專(zhuān)利名稱(chēng)：基于SD Memory/SDIO接口的信息安全設(shè)備及數(shù)據(jù)通信方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種高速低功耗信息安全加密存儲(chǔ)設(shè)備和通信方法，特別是涉及一種基于SD Memory/SDIO接口且適用于信息安全領(lǐng)域的信息安全設(shè)備及其通信方法。
背景技術(shù)：
目前，使用SD加密卡作為客戶(hù)端認(rèn)證設(shè)備已經(jīng)非常常見(jiàn)，而使用SD加密卡類(lèi)產(chǎn)品進(jìn)行 數(shù)據(jù)加、解密通信則是新近出現(xiàn)的技術(shù)趨勢(shì)。與以往使用加密機(jī)、加密卡進(jìn)行數(shù)據(jù)加、解密 通信的技術(shù)解決方案不同的是，使用SD加密卡類(lèi)產(chǎn)品進(jìn)行數(shù)據(jù)加、解密通信走的是一條制 造、部署成本低，且使用靈活性高的技術(shù)路線(xiàn)。由于國(guó)內(nèi)現(xiàn)狀是數(shù)據(jù)通信業(yè)務(wù)量不大，對(duì) 加、解密速度不敏感，但對(duì)部署成本敏感。對(duì)于該種現(xiàn)狀，在國(guó)內(nèi)通信網(wǎng)絡(luò)內(nèi)使用SD加密 卡類(lèi)產(chǎn)品在進(jìn)行身份認(rèn)證的同時(shí)，進(jìn)行數(shù)據(jù)加、解密通信無(wú)疑是一條捷徑。
時(shí)下，縱觀所有的SD加密卡類(lèi)產(chǎn)品我們可以做如下一個(gè)分類(lèi)
國(guó)外現(xiàn)有同類(lèi)加密產(chǎn)品，相對(duì)來(lái)說(shuō)性能較高，對(duì)各種標(biāo)準(zhǔn)加密算法和相關(guān)協(xié)議的支持也 比較好，存儲(chǔ)容量較大，但是在接口方面， 一般也只是提供7816和USB接口，并不支持逐 漸成為移動(dòng)手持設(shè)備主流的高通信數(shù)率SDIO接口。
國(guó)內(nèi)現(xiàn)有的智能芯片產(chǎn)品，其大部分是采用性能較差的8位微處理器，存儲(chǔ)容量較小， 一般僅支持7816接口和USB1.1接口，通信速率較低，而且由于工藝水平和設(shè)計(jì)方面的因素， 其加解密速度比較慢， 一般只用于作公私密鑰對(duì)生成、數(shù)字簽名、證書(shū)及私鑰存儲(chǔ)等用途， 并且其數(shù)據(jù)加密一般是采用軟件在PC上完成。至今為止，國(guó)內(nèi)還沒(méi)有出現(xiàn)支持SDIO接口的 安全I(xiàn)C芯片，更加不具備SDIO與SD Memory Combo概念。
隨著電子政務(wù)、電子商務(wù)、電子娛樂(lè)的蓬勃發(fā)展，廣泛利用計(jì)算機(jī)和互聯(lián)網(wǎng)進(jìn)行政治、 經(jīng)濟(jì)、娛樂(lè)生活己經(jīng)成為必然趨勢(shì)；以及隨著移動(dòng)手持計(jì)算終端設(shè)備的性能、功能日益強(qiáng)大， 隨著3G網(wǎng)絡(luò)的來(lái)臨，移動(dòng)電子政務(wù)、移動(dòng)電子商務(wù)、移動(dòng)電子娛樂(lè)的逐漸興起，正在越來(lái) 越深入地影響和改變?nèi)藗兊墓ぷ髋c生活。而電子政務(wù)、商務(wù)、娛樂(lè)與移動(dòng)電子政務(wù)、商務(wù)、 娛樂(lè)的瓶頸在于
1) 移動(dòng)手持計(jì)算終端的本地安全和即插即用問(wèn)題；移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)傳輸?shù)陌踩珕?wèn)題；
2) 移動(dòng)手持計(jì)算終端需要一安全載體實(shí)現(xiàn)應(yīng)用上的安全管理以及安全可靠的大容量存儲(chǔ) 外設(shè)。
目前，雖然公開(kāi)密鑰體系(Public Key Infrastructure,下文用PKI表示)是采用非對(duì)稱(chēng)加密算法生成用戶(hù)私鑰，通過(guò)數(shù)字證書(shū)及相應(yīng)證書(shū)簽發(fā)、索引服務(wù)器有效認(rèn)證用戶(hù)身份，通過(guò) 數(shù)字簽名實(shí)現(xiàn)網(wǎng)絡(luò)電子簽章，能夠有效滿(mǎn)足機(jī)密性、真實(shí)性、完整性、不可抵賴(lài)性四大互聯(lián) 網(wǎng)數(shù)據(jù)傳輸安全要求。同時(shí)，虛擬專(zhuān)用網(wǎng)(Virtual Private Network,下文用VPN表示)技術(shù)， 能夠在公共的開(kāi)放網(wǎng)絡(luò)(移動(dòng)互聯(lián)網(wǎng))上構(gòu)筑安全可靠的虛擬專(zhuān)用數(shù)據(jù)通道；也能夠與嵌入 式開(kāi)源、可信操作系統(tǒng)結(jié)合實(shí)現(xiàn)移動(dòng)可信計(jì)算；更能夠內(nèi)置嵌入式個(gè)人防火墻、入侵檢測(cè)、 殺毒軟件，深度解決移動(dòng)手持計(jì)算終端的本地安全問(wèn)題及移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)傳輸與管理的安全 問(wèn)題。但是由于上述這些安全解決方案，必須基于硬件實(shí)現(xiàn)的安全產(chǎn)品，而純軟件實(shí)現(xiàn)的安 全產(chǎn)品先天具有易泄漏、易破解、運(yùn)行速度遠(yuǎn)低于同等級(jí)硬件產(chǎn)品的弱勢(shì)，已經(jīng)難以適應(yīng)越 來(lái)越開(kāi)放、越來(lái)越龐大、越來(lái)越危險(xiǎn)的網(wǎng)絡(luò)。
此外，目前新型的手持移動(dòng)計(jì)算終端(手機(jī)、智能手機(jī)、PDA等)大都是采用符合SD 協(xié)議的接口，且支持SDIO，主流的SD卡外型為MicroSD/MiniSD (比如諾基亞、摩托羅拉、 三星、多普達(dá)等市場(chǎng)占有率相當(dāng)大的手機(jī)、智能手機(jī)和高端手持計(jì)算機(jī))；而具有SD接口的 加密存儲(chǔ)設(shè)備卻非常匱乏，造成移動(dòng)設(shè)備管理上極大的不便及安全隱患。
隨著互聯(lián)網(wǎng)/移動(dòng)互聯(lián)網(wǎng)飛速發(fā)展，網(wǎng)絡(luò)帶寬不斷提高，下一代移動(dòng)互聯(lián)網(wǎng)正在迫近，網(wǎng) 絡(luò)應(yīng)用對(duì)速度、存儲(chǔ)容量的要求也不斷提高，尤其在手持移動(dòng)計(jì)算終端上。SD組織發(fā)布的 SDIO/SD Memory協(xié)議正好可以用來(lái)滿(mǎn)足移動(dòng)手持計(jì)算終端安全與存儲(chǔ)的雙重要求。其中， SD Memory協(xié)議用來(lái)控制大容量存儲(chǔ)器，SDIO協(xié)議用來(lái)實(shí)現(xiàn)高速(3G/4G， 20 100Mbps) 安全應(yīng)用通信接口。

發(fā)明內(nèi)容
鑒于現(xiàn)有技術(shù)存在的問(wèn)題以及SD Memory/SDIO接口的諸多優(yōu)點(diǎn)，本發(fā)明目的之一在于 提供一種低功耗、結(jié)構(gòu)簡(jiǎn)單以及使用方便的且基于SD Memory/SDIO接口的信息安全設(shè)備。
為了達(dá)到上述目的，本發(fā)明所述基于SD Memory/SDIO接口的信息安全設(shè)備采用了下述 技術(shù)方案
所述基于SD Memory/SDIO接口的信息安全設(shè)備主要包括控制器，該所述控制器用于運(yùn) 行固件程序和用戶(hù)程序、存儲(chǔ)操作系統(tǒng)與用戶(hù)私密信息、控制大容量閃存以及設(shè)備與主機(jī)進(jìn) 行通訊，在其中包括有大容量存儲(chǔ)器、嵌入式存儲(chǔ)器、多種對(duì)稱(chēng)與非對(duì)稱(chēng)加密硬核以及SD Memory/SDIO接口 ，且所述存儲(chǔ)器為用于存儲(chǔ)設(shè)備固件程序和數(shù)據(jù)信息。
此外，本發(fā)明的另一目的在于提供一種基于SD Memory/SDIO接口 ，且用以對(duì)身份進(jìn)行 認(rèn)證和數(shù)據(jù)傳輸?shù)姆椒?，該方法包括以下步驟
