CN114861173A - Jtag接口的安全防护方法、装置、系统、设备和存储介质 - Google Patents
Jtag接口的安全防护方法、装置、系统、设备和存储介质 Download PDFInfo
- Publication number
- CN114861173A CN114861173A CN202110147293.6A CN202110147293A CN114861173A CN 114861173 A CN114861173 A CN 114861173A CN 202110147293 A CN202110147293 A CN 202110147293A CN 114861173 A CN114861173 A CN 114861173A
- Authority
- CN
- China
- Prior art keywords
- interface
- target
- authentication
- security
- jtag interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Abstract
本申请公开了一种JTAG接口的安全防护方法、装置、系统、设备和存储介质,该方法包括调用安全防护模块获取目标JTAG接口对应的用户身份信息,并对用户身份信息进行认证,得到认证结果;根据认证结果,确定是否调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信。本申请安全防护系统中的安全接口与目标芯片通信连接,通过安全防护模块对目标JTAG接口对应的用户身份信息进行认证,再根据认证结果确定是否连通目标JTAG接口与安全接口,能够有效防止恶意攻击者编写攻击程序,造成安全事故,也能够有效防止目标芯片数据泄露以及固件版本文件被非法复制,维护用户利益。
Description
技术领域
本申请涉及芯片调试技术领域,具体涉及一种JTAG接口的安全防护方法、装置、系统、设备和存储介质。
背景技术
联合测试行动小组(Joint Test Action Group,JTAG)是一种国际标准测试协议,主要用于芯片内部测试。目前,大多数的高级器件如高级精简指令集机器(AdvancedReduced Instruction Set Computer Machine,ARM)器件、数字信号处理(Digital SignalProcessing,DSP)器件、现场可编程门阵列(Field Programmable Gate Array,FPGA)器件等都支持JTAG协议。
上述ARM器件、DSP器件以及FPGA器件可以直接与JTAG接口连接,用户通过JTAG接口便可以在线调试和读写器件芯片中的数据以及对上述器件内部的所有部件进行编程,并且,上述器件还可以通过串行外设接口(Serial Peripheral Interface,SPI)总线、局部总线LocalBus等总线连接到片外闪存FLASH,用户可以通过JTAG接口将器件芯片的启动固件文件烧写到片外闪存FLASH。
虽然JTAG接口为器件芯片系统测试和上电调试提供了有效的方法,但是同时,也造成了安全隐患。攻击者可以通过JTAG接口侵入芯片,通过在线恶意编程改变芯片内部程序原有的控制行为,造成非法操作,损害用户人身与财产安全;黑客可以通过JTAG接口读写芯片中运行的数据,造成信息泄露,引起用户财产损失;盗版者可以通过JTAG接口读出芯片的固件版本文件,然后复制该固件版本文件侵犯开发者的知识产权,损害开发者利益。
发明内容
本申请提供一种JTAG接口的安全防护方法、装置、系统、设备和存储介质,旨在解决现有技术中非法用户通过JTAG接口读取芯片数据、固件版本文件或对芯片进行恶意编程,存在安全隐患以及信息泄露的问题。
第一方面,本申请提供一种JTAG接口的安全防护方法,应用于安全防护系统,安全防护系统包括安全防护模块和与安全防护模块通信连接的安全接口,安全接口通信连接有目标芯片,安全防护模块还通信连接有待接入的目标JTAG接口,方法包括:
调用安全防护模块获取目标JTAG接口对应的用户身份信息,并对用户身份信息进行认证,得到认证结果;
根据认证结果,确定是否调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信。
在本申请一种可能的实现方式中,安全防护模块通信连接有专用认证接口,调用安全防护模块获取目标JTAG接口对应的用户身份信息,具体为:
调用安全防护模块,通过专用认证接口获取目标JTAG接口对应的用户身份信息。
在本申请一种可能的实现方式中,专用认证接口为串行接口、网口或通用串行总线USB接口。
在本申请一种可能的实现方式中,认证结果包括认证成功结果和认证失败结果,根据认证结果,确定是否调用安全防护模块连通目标JTAG接口与安全接口,包括:
若认证结果为认证成功结果,则调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信;
若认证结果为认证失败结果,则调用安全防护模块禁止目标JTAG接口与安全接口连通,以避免目标JTAG接口与目标芯片通信。
在本申请一种可能的实现方式中,安全防护模块配置有用户记录表,用户身份信息包括用户身份标识和用户密码,对用户身份信息进行认证,得到认证结果,包括:
调用安全防护模块在用户记录表中,查找是否存在第一标识和与第一标识关联的第一密码,其中,第一标识与用户身份标识一致,第一密码与用户密码一致;
若存在第一标识和第一密码,则得到认证结果为认证成功结果;
若不存在第一标识和第一密码,则得到认证结果为认证失败结果。
在本申请一种可能的实现方式中,用户身份信息包括动态认证信息,对用户身份信息进行认证,得到认证结果,包括:
调用安全防护模块生成动态口令信息,并比较动态口令信息与动态认证信息是否一致;
若动态口令信息与动态认证信息一致,则得到认证结果为认证成功结果;
若动态口令信息与动态认证信息不一致,则得到认证结果为认证失败结果。
第二方面,本申请还提供一种JTAG接口的安全防护装置,应用于安全防护系统,安全防护系统包括安全防护模块和与安全防护模块通信连接的安全接口,安全接口通信连接有目标芯片,安全防护模块还通信连接有待接入的目标JTAG接口,装置包括:
获取处理模块,用于调用安全防护模块获取目标JTAG接口对应的用户身份信息,并对用户身份信息进行认证,得到认证结果;
输出模块,用于根据认证结果,确定是否调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信。
在本申请一种可能的实现方式中,安全防护模块通信连接有专用认证接口,获取处理模块具体用于:
调用安全防护模块,通过专用认证接口获取目标JTAG接口对应的用户身份信息。
在本申请一种可能的实现方式中,认证结果包括认证成功结果和认证失败结果,输出模块具体用于:
若认证结果为认证成功结果,则调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信;
若认证结果为认证失败结果,则调用安全防护模块禁止目标JTAG接口与安全接口连通,以避免目标JTAG接口与目标芯片通信。
在本申请一种可能的实现方式中,安全防护模块配置有用户记录表,用户身份信息包括用户身份标识和用户密码,获取处理模块具体还用于:
调用安全防护模块在用户记录表中,查找是否存在第一标识和与第一标识关联的第一密码,其中,第一标识与用户身份标识一致,第一密码与用户密码一致;
若存在第一标识和第一密码,则得到认证结果为认证成功结果;
若不存在第一标识和第一密码,则得到认证结果为认证失败结果。
在本申请一种可能的实现方式中,用户身份信息包括动态认证信息,获取处理模块具体还用于:
调用安全防护模块生成动态口令信息,并比较动态口令信息与动态认证信息是否一致;
若动态口令信息与动态认证信息一致,则得到认证结果为认证成功结果;
若动态口令信息与动态认证信息不一致,则得到认证结果为认证失败结果。
第三方面,本申请还提供一种JTAG接口的安全防护系统,系统包括安全防护模块和与安全防护模块通信连接的安全接口,安全接口通信连接有目标芯片,安全防护模块还通信连接有待接入的目标JTAG接口;
安全防护模块,用于获取目标JTAG接口对应的用户身份信息,并对用户身份信息进行认证,得到认证结果;
以及根据认证结果,确定是否连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信。
在本申请一种可能的实现方式中,安全防护模块通信连接有专用认证接口,安全防护模块获取目标JTAG接口对应的用户身份信息,具体的,是通过专用认证接口获取目标JTAG接口对应的用户身份信息。
在本申请一种可能的实现方式中,认证结果包括认证成功结果和认证失败结果,安全防护模块具体用于:
若认证结果为认证成功结果,则连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信;
若认证结果为认证失败结果,则调禁止目标JTAG接口与安全接口连通,以避免目标JTAG接口与目标芯片通信。
在本申请一种可能的实现方式中,安全防护模块配置有用户记录表,用户身份信息包括用户身份标识和用户密码,安全防护模块具体还用于:
在用户记录表中,查找是否存在第一标识和与第一标识关联的第一密码,其中,第一标识与用户身份标识一致,第一密码与用户密码一致;
若存在第一标识和第一密码,则得到认证结果为认证成功结果;
若不存在第一标识和第一密码,则得到认证结果为认证失败结果。
在本申请一种可能的实现方式中,用户身份信息包括动态认证信息,安全防护模块具体还用于:
生成动态口令信息,并比较动态口令信息与动态认证信息是否一致;
若动态口令信息与动态认证信息一致,则得到认证结果为认证成功结果;
若动态口令信息与动态认证信息不一致,则得到认证结果为认证失败结果。
第四方面,本申请还提供一种JTAG接口的安全防护设备,包括:
一个或多个处理器;
存储器;
以及一个或多个应用程序,其中一个或多个应用程序被存储于存储器中,并配置为由处理器执行以实现第一方面的JTAG接口的安全防护方法。
第五方面,本申请还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器进行加载,以执行第一方面的JTAG接口的安全防护方法中的步骤。
本申请中,安全防护系统中的安全接口与目标芯片通信连接,通过安全防护模块对目标JTAG接口对应的用户身份信息进行认证,再根据认证结果确定是否连通目标JTAG接口与安全接口,若连通,则可以使目标JTAG接口通过安全接口与目标芯片通信,进而使用户通过目标JTAG接口在线调试目标芯片内部程序,读写目标芯片数据或固件版本文件,通过安全防护模块对目标JTAG接口对应的用户身份信息进行身份认证,能够有效防止恶意攻击者编写攻击程序,造成安全事故,也能够有效防止目标芯片数据泄露以及固件版本文件被非法复制,维护用户利益;另外,本申请中,对用户身份信息进行认证,而不是对待接入的目标JTAG接口进行是否合法的认证,可以避免合法的目标JTAG接口被非法盗取后,盗取者利用该合法的目标JTAG接口侵入目标芯片,恶意编写目标芯片内部程序,读写目标芯片数据或复制固件版本文件等,能够进一步维护目标芯片的数据安全。
附图说明
为了更清楚地说明本申请中的技术方案,下面将对本申请描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例中提供的JTAG接口的安全防护系统的一个场景示意图;
图2是本申请实施例中提供的JTAG接口的安全防护方法的一个流程示意图;
图3是本申请实施例中得到认证结果的一个流程示意图;
