CN107977568A - Mcu安全保护身份认证装置及方法 - Google Patents
Mcu安全保护身份认证装置及方法 Download PDFInfo
- Publication number
- CN107977568A CN107977568A CN201711418422.0A CN201711418422A CN107977568A CN 107977568 A CN107977568 A CN 107977568A CN 201711418422 A CN201711418422 A CN 201711418422A CN 107977568 A CN107977568 A CN 107977568A
- Authority
- CN
- China
- Prior art keywords
- code
- authentication
- circuit
- host computer
- register
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种MCU安全保护身份认证装置及方法,涉及计算机芯片安全技术领域。装置中授权码生成电路根据电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值或者两者结合生成授权码;授权身份校验电路,接收上位机发送的授权开启码,并对授权开启码进行校验;授权码生成电路在授权身份校验电路校验授权开启码成功后,向上位机发送授权码;授权码校验电路接收上位机发送的授权校验码,根据授权码对授权校验码进行校验,并在校验成功后向上位机发送授权码校验成功指令;身份认证校验电路,接收上位机发送的身份认证码,并对身份认证码进行校验,生成认证结果,以根据认证结果确定MCU芯片能被正常操作或锁定。
Description
技术领域
本发明涉及计算机芯片安全技术领域,尤其涉及一种MCU安全保护身份认证装置及方法。
背景技术
当前,随着微控制单元(Microcontroller Unit,简称MCU)技术的发展,在各类产品中已经出现了很多使用MCU的智能设备,例如具有自动驾驶功能的汽车,具有支付功能的智能物联网(Internet Of Things,简称IOT)设备等。智能设备为人们带来便捷的同时,也带来了安全的隐患(如被黑客入侵)。作为智能设备的核心的控制器件MCU来说,自身的安全性也非常重要。然而目前针对MCU的破解和攻击方法有很多,例如穷举破解法(目前MCU还没有比较好的抗穷举破解法的方法)、电子探测攻击、探针攻击以及功耗攻击等。
可见,提高MCU的安全性,在智能化时代显得非常重要。此外由于中低端MCU本身就是一个低成本的产品,高端的安全加密方式并不适合于低成本的产品。所以迫切需要一种低成本的,又能对抗穷举攻击的破解方法的MCU认证方案。
发明内容
本发明的实施例提供一种MCU安全保护身份认证装置及方法,以解决当前缺少一种低成本的,又能对抗穷举攻击的破解方法的MCU认证方案。
为达到上述目的,本发明采用如下技术方案:
一种MCU安全保护身份认证装置,包括授权码生成电路、授权身份校验电路、授权码校验电路和身份认证校验电路;
所述授权码生成电路与MCU芯片中的电气参数设置寄存器以及具有身份标识生成功能的静态随机存储器连接,以根据电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值、或者电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成授权码;
所述授权身份校验电路,用于接收上位机发送的授权开启码,并对授权开启码进行校验;
所述授权码生成电路,还用于在授权身份校验电路校验授权开启码成功后,向所述上位机发送所述授权码;
所述授权码校验电路,用于接收上位机发送的授权校验码,并从授权码生成电路中获取所述授权码,并根据所述授权码对所述授权校验码进行校验,并在校验成功后向所述上位机发送授权码校验成功指令;
所述身份认证校验电路,用于接收上位机发送的身份认证码,并对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定;
所述身份认证校验电路,还用于在一预设时间内接受到多个身份认证码,且对所述身份认证码进行校验失败的次数大于等于预设失败次数阈值,则复位所述电气参数设置寄存器,使得MCU芯片失效。
具体的,所述身份认证校验电路,包括身份认证检测子电路、计数子电路以及复位信号生成子电路;
所述身份认证校验子电路,用于接收上位机发送的身份认证码,并对所述身份认证码进行校验,并在对所述身份认证码进行校验失败时发送脉冲信号到计数子电路;
所述计数子电路,用于记录一预设时间内接受到脉冲信号的次数;
所述复位信号生成子电路,用于监测计数子电路中的预设时间内接受到脉冲信号的次数,在预设时间内接受到脉冲信号的次数大于等于预设次数阈值后,生成复位信号,并输出所述复位信号到MCU芯片中的电气参数设置寄存器,以使得电气参数设置寄存器完成复位。
具体的,所述身份认证检测子电路包括第一比较器和第一寄存器;所述第一寄存器用于记录各时钟周期上位机发送的身份认证码;
所述第一比较器用于接收上位机发送的第n个时钟周期的身份认证码,并从第一寄存器中获取第n-1个时钟周期的身份认证码,将第n个时钟周期的身份认证码与第n-1个时钟周期的身份认证码进行比较,并在比较结果不相同时输出第n个时钟周期的脉冲信号。
具体的,所述计数子电路,包括一计数器;
所述计数器用于接收各始终周期的脉冲信号,并进行计数;
所述计数器还与看门狗计数器比特值复位电路连接,以接收看门狗计数器比特值复位电路的计数器复位信号,完成计数器复位。
具体的,所述复位信号生成子电路,包括第一多路选择器、第二多路选择器、第二比较器以及第二寄存器;
所述第一多路选择器的两路输入端分别加载所述计数器输出的预设时间内接受到脉冲信号的次数和第一触发保护期待值;
所述第二比较器的两路输入端的一端连接所述第一多路选择器的输出端,另一端加载第二触发保护期待值;在所述第一多路选择器的输出端输出的是预设时间内接受到脉冲信号的次数,且与第二触发保护期待值相等时,所述第二比较器输出第一信号到所述第二寄存器的输入端;
所述第二多路选择器的两路输入端分别加载第二信号和第三信号;
所述第二寄存器的输出端输出所述第一信号到第一多路选择器和第二多路选择器的控制端,以控制第一多路选择器的输出端输出第一触发保护期待值,并控制所述第二多路选择器选择所述第二信号,并输出复位信号到MCU芯片中的电气参数设置寄存器。
一种MCU安全保护身份认证方法,应用于上述的MCU安全保护身份认证装置,方法包括:
接收上位机发送的授权开启码,并对授权开启码进行校验;
在校验授权开启码成功后,向所述上位机发送授权码;所述授权码是根据MCU芯片中的电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值、或者电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成的;
接收上位机发送的授权校验码,并根据所述授权码对所述授权校验码进行校验,在校验成功后向所述上位机发送授权码校验成功指令;
接收上位机发送的身份认证码,对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定;
在一预设时间内接受到多个身份认证码,且对所述身份认证码进行校验失败的次数大于等于预设失败次数阈值,则复位所述电气参数设置寄存器,使得MCU芯片失效。
具体的,所述接收上位机发送的身份认证码,对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定,包括:
接收上位机发送的身份认证码,并对所述身份认证码进行校验,并在对所述身份认证码进行校验失败时,进行计数,以记录一预设时间内对所述身份认证码进行校验失败的次数;
在预设时间内对所述身份认证码进行校验失败的次数大于等于预设次数阈值后,生成复位信号,并输出所述复位信号到MCU芯片中的电气参数设置寄存器,以使得电气参数设置寄存器完成复位,使得MCU芯片被锁定。
一种MCU安全保护身份认证装置,包括:
授权开启码校验单元,用于接收上位机发送的授权开启码,并对授权开启码进行校验;
授权码发送单元,用于在校验授权开启码成功后,向所述上位机发送授权码;所述授权码是根据MCU芯片中的电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值、或电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成的;
授权码校验单元,用于接收上位机发送的授权校验码,并根据所述授权码对所述授权校验码进行校验,在校验成功后向所述上位机发送授权码校验成功指令;
身份认证码校验单元,用于接收上位机发送的身份认证码,对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定;
所述身份认证码校验单元,具体用于在一预设时间内接受到多个身份认证码,且对所述身份认证码进行校验失败的次数大于等于预设失败次数阈值,则复位所述电气参数设置寄存器,使得MCU芯片失效。
另外,所述身份认证码校验单元,具体用于:
接收上位机发送的身份认证码,并对所述身份认证码进行校验,并在对所述身份认证码进行校验失败时,进行计数,以记录一预设时间内对所述身份认证码进行校验失败的次数;
在预设时间内对所述身份认证码进行校验失败的次数大于等于预设次数阈值后,生成复位信号,并输出所述复位信号到MCU芯片中的电气参数设置寄存器,以使得电气参数设置寄存器完成复位,使得MCU芯片被锁定。
本发明的实施例提供一种MCU安全保护身份认证装置及方法,通过一授权码生成电路可以根据MCU芯片中的电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值、或电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成授权码;这样,经过对上位机发送的授权开启码进行校验成功后,可以向上位机发送该授权码,使得上位机侧的用户可以查看到该授权码,并输入一授权校验码;进而可以根据授权码对该授权校验码进行校验,并在校验成功后再进行身份认证码的校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定。这样在身份认证码的校验之前增加了授权过程,而并非采用固定身份认证的方式,以解决当前缺少一种低成本的,又能对抗穷举攻击的破解方法的MCU认证方案。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中的MCU的安全身份认证方式的示意图;
图2为本发明实施例提供的一种MCU安全保护身份认证装置的结构示意图一;
图3为本发明实施例提供的一种MCU安全保护身份认证装置的结构示意图二;
图4为本发明实施例中的身份认证校验电路的结构示意图;
图5为本发明实施例提供的一种MCU安全保护身份认证方法的流程图;
图6为本发明实施例提供的一种MCU安全保护身份认证装置的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中,所提到的如下几个概念解释如下:
身份认证:身份认证是令验证方确定正在与其通信的另一方具有与其通信的合法权限。身份认证是用户在MCU、计算机或网络系统中获得访问权限的第一步,也是信息安全的第一道防线。
穷举破解法:穷举破解法是一种针对于密码的破译方法。这种方法很像数学上的“完全归纳法”,穷举破解法在密码破译方面得到了广泛的应用。简单来说就是将密码进行逐个推算直到找出真正的密码为止。比如一个四位并且全部由数字组成其密码共有10000种组合。这样,运用计算机来进行逐个推算,使得采用穷举破解法破解任何一个密码也都只是一个时间问题。
在实现本发明实施例的过程中,发明人发现现有技术中的MCU的安全身份认证方式如图1所示,其采用固定身份认证的方式进行安全保护,即在MCU芯片101中,设置有身份认证电路102和用于存储身份标识值(简称ID值)的FLASH存储电路103。当身份认证电路102接收到用户输入的身份标识输入值(简称ID输入值)时,将调取FLASH存储电路103中的ID值与ID输入值进行比较认证。若比较认证不通过,则身份认证电路102会产生锁定信号,以锁定MCU芯片101。若比较认证通过,则MCU芯片101可被正常操作。然而,此种固定身份认证的方式的ID值较为单一,很容易被穷举破解法破解。在MCU的身份被破解后,入侵者可以植入或完全篡改程序。这样会给整机产品带来安全的隐患,特别是当今智能化的设备,植入或篡改程序将会带来不可估量的损失。
为了克服背景技术中和上述图1所对应的实施方式所存在的问题,如图2所示,本发明实施例提供一种MCU安全保护身份认证装置20,包括授权码生成电路201、授权身份校验电路202、授权码校验电路203和身份认证校验电路204。值得说明的是,该MCU安全保护身份认证装置20可设置于MCU芯片中。
所述授权码生成电路201与MCU芯片中的电气参数设置寄存器30及具有身份标识(即ID)生成功能的静态随机存储器50连接,以根据电气参数设置寄存器30的值、或具有身份标识生成功能的静态随机存储器50的值、或者电气参数设置寄存器30的值结合具有身份标识生成功能的静态随机存储器50的值生成授权码。此处电气参数设置寄存器30可以称为Trim寄存器。由于工艺的偏差等,在MCU芯片中,MCU会在初始化时根据闪存(FLASH)中的电气参数设置寄存器对MCU芯片的各种电气特征做补偿调整。其中,电气参数设置寄存器30的值有两个特点,①不同批次的MCU芯片的电气参数设置寄存器的值不相同;②电气参数设置寄存器的值设置偏差过大会导致芯片无法正常工作。具体的,授权码生成电路201可以采用随机数发生电路,电气参数设置寄存器30及具有身份标识生成功能的静态随机存储器50可以通过选择电路与随机数发生电路连接,以选择电气参数设置寄存器30的值或者具有身份标识生成功能的静态随机存储器50的值。另外还可以将电气参数设置寄存器30的值结合标识生成功能的静态随机存储器50的值输入到授权码生成电路201中,例如两个值的位数进行相接,如由两个32位的值变为64位的值,但不仅局限于此。
所述授权身份校验电路202,用于接收上位机40发送的授权开启码,并对授权开启码进行校验。此处,所述上位机可以是需应用所述MCU芯片的计算机等终端设备。而所述授权开启码可以是为了获得授权的启动的值,例如手机、计算机设备等的解锁过程中的验证过程中的密码、指纹信息等。此处对授权开启码进行校验的过程可以是通过比较器将授权开启码与预设值进行比较。若授权身份校验电路202校验授权开启码失败,则MCU芯片将被锁住。
所述授权码生成电路201,还用于在授权身份校验电路202校验授权开启码成功后,向所述上位机40发送所述授权码。这样,在上位机40上可以通过显示屏对授权码进行显示,或者采用其他方式令上位机40的用户获知该授权码。
所述授权码校验电路203,用于接收上位机40发送的授权校验码,并从授权码生成电路201中获取所述授权码,并根据所述授权码对所述授权校验码进行校验,并在校验成功后向所述上位机40发送授权码校验成功指令。该授权校验码可以是上位机40显示授权码后,用户通过该授权码所输入的授权校验码。这样,通过授权码对所述授权校验码进行校验,若校验失败,则MCU芯片将被锁住。
所述身份认证校验电路204,用于接收上位机40发送的身份认证码,并对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定。此处的身份认证码可以是例如在进行手机支付等过程中的用户身份认证信息,例如支付账号、密码等。
所述身份认证校验电路204,还用于在一预设时间内接受到多个身份认证码,且对所述身份认证码进行校验失败的次数大于等于预设失败次数阈值,则复位所述电气参数设置寄存器,使得MCU芯片失效。
另外,如图3所示,所述身份认证校验电路204,可以包括身份认证检测子电路205、计数子电路206以及复位信号生成子电路207。
所述身份认证校验子电路205,用于接收上位机40发送的身份认证码,并对所述身份认证码进行校验,并在对所述身份认证码进行校验失败时发送脉冲信号到计数子电路206。
所述计数子电路206,用于记录一预设时间内接受到脉冲信号的次数。
所述复位信号生成子电路207,用于监测计数子电路206中的预设时间内接受到脉冲信号的次数,在预设时间内接受到脉冲信号的次数大于等于预设次数阈值后,生成复位信号,并输出所述复位信号到MCU芯片中的电气参数设置寄存器30,以使得电气参数设置寄存器30完成复位。这样,在电气参数设置寄存器30完成复位后,MCU芯片将无法正常工作,即MCU芯片被锁住。通过身份认证检测子电路205、计数子电路206以及复位信号生成子电路207可以有效降低穷举破解法的破解概率。
具体的,如图4所示,所述身份认证检测子电路205包括第一比较器208和第一寄存器209;所述第一寄存器209用于记录各时钟周期上位机发送的身份认证码。
所述第一比较器208用于接收上位机发送的第n个时钟周期的身份认证码,并从第一寄存器209中获取第n-1个时钟周期的身份认证码,将第n个时钟周期的身份认证码与第n-1个时钟周期的身份认证码进行比较,并在比较结果不相同时输出第n个时钟周期的脉冲信号。
具体的,如图4所示,所述计数子电路206,包括一计数器210。
所述计数器210用于接收各始终周期的脉冲信号,并进行计数;所述计数器210还与看门狗计数器比特值复位电路211连接,以接收看门狗计数器比特值复位电路211的计数器复位信号,完成计数器210复位,即复位后,计数器210需要重新计数。
具体的,如图4所示,所述复位信号生成子电路207,包括第一多路选择器212、第二多路选择器213、第二比较器214以及第二寄存器215。
所述第一多路选择器212的两路输入端分别加载所述计数器210输出的预设时间内接受到脉冲信号的次数和第一触发保护期待值。
所述第二比较器214的两路输入端的一端连接所述第一多路选择器212的输出端,另一端加载第二触发保护期待值;在所述第一多路选择器212的输出端输出的是预设时间内接受到脉冲信号的次数,且与第二触发保护期待值相等(表示预设时间内接受到脉冲信号的次数达到了预设阈值,即预设时间内身份认证码校验失败的次数达到了预设阈值)时,所述第二比较器214输出第一信号到所述第二寄存器215的输入端。在第一多路选择器212的输出端输出的是第一触发保护期待值时,则第二比较器214不输出该第一信号。该第一信号可以是数值“1”。
所述第二多路选择器213的两路输入端分别加载第二信号和第三信号。该第二信号可以是数值1,第三信号可以是数值0。
所述第二寄存器215的输出端输出所述第一信号到第一多路选择器212和第二多路选择器213的控制端,以控制第一多路选择器212的输出端输出第一触发保护期待值,并控制所述第二多路选择器213选择所述第二信号,并输出复位信号到MCU芯片中的电气参数设置寄存器30。第二多路选择器213选择所述第二信号时,即可生成持续有效的复位信号到MCU芯片中的电气参数设置寄存器30处。
本发明的实施例提供一种MCU安全保护身份认证装置,通过一授权码生成电路可以根据MCU芯片中的电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值或者电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成授权码;这样,经过对上位机发送的授权开启码进行校验成功后,可以向上位机发送该授权码,使得上位机侧的用户可以查看到该授权码,并输入一授权校验码;进而可以根据授权码对该授权校验码进行校验,并在校验成功后再进行身份认证码的校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定。这样在身份认证码的校验之前增加了授权过程,而并非采用固定身份认证的方式,因此本发明实施例提高了MCU芯片的安全级别,可解决当前缺少一种低成本的,又能对抗穷举攻击的破解方法的MCU认证方案。
如图5所示,本发明实施例提供一种MCU安全保护身份认证方法,应用于上述图2和图3所示的MCU安全保护身份认证装置,方法包括:
步骤301、接收上位机发送的授权开启码,并对授权开启码进行校验。
步骤302、在校验授权开启码成功后,向所述上位机发送授权码;所述授权码是根据MCU芯片中的电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值、或者电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成的。
步骤303、接收上位机发送的授权校验码,并根据所述授权码对所述授权校验码进行校验,在校验成功后向所述上位机发送授权码校验成功指令。
步骤304、接收上位机发送的身份认证码,对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定。
步骤305、在一预设时间内接受到多个身份认证码,且对所述身份认证码进行校验失败的次数大于等于预设失败次数阈值,则复位所述电气参数设置寄存器,使得MCU芯片失效。
具体的,上述步骤304中,所述接收上位机发送的身份认证码,对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定,可以通过如下方式实现:
接收上位机发送的身份认证码,并对所述身份认证码进行校验,并在对所述身份认证码进行校验失败时,进行计数,以记录一预设时间内对所述身份认证码进行校验失败的次数;
在预设时间内对所述身份认证码进行校验失败的次数大于等于预设次数阈值后,生成复位信号,并输出所述复位信号到MCU芯片中的电气参数设置寄存器,以使得电气参数设置寄存器完成复位,使得MCU芯片被锁定。
值得说明的是,本发明的实施例提供的一种MCU安全保护身份认证方法的实现方式可以参见上述的方法实施例,此处不再赘述。
本发明的实施例提供一种MCU安全保护身份认证方法,通过一授权码生成电路可以根据MCU芯片中的电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值、或者电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成授权码;这样,经过对上位机发送的授权开启码进行校验成功后,可以向上位机发送该授权码,使得上位机侧的用户可以查看到该授权码,并输入一授权校验码;进而可以根据授权码对该授权校验码进行校验,并在校验成功后再进行身份认证码的校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定。这样在身份认证码的校验之前增加了授权过程,而并非采用固定身份认证的方式,以解决当前缺少一种低成本的,又能对抗穷举攻击的破解方法的MCU认证方案。
如图6所示,本发明实施例提供一种MCU安全保护身份认证装置,包括:
授权开启码校验单元41,用于接收上位机发送的授权开启码,并对授权开启码进行校验。
授权码发送单元42,用于在校验授权开启码成功后,向所述上位机发送授权码;所述授权码是根据MCU芯片中的电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值、或者电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成的。
授权码校验单元43,用于接收上位机发送的授权校验码,并根据所述授权码对所述授权校验码进行校验,在校验成功后向所述上位机发送授权码校验成功指令。
身份认证码校验单元44,用于接收上位机发送的身份认证码,对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定。
所述身份认证码校验单元44,具体用于在一预设时间内接受到多个身份认证码,且对所述身份认证码进行校验失败的次数大于等于预设失败次数阈值,则复位所述电气参数设置寄存器,使得MCU芯片失效。
此外,所述身份认证码校验单元44,具体用于:
接收上位机发送的身份认证码,并对所述身份认证码进行校验,并在对所述身份认证码进行校验失败时,进行计数,以记录一预设时间内对所述身份认证码进行校验失败的次数。
在预设时间内对所述身份认证码进行校验失败的次数大于等于预设次数阈值后,生成复位信号,并输出所述复位信号到MCU芯片中的电气参数设置寄存器,以使得电气参数设置寄存器完成复位,使得MCU芯片被锁定。
本发明的实施例提供一种MCU安全保护身份认证装置,通过一授权码生成电路可以根据MCU芯片中的电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值、或者电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成授权码;这样,经过对上位机发送的授权开启码进行校验成功后,可以向上位机发送该授权码,使得上位机侧的用户可以查看到该授权码,并输入一授权校验码;进而可以根据授权码对该授权校验码进行校验,并在校验成功后再进行身份认证码的校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定。这样在身份认证码的校验之前增加了授权过程,而并非采用固定身份认证的方式,以解决当前缺少一种低成本的,又能对抗穷举攻击的破解方法的MCU认证方案。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种MCU安全保护身份认证装置,其特征在于,包括授权码生成电路、授权身份校验电路、授权码校验电路和身份认证校验电路;
所述授权码生成电路与MCU芯片中的电气参数设置寄存器以及具有身份标识生成功能的静态随机存储器连接,以根据电气参数设置寄存器的值或具有身份标识生成功能的静态随机存储器的值、或电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成授权码;
所述授权身份校验电路,用于接收上位机发送的授权开启码,并对授权开启码进行校验;
所述授权码生成电路,还用于在授权身份校验电路校验授权开启码成功后,向所述上位机发送所述授权码;
所述授权码校验电路,用于接收上位机发送的授权校验码,并从授权码生成电路中获取所述授权码,并根据所述授权码对所述授权校验码进行校验,并在校验成功后向所述上位机发送授权码校验成功指令;
所述身份认证校验电路,用于接收上位机发送的身份认证码,并对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定;
所述身份认证校验电路,还用于在一预设时间内接受到多个身份认证码,且对所述身份认证码进行校验失败的次数大于等于预设失败次数阈值,则复位所述电气参数设置寄存器,使得MCU芯片失效。
2.根据权利要求1所述的MCU安全保护身份认证装置,其特征在于,所述身份认证校验电路,包括身份认证检测子电路、计数子电路以及复位信号生成子电路;
所述身份认证校验子电路,用于接收上位机发送的身份认证码,并对所述身份认证码进行校验,并在对所述身份认证码进行校验失败时发送脉冲信号到计数子电路;
所述计数子电路,用于记录一预设时间内接受到脉冲信号的次数;
所述复位信号生成子电路,用于监测计数子电路中的预设时间内接受到脉冲信号的次数,在预设时间内接受到脉冲信号的次数大于等于预设次数阈值后,生成复位信号,并输出所述复位信号到MCU芯片中的电气参数设置寄存器,以使得电气参数设置寄存器完成复位。
3.根据权利要求2所述的MCU安全保护身份认证装置,其特征在于,所述身份认证检测子电路包括第一比较器和第一寄存器;所述第一寄存器用于记录各时钟周期上位机发送的身份认证码;
所述第一比较器用于接收上位机发送的第n个时钟周期的身份认证码,并从第一寄存器中获取第n-1个时钟周期的身份认证码,将第n个时钟周期的身份认证码与第n-1个时钟周期的身份认证码进行比较,并在比较结果不相同时输出第n个时钟周期的脉冲信号。
4.根据权利要求3所述的MCU安全保护身份认证装置,其特征在于,所述计数子电路,包括一计数器;
所述计数器用于接收各始终周期的脉冲信号,并进行计数;
所述计数器还与看门狗计数器比特值复位电路连接,以接收看门狗计数器比特值复位电路的计数器复位信号,完成计数器复位。
5.根据权利要求4所述的MCU安全保护身份认证装置,其特征在于,所述复位信号生成子电路,包括第一多路选择器、第二多路选择器、第二比较器以及第二寄存器;
所述第一多路选择器的两路输入端分别加载所述计数器输出的预设时间内接受到脉冲信号的次数和第一触发保护期待值;
所述第二比较器的两路输入端的一端连接所述第一多路选择器的输出端,另一端加载第二触发保护期待值;在所述第一多路选择器的输出端输出的是预设时间内接受到脉冲信号的次数,且与第二触发保护期待值相等时,所述第二比较器输出第一信号到所述第二寄存器的输入端;
所述第二多路选择器的两路输入端分别加载第二信号和第三信号;
所述第二寄存器的输出端输出所述第一信号到第一多路选择器和第二多路选择器的控制端,以控制第一多路选择器的输出端输出第一触发保护期待值,并控制所述第二多路选择器选择所述第二信号,并输出复位信号到MCU芯片中的电气参数设置寄存器。
6.一种MCU安全保护身份认证方法,其特征在于,应用于权利要求1至5任一项所述的MCU安全保护身份认证装置,方法包括:
接收上位机发送的授权开启码,并对授权开启码进行校验;
在校验授权开启码成功后,向所述上位机发送授权码;所述授权码是根据MCU芯片中的电气参数设置寄存器的值或具有身份标识生成功能的静态随机存储器的值、或者电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成的;
接收上位机发送的授权校验码,并根据所述授权码对所述授权校验码进行校验,在校验成功后向所述上位机发送授权码校验成功指令;
接收上位机发送的身份认证码,对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定;
在一预设时间内接受到多个身份认证码,且对所述身份认证码进行校验失败的次数大于等于预设失败次数阈值,则复位所述电气参数设置寄存器,使得MCU芯片失效。
7.根据权利要求6所述的MCU安全保护身份认证方法,其特征在于,所述接收上位机发送的身份认证码,对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定,包括:
接收上位机发送的身份认证码,并对所述身份认证码进行校验,并在对所述身份认证码进行校验失败时,进行计数,以记录一预设时间内对所述身份认证码进行校验失败的次数;
在预设时间内对所述身份认证码进行校验失败的次数大于等于预设次数阈值后,生成复位信号,并输出所述复位信号到MCU芯片中的电气参数设置寄存器,以使得电气参数设置寄存器完成复位,使得MCU芯片被锁定。
8.一种MCU安全保护身份认证装置,其特征在于,包括:
授权开启码校验单元,用于接收上位机发送的授权开启码,并对授权开启码进行校验;
授权码发送单元,用于在校验授权开启码成功后,向所述上位机发送授权码;所述授权码是根据MCU芯片中的电气参数设置寄存器的值、或具有身份标识生成功能的静态随机存储器的值、或电气参数设置寄存器的值结合具有身份标识生成功能的静态随机存储器的值生成的;
授权码校验单元,用于接收上位机发送的授权校验码,并根据所述授权码对所述授权校验码进行校验,在校验成功后向所述上位机发送授权码校验成功指令;
身份认证码校验单元,用于接收上位机发送的身份认证码,对所述身份认证码进行校验,生成认证结果,以根据所述认证结果确定MCU芯片能被正常操作或锁定;
所述身份认证码校验单元,具体用于在一预设时间内接受到多个身份认证码,且对所述身份认证码进行校验失败的次数大于等于预设失败次数阈值,则复位所述电气参数设置寄存器,使得MCU芯片失效。
9.根据权利要求8所述的MCU安全保护身份认证装置,其特征在于,所述身份认证码校验单元,具体用于:
接收上位机发送的身份认证码,并对所述身份认证码进行校验,并在对所述身份认证码进行校验失败时,进行计数,以记录一预设时间内对所述身份认证码进行校验失败的次数;
