專利名稱:基于mmc/sdio接口的信息安全設(shè)備及其通信方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種信息安全設(shè)備和通信方法的設(shè)計�����,特別是一種基于MMC/SDIO接口的信息安全設(shè)備及其通信方法。
背景技術(shù):
在信息科技日益發(fā)達的今天���,數(shù)據(jù)信息的安全性和保密性日益受到人們的重視�。其中�,軟件的版權(quán)保護產(chǎn)品作為一種信息安全設(shè)備在軟件版權(quán)保護領(lǐng)域發(fā)揮著重要的作用,它保護軟件開發(fā)商的利益�����、增加收益�����,保護合法用戶的利益�,還可以控制軟件分銷。同時���,隨著互聯(lián)網(wǎng)的發(fā)展��,越來越多涉及個人隱私和商業(yè)秘密的信息需要通過網(wǎng)絡(luò)傳遞����,信息安全的重要性也越來越為人們所認(rèn)知��。信息安全產(chǎn)品用作網(wǎng)絡(luò)身份認(rèn)證���、數(shù)據(jù)安全存儲����、訪問����、控制、傳輸����、數(shù)據(jù)加解密等方面,在電子商務(wù)�、電子政務(wù)、網(wǎng)上銀行等領(lǐng)域有非常廣闊的使用前景����。
同時,MMC(MultiMediaCard)接口和SD(Secure Digital I/O)是兩種接口標(biāo)準(zhǔn)����,由于外形小巧,便于攜帶的應(yīng)用優(yōu)勢�,使得MMC/SD接口被廣泛應(yīng)用��。
MMC接口主要出現(xiàn)在數(shù)碼影像��、音樂�、手機�����、PDA��、電子書����、玩具等產(chǎn)品中,應(yīng)用比較廣泛�����。MMC接口設(shè)備可以做到低功耗��,高數(shù)據(jù)吞吐��,支持熱插拔�,有良好的兼容性和可靠性。SD卡在數(shù)字家電、手機等行業(yè)得到廣泛應(yīng)用���,SD接口技術(shù)越來越廣泛的進入人們的生活����。SDIO協(xié)議是基于SD接口的����,也可稱支持SDIO的SD接口為SDIO接口���,以下全部稱為SDIO接口��。SDIO設(shè)備象USB設(shè)備一樣支持即插即用�,通信速度高�����,全速設(shè)備可以達到100Mb/second���。耗電小�,適合于各種移動設(shè)備�。對比MMC/SDIO與CF等早先出現(xiàn)的接口,MMC/SDIO比其他的早期接口更加省電,更加小型化�����,也就更加成為應(yīng)用的一個趨勢����。
但目前,尚沒有一種利用MMC/SDIO接口實現(xiàn)信息安全保護的設(shè)備和方法��,從而實現(xiàn)軟件保護和身份認(rèn)證識別等功能���。
發(fā)明內(nèi)容
本發(fā)明利用MMC/SDIO接口的諸多優(yōu)點�,提供一種結(jié)構(gòu)簡單��,使用方便的基于MMC/SDIO接口的信息安全設(shè)備以及通過此設(shè)備進行數(shù)據(jù)傳輸?shù)姆椒ā?br>
本發(fā)明解決其技術(shù)問題所采取的技術(shù)方案是一種基于MMC/SDIO接口的信息安全設(shè)備�����,包括CPU用于運行固件程序和用戶程序����,MMC/SDIO接口用于設(shè)備與主機進行通訊,存儲器用于存儲設(shè)備固件程序和用戶數(shù)據(jù)以及狀態(tài)信息����,所述CPU分別與所述MMC/SDIO接口芯片和存儲器相連����。
還可包括一個集成MCU芯片�,所述集成MCU芯片集成了包括所述CPU、MMC/SDIO接口芯片和存儲器����。
還可包括一個集成MCU芯片����,所述集成MCU芯片包括集成的所述CPU和存儲器。
