專(zhuān)利名稱(chēng):嵌入式軟件的保護(hù)裝置的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種嵌入式軟件的保護(hù)裝置����,尤其是一種利用數(shù)字證書(shū)對(duì)嵌入式軟件進(jìn)行保護(hù)的保護(hù)裝置���。
背景技術(shù):
隨著科技的發(fā)展與技術(shù)的進(jìn)步,嵌入式系統(tǒng)在各行業(yè)的使用量越來(lái)越大�,與此同時(shí),嵌入式軟件的竄改與盜用也日益嚴(yán)重����,無(wú)法實(shí)現(xiàn)對(duì)嵌入式軟件的有效保護(hù),從而導(dǎo)致對(duì)軟件所有者的合法權(quán)益的損害���。因此,迫切需要對(duì)嵌入式軟件的有效保護(hù)��。目前現(xiàn)有的對(duì)嵌入式軟件的保護(hù)方式是在嵌入式系統(tǒng)中加入由專(zhuān)用芯片構(gòu)成的保護(hù)模塊�����,其中一種是采用第三代電可擦可編程只讀存儲(chǔ)器(Electrically Erasable Programmable Read-Only Memory����,簡(jiǎn)稱(chēng)EEPR0M)的存儲(chǔ)型芯片,但是利用由專(zhuān)用芯片構(gòu)成的保護(hù)模塊的方式��,在該芯片的端口進(jìn)行數(shù)據(jù)分析就容易被破解;另一種現(xiàn)有的嵌入式軟件保護(hù)方式是采用專(zhuān)用的芯片��,將密鑰保存到該芯片中��,以達(dá)到安全保護(hù)的目的���,但該種芯片只保存唯一密鑰�,通過(guò)偵測(cè)通信接口的方式也可以被破解�。所以現(xiàn)有的對(duì)嵌入式軟件保護(hù)方式的保護(hù)效果很差,安全性低����。
實(shí)用新型內(nèi)容本實(shí)用新型的目的是針對(duì)現(xiàn)有技術(shù)嵌入式軟件保護(hù)芯片只保存唯一的密鑰,容易被破解的缺陷���,提供一種嵌入式軟件的保護(hù)裝置�,以實(shí)現(xiàn)高效和安全的對(duì)嵌入式軟件的保護(hù)�。為了實(shí)現(xiàn)上述目的,本實(shí)用新型提供了一種嵌入式軟件的保護(hù)裝置包括用于根據(jù)算法生成數(shù)字證書(shū)和密鑰��,以及根據(jù)密鑰對(duì)數(shù)字證書(shū)進(jìn)行認(rèn)證的安全模塊��;用于對(duì)所述安全模塊進(jìn)行控制�����,并且調(diào)用所述數(shù)字證書(shū)和密鑰的處理模塊,與所述安全模塊相連接��;用于在所述處理模塊的控制下存儲(chǔ)所述密鑰的存儲(chǔ)模塊���,與所述處理模塊相連接�����。所述安全模塊包括用于在所述處理模塊的控制下生成密鑰的生成單元���,與所述處理模塊相連接,所述生成單元為硬件真隨機(jī)數(shù)發(fā)生器����;用于根據(jù)所述密鑰�����,將明文按照算法加密為數(shù)字證書(shū)����,并且根據(jù)所述密鑰對(duì)所述數(shù)字證書(shū)進(jìn)行認(rèn)證的加解密單元,與所述處理模塊和生成單元相連接,所述加解密單元包括算法單元RSA和數(shù)據(jù)流加密算法DES���。所述安全模塊還包括用于給所述加解密單元提供擾源電流的電流擾源單元����,與所述加解密單元相連接����。所述處理模塊包括[0014]用于發(fā)出控制信號(hào)的處理單元,與所述存儲(chǔ)模塊相連接�,所述處理單元為32位國(guó)產(chǎn)中央處理器;用于對(duì)所述存儲(chǔ)模塊進(jìn)行分區(qū)保護(hù)的存儲(chǔ)保護(hù)單元��,與所述處理單元和存儲(chǔ)模塊相連接�����,所述存儲(chǔ)保護(hù)單元為微處理器單元���。本實(shí)用新型的嵌入式軟件的保護(hù)裝置����,還包括用于與外部嵌入式軟件應(yīng)用系統(tǒng)接口的接口模塊����,與所述處理模塊相連接���,所述接口模塊為通用串行接口。本實(shí)用新型利用數(shù)字證書(shū)和認(rèn)證結(jié)構(gòu)����,通過(guò)生成單元產(chǎn)生真隨機(jī)數(shù),從而產(chǎn)生隨機(jī)的密鑰��,并在此基礎(chǔ)上不斷的更新數(shù)字證書(shū)����,并采用增強(qiáng)型的加密算法,將明文加密為密文�����,生成數(shù)字證書(shū)��,在欲運(yùn)行嵌入式軟件時(shí)����,根據(jù)密鑰���,將原明文再次加密為密文���,并與原密文即數(shù)字證書(shū)比對(duì)���,實(shí)現(xiàn)數(shù)字證書(shū)的認(rèn)證,提高了系統(tǒng)的安全性���。下面通過(guò)附圖和實(shí)施例�����,對(duì)本實(shí)用新型的技術(shù)方案做進(jìn)一步的詳細(xì)描述�。
圖1為本實(shí)用新型嵌入式軟件的保護(hù)裝置第一實(shí)施例的結(jié)構(gòu)示意圖�;圖2為本實(shí)用新型嵌入式軟件的保護(hù)裝置第二實(shí)施例的結(jié)構(gòu)示意圖;圖3為本實(shí)用新型嵌入式軟件的保護(hù)裝置的安全模塊的結(jié)構(gòu)示意圖����;圖4為本實(shí)用新型嵌入式軟件的保護(hù)裝置的處理模塊的結(jié)構(gòu)示意圖;圖5為本實(shí)用新型嵌入式軟件的保護(hù)裝置接口模塊與處理模塊的連接示意圖�����。附圖標(biāo)記1-安全模塊2-處理模塊3-存儲(chǔ)模塊4-接口模塊11-加解密單元12-生成單元13-電流擾源單元21-處理單元22-存儲(chǔ)保護(hù)單元
具體實(shí)施方式
實(shí)施例一圖1為本實(shí)用新型嵌入式軟件的保護(hù)裝置第一實(shí)施例的結(jié)構(gòu)示意圖����。如圖1所示�, 本實(shí)用新型包括安全模塊1���,用于根據(jù)算法生成數(shù)字證書(shū)和密鑰��,以及根據(jù)密鑰對(duì)數(shù)字證書(shū)進(jìn)行認(rèn)證����;處理模塊2����,用于對(duì)安全模塊1進(jìn)行控制,并且調(diào)用數(shù)字證書(shū)和密鑰���,與安全模塊1相連接��;存儲(chǔ)模塊3���,用于在處理模塊2的控制下存儲(chǔ)密鑰,與處理模塊2相連接�����。工作過(guò)程如下首先在嵌入式軟件第一次運(yùn)行前���,對(duì)該系統(tǒng)進(jìn)行初始化����,即產(chǎn)生初始密鑰�����,發(fā)數(shù)字證書(shū)�,實(shí)現(xiàn)方式為對(duì)一小段明文加密,此過(guò)程利用安全模塊1對(duì)明文加密�����, 并將密鑰保存在存儲(chǔ)模塊3的閃存內(nèi)�����,不允許任何一方以任何指令讀出���,將密文(數(shù)字證書(shū))保存在嵌入式軟件應(yīng)用系統(tǒng)內(nèi)��。第一次欲運(yùn)行嵌入式軟件��,首先對(duì)數(shù)字證書(shū)進(jìn)行認(rèn)證����, 即處理模塊2調(diào)用存儲(chǔ)在嵌入式軟件應(yīng)用系統(tǒng)內(nèi)的上述明文,根據(jù)初始密鑰��,由安全模塊1 將該明文加密為密文�����,此密文與上述保存在嵌入式軟件應(yīng)用系統(tǒng)內(nèi)的密文進(jìn)行比對(duì)��,如相符�,則認(rèn)證通過(guò),此時(shí)由安全模塊1產(chǎn)生新的密鑰�����,并頒發(fā)新的證書(shū)�����,并將該密鑰保存在存儲(chǔ)模塊3內(nèi)��,此時(shí),允許嵌入式軟件應(yīng)用系統(tǒng)正常運(yùn)行�,如果認(rèn)證不通過(guò),則不允許嵌入式軟件應(yīng)用系統(tǒng)的繼續(xù)運(yùn)行����。自此以后�,每一次欲運(yùn)行嵌入式軟件應(yīng)用系統(tǒng),都要重新認(rèn)證�, 重新產(chǎn)生密鑰,重新頒發(fā)證書(shū)后���,才能正常執(zhí)行程序���。本實(shí)用新型利用數(shù)字證書(shū)和認(rèn)證結(jié)構(gòu),通過(guò)不斷的更新密鑰和數(shù)字證書(shū)���,并采用加密算法��,將明文加密為密文�����,生成數(shù)字證書(shū)����,將明文再次加密為密文,并與原密文即數(shù)字證書(shū)比對(duì)�,實(shí)現(xiàn)數(shù)字證書(shū)的認(rèn)證,提高了系統(tǒng)的安全性�����。實(shí)施例二圖2為本實(shí)用新型嵌入式軟件的保護(hù)裝置第二實(shí)施例的結(jié)構(gòu)示意圖��,如圖2所示�����, 安全模塊1包括生成單元12�����,用于在處理模塊2的控制下生成密鑰�����,與處理模塊2相連接����; 加解密單元11��,用于根據(jù)密鑰�����,將明文按照算法加密為數(shù)字證書(shū)�����,并且根據(jù)密鑰對(duì)數(shù)字證書(shū)進(jìn)行認(rèn)證,與處理模塊2和生成單元12相連接�。工作過(guò)程如下首先在嵌入式軟件第一次運(yùn)行前,對(duì)該系統(tǒng)進(jìn)行初始化��,即產(chǎn)生初始密鑰�����,發(fā)數(shù)字證書(shū)��,實(shí)現(xiàn)方式為對(duì)一小段明文加密����,此過(guò)程利用安全模塊1對(duì)該明文加密,并將密鑰保存在存儲(chǔ)模塊3的閃存內(nèi)�����,不允許任何一方以任何指令讀出,將明文加密后生成的密文保存在嵌入式軟件應(yīng)用系統(tǒng)內(nèi)���。第一次欲運(yùn)行嵌入式軟件����,首先對(duì)數(shù)字證書(shū)進(jìn)行認(rèn)證����,即處理模塊2調(diào)用存儲(chǔ)在存儲(chǔ)模塊3內(nèi)的密鑰和存儲(chǔ)在嵌入式軟件應(yīng)用系統(tǒng)內(nèi)的上述明文,根據(jù)初始密鑰����,由安全模塊1內(nèi)的加解密單元11將明文加密為密文,此密文與原密文進(jìn)行比對(duì)����,如相符,則認(rèn)證通過(guò)�����,此時(shí)由處理模塊2發(fā)出控制信號(hào)使生成模塊產(chǎn)生隨機(jī)數(shù)�,從而隨機(jī)產(chǎn)生新密鑰���,生成單元12可以利用硬件真隨機(jī)數(shù)發(fā)生器(True Random Number Generator,簡(jiǎn)稱(chēng)TRNG)實(shí)現(xiàn)��,加解密單元11根據(jù)該新密鑰�,頒發(fā)新的證書(shū),并將新密鑰保存在安全模塊1的閃存內(nèi)��,不允許任何一方以任何指令讀出�����,密文(數(shù)字證書(shū))保存在嵌入式應(yīng)用系統(tǒng)內(nèi)��,此時(shí)���,允許嵌入式軟件應(yīng)用系統(tǒng)正常運(yùn)行,如果認(rèn)證不通過(guò)����,則不允許嵌入式系統(tǒng)的繼續(xù)運(yùn)行。自此以后�����,每一次欲運(yùn)行嵌入式軟件應(yīng)用系統(tǒng),都要重新認(rèn)證��,重新產(chǎn)生密鑰��,重新頒發(fā)證書(shū)后�,才能正常執(zhí)行程序。本實(shí)施例中的加解密單元11可以利用算法單元RSA(Ron Rivest,AdiShamir and Leonard Adleman)和數(shù)據(jù)流加密算法DES (Data EncryptionStandard)來(lái)實(shí)現(xiàn)�����,其硬件運(yùn)算速度為60Mbps@80MHz���,加入軟件的DES的運(yùn)算速度約為17MB/s���。本實(shí)用新型利用數(shù)字證書(shū)和認(rèn)證結(jié)構(gòu),通過(guò)生成單元12產(chǎn)生真隨機(jī)數(shù)���,從而產(chǎn)生隨機(jī)的密鑰�,并在此基礎(chǔ)上不斷的更新數(shù)字證書(shū)�,并采用加密算法,將明文加密為密文���,生成數(shù)字證書(shū)����,在驗(yàn)證身份時(shí)再次將明文加密為密文,并與原密文即數(shù)字證書(shū)比對(duì)�����,實(shí)現(xiàn)數(shù)字證書(shū)的認(rèn)證��,提高了系統(tǒng)的安全性���。圖3為本實(shí)用型嵌入式軟件的保護(hù)裝置安全模塊的結(jié)構(gòu)示意圖���,進(jìn)一步如圖3所示,在實(shí)施例1和2的安全模塊1增加了用于給加解密單元11提供擾源電流的電流擾源單元13�,即該安全模塊1包括加解密單元11、生成單元12及電流擾源單元13���。電流擾源單元 13由內(nèi)部集成,可給安全模塊1加入額外的電能��,在安全模塊1進(jìn)行運(yùn)算時(shí)���,防止非法的簡(jiǎn)易功率分析和微分功率分析的能量分析攻擊����,有效的防止了黑客的檢測(cè),提高了系統(tǒng)的安全性�。圖4為本實(shí)用型嵌入式軟件的保護(hù)裝置的處理模塊的結(jié)構(gòu)示意圖,如圖4所示����,在實(shí)施例1和2的處理模塊2包括處理單元21,用于發(fā)出控制信號(hào)�����,與存儲(chǔ)模塊相連接�;存儲(chǔ)保護(hù)單元22,用于對(duì)存儲(chǔ)模塊進(jìn)行分區(qū)保護(hù)��,與處理單元21和存儲(chǔ)模塊相連接�����。處理單元21可以利用信息安全專(zhuān)用的32位國(guó)產(chǎn)中央處理器(CentralftOcessing Unit����,簡(jiǎn)稱(chēng)CPU)來(lái)實(shí)現(xiàn),存儲(chǔ)保護(hù)單元22可以利用微處理器單元(Micro Processor Unit, 簡(jiǎn)稱(chēng)MPU)來(lái)實(shí)現(xiàn),存儲(chǔ)保護(hù)單元22可以按照需求任意分配存儲(chǔ)空間�,并能夠?qū)λ峙涞?br>
5存儲(chǔ)空間進(jìn)行密和不加密的設(shè)置,可以對(duì)保存在存儲(chǔ)模塊中的程序進(jìn)行加密保護(hù)��,即使采用非法手段讀取到數(shù)據(jù)也是密文����,保證了數(shù)據(jù)的安全性。圖5為本實(shí)用新型嵌入式軟件的保護(hù)裝置接口模塊與處理模塊的連接示意圖����,進(jìn)一步如圖5所示,本實(shí)用新型的嵌入式軟件的保護(hù)裝置還包括接口模塊4��,用于與外部嵌入式軟件應(yīng)用系統(tǒng)接口�����,與處理模塊2相連接�����。該接口模塊4可以利用外部具有通用串行總線(xiàn)(Universal Serial Bus 2.0���,簡(jiǎn)稱(chēng) USB2. 0)全速接口,IS07816 接口以及 LPC(Low Point Counter)接口來(lái)實(shí)現(xiàn)����。本實(shí)施例中���,在硬件方面采用通用串行接口,例如串行外圍設(shè)備接口 Gerial Peripheral Interface�,簡(jiǎn)稱(chēng) SPI)、兩線(xiàn)式串行總線(xiàn)(Inter-IntegratedCircuit�����,簡(jiǎn)稱(chēng) I2C) 或其他的通用的接口將嵌入式軟件應(yīng)用系統(tǒng)與嵌入式軟件的保護(hù)裝置連接�,交換很少的數(shù)據(jù)即可,在速度上沒(méi)有要求�����,實(shí)現(xiàn)方便快捷�����,安全性高���。另外����,為了保證安全,本實(shí)用新型嵌入式軟件的保護(hù)裝置可以采用定制的方式封裝��,將引腳降到最低����,防止從其它引腳分析數(shù)據(jù),使系統(tǒng)更加安全���。最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本實(shí)用新型的技術(shù)方案����,而非對(duì)其限制����; 盡管參照前述實(shí)施例對(duì)本實(shí)用新型進(jìn)行了詳細(xì)的說(shuō)明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解: 其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改����,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本實(shí)用新型各實(shí)施例技術(shù)方案的精神和范圍�����。
權(quán)利要求1.一種嵌入式軟件的保護(hù)裝置����,其特征在于包括用于根據(jù)算法生成數(shù)字證書(shū)和密鑰,以及根據(jù)密鑰對(duì)數(shù)字證書(shū)進(jìn)行認(rèn)證的安全模塊�����, 包括用于在處理模塊的控制下生成密鑰的生成單元���,與所述處理模塊相連接���,所述生成單元為硬件真隨機(jī)數(shù)發(fā)生器;用于根據(jù)所述密鑰����,將明文按照算法加密為數(shù)字證書(shū),并且根據(jù)所述密鑰對(duì)所述數(shù)字證書(shū)進(jìn)行認(rèn)證的加解密單元�����,與所述處理模塊和生成單元相連接,所述加解密單元包括算法單元RSA和數(shù)據(jù)流加密算法DES ��;用于對(duì)所述安全模塊進(jìn)行控制�,并且調(diào)用所述數(shù)字證書(shū)和密鑰的處理模塊,與所述安全模塊相連接����;用于在所述處理模塊的控制下存儲(chǔ)所述密鑰的存儲(chǔ)模塊,與所述處理模塊相連接����; 用于與外部嵌入式軟件應(yīng)用系統(tǒng)接口的接口模塊,與所述處理模塊相連接����,所述接口模塊為通用串行接口。
2.根據(jù)權(quán)利要求1所述的嵌入式軟件的保護(hù)裝置��,其特征在于所述安全模塊還包括用于給所述加解密單元提供擾源電流的電流擾源單元�,與所述加解密單元相連接。
3.根據(jù)權(quán)利要求1所述的嵌入式軟件的保護(hù)裝置�����,其特征在于所述處理模塊包括 用于發(fā)出控制信號(hào)的處理單元�,與所述存儲(chǔ)模塊相連接�����,所述處理單元為32位國(guó)產(chǎn)中央處理器����;用于對(duì)所述存儲(chǔ)模塊進(jìn)行分區(qū)保護(hù)的存儲(chǔ)保護(hù)單元�,與所述處理單元和存儲(chǔ)模塊相連接���,所述存儲(chǔ)保護(hù)單元為微處理器單元���。
專(zhuān)利摘要本實(shí)用新型涉及一種嵌入式軟件的保護(hù)裝置,包括用于根據(jù)算法生成數(shù)字證書(shū)和密鑰�,以及根據(jù)密鑰對(duì)數(shù)字證書(shū)進(jìn)行認(rèn)證的安全模塊;用于對(duì)所述安全模塊進(jìn)行控制����,并且調(diào)用所述數(shù)字證書(shū)和密鑰的處理模塊,與所述安全模塊相連接����;用于在所述處理模塊的控制下存儲(chǔ)所述密鑰的存儲(chǔ)模塊,與所述處理模塊相連接�。本實(shí)用新型利用數(shù)字證書(shū)和認(rèn)證結(jié)構(gòu)�,通過(guò)生成單元產(chǎn)生真隨機(jī)數(shù)����,從而產(chǎn)生隨機(jī)的密鑰,并在此基礎(chǔ)上不斷的更新數(shù)字證書(shū)��,并采用增強(qiáng)型的加密算法��,將明文加密為密文�����,生成數(shù)字證書(shū)����,并根據(jù)密鑰將原明文加密為密文,并與原密文即數(shù)字證書(shū)比對(duì)���,實(shí)現(xiàn)數(shù)字證書(shū)的認(rèn)證���,提高了系統(tǒng)的安全性。
文檔編號(hào)G06F21/22GK202067280SQ20102050572
公開(kāi)日2011年12月7日 申請(qǐng)日期2010年8月25日 優(yōu)先權(quán)日2010年8月25日
發(fā)明者劉曼 申請(qǐng)人:深圳中澤明芯科技有限公司