在预设时间内对所述身份认证码进行校验失败的次数大于等于预设次数阈值后,生成复位信号,并输出所述复位信号到MCU芯片中的电气参数设置寄存器,以使得电气参数设置寄存器完成复位,使得MCU芯片被锁定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711418422.0A CN107977568B (zh) | 2017-12-25 | 2017-12-25 | Mcu安全保护身份认证装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711418422.0A CN107977568B (zh) | 2017-12-25 | 2017-12-25 | Mcu安全保护身份认证装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107977568A true CN107977568A (zh) | 2018-05-01 |
| CN107977568B CN107977568B (zh) | 2020-05-15 |
Family
ID=62007642
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711418422.0A Active CN107977568B (zh) | 2017-12-25 | 2017-12-25 | Mcu安全保护身份认证装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107977568B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108932408A (zh) * | 2018-08-03 | 2018-12-04 | 广东工业大学 | 一种使能信号控制电路及一种芯片 |
| CN109977655A (zh) * | 2019-03-28 | 2019-07-05 | 上海灵信视觉技术股份有限公司 | 一种主从架构系统下的设备互锁控制方法 |
| CN112723072A (zh) * | 2020-12-28 | 2021-04-30 | 上海贝思特电气有限公司 | 一种电梯控制方法、装置、电子设备和存储介质 |
| CN113326484A (zh) * | 2021-07-22 | 2021-08-31 | 北京天御云安科技有限公司 | 一种使用单向函数对fpga固件进行授权保护的方法 |
| CN116150731A (zh) * | 2022-11-28 | 2023-05-23 | 深圳市富临通实业股份有限公司 | 一种基于uid的mcu内部程序防抄袭的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2812076Y (zh) * | 2005-07-08 | 2006-08-30 | 北京飞天诚信科技有限公司 | 基于mmc/sdio接口的信息安全设备 |
| CN101494645A (zh) * | 2008-01-25 | 2009-07-29 | 联发科技股份有限公司 | 认证下载到闪存的程序的装置及方法 |
| CN101986597A (zh) * | 2010-10-20 | 2011-03-16 | 杭州晟元芯片技术有限公司 | 一种带生物特征识别功能的身份认证系统及其认证方法 |
| CN103518207A (zh) * | 2011-04-04 | 2014-01-15 | 三星电子株式会社 | 用于保护内容的方法、主机、存储器和机器可读存储介质 |
| CN103607281A (zh) * | 2013-11-12 | 2014-02-26 | 飞天诚信科技股份有限公司 | 一种安全设备的解锁方法和系统 |
| US20150334099A1 (en) * | 2014-05-19 | 2015-11-19 | Bank Of America Corporation | Service Channel Authentication Token |
-
2017
- 2017-12-25 CN CN201711418422.0A patent/CN107977568B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN2812076Y (zh) * | 2005-07-08 | 2006-08-30 | 北京飞天诚信科技有限公司 | 基于mmc/sdio接口的信息安全设备 |
| CN101494645A (zh) * | 2008-01-25 | 2009-07-29 | 联发科技股份有限公司 | 认证下载到闪存的程序的装置及方法 |
| CN101986597A (zh) * | 2010-10-20 | 2011-03-16 | 杭州晟元芯片技术有限公司 | 一种带生物特征识别功能的身份认证系统及其认证方法 |
| CN103518207A (zh) * | 2011-04-04 | 2014-01-15 | 三星电子株式会社 | 用于保护内容的方法、主机、存储器和机器可读存储介质 |
| CN103607281A (zh) * | 2013-11-12 | 2014-02-26 | 飞天诚信科技股份有限公司 | 一种安全设备的解锁方法和系统 |
| US20150334099A1 (en) * | 2014-05-19 | 2015-11-19 | Bank Of America Corporation | Service Channel Authentication Token |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108932408A (zh) * | 2018-08-03 | 2018-12-04 | 广东工业大学 | 一种使能信号控制电路及一种芯片 |
| CN108932408B (zh) * | 2018-08-03 | 2022-06-24 | 广东工业大学 | 一种使能信号控制电路及一种芯片 |
| CN109977655A (zh) * | 2019-03-28 | 2019-07-05 | 上海灵信视觉技术股份有限公司 | 一种主从架构系统下的设备互锁控制方法 |
| CN109977655B (zh) * | 2019-03-28 | 2021-03-02 | 上海灵信视觉技术股份有限公司 | 一种主从架构系统下的设备互锁控制方法 |
| CN112723072A (zh) * | 2020-12-28 | 2021-04-30 | 上海贝思特电气有限公司 | 一种电梯控制方法、装置、电子设备和存储介质 |
| CN113326484A (zh) * | 2021-07-22 | 2021-08-31 | 北京天御云安科技有限公司 | 一种使用单向函数对fpga固件进行授权保护的方法 |
| CN113326484B (zh) * | 2021-07-22 | 2021-10-29 | 北京天御云安科技有限公司 | 一种使用单向函数对fpga固件进行授权保护的方法 |
| CN116150731A (zh) * | 2022-11-28 | 2023-05-23 | 深圳市富临通实业股份有限公司 | 一种基于uid的mcu内部程序防抄袭的方法 |
| CN116150731B (zh) * | 2022-11-28 | 2023-09-15 | 深圳市富临通实业股份有限公司 | 一种基于uid的mcu内部程序防抄袭的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107977568B (zh) | 2020-05-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107977568A (zh) | Mcu安全保护身份认证装置及方法 | |
| CN105491054B (zh) | 恶意访问的判断方法、拦截方法与装置 | |
| CN101699820B (zh) | 动态口令的认证方法和装置 | |
| US9225717B1 (en) | Event-based data signing via time-based one-time authentication passcodes | |
| CN105516195B (zh) | 一种基于应用平台登录的安全认证系统及其认证方法 | |
| CN104219196B (zh) | 业务锁定方法、业务解锁方法、装置及系统 | |
| CN105323253A (zh) | 一种身份验证方法及装置 | |
| CN104426659B (zh) | 动态口令生成方法、认证方法及系统、相应设备 | |
| CN103065168A (zh) | 一种电子标签防伪方法及系统 | |
| CN106034123A (zh) | 认证方法、应用系统服务器及客户端 | |
| CN109167662A (zh) | 一种种子生成方法及其设备 | |
| CN102176712A (zh) | 一种身份认证的方法及数据卡 | |
| CN106027250A (zh) | 一种身份证信息安全传输方法及系统 | |
| CN110414271A (zh) | 一种隐私数据保护方法、装置及计算机可读存储介质 | |
| CN107563764A (zh) | 一种网络支付方法和系统 | |
| CN103366278A (zh) | 处理操作请求的方法及系统 | |
| CN113656775A (zh) | 一种带有效期的离线密码验证方法、系统及智能锁 | |
| CN106506529A (zh) | 一种双向认证方法及系统 | |
| CN103384249B (zh) | 网络接入认证方法、装置及系统、认证服务器 | |
| CN102045170B (zh) | 一种实现口令安全保护的方法及系统 | |
| US8601588B1 (en) | Method and system for detection of clone authenticator | |
| CN106452845B (zh) | 一种在线解锁的实现方法及装置 | |
| CN105243305A (zh) | 基于生物识别特征的访问控制方法及系统 | |
| US10749860B2 (en) | Systems and methods for authenticating devices using single factor dynamic authentication | |
| Hossain et al. | Adding Knock Code Technology as a Third Authentication Element to a Global Two-factor Authentication System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |