安全加密處理器 （Secure Cryptoprocessor) 是一種本身不產(chǎn)生加密數(shù)據(jù)或程序指令，但產(chǎn)生密鑰（Key）的處理器，其應(yīng)用產(chǎn)品有智能卡、ATM、電視機機頂盒、軍事系統(tǒng)等。而加密型（Cryptographic）處理器在安全環(huán)境下由安全加密處理器和數(shù)據(jù)加密方案配合實現(xiàn)數(shù)據(jù)加密及其存取，并通過總線輸出加密數(shù)據(jù)。

根據(jù)設(shè)計技術(shù)與方法的不同，安全加密處理器設(shè)計方法有采用非易失性(NVM)存儲器設(shè)計技術(shù)加密和采用物理功能不可克隆函數(shù) (Physical/PhysicallyUnclonable Function, PUF) 技術(shù)設(shè)計加密兩大類。??

采用 NVM 加密機制的產(chǎn)品技術(shù)成熟，應(yīng)用廣泛。設(shè)計這種加密芯片時，將密鑰和/或代碼數(shù)據(jù)存放在芯片內(nèi)部自帶的 CPU 中運行，再加上硬件保護邏輯電路、內(nèi)置加密算法、可編程操作將需要加密的數(shù)據(jù)部分通過口令（Password）或其他認證方式實現(xiàn)方案保護。認證方法可以采用國際標(biāo)準可信平臺模塊(Trusted Platform Module, TPM) 來實現(xiàn)，并且要在符合可信執(zhí)行環(huán)境 (TrustedExecution Environment，TEE）的條件下使用，要求上載的口令和數(shù)據(jù)具有機密性與完整性。用 NVM 方法設(shè)計的安全加密處理器產(chǎn)品可以直接安裝在硬件安全模塊 (Hardware Security Module, HSM)中使用。在傳統(tǒng)應(yīng)用中，HSM 往往被做成一塊插卡或者外部器件，使用時接入計算機服務(wù)器。這種 HSM 帶有一塊或多塊安全加密處理器，分別用以防止惡意篡改和對總線的窺探。

PUF設(shè)計技術(shù)于2002 年由 Gassend 等人首先報道，于 2010 年后開始受到重視，可能成為 “硅指紋(Silicon Finger Print)”并且可以用于智能卡；其特點是 PUF 將密鑰與認證相結(jié)合的系統(tǒng)協(xié)議（System Protocol）不可復(fù)制、新型加密協(xié)議與原有系統(tǒng)架構(gòu)融合等。?

市場上現(xiàn)有的加密芯片有傳統(tǒng)邏輯加密芯片和智能卡內(nèi)核加密芯片兩大類。傳統(tǒng)邏輯加密芯片以I2C 接口協(xié)議通信，內(nèi)部采用硬件保護電路，外接EEPROM，內(nèi)置加密算法。智能卡內(nèi)核加密芯片提供了I2C或 GPIO 的接口，通過內(nèi)部或者外部晶振工作。智能卡內(nèi)核加密芯片通常通過 MCU 進行編程，將主芯片的部分算法、代碼以及數(shù)據(jù)放入MCU 加密芯片去執(zhí)行，而且需要通過 5級以上的評估保證級 (EAL5)。

在應(yīng)用中，首先要選定安全有效的加密芯片，再采用安全、合理、有效的數(shù)據(jù)加密方案，才能真正做到對數(shù)據(jù)的有效保護。安全加密處理與集成電路設(shè)計在未來將帶來新的革新技術(shù)。例如，IBM 公司的班奈特 ( Charles Bennett) 等人于1989年，將密碼學(xué)與量子力學(xué)相結(jié)合產(chǎn)生了量子密碼學(xué)的量子密鑰分配(Quantum Key Distribution, QKD)，包括量子隱形傳態(tài)和兩個非正交量子態(tài)的方案。與安全人工傳輸網(wǎng)絡(luò)(Secure Human Courier Network）相比，這些方案具有自動化、高可靠性和低成本的優(yōu)點。

審核編輯：湯梓紅