所述CPU可為單片機���。
所述存儲器可包括RAM���、ROM、EPROM�、EEPROM、FLASH���。
所述MCU芯片可為安全設(shè)計的芯片��,包括智能卡芯片�。
一種使用上述設(shè)備的數(shù)據(jù)通信方法,數(shù)據(jù)傳輸過程包括如下步驟1)主機識別到設(shè)備�����,并對設(shè)備進行初始化�����;2)主機向設(shè)備發(fā)送命令��;3)設(shè)備對命令的解析和處理��;4)設(shè)備向主機返回結(jié)果�����。
主機向設(shè)備發(fā)送命令過程中���,主機可將指令發(fā)送給設(shè)備CPU中的驅(qū)動程序���,驅(qū)動程序?qū)⒅噶钔ㄟ^MMC/SDIO接口按照接口協(xié)議的要求將數(shù)據(jù)發(fā)送給設(shè)備。
所述步驟3)中所述設(shè)備對命令的解析和處理�,可包括如下過程A.設(shè)備接收來自MMC/SDIO接口的數(shù)據(jù)����;B.設(shè)備根據(jù)接收的數(shù)據(jù)執(zhí)行相應(yīng)操作����。
所述步驟B)中,在執(zhí)行相關(guān)指令的過程中�����,所述操作可包括數(shù)據(jù)的安全存儲�、訪問控制、數(shù)據(jù)的處理過程��。
所述數(shù)據(jù)處理過程中���,對于數(shù)據(jù)的運算處理可包括自定義處理過程和標(biāo)準(zhǔn)的處理過程,標(biāo)準(zhǔn)處理過程可包括RSA�、DES、3DES���、MD5���、SHA-1���、SSF33、AES�、橢圓曲線算法。
本發(fā)明通過采用包括MMC/SDIO接口芯片��、CPU和存儲器的設(shè)備��,與帶有MMC/SDIO接口的主機進行連接和通信�,并通過CPU進行數(shù)據(jù)處理,使基于MMC/SDIO接口的信息安全和軟件版權(quán)保護成為可能���,同時具備小巧便攜��、高速�、低功耗�����、可熱插拔��、即插即用的優(yōu)點��。
圖1為本發(fā)明中實施例1的流程2為本發(fā)明中實施例2的流程3為實施例2的硬件框4為實施例3的硬件框5為實施例1的硬件框圖具體實施方式
本發(fā)明的第一種優(yōu)選實施例����,提供了一種軟件保護設(shè)備及其通信方法�。
如圖5所示�����,所述軟件保護設(shè)備502包括順次連接的MMC/SDIO接口芯片503��、CPU 505和擴展存儲器504���,所述擴展存儲器可以選用任意的RAM�����、ROM��、EPROM、FLASH等���,用于存儲相應(yīng)的加密算法����。所述存儲器應(yīng)該有足夠的存儲空間����,用于存儲預(yù)置的加密算法�����,或者可以由用戶選擇或下載算法��,如果需要存儲部分用戶代碼的話需要有足夠大的存儲空間�,可以是片內(nèi)FLASH等�����。
固件程序部分包括對設(shè)備的識別部分���、設(shè)備等待并接收來自主機的數(shù)據(jù)�����、設(shè)備解析并處理數(shù)據(jù)�����、設(shè)備返回給主機數(shù)據(jù)并等待下一條指令�����、以及設(shè)備同主機斷開連接部分��。設(shè)備被帶有MMC/SDIO接口的主機識別��,通過內(nèi)置于MCU內(nèi)部的寄存器的信息��,建立主機和設(shè)備的連接����,并申明為確定的MMC/SDIO的通信類型以用來進行后續(xù)的通信,通信部分完全遵守MMC/SDIO的通信協(xié)議��。
上述程序中�,設(shè)備和主機的通信部分為核心部分,下面結(jié)合圖1對設(shè)備和主機的通信過程做詳細(xì)的說明��。
首先����,經(jīng)過步驟101主機對設(shè)備完成了初始,再由步驟102主機對設(shè)備的產(chǎn)品廠商標(biāo)識進行驗證��,如果正確���,設(shè)備執(zhí)行步驟103���,否則轉(zhuǎn)到110將設(shè)備斷開和主機的連接。步驟103中進行驗證用戶口令����,若正確,設(shè)備等待來自應(yīng)用的命令以執(zhí)行步驟104�,否則也轉(zhuǎn)到步驟110,設(shè)備執(zhí)行步驟104接收到命令之后��,解析命令并根據(jù)不同的應(yīng)用要求進行步驟105進行數(shù)據(jù)加解密��,或者步驟106用預(yù)置代碼運算數(shù)據(jù)的操作��。數(shù)據(jù)處理結(jié)束之后將數(shù)據(jù)返回進入步驟107��,等待來自應(yīng)用的命令��,如果應(yīng)用不再有響應(yīng)�,則進入步驟110,斷開和主機的連接�,否則,如果還有新的命令���,則轉(zhuǎn)到步驟108����,經(jīng)判斷如果通信結(jié)束,則執(zhí)行步驟109使設(shè)備斷開與主機的連接�,否則轉(zhuǎn)到步驟104繼續(xù)等待接受命令。
以下對利用預(yù)置代碼運算數(shù)據(jù)即實現(xiàn)步驟106的功能進行進一步描述��。
設(shè)備作為提供軟件加密的裝置���?�?梢杂糜诒4嬗脩糗浖牟糠制瑪?�,保證這部分片斷的安全��,而不被讀出����,并使之在設(shè)備內(nèi)部運行并與外部軟件交互����,依次來控制軟件保證其合法運行。該設(shè)備與外部程序交互頻繁�����,計算速度和通信速度是重要的速度性能指標(biāo)���。
根據(jù)該實施例的功能�,可實現(xiàn)如下的軟件保護功能1.獲得設(shè)備信息����,這個信息指本裝置的信息。這些信息存儲在內(nèi)部存儲器內(nèi)�,提供給用戶記憶和識別自己的設(shè)備的功能。如步驟102�����。
2.格式化�,用戶可以對本裝置進行格式化,經(jīng)過格式化后使所有的設(shè)置和數(shù)據(jù)恢復(fù)到出廠狀態(tài)�。
3.寫文件,這類文件包括用戶的代碼片斷����,或者該片斷運行時所需要的數(shù)據(jù)。
4.讀文件�����,這類文件可以是代碼片斷運行時的數(shù)據(jù)文件但不是該代碼片斷本身。
5.運行文件����,這類文件就是指用戶寫入的代碼片斷,讓這些代碼片斷在本設(shè)備內(nèi)運行并保證其運行的一切數(shù)據(jù)和內(nèi)存信息保留在設(shè)備以內(nèi)而只返回結(jié)果����。
6.加解密,提供給用戶在硬件內(nèi)部進行對用戶數(shù)據(jù)RSA���、DES��、3DES等加解密�����,并將加解密結(jié)果返回給用戶����。
預(yù)置代碼中還包括軟件保護應(yīng)用接口函數(shù)�����,所述軟件保護應(yīng)用接口函數(shù)是軟件保護設(shè)備和第3方應(yīng)用之間的接口級,這個應(yīng)用接口函數(shù)主要由開發(fā)商使用��,主要提供如下功能1.打開設(shè)備打開該設(shè)備的句柄�����,建立與該設(shè)備的通訊通道�����。
2.關(guān)閉設(shè)備在設(shè)備準(zhǔn)備不再使用的時候��,將該設(shè)備的句柄和設(shè)備狀態(tài)信息清除�。
3.發(fā)送命令這個是本軟件保護產(chǎn)品的核心部分��,實現(xiàn)對本裝置的所有設(shè)置工作����,即所有軟件保護功能的實現(xiàn)。
軟件保護設(shè)備的主要作用是保護程序部分不會出現(xiàn)在主機的內(nèi)存中��,這樣帶來的好處是1.防止程序的非法拷貝�,主機上的程序離開軟件保護鍵就是不完整的,軟件的分發(fā)必須有軟件保護鍵的存在��。
