CN108449249B - 一种总线控制系统及方法 - Google Patents

Abstract

本发明属于计算机技术领域，尤其涉及一种总线控制系统及方法。所述总线控制系统包括：安全芯片以及总线控制器，操作系统在所述总线控制系统上运行，所述安全芯片与所述总线控制器耦合连接；在系统上电时，所述安全芯片关闭所述总线控制器中的总线开关，从而隔离所述操作系统通过所述总线控制器进行的总线操作；在需要进行总线操作时，所述操作系统提供安全保障信息并发送给所述安全芯片；所述安全芯片对所述安全保障信息进行验证；若验证成功，则开启所述总线控制器中的总线开关，从而恢复所述操作系统通过所述总线控制器进行的总线操作。也即在开启总线开关前，通过所述安全芯片对所述操作系统进行验证，大大提高了总线的安全性。

Description

一种总线控制系统及方法

技术领域

本发明属于计算机技术领域，尤其涉及一种总线控制系统及方法。

背景技术

信息产业的高速发展，带来了信息技术的空前繁荣，但危害信息安全的事件也不断发生，信息安全的形势是严峻的，尤其是汽车领域对总线的控制显得格外重要。但现有技术中对于总线的保护较为薄弱，如果连接到总线(比如CAN总线)的设备一旦被黑客攻破，黑客将直接侵入核心领域，对汽车控制系统实施操作，造成重大的安全隐患。

