专利名称:基于SD Memory/SDIO接口的信息安全设备及数据通信方法
技术领域:
本发明涉及一种高速低功耗信息安全加密存储设备和通信方法,特别是涉及一种基于SD Memory/SDIO接口且适用于信息安全领域的信息安全设备及其通信方法。
背景技术:
目前,使用SD加密卡作为客户端认证设备已经非常常见,而使用SD加密卡类产品进行 数据加、解密通信则是新近出现的技术趋势。与以往使用加密机、加密卡进行数据加、解密 通信的技术解决方案不同的是,使用SD加密卡类产品进行数据加、解密通信走的是一条制 造、部署成本低,且使用灵活性高的技术路线。由于国内现状是数据通信业务量不大,对 加、解密速度不敏感,但对部署成本敏感。对于该种现状,在国内通信网络内使用SD加密 卡类产品在进行身份认证的同时,进行数据加、解密通信无疑是一条捷径。
时下,纵观所有的SD加密卡类产品我们可以做如下一个分类
国外现有同类加密产品,相对来说性能较高,对各种标准加密算法和相关协议的支持也 比较好,存储容量较大,但是在接口方面, 一般也只是提供7816和USB接口,并不支持逐 渐成为移动手持设备主流的高通信数率SDIO接口。
国内现有的智能芯片产品,其大部分是采用性能较差的8位微处理器,存储容量较小, 一般仅支持7816接口和USB1.1接口,通信速率较低,而且由于工艺水平和设计方面的因素, 其加解密速度比较慢, 一般只用于作公私密钥对生成、数字签名、证书及私钥存储等用途, 并且其数据加密一般是采用软件在PC上完成。至今为止,国内还没有出现支持SDIO接口的 安全IC芯片,更加不具备SDIO与SD Memory Combo概念。
随着电子政务、电子商务、电子娱乐的蓬勃发展,广泛利用计算机和互联网进行政治、 经济、娱乐生活己经成为必然趋势;以及随着移动手持计算终端设备的性能、功能日益强大, 随着3G网络的来临,移动电子政务、移动电子商务、移动电子娱乐的逐渐兴起,正在越来 越深入地影响和改变人们的工作与生活。而电子政务、商务、娱乐与移动电子政务、商务、 娱乐的瓶颈在于
1) 移动手持计算终端的本地安全和即插即用问题;移动互联网数据传输的安全问题;
2) 移动手持计算终端需要一安全载体实现应用上的安全管理以及安全可靠的大容量存储 外设。
目前,虽然公开密钥体系(Public Key Infrastructure,下文用PKI表示)是采用非对称加密算法生成用户私钥,通过数字证书及相应证书签发、索引服务器有效认证用户身份,通过 数字签名实现网络电子签章,能够有效满足机密性、真实性、完整性、不可抵赖性四大互联 网数据传输安全要求。同时,虚拟专用网(Virtual Private Network,下文用VPN表示)技术, 能够在公共的开放网络(移动互联网)上构筑安全可靠的虚拟专用数据通道;也能够与嵌入 式开源、可信操作系统结合实现移动可信计算;更能够内置嵌入式个人防火墙、入侵检测、 杀毒软件,深度解决移动手持计算终端的本地安全问题及移动互联网数据传输与管理的安全 问题。但是由于上述这些安全解决方案,必须基于硬件实现的安全产品,而纯软件实现的安 全产品先天具有易泄漏、易破解、运行速度远低于同等级硬件产品的弱势,已经难以适应越 来越开放、越来越庞大、越来越危险的网络。
此外,目前新型的手持移动计算终端(手机、智能手机、PDA等)大都是采用符合SD 协议的接口,且支持SDIO,主流的SD卡外型为MicroSD/MiniSD (比如诺基亚、摩托罗拉、 三星、多普达等市场占有率相当大的手机、智能手机和高端手持计算机);而具有SD接口的 加密存储设备却非常匮乏,造成移动设备管理上极大的不便及安全隐患。
随着互联网/移动互联网飞速发展,网络带宽不断提高,下一代移动互联网正在迫近,网 络应用对速度、存储容量的要求也不断提高,尤其在手持移动计算终端上。SD组织发布的 SDIO/SD Memory协议正好可以用来满足移动手持计算终端安全与存储的双重要求。其中, SD Memory协议用来控制大容量存储器,SDIO协议用来实现高速(3G/4G, 20 100Mbps) 安全应用通信接口。
发明内容
鉴于现有技术存在的问题以及SD Memory/SDIO接口的诸多优点,本发明目的之一在于 提供一种低功耗、结构简单以及使用方便的且基于SD Memory/SDIO接口的信息安全设备。
