专利名称:嵌入式软件的保护装置的制作方法
技术领域:
本实用新型涉及一种嵌入式软件的保护装置,尤其是一种利用数字证书对嵌入式软件进行保护的保护装置。
背景技术:
随着科技的发展与技术的进步,嵌入式系统在各行业的使用量越来越大,与此同时,嵌入式软件的窜改与盗用也日益严重,无法实现对嵌入式软件的有效保护,从而导致对软件所有者的合法权益的损害。因此,迫切需要对嵌入式软件的有效保护。目前现有的对嵌入式软件的保护方式是在嵌入式系统中加入由专用芯片构成的保护模块,其中一种是采用第三代电可擦可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,简称EEPR0M)的存储型芯片,但是利用由专用芯片构成的保护模块的方式,在该芯片的端口进行数据分析就容易被破解;另一种现有的嵌入式软件保护方式是采用专用的芯片,将密钥保存到该芯片中,以达到安全保护的目的,但该种芯片只保存唯一密钥,通过侦测通信接口的方式也可以被破解。所以现有的对嵌入式软件保护方式的保护效果很差,安全性低。
实用新型内容本实用新型的目的是针对现有技术嵌入式软件保护芯片只保存唯一的密钥,容易被破解的缺陷,提供一种嵌入式软件的保护装置,以实现高效和安全的对嵌入式软件的保护。为了实现上述目的,本实用新型提供了一种嵌入式软件的保护装置包括用于根据算法生成数字证书和密钥,以及根据密钥对数字证书进行认证的安全模块;用于对所述安全模块进行控制,并且调用所述数字证书和密钥的处理模块,与所述安全模块相连接;用于在所述处理模块的控制下存储所述密钥的存储模块,与所述处理模块相连接。所述安全模块包括用于在所述处理模块的控制下生成密钥的生成单元,与所述处理模块相连接,所述生成单元为硬件真随机数发生器;用于根据所述密钥,将明文按照算法加密为数字证书,并且根据所述密钥对所述数字证书进行认证的加解密单元,与所述处理模块和生成单元相连接,所述加解密单元包括算法单元RSA和数据流加密算法DES。所述安全模块还包括用于给所述加解密单元提供扰源电流的电流扰源单元,与所述加解密单元相连接。所述处理模块包括[0014]用于发出控制信号的处理单元,与所述存储模块相连接,所述处理单元为32位国产中央处理器;用于对所述存储模块进行分区保护的存储保护单元,与所述处理单元和存储模块相连接,所述存储保护单元为微处理器单元。本实用新型的嵌入式软件的保护装置,还包括用于与外部嵌入式软件应用系统接口的接口模块,与所述处理模块相连接,所述接口模块为通用串行接口。本实用新型利用数字证书和认证结构,通过生成单元产生真随机数,从而产生随机的密钥,并在此基础上不断的更新数字证书,并采用增强型的加密算法,将明文加密为密文,生成数字证书,在欲运行嵌入式软件时,根据密钥,将原明文再次加密为密文,并与原密文即数字证书比对,实现数字证书的认证,提高了系统的安全性。下面通过附图和实施例,对本实用新型的技术方案做进一步的详细描述。
图1为本实用新型嵌入式软件的保护装置第一实施例的结构示意图;图2为本实用新型嵌入式软件的保护装置第二实施例的结构示意图;图3为本实用新型嵌入式软件的保护装置的安全模块的结构示意图;图4为本实用新型嵌入式软件的保护装置的处理模块的结构示意图;图5为本实用新型嵌入式软件的保护装置接口模块与处理模块的连接示意图。附图标记1-安全模块2-处理模块3-存储模块4-接口模块11-加解密单元12-生成单元13-电流扰源单元21-处理单元22-存储保护单元
具体实施方式
