限。但是现有的安全芯片所设计的访问控制策略往往过于单一,例如指纹识别约束、ip地址或mac地址白名单约束、证书认证约束等。
4、因此,如何设计基于多维度访问控制策略的安全管控芯片架构是亟需解决的问题,目前尚未出现比较成熟的解决方案。
技术实现思路
1、为了克服上述现有技术的缺点,本发明的目的在于提供一种基于多维访问控制策略的安全管控芯片及其工作方法,引入多个访问控制策略,并进一步针对不同安全需求对处理器运行域进行物理隔离,提升安全管控芯片的安全防护能力和安全审计能力。
2、为了实现上述目的,本发明采用的技术方案是:
3、一种基于多维访问控制策略的安全管控芯片,包括:通过片内总线互联的中央处理器、动态存储器、dma模块、真随机数发生器、加解密模块、rtc管理模块、电源管理模块、存储区以及用于连接外围设备的各类型接口;所述外围设备包括生理信息采集模组、供电模组、全球卫星定位模组、外设模组、网络模组、片外存储以及专用读写设备;所述中央处理器包括高性能cpu和低功耗mcu,所述高性能cpu用于运行嵌入式管控工作系统,所述低功耗mcu用于运行嵌入式管控待机系统;
4、所述多维访问控制策略基于如下五个访问控制单元实现:人员访问控制单元、时间访问控制单元、地点访问控制单元、对象访问控制单元和行为访问控制单元;
5、所述人员访问控制单元,基于所述生理信息采集模组进行操作人员识别和/或认证;所述时间访问控制单元,基于所述rtc管理模块进行芯片时间锁定,并设置授权访问时间段;所述地点访问控制单元,基于所述全球卫星定位模组获取定位信息,并设置授权访问范围;所述对象访问控制单元,管控外设/网络/人员的访问权限;所述行为访问控制单元,基于其它单元产生的日志数据,进行监测,并将日志数据保存用于审计。
6、在一个实施例中,所述人员访问控制单元包括生理识别模块和身份认证模块;
7、所述生理识别模块,连接所述外置生理信息采集模组,具备指纹识别功能和人脸识别功能;
8、所述身份认证模块,通过操作人员输入用户名和密码完成身份认证和设备登陆;
9、所述时间访问控制单元包括所述rtc管理模块和时间管控模块;
10、所述rtc管理模块,由所述供电模组独立供电,具备独立电源域、防复位的特性,上电后bootloader配置rtc并锁定,芯片时间无法篡改,用于保障安全管控芯片的时间独立性;
11、所述时间管控模块,通过设置允许访问时间段屏蔽非授权时间段内的非法访问;
12、所述地点访问控制单元包括地点管控模块;
13、所述地点管控模块,通过连接所述全球卫星定位模组获取定位信息,并设置授权使用范围,当设备离开授权使用范围后,设备停止使用;
14、所述对象访问控制单元包括旁路管控模块、网络管控模块和权限管控模块;
15、所述旁路管控模块,对外设模组进行旁路监测并保存所有外设操作日志,当发生使用异常时,旁路管控模块锁定所有外设;
16、所述网络管控模块,连接不同类型的网络外设,并对包括访问地址、访问端口和访问请求类型在内的网络行为进行管控、监测,并保存所有网络日志;
17、所述权限管控模块,负责管控不同类型操作人员的访问权限;
18、所述行为访问控制单元包括行为监测模块和审计管控模块;
19、所述行为监测模块,对安全管控芯片内所产生的关键行为数据进行监测并传输给审计管控模块;
20、所述关键行为数据,包括由人员访问控制单元、时间访问控制单元、地点访问控制单元、对象访问控制单元、数据安全管控单元产生的所有日志数据;
21、所述审计管控模块,负责与高限制数据读写模块协同工作,将所有审计数据保存至安全管控芯片内的高限制存储区。
22、在一个实施例中,所述人脸识别功能,在操作人员使用设备期间进行间隔身份认证,通过外置摄像头采集操作人员的面部图像,在设备使用期间每间隔一定时间采集一次并与设备内置图像库进行比对,当出现人脸识别不匹配情况,设备停止使用。
23、在一个实施例中,所述安全管控芯片还包括:
24、数据安全管控单元,结合各访问控制单元对访问行为的综合管控结果,对受管控系统或设备进行安全管控,同时其日志数据受到访问控制单元的审计;
25、数据加解密单元,基于所述真随机数发生器和加解密模块,对网络传输数据进行加解密;
26、片内存储单元,存放不同安全等级的信息。
27、在一个实施例中,所述数据安全管控单元包括运行状态热切换模块、系统运行域热切换模块、网络数据处理模块、高限制数据读写模块;
28、所述运行状态热切换模块,通过监测访问请求或网络传输需求,负责切换安全管控芯片的待机状态和工作状态;
29、所述系统运行域热切换模块,通过时间分片技术,负责切换嵌入式管控工作系统在高性能cpu中的运行域,即安全世界或普通世界;
30、所述网络数据处理模块,结合安全通信协议对通过安全管控芯片的网络数据进行加解密处理,其中加解密的运算由所述数据加解密单元完成;
31、所述安全通信协议为专用定制化安全通信协议,仅包含国密算法,能够与其他搭载了安全管控芯片的设备进行安全通信;
32、所述高限制数据读写模块,负责根据使用权限和需求对片内存储单元的不同存储区域进行读写操作;
33、所述数据加解密单元包括所述真随机数发生器和加解密模块;
34、所述真随机数发生器,用于产生生成密钥的真随机数;
35、所述加解密模块,用于利用所述真随机数,对网络数据进行加解密运算;
36、所述存储区包括rom存储区、efuse存储区、高限制存储区和普通存储区;
37、所述rom存储区,用于储存bootloader;
38、所述efuse存储区,用于存储安全管控芯片唯一身份码和唯一密钥;所述数据加解密单元从efuse存储区读取所述的唯一密钥;
39、所述高限制存储区,用于存储安全管控芯片固件、指纹识别对比库、人脸识别对比库、审计数据、多维访问管控策略参数设置;
40、所述普通存储区,用于片上系统内存;
41、所述片内存储单元通过专用接口与外置专用读写设备进行读写交互,进行的操作包括:安全管控芯片唯一密钥的写入、安全管控芯片固件烧录、指纹和人脸库录入、审计数据读取、多维访问管控策略参数设置。
42、在一个实施例中,所述安全管控芯片的运行状态包括待机状态和工作状态;
43、所述待机状态,使用低功耗mcu运行嵌入式管控待机系统,等待产生访问请求或网络传输需求进而唤醒高性能cpu工作;
44、所述工作状态,使用高性能cpu运行嵌入式管控工作系统,执行安全管控芯片的安全管控功能;所述安全管控功能包括:所述五个访问控制单元的功能,以及数据读写、加密和审计操作;
45、所述运行状态由嵌入式管控工作系统或嵌入式管控待机系统通过运行状态热切换模块实现切换。
46、在一个实施例中,所述工作状态下,所述高性能cpu包含安全世界和普通世界两个运行域,所述两个运行域硬件隔离,具有不同权限,任何时刻高性能cpu仅在其中一个世界中运行;
47、所述安全世界运行嵌入式管控工作系统时,安全管控芯片执行多维访问控制策略并处理网络传输数据;
48、所述普通世界运行嵌入式管控工作系统时,安全管控芯片处理业务操作,不执行多维访问控制策略;
49、所述两个运行域由系统运行域热切换模块通过时间分片技术实现切换。
50、在一个实施例中,所述生理信息采集模组,包括指纹采集器和摄像头;所述供电模组,包括电源管理模组和纽扣电池;所述全球卫星定位模组,为北斗定位模组;所述外设模组包括鼠标、键盘、u盘;所述网络模组,包括有线模组、wifi模组、4g模组和5g模组;所述片外存储,包括ddr存储芯片和flash存储芯片;
51、所述用于连接外围设备的各类型接口,包括uart接口、qspi接口、i2c接口、i2s接口、bp147接口、arinc429接口、gpio接口、sdio接口、sdmmc接口、fsmc接口、pcm接口、ssi接口、pwm接口、keypad接口、can接口、serdes接口、ddr接口、usb接口和jtag接口。
52、本发明的另一方面,还提供了所述基于多维访问控制策略的安全管控芯片的工作方法,包括如下步骤:
53、识别操作人员;
54、判断所述操作人员是否满足人员访问权限、时间访问权限和地点访问权限,当有一项为否,即拒绝访问,操作结束;若全是,则根据用户类型进行权限管控;
55、操作人员在多维访问控制管控下处理终端业务,并在过程中保持对操作人员进行识别;同时,各阶段所产生的日志数据保存用于审计。
56、在一个实施例中,所述安全管控芯片适配行业终端工作,所述行业终端,以安全管控芯片作为系统核心,执行安全管控策略并处理所有终端业务;
57、或者,
58、所述安全管控芯片适配特别业务终端工作,在原系统主板上部署安全管控芯片,执行所有安全管控策略但不涉及终端业务处理;
59、或者,所述安全管控芯片适配一般业务终端工作,将搭载安全管控芯片的设备作为外置安全管控设备,与原终端建立通信,仅执行部分安全管控策略。
60、与现有技术相比,本发明基于多维访问控制策略的安全管控芯片及其工作方法具有如下有益效果:
61、1、本发明基于多维访问控制策略提升安全管控芯片的安全防护能力,多维访问控制策略包括:人员访问控制、时间访问控制、地点访问控制、对象访问控制、行为访问控制,使安全管控芯片具备更强的安全性和安全审计能力。
62、2、本发明通过在高性能cpu上划分安全世界和普通世界两个运行域,实现嵌入式管控工作系统针对不同安全需求下的物理隔离,提高安全管控芯片安全性。
63、3、本发明可适配不同类型的业务终端和安全管控需求,满足不同应用场景的安全管控需求。
64、4、本发明的数据加解密单元的核心算法满足《信息安全技术sm2密码算法使用规范gb/t 35276-2017》、《信息安全技术sm3密码杂凑算法gb/t32905-2016》、《信息安全技术sm4分组密码算法gb/t 32907-2016》等国标要求,实现核心加密算法国产化。
65、5、本发明基于efuse存储技术实现一芯一密,增强安全管控芯片的唯一性和安全性。
66、6、本发明使用专用接口和专用读写设备进行芯片存储区域的读写交互和安全管控策略的配置,保障安全管控芯片固件烧录和审计数据读取的安全性。
1.一种基于多维访问控制策略的安全管控芯片,其特征在于,包括:通过片内总线互联的中央处理器、动态存储器、dma模块、真随机数发生器、加解密模块、rtc管理模块、电源管理模块、存储区以及用于连接外围设备的各类型接口;所述外围设备包括生理信息采集模组、供电模组、全球卫星定位模组、外设模组、网络模组、片外存储以及专用读写设备;所述中央处理器包括高性能cpu和低功耗mcu,所述高性能cpu用于运行嵌入式管控工作系统,所述低功耗mcu用于运行嵌入式管控待机系统;
2.根据权利要求1所述基于多维访问控制策略的安全管控芯片,其特征在于,所述人员访问控制单元包括生理识别模块和身份认证模块;
3.根据权利要求2所述基于多维访问控制策略的安全管控芯片,其特征在于,所述人脸识别功能,在操作人员使用设备期间进行间隔身份认证,通过外置摄像头采集操作人员的面部图像,在设备使用期间每间隔一定时间采集一次并与设备内置图像库进行比对,当出现人脸识别不匹配情况,设备停止使用。
4.根据权利要求2所述基于多维访问控制策略的安全管控芯片,其特征在于,所述安全管控芯片还包括:
5.根据权利要求4所述基于多维访问控制策略的安全管控芯片,其特征在于,所述数据安全管控单元包括运行状态热切换模块、系统运行域热切换模块、网络数据处理模块、高限制数据读写模块;
6.根据权利要求4所述基于多维访问控制策略的安全管控芯片,其特征在于,所述安全管控芯片的运行状态包括待机状态和工作状态;
7.根据权利要求6所述基于多维访问控制策略的安全管控芯片,其特征在于,所述工作状态下,所述高性能cpu包含安全世界和普通世界两个运行域,所述两个运行域硬件隔离,具有不同权限,任何时刻高性能cpu仅在其中一个世界中运行;
8.根据权利要求1所述基于多维访问控制策略的安全管控芯片,其特征在于,所述生理信息采集模组,包括指纹采集器和摄像头;所述供电模组,包括电源管理模组和纽扣电池;所述全球卫星定位模组,为北斗定位模组;所述外设模组包括鼠标、键盘、u盘;所述网络模组,包括有线模组、wifi模组、4g模组和5g模组;所述片外存储,包括ddr存储芯片和flash存储芯片;
9.权利要求1至8任一项所述基于多维访问控制策略的安全管控芯片的工作方法,其特征在于,包括如下步骤:
10.根据权利要求9所述的工作方法,其特征在于,所述安全管控芯片适配行业终端工作,所述行业终端,以安全管控芯片作为系统核心,执行安全管控策略并处理所有终端业务;
