CN103365807A - 密保总线系统及其实现方法 - Google Patents
密保总线系统及其实现方法 Download PDFInfo
- Publication number
- CN103365807A CN103365807A CN 201210090916 CN201210090916A CN103365807A CN 103365807 A CN103365807 A CN 103365807A CN 201210090916 CN201210090916 CN 201210090916 CN 201210090916 A CN201210090916 A CN 201210090916A CN 103365807 A CN103365807 A CN 103365807A
- Authority
- CN
- China
- Prior art keywords
- password protection
- bus
- layer
- storage medium
- bus system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种密保总线系统及其实现方法,将浑浊一体的密保驱动层剥离成密保总线层与密保存储操作方法层两个层次,即通过将密保的通用操作部分抽象出来形成密保总线层的各个接口,然后根据不同的存储介质,向密保总线注册不同的操作接口,在平台移植时只需要将密保的存储操作方法实现即可,简化了平台移植的复杂度,并大大减少了研发难度和时间成本,提高了密保项目的移植性。
Description
技术领域
本发明涉及嵌入式密保设备技术领域,尤其涉及一种密保总线系统及其实现方法。
背景技术
I2C(Inter-IC)总线是具备多CPU系统所需的包括仲裁和高低速设备同步等功能的高性能串行总线。它以两根连线实现完善的全双工数据传送,是各种总线中使用信号线根数最少,并具有自动寻址、多主机时钟同步和仲裁等功能的总线;SPI(Serial Peripheral Interface)总线系统是一种同步串行外设接口,它可以使MCU与各种外围设备以串行方式进行通信以交换信息。
嵌入式密码保护设备的作用就是嵌入式设备连接到网络的时候,通过设备本身的CPU,产生一个challenge code,并发送给加载的密保芯片,密保芯片根据challenge code生成一个动态密码并返回给CPU,CPU然后将动态密码与服务端验证。
嵌入式密码保护设备以下简称为密保,密保一般使用I2C、SPI等接口进行连接,challenge code存储在不同的介质中,如NAND、INAND、MMC、OTP、E2PROM中,目前的实现是将密保的烧写、读取、加密、解密等统一实现在单独的驱动中,这样在平台移植或存储介质更换时,就需要完整的移植整个密保驱动,甚至重新实现密保驱动,即使是同一密保芯片,也需要实现不同的驱动,这样就造成了可移植性非常差,大大增加了嵌入式研发的难度与时间等成本开销。
这里所谓的移植性,指的是不同平台不同介质的移植性,比如在MIPS平台上实现了密保驱动,到了ARM平台又需要重新实现,而且在同一平台下,比如密保所需的种子存储在不同的介质,或多种子存储多介质等都不灵活。这些在更换不同平台及不同存储介质的时候,需要整体修改。
因此,需要考虑一种密保总线系统及其实现方法,可以简化密保驱动移植的复杂度,大大减少了研发难度和时间成本。
发明内容
本发明的目的在于提供一种密保总线系统及其实现方法,可以简化密保驱动移植的复杂度,大大减少了研发难度和时间成本。
为解决上述问题,本发明提供一种密保总线系统,包括一驱动层,所述驱动层包括密保总线层和密保存储介质操作方法层,所述密保总线层用于根据密保的通用操作方法,抽象出密保通用操作接口,并整合进密保总线中;所述密保存储操作方法层用于实现不同平台不同存储介质的操作方法,并将所述不同平台不同存储介质以操作方法的方式单独注册进密保总线中。
进一步的,所述密保通用操作方法包括密保的烧写、读取、加密及解密。
进一步的,所述密保存储介质包括NAND、INAND、MMC、OTP、E2PROM中的至少一种。
进一步的,所述密保总线系统还包括:
应用层,用于接入PC机以及密保服务器以实现底层操作,并向上层提供统一接口;
内核层,通过接口连接所述应用层和所述驱动层,用于提供总线注册接口,并注册密保总线;
硬件层,用于通过所述密保通用操作接口接入密保存储介质,并将密保的各种数据保存至所述密保存储介质。
进一步的,所述底层操作包括密保烧录、加解密、认证。
进一步的,所述密保总线层还设有回调接口,用于在需要时调用所述底层操作。
相应的,本发明还提供一种上述密保总线系统的实现方法,包括:
注册总线步骤:在一操作系统启动时,向所述操作系统内核注册密保总线;
抽象总线层步骤:在所述密保总线中,根据密保的通用操作方法,抽象出密保通用操作接口;
存储介质操作步骤:实现密保不同存储介质的操作方法,组成一个密保存储操作接口结构,通过密保总线操作的注册函数,将不同存储介质单独注册进密保总线;
初始化步骤:通过密保总线注册的存储介质的初始化接口(probe)初始化密保,生成密保的各种加密结构,并通过所述密保存储操作接口结构中的方法去获取存储在不同存储介质上的challenge code;
总线响应步骤:在上述各步骤中调用到密保的通用操作时,密保总线进行响应操作,并回调已注册的密保存储介质。
同步密保步骤:在密保烧写操作结束后同步密保结构,将密保头尾各加上进行验证的检验KEY,以校验从存储介质中读出的密钥信息。
进一步的,所述注册步骤中,注册非设备与驱动匹配接口,用于密保存储介质操作方法的注册。
进一步的,在所述抽象总线层步骤中,还抽象出所述密保总线的回调接口,用于在需要时调用底层操作。
与现有技术相比,本发明提供的密保总线系统及其实现方法,将浑浊一体的密保驱动层剥离成密保总线层与密保存储操作方法层两个层次,即通过将密保的通用操作部分抽象出来形成密保总线层的各个接口,然后根据不同的存储介质,向密保总线注册不同的操作接口,在平台移植时只需要将密保的存储操作方法实现即可,简化了平台移植的复杂度,并大大减少了研发难度和时间成本,提高了密保项目的移植性。
附图说明
图1是本发明一实施例的密保总线系统架构图;
图2是本发明一实施例的密保总线系统实现方法流程图。
具体实施方式
以下结合附图和具体实施例对本发明提出的密保总线系统及实现方法作进一步详细说明。
如图1所示,本发明提供一种密保总线系统,包括应用层21、内核层22、驱动层23以及硬件层24。
所述应用层21接入PC机10以及密保服务器11以实现如密保烧录、加解密、认证底层操作,并向内核层22和驱动层23提供统一接口。本实例中,PC机10中加载有密保烧录工具服务端,应用层21接入PC机10可以为密保总线系统的内核层22和驱动层23提供密保烧录工具服务程序;密保服务器11中加载有服务器认证程序,应用层21接入密保服务器11可以为内核层22和驱动层23提供加解密以及认证操作服务。
所述内核层(CORE)22通过接口连接所述应用层21和所述驱动层23,用于为所述驱动层23提供总线注册接口,并注册密保总线。本实施例中,驱动层23可以通过内核层22调用应用层21的认证和密钥服务以为密保写认证密钥。
所述驱动层23包括密保总线层231和密保存储介质操作方法层232,所述密保总线层231用于根据密保的如烧写、读取、加密及解密等通用操作方法,抽象出密保如烧写、读取、加密及解密等通用操作接口,整合进密保总线中;所述密保存储操作方法层232用于实现不同平台不同存储介质的操作方法,并将所述不同平台不同存储介质以操作方法的方式单独注册进密保总线中。本实施例中,密保存储介质包括NAND、MMC、OTP,通过密保总线层231的回调接口回调密保存储介质的操作方法来实现密保的各种操作,包括写密保序列号和加解密密钥、读写等。
所述硬件层24,用于通过所述密保通用操作接口接入密保存储介质,并将密保的各种数据如密保序列号、加解密密钥、认证密钥等保存至密保存储介质。所述密保存储介质包括NAND、INAND、MMC、OTP、E2PROM中的至少一种。本实施例优选为密保存储介质包括NAND、MMC、OTP、E2PROM。
需要说明的是,本发明所述的密保主要是指嵌入式密码保护设备。本发明的密保总线系统,实质上是在如手持设备等的驱动层,抽象出一条密码保护设备通用总线,然后将不同平台的不同的存储介质以操作方法的方式进行单独注册,当上层需要动态密码时,通过总线的回调接口回调密保存储介质的操作方法来实现密保的各种操作,这样就简化了密保驱动程序开发的难度,实现了驱动的层次化,大大提高了驱动的移植性。
如图2所示,本发明还提供一种上述密保总线系统的实现方法,包括:
注册总线步骤:在一操作系统启动时,向所述操作系统内核注册密保总线,注册总线时同时注册非设备与驱动匹配接口,以用于密保存储介质操作方法的注册;
抽象总线层步骤:在所述密保总线中,根据密保的通用操作方法,抽象出密保通用操作接口,还抽象出所述密保总线的回调接口以用于在需要时调用底层操作;
存储介质操作步骤:实现密保不同存储介质的操作方法,组成一个密保存储操作接口(encryption_operation)结构,通过密保总线操作的注册函数,将不同存储介质注册进密保总线;
初始化步骤:通过密保总线注册的存储介质的初始化接口(probe)初始化密保,生成密保的各种加密结构,并通过所述密保存储操作接口结构中的方法去获取存储在不同存储介质上的challenge code;
总线响应步骤:在上述各步骤中调用到密保的通用操作时,密保总线进行响应操作,并回调已注册的密保存储介质;
同步密保步骤:在密保烧写操作结束后同步密保结构,将密保头尾各加上进行验证的检验KEY,以校验从存储介质中读出的密钥信息。
本发明的密保总线系统优选通过基于Linux的系统总线来实现的这种方式适合在各种Linux操作系统上的移植,并且Linux操作系统下的不同平台间的移植性最好,也最符合GNU的标准,可以应用到Linux内核源码中,供开源使用。
综上所述,本发明提供的密保总线系统及其实现方法,将浑浊一体的密保驱动层剥离成密保总线层与密保存储操作方法层两个层次,即通过将密保的通用操作部分抽象出来形成密保总线层的各个接口,然后根据不同的存储介质,向密保总线注册不同的操作接口,在平台移植时只需要将密保的存储操作方法实现即可,简化了平台移植的复杂度,并大大减少了研发难度和时间成本,提高了密保项目的移植性。
显然,本领域的技术人员可以对发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1.一种密保总线系统,其特征在于,驱动层包括密保总线层和密保存储介质操作方法层,所述密保总线层用于根据密保的通用操作方法,抽象出密保通用操作接口,并整合进密保总线中;所述密保存储操作方法层用于实现不同平台不同存储介质的操作方法,并将所述不同平台不同存储介质以操作方法的方式单独注册进密保总线中。
2.如权利要求1所述的密保总线系统,其特征在于,所述密保通用操作方法包括密保的烧写、读取、加密及解密。
3.如权利要求1所述的密保总线系统,其特征在于,所述密保存储介质包括NAND、INAND、MMC、OTP、E2PROM中的至少一种。
4.如权利要求1所述的密保总线系统,其特征在于,所述密保总线系统还包括:
应用层,用于接入PC机以及密保服务器以实现底层操作,并向上层提供统一接口;
内核层,通过接口连接所述应用层和所述驱动层,用于提供总线注册接口,并注册密保总线;
硬件层,用于通过所述密保通用操作接口接入密保存储介质,并将密保的各种数据保存至所述密保存储介质。
5.如权利要求4所述的密保总线系统,其特征在于,所述底层操作包括密保的烧录、加/解密、认证。
6.如权利要求4所述的密保总线系统,其特征在于,所述密保总线层还设有回调接口,用于在需要时调用所述底层操作。
7.一种权利要求1所述的密保总线系统的实现方法,其特征在于,包括:
注册总线步骤:在一操作系统启动时,向所述操作系统内核注册密保总线;
抽象总线层步骤:在所述密保总线中,根据密保的通用操作方法,抽象出密保通用操作接口;
存储介质操作步骤:实现密保不同存储介质的操作方法,组成一个密保存储操作接口结构,通过密保总线的注册函数,将不同存储介质单独注册进密保总线;
初始化步骤:通过密保总线注册的存储介质的初始化接口初始化密保,生成密保的各种加密结构,并通过所述密保存储操作接口结构中的方法去获取存储在不同存储介质上的challenge code;
总线响应步骤:在上述各步骤中调用到密保的通用操作时,密保总线进行响应操作,并回调已注册的密保存储介质方法;
同步密保步骤:在密保烧写操作结束后同步密保结构,将密保头尾各加上进行验证的检验KEY,以校验从存储介质中读出的密钥信息。
8.如权利要求7所述的实现方法,其特征在于,所述注册步骤中,注册非设备与驱动匹配接口,用于密保存储介质操作方法的注册。
9.如权利要求7所述的实现方法,其特征在于,所述密保通用操作方法包括密保的烧写、读取、加密及解密。
10.如权利要求7所述的实现方法,其特征在于,所述密保存储介质包括NAND、INAND、MMC、OTP、E2PROM中的至少一种。
11.如权利要求7所述的密保总线系统,其特征在于,在所述抽象总线层步骤中,还抽象出所述密保总线的回调接口,用于在需要时调用底层操作。
12.如权利要求11所述的密保总线系统,其特征在于,所述底层操作包括密保的烧录、加/解密、认证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201210090916 CN103365807A (zh) | 2012-03-30 | 2012-03-30 | 密保总线系统及其实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 201210090916 CN103365807A (zh) | 2012-03-30 | 2012-03-30 | 密保总线系统及其实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103365807A true CN103365807A (zh) | 2013-10-23 |
Family
ID=49367200
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 201210090916 Pending CN103365807A (zh) | 2012-03-30 | 2012-03-30 | 密保总线系统及其实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103365807A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105245347A (zh) * | 2015-10-22 | 2016-01-13 | 成都卫士通信息产业股份有限公司 | 一种适配多种存储产品的加密系统实现方法 |
WO2016145865A1 (zh) * | 2015-09-08 | 2016-09-22 | 中兴通讯股份有限公司 | 数据加密方法及装置 |
-
2012
- 2012-03-30 CN CN 201210090916 patent/CN103365807A/zh active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016145865A1 (zh) * | 2015-09-08 | 2016-09-22 | 中兴通讯股份有限公司 | 数据加密方法及装置 |
CN105245347A (zh) * | 2015-10-22 | 2016-01-13 | 成都卫士通信息产业股份有限公司 | 一种适配多种存储产品的加密系统实现方法 |
CN105245347B (zh) * | 2015-10-22 | 2019-02-26 | 成都卫士通信息产业股份有限公司 | 一种适配多种存储产品的加密系统实现方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10102153B2 (en) | System and method for intercept of UEFI block I/O protocol services for BIOS based hard drive encryption support | |
US10073988B2 (en) | Chipset and host controller with capability of disk encryption | |
US9141802B2 (en) | Computing device boot software authentication | |
EP3360047B1 (en) | Secure subsystem | |
US20170277530A1 (en) | Technologies for securing a firmware update | |
CN104252375A (zh) | 用于位于不同主机的多个虚拟机共享USB Key的方法和系统 | |
US10185509B1 (en) | Secure storage device sanitization | |
US20180307847A1 (en) | Selective encoding method and electronic device using same | |
US10747884B2 (en) | Techniques for coordinating device boot security | |
KR20060119989A (ko) | 디지털 미디어 콘텐츠에 보안 접속하기 위한 장치, 가상멀티 인터페이스 드라이버 및 디지털 미디어 콘텐츠에 보안접속하기 위한 시스템 | |
CN105354503A (zh) | 储存装置数据加解密方法 | |
US9514040B2 (en) | Memory storage device and memory controller and access method thereof | |
US8886962B2 (en) | Systems and methods for disk encryption with two keys | |
US20150227755A1 (en) | Encryption and decryption methods of a mobile storage on a file-by-file basis | |
US8806660B2 (en) | System and method for secure licensing for an information handling system | |
US20180364946A1 (en) | Data storage device | |
TWI554881B (zh) | 資料存取方法與系統及記憶體儲存裝置 | |
CN103365807A (zh) | 密保总线系统及其实现方法 | |
US20150195236A1 (en) | Techniques for implementing a secure mailbox in resource-constrained embedded systems | |
CN107358110A (zh) | 基于国密安全芯片的移动端U盘及其与Android设备的通信方法 | |
CN108021801A (zh) | 基于虚拟桌面的防泄密方法、服务器及存储介质 | |
KR20100133184A (ko) | 고체 상태 드라이브 장치 | |
CN106295375B (zh) | 一种支持pci-e接口的加密硬盘 | |
CN102110061B (zh) | 区块管理方法及闪存控制器与闪存存储装置 | |
CN109063518B (zh) | 数据存取方法与系统及存储器存储装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131023 |