一种TF卡数据保护的方法与流程

本发明涉及存储设备领域，特别涉及一种tf卡数据保护的方法。

背景技术：

当前sd协议仅提供一种基于口令的方式对tf的读写操作进行限制：首先配置口令，tf卡进入锁定lock状态不能进行读写操作；当主机host正确发送口令后，tf卡退出lock状态，可以进行读写操作。协议中描述的数据保护方式相对单一，不能满足日益增长的数据安全需要，例如数据的持有者可能希望对读取数据的人，读取范围，读取次数进行控制，甚至希望数据可以在读取之后自动销毁以保证数据不会泄漏，这样具有一定策略性的数据保护方式，sd协议是尚未定义的。

技术实现要素：

针对以上缺陷，本发明目的在于提出一种安全策略可灵活配置的数据保护方法。

为了解决以上问题本发明提出了一种tf卡数据保护的方法,其特征在于通过采集tf卡的动态信息集gi，并对动态信息集gi进行分解，并将分解后的数据与识别向量skey进行匹配，如果匹配则获取相应的动作向量saction,将动作向量saction的内容生成控制信号集gc，通过控制信号集gc实现对tf卡数据访问的控制。

所述的tf卡数据保护的方法，其特征在于多个识别向量skey可对应一个动作向量saction。

所述的tf卡数据保护的方法，其特征在于所述的动态信息集gi具体为：tf卡运行过程中软硬件产生的动态信息；控制信号集gc具体为：安全控制部件securitystrategy输出的软硬件控制信息；识别向量skey具体为：用于识别当前gi是否为策略配置者期望场景；动作向量saction具体为：用于描述当策略配置者期望场景出现后安全控制部件应做出的动作。

所述的tf卡数据保护的方法，其特征在于还包括安全控制部件securitystrategy、解析部件giparser、搜索部件searchmodule和格式转换部件gcformat；securitystrategy：根据获取到的配置信息skey与saction和tf卡动态信息集gi进行逻辑运算并输出控制信号集gc的装置解析部件；giparser解析gi中的信息为搜索部件可以理解的格式并传递个搜索部件；搜索部件searchmodule实现根据解析部件giparser提供的信息对策略库strategystorage中的识别向量库skeystorage进行搜索，若可以搜索到对应的识别向量skey，则需要取出对应的动作向量saction并传递到gcformat组件去；gcformat：将searchmodule传递过来的saction信息转换成为外围电路或软件可以识别的信号或消息发送出去。

所述的tf卡数据保护的方法，其特征在于通过tf卡内的软件方式实现或者通过集成电路asic方式实现。

本发明通过tf卡运行过程中监视tf卡运行情况，根据实时采集的动态信息匹配合适的策略并分解为可执行得控制信号实现对tf卡内部软硬间进行控制，进而实现符合不同安全级别的数据保护。

附图说明

图1是tf卡数据保护的方法的控制流程示意图；

图2是安全控制部件的内部组成示意图；

图3是软件方式集成部署架构图

图4是asic方式集成部署实施示意图；

图5是ip授权方式集成部署实施示意图；

图6是tf卡数据保护的方法的数据流示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1是tf卡数据保护的方法的控制流程示意图，通过采集tf卡的动态信息集gi(n1,n2……,nn)，并通过安全控制部件securitystrategy对动态信息集gi(n1,n2……,nn)进行分解，并将分解后的数据与识别向量skey(n1,n2……,nn)进行匹配，如果匹配则获取相应的动作向量saction(n1,n2……,nn),将动作向量saction的内容生成控制信号集gc(n1,n2……,nn)，通过控制信号集gc(n1,n2……,nn)实现对tf卡数据访问的控制。其中多个识别向量skey可对应一个动作向量saction。

动态信息集gi具体为：tf卡运行过程中软硬件产生的动态信息。

控制信号集gc具体为：安全控制部件securitystrategy输出的软硬件控制信息。

识别向量skey具体为：用于识别当前gi是否为策略配置者期望场景；动作向量saction具体为：用于描述当策略配置者期望场景出现后安全控制部件应做出的动作。

图2是安全控制部件的内部组成示意图，安全控制部件securitystrategy内包括：解析部件giparser、搜索部件searchmodule、格式转换部件gcformat和策略库strategystorage；securitystrategy为根据获取到的配置信息skey与saction和tf卡动态信息集gi进行逻辑运算并输出控制信号集gc的装置解析部件；giparser解析gi中的信息为搜索部件可以理解的格式并传递个搜索部件；搜索部件searchmodule实现根据解析部件giparser提供的信息对策略库strategystorage中的识别向量库skeystorage进行搜索，若可以搜索到对应的识别向量skey，则需要取出对应的动作向量saction并传递到gcformat组件去；gcformat：将searchmodule传递过来的saction信息转换成为外围电路或软件可以识别的信号或消息发送出去。

在整体策略较少时、实时性要求较低的情况下，可以使用软件方式实现。此时，本方法与逻辑相关的部分都以代码的形式集成在tf卡的固件之中；为了使得装置可以正常使用，系统应为组件分配足够的rom或ram来保证装置常运行，同时需要提供足够的非易失存储介质来存储相关安全策略。图3是软件方式集成部署架构图，此时giparser、searchmodule、gcformat组件都以软件形式实现，并运行在rom或ram中；而strategystorage存放在非易失存储中，共其他部件访问，非易失存储包括但不限与norflash、nandflash等介质。

在策略较多、实时性要求较强的情况下，本方法可以使用asic方式实现。此时，本装置将集成在产品硬件内部；为了使得装置可以正常使用，装置的接口应顺从常见总线接口来满足具体性能成本的需要。图4是asic方式集成部署实施示意图，若以asic芯片形式集成在tf卡中，此时，securitystrategy装置将挂接在主控芯片(controller)提供的总线上与主控芯片交互动态信息集gi、控制信号集gc、识别向量skey、动作向量saction等信息；主控信息提供的总线包括但不限于i2c、spi、pci等总线，具体情况根据主控规格以及性能需要进行选择。

图5是ip授权方式集成部署实施示意图，由硬件实现，以ip授权的形式集成在主控芯片中(controller)。若以ip授权形式集成在主控芯片中，其集成方式包括但不限于图5所示方式。此时，securitystrategy装置通过片内总线与片内其他部分交互动态信息集gi、控制信号集gc、识别向量skey、动作向量saction等信息；总线包括但不限于ahb、axi、apb、pcie等类型总线，具体情况需要根据具体性能需求以及成本确定。

图6是tf卡数据保护的方法的数据流示意图，其中动态信息集gi，包括但不限于如下信息：当前用户id、用户特权级、用户认证结果、设备当前温度、用户自定义命令、当前命令、当前命令状态等。giparser组件将对这些信息进行分解与整理，转换成为searchmodule可以识别并进行搜索的一条或多条命令，并将这些命令送入searchmodule组件的fifo中等待执行。

searchmodule组件不断的从fifo中取出需要执行的命令，并根据这些命令的内容对skeystorage区域进行搜索。skeystorage的内容需要存放在非易失存储器中以保证tf卡重启之后数据不会丢失，非易失存储器包括但不限于norflash、nandflash等。为了增加搜索的速度，在tf卡运行期间，可以将skeystorage内容加载到易失存储其中，易失存储器包括但不限与sram、dram、tcam、tcm等。若搜索到匹配的skey需要将其对应的saction从sactionstorage中取出，与skeystorage一样，sactionstorage需要存放在非易失存储器中，若需要提高获取速度，可以将其加载到易失存储器中；skey与saction是多对一的关系，即一项saction可以对应多个skey。saction获取到之后，searchmodule将saction发送到gcformat组件fifo中去。

gcformat组件不断从fifo中取出saction，并将其内容进行解析为其他软硬件可以识别的控制信号集gc。控制信号集gc包括但不限于如下信息：拒绝用户、拒绝用户定义命令、拒绝当前命令、停止当前命令、读后擦除、功能切换、固件销毁、数据销毁等。

在使用该装置前，需要对skeysaction进行配置。用户需要通过configuration组件提供的通道将信息写入strategystorage中去。skey内容包括但不限于如下信息：用户id、用户权限、用户password、用户自定义命令、认证类型、认证结果、当前命令、设备温度等关键信息，用户硬件可以方便的进行内容查找。saction内容包括但不限于，拒绝请求、拒绝命令、读后擦、重启、销毁固件、销毁数据等软硬件可以实现动作

以上所揭露的仅为本发明一种实施例而已，当然不能以此来限定本之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本发明权利要求所作的等同变化，仍属于本发明所涵盖的范围。