l)主機(jī)識(shí)別到信息安全設(shè)備，對(duì)信息安全設(shè)備進(jìn)行初始化；2) 主機(jī)向信息安全設(shè)備發(fā)送指令，即通過(guò)SDMemory/SDIO接口并按照接口協(xié)議的要求 將指令數(shù)據(jù)發(fā)送給信息安全設(shè)備；
3) 信息安全設(shè)備對(duì)指令進(jìn)行解析和處理；
4) 信息安全設(shè)備向主機(jī)返回結(jié)果。
其中，步驟1)具體包括，在信息安全設(shè)備插入主機(jī)后，對(duì)該信息安全設(shè)備進(jìn)行身份認(rèn) 證，且當(dāng)身份認(rèn)證完畢后，對(duì)信息安全設(shè)備的操作權(quán)限得到滿(mǎn)足后，亦對(duì)數(shù)據(jù)交換模式進(jìn)行 指定。
歩驟3)中所述信息安全設(shè)備對(duì)指令的解析和處理包括如下歩驟-
A、 信息安全設(shè)備接收來(lái)自SD Memory/SDIO接口的指令數(shù)據(jù)，并對(duì)該指令數(shù)據(jù)進(jìn)行處
理；
B、 信息安全設(shè)備根據(jù)接收的指令數(shù)據(jù)執(zhí)行相應(yīng)操作。
所述處理包括對(duì)指令數(shù)據(jù)的解密、指令解析、權(quán)限審核、執(zhí)行命令和返回結(jié)果。 所述操作包括對(duì)數(shù)據(jù)的存儲(chǔ)或安全存儲(chǔ)、訪問(wèn)控制、數(shù)據(jù)的處理過(guò)程，且所述的數(shù)據(jù)處 理過(guò)程中，對(duì)數(shù)據(jù)的運(yùn)算處理包括非加密存儲(chǔ)與加密存儲(chǔ)過(guò)程，加密存儲(chǔ)過(guò)程包括2048位 RSA、 DES、 3DES、 SHA-1、 AES、 SM1。
本發(fā)明所述基于SD Memory/SDIO接口的信息安全設(shè)備及數(shù)據(jù)通信方法是應(yīng)市場(chǎng)應(yīng)用需 求而開(kāi)發(fā)的，其采用了國(guó)內(nèi)自主知識(shí)產(chǎn)權(quán)的0.18um工藝數(shù)據(jù)通信密碼芯片，結(jié)構(gòu)上采用堆疊 與COB工藝，在性能等各方面都具有很大的優(yōu)勢(shì)。與國(guó)內(nèi)外同類(lèi)密碼產(chǎn)品相比，概念新穎， 且全線(xiàn)技術(shù)都基于國(guó)內(nèi)自主知識(shí)產(chǎn)權(quán)，在技術(shù)上有一定的優(yōu)勢(shì)，低功耗，結(jié)構(gòu)簡(jiǎn)單，可以滿(mǎn) 足國(guó)內(nèi)通信領(lǐng)域中身份認(rèn)證和數(shù)據(jù)加密的技術(shù)要求。


圖1為本發(fā)明所述基于SD Memory/SDIO接口的信息安全設(shè)備的框架圖2為本發(fā)明所述基于SD Memory/SDIO接口的信息安全設(shè)備之固件程序工作示意圖3為本發(fā)明所述基于SD Memory/SDIO接口的數(shù)據(jù)通信方法的流程圖4為本發(fā)明所述基于SD Memoiy/SDIO接口的數(shù)據(jù)通信方法中身份認(rèn)證過(guò)程流程圖5為本發(fā)明所述基于SD Memory/SDIO接口的數(shù)據(jù)通信方法中指令處理數(shù)據(jù)流程圖6為本發(fā)明所述基于SD Memory/SDIO接口的數(shù)據(jù)通信方法一具體實(shí)施例智能卡應(yīng)用
和VPN加速器應(yīng)用流程圖7為本發(fā)明所述基于SD Memory/SDIO接口的數(shù)據(jù)通信方法一具體實(shí)施例數(shù)據(jù)加密存
儲(chǔ)應(yīng)用流程圖。
具體實(shí)施例方式
下面結(jié)合附圖以及具體實(shí)施例來(lái)對(duì)本發(fā)明所述基于SD Memory/SDIO接口的信息安全設(shè) 備及其數(shù)據(jù)通信方法作進(jìn)一步的說(shuō)明。