图4是本申请实施例中提供的JTAG接口的安全防护装置的一个结构示意图;
图5是本申请实施例中提供的JTAG接口的安全防护设备的一个结构示意图。
具体实施方式
下面将结合本申请中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个特征。在本申请的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
在本申请中,“示例性”一词用来表示“用作例子、例证或说明”。本申请中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本申请,给出了以下描述。在以下描述中,为了解释的目的而列出了细节。应当明白的是,本领域普通技术人员可以认识到,在不使用这些特定细节的情况下也可以实现本申请。在其它实例中,不会对公知的结构和过程进行详细阐述,以避免不必要的细节使本申请的描述变得晦涩。因此,本申请并非旨在限于所示的实施例,而是与符合本申请所公开的原理和特征的最广范围相一致。
本申请提供一种JTAG接口的安全防护方法、装置、系统、设备和存储介质,以下分别进行详细说明。
请参阅图1,图1为本申请实施例中所提供的JTAG接口的安全防护系统的一个场景示意图,该安全防护系统可以包括安全防护模块101和与安全防护模块101通信连接的安全接口102,安全接口102通信连接有目标芯片103,安全防护模块101还可以通信连接有待认证的目标JTAG接口104,另外,目标芯片103还可以通信连接有片外闪存Flash105,通过认证的JTAG接口可以通过该安全接口102与目标芯片103通信,实现在线调试目标芯片103内部程序、读写目标芯片103数据或将目标芯片103的固件版本文件烧写到片外闪存Flash105。
本申请实施例中,该安全防护模块101主要用于获取目标JTAG接口104对应的用户身份信息,并对用户身份信息进行认证,得到认证结果,以及根据认证结果,确定是否连通目标JTAG接口104与安全接口102,以使目标JTAG接口104与目标芯片103通信。其中,认证结果可以包括认证成功结果和认证失败结果,若认证结果为认证成功结果,则安全防护模块101可以连通目标JTAG接口104与安全接口102,以使目标JTAG接口104与目标芯片103通信;而若认证结果为认证失败结果,则安全防护模块101禁止目标JTAG接口104与安全接口102连通,以避免目标JTAG接口104与目标芯片103通信。
本申请实施例中,安全防护模块101对目标JTAG接口104对应的用户身份信息进行认证,可以有多种方式,本申请实施例中,安全防护模块101可以集成有不同安全等级的多种身份认证方式,比如可以是验证用户身份标识和用户密码的认证方式,也可以是验证目标JTAG接口104对应的用户的生物特征的方式,还可以是验证动态口令信息的方式,用户可以根据实际应用场景和对安全等级的要求,对身份认证方式进行选择,具体此处不做限定。
本申请实施例中,该安全防护模块101还可以通信连接有专用认证接口106,安全防护模块101获取目标JTAG接口104对应的用户身份信息,具体的,可以是通过专用认证接口106获取目标JTAG接口对应的用户身份信息。其中,专用认证接口106可以是串行接口(Serial Port,SP),比如通用异步收发器(Universal Asynchronous/Transmitter,UART)接口、异步传输标准接口RS485,也可以是网口,比如广域网(Wide Area Network,WAN)网口、局域网(Local Area Network,LAN)网口、无线局域网(Wireless Local Area Network,WLAN)网口,还可以是通用串行总线(Universal Serial Bus,USB)接口,比如USB1.0接口、USB2.0接口等。
本申请实施例中,安全防护模块101与安全接口102之间,以及安全接口102与目标芯片103之间可以通过任何通信方式实现网络通信,包括但不限于,基于第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)、长期演进(Long Term Evolution,LTE)、全球互通微波访问(Worldwide Interoperability for Microwave Access,WiMAX)的移动通信,或基于TCP/IP协议族(TCP/IP Protocol Suite,TCP/IP)、用户数据报协议(User Datagram Protocol,UDP)的计算机网络通信等。
本申请实施例中,上述的安全防护模块101可以是内置有多种认证方式的一个集成芯片,也可以是分别内置有不同的认证方式的多个集成芯片,还可以是由一个或多个集成芯片构成的集成电路(Integrate Circuit,IC)等,本申请不限定上述安全防护模块101的类型。
本领域技术人员可以理解,图1中示出的场景示意图,仅仅是与本申请方案适配的一种应用场景,并不构成对本申请方案应用场景的限定,其他的应用场景还可以包括比图1中所示更多或更少的接口或组件,例如图1中仅示出1个文件目标JTAG接口104,可以理解的,该安全防护系统还可以包括与目标芯片103通信连接的其他接口,具体此处不作限定。
需要说明的是,图1所示的安全防护系统的场景示意图仅仅是一个示例,本申请描述的JTAG接口的安全防护系统以及场景是为了更加清楚的说明本申请的技术方案,并不构成对于本申请提供的技术方案的限定,本领域普通技术人员可知,随着JTAG接口的安全防护系统的演变和新业务场景的出现,本申请提供的技术方案对于类似的技术问题,同样适用。
首先,本申请提供一种JTAG接口的安全防护方法,该安全防护方法应用于安全防护系统,该安全防护方法的执行主体为安全防护装置,该安全防护系统包括安全防护模块和与安全防护模块通信连接的安全接口,安全接口通信连接有目标芯片,安全防护模块还通信连接有待接入的目标JTAG接口,该方法包括:调用安全防护模块获取目标JTAG接口对应的用户身份信息,并对用户身份信息进行认证,得到认证结果;根据认证结果,确定是否调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信。
如图2所示,为本申请实施例中提供的JTAG接口的安全防护方法的一个流程示意图。需要说明的是,虽然在流程示意图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。该安全防护方法应用于安全防护系统,安全防护系统可以包括安全防护模块和与安全防护模块通信连接的安全接口,安全接口通信连接有目标芯片,安全防护模块还通信连接有待接入的目标JTAG接口,该安全防护方法包括:
S201、调用安全防护模块获取目标JTAG接口对应的用户身份信息,并对用户身份信息进行认证,得到认证结果。
本申请实施例中,安全防护模块可以通信连接有专用认证接口,目标JTAG接口想要与目标芯片通信则用户可以通过该专用认证接口向安全防护模块上传自身的用户身份信息,从而使安全防护模块对该用户身份信息进行认证;另外,专用认证接口也可以具有存储功能,用户将其用户身份信息上传到专用认证接口后,专用认证接口对该用户身份信息进行存储,安全防护模块可以按照预设的时间间隔定时访问专用认证接口,若专用认证接口中存储有待接入的目标JTAG接口对应的用户身份信息,则安全防护模块可以主动获取该用户身份信息。
本申请实施例中,专用认证接口可以是串行接口(Serial Port,SP),比如通用异步收发器(Universal Asynchronous/Transmitter,UART)接口、异步传输标准接口RS485,也可以是网口,比如广域网(Wide Area Network,WAN)网口、局域网(Local Area Network,LAN)网口、无线局域网(Wireless Local Area Network,WLAN)网口,还可以是通用串行总线(Universal Serial Bus,USB)接口,比如USB1.0接口、USB2.0接口等,具体此处不做限定。
安全防护模块可以通过预设的身份认证方式对用户身份信息进行认证,得到对应的认证结果,本申请实施例中,认证结果可以包括认证成功结果和认证失败结果,其中,认证成功结果表示当前认证的用户身份信息合法,即当前操作的用户为合法用户;反之,认证失败结果表示当前认证的用户身份信息不合法,即当前操作的用户为非法用户。
例如,目标JTAG接口对应的用户(如“U_1”)的用户身份信息为ME_1,则安全防护模块对该用户身份信息ME_1进行认证,得到的认证结果可能是认证成功结果(如“S”),也可能是认证失败结果(如“F”),若认证结果为认证成功结果S,则代表用户身份信息ME_1合法,即当前操作的用户U_1为合法用户;若认证结果为认证失败结果F,则代表用户身份信息ME_1不合法,即当前操作的用户U_1为非法用户。
S202、根据认证结果,确定是否调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信。
根据S201,本申请实施例中,认证结果可以包括认证成功结果和认证失败结果,并且,认证成功结果表示当前认证的用户身份信息合法,认证失败结果表示当前认证的用户身份信息不合法,因此,根据认证结果确定是否调用安全防护模块连通目标JTAG接口与安全接口,具体可以是:若认证结果为认证成功结果,则调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信;若认证结果为认证失败结果,则调用安全防护模块禁止目标JTAG接口与安全接口连通,以避免目标JTAG接口与目标芯片通信。
由于认证结果为认证成功结果,则表示当前认证的用户身份信息合法,当前操作的用户为合法用户,因此,当前待接入的目标JTAG接口为可信接口,系统便可以调用安全防护模块连通该目标JTAG接口与安全接口,以使得该目标JTAG接口可以通过安全接口与目标芯片通信,即当前用户可以通过JTAG接口实现在线调试目标芯片内部程序,读写目标芯片数据或固件版本文件等操作;而认证结果如果是认证失败结果,则表示当前认证的用户身份信息不合法,即当前操作的用户为非法用户,因此,当前待接入的目标JTAG接口不可信,系统便可以调用安全防护模块禁止该目标JTAG接口接入,即禁止目标JTAG接口与安全接口连通,避免非法用户恶意编写目标芯片内部程序,读写目标芯片数据或复制固件版本文件等。
例如,认证结果为认证成功结果S,则代表用户身份信息ME_1合法,即当前操作的用户U_1为合法用户,因此,可以调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信;若认证结果为认证失败结果F,则代表用户身份信息ME_1不合法,即当前操作的用户U_1为非法用户,因此,可以调用安全防护模块禁止目标JTAG接口与安全接口连通,以避免目标JTAG接口与目标芯片通信。
本申请实施例中,安全防护系统中的安全接口与目标芯片通信连接,通过安全防护模块对目标JTAG接口对应的用户身份信息进行认证,再根据认证结果确定是否连通目标JTAG接口与安全接口,若连通,则可以使目标JTAG接口通过安全接口与目标芯片通信,进而使用户通过目标JTAG接口在线调试目标芯片内部程序,读写目标芯片数据或固件版本文件,通过安全防护模块对目标JTAG接口对应的用户身份信息进行身份认证,能够有效防止恶意攻击者编写攻击程序,造成安全事故,也能够有效防止目标芯片数据泄露以及固件版本文件被非法复制,维护用户利益;另外,本申请实施例中,对当前操作用户的用户身份信息进行认证,而不是对待接入的目标JTAG接口进行是否合法的认证,可以避免合法的目标JTAG接口被非法盗取后,盗取者利用该合法的目标JTAG接口侵入目标芯片,恶意编写目标芯片内部程序,读写目标芯片数据或复制固件版本文件等,能够进一步维护目标芯片的数据安全。
如图3所示,为本申请实施例中得到认证结果的一个流程示意图,在本申请一些实施例中,安全防护模块配置有用户记录表,用户身份信息可以包括用户身份标识和用户密码,对用户身份信息进行认证,得到认证结果,可以进一步包括:
S301、调用安全防护模块在用户记录表中,查找是否存在第一标识和与第一标识关联的第一密码,其中,第一标识与用户身份标识一致,第一密码与用户密码一致。
S302、若存在第一标识和第一密码,则得到认证结果为认证成功结果。
S303、若不存在第一标识和第一密码,则得到认证结果为认证失败结果。
本申请实施例中,安全防护模块可以预设有不同安全等级的多种身份认证方式,比如S301-S303描述的验证用户身份标识和用户密码的认证方式,采用这种认证方式时,用户需要提前进行身份注册,注册信息可以关联记录在用户记录表中,以便于安全防护模块对用户身份信息进行认证时,在该用户记录表中进行相应查询操作。系统可以为每一个用户分配能够唯一标识该用户的用户身份标识,以及与该用户身份标识唯一关联的用户密码,即用户身份标识和用户密码是一一对应的关系,在这种情况下,用户记录表中可以记录有多对用户身份标识和用户密码,因此,当安全防护模块获取到用户身份信息后,可以在用户记录表中查找是否同时存在与用户身份标识一致的第一标识,以及与用户密码一致的第一密码,且第一标识与第一密码相互关联,即在用户记录表中查找是否存在与用户身份标识相同的第一标识,以及与用户密码相同的第一密码,并且第一标识与第一密码相互关联,若用户记录表中存在第一标识和第一密码,则表示用户为注册的合法用户,则可以得到认证结果为认证成功结果;若用户记录表中不存在第一标识和第一密码,则表示用户未注册或用户已注册但用户密码不正确,用户记录表中未记录有该用户身份信息,即用户为非法用户,则可以得到认证结果为认证失败结果。
例如,用户上传的用户身份标识为X、用户密码为XXX,用户记录表中成对记录有身份标识T1-密码C1,身份标识T2-密码C2等,若用户身份标识X与身份标识T1相同,同时用户密码XXX与密码C1相同,则说明用户记录表中存在第一标识T1和第一密码C1,认证结果为认证成功结果S;反之,若用户记录表中不存在与用户身份标识X相同的身份标识,或者存在与用户身份标识X相同的身份标识,但与该身份标识关联的密码与用户密码XXX不相同,则说明用户记录表中不存在第一标识和第一密码,则认证结果为认证失败结果F。
需要说明的是,上述通过用户身份标识和用户密码进行身份认证的方式,由于用户身份标识和用户密码是固定的,容易被非法盗取,因此,安全级别较低,本申请实施例中还可以通过验证动态口令信息的方式来认证用户身份信息,在这种情况下,用户身份信息可以包括动态认证信息,用户在系统注册时,可以上传自己的联系方式,例如邮箱地址或手机号码等,当用户进行身份认证时,可以首先上传注册时的联系方式,安全防护模块获取到用户联系方式时,可以利用现有的动态口令生成方法实时生成动态口令信息,并将该动态口令信息发送至用户联系方式,然后,用户向安全防护模块上传接收到的动态口令信息即动态认证信息,安全防护模块可以比较自身生成的动态口令信息与接收到的动态认证信息是否一致;若动态口令信息与动态认证信息一致,则可以得到认证结果为认证成功结果;若动态口令信息与动态认证信息不一致,则可以得到认证结果为认证失败结果,这种认证方式由于动态口令信息是实时生成的,因此,安全级别较高。
另外,本申请实施例中,还可以采用集成电路卡(Integrated Circuit Card,IC卡)的认证方式,例如,用户在系统注册时,为每一个用户分配一个对应的IC卡,将该IC卡的数据与用户标识相关联并记录在系统中,当用户需要进行身份认证时,用户将IC卡插入专用认证接口,安全防护模块通过专用认证接口读取该IC卡中的数据,并将该数据与系统中记录的数据进行对比,若对比结果为相同,则可以得到认证结果为认证成功结果;若对比结果为不相同,则可以得到认证结果为认证失败结果。
本申请实施例中,还可以采用生物特征识别的认证方式,生物特征可以是指纹、虹膜、面相等,采用这种认证方式时,专用认证接口可以通信连接有对应的指纹扫描器、虹膜扫描器或面相扫描器等,用户在注册时,系统可以记录用户自身的生物特征如指纹,当用户需要进行身份认证时,用户将手指放在指纹扫描器上,安全防护模块通过专用认证接口读取指纹扫描器所扫描到的指纹数据,并将该数据与系统中记录的指纹数据进行对比,若对比结果为相同,则可以得到认证结果为认证成功结果;若对比结果为不相同,则可以得到认证结果为认证失败结果。
除了上述认证方式外,本申请实施例还可以采用USB Key的认证方式,USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法可以实现对用户身份的认证。并且由于用户私钥保存在密码锁中,理论上使用任何方式都无法读取,因此保证了用户认证的安全性。
为了更好实施本申请中的JTAG接口的安全防护方法,本申请还提供一种JTAG接口的安全防护装置,如图4所示,为本申请实施例中提供的JTAG接口的安全防护装置的一个结构示意图,本申请的JTAG接口的安全防护装置应用于安全防护系统,安全防护系统包括安全防护模块和与安全防护模块通信连接的安全接口,安全接口通信连接有目标芯片,安全防护模块还通信连接有待接入的目标JTAG接口,安全防护装置400包括:
获取处理模块401,用于调用安全防护模块获取目标JTAG接口对应的用户身份信息,并对用户身份信息进行认证,得到认证结果;
输出模块402,用于根据认证结果,确定是否调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信。
本申请实施例中,获取处理模块401通过调用安全防护模块对目标JTAG接口对应的用户身份信息进行认证,再根据认证结果确定是否连通目标JTAG接口与安全接口,若连通,则可以使目标JTAG接口通过安全接口与目标芯片通信,进而使用户通过目标JTAG接口在线调试目标芯片内部程序,读写目标芯片数据或固件版本文件,通过安全防护模块对目标JTAG接口对应的用户身份信息进行身份认证,能够有效防止恶意攻击者编写攻击程序,造成安全事故,也能够有效防止目标芯片数据泄露以及固件版本文件被非法复制,维护用户利益;另外,本申请实施例中,对用户身份信息进行认证,而不是对待接入的目标JTAG接口进行是否合法的认证,可以避免合法的目标JTAG接口被非法盗取后,盗取者利用该合法的目标JTAG接口侵入目标芯片,恶意编写目标芯片内部程序,读写目标芯片数据或复制固件版本文件等,能够进一步维护目标芯片的数据安全。
在本申请一些实施例中,安全防护模块通信连接有专用认证接口,获取处理输出模块401具体可以用于:
调用安全防护模块,通过专用认证接口获取目标JTAG接口对应的用户身份信息。
在本申请一些实施例中,认证结果包括认证成功结果和认证失败结果,输出模块402具体可以用于:
若认证结果为认证成功结果,则调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信;
若认证结果为认证失败结果,则调用安全防护模块禁止目标JTAG接口与安全接口连通,以避免目标JTAG接口与目标芯片通信。
在本申请一些实施例中,安全防护模块配置有用户记录表,用户身份信息包括用户身份标识和用户密码,获取处理模块401具体还可以用于:
调用安全防护模块在用户记录表中,查找是否存在第一标识和与第一标识关联的第一密码,其中,第一标识与用户身份标识一致,第一密码与用户密码一致;
若存在第一标识和第一密码,则得到认证结果为认证成功结果;
若不存在第一标识和第一密码,则得到认证结果为认证失败结果。
在本申请一些实施例中,用户身份信息包括动态认证信息,获取处理模块401具体还可以用于:
调用安全防护模块生成动态口令信息,并比较动态口令信息与动态认证信息是否一致;
若动态口令信息与动态认证信息一致,则得到认证结果为认证成功结果;
若动态口令信息与动态认证信息不一致,则得到认证结果为认证失败结果。
需要说明的是,本申请中,获取处理模块401和输出模块402的相关内容与上述一一对应,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的安全防护装置及其相应模块的具体工作过程,可以参考如图2和图3对应任意实施例中JTAG接口的安全防护方法的说明,具体在此不再赘述。
为了更好实施本申请的JTAG接口的安全防护方法,在JTAG接口的安全防护方法基础之上,本申请还提供一种JTAG接口的安全防护设备,其集成了本申请所提供的任一种JTAG接口的安全防护装置,该设备包括:
一个或多个处理器501;
存储器502;
以及一个或多个应用程序,其中一个或多个应用程序被存储于存储器502中,并配置为由处理器501执行上述JTAG接口的安全防护方法中任一项实施例的JTAG接口的安全防护方法中的步骤。
如图5所示,其示出了本申请所涉及的JTAG接口的安全防护设备的一个实施例结构示意图,具体来讲:
该设备可以包括一个或者一个以上处理核心的处理器501、一个或一个以上计算机可读存储介质的存储器502、电源503和输入单元504等部件。本领域技术人员可以理解,图5中示出的设备结构并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器501是该设备的控制中心,利用各种接口和线路连接整个设备的各个部分,通过运行或执行存储在存储器502内的软件程序和/或模块,以及调用存储在存储器502内的数据,执行设备的各种功能和处理数据,从而对设备进行整体监控。可选的,处理器501可包括一个或多个处理核心;处理器501可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,优选的,处理器501可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器501中。
存储器502可用于存储软件程序以及模块,处理器501通过运行存储在存储器502的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器502可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据设备的使用所创建的数据等。此外,存储器502可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器502还可以包括存储器控制器,以提供处理器501对存储器502的访问。
该设备还包括给各个部件供电的电源503,优选的,电源503可以通过电源管理系统与处理器501逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源503还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该设备还可以包括输入单元504和输出单元505,该输入单元504可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,该设备还可以包括显示单元等,在此不再赘述。具体在本申请中,设备中的处理器501会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器502中,并由处理器501来运行存储在存储器502中的应用程序,从而实现各种功能,如下:
