CN108491735A - Nor Flash安全存储方法、装置和设备 - Google Patents
Nor Flash安全存储方法、装置和设备 Download PDFInfo
- Publication number
- CN108491735A CN108491735A CN201810187973.9A CN201810187973A CN108491735A CN 108491735 A CN108491735 A CN 108491735A CN 201810187973 A CN201810187973 A CN 201810187973A CN 108491735 A CN108491735 A CN 108491735A
- Authority
- CN
- China
- Prior art keywords
- memory block
- flash
- safety
- processor
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种Nor Flash安全存储方法,包括:检测处理器访问Nor Flash的安全加密存储区的权限;在检测到权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理;在检测到权限为无效时,断开处理器的数据线与安全加密存储区的连接。在权限为有效时通过对数据线连接安全加密存储区的数据线管脚的一端进行移位处理进行移位处理,实现安全加密存储区的加密写入、解密读取;避免了处理器资源的耗费,提高了数据安全存储的读写效率,并实现数据内容加密存放,提高保密性。
Description
技术领域
本发明涉及安全存储技术领域,特别是涉及一种Nor Flash安全存储方法、装置和设备。
背景技术
Nor Flash是一种非易失性存储器,用于存储程序和数据,广泛应用于各种电子设备。由于Nor Flash接口遵循统一的标准,除了可通过处理器在线读写外,还可通过离线编程/读写器进行读写。其存储的数据未经过加密,容易受到黑客在线攻击,或者被恶意复制或篡改。
为提高数据存储的安全性,安全存储技术的研究和应用日益受到重视。但在实现过程中,发明人发现传统技术中至少存在如下问题:传统的Flash安全存储技术耗费处理器资源,加解密效率不高,数据内容明文存放,保密性较差。
发明内容
基于此,有必要针对统的Flash安全存储技术耗费处理器资源,加解密效率不高,数据内容明文存放,保密性较差的问题,提供一种Nor Flash安全存储方法、装置和设备。
为了实现上述目的,一方面,本发明实施例提供了一种Nor Flash安全存储方法,包括:
检测处理器访问Nor Flash的安全加密存储区的权限;
在检测到权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理;
在检测到权限为无效时,断开处理器的数据线与安全加密存储区的连接。
在其中一个实施例中,
对数据线连接安全加密存储区的数据线管脚的一端进行移位处理的步骤包括:
根据预设移位因子,对数据线连接安全加密存储区的数据线管脚的一端进行移位处理。
在其中一个实施例中,检测处理器访问Nor Flash的安全加密存储区的权限的步骤包括:
验证处理器传输的授权信息与预设检验信息是否匹配;
在授权信息与预设检验信息匹配时,确认权限为有效;
在授权信息与预设检验信息不匹配时,确认权限为无效。
在其中一个实施例中,检测处理器访问Nor Flash的安全加密存储区的权限的步骤还包括:
在确认权限为有效时,清零并启动授权保活定时器进行访问计时;
在访问计时超过预设访问时效时,更改权限为无效。
在其中一个实施例中,在验证处理器传输的授权信息与预设检验信息是否匹配的步骤之前,还包括:
接收处理器通过安全指令通道传输的授权信息;安全指令通道为以下任意一项或任意组合:SPI(Serial Peripheral Interface,串行外设接口)、I2C(Inter-IntegratedCircuit,两线式串行总线)、GPIO(General Purpose Input Output通用输入/输出)、LocalBus。
在其中一个实施例中,在检测处理器访问Nor Flash的安全加密存储区的权限的步骤之前,还包括:
对Nor Flash进行存储区划分,得到非加密存储区以及安全加密存储区。
在其中一个实施例中,在检测处理器访问Nor Flash的安全加密存储区的权限的步骤之前,还包括:
检测处理器连接Nor Flash的地址线,获取访问存储区地址信息;
Nor Flash安全存储方法还包括:
根据访问存储区地址信息,在确认处理器访问非加密存储区时,建立处理器的数据线与非加密存储区的连接;
检测处理器访问Nor Flash的安全加密存储区的权限的步骤包括:
根据访问存储区地址信息,在确认处理器访问安全加密存储区时,检测权限。
另一方面,本发明实施例还提供了一种Nor Flash安全存储装置,包括:
安全控制模块,用于检测处理器访问Nor Flash的安全加密存储区的权限;
加解密模块,用于在检测到权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理;
安全防御模块,用于在检测到权限为无效时,断开处理器的数据线与安全加密存储区的连接。
一种Nor Flash安全存储设备,包括连接Nor Flash的CPLD(ComplexProgrammable Logic Device,复杂可编程逻辑器件);
CPLD实现上述Nor Flash安全存储方法。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述Nor Flash安全存储方法的步骤。
上述技术方案中的一个技术方案具有如下优点和有益效果:
通过检测处理器访问Nor Flash的安全加密存储区的权限;在权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理,实现安全加密存储区的加密写入、解密读取;避免了处理器资源的耗费,提高了数据安全存储的读写效率,并实现数据内容加密存放,提高保密性。
附图说明
图1为一个实施例中Nor Flash安全存储方法的应用环境图;
图2为一个实施例中Nor Flash安全存储方法的第一示意性流程图;
图3为一个实施例中Nor Flash安全存储方法的非加密存储数据线连接示意图;
图4为一个实施例中Nor Flash安全存储方法的加密存储数据线连接示意图;
图5为一个实施例中Nor Flash安全存储方法的第二示意性流程图;
图6为一个实施例中Nor Flash安全存储方法的第三示意性流程图;
图7为一个实施例中Nor Flash安全存储方法的第四示意性流程图;
图8为一个实施例中Nor Flash安全存储方法的第五示意性流程图;
图9为一个实施例中Nor Flash安全存储方法的示意性系统架构图;
图10为一个实施例中Nor Flash安全存储方法的执行流程示意图;
图11为一个实施例中Nor Flash安全存储方法的加解密处理示意图;
图12为一个实施例中Nor Flash安全存储装置的结构示意图;
图13为一个实施例中Nor Flash安全存储设备的结构示意图。
具体实施方式
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的首选实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容更加透彻全面。
需要说明的是,当一个元件被认为是“连接”另一个元件,它可以是直接连接到另一个元件并与之结合为一体,或者可能同时存在居中元件。本文所使用的术语“建立”、“断开”、“有效”、“无效”以及类似的表述只是为了说明的目的。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
Nor Flash的数据线和地址线分开,相对而言,其读写速度快一些;其次,其操作则是以字或字节为单位进行的,在处理小数据量的I/O操作的时候的速度快;再者,其接口简单,数据操作少,位交换操作少,因此可靠性高,极少出现坏区块。Nor Flash有专用的地址引脚来寻址,较容易与其它芯片进行连接,主要应用在代码存储介质中,另外,还支持本地执行,应用程序可以直接在Nor Flash内部运行,可以简化产品设计。Nor Flash接口遵循统一的标准,除了可通过处理器在线读写外,还可通过离线编程/读写器进行读写;并且,其存储的数据未经过加密,容易受到黑客在线攻击,或者被恶意复制或篡改。传统Nor Flash的安全存储技术主要包括以下几种方法:①、通过处理器将数据加密后再写入Flash存储器,读取后通过处理器解密后使用;②、将Flash存储器上的数据的校验信息存入某个位置,读取后根据数据内容校验信息,并与预存的校验信息进行对比,以校验数据内容的合法性;③、通过控制Flash写保护管脚来实现这边Flash的写保护,避免恶意在线修改数据;④、通过CPLD重新映射处理器和Flash之间的地址总线连线来实现数据在Flash上不连续存放,间接起到Flash内容的整体不易解读的作用。
其中,方法①需要耗费处理器资源进行加解密,效率不高;方法②只保证了内容的合法性,但数据内容仍是明文存放;方法③对整片Flash进行了写保护,但并不能防止取下Flash使用离线编程/读写器进行读写的问题;方法④起到了Flash上整体数据文件不易解读的作用,但其具体地址上的字节数据仍然是明文可读的,保密性较差,且不能任意划分加密存储的区域。基于此,有必要针对统的Flash安全存储技术耗费处理器资源,加解密效率不高,数据内容明文存放,保密性较差的问题,提供一种不耗费处理器资源进行加解密计算、数据内容加密存放的Nor Flash安全存储方法,来防止黑客在线恶意读取数据或离线复制窃取数据。
为了实现上述目的,本发明实施例提供了一种Nor Flash安全存储方法,可应用于如图1所示的应用环境中,图1为一个实施例中Nor Flash安全存储方法的应用环境图,其中,该应用环境中的系统架构主要包含了中央处理器CPU(Central Processing Unit)、复杂可编程逻辑器件CPLD和Nor Flash三个部件。通过CPLD转接CPU访问Flash的相关信号线(可包括数据线、使能及读写控制信号线)。CPU和CPLD之间可留有安全指令通道,用于传递访问Nor Flash上的安全加密存储区的授权指令。授权用户可访问整片Flash区域(包括非加密存储区和安全加密存储区),而非授权用户只能访问非加密存储区。
在一个实施例中,参见图2,图2为一个实施例中Nor Flash安全存储方法的第一示意性流程图,包括:
步骤S210,检测处理器访问Nor Flash的安全加密存储区的权限;
具体而言,检测处理器是否具备访问Nor Flash的安全加密存储区的权限;处理器具备有效权限时,才能访问Nor Flash的安全加密存储区,可防止非法侵入;可选的,可在处理器访问Nor Flash的安全加密存储区时,检测处理器的访问权限(属于上述权限);
需要说明的是,安全加密存储区可对存储在其上的数据进行加密保护,防止非法的恶意读取或者复制窃取;可选的,安全加密存储区可为Nor Flash的全部存储区,也可根据需要来进行划分;
对处理器(如CPU)的权限进行检测的步骤可在处理器访问安全加密存储区之前执行,还可在处理器访问安全加密存储区的过程中执行;检测权限的触发方式可包括根据条件触发(如:检测处理器的访问地址)、定时触发等;
具体的,可由CPLD检测处理器访问Nor Flash的安全加密存储区的权限;
步骤S220,在检测到权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理;
具体而言,在检测到访问安全加密存储区的处理器具备有效权限时,将处理器数据线与安全加密存储区进行连接,实现数据信号的传输;并且,对数据线连接Nor Flash的安全加密存储区的数据线管脚的一端进行移位处理,可实现对安全加密存储区上数据的加密写入或解密读取;由于数据线的移位处理,处理器可直接对安全加密存储区进行读取或写入,从而提高读写效率,并避免耗费处理器资源进行加解密计算;对数据进行密文存放,可防止黑客在线恶意读取数据或者使用离线编程/读写器对Nor Flash进行非法读写的问题;
需要说明的是,在检测到处理器具备访问安全加密存储区的有效权限时,建立该处理器的数据线与安全加密存储区的连接,或者保持该处理器的数据线与安全加密存储区的连接;数据线的一端连接处理器的数据线管脚,另一端连接Nor Flash存储区的数据线管脚;另外,在建立该处理器的数据线与安全加密存储区的连接时,还可建立该处理器的控制线(可用于传输使能信号、读写信号等)与安全加密存储区的连接;
移位处理,也可为转义连接,其实质是对数据线连接数据线管脚的一端进行移位重新映射;经过移位加解密连接处理(属于移位处理)后,存储在安全加密存储区的数据均是加密的;不具备有效权限的处理器无法访问安全加密存储区,即使是连接上该安全加密存储区,也会因为无法获得移位因子,不能正确地连接数据线,读取不到正确的数据,从而可增强数据存储的安全性;
优选的,可通过CPLD来建立处理器的数据线与安全加密存储区的连接;CPLD可在检测到处理器具备访问安全加密存储区的有效权限时,建立该处理器的数据线与安全加密存储区的连接,或者保持该处理器的数据线与安全加密存储区的连接;
进一步的,还可预先在CPLD中设置对数据线连接安全加密存储区的数据线管脚的一端的移位处理,进而使得CPLD可自动对数据线连接安全加密存储区的数据线管脚的一端进行移位,保证安全加密存储区上数据的密文存放,实现加密写入或解密读取,并提高加解密效率和读写效率;
步骤S230,在检测到权限为无效时,断开处理器的数据线与安全加密存储区的连接。
具体而言,在检测到处理器访问安全加密存储区的权限为无效时,断开处理器的数据线与安全加密存储区的连接,可防止数据被恶意读取或复制盗窃;
需要说明的是,断开处理器的数据线与安全加密存储区的连接可包括两种情况:在处理器的数据线已经连接安全加密存储区的情况下,断开该连接,保证安全加密存储区数据的安全;在处理器的数据线还未连接安全加密存储区的情况下,保持数据线与安全加密存储区的断开状态,保证安全性;此外,在断开该处理器的数据线与安全加密存储区的连接时,还可断开该处理器的控制线与安全加密存储区的连接;
优选的,可通过CPLD来断开处理器的数据线与安全加密存储区的连接;
本发明实施例通过检测处理器访问Nor Flash的安全加密存储区的权限;在权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理,实现安全加密存储区的加密写入、解密读取;避免了处理器资源的耗费,提高了数据安全存储的读写效率,并实现数据内容加密存放,提高保密性;
优选的,可通过使用CPLD对数据线进行移位连接来实现数据的加解密,避免耗费处理器资源进行加解密计算,提高了数据安全存储读写效率。
在一个实施例中,对数据线连接安全加密存储区的数据线管脚的一端进行移位处理的步骤包括:
根据预设移位因子,对数据线连接安全加密存储区的数据线管脚的一端进行移位处理。预设移位因子
具体而言,可基于预设移位因子,对数据线连接Nor Flash安全加密存储区的数据线管脚的一端进行移位处理,从而实现存储在安全加密存储区的数据的加密;
需要说明的是,预设移位因子可根据需要进行设定,具有多种不同的加密方式,进一步提高Nor Flash存储的安全性;经过移位加解密连接处理后,存储在安全加密存储区的数据均是加密的;不具备有效权限的处理器无法访问安全加密存储区,即使是连接上该安全加密存储区,也会因为无法获得预设移位因子而不能正确地连接数据线,读取不到正确的数据,从而增强了数据存储的安全性。
优选的,可在CPLD中固化预设移位因子;CPLD基于预设移位因子,对数据线连接安全加密存储区的数据线管脚的一端进行移位处理,对存储在安全加密存储区的数据进行加密;
具体的,如图3、4所示,图3为一个实施例中Nor Flash安全存储方法的非加密存储数据线连接示意图,图4为一个实施例中Nor Flash安全存储方法的加密存储数据线连接示意图;假设Flash的数据线总共有N根,正常直通连接时(即非加密存储时的数据线连接),参见图3,CPU数据线管脚Di与Nor Flash的数据线管脚Di一一对应连接;移位加解密连接时,可通过CPLD的预设移位因子K(0<K<N)进行移位加解密连接处理,参见图4,CPU数据线管脚Di与Flash的数据线管脚D((i+K)mod N)相连,经过移位加解密连接处理后,存储在安全加密存储区的数据均是加密的;不具备有效权限的处理器无法访问安全加密存储区,即使是连接上该安全加密存储区,也会因为无法获得移位因子,不能正确地连接数据线,读取不到正确的数据,从而可增强数据存储的安全性。
在一个实施例中,参见图5,图5为一个实施例中Nor Flash安全存储方法的第二示意性流程图,检测处理器访问Nor Flash的安全加密存储区的权限的步骤包括:
步骤S502,验证处理器传输的授权信息与预设检验信息是否匹配;
步骤S504,在授权信息与预设检验信息匹配时,确认权限为有效;
步骤S506,在授权信息与预设检验信息不匹配时,确认权限为无效。
具体而言,可提前设置预设检验信息来作为匹配条件,在接收到处理器传输的授权信息时,对两者进行对比,以确认处理器是否具备有效权限;
需要说明的是,预设检验信息可为预先固化的检验信息;
授权信息可为处理器传输的用于访问Nor Flash上的安全加密存储区的授权指令信息;通过设置预先检验信息来进行身份验证,提高安全加密存储区的安全性;
优选的,可由CPLD来执行验证权限的步骤;具体的,CPLD可预先固化检验信息,然后在接收到处理器传输的授权信息时,对其进行验证,确认处理器访问安全加密存储区的权限是否有效。
在一个实施例中,如图5所示,检测处理器访问Nor Flash的安全加密存储区的权限的步骤还包括:
步骤S522,在确认权限为有效时,清零并启动授权保活定时器进行访问计时;
步骤S524,在访问计时超过预设访问时效时,更改权限为无效。
具体而言,在处理器传输的授权信息与预设检验信息匹配,确认访问安全加密存储区的权限为有效时,清零授权保活定时器并启动访问计时;通过设定访问时效,限制处理器访问安全加密存储区的时间,防止处理器因长期连接安全加密存储区而使得其上的数据被恶意读取或复制窃取;处理器可定时授权确认,从而可增强访问Nor Flash安全加密存储区的安全性;
需要说明的是,授权保活定时器可用于对访问安全加密存储区的时间进行计时,并在访问超时时,触发更改权限为无效的指令;
优选的,可由CPLD来执行访问计时;具体的,在确认权限为有效时,CPLD同时将授权保活定时器(访问时限为Tmax)清零,授权保活定时器重新计时,Tmax时间内处理器可授权访问安全加密存储区;若访问超时,则权限失效。故处理器上的授权用户需要预估合理的访问时间,若所需访问时间超过Tmax,那么在访问安全加密存储期间需要定时Tcpu(Tcpu<Tmax)进行发送授权信息进行权限检验,触发重新计时,以保持正常访问。
在一个实施例中,参见图5,在验证处理器传输的授权信息与预设检验信息是否匹配的步骤之前,还包括:
步骤S501,接收处理器通过安全指令通道传输的授权信息;安全指令通道为以下任意一项或任意组合:SPI、I2C、GPIO、Local Bus。
具体而言,可接收处理器通过安全指令通道传输的授权信息;
需要说明的是,安全指令通道可用于传输并保护授权信息,防止授权信息被窃取,提高处理器访问Nor Flash安全加密存储区的安全性;安全指令通道可以是SPI、I2C、GPIO、Local Bus等一种或几种的组合,只要能传递授权指令信息即可;
优选的,处理器可通过安全指令通道(如SPI、I2C、GPIO、Local Bus等)给予CPLD授权信息,并在访问安全加密存储区期间定时授权。
在一个实施例中,参见图6,图6为一个实施例中Nor Flash安全存储方法的第三示意性流程图,在检测处理器访问Nor Flash的安全加密存储区的权限的步骤之前,还包括:
步骤S603,对Nor Flash进行存储区划分,得到非加密存储区以及安全加密存储区。
具体而言,可设置Nor Flash的存储区,实现Nor Flash安全加密存储区的任意划分,提升了应用灵活性;
优选的,可通过CPLD任意划分安全加密存储区,设计后固化在CPLD中;
在一个示例中,假设需要将Nor Flash高地址的一半作为安全加密存储区,处理器连接Nor Flash的最高地址为Afmax,则当CPLD检测到CPU在访问Flash且Afmax为1(高)时,即可判断处理器在访问安全加密存储区。
在一个实施例中,如图7所示,图7为一个实施例中Nor Flash安全存储方法的第四示意性流程图,在检测处理器访问Nor Flash的安全加密存储区的权限的步骤之前,还包括:
步骤S705,检测处理器连接Nor Flash的地址线,获取访问存储区地址信息。
具体而言,可通过检测处理器连接Nor Flash的地址线来判断处理器的访问存储区;
需要说明的是,地址线可包括访问存储区的地址信息;
优选的,可通过CPLD来检测检测处理器的地址线。
在一个实施例中,如图7所示,还包括:
步骤S707,根据访问存储区地址信息,在确认处理器访问非加密存储区时,建立处理器的数据线与非加密存储区的连接;
具体而言,检测地址线,根据访问存储区地址信息确认处理器访问非加密存储区时,可直接建立处理器的数据线与非加密存储区的连接;
优选的,可通过CPLD来执行;CPLD检测到处理器访问非加密存储区时,则直通数据线至非加密存储区,按正常明文访问进行;
进一步的,检测处理器访问Nor Flash的安全加密存储区的权限的步骤包括:
步骤S709,根据访问存储区地址信息,在确认处理器访问安全加密存储区时,检测权限。
具体而言,检测地址线,根据访问存储区地址信息确认处理器访问安全加密存储区时,检测处理器的访问权限是否有效;
优选的,可通过CPLD来执行;CPLD检测到处理器访问安全加密存储区时,进一步检测该处理器是否具备有效权限。
在一个优选的实施例中,如图8、9所示,图8为一个实施例中Nor Flash安全存储方法的第六示意性流程图,图9为一个实施例中Nor Flash安全存储方法的示意性系统架构图,主要包含了中央处理器CPU、复杂可编程逻辑器件CPLD和Nor Flash三大主要部件。通过CPLD转接CPU访问Flash的相关信号线(数据线、使能及读写控制信号线)。CPLD内部包含安全控制单元和加解密单元,安全控制单元主要负责安全加密存储区访问检测和授权控制;加解密单元主要负责数据的加解密,其实质执行的操作是将数据总线进行移位连接,以起到加解密的效果(写Flash时是将数据加密后放到安全加密存储区,读Flash时是将安全加密存储区的数据解密读取);安全控制单元用于指示加解密单元是否进行加解密,例如,安全控制单元写“加解密开关逻辑变量”,加解密单元读“加解密开关逻辑变量”的值来判断是否进行加解密;两者都属于CPLD程序的逻辑单元,依靠内部程序逻辑关联。
CPU和CPLD之间留有安全指令通道,用于传递访问Nor Flash上的安全加密存储区的授权指令信息。授权用户可访问整片Nor Flash区域(包括非加密存储区和安全加密存储区),而非授权用户只能访问非加密存储区。
CPLD安全控制加解密处理的主要流程如图10所示,图10为一个实施例中NorFlash安全存储方法的执行流程示意图。当CPU尝试访问Nor Flash时,CPLD的安全控制单元通过地址线匹配检查来判断CPU是否在访问Nor Flash的安全加密存储区。其中,安全加密存储区可根据需要任意划分,设计好后固化在CPLD中。
安全加密存储区的授权访问过程如下:CPU通过安全指令通道向CPLD安全控制单元传递授权指令信息。CPLD收到授权指令信息后与预先固化在CPLD中的检验信息进行对比,相等则校验通过,否则权限失效。若授权检验通过,CPLD同时将授权保活定时器(访问时限为Tmax)清零,授权保活定时器重新计时,Tmax时间内CPU可授权访问安全加密存储区;
若CPLD的安全控制单元检测到CPU访问Flash非加密存储区,则直通数据线、使能及读写控制线,按正常明文访问进行。
若CPLD的安全控制单元检测到CPU访问Flash安全加密存储区,但此时CPU未获得授权,则断开数据线、使能及读写控制线,使得这边区域对该CPU不可见,CPU不能访问这片安全加密存储区。
若CPLD的安全控制单元检测到CPU访问Flash安全加密存储区,且获得授权(获得有效权限且授权保活定时器未超时),则连通数据线、使能及读写控制线,授权访问安全加密存储区。CPLD的加解密单元将使能及读写控制线直接连通到Nor Flash相应的管脚上,对数据线进行移位处理连接,以达到加密存储效果。
CPLD的加解密单元负责数据的移位加解密处理(属于移位处理);举例说明,参见图11,图11为一个实施例中Nor Flash安全存储方法的加解密处理示意图。当N=8,K=3时,某地址数据Datacpu为0x9E(二进制数据为b’10011110),具体各位为:Dcpu7=1、Dcpu6=0、Dcpu5=0、Dcpu4=1、Dcpu3=1、Dcpu2=1、Dcpu1=1、Dcpu0=0。Dflashi=Dcpu((i+3)mod8),即Dflash7=Dcpu2、Dflash6=Dcpu1、Dflash5=Dcpu0、Dflash4=Dcpu7、Dflash3=Dcpu6、Dflash2=Dcpu5、Dflash1=Dcpu4、Dflash0=Dcpu3,也即Dataflash=((Data&0x3)<<(8-3))|(Datacpu>>3)=0xD3。存放到Flash上的数据Dataflash就变为0xD3(二进制数据为b’11010011)。
通过移位处理进行加密后,存储在安全加密存储区的数据均是加密的,只有通过授权后才能读取。即使采用离线编程器/读写器,从这片安全加密存储区读到的数据也是密文,从而增强了数据存储的安全性。通过CPLD对数据线进行移位连接,实现数据的加密写入或解密读取,避免耗费CPU资源来进行加解密运算,提高了数据安全存储的读写效率。
本发明实施例通过检测处理器访问Nor Flash的安全加密存储区的权限;在权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理,实现安全加密存储区的加密写入、解密读取;还可通过使用CPLD对数据线连接安全加密存储区的数据线管脚的一端进行移位加解密连接来实现数据的加解密;可避免了处理器资源的耗费,提高了数据安全存储的读写效率,并实现数据内容加密存放,提高保密性;进一步的,还可实现Nor Flash内部安全加密存储区的任意划分,提升应用灵活性;此外,还可定时授权确认,增强处理器访问Nor Flash安全加密存储区的安全性。
应该理解的是,虽然图2、5-8的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2、5-8中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
另一方面,本发明实施例还提供了一种Nor Flash安全存储装置,如图11所示,图12为一个实施例中Nor Flash安全存储装置的结构示意图,包括:
安全控制模块910,用于检测处理器访问Nor Flash的安全加密存储区的权限;
加解密模块920,用于在检测到权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理;
安全防御模块930,用于在检测到权限为无效时,断开处理器的数据线与安全加密存储区的连接。
在一个实施例中,加解密模块包括:
预设加密单元,用于根据预设移位因子,对数据线连接安全加密存储区的数据线管脚的一端进行移位处理。
在一个实施例中,安全控制模块包括:
授权验证单元,用于验证处理器传输的授权信息与预设检验信息是否匹配;
权限有效单元,用于在授权信息与预设检验信息匹配时,确认权限为有效;
权限无效单元,用于在授权信息与预设检验信息不匹配时,确认权限为无效。
在一个实施例中,安全控制模块还包括:
访问计时单元,用于在确认权限为有效时,清零并启动授权保活定时器进行访问计时;
访问超时单元,用于在访问计时超过预设访问时效时,更改权限为无效。
在一个实施例中,安全控制模块还包括:
授权信息传输单元,用于接收处理器通过安全指令通道传输的授权信息;安全指令通道为以下任意一项或任意组合:SPI、I2C、GPIO、Local Bus。
在一个实施例中,Nor Flash安全存储装置还包括:存储区划分模块,用于对NorFlash进行存储区划分,得到非加密存储区以及安全加密存储区。
在一个实施例中,Nor Flash安全存储装置还包括:地址线检测模块,用于检测处理器连接Nor Flash的地址线,获取访问存储区地址信息。
在一个实施例中,Nor Flash安全存储装置还包括:非加密区访问模块,用于根据访问存储区地址信息,在确认处理器访问非加密存储区时,建立处理器的数据线与非加密存储区的连接;
安全控制模块还包括:权限检测单元,用于根据访问存储区地址信息,在确认处理器访问安全加密存储区时,检测权限。
关于Nor Flash安全存储装置的具体限定可以参见上文中对于Nor Flash安全存储方法的限定,在此不再赘述。上述Nor Flash安全存储装置中的各个模块单元可全部或部分通过软件、硬件及其组合来实现。上述各模块单元可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供一种Nor Flash安全存储设备,参见图13,图13为一个实施例中Nor Flash安全存储设备的结构示意图,包括连接Nor Flash的CPLD;
CPLD实现上述Nor Flash安全存储方法。
在一个实施例中,包括:
CPLD检测处理器访问Nor Flash的安全加密存储区的权限;
CPLD在检测到权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理;
CPLD在检测到权限为无效时,断开处理器的数据线与安全加密存储区的连接。
在一个实施例中,CPLD对数据线连接安全加密存储区的数据线管脚的一端进行移位处理的步骤包括:
CPLD根据预设移位因子,对数据线连接安全加密存储区的数据线管脚的一端进行移位处理。
在一个实施例中,CPLD检测处理器访问Nor Flash的安全加密存储区的权限的步骤包括:
CPLD验证处理器传输的授权信息与预设检验信息是否匹配;
CPLD在授权信息与预设检验信息匹配时,确认权限为有效;
CPLD在授权信息与预设检验信息不匹配时,确认权限为无效。
在一个实施例中,CPLD检测处理器访问Nor Flash的安全加密存储区的权限的步骤还包括:
CPLD在确认权限为有效时,清零并启动授权保活定时器进行访问计时;
CPLD在访问计时超过预设访问时效时,更改权限为无效。
在一个实施例中,在验证处理器传输的授权信息与预设检验信息是否匹配的步骤之前,还包括:
CPLD接收处理器通过安全指令通道传输的授权信息;安全指令通道为以下任意一项或任意组合:SPI、I2C、GPIO、Local Bus。
在一个实施例中,在CPLD检测处理器访问Nor Flash的安全加密存储区的权限的步骤之前,还包括:
CPLD对Nor Flash进行存储区划分,得到非加密存储区以及安全加密存储区。
在一个实施例中,在CPLD检测处理器访问Nor Flash的安全加密存储区的权限的步骤之前,还包括:
CPLD检测处理器连接Nor Flash的地址线,获取访问存储区地址信息。
在一个实施例中,还包括:
CPLD根据访问存储区地址信息,在确认处理器访问非加密存储区时,建立处理器的数据线与非加密存储区的连接;
CPLD检测处理器访问Nor Flash的安全加密存储区的权限的步骤包括:
CPLD根据访问存储区地址信息,在确认处理器访问安全加密存储区时,检测权限。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
检测处理器访问Nor Flash的安全加密存储区的权限;
在检测到权限为有效时,建立处理器的数据线与安全加密存储区的连接,并对数据线连接安全加密存储区的数据线管脚的一端进行移位处理;
在检测到权限为无效时,断开处理器的数据线与安全加密存储区的连接。
在一个实施例中,计算机程序被处理器执行对数据线连接安全加密存储区的数据线管脚的一端进行移位处理的步骤时,还实现以下步骤:
根据预设移位因子,对数据线连接安全加密存储区的数据线管脚的一端进行移位处理。
在一个实施例中,计算机程序被处理器执行检测处理器访问Nor Flash的安全加密存储区的权限时还实现以下步骤:
验证处理器传输的授权信息与预设检验信息是否匹配;
在授权信息与预设检验信息匹配时,确认权限为有效;
在授权信息与预设检验信息不匹配时,确认权限为无效。
在一个实施例中,计算机程序被处理器执行检测处理器访问Nor Flash的安全加密存储区的权限时还实现以下步骤:
在确认权限为有效时,清零并启动授权保活定时器进行访问计时;
在访问计时超过预设访问时效时,更改权限为无效。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
接收处理器通过安全指令通道传输的授权信息;安全指令通道为以下任意一项或任意组合:SPI、I2C、GPIO、Local Bus。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
对Nor Flash进行存储区划分,得到非加密存储区以及安全加密存储区。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
检测处理器连接Nor Flash的地址线,获取访问存储区地址信息。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
根据访问存储区地址信息,在确认处理器访问非加密存储区时,建立处理器的数据线与非加密存储区的连接;
检测处理器访问Nor Flash的安全加密存储区的权限的步骤包括:
根据访问存储区地址信息,在确认处理器访问安全加密存储区时,检测权限。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种Nor Flash安全存储方法,其特征在于,包括:
检测处理器访问Nor Flash的安全加密存储区的权限;
在检测到所述权限为有效时,建立所述处理器的数据线与所述安全加密存储区的连接,并对所述数据线连接所述安全加密存储区的数据线管脚的一端进行移位处理;
在检测到所述权限为无效时,断开所述处理器的数据线与所述安全加密存储区的连接。
2.根据权利要求1所述的Nor Flash安全存储方法,其特征在于,对所述数据线连接所述安全加密存储区的数据线管脚的一端进行移位处理的步骤包括:
根据预设移位因子,对所述数据线连接所述安全加密存储区的数据线管脚的一端进行所述移位处理。
3.根据权利要求1所述的Nor Flash安全存储方法,其特征在于,检测处理器访问NorFlash的安全加密存储区的权限的步骤包括:
验证所述处理器传输的授权信息与预设检验信息是否匹配;
在所述授权信息与所述预设检验信息匹配时,确认所述权限为有效;
在所述授权信息与所述预设检验信息不匹配时,确认所述权限为无效。
4.根据权利要求3所述的Nor Flash安全存储方法,其特征在于,检测处理器访问NorFlash的安全加密存储区的权限的步骤还包括:
在确认所述权限为有效时,清零并启动授权保活定时器进行访问计时;
在所述访问计时超过预设访问时效时,更改所述权限为无效。
5.根据权利要求3所述的Nor Flash安全存储方法,其特征在于,在验证所述处理器传输的授权信息与预设检验信息是否匹配的步骤之前,还包括:
接收所述处理器通过安全指令通道传输的所述授权信息;所述安全指令通道为以下任意一项或任意组合:SPI、I2C、GPIO、Local Bus。
6.根据权利要求1至5任意一项所述的Nor Flash安全存储方法,其特征在于,在检测处理器访问Nor Flash的安全加密存储区的权限的步骤之前,还包括:
对所述Nor Flash进行存储区划分,得到非加密存储区以及所述安全加密存储区。
7.根据权利要求6所述的Nor Flash安全存储方法,其特征在于,在检测处理器访问NorFlash的安全加密存储区的权限的步骤之前,还包括:
检测所述处理器连接所述Nor Flash的地址线,获取访问存储区地址信息;
所述Nor Flash安全存储方法还包括:
根据所述访问存储区地址信息,在确认所述处理器访问所述非加密存储区时,建立所述处理器的数据线与所述非加密存储区的连接;
检测处理器访问Nor Flash的安全加密存储区的权限的步骤包括:
根据所述访问存储区地址信息,在确认所述处理器访问所述安全加密存储区时,检测所述权限。
8.一种Nor Flash安全存储装置,其特征在于,包括:
安全控制模块,用于检测处理器访问Nor Flash的安全加密存储区的权限;
加解密模块,用于在检测到所述权限为有效时,建立所述处理器的数据线与所述安全加密存储区的连接,并对所述数据线连接所述安全加密存储区的数据线管脚的一端进行移位处理;
安全防御模块,用于在检测到所述权限为无效时,断开所述处理器的数据线与所述安全加密存储区的连接。
9.一种Nor Flash安全存储设备,其特征在于,包括连接Nor Flash的CPLD;
所述CPLD实现上述权利要求1-7中任意一项所述的Nor Flash安全存储方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7任意一项所述Nor Flash安全存储方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810187973.9A CN108491735A (zh) | 2018-03-07 | 2018-03-07 | Nor Flash安全存储方法、装置和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810187973.9A CN108491735A (zh) | 2018-03-07 | 2018-03-07 | Nor Flash安全存储方法、装置和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108491735A true CN108491735A (zh) | 2018-09-04 |
Family
ID=63341864
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810187973.9A Pending CN108491735A (zh) | 2018-03-07 | 2018-03-07 | Nor Flash安全存储方法、装置和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108491735A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109491716A (zh) * | 2018-10-19 | 2019-03-19 | 北京行易道科技有限公司 | 启动方法及装置、程序存储方法及装置 |
| CN112527205A (zh) * | 2020-12-16 | 2021-03-19 | 江苏国科微电子有限公司 | 一种数据安全防护方法、装置、设备及介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154251A (zh) * | 2006-09-27 | 2008-04-02 | 中国科学院自动化研究所 | 基于射频识别的信息保密管理系统及其方法 |
| US20100299467A1 (en) * | 2009-05-21 | 2010-11-25 | Samsung Electronics Co., Ltd. | Storage devices with secure debugging capability and methods of operating the same |
| CN103558994A (zh) * | 2013-09-29 | 2014-02-05 | 记忆科技(深圳)有限公司 | 固态硬盘加密分区的方法及其固态硬盘 |
| CN103793629A (zh) * | 2012-10-26 | 2014-05-14 | 三星电子株式会社 | 处理安全内容的片上系统和包括片上系统的移动装置 |
| CN105354507A (zh) * | 2015-10-23 | 2016-02-24 | 浙江远望软件有限公司 | 一种云环境下的数据安全保密方法 |
| CN106529349A (zh) * | 2016-12-14 | 2017-03-22 | 武汉瑞纳捷电子技术有限公司 | 一种安全芯片及其访问控制方法 |
-
2018
- 2018-03-07 CN CN201810187973.9A patent/CN108491735A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101154251A (zh) * | 2006-09-27 | 2008-04-02 | 中国科学院自动化研究所 | 基于射频识别的信息保密管理系统及其方法 |
| US20100299467A1 (en) * | 2009-05-21 | 2010-11-25 | Samsung Electronics Co., Ltd. | Storage devices with secure debugging capability and methods of operating the same |
| CN103793629A (zh) * | 2012-10-26 | 2014-05-14 | 三星电子株式会社 | 处理安全内容的片上系统和包括片上系统的移动装置 |
| CN103558994A (zh) * | 2013-09-29 | 2014-02-05 | 记忆科技(深圳)有限公司 | 固态硬盘加密分区的方法及其固态硬盘 |
| CN105354507A (zh) * | 2015-10-23 | 2016-02-24 | 浙江远望软件有限公司 | 一种云环境下的数据安全保密方法 |
| CN106529349A (zh) * | 2016-12-14 | 2017-03-22 | 武汉瑞纳捷电子技术有限公司 | 一种安全芯片及其访问控制方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109491716A (zh) * | 2018-10-19 | 2019-03-19 | 北京行易道科技有限公司 | 启动方法及装置、程序存储方法及装置 |
| CN109491716B (zh) * | 2018-10-19 | 2021-11-16 | 北京行易道科技有限公司 | 启动方法及装置、程序存储方法及装置 |
| CN112527205A (zh) * | 2020-12-16 | 2021-03-19 | 江苏国科微电子有限公司 | 一种数据安全防护方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI740409B (zh) | 使用密鑰之身份驗證 | |
| CN100354786C (zh) | 开放型通用抗攻击cpu及其应用系统 | |
| CN111680305B (zh) | 一种基于区块链的数据处理方法、装置及设备 | |
| US7082539B1 (en) | Information processing apparatus | |
| US10382410B2 (en) | Memory operation encryption | |
| EP2506488B1 (en) | Secure dynamic on-chip key programming | |
| EP0768601B1 (en) | Device for executing enciphered program | |
| JP3774260B2 (ja) | メモリカードのセキュリティシステム装置及びそのメモリカード | |
| KR101659110B1 (ko) | 테스트 디바이스에 의한 보안 칩으로의 액세스 인증 방법 | |
| US7461268B2 (en) | E-fuses for storing security version data | |
| CN101026455B (zh) | 安全处理器 | |
| CN102508791B (zh) | 一种对硬盘分区进行加密的方法及装置 | |
| US20070162964A1 (en) | Embedded system insuring security and integrity, and method of increasing security thereof | |
| US20060177064A1 (en) | Secure memory card with life cycle phases | |
| US20070297606A1 (en) | Multiple key security and method for electronic devices | |
| US20060176068A1 (en) | Methods used in a secure memory card with life cycle phases | |
| TW201532417A (zh) | 密碼金鑰供給方法、半導體積體電路及密碼金鑰管理裝置 | |
| US20150317495A1 (en) | Protecting Critical Data Structures in an Embedded Hypervisor System | |
| CN102799803A (zh) | 安全可携式媒体以及管理安全可携式媒体的方法 | |
| US20170099151A1 (en) | Authentication apparatus based on public key cryptosystem, mobile device having the same and authentication method | |
| CA2308755A1 (en) | Reconfigurable secure hardware apparatus and method of operation | |
| KR100972540B1 (ko) | 라이프 사이클 단계들을 가진 보안 메모리 카드 | |
| CN113574828A (zh) | 一种安全芯片、安全处理方法及相关设备 | |
| CN107526947A (zh) | 一种嵌入式软件激活控制方法 | |
| CN108491735A (zh) | Nor Flash安全存储方法、装置和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200109 Address after: 510663 Shenzhou Road, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangdong, 10 Applicant after: Jingxin Communication System (China) Co., Ltd. Address before: 510663 Shenzhou Road 10, Guangzhou Science City, Guangzhou economic and Technological Development Zone, Guangzhou, Guangdong Applicant before: Jingxin Communication System (China) Co., Ltd. Applicant before: Jingxin Communication System (Guangzhou) Co., Ltd. Applicant before: Jingxin Communication Technology (Guangzhou) Co., Ltd. Applicant before: TIANJIN COMBA TELECOM SYSTEMS CO., LTD. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180904 |
|
| RJ01 | Rejection of invention patent application after publication |