发明内容

有鉴于此，本发明实施例提供了一种总线控制系统及方法，以解决现有技术中对于总线的保护较为薄弱，易被侵入造成重大的安全隐患的问题。

本发明实施例的第一方面提供了一种总线控制系统，包括：安全芯片以及总线控制器，操作系统在所述总线控制系统上运行，所述安全芯片与所述总线控制器耦合连接；

在系统上电时，所述安全芯片关闭所述总线控制器中的总线开关；

在需要进行总线操作时，所述操作系统提供安全保障信息并发送给所述安全芯片；

所述安全芯片对所述安全保障信息进行验证；若验证成功，则开启所述总线控制器中的总线开关；

其中，所述操作系统仅能在所述总线控制器中的总线开关处于开启状态时通过所述总线控制器进行总线操作。

可选地，所述安全保障信息包括系统环境的当前特征值；

所述操作系统提供安全保障信息并发送给所述安全芯片包括：

所述操作系统对当前的系统环境进行特征运算，得到所述系统环境的当前特征值；所述操作系统将所述当前特征值发送给所述安全芯片；

所述安全芯片对所述安全保障信息进行验证包括：

所述安全芯片通过基准特征值对所述当前特征值进行验证，所述基准特征值为所述操作系统在系统初始化时对所述系统环境进行特征运算得到，然后存储至所述安全芯片中的特征值。

可选地，所述安全保障信息包括挑战码处理信息；

所述操作系统提供安全保障信息并发送给所述安全芯片包括：

所述操作系统从所述安全芯片中获取挑战码，并生成与所述挑战码对应的挑战码处理信息；所述操作系统将所述挑战码处理信息发送给所述安全芯片；

所述安全芯片对所述安全保障信息进行验证包括：

所述安全芯片对所述挑战码处理信息进行验证。

可选地，所述安全保障信息包括安全授权信息；

所述操作系统提供安全保障信息并发送给所述安全芯片包括：

所述操作系统从指定的远程设备中获取所述安全授权信息并将所述安全授权信息发送给所述安全芯片；

所述安全芯片对所述安全保障信息进行验证包括：

所述安全芯片对所述安全授权信息进行验证。

进一步地，若对所述安全保障信息验证失败，则所述安全芯片保持对所述总线控制器中的总线开关的关闭，并启动系统安全报警。

本发明实施例的第二方面提供了一种总线控制方法，可以包括：

在系统上电时，关闭总线控制器中的总线开关；

接收操作系统发送的安全保障信息；

对所述安全保障信息进行验证；

若验证成功，则开启所述总线控制器中的总线开关；

其中，所述操作系统仅能在所述总线控制器中的总线开关处于开启状态时通过所述总线控制器进行总线操作。

可选地，所述安全保障信息包括系统环境的当前特征值，所述当前特征值为所述操作系统对当前的系统环境进行特征运算得到的特征值；

所述对所述安全保障信息进行验证包括：

通过基准特征值对所述系统环境的当前特征值进行验证，所述基准特征值为所述操作系统在系统初始化时对所述系统环境进行特征运算得到，然后存储至安全芯片中的特征值。

可选地，所述安全保障信息包括挑战码处理信息，所述挑战码处理信息为所述操作系统生成的与从所述安全芯片中获取的挑战码对应的信息；

所述对所述安全保障信息进行验证包括：

对所述挑战码处理信息进行验证。

可选地，所述安全保障信息包括所述操作系统从指定的远程设备中获取的安全授权信息；

所述对所述安全保障信息进行验证包括：

对所述安全授权信息进行验证。

进一步地，所述总线控制方法还包括：

若对所述安全保障信息验证失败，则保持对所述总线控制器中的总线开关的关闭，并启动系统安全报警。

本发明实施例的第三方面提供了一种安全芯片，可以包括：

总线关闭模块，用于在系统上电时，关闭总线控制器中的总线开关；

安全保障信息接收模块，用于接收操作系统发送的安全保障信息；

安全保障信息验证模块，用于对所述安全保障信息进行验证；

总线开启模块，用于若验证成功，则开启所述总线控制器中的总线开关；

其中，所述操作系统仅能在所述总线控制器中的总线开关处于开启状态时通过所述总线控制器进行总线操作。

进一步地，所述安全芯片还可以包括：

安全报警模块，用于若验证失败，则保持对所述总线控制器中的总线开关的关闭，并启动系统安全报警。

可选地，若所述安全保障信息包括系统环境的当前特征值，则所述安全保障信息验证模块可以包括：

第一验证单元，用于通过基准特征值对所述系统环境的当前特征值进行验证。

其中，所述当前特征值为所述操作系统对当前的系统环境进行特征运算得到的特征值，所述基准特征值为所述操作系统在系统初始化时对所述系统环境进行特征运算得到，然后存储至所述安全芯片中的特征值。

可选地，若所述安全保障信息包括挑战码处理信息，则所述安全保障信息验证模块可以包括：

第二验证单元，用于对所述挑战码处理信息进行验证。

其中，所述挑战码处理信息为所述操作系统生成的与从所述安全芯片中获取的挑战码对应的信息。

可选地，若所述安全保障信息包括安全授权信息，则所述安全保障信息验证模块可以包括：

第三验证单元，用于对所述安全授权信息进行验证。

其中，所述安全保障信息包括所述操作系统从指定的远程设备中获取的数字签名。

本发明实施例的第四方面提供了一种安全芯片，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现以上任一种总线控制方法的步骤。

本发明实施例的第五方面提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现以上任一种总线控制方法的步骤。

本发明实施例与现有技术相比存在的有益效果是：本发明实施例在系统上电时，所述安全芯片关闭所述总线控制器中的总线开关，从而隔离所述操作系统通过所述总线控制器进行的总线操作；在需要进行总线操作时，所述操作系统提供安全保障信息，然后向所述安全芯片发送所述安全保障信息；所述安全芯片对所述安全保障信息进行验证；若验证成功，则开启所述总线控制器中的总线开关，从而恢复所述操作系统通过所述总线控制器进行的总线操作。也即在开启总线开关前，通过所述安全芯片对所述操作系统进行验证，只有通过验证后才可进行总线操作，杜绝了黑客对总线的侵入，大大提高了总线的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的一种总线控制系统的示意图；

图2为本发明实施例提供的一种总线控制方法的示意流程图；

图3为本发明实施例提供的一种安全芯片的功能结构示意图；

图4是本发明实施例提供的一种安全芯片的示意框图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

如图1所示，是本发明实施例提供的一种总线控制系统的示意图，所述总线控制系统可以包括：安全芯片以及总线控制器，操作系统在所述总线控制系统上运行，所述安全芯片与所述总线控制器耦合连接。

所述总线控制系统可以安装在各种涉及到总线控制的终端设备中，这些终端设备包括但不限于：汽车、船舶、飞行器、纺织机械、农用机械、数控机床、医疗器械以及机器人等。

以汽车为例，总线主要连接发动机控制单元、ABS控制单元、安全气囊控制单元、组合仪表、中控锁、电动门窗、后视镜、车内照明灯以及娱乐系统或智能通讯系统等，在其中进行信息的传递。所述总线控制系统对汽车总线进行控制，杜绝黑客对汽车总线的侵入，保障汽车总线的安全性。

所述总线控制系统还可以包括存储器和运行内存。所述存储器可以是所述总线控制系统的内部存储单元，例如所述总线控制系统的硬盘，所述存储器也可以是所述总线控制系统的外部存储设备，例如所述总线控制系统上配备的插接式硬盘，智能存储卡(SmartMedia Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器还可以既包括所述总线控制系统的内部存储单元也包括外部存储设备。

所述安全芯片可以为安全防护等级达到EAL4+或者EAL5+以上的外置加密芯片或者TPM芯片。

所述总线控制器中设置有总线开关，总线开关的开启或者关闭由所述安全芯片控制，所述操作系统仅能在总线开关处于开启状态时通过所述总线控制器进行总线操作，而在总线开关处于关闭状态时无法进行总线操作。

在系统上电时，所述安全芯片关闭所述总线控制器中的总线开关，从而隔离所述操作系统通过所述总线控制器进行的总线操作。

在需要进行总线操作时，所述操作系统提供安全保障信息，然后通过预设接口向所述安全芯片发送所述安全保障信息。

所述安全芯片在接收到所述安全保障信息后，对所述安全保障信息进行验证。

若验证成功，则开启所述总线控制器中的总线开关，从而恢复所述操作系统通过所述总线控制器进行的总线操作。

若验证失败，则保持对所述总线控制器中的总线开关的关闭，并启动系统安全报警。

其中，所述安全保障信息可以是多种多样的，针对不同的安全保障信息，所述安全芯片会采用不同的方式对所述安全保障信息进行验证。具体地，可以是以下的任意一种验证方式或者多种验证方式的组合：

验证方式一：所述安全保障信息可以包括系统环境的当前特征值。

所述操作系统提供安全保障信息并发送给所述安全芯片包括：

所述操作系统对当前的系统环境进行特征运算，得到所述系统环境的当前特征值，所述操作系统将所述当前特征值发送给所述安全芯片。

其中，所述系统环境可以包括所述存储器以及所述运行内存中存储的所有程序和数据，所述特征运算可以为哈希运算，所述特征值可以为运算所得的哈希值。

哈希运算是把任意长度的输入变换成固定长度的输出，该输出就是哈希值。这种转换是一种压缩映射，也就是，输出的长度通常远小于输入的长度，不同的输入可能会散列成相同的输出，而不可能从输出值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的过程。在本实施例中所使用的哈希运算可以包括但不限于MD4、MD5、SHA1等具体的算法。

具体地，所述操作系统对当前的系统环境进行特征运算时，首先清空所述运行内存，然后将所述存储器以及所述运行内存中存储的所有程序和数据作为哈希运算的输入，经过哈希运算后，得到系统环境的哈希值。

所述安全芯片对所述安全保障信息进行验证包括：

所述安全芯片通过基准特征值对所述当前特征值进行验证，其中，所述基准特征值为所述操作系统在系统初始化时对所述系统环境进行特征运算得到，然后存储至所述安全芯片中的特征值。

验证方式二：所述安全保障信息可以包括挑战码处理信息。

所述操作系统提供安全保障信息并发送给所述安全芯片包括：

所述操作系统从所述安全芯片中获取挑战码，并生成与所述挑战码对应的挑战码处理信息，所述操作系统将所述挑战码处理信息发送给所述安全芯片。所述挑战码为所述安全芯片随机生成的字符串。

所述安全芯片对所述安全保障信息进行验证包括：

所述安全芯片对所述挑战码处理信息进行验证。

在一种具体实现中，所述挑战码处理信息可以为对所述挑战码进行加密得到的加密信息。在进行加密时，可以使用对称加密算法，也可以使用非对称加密算法。

其中，对称加密算法为采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，本实施例中所使用的对称加密算法包括但不限于DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、IDEA、SKIPJACK、AES等具体的算法。若采用对称加密算法，则所述操作系统在获取到挑战码后，使用预设的密钥对所述挑战码进行加密，得到所述挑战码处理信息，并向所述安全芯片发送所述挑战码处理信息，所述安全芯片在接收到所述挑战码处理信息后，使用相同的密钥对所述挑战码处理信息进行解密，并将解密得到的结果与所述挑战码进行比对，若两者一致，则说明验证成功，若两者不一致，则说明验证失败。

非对称加密算法需要两个密钥，分别为公钥和私钥。公钥和私钥是一对，如果用公钥对信息进行加密，只有用对应的私钥才能解密；如果用私钥对数据进行加密，那么只有用对应的公钥才能解密。本实施例中所使用的非对称加密算法包括但不限于RSA、Elgamal、Rabin、D-H、ECC等具体的算法。若采用非对称加密算法，则所述操作系统在获取到挑战码后，使用其中的一个密钥(公钥或私钥)对所述挑战码进行加密，得到所述挑战码处理信息，并向所述安全芯片发送所述挑战码处理信息，所述安全芯片在接收到所述挑战码处理信息后，使用另一个密钥(若加密使用公钥，则此处使用私钥，若加密使用私钥，则此处使用公钥)对所述挑战码处理信息进行解密，并将解密得到的结果与所述挑战码进行比对，若两者一致，则说明验证成功，若两者不一致，则说明验证失败。

在另一种具体实现中，所述挑战码处理信息可以为根据所述挑战码生成的口令。在这种实现中，所述操作系统中和所述安全芯片均包括同样的电子令牌，且这两个电子令牌之间保持同步，在所述电子令牌中存储着一份种子文件，在预先设置的间隔时间里可以不断地从该种子文件中随机选取一个种子作为密钥，并使用这一密钥对所述挑战码进行加密，具体的加密算法可以为MD4、MD5、SHA1等。最后，从加密得到的结果的指定位置提取若干位(一般取6位或8为)作为所述口令。所述操作系统向所述安全芯片发送所述口令，所述安全芯片在接收到所述口令后，将其与自身生成的口令进行比对，若两者一致，则说明验证成功，若两者不一致，则说明验证失败。

验证方式三：所述安全保障信息可以包括安全授权信息；

所述操作系统提供安全保障信息并发送给所述安全芯片包括：

所述操作系统从指定的远程设备中获取所述安全授权信息并将所述安全授权信息发送给所述安全芯片。

所述安全芯片对所述安全保障信息进行验证包括：

所述安全芯片对所述安全授权信息进行验证。

所述安全授权信息为所述远程设备生成的数字签名，具体地，所述远程设备对自身的设备标识进行加密，从而得到所述数字签名，具体的加密算法可以采用上述的任意一种对称加密算法或者非对称加密算法，本实施例在此不再赘述。所述远程设备将所述数字签名发送至所述操作系统，所述操作系统再将其转发至所述安全芯片，所述安全芯片在接收到所述数字签名后，通过对应的对称加密算法或者非对称加密算法对其进行解签，并将解签的结果与预先存储的所述远程设备的设备标识进行比对，若两者一致，则说明验证成功，若两者不一致，则说明验证失败。

当黑客攻击操作系统时，由于黑客无法提供正确的安全保障信息，也就无法通过所述安全芯片的验证，所述安全芯片将关闭总线开关，从而实现了总线隔离的效果。

综上所述，本发明实施例在系统上电时，所述安全芯片关闭所述总线控制器中的总线开关，从而隔离所述操作系统通过所述总线控制器进行的总线操作；在需要进行总线操作时，所述操作系统提供安全保障信息，然后向所述安全芯片发送所述安全保障信息；所述安全芯片对所述安全保障信息进行验证；若验证成功，则开启所述总线控制器中的总线开关，从而恢复所述操作系统通过所述总线控制器进行的总线操作。也即在开启总线开关前，通过所述安全芯片对所述操作系统进行验证，只有通过验证后才可进行总线操作，杜绝了黑客对总线的侵入，大大提高了总线的安全性。

如图2所示，是本发明实施例提供的一种总线控制方法的示意流程图，所述方法的执行主体为图1中安全芯片，所述方法可以包括：

步骤S201、在系统上电时，关闭总线控制器中的总线开关，从而隔离所述操作系统通过总线控制器进行的总线操作。

步骤S202、接收操作系统发送的安全保障信息。

步骤S203、对所述安全保障信息进行验证。

其中，所述安全保障信息可以是多种多样的，针对不同的安全保障信息，所述安全芯片会采用不同的方式对所述安全保障信息进行验证。具体地，可以是以下的任意一种验证方式或者多种验证方式的组合：

验证方式一：当所述安全保障信息包括系统环境的当前特征值时，所述安全芯片通过基准特征值对所述系统环境的当前特征值进行验证。所述当前特征值为所述操作系统对当前的系统环境进行特征运算得到的特征值，所述基准特征值为所述操作系统在系统初始化时对所述系统环境进行特征运算得到，然后存储至所述安全芯片中的特征值。

在本实施例中，所述特征运算可以为哈希运算，所述特征值可以为哈希值。具体的运算过程可参照前述说明，此处不再赘述。

验证方式二：当所述安全保障信息包括挑战码处理信息时，所述安全芯片对所述挑战码处理信息进行验证，所述挑战码处理信息为所述操作系统生成的与从所述安全芯片中获取的挑战码对应的信息，所述挑战码为所述安全芯片随机生成的字符串。

在一种具体实现中，所述挑战码处理信息可以为对所述挑战码进行加密得到的加密信息。在进行加密时，可以使用对称加密算法，也可以使用非对称加密算法。

在另一种具体实现中，所述挑战码处理信息可以为根据所述挑战码生成的口令。

具体的验证过程可参照前述说明，此处不再赘述。

验证方式三：当所述安全保障信息包括安全授权信息时，所述安全芯片对所述安全授权信息进行验证，所述安全授权信息为所述操作系统从指定的远程设备中获取的数字签名。所述远程设备对自身的设备标识进行加密，从而得到所述数字签名，具体的加密算法可以采用上述的任意一种对称加密算法或者非对称加密算法，本实施例在此不再赘述。所述远程设备将所述数字签名发送至所述操作系统，所述操作系统再将其转发至所述安全芯片，所述安全芯片在接收到所述数字签名后，通过对应的对称加密算法或者非对称加密算法对其进行解签，并将解签的结果与预先存储的所述远程设备的设备标识进行比对，若两者一致，则说明验证成功，若两者不一致，则说明验证失败。

若验证成功，则执行步骤S204，若验证失败，则执行步骤S205。

步骤S204、开启所述总线控制器中的总线开关，从而恢复所述操作系统通过所述总线控制器进行的总线操作。

步骤S205、保持对所述总线控制器中的总线开关的关闭，并启动系统安全报警。

如图3所示，是本发明实施例提供的一种安全芯片的示意框图，所述安全芯片可以包括：

总线关闭模块301，用于在系统上电时，关闭总线控制器中的总线开关；

安全保障信息接收模块302，用于接收操作系统发送的安全保障信息；

安全保障信息验证模块303，用于对所述安全保障信息进行验证；

总线开启模块304，用于若验证成功，则开启所述总线控制器中的总线开关；

其中，所述操作系统仅能在所述总线控制器中的总线开关处于开启状态时通过所述总线控制器进行总线操作。

进一步地，所述安全芯片还可以包括：

安全报警模块，用于若验证失败，则保持对所述总线控制器中的总线开关的关闭，并启动系统安全报警。

可选地，若所述安全保障信息包括系统环境的当前特征值，则所述安全保障信息验证模块可以包括：

第一验证单元，用于通过基准特征值对所述系统环境的当前特征值进行验证。

其中，所述当前特征值为所述操作系统对当前的系统环境进行特征运算得到的特征值，所述基准特征值为所述操作系统在系统初始化时对所述系统环境进行特征运算得到，然后存储至所述安全芯片中的特征值。

可选地，若所述安全保障信息包括挑战码处理信息，则所述安全保障信息验证模块可以包括：

第二验证单元，用于对所述挑战码处理信息进行验证。

其中，所述挑战码处理信息为所述操作系统生成的与从所述安全芯片中获取的挑战码对应的信息。

可选地，若所述安全保障信息包括安全授权信息，则所述安全保障信息验证模块可以包括：

第三验证单元，用于对所述安全授权信息进行验证。

其中，所述安全保障信息包括所述操作系统从指定的远程设备中获取的数字签名。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的模块和单元的具体工作过程，可以参考前述系统及方法实施例中的对应过程，在此不再赘述。

图4是本发明一实施例提供的安全芯片的示意框图。如图4所示，该实施例的安全芯片4包括：处理器40、存储器41以及存储在所述存储器41中并可在所述处理器40上运行的计算机程序42。所述处理器40执行所述计算机程序42时实现上述总线控制方法实施例中的步骤，例如图2所示的步骤S201至步骤S205。或者，所述处理器40执行所述计算机程序42时实现上述实施例中各模块/单元的功能，例如图3所示模块301至模块304的功能。

示例性的，所述计算机程序42可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器41中，并由所述处理器40执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序42在所述安全芯片4中的执行过程。例如，所述计算机程序42可以被分割成总线关闭模块、安全保障信息接收模块、安全保障信息验证模块、总线开启模块。

所述安全芯片可包括，但不仅限于，处理器40、存储器41。本领域技术人员可以理解，图4仅仅是安全芯片4的示例，并不构成对安全芯片4的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件。

所述处理器40可以是中央处理单元(Central Processing Unit，CPU)，还可以是其它通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所述存储器41可以是所述安全芯片4的内部存储单元，例如安全芯片4的硬盘或内存。所述存储器41也可以是所述安全芯片4的外部存储设备，例如所述安全芯片4上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，所述存储器41还可以既包括所述安全芯片4的内部存储单元也包括外部存储设备。所述存储器41用于存储所述计算机程序以及所述安全芯片4所需的其它程序和数据。所述存储器41还可以用于暂时地存储已经输出或者将要输出的数据。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中，上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。另外，各功能单元、模块的具体名称也只是为了便于相互区分，并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述或记载的部分，可以参见其它实施例的相关描述。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的实施例中，应该理解到，所揭露的安全芯片和方法，可以通过其它的方式实现。例如，以上所描述的安全芯片实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口，装置或单元的间接耦合或通讯连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，RandomAccess Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是，所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，计算机可读介质不包括电载波信号和电信信号。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。

Claims (8)

1.一种总线控制系统，其特征在于，包括：安全芯片以及总线控制器，操作系统在所述总线控制系统上运行，所述安全芯片与所述总线控制器耦合连接；

在系统上电时，所述安全芯片关闭所述总线控制器中的总线开关，从而隔离所述操作系统通过所述总线控制器进行的总线操作；

在需要进行总线操作时，所述操作系统提供安全保障信息并发送给所述安全芯片；

所述安全芯片对所述安全保障信息进行验证；若验证成功，则开启所述总线控制器中的总线开关；

其中，所述操作系统仅能在所述总线控制器中的总线开关处于开启状态时通过所述总线控制器进行总线操作；

所述安全保障信息包括安全授权信息；

所述操作系统提供安全保障信息并发送给所述安全芯片包括：

所述操作系统从指定的远程设备中获取所述安全授权信息并将所述安全授权信息发送给所述安全芯片；

所述安全芯片对所述安全保障信息进行验证包括：

所述安全芯片对所述安全授权信息进行验证。

2.根据权利要求1所述的总线控制系统，其特征在于，所述安全保障信息包括系统环境的当前特征值；

所述操作系统提供安全保障信息并发送给所述安全芯片包括：

所述操作系统对当前的系统环境进行特征运算，得到所述系统环境的当前特征值；所述操作系统将所述当前特征值发送给所述安全芯片；

所述安全芯片对所述安全保障信息进行验证包括：

所述安全芯片通过基准特征值对所述当前特征值进行验证，所述基准特征值为所述操作系统在系统初始化时对所述系统环境进行特征运算得到，然后存储至所述安全芯片中的特征值。

3.根据权利要求1所述的总线控制系统，其特征在于，所述安全保障信息包括挑战码处理信息；

所述操作系统提供安全保障信息并发送给所述安全芯片包括：

所述操作系统从所述安全芯片中获取挑战码，并生成与所述挑战码对应的挑战码处理信息；所述操作系统将所述挑战码处理信息发送给所述安全芯片；

所述安全芯片对所述安全保障信息进行验证包括：

所述安全芯片对所述挑战码处理信息进行验证。

4.根据权利要求1至3中任一项所述的总线控制系统，其特征在于，还包括：

若对所述安全保障信息验证失败，则所述安全芯片保持对所述总线控制器中的总线开关的关闭，并启动系统安全报警。

5.一种总线控制方法，其特征在于，包括：

在系统上电时，关闭总线控制器中的总线开关，从而隔离操作系统通过所述总线控制器进行的总线操作；

接收操作系统发送的安全保障信息；

对所述安全保障信息进行验证；

若验证成功，则开启所述总线控制器中的总线开关；

其中，所述操作系统仅能在所述总线控制器中的总线开关处于开启状态时通过所述总线控制器进行总线操作；

所述安全保障信息包括所述操作系统从指定的远程设备中获取的安全授权信息；

所述对所述安全保障信息进行验证包括：

对所述安全授权信息进行验证。

6.根据权利要求5所述的总线控制方法，其特征在于，所述安全保障信息包括系统环境的当前特征值，所述当前特征值为所述操作系统对当前的系统环境进行特征运算得到的特征值；

所述对所述安全保障信息进行验证包括：

通过基准特征值对所述系统环境的当前特征值进行验证，所述基准特征值为所述操作系统在系统初始化时对所述系统环境进行特征运算得到，然后存储至安全芯片中的特征值。

7.根据权利要求5所述的总线控制方法，其特征在于，所述安全保障信息包括挑战码处理信息，所述挑战码处理信息为所述操作系统生成的与从所述安全芯片中获取的挑战码对应的信息；

所述对所述安全保障信息进行验证包括：

对所述挑战码处理信息进行验证。

8.根据权利要求5至7中任一项所述的总线控制方法，其特征在于，还包括：

若对所述安全保障信息验证失败，则保持对所述总线控制器中的总线开关的关闭，并启动系统安全报警。

Images