调用安全防护模块获取目标JTAG接口对应的用户身份信息,并对用户身份信息进行认证,得到认证结果;
根据认证结果,确定是否调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信。
本领域普通技术人员可以理解,上述的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于一计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请提供一种计算机可读存储介质,该存储介质可以包括:只读存储器(Read Only Memory,ROM)、随机存取记忆体(Random Access Memory,RAM)、磁盘或光盘等。其上存储有计算机程序,计算机程序被处理器进行加载,以执行本申请所提供的任一种JTAG接口的安全防护方法中的步骤。例如,计算机程序被处理器进行加载可以执行如下步骤:
调用安全防护模块获取目标JTAG接口对应的用户身份信息,并对用户身份信息进行认证,得到认证结果;
根据认证结果,确定是否调用安全防护模块连通目标JTAG接口与安全接口,以使目标JTAG接口与目标芯片通信。
由于该计算机可读存储介质中所存储的指令,可以执行本申请如图2和图3对应任意实施例中JTAG接口的安全防护方法中的步骤,因此,可以实现本申请如图2和图3对应任意实施例中JTAG接口的安全防护方法所能实现的有益效果,详见前面的说明,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见上文针对其他实施例的详细描述,此处不再赘述。
具体实施时,以上各个单元或结构可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元或结构的具体实施可参见前面的实施例,在此不再赘述。
以上对本申请所提供的一种JTAG接口的安全防护方法、装置、系统、设备和存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种JTAG接口的安全防护方法,其特征在于,应用于安全防护系统,所述安全防护系统包括安全防护模块和与所述安全防护模块通信连接的安全接口,所述安全接口通信连接有目标芯片,所述安全防护模块还通信连接有待接入的目标JTAG接口,所述方法包括:
调用所述安全防护模块获取所述目标JTAG接口对应的用户身份信息,并对所述用户身份信息进行认证,得到认证结果;
根据所述认证结果,确定是否调用所述安全防护模块连通所述目标JTAG接口与所述安全接口,以使所述目标JTAG接口与所述目标芯片通信。
2.根据权利要求1所述的方法,其特征在于,所述安全防护模块通信连接有专用认证接口,所述调用所述安全防护模块获取所述目标JTAG接口对应的用户身份信息,具体为:
调用所述安全防护模块,通过所述专用认证接口获取所述目标JTAG接口对应的用户身份信息。
3.根据权利要求2所述的方法,其特征在于,所述专用认证接口为串行接口、网口或通用串行总线USB接口。
4.根据权利要求1所述的方法,其特征在于,所述认证结果包括认证成功结果和认证失败结果,所述根据所述认证结果,确定是否调用所述安全防护模块连通所述目标JTAG接口与所述安全接口,包括:
若所述认证结果为所述认证成功结果,则调用所述安全防护模块连通所述目标JTAG接口与所述安全接口,以使所述目标JTAG接口与所述目标芯片通信;
若所述认证结果为所述认证失败结果,则调用所述安全防护模块禁止所述目标JTAG接口与所述安全接口连通,以避免所述目标JTAG接口与所述目标芯片通信。
5.根据权利要求4所述的方法,其特征在于,所述安全防护模块配置有用户记录表,所述用户身份信息包括用户身份标识和用户密码,所述对所述用户身份信息进行认证,得到认证结果,包括:
调用所述安全防护模块在所述用户记录表中,查找是否存在第一标识和与所述第一标识关联的第一密码,其中,所述第一标识与所述用户身份标识一致,所述第一密码与所述用户密码一致;
若存在所述第一标识和所述第一密码,则得到所述认证结果为所述认证成功结果;
若不存在所述第一标识和所述第一密码,则得到所述认证结果为所述认证失败结果。
6.根据权利要求4所述的方法,其特征在于,所述用户身份信息包括动态认证信息,所述对所述用户身份信息进行认证,得到认证结果,包括:
调用所述安全防护模块生成动态口令信息,并比较所述动态口令信息与所述动态认证信息是否一致;
若所述动态口令信息与所述动态认证信息一致,则得到所述认证结果为所述认证成功结果;
若所述动态口令信息与所述动态认证信息不一致,则得到所述认证结果为所述认证失败结果。
7.一种JTAG接口的安全防护装置,其特征在于,应用于安全防护系统,所述安全防护系统包括安全防护模块和与所述安全防护模块通信连接的安全接口,所述安全接口通信连接有目标芯片,所述安全防护模块还通信连接有待接入的目标JTAG接口,所述装置包括:
获取处理模块,用于调用所述安全防护模块获取所述目标JTAG接口对应的用户身份信息,并对所述用户身份信息进行认证,得到认证结果;
输出模块,用于根据所述认证结果,确定是否调用所述安全防护模块连通所述目标JTAG接口与所述安全接口,以使所述目标JTAG接口与所述目标芯片通信。
8.一种JTAG接口的安全防护系统,其特征在于,所述系统包括安全防护模块和与所述安全防护模块通信连接的安全接口,所述安全接口通信连接有目标芯片,所述安全防护模块还通信连接有待接入的目标JTAG接口;
所述安全防护模块,用于获取所述目标JTAG接口对应的用户身份信息,并对所述用户身份信息进行认证,得到认证结果;
以及根据所述认证结果,确定是否连通所述目标JTAG接口与所述安全接口,以使所述目标JTAG接口与所述目标芯片通信。
9.一种JTAG接口的安全防护设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器;
以及一个或多个应用程序,其中所述一个或多个应用程序被存储于所述存储器中,并配置为由所述处理器执行以实现权利要求1至6任一项所述的JTAG接口的安全防护方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器进行加载,以执行权利要求1至6任一项所述的JTAG接口的安全防护方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110147293.6A CN114861173A (zh) | 2021-02-03 | 2021-02-03 | Jtag接口的安全防护方法、装置、系统、设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110147293.6A CN114861173A (zh) | 2021-02-03 | 2021-02-03 | Jtag接口的安全防护方法、装置、系统、设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114861173A true CN114861173A (zh) | 2022-08-05 |
Family
ID=82623156
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110147293.6A Pending CN114861173A (zh) | 2021-02-03 | 2021-02-03 | Jtag接口的安全防护方法、装置、系统、设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114861173A (zh) |
-
2021
- 2021-02-03 CN CN202110147293.6A patent/CN114861173A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11947688B2 (en) | Secure computing system | |
US10496801B2 (en) | System and method for providing an authentication engine in a persistent authentication framework | |
US10162975B2 (en) | Secure computing system | |
CN111835689B (zh) | 数字钥匙的身份认证方法、终端设备及介质 | |
KR101281678B1 (ko) | 이동 저장 장치에서 호스트 인증 방법, 호스트 인증을 위한정보 제공 방법, 장치, 및 기록매체 | |
US10897359B2 (en) | Controlled storage device access | |
WO2015055141A1 (zh) | 终端设备的调试端口控制方法和装置 | |
US10713381B2 (en) | Method and apparatus for securely calling fingerprint information, and mobile terminal | |
US11615207B2 (en) | Security processor configured to authenticate user and authorize user for user data and computing system including the same | |
US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
WO2016078429A1 (zh) | 一种身份识别的方法和装置 | |
JP2004070828A (ja) | 電子機器及びその不正使用防止方法並びにその不正使用防止プログラム | |
CN114861173A (zh) | Jtag接口的安全防护方法、装置、系统、设备和存储介质 | |
KR102102179B1 (ko) | 임베디드 시스템, 이를 포함하는 인증 시스템, 및 인증 방법 | |
TW201112034A (en) | Authentication method, associated controller, host computer, and machine-readable medium | |
KR20100072987A (ko) | Usb 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템 | |
US20180293408A1 (en) | Peripheral device security | |
JP4388040B2 (ja) | 不正接続防止システム、不正接続防止方法、ユーザ端末、及びユーザ端末用プログラム | |
JP2005348290A (ja) | セキュリティ機能付情報処理装置 | |
Kim | Regulating smart devices in restricted spaces | |
KR100923987B1 (ko) | 보안 방법 및 장치 | |
CN115905108A (zh) | 一种用于risc-v芯片的iopmp架构实现方法 | |
JP5126530B2 (ja) | コンピュータの環境を測定する機能を備えた外部記憶デバイス | |
KR20010000324A (ko) | 컴퓨터 시스템 지문인증 처리장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |