CN112100698B - 一种实现NorFlash安全访问的系统及方法 - Google Patents

Abstract

本发明公开了一种实现NorFlash安全访问的系统及方法，涉及数据处理技术领域；该系统包括轻量加解密系统、用户判断系统和校验码生成系统，通过在明文数据基础上增加两级数据混淆和两级SBOX数据置换，考虑到时序与CPU开销，两套数据混淆与SBOX采用轻量级算法，同时加入地址信息对明文数据的加密过程，安全性较大提升。加密后的数据经过SEC‑DED校验，连同加密数据一起存入到NorFlash空间中，读取后可以到达检错和一位数据纠错功能。在考虑到对用户程序的移植方面，对SEC‑DED校验码进行一定修改，既满足了数据检错与纠错功能，也实现了用户程序访问性的便利。

Description

一种实现NorFlash安全访问的系统及方法

技术领域

本发明涉及数据处理技术领域，尤其涉及一种实现NorFlash安全访问的系统及方法。

背景技术

NorFlash存储技术作为一种可编程、可擦除的只读存储器，具有非易失性、体积小、性能高、功耗低等优点。NorFlash具有芯片内执行特性，这样应用程序就可以直接在NorFlash内运行，不必再把代码读取到RAM中。在国内外的工业控制、智能家居智能设备、信息安全等领域得到了广泛的应用。因此其内部存储的数据安全性尤为关键。

NorFlash内部数据需要保障数据异常后快速恢复，保障被攻击内部数据不显示明文数据，还要高效提供给用户使用。目前传统方法一是基于数据经过加密解密算法，但该方法易造成处理器资源浪费且仅仅数据内容的加解密安全性较低。二是采用将明文数据的校验信息存入某个位置，读取数据后再校验一次，该方法本质上还是存入了明文数据，不能安全保障内部数据的安全性。

在信息安全领域使用过程中，从软件应用角度出发，很多软件会根据读出Flash的字单元为0xFFFFFFFF来判断Flash是否刚擦除过或作为软件的初始状态的标记。但经过解密模块，输送给CPU的数据不再是0xFFFFFFFF，进而影响软件的实现判断和操作处理，单纯让软件适配擦除后读Flash的功能，会使芯片影响通用性，对已经固定成型的软件大大增加用户的软件移植时间成本。

所以，在信息安全领域，急需找到一种安全访问NorFlash的实现方式，既能保护数据、校验纠错数据，又能给用户使用带来便利，提高用户体验。

发明内容

本发明的目的在于提供一种实现NorFlash安全访问的系统及方法，从而解决现有技术中存在的前述问题。

为了实现上述目的，本发明采用的技术方案如下：

一种实现NorFlash安全访问的系统，包括轻量加解密系统、用户判断系统和校验码生成系统，所述轻量加解密系统用于对数据进行加密算法以得到加密数据；所述加解密系统包括数据混淆模块和SBOX盒模块，所述数据混淆模块用于将数据进行混淆变换，所述SBOX盒模块用于将数据进行SBOX函数置换过程；

所述用户判断系统用于在访问NorFlash时判断是否都是0xFFFFFFFF；

所述校验码系统用于利用SEC-DED检验电路，在加密数据基础上生成对应的校验码，并将校验码和加密数据进行混合；所述校验码系统包括SEC-DED生成模块、正向混合模块和反向混合模块，所述SEC-DED生成模块基于特定的校验码生成方法生成特定的SEC-DED校验码，所述正向混合模块用于将加密数据和生成的正向SEC-DED校验码进行混合，所述反向混合模块用于将加密数据和生成的反向SEC-DED校验码进行混合。

优选地，所述数据混淆模块用于将数据进行两次混淆变换，所述SBOX盒模块用于将数据进行两次SBOX函数置换过程；且所述混淆变换和所述置换过程交替进行。

本发明的另一目的是提供一种实现NorFlash安全访问的方法，包括以下步骤:

S1，获取待访问明文数据，采用数据混淆模块对待访问数据进行混淆变换，然后采用SBOX盒模块对混淆变换后的数据进行函数置换过程后得到加密数据I；

S2，针对加密数据I，采用校验码模块基于SEC-DED编码对加密数据I生成校验码，同时将加密数据I和生成的校验码进行混合后得到加密数据II，通过正反向写入NorFlash空间；

S3,当访问NorFlash空间读取加密数据II时，对加密数据II进行SEC-DED校验，同时进行正反校验，实现NorFlash安全访问过程。

优选地，步骤S1中具体包括：

在第一次混淆变换之前加入地址，然后进行混淆变换，采用SBOX盒模块对混淆变换后的数据进行函数置换；

然后进行第二次混淆变换，最后对第二次混淆变换后的数据进行第二次函数置换过程，得到加密数据I。

优选地，步骤S2中校验码模块基于SEC-DED编码对加密数据I生成校验码的过程中具体生成6位校验码，分别为P5，P4、P3、P2、P1、P0，其中P4、P3、P2、P1、P0是直接通过16位数据的数据位异或产生，P5则由P4、P3、P2、P1、P0、Bit0-bit15异或产生。

优选地，校验码产生的具体步骤为：

S21，产生P0,P0由数据位0、1、3、5、7、9、11、13、15异或产生；

S22,产生P1,P1由数据位0、2-3、6-7、10-11、14-15异或产生；

S23，产生P2,P2由数据位0、4、5、6、12、13、14、15异或产生；

S24,产生P3,P3由数据位0、8-15异或产生；

S25，产生P4,P4由数据位1-15异或产生；

S26,产生P5，P5由P0、P1、P2、P3、P4、Bit 0-bit 15异或产生。

优选地，步骤S3中访问NorFlash时，当NorFlash发生异常需要纠错时，采用偶校验方式进行，根据P0、P1、P2、P3、P4校验数值，可以得知，当P4等于0，P0、P1、P2、P3都等于1时，说明Bit0发生了错误，将Bit 0取反即可纠错；

当P4不等于0，P0、P1、P2、P3中只有一个1时，说明是校验位产生错误，数据位正确，可以不纠；

当P4不等于0，P0、P1、P2、P3等于1的个数大于1时，说明数据位发生了错误，错误的位置按照{P3、P2、P1、P0}数据即可确定其在数据中的位置，将错误数据取反即可纠错。

本发明的有益效果是：

本发明公开了一种实现NorFlash安全访问的系统及方法，通过在明文数据基础上增加两级数据混淆和两级SBOX数据置换，考虑到时序与CPU开销，两套数据混淆与SBOX采用轻量级算法，同时加入地址信息对明文数据的加密过程，安全性较大提升。加密后的数据经过SEC-DED校验，连同加密数据一起存入到NorFlash空间中，读取后可以到达检错和一位数据纠错功能。在考虑到对用户程序的移植方面，对SEC-DED校验码进行一定修改，既满足了数据检错与纠错功能，也实现了用户程序访问性的便利。

附图说明

图1是实施例1中提供的实现NorFlash安全访问方法的示意图；

图2是用户写入orFlash数据时SEC-DED校验检错产生示意图；

图3是校验存储电路的流程示意图。

图4是用户读取NorFlash数据时用户判断系统原理示意图；

图5是实施例1中采用4组SBOX函数置换的具体执行方式。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本发明，并不用于限定本发明。

实施例1

本实施例提供一种实现NorFlash安全访问的系统，包括轻量加解密系统、用户判断系统和校验码生成系统，所述轻量加解密系统用于对数据进行加密算法以得到加密数据；所述加解密系统包括数据混淆模块和SBOX盒模块，所述数据混淆模块用于将数据进行两次混淆变换，所述SBOX盒模块用于将数据进行两次SBOX函数置换过程；

所述用户判断系统用于判断NorFlash内容是否都是0xFFFFFFFF；

所述校验码系统用于利用SEC-DED检验电路，在加密数据基础上生成对应的校验码，并将校验码和加密数据进行混合；所述校验码系统包括SEC-DED生成模块、正向混合模块和反向混合模块，所述SEC-DED生成模块基于特定的校验码生成方法生成特定的SEC-DED校验码，所述正向混合模块用于将加密数据和生成的正向SEC-DED校验码进行混合，所述反向混合模块用于将加密数据和生成的反向SEC-DED校验码进行混合。

实施例2

本实施例提供了一种实现NorFlash安全访问的方法，如图1所示，包括以下步骤:

S1，获取待访问明文数据，采用数据混淆模块对待访问数据进行混淆变换，然后采用SBOX盒模块对混淆变换后的数据进行函数置换过程后得到加密数据I；

S2，针对加密数据I，采用校验码模块基于SEC-DED编码对加密数据I生成校验码，同时将加密数据I和生成的校验码进行混合后得到加密数据II，通过正反向写入NorFlash空间；

S3,当访问NorFlash空间读取加密数据II时，对加密数据II进行SEC-DED校验，同时进行正反校验，实现NorFlash安全访问过程。

本实施例中，步骤S1中具体包括：

在第一次混淆变换之前加入地址，然后进行混淆变换，采用SBOX盒模块对混淆变换后的数据进行函数置换；

然后进行第二次混淆变换，最后对第二次混淆变换后的数据进行第二次函数置换过程，得到加密数据I。

本实施例中步骤S2中校验码模块基于SEC-DED编码对加密数据I生成校验码的过程中具体生成6位校验码，分别为P5，P4、P3、P2、P1、P0，其中P4、P3、P2、P1、P0是直接通过16位数据的数据位异或产生，P5则由P4、P3、P2、P1、P0、Bit0-bit15异或产生，如图2所示，其中校验码产生的具体步骤为：

S21，产生P0,P0由数据位0、1、3、5、7、9、11、13、15异或产生；

S22,产生P1,P1由数据位0、2-3、6-7、10-11、14-15异或产生；

S23，产生P2,P2由数据位0、4、5、6、12、13、14、15异或产生；

S24,产生P3,P3由数据位0、8-15异或产生；

S25，产生P4,P4由数据位1-15异或产生；

S26,产生P5，P5由P0、P1、P2、P3、P4、Bit0-bit15异或产生。

本实施例中步骤S3中访问NorFlash时，当NorFlash发生异常需要纠错时，采用偶校验方式进行，即图4中的ECC校验，根据P0、P1、P2、P3、P4校验数值，可以得知，当P4等于0，P0、P1、P2、P3都等于1时，说明Bit0发生了错误，将Bit0取反即可纠错；

当P4不等于0，P0、P1、P2、P3中只有一个1时，说明是校验位产生错误，数据位正确，可以不纠；

当P4不等于0，P0、P1、P2、P3等于1的个数大于1时，说明数据位发生了错误，错误的位置按照{P3、P2、P1、P0}数据即可确定其在数据中的位置，将错误数据取反即可纠错。

值得注意到的是，在实际使用过程中，用户判断系统需频繁判断NorFlash内容是否是全F。在Flash擦除完成后，NorFlash物理单元中都是0xFFFFFFFF，或者明文数据进过加密算法后也会存入全F数据，两种情况都是全F，无法快速进行判断进而影响软件的实现判断和后期操作。为了简便用户程序，本发明在数据写入过程中利用了图3流程中的SEC-DED校验码，既不增加用户软件的开销，也不影响硬件的开销，只需在SEC-DED校验码写入NorFlash时进行取反处理；然后当需要从NorFlash中读出数据时，依据图4的处理用户判断系统即可快速得到0xFFFFFFFF，方便用户处理。

本实施例中采用的SBOX函数置换过程采用4进4出的方式，如图5所示，4组SBOX盒中的数据均采用4进4出形式对SBOX盒内数据进行置换。

通过采用本发明公开的上述技术方案，得到了如下有益的效果：

本发明公开了一种实现NorFlash安全访问的系统及方法，通过在明文数据基础上增加两级数据混淆和两级SBOX数据置换，考虑到时序与CPU开销，两套数据混淆与SBOX采用轻量级算法，同时加入地址信息对明文数据的加密过程，安全性较大提升。加密后的数据经过SEC-DED校验，连同加密数据一起存入到NorFlash空间中，读取后可以到达检错和一位数据纠错功能。在考虑到对用户程序的移植方面，对SEC-DED校验码进行一定修改，包括在SEC-DED校验码写入NorFlash时进行取反处理，当从NorFlash中读出数据时，既满足了数据检错与纠错功能，也实现了用户程序访问性的便利。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本发明的保护范围。

Claims (7)

1.一种实现NorFlash安全访问的系统，其特征在于，包括轻量加解密系统、用户判断系统和校验码生成系统，所述轻量加解密系统用于对数据进行加密算法以得到加密数据；所述加解密系统包括数据混淆模块和SBOX盒模块，所述数据混淆模块用于将数据进行混淆变换，所述SBOX盒模块用于将数据进行SBOX函数置换过程；

所述用户判断系统用于判断NorFlash内容是否都是0xFFFFFFFF；

所述校验码系统用于利用SEC-DED检验电路，在加密数据基础上生成对应的校验码，并将校验码和加密数据进行混合；所述校验码系统包括SEC-DED生成模块、正向混合模块和反向混合模块，所述SEC-DED生成模块基于特定的校验码生成方法生成特定的SEC-DED校验码，所述正向混合模块用于将加密数据和生成的正向SEC-DED校验码进行混合，所述反向混合模块用于将加密数据和生成的反向SEC-DED校验码进行混合。

2.根据权利要求1所述的实现NorFlash安全访问的系统，其特征在于，所述数据混淆模块用于将数据进行两次混淆变换，所述SBOX盒模块用于将数据进行两次SBOX函数置换过程；且所述混淆变换和所述置换过程交替进行。

3.一种实现NorFlash安全访问的方法，其特征在于，包括以下步骤:

S1，获取待访问明文数据，采用数据混淆模块对待访问数据进行混淆变换，然后采用SBOX盒模块对混淆变换后的数据进行函数置换过程后得到加密数据I；

S2，针对加密数据I，采用校验码模块基于SEC-DED编码对加密数据I生成校验码，同时将加密数据I和生成的校验码进行混合后得到加密数据II，通过正反向写入NorFlash空间；

S3,当访问NorFlash空间读取加密数据II时，对加密数据II进行SEC-DED校验，同时进行正反校验，实现NorFlash安全访问过程。

4.根据权利要求3所述的实现NorFlash安全访问的方法，其特征在于，步骤S1中具体包括：

在第一次混淆变换之前加入地址，然后进行混淆变换，采用SBOX盒模块对混淆变换后的数据进行函数置换；

然后进行第二次混淆变换，最后对第二次混淆变换后的数据进行第二次函数置换过程，得到加密数据I。

5.根据权利要求3所述的实现NorFlash安全访问的方法，其特征在于，步骤S2中校验码模块基于SEC-DED编码对加密数据I生成校验码的过程中具体生成6位校验码，分别为P5，P4、P3、P2、P1、P0，其中P4、P3、P2、P1、P0是直接通过16位数据的数据位异或产生，P5则由P4、P3、P2、P1、P0、Bit0-bit15异或产生。

6.根据权利要求5所述的实现NorFlash安全访问的方法，其特征在于，校验码产生的具体步骤为：

S21，产生P0,P0由数据位0、1、3、5、7、9、11、13、15异或产生；

S22,产生P1,P1由数据位0、2-3、6-7、10-11、14-15异或产生；

S23，产生P2,P2由数据位0、4、5、6、12、13、14、15异或产生；

S24,产生P3,P3由数据位0、8-15异或产生；

S25，产生P4,P4由数据位1-15异或产生；

S26,产生P5，P5由P0、P1、P2、P3、P4、Bit0-bit15异或产生。

7.根据权利要求3所述的实现NorFlash安全访问的方法，其特征在于，步骤S3中访问NorFlash时，当NorFlash发生异常需要纠错时，采用偶校验方式进行，根据P0、P1、P2、P3、P4校验数值，具体内容如下：

当P4等于0，P0、P1、P2、P3都等于1时，说明Bit 0发生了错误，将Bit 0取反即可纠错；

当P4不等于0，P0、P1、P2、P3中只有一个1时，说明是校验位产生错误，数据位正确，可以不纠；

当P4不等于0，P0、P1、P2、P3等于1的个数大于1时，说明数据位发生了错误，错误的位置按照{P3、P2、P1、P0}数据即可确定其在数据中的位置，将错误数据取反即可纠错。