2.防止程序被非法跟蹤或調(diào)試,軟件的重要部分的代碼不會運行在主機中��,所有的調(diào)試軟件都無法得到該段程序的運行狀態(tài)�����。
3.防止被轉(zhuǎn)儲�����,軟件最易被破解的情況是其在運行的時候����,傳統(tǒng)的加殼保護的軟件,經(jīng)常被內(nèi)存轉(zhuǎn)儲的情況下將代碼還原回來��。
4.防止反編譯�,無論反編譯的技術(shù)有多高,都無法得到該實施例裝置內(nèi)部的代碼片斷�����,因此無法實現(xiàn)其軟件本身的完整功能����。
本發(fā)明的第二種優(yōu)選實施例�����,提供了一種用戶身份識別設(shè)備及其通信方法�����。它主要負(fù)責(zé)保存用戶敏感數(shù)據(jù)�����,如密碼、數(shù)字證書等�。
身份識別設(shè)備的硬件部分如圖3中所示,圖中301為主機��,302為身份識別設(shè)備���,303為設(shè)置在所述身份識別設(shè)備中的MCU����,所述MCU內(nèi)部集成了CPU���、MMC/SDIO接口芯片和RAM存儲器�,所述RAM中內(nèi)置有算法。所述MCU中應(yīng)該有足夠的片內(nèi)RAM空間��,用于預(yù)置算法���,包括RSA�、DES�����、3DES�、MD5算法等,或者可以由用戶選擇或下載算法���,如果需要存儲部分用戶代碼的話需要有夠大的存儲空間���,可以是片內(nèi)FLASH等??梢赃x用Intel xscale系列的芯片來實現(xiàn),也可以使用STR710系列和STR720系列���。
身份識別設(shè)備的固件程序部分可以結(jié)合智能卡技術(shù)和現(xiàn)代密碼學(xué)技術(shù)�,可以支持第三方算法下載,支持多級文件管理和訪問����。
如流程圖2所示??傮w功能為圖2中步驟201為主機對身份識別設(shè)備完成了初始化,步驟202中由身份識別設(shè)備獲得用戶輸入的口令A(yù)���,步驟203中身份識別設(shè)備從密碼存儲區(qū)中讀出口令并經(jīng)過特定的處理得到B��,步驟204中將A和B進行比較�,不同則身份認(rèn)證失敗���,轉(zhuǎn)到步驟211����,身份識別設(shè)備斷開同主機的連接��,相同則由身份識別設(shè)備分配一定的權(quán)限給用戶���,所述該權(quán)限同用戶的密碼等級相關(guān)聯(lián),用戶可以進行授權(quán)身份允許范圍內(nèi)的應(yīng)用端操作��,即身份識別設(shè)備接收來自應(yīng)用的命令如步驟205����,對命令進行解析處理如步驟206數(shù)據(jù)加密處理和步驟207用預(yù)置代碼運算數(shù)據(jù)�,然后返回給應(yīng)用���,然后執(zhí)行步驟208繼續(xù)等待來自應(yīng)用的命令����。在應(yīng)用沒有合法響應(yīng)的情況下轉(zhuǎn)到步驟211斷開設(shè)備與主機的連接�,否則接收應(yīng)用層的命令,如果通過步驟208判斷指示通信結(jié)束���,則到步驟210斷開連接正常結(jié)束本次通信過程����,否則轉(zhuǎn)到步驟205繼續(xù)執(zhí)行���。步驟202�����、步驟203����、步驟204三個模塊也可以直接從身份識別設(shè)備中讀取密碼,由主機端判定密碼是否正確�����。
本實施例可實現(xiàn)如下功能包括1.控制訪問網(wǎng)絡(luò)通過身份識別設(shè)備中含有的ID信息和用戶驗證信息�,用于登陸網(wǎng)絡(luò)。
2.用于驗證和鑒別文件的發(fā)送者身份的數(shù)字簽名或證明��,并防止被中途篡改��。
3.儲密碼信息�����,儲存用戶密碼信息�,防止用戶手動輸入密碼時帶來的風(fēng)險。
4.遠程登陸�,銀行的網(wǎng)站可以利用簽名信息來識別用戶得合法性�����。
5.控制文件的訪問��,可以在一些文件中加入訪問控制信息,可以防止在身份識別設(shè)備的情況下非法訪問或運行�����。
6.控制登陸到特定的應(yīng)用系統(tǒng)���,開發(fā)商可以將此功能用于自己的產(chǎn)品�,該產(chǎn)品可以利用本實施例裝置來進行登陸��。
上述3中所述是指身份識別設(shè)備中包含的密碼信息發(fā)送給主機用來識別持鎖人信息�����。
所述預(yù)置代碼中還包括身份識別設(shè)備應(yīng)用接口函數(shù)���,身份識別設(shè)備應(yīng)用接口函數(shù)是身份識別設(shè)備和第3方應(yīng)用之間的接口級���,這個應(yīng)用接口函數(shù)主要由開發(fā)商使用,所述應(yīng)用接口函數(shù)主要提供如下功能1.打開設(shè)備 打開該設(shè)備的句柄��,建立與該設(shè)備的通訊通道���。
2.關(guān)閉設(shè)備 在設(shè)備準(zhǔn)備不再使用的時候�,將該設(shè)備的句柄和設(shè)備狀態(tài)信息清除。
3.發(fā)送命令 這個是身份識別設(shè)備的核心部分�����,實現(xiàn)對本裝置的所有設(shè)置工作����,即所有本身份識別設(shè)備的智能卡功能的實現(xiàn)。
數(shù)字身份識別設(shè)備的主要作用是保護重要得到敏感數(shù)據(jù)永遠都不會被讀出鍵裝置之外如主機的內(nèi)存中�,這樣所帶來的好處是1.用戶可以不必記憶冗長的密碼,安全的密碼一定有字母和數(shù)字組成足夠復(fù)雜的字符串�����,而且是時常更新的���,用身份識別設(shè)備來存儲密碼信息可以免去用戶的麻煩���。
2.提供雙因子認(rèn)證的保險措施,即使用戶的密碼或數(shù)字身份識別設(shè)備的一方丟失�,都不會給用戶帶來風(fēng)險。
3.密匙不可導(dǎo)出�����,保證了用戶密鑰的安全�����。
4.算法內(nèi)置���。
本發(fā)明的第三種實施例��,提供另一種身份識別設(shè)備��,如圖4中所示�����,所述身份識別設(shè)備402中設(shè)置有MMC/SDIO接口芯片403�����,和與之相連的集成了CPU和存儲器的MCU404�,由所MMC/SDIO接口芯片與主機401相連�����,主要用于完成對MMC/SDIO接口協(xié)議的翻譯�,使得MCU部分404的實現(xiàn)可以更簡單�����,接口芯片403可以選擇ARASAN的AC21C00 SDIO Controller再配以普通MCU來實現(xiàn)����。
本實施例中的主機與設(shè)備的通信與實施例2完全相同���,并實現(xiàn)與以上對本發(fā)明所提供的一種實現(xiàn)軟件版權(quán)保護和信息安全的基于MMC/SDIO接口的數(shù)據(jù)通信方法進行了詳細(xì)介紹�����。本文中應(yīng)用了具體個例對本發(fā)明的原理及實施方式進行了闡述�。以上實施例的說明只是用于幫助理解本發(fā)明的方法及其實現(xiàn)思想��;同時���,對于本領(lǐng)域的一般技術(shù)人員��,依據(jù)本發(fā)明的思想�����,在具體實施方式
及應(yīng)用范圍上均會有改變之處��。綜上所述���,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
權(quán)利要求
1.一種基于MMC/SDIO接口的信息安全設(shè)備����,其特征在于包括CPU用于運行固件程序和用戶程序,MMC/SDIO接口芯片用于設(shè)備與主機進行通訊�����,存儲器用于存儲設(shè)備固件程序和用戶數(shù)據(jù)以及狀態(tài)信息�,所述CPU分別與所述MMC/SDIO接口芯片和存儲器相連。
2.根據(jù)權(quán)利要求1所述的基于MMC/SDIO接口的信息安全設(shè)備����,其特征在于包括一個集成MCU芯片,所述集成MCU芯片集成了包括所述CPU��、MMC/SDIO接口芯片和存儲器�。
3.根據(jù)權(quán)利要求1所述的基于MMC/SDIO接口的信息安全設(shè)備,其特征在于包括一個集成MCU芯片�,所述集成MCU芯片包括集成的所述CPU和存儲器。
4.根據(jù)權(quán)利要求2或3所述的基于MMC/SDIO接口的信息安全設(shè)備���,其特征在于所述MCU芯片為安全設(shè)計的芯片��,包括智能卡芯片����。
5.根據(jù)權(quán)利要求1或2或3所述的基于MMC/SDIO接口的信息安全設(shè)備,其特征在于所述CPU為單片機�����,所述存儲器包括RAM�����、ROM��、EPROM��、EEPROM��、FLASH��。
6.一種采用基于MMC/SDIO接口的信息安全設(shè)備進行數(shù)據(jù)通信的方法�,其特征在于數(shù)據(jù)傳輸過程包括如下步驟1)主機識別到設(shè)備,并對設(shè)備進行初始化;2)主機向設(shè)備發(fā)送命令���;3)設(shè)備對命令的解析和處理���;4)設(shè)備向主機返回結(jié)果。
7.根據(jù)權(quán)利要求6所述的數(shù)據(jù)通信的方法�����,其特征在于主機將指令通過MMC/SDIO接口按照接口協(xié)議的要求將數(shù)據(jù)發(fā)送給設(shè)備���。
8.根據(jù)權(quán)利要求6或7所述的數(shù)據(jù)通信的方法,其特征在于所述步驟3)中所述設(shè)備對命令的解析和處理�����,包括如下過程A)設(shè)備接收來自MMC/SDIO接口的數(shù)據(jù)���;B)設(shè)備根據(jù)接收的數(shù)據(jù)執(zhí)行相應(yīng)操作����。
9.根據(jù)權(quán)利要求8所述的數(shù)據(jù)通信的方法����,其特征在于所述步驟B)中����,在執(zhí)行相應(yīng)操作的過程中���,所述操作包括數(shù)據(jù)的安全存儲�����、訪問控制�、數(shù)據(jù)的處理過程���。
10.根據(jù)權(quán)利要求9所述的數(shù)據(jù)通信的方法����,其特征在于所述數(shù)據(jù)處理過程中�,對于數(shù)據(jù)的運算處理包括自定義處理過程和標(biāo)準(zhǔn)的處理過程,標(biāo)準(zhǔn)處理過程包括RSA�、DES、3DES����、MD5、SHA-1、SSF33����、AES、橢圓曲線算法�����。
全文摘要
本發(fā)明涉及一種信息安全設(shè)備和通信方法的設(shè)計�����,特別是一種基于MMC/SDIO接口的信息安全設(shè)備及其通信方法���。本發(fā)明通過采用包括MMC/SDIO接口芯片、CPU和存儲器的設(shè)備����,與帶有MMC/SDIO接口的主機進行連接和通信,并通過CPU進行數(shù)據(jù)處理�����,使基于MMC/SDIO接口的信息安全和軟件版權(quán)保護成為可能�,同時具備小巧便攜、低功耗、可熱插拔����、即插即用的優(yōu)點。
文檔編號G06F1/00GK1696865SQ20051008268
公開日2005年11月16日 申請日期2005年7月8日 優(yōu)先權(quán)日2005年7月8日
發(fā)明者陸舟, 于華章 申請人:北京飛天誠信科技有限公司