基于SD Memory/SDIO接口的低功耗大容量存儲(chǔ)信息安全設(shè)備，該信息安全設(shè)備為智能 卡芯片，其功能框架如圖1中所示，該信息安全設(shè)備的物理外形可以表現(xiàn)為SD卡、MiniSD 卡以及MicroSD卡，實(shí)際應(yīng)用中，其采用COB工藝，即裸芯片封裝技術(shù)(Chip On Board, 簡(jiǎn)稱(chēng)為COB),以及大容量存儲(chǔ)器、主控制器多芯片堆疊封裝工藝(Multi Chip Package,簡(jiǎn) 稱(chēng)MCP)，從而在物理形式上形成難以物理剝離的硬件安全結(jié)構(gòu)，進(jìn)一歩提高芯片以及卡片 抗探針攻擊能力。
見(jiàn)圖1，所述信息安全設(shè)備主要包括控制器1，該所述控制器1用于運(yùn)行固件程序和用戶(hù) 程序、存儲(chǔ)操作系統(tǒng)與用戶(hù)私密信息、控制大容量閃存以及設(shè)備與主機(jī)進(jìn)行通訊，在其中包 括有大容量存儲(chǔ)器10、嵌入式存儲(chǔ)器11、多種對(duì)稱(chēng)與非對(duì)稱(chēng)加密硬核12以及SD Memory/SDIO接口 13,且所述SD Memory/SDIO接口 13可以使得所述基于SD Memory/SDIO 接口的大容量存儲(chǔ)信息安全設(shè)備為在物理載體上可以表現(xiàn)為SD卡、MiniSD卡以及MicroSD 卡，所述存儲(chǔ)器10包含存儲(chǔ)信息安全設(shè)備固件程序的固件程序部分100和存儲(chǔ)數(shù)據(jù)信息的數(shù) 據(jù)信息部分，以及在所述嵌入式存儲(chǔ)器ll中存儲(chǔ)有數(shù)據(jù)處理機(jī)制。
所述固件程序部分100主要包括對(duì)信息安全設(shè)備進(jìn)行識(shí)別部分、用以等待并接收來(lái)自主 機(jī)數(shù)據(jù)部分、解析并處理數(shù)據(jù)部分、發(fā)回給主機(jī)數(shù)據(jù)并等待下一條指令部分，以及用以斷開(kāi) 及連接信息安全設(shè)備同主機(jī)部分。
參見(jiàn)圖2中所示，實(shí)際應(yīng)用時(shí)，信息安全設(shè)備2被帶有SD Memory/SDIO接口的主機(jī)3 識(shí)別后，所述固件程序IOO通過(guò)其內(nèi)置的寄存器信息，建立與主機(jī)和信息安全設(shè)備的連接， 并申明為確定的SD Memory/SDIO的通信類(lèi)型以用來(lái)進(jìn)行后續(xù)的通信，且通信部分完全遵守 SD Memory/SDIO的通信協(xié)議。
實(shí)際應(yīng)用中，本發(fā)明可采用國(guó)際主流商業(yè)密碼算法協(xié)處理器、國(guó)家通用密碼算法協(xié)處理 器，支持國(guó)際主流強(qiáng)商業(yè)密碼算法以及中國(guó)國(guó)家商業(yè)密碼算法，采用大容量嵌入式非易失性 存儲(chǔ)單元，且擁有數(shù)字加解密、數(shù)字認(rèn)證、數(shù)字簽名和安全信息存儲(chǔ)管理、數(shù)字版權(quán)管理、 網(wǎng)絡(luò)實(shí)名認(rèn)證功能。
參見(jiàn)圖3中所示，本發(fā)明還提供一種基于SD Memory/SDIO接口的信息安全設(shè)備的數(shù)據(jù) 通信方法，該方法包括以下步驟首先，主機(jī)識(shí)別到信息安全設(shè)備，進(jìn)而對(duì)該信息安全設(shè)備 進(jìn)行身份認(rèn)證，且在對(duì)信息安全設(shè)備的操作權(quán)限滿(mǎn)足后，對(duì)該信息安全設(shè)備的數(shù)據(jù)交換模式進(jìn)行指定(步驟30);其次，主機(jī)向信息安全設(shè)備發(fā)送指令，且通過(guò)SD Memory/SDIO接口 并按照接口協(xié)議的要求將指令數(shù)據(jù)發(fā)送給信息安全設(shè)備(步驟31);信息安全設(shè)備對(duì)主機(jī)發(fā) 送過(guò)來(lái)的指令進(jìn)行解析和處理(步驟32);最后，待信息安全設(shè)備對(duì)指令解析和處理完畢后， 向主機(jī)返回結(jié)果(步驟33)。
其中，步驟32中所述信息安全設(shè)備對(duì)指令的解析和處理具體包括如下步驟 步驟320:信息安全設(shè)備接收來(lái)自SD Memory/SDIO接口的指令數(shù)據(jù)，并對(duì)該指令數(shù)據(jù) 進(jìn)行處理；
步驟321:信息安全設(shè)備根據(jù)接收的指令數(shù)據(jù)執(zhí)行相應(yīng)操作。 所述處理包括對(duì)指令數(shù)據(jù)的解密、指令解析、權(quán)限審核、執(zhí)行命令和返回結(jié)果。 所述操作包括對(duì)數(shù)據(jù)的存儲(chǔ)或安全存儲(chǔ)、訪問(wèn)控制、數(shù)據(jù)的處理過(guò)程，且所述的數(shù)據(jù)處 理過(guò)程中，對(duì)數(shù)據(jù)的運(yùn)算處理包括非加密存儲(chǔ)與加密存儲(chǔ)過(guò)程，加密存儲(chǔ)過(guò)程包括2048位 RSA、 DES、 3DES、 SHA墨1、 AES、 SM1。
另外，所述基于SD Memory/SDIO接口的低功耗大容量存儲(chǔ)信息安全設(shè)備插入主機(jī)后， 首先進(jìn)行的身份認(rèn)證，其認(rèn)證過(guò)程如圖4中所示。
在操作權(quán)限得到滿(mǎn)足后，使用文件指定的數(shù)據(jù)交換模式才能正確的讀/寫(xiě)/使用數(shù)據(jù)。終端 和信息安全設(shè)備之間的數(shù)據(jù)交換有四種模式明文、明文加檢驗(yàn)、密文和密文加校驗(yàn)。安全 數(shù)據(jù)交換的目的是保證數(shù)據(jù)的可靠性、完整性和對(duì)發(fā)送方的認(rèn)證。數(shù)據(jù)完整性和對(duì)發(fā)送方的 認(rèn)證通過(guò)使用校驗(yàn)碼來(lái)實(shí)現(xiàn)，數(shù)據(jù)的可靠性則通過(guò)對(duì)數(shù)據(jù)域的加密來(lái)保證。
在本發(fā)明中，安全報(bào)文傳輸格式符合ISO 7816-4的規(guī)定，當(dāng)CLA字節(jié)的后半字節(jié)等于"4" 時(shí)，則表明對(duì)發(fā)送方命令數(shù)據(jù)要采用安全報(bào)文傳輸。而對(duì)基本文件操作的命令報(bào)文數(shù)據(jù)是否 使用安全報(bào)文傳輸取決于文件類(lèi)型，如果文件類(lèi)型B6位為1，則表示需要使用安全報(bào)文傳送， 0表示不需要。
在整個(gè)認(rèn)證過(guò)程中，指令數(shù)據(jù)處理是一個(gè)核心過(guò)程，下面結(jié)合圖5對(duì)這一過(guò)程進(jìn)行說(shuō)明。 步驟規(guī)則如下描述
1) 解密，完整性檢測(cè)如果報(bào)文加密或者帶有完整性鑒別數(shù)據(jù)還要有一個(gè)報(bào)文頭，說(shuō) 明加密的類(lèi)型和完整性檢測(cè)的類(lèi)型；
2) 命令解析據(jù)定義的命令規(guī)則解析命令，得出命令所需要的操作元素
3) 權(quán)限審核換取當(dāng)前安全狀態(tài)，然后根據(jù)命令操作類(lèi)型得出安全屬性，比較得出操 作的合法性；
4) 執(zhí)行命令需要調(diào)用文件系統(tǒng)的功能函數(shù)，根據(jù)操作結(jié)果得到返回情況；
5)返回結(jié)果根據(jù)返回情況，填寫(xiě)返回報(bào)文的相關(guān)字段。如果是加密報(bào)文或者需要進(jìn)行完整性檢測(cè)的則還需要在最后進(jìn)行加密和完整性計(jì)算操作。
從而所述信息安全設(shè)備可根據(jù)解析命令，可以對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)或者加密存儲(chǔ)操作。 參照?qǐng)D6和圖7中所示，分別以智能卡應(yīng)用、VPN加速器應(yīng)用和據(jù)存儲(chǔ)/加密存儲(chǔ)應(yīng)用對(duì) 本發(fā)明所述方法進(jìn)行詳細(xì)描述。
(1) 智能卡應(yīng)用
CPU指令從Flash或ROM中讀取并執(zhí)行；命令與數(shù)據(jù)從SDIO接口傳入，CPU讀入到 內(nèi)存后，進(jìn)行解析，根據(jù)要求調(diào)用RSA， SHA， SM1等功能模塊，并可能讀/寫(xiě)內(nèi)部Flash, 完成命令所定義任務(wù)后，將結(jié)果數(shù)據(jù)放在內(nèi)存中，并向Host端發(fā)送一個(gè)中斷信息，由Host 端査詢(xún)中斷原因，并進(jìn)一步通過(guò)發(fā)送命令取得結(jié)果數(shù)據(jù)。
此種應(yīng)用環(huán)境下，較多使用到SDIO， RSA， SHA，內(nèi)部數(shù)據(jù)Flash, RNG，訪問(wèn)頻率為 中等。
智能卡應(yīng)用對(duì)各模塊速度要求為中等，具體如下 SD/SDIO通信模塊lOMb/s; RSA模塊
2048位密鑰對(duì)產(chǎn)生時(shí)間<5s 2048位密鑰簽名時(shí)間<200ms 2048位密鑰驗(yàn)證時(shí)間<40ms 1024位密鑰對(duì)產(chǎn)生時(shí)間<2s 1024位密鑰簽名時(shí)間<50ms 1024位密鑰驗(yàn)證時(shí)間<10ms SMl加解密速度>10Mb/s SHA1/SHA256數(shù)據(jù)處理速度>10Mb/s 隨機(jī)數(shù)發(fā)生器(RNG)隨機(jī)數(shù)產(chǎn)生速度>2Mb/s 內(nèi)部Flash訪問(wèn)速度〉50Mb/s
(2) VPN加速器應(yīng)用
CPU指令從Flash或ROM中讀取并執(zhí)行；命令與數(shù)據(jù)從SDIO接口傳入，CPU讀入到內(nèi) 存后，進(jìn)行解析，根據(jù)要求調(diào)用RSA， SHA， SM1等功能模塊，并可能讀/寫(xiě)內(nèi)部Flash,完 成命令所定義任務(wù)后，將結(jié)果數(shù)據(jù)放在內(nèi)存中，并向Host端發(fā)送一個(gè)中斷信息，由Host端 查詢(xún)中斷原因，并進(jìn)一步通過(guò)發(fā)送命令取得結(jié)果數(shù)據(jù)。
此種應(yīng)用環(huán)境下，較多使用到SDIO, SMl， RSA， SHA1/SHA256，訪問(wèn)頻率較高，對(duì)內(nèi) 部數(shù)據(jù)Flash的訪問(wèn)頻率和速度要求不高。此應(yīng)用對(duì)各模塊速度要求很高，具體如下 SD/SDIO通信模塊60Mb/s RSA模塊
2048位密鑰對(duì)產(chǎn)生時(shí)間<5s 2048位密鑰簽名時(shí)間<200ms 2048位密鑰驗(yàn)證時(shí)間<40ms 1024位密鑰對(duì)產(chǎn)生時(shí)間<2s 1024位密鑰簽名時(shí)間<50ms 1024位密鑰驗(yàn)證時(shí)間<1 Oms SMl加解密速度>40Mb/s SHA1/SHA256數(shù)據(jù)處理速度>20Mb/s 隨機(jī)數(shù)發(fā)生器(RNG)隨機(jī)數(shù)產(chǎn)生速度〉2Mb/s 內(nèi)部Flash訪問(wèn)速度〉50Mb/s (3)數(shù)據(jù)存儲(chǔ)/加密存儲(chǔ)應(yīng)用 CPU指令從Flash或ROM中讀取并執(zhí)行。
命令與數(shù)據(jù)從SDIO/SD接口傳入，CPU讀入到內(nèi)存后，進(jìn)行解析，根據(jù)要求調(diào)用指定分 組加密算法等功能模塊對(duì)傳入數(shù)據(jù)進(jìn)行加密，然后寫(xiě)入NAND Flash控制器,或者不加密直接 將數(shù)據(jù)寫(xiě)入NAND Flash;或者先從NAND Flash中讀取數(shù)據(jù)到內(nèi)存中，再調(diào)用指定分組加密 算法等功能模塊對(duì)數(shù)據(jù)進(jìn)行解密，最終通過(guò)SDIO接口傳出。
此種應(yīng)用環(huán)境下，較多使用到SM1加密算法，外部NAND Flash控制器，訪問(wèn)頻率較高， 對(duì)內(nèi)部數(shù)據(jù)Flash的訪問(wèn)頻率和速度要求不高。
此應(yīng)用對(duì)各模塊速度要求很高，具體如下
A) SD/SDIO通信模塊60Mb/s
B) SM1算法加解密速度>60Mb/s
C) 隨機(jī)數(shù)發(fā)生器(RNG)隨機(jī)數(shù)產(chǎn)生速度>2Mb/s
D) 外部NAND Flash訪問(wèn)速度>60Mb/s 。
以上為對(duì)本發(fā)明所提供的一種實(shí)現(xiàn)硬件、軟件版權(quán)和信息安全的基于SD Memory/SDIO 接口的數(shù)據(jù)通信方法進(jìn)行的詳細(xì)介紹。本文中應(yīng)用了個(gè)例對(duì)本發(fā)明的原理及其實(shí)施方式進(jìn)行 了闡述。以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其實(shí)現(xiàn)思想；同時(shí)，對(duì)于本領(lǐng) 域的一般技術(shù)人員，根據(jù)本發(fā)明的思想，在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處。綜 上所述，本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制。
權(quán)利要求
1. 一種基于SD Memory/SDIO接口的信息安全設(shè)備，其特征在于，主要包括用于運(yùn)行固件程序和用戶(hù)程序、存儲(chǔ)操作系統(tǒng)與用戶(hù)私密信息、控制大容量閃存以及設(shè)備與主機(jī)進(jìn)行通訊的控制器，該所述控制器中包括有大容量存儲(chǔ)器、嵌入式存儲(chǔ)器、多種對(duì)稱(chēng)與非對(duì)稱(chēng)加密硬核以及SD Memory/SDIO接口，其中，所述存儲(chǔ)器包含存儲(chǔ)有信息安全設(shè)備固件程序的固件程序部分和存儲(chǔ)信息安全設(shè)備數(shù)據(jù)信息的數(shù)據(jù)信息部分，以及在所述嵌入式存儲(chǔ)器中存儲(chǔ)有數(shù)據(jù)處理機(jī)制。
2. 根據(jù)權(quán)利要求1所述基于SD Memory/SDIO接口的信息安全設(shè)備，其特征在于，所述 固件程序部分主要包括對(duì)信息安全設(shè)備進(jìn)行識(shí)別部分、等待并接收來(lái)自主機(jī)數(shù)據(jù)部分、解析 并處理數(shù)據(jù)部分、信息安全設(shè)備發(fā)回給主機(jī)的數(shù)據(jù)并等待下一條指令部分，以及用以斷開(kāi)及 連接信息安全設(shè)備同主機(jī)部分。
3. 根據(jù)權(quán)利要求1所述基于SD Memory/SDIO接口的信息安全設(shè)備，其特征在于，所述 固件程序部分中內(nèi)置有用以建立與主機(jī)和信息安全設(shè)備連接的以及確定SD Memory/SDIO的 通信類(lèi)型以用來(lái)進(jìn)行后續(xù)通信的寄存器信息。
4. 根據(jù)權(quán)利要求1所述基于SD Memory/SDIO接口的信息安全設(shè)備，其特征在于，所述 信息安全設(shè)備為采用裸芯片封裝技術(shù)以及大容量存儲(chǔ)器、主控制器多芯片堆疊封裝工藝。
5. 根據(jù)權(quán)利要求3所述基于SD Memory/SDIO接口的信息安全設(shè)備，其特征在于，所述 通信類(lèi)型遵守SD Memory/SDIO的通信協(xié)議。
6. —種基于SD Memory/SDIO接口的信息安全設(shè)備的數(shù)據(jù)通信方法，其特征在于，該方 法包括以下步驟1) 主機(jī)識(shí)別到信息安全設(shè)備，對(duì)信息安全設(shè)備進(jìn)行初始化；2) 主機(jī)向信息安全設(shè)備發(fā)送指令，即通過(guò)SD Memory/SDIO接口并按照接口協(xié)議的要求 將指令數(shù)據(jù)發(fā)送給信息安全設(shè)備；3) 信息安全設(shè)備對(duì)指令進(jìn)行解析和處理；4) 信息安全設(shè)備向主機(jī)返回結(jié)果。
7. 根據(jù)權(quán)利要求6所述基于SD Memory/SDIO接口的信息安全設(shè)備的數(shù)據(jù)通信方法，其 特征在于，所述步驟1)具體包括，在信息安全設(shè)備插入主機(jī)后，對(duì)該信息安全設(shè)備進(jìn)行身 份認(rèn)證，且當(dāng)身份認(rèn)證完畢后，對(duì)信息安全設(shè)備的操作權(quán)限得到滿(mǎn)足后，亦對(duì)數(shù)據(jù)交換模式 進(jìn)行指定。
8. 根據(jù)權(quán)利要求6所述基于SD Memory/SDIO接口的信息安全設(shè)備的數(shù)據(jù)通信方法，其 特征在于，所述步驟3)中所述信息安全設(shè)備對(duì)指令的解析和處理包括如下步驟A、信息安全設(shè)備接收來(lái)自SD Memory/SDIO接口的指令數(shù)據(jù)，并對(duì)該指令數(shù)據(jù)進(jìn)行處理；8、信息安全設(shè)備根據(jù)接收的指令數(shù)據(jù)執(zhí)行相應(yīng)操作。其中，歩驟B中所述操作包括對(duì)數(shù)據(jù)的存儲(chǔ)或安全存儲(chǔ)、訪問(wèn)控制、數(shù)據(jù)的處理過(guò)程， 且所述的數(shù)據(jù)處理過(guò)程中，對(duì)數(shù)據(jù)的運(yùn)算處理包括非加密存儲(chǔ)與加密存儲(chǔ)過(guò)程，加密存儲(chǔ)過(guò) 程包括2048位RSA、 DES、 3DES、 SHA-1、 AES、 SM1。
9. 根據(jù)權(quán)利要求7所述基于SD Memory/SDIO接口的信息安全設(shè)備的數(shù)據(jù)通信方法，其 特征在于，所述數(shù)據(jù)交換模式包括四種模式明文、明文加檢驗(yàn)、密文和密文加校驗(yàn)。
10. 根據(jù)權(quán)利要求8所述基于SD Memory/SDIO接口的信息安全設(shè)備的數(shù)據(jù)通信方法，其 特征在于，所述處理包括① 解密，完整性檢測(cè)如果報(bào)文加密或者帶有完整性鑒別數(shù)據(jù)還要有一個(gè)報(bào)文頭，說(shuō) 明加密的類(lèi)型和完整性檢測(cè)的類(lèi)型；② 命令解析據(jù)定義的命令規(guī)則解析命令，得出命令所需要的操作元素；③ 權(quán)限審核換取當(dāng)前安全狀態(tài)，然后根據(jù)命令操作類(lèi)型得出安全屬性，比較得出操 作的合法性； 執(zhí)行命令需要調(diào)用文件系統(tǒng)的功能函數(shù)。根據(jù)操作結(jié)果得到返回情況； ◎返回結(jié)果根據(jù)返回情況，填寫(xiě)返回報(bào)文的相關(guān)字段。如果是加密報(bào)文或者需要進(jìn) 行完整性檢測(cè)的則還需要在最后進(jìn)行加密和完整性計(jì)算操作。
全文摘要
本發(fā)明公開(kāi)了一種基于SD Memory/SDIO接口的信息安全設(shè)備，其包括用于運(yùn)行固件程序和用戶(hù)程序、存儲(chǔ)操作系統(tǒng)與用戶(hù)私密信息、控制大容量閃存及設(shè)備與主機(jī)進(jìn)行通訊的控制器，該控制器包括有大容量存儲(chǔ)器、嵌入式存儲(chǔ)器、多種對(duì)稱(chēng)與非對(duì)稱(chēng)加密硬核及SD Memory/SDIO接口。其中，存儲(chǔ)器存儲(chǔ)有信息安全設(shè)備的固件程序和數(shù)據(jù)信息，嵌入式存儲(chǔ)器中存儲(chǔ)有數(shù)據(jù)處理機(jī)制，且固件程序用以對(duì)信息安全設(shè)備進(jìn)行識(shí)別、用以等待并接收主機(jī)數(shù)據(jù)、用以解析并處理數(shù)據(jù)、用以接收并發(fā)送信息安全設(shè)備發(fā)回給主機(jī)的數(shù)據(jù)并等待下一條指令，以及用以斷開(kāi)及連接信息安全設(shè)備同主機(jī)。本發(fā)明優(yōu)點(diǎn)在于結(jié)構(gòu)簡(jiǎn)單，功耗低，使用方便和安全性高。
文檔編號(hào)H04L29/06GK101534299SQ200910081868
公開(kāi)日2009年9月16日 申請(qǐng)日期2009年4月14日 優(yōu)先權(quán)日2009年4月14日
發(fā)明者劉光耀, 劉文靜, 王劍非, 王志宇, 蔣慶生 申請(qǐng)人:公安部第一研究所;北京中盾安全技術(shù)開(kāi)發(fā)公司