为了达到上述目的,本发明所述基于SD Memory/SDIO接口的信息安全设备采用了下述 技术方案
所述基于SD Memory/SDIO接口的信息安全设备主要包括控制器,该所述控制器用于运 行固件程序和用户程序、存储操作系统与用户私密信息、控制大容量闪存以及设备与主机进 行通讯,在其中包括有大容量存储器、嵌入式存储器、多种对称与非对称加密硬核以及SD Memory/SDIO接口 ,且所述存储器为用于存储设备固件程序和数据信息。
此外,本发明的另一目的在于提供一种基于SD Memory/SDIO接口 ,且用以对身份进行 认证和数据传输的方法,该方法包括以下步骤
l)主机识别到信息安全设备,对信息安全设备进行初始化;2) 主机向信息安全设备发送指令,即通过SDMemory/SDIO接口并按照接口协议的要求 将指令数据发送给信息安全设备;
3) 信息安全设备对指令进行解析和处理;
4) 信息安全设备向主机返回结果。
其中,步骤1)具体包括,在信息安全设备插入主机后,对该信息安全设备进行身份认 证,且当身份认证完毕后,对信息安全设备的操作权限得到满足后,亦对数据交换模式进行 指定。
歩骤3)中所述信息安全设备对指令的解析和处理包括如下歩骤-
A、 信息安全设备接收来自SD Memory/SDIO接口的指令数据,并对该指令数据进行处
理;
B、 信息安全设备根据接收的指令数据执行相应操作。
所述处理包括对指令数据的解密、指令解析、权限审核、执行命令和返回结果。 所述操作包括对数据的存储或安全存储、访问控制、数据的处理过程,且所述的数据处 理过程中,对数据的运算处理包括非加密存储与加密存储过程,加密存储过程包括2048位 RSA、 DES、 3DES、 SHA-1、 AES、 SM1。
本发明所述基于SD Memory/SDIO接口的信息安全设备及数据通信方法是应市场应用需 求而开发的,其采用了国内自主知识产权的0.18um工艺数据通信密码芯片,结构上采用堆叠 与COB工艺,在性能等各方面都具有很大的优势。与国内外同类密码产品相比,概念新颖, 且全线技术都基于国内自主知识产权,在技术上有一定的优势,低功耗,结构简单,可以满 足国内通信领域中身份认证和数据加密的技术要求。
图1为本发明所述基于SD Memory/SDIO接口的信息安全设备的框架图2为本发明所述基于SD Memory/SDIO接口的信息安全设备之固件程序工作示意图3为本发明所述基于SD Memory/SDIO接口的数据通信方法的流程图4为本发明所述基于SD Memoiy/SDIO接口的数据通信方法中身份认证过程流程图5为本发明所述基于SD Memory/SDIO接口的数据通信方法中指令处理数据流程图6为本发明所述基于SD Memory/SDIO接口的数据通信方法一具体实施例智能卡应用
和VPN加速器应用流程图7为本发明所述基于SD Memory/SDIO接口的数据通信方法一具体实施例数据加密存
储应用流程图。
具体实施例方式
下面结合附图以及具体实施例来对本发明所述基于SD Memory/SDIO接口的信息安全设 备及其数据通信方法作进一步的说明。
基于SD Memory/SDIO接口的低功耗大容量存储信息安全设备,该信息安全设备为智能 卡芯片,其功能框架如图1中所示,该信息安全设备的物理外形可以表现为SD卡、MiniSD 卡以及MicroSD卡,实际应用中,其采用COB工艺,即裸芯片封装技术(Chip On Board, 简称为COB),以及大容量存储器、主控制器多芯片堆叠封装工艺(Multi Chip Package,简 称MCP),从而在物理形式上形成难以物理剥离的硬件安全结构,进一歩提高芯片以及卡片 抗探针攻击能力。
见图1,所述信息安全设备主要包括控制器1,该所述控制器1用于运行固件程序和用户 程序、存储操作系统与用户私密信息、控制大容量闪存以及设备与主机进行通讯,在其中包 括有大容量存储器10、嵌入式存储器11、多种对称与非对称加密硬核12以及SD Memory/SDIO接口 13,且所述SD Memory/SDIO接口 13可以使得所述基于SD Memory/SDIO 接口的大容量存储信息安全设备为在物理载体上可以表现为SD卡、MiniSD卡以及MicroSD 卡,所述存储器10包含存储信息安全设备固件程序的固件程序部分100和存储数据信息的数 据信息部分,以及在所述嵌入式存储器ll中存储有数据处理机制。
所述固件程序部分100主要包括对信息安全设备进行识别部分、用以等待并接收来自主 机数据部分、解析并处理数据部分、发回给主机数据并等待下一条指令部分,以及用以断开 及连接信息安全设备同主机部分。
参见图2中所示,实际应用时,信息安全设备2被带有SD Memory/SDIO接口的主机3 识别后,所述固件程序IOO通过其内置的寄存器信息,建立与主机和信息安全设备的连接, 并申明为确定的SD Memory/SDIO的通信类型以用来进行后续的通信,且通信部分完全遵守 SD Memory/SDIO的通信协议。
实际应用中,本发明可采用国际主流商业密码算法协处理器、国家通用密码算法协处理 器,支持国际主流强商业密码算法以及中国国家商业密码算法,采用大容量嵌入式非易失性 存储单元,且拥有数字加解密、数字认证、数字签名和安全信息存储管理、数字版权管理、 网络实名认证功能。
参见图3中所示,本发明还提供一种基于SD Memory/SDIO接口的信息安全设备的数据 通信方法,该方法包括以下步骤首先,主机识别到信息安全设备,进而对该信息安全设备 进行身份认证,且在对信息安全设备的操作权限满足后,对该信息安全设备的数据交换模式进行指定(步骤30);其次,主机向信息安全设备发送指令,且通过SD Memory/SDIO接口 并按照接口协议的要求将指令数据发送给信息安全设备(步骤31);信息安全设备对主机发 送过来的指令进行解析和处理(步骤32);最后,待信息安全设备对指令解析和处理完毕后, 向主机返回结果(步骤33)。
其中,步骤32中所述信息安全设备对指令的解析和处理具体包括如下步骤 步骤320:信息安全设备接收来自SD Memory/SDIO接口的指令数据,并对该指令数据 进行处理;
步骤321:信息安全设备根据接收的指令数据执行相应操作。 所述处理包括对指令数据的解密、指令解析、权限审核、执行命令和返回结果。 所述操作包括对数据的存储或安全存储、访问控制、数据的处理过程,且所述的数据处 理过程中,对数据的运算处理包括非加密存储与加密存储过程,加密存储过程包括2048位 RSA、 DES、 3DES、 SHA墨1、 AES、 SM1。
另外,所述基于SD Memory/SDIO接口的低功耗大容量存储信息安全设备插入主机后, 首先进行的身份认证,其认证过程如图4中所示。
在操作权限得到满足后,使用文件指定的数据交换模式才能正确的读/写/使用数据。终端 和信息安全设备之间的数据交换有四种模式明文、明文加检验、密文和密文加校验。安全 数据交换的目的是保证数据的可靠性、完整性和对发送方的认证。数据完整性和对发送方的 认证通过使用校验码来实现,数据的可靠性则通过对数据域的加密来保证。
在本发明中,安全报文传输格式符合ISO 7816-4的规定,当CLA字节的后半字节等于"4" 时,则表明对发送方命令数据要采用安全报文传输。而对基本文件操作的命令报文数据是否 使用安全报文传输取决于文件类型,如果文件类型B6位为1,则表示需要使用安全报文传送, 0表示不需要。
在整个认证过程中,指令数据处理是一个核心过程,下面结合图5对这一过程进行说明。 步骤规则如下描述
1) 解密,完整性检测如果报文加密或者带有完整性鉴别数据还要有一个报文头,说 明加密的类型和完整性检测的类型;
2) 命令解析据定义的命令规则解析命令,得出命令所需要的操作元素
3) 权限审核换取当前安全状态,然后根据命令操作类型得出安全属性,比较得出操 作的合法性;
4) 执行命令需要调用文件系统的功能函数,根据操作结果得到返回情况;
5)返回结果根据返回情况,填写返回报文的相关字段。如果是加密报文或者需要进行完整性检测的则还需要在最后进行加密和完整性计算操作。
从而所述信息安全设备可根据解析命令,可以对数据进行存储或者加密存储操作。 参照图6和图7中所示,分别以智能卡应用、VPN加速器应用和据存储/加密存储应用对 本发明所述方法进行详细描述。
(1) 智能卡应用
CPU指令从Flash或ROM中读取并执行;命令与数据从SDIO接口传入,CPU读入到 内存后,进行解析,根据要求调用RSA, SHA, SM1等功能模块,并可能读/写内部Flash, 完成命令所定义任务后,将结果数据放在内存中,并向Host端发送一个中断信息,由Host 端査询中断原因,并进一步通过发送命令取得结果数据。
此种应用环境下,较多使用到SDIO, RSA, SHA,内部数据Flash, RNG,访问频率为 中等。
智能卡应用对各模块速度要求为中等,具体如下 SD/SDIO通信模块lOMb/s; RSA模块
2048位密钥对产生时间<5s 2048位密钥签名时间<200ms 2048位密钥验证时间<40ms 1024位密钥对产生时间<2s 1024位密钥签名时间<50ms 1024位密钥验证时间<10ms SMl加解密速度>10Mb/s SHA1/SHA256数据处理速度>10Mb/s 随机数发生器(RNG)随机数产生速度>2Mb/s 内部Flash访问速度〉50Mb/s
(2) VPN加速器应用
CPU指令从Flash或ROM中读取并执行;命令与数据从SDIO接口传入,CPU读入到内 存后,进行解析,根据要求调用RSA, SHA, SM1等功能模块,并可能读/写内部Flash,完 成命令所定义任务后,将结果数据放在内存中,并向Host端发送一个中断信息,由Host端 查询中断原因,并进一步通过发送命令取得结果数据。
此种应用环境下,较多使用到SDIO, SMl, RSA, SHA1/SHA256,访问频率较高,对内 部数据Flash的访问频率和速度要求不高。此应用对各模块速度要求很高,具体如下 SD/SDIO通信模块60Mb/s RSA模块
2048位密钥对产生时间<5s 2048位密钥签名时间<200ms 2048位密钥验证时间<40ms 1024位密钥对产生时间<2s 1024位密钥签名时间<50ms 1024位密钥验证时间<1 Oms SMl加解密速度>40Mb/s SHA1/SHA256数据处理速度>20Mb/s 随机数发生器(RNG)随机数产生速度〉2Mb/s 内部Flash访问速度〉50Mb/s (3)数据存储/加密存储应用 CPU指令从Flash或ROM中读取并执行。
命令与数据从SDIO/SD接口传入,CPU读入到内存后,进行解析,根据要求调用指定分 组加密算法等功能模块对传入数据进行加密,然后写入NAND Flash控制器,或者不加密直接 将数据写入NAND Flash;或者先从NAND Flash中读取数据到内存中,再调用指定分组加密 算法等功能模块对数据进行解密,最终通过SDIO接口传出。
此种应用环境下,较多使用到SM1加密算法,外部NAND Flash控制器,访问频率较高, 对内部数据Flash的访问频率和速度要求不高。
此应用对各模块速度要求很高,具体如下
A) SD/SDIO通信模块60Mb/s
B) SM1算法加解密速度>60Mb/s
C) 随机数发生器(RNG)随机数产生速度>2Mb/s
D) 外部NAND Flash访问速度>60Mb/s 。
以上为对本发明所提供的一种实现硬件、软件版权和信息安全的基于SD Memory/SDIO 接口的数据通信方法进行的详细介绍。本文中应用了个例对本发明的原理及其实施方式进行 了阐述。以上实施例的说明只是用于帮助理解本发明的方法及其实现思想;同时,对于本领 域的一般技术人员,根据本发明的思想,在具体实施方式
及应用范围上均会有改变之处。综 上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1. 一种基于SD Memory/SDIO接口的信息安全设备,其特征在于,主要包括用于运行固件程序和用户程序、存储操作系统与用户私密信息、控制大容量闪存以及设备与主机进行通讯的控制器,该所述控制器中包括有大容量存储器、嵌入式存储器、多种对称与非对称加密硬核以及SD Memory/SDIO接口,其中,所述存储器包含存储有信息安全设备固件程序的固件程序部分和存储信息安全设备数据信息的数据信息部分,以及在所述嵌入式存储器中存储有数据处理机制。
2. 根据权利要求1所述基于SD Memory/SDIO接口的信息安全设备,其特征在于,所述 固件程序部分主要包括对信息安全设备进行识别部分、等待并接收来自主机数据部分、解析 并处理数据部分、信息安全设备发回给主机的数据并等待下一条指令部分,以及用以断开及 连接信息安全设备同主机部分。
3. 根据权利要求1所述基于SD Memory/SDIO接口的信息安全设备,其特征在于,所述 固件程序部分中内置有用以建立与主机和信息安全设备连接的以及确定SD Memory/SDIO的 通信类型以用来进行后续通信的寄存器信息。
4. 根据权利要求1所述基于SD Memory/SDIO接口的信息安全设备,其特征在于,所述 信息安全设备为采用裸芯片封装技术以及大容量存储器、主控制器多芯片堆叠封装工艺。
5. 根据权利要求3所述基于SD Memory/SDIO接口的信息安全设备,其特征在于,所述 通信类型遵守SD Memory/SDIO的通信协议。
6. —种基于SD Memory/SDIO接口的信息安全设备的数据通信方法,其特征在于,该方 法包括以下步骤1) 主机识别到信息安全设备,对信息安全设备进行初始化;2) 主机向信息安全设备发送指令,即通过SD Memory/SDIO接口并按照接口协议的要求 将指令数据发送给信息安全设备;3) 信息安全设备对指令进行解析和处理;4) 信息安全设备向主机返回结果。
7. 根据权利要求6所述基于SD Memory/SDIO接口的信息安全设备的数据通信方法,其 特征在于,所述步骤1)具体包括,在信息安全设备插入主机后,对该信息安全设备进行身 份认证,且当身份认证完毕后,对信息安全设备的操作权限得到满足后,亦对数据交换模式 进行指定。
8. 根据权利要求6所述基于SD Memory/SDIO接口的信息安全设备的数据通信方法,其 特征在于,所述步骤3)中所述信息安全设备对指令的解析和处理包括如下步骤A、信息安全设备接收来自SD Memory/SDIO接口的指令数据,并对该指令数据进行处理;8、信息安全设备根据接收的指令数据执行相应操作。其中,歩骤B中所述操作包括对数据的存储或安全存储、访问控制、数据的处理过程, 且所述的数据处理过程中,对数据的运算处理包括非加密存储与加密存储过程,加密存储过 程包括2048位RSA、 DES、 3DES、 SHA-1、 AES、 SM1。
9. 根据权利要求7所述基于SD Memory/SDIO接口的信息安全设备的数据通信方法,其 特征在于,所述数据交换模式包括四种模式明文、明文加检验、密文和密文加校验。
10. 根据权利要求8所述基于SD Memory/SDIO接口的信息安全设备的数据通信方法,其 特征在于,所述处理包括① 解密,完整性检测如果报文加密或者带有完整性鉴别数据还要有一个报文头,说 明加密的类型和完整性检测的类型;② 命令解析据定义的命令规则解析命令,得出命令所需要的操作元素;③ 权限审核换取当前安全状态,然后根据命令操作类型得出安全属性,比较得出操 作的合法性; 执行命令需要调用文件系统的功能函数。根据操作结果得到返回情况; ◎返回结果根据返回情况,填写返回报文的相关字段。如果是加密报文或者需要进 行完整性检测的则还需要在最后进行加密和完整性计算操作。
全文摘要
本发明公开了一种基于SD Memory/SDIO接口的信息安全设备,其包括用于运行固件程序和用户程序、存储操作系统与用户私密信息、控制大容量闪存及设备与主机进行通讯的控制器,该控制器包括有大容量存储器、嵌入式存储器、多种对称与非对称加密硬核及SD Memory/SDIO接口。其中,存储器存储有信息安全设备的固件程序和数据信息,嵌入式存储器中存储有数据处理机制,且固件程序用以对信息安全设备进行识别、用以等待并接收主机数据、用以解析并处理数据、用以接收并发送信息安全设备发回给主机的数据并等待下一条指令,以及用以断开及连接信息安全设备同主机。本发明优点在于结构简单,功耗低,使用方便和安全性高。
文档编号H04L29/06GK101534299SQ200910081868
公开日2009年9月16日 申请日期2009年4月14日 优先权日2009年4月14日
发明者刘光耀, 刘文静, 王剑非, 王志宇, 蒋庆生 申请人:公安部第一研究所;北京中盾安全技术开发公司