一种密钥保护方法及装置与流程

1.本发明涉及密钥保护技术领域。具体地说是一种密钥保护方法及装置。


背景技术：

2.密码模块通常要求支持销毁接口，一旦触发销毁请求，密码模块就会对其内部存储的敏感安全参数进行销毁，擦除敏感参数存储器，保证敏感数据不会外泄。
3.通常的密码模块都需要在提供外部供电的情况下才能够实现销毁监测功能，当移除外部供电后，密码模块便处于断电状态，此时无法监测任何对密码模块的入侵和探测行为，因此在这种情况下密钥是极其不安全的。


技术实现要素：

4.为此，本发明所要解决的技术问题在于提供一种密钥保护方法及装置，能够保证在无外部供电的情况下监测到销毁开关的动作，并在极短时间内销毁密码模块中存储的敏感信息，提高密钥保存的安全性。
5.为解决上述技术问题，本发明提供如下技术方案：一种密钥保护方法，将内置有密码模块的密码管理芯片接入由电池供电的密码保护电路内，当密码管理芯片接收到供电及检测入侵模块发出的入侵信号时，则触发密钥销毁机制，密钥管理芯片在电池作为工作电源的条件下执行密钥销毁操作以擦除内置在密码模块内的敏感数据，所述入侵信号为电压变化信号或电流变化信号。
6.上述密钥保护方法，供电及检测入侵模块向密码管理芯片提供入侵信号不受密钥管理芯片是否存在外部供电影响。
7.上述密钥保护方法，供电及检测入侵模块所用的入侵检测开关为按压式机械开关；在使用时且密钥管理芯片未被入侵时，入侵检测开关保持按压状态，此时入侵检测开关处于断开或接通状态；当入侵检测开关被释放，变为弹起状态，此时入侵检测开关处于接通或断开的状态，入侵检测开关与密钥管理芯片之间的电路处于连通或断开的状态，入侵检测开关为密钥管理芯片提供入侵信号。
8.上述密钥保护方法，入侵检测开关的第一端与电池电连接，入侵检测开关的第二端与密钥管理芯片的检测端口电连接并通过二极管与密钥管理芯片的电源管脚电连接，同时入侵检测开关的第二端与密钥管理芯片入侵信号接收管脚电连接。
9.上述密钥保护方法，电池为可充电电池，可充电电池与电池充电管理芯片电连接。
10.一种密钥保护装置，包括电池、供电及入侵检测模块和内置有密码模块的密钥管理芯片，电池通过供电及入侵检测模块与密钥管理芯片电连接；当密码管理芯片接收到供电及检测入侵模块提供的入侵信号时，则触发密钥销毁机制，密钥管理芯片在电池作为工作电源的条件下执行密钥销毁操作以擦除内置在密码模块内的敏感数据，所述入侵信号为电压变化信号或电流变化信号。
11.上述密钥保护装置，电池为可充电电池，可充电电池与电池充电管理芯片电连接。
12.上述密钥保护装置，还包括壳体，电池、供电及入侵检测模块和内置有密码模块的密钥管理芯片分别设置在壳体内；供电及检测入侵模块所用的入侵检测开关为按压式机械开关；在使用时且密钥管理芯片未被入侵时，壳体内壁挤压入侵检测开关使入侵检测开关保持按压状态，此时入侵检测开关处于断开或接通状态；当入侵检测开关被释放，变为弹起状态，此时入侵检测开关处于接通或断开的状态，入侵检测开关与密钥管理芯片之间的电路处于连通或断开的状态，入侵检测开关为密钥管理芯片提供入侵信号。
13.上述密钥保护装置，在使用时且密钥管理芯片未被入侵时，壳体内壁挤压入侵检测开关使入侵检测开关保持按压状态，此时入侵检测开关处于断开状态，电池与密钥管理芯片之间的电连接处于断开状态。
14.上述密钥保护装置，入侵检测开关的第一端与电池电连接，入侵检测开关的第二端通过二极管与密钥管理芯片的电源管脚电连接，同时入侵检测开关的第二端与密钥管理芯片入侵信号接收管脚电连接。
15.本发明的技术方案取得了如下有益的技术效果：本发明能够保证密钥管理芯片在无外部供电的情况下实现对密钥管理芯片入侵的长期监控，并能够在密钥管理芯片遭受入侵时及时销毁密码模块内的敏感信息，提高密钥保存的安全性，同时还可以减少密钥保护过程的能耗。
附图说明
16.图1为本发明中密钥保护装置工作原理图；图2为本发明中密钥保护流程图；图3为本发明中供电及入侵检测模块电路图；图4为本发明中密钥管理芯片电路图。
具体实施方式
17.下面结合示例，针对本发明进行进一步说明。
18.如图1所示，本发明中的密钥保护装置，包括壳体、电池、供电及入侵检测模块和内置有密码模块的密钥管理芯片，电池、供电及入侵检测模块和内置有密码模块的密钥管理芯片分别设置在壳体内，电池分别与供电及入侵检测模块和密钥管理芯片电连接；当密码管理芯片接收到供电及检测入侵模块提供的入侵信号时，则触发密钥销毁机制，密钥管理芯片在电池作为工作电源的条件下执行密钥销毁操作以擦除内置在密码模块内的敏感数据，所述入侵信号为电压变化信号或电流变化信号。
19.其中，电池为可充电电池，可充电电池与电池充电管理芯片电连接，以便在不破坏密码装置的外部结构时能够为密码模块提供密钥保护；如图3所示，入侵检测开关的第一端与电池电连接，入侵检测开关的第二端通过二极管与密钥管理芯片的电源管脚电连接，同时入侵检测开关的第二端与密钥管理芯片入侵信号接收管脚电连接。在提供外部电源时，电池充电管理芯片负责为电池进行充电，以便断电后电池的电量充足，从而能保证电池能够长时间备用，以避免电池自放电导致电池电量不足。并且在外部进行供电时，充电电池为入侵检测开关的入侵检测端口提供高电平，同时可以通过密钥管理芯片供电单元为密钥管理芯片提供电能，而外部供电和电池供电之间通过二极管进行单向隔离，从而实现两种供
电方式共存。图3中上部为外部供电电路，下部为密钥保护装置内部供电及检测电路，通过电阻r4是否通电为密钥管理芯片提供密钥保护装置是否遭受入侵的信号。
20.供电及检测入侵模块所用的入侵检测开关为按压式机械开关；在使用时且密钥管理芯片未被入侵时，壳体内壁挤压入侵检测开关使入侵检测开关保持按压状态，此时入侵检测开关处于断开状态，电池与密钥管理芯片之间的电连接处于断开状态；当入侵检测开关被释放，变为弹起状态，此时入侵检测开关处于接通状态，入侵检测开关与密钥管理芯片之间的电路处于连通状态，入侵检测开关为密钥管理芯片提供入侵信号。
21.如图3和图4所示，当入侵检测开关被释放时，图3中入侵检测开关sw1中的com端与nc端接通，从而使电池vbat与nc端接通，在无外部供电的情况下，电池vbat经由入侵检测开关以及二极管d4向密钥管理芯片供电，同时密钥管理芯片通过fio[0]/emdio/gp24管脚检测到电阻r4上的电压发生变化，从而获得入侵信号，然后由密钥管理芯片执行敏感信息擦除操作，而当有外部供电的情况下，电池vbat不再经由二极管d4向密钥管理芯片供电，而密钥管理芯片仍然可以通过fio[0]/emdio/gp24管脚检测到电阻r4上的电压发生变化，从而获得入侵信号，再由密钥管理芯片执行敏感信息擦除操作，从而实现了在有无外部供电的情况下，密钥管理芯片都可以通过入侵检测电路获得密钥保护装置是否被入侵的信息，从而确保密钥管理芯片的安全性。
[0022]
本发明中，将密码管理芯片、可充电电池、充电管理芯片以及供电及检测入侵模块封装在壳体，并使壳体挤压供电及检测入侵模块所用的入侵检测开关，使入侵检测开关保持按压状态且处于断开状态。当壳体遭受外力破坏时，入侵检测开关被释放，变为弹起状态，此时入侵检测开关处于接通状态，入侵检测开关与密钥管理芯片之间的电路处于连通状态，入侵检测开关会密钥管理芯片发送密钥模块遭受入侵的信号，密钥管理芯片则会在电池的供电下擦除内置在密码模块内的敏感数据，以保证数据的安全。
[0023]
如图2所示，利用上述密钥保护装置对密钥模块内的敏感信息进行保护的具体方法为：a）将密钥保护装置接入密码服务系统，并利用密钥保护装置中的密钥管理芯片提供密码服务；b）利用外部电源对可充电电池进行充电，以使密钥保护装置可以正常工作；c）利用密钥保护装置对密钥模块内存放的敏感信息进行保护：当无入侵事件时，即入侵检测开关未被触发，电池与密钥管理芯片之间的连接电路为处于断开状态，此时如果存在外部电源，则密钥管理芯片有外部电源供电，此种情况下，可以通过外部接口对密钥管理芯片进行管理操作以及提供密码服务；而如果无外部电源，则密钥管理芯片无供电，不对外提供密码服务，也不消耗电能，可充电电池的电能消耗来自于自放电；当有入侵事件发生时，即入侵检测开关被触发，电池与密钥管理芯片之间的连接电路由断开转为连通，此时，无论是否存在外部供电，均视为入侵事件发生，密钥管理芯片执行密钥销毁，当有外部供电时，密钥管理芯片在外部供电的情况下执行密钥销毁，当没有外部供电时，密钥管理芯片在电池供电的情况下执行密钥销毁。而电池与密钥管理芯片之间的连接电路连通时，可充电电池加载在入侵检测开关上的电压发生了变化，密钥管理芯片的检测端口识别到入侵检测开关上的电压发生了变化之后，判定为入侵事件，而此时密钥管理芯片根据内部标志，确认密钥管理芯片中是否存在敏感的密钥数据，若密钥管理芯片处于无敏感数据的初始
态，则不需要进行重复销毁，若存在密钥数据，则执行密钥销毁。密钥销毁程序会将存储于密钥管理芯片内部的密钥信息销毁，避免密钥被外部获取。
[0024]
而在入侵检测和密钥销毁结束后，更换壳体后，可将本发明中的密钥保护装置继续投入使用。
[0025]
本发明中的密钥保护装置能够在密钥管理芯片断电的状态下为密钥管理芯片内存放的敏感数据提供有效的保护，且入侵检测开关未被触发时，可充电电池只存在自放电的电能损耗，因此可以使用较长时间，能够为用户提供持续性密钥保护。
[0026]
显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。