专用SOC安全控制架构的研究与设计

2 芯片工作流程分析
专用SoC芯片在其整个生命周期中，总处于某种特定的安全状态。基于芯片运行时的安全策略，结合状态位与控制参数设置，专用SoC芯片的状态转移流程如图1所示。


在上图中，S．n表示STATE的第n位，S’．n表示STATE’的第n位(位于LEVEL1中)，0．n表示0TP的第n位。高电平表示对应条件成立，低电平表示对应条件不成立。
2．1 状态转移约束条件
专用SoC芯片按照其工作流程共有16种不同的状态转移路径，限于篇幅在此只介绍其中的一种状态转移路径。为简化书写记A=TDESENC(KEY_TDES，DATA_T)，B=RSAENC(PUB EK，DATA R)。
当专用SoC芯片从ST3状态通过ST6状态转移到ST9状态时，应满足如下约束条件：


在正常启动时，芯片系统由ST3经过上电白检，完成对1层代码与数据、2层代码与数据的完整性验证。置位STATE．6，通过层次跳转命令，进入ST6，进而在ST6下，通过判断STATE’．6是否有效，决定可否进入ST9。在ST6下，也可通过功能调用命令进入ST9，执行部分2层代
码的功能，并在执行完成后，正确返回到ST6。
2．2 专用SoC芯片的工作流程
①在开发商初次获得芯片后，系统处于初始状态ST1。加电后，系统首先对自身O层代码和数据区进行完整性检验，调用各功能模块IP核进行自检，若白检正确，则芯片可继续完成传输过程安全认证命令的接收与执行，否则置位OTP．4，芯片系统进入锁死状态，不提供任何功
能服务。