实施例一图1为本实用新型嵌入式软件的保护装置第一实施例的结构示意图。如图1所示, 本实用新型包括安全模块1,用于根据算法生成数字证书和密钥,以及根据密钥对数字证书进行认证;处理模块2,用于对安全模块1进行控制,并且调用数字证书和密钥,与安全模块1相连接;存储模块3,用于在处理模块2的控制下存储密钥,与处理模块2相连接。工作过程如下首先在嵌入式软件第一次运行前,对该系统进行初始化,即产生初始密钥,发数字证书,实现方式为对一小段明文加密,此过程利用安全模块1对明文加密, 并将密钥保存在存储模块3的闪存内,不允许任何一方以任何指令读出,将密文(数字证书)保存在嵌入式软件应用系统内。第一次欲运行嵌入式软件,首先对数字证书进行认证, 即处理模块2调用存储在嵌入式软件应用系统内的上述明文,根据初始密钥,由安全模块1 将该明文加密为密文,此密文与上述保存在嵌入式软件应用系统内的密文进行比对,如相符,则认证通过,此时由安全模块1产生新的密钥,并颁发新的证书,并将该密钥保存在存储模块3内,此时,允许嵌入式软件应用系统正常运行,如果认证不通过,则不允许嵌入式软件应用系统的继续运行。自此以后,每一次欲运行嵌入式软件应用系统,都要重新认证, 重新产生密钥,重新颁发证书后,才能正常执行程序。本实用新型利用数字证书和认证结构,通过不断的更新密钥和数字证书,并采用加密算法,将明文加密为密文,生成数字证书,将明文再次加密为密文,并与原密文即数字证书比对,实现数字证书的认证,提高了系统的安全性。实施例二图2为本实用新型嵌入式软件的保护装置第二实施例的结构示意图,如图2所示, 安全模块1包括生成单元12,用于在处理模块2的控制下生成密钥,与处理模块2相连接; 加解密单元11,用于根据密钥,将明文按照算法加密为数字证书,并且根据密钥对数字证书进行认证,与处理模块2和生成单元12相连接。工作过程如下首先在嵌入式软件第一次运行前,对该系统进行初始化,即产生初始密钥,发数字证书,实现方式为对一小段明文加密,此过程利用安全模块1对该明文加密,并将密钥保存在存储模块3的闪存内,不允许任何一方以任何指令读出,将明文加密后生成的密文保存在嵌入式软件应用系统内。第一次欲运行嵌入式软件,首先对数字证书进行认证,即处理模块2调用存储在存储模块3内的密钥和存储在嵌入式软件应用系统内的上述明文,根据初始密钥,由安全模块1内的加解密单元11将明文加密为密文,此密文与原密文进行比对,如相符,则认证通过,此时由处理模块2发出控制信号使生成模块产生随机数,从而随机产生新密钥,生成单元12可以利用硬件真随机数发生器(True Random Number Generator,简称TRNG)实现,加解密单元11根据该新密钥,颁发新的证书,并将新密钥保存在安全模块1的闪存内,不允许任何一方以任何指令读出,密文(数字证书)保存在嵌入式应用系统内,此时,允许嵌入式软件应用系统正常运行,如果认证不通过,则不允许嵌入式系统的继续运行。自此以后,每一次欲运行嵌入式软件应用系统,都要重新认证,重新产生密钥,重新颁发证书后,才能正常执行程序。本实施例中的加解密单元11可以利用算法单元RSA(Ron Rivest,AdiShamir and Leonard Adleman)和数据流加密算法DES (Data EncryptionStandard)来实现,其硬件运算速度为60Mbps@80MHz,加入软件的DES的运算速度约为17MB/s。本实用新型利用数字证书和认证结构,通过生成单元12产生真随机数,从而产生随机的密钥,并在此基础上不断的更新数字证书,并采用加密算法,将明文加密为密文,生成数字证书,在验证身份时再次将明文加密为密文,并与原密文即数字证书比对,实现数字证书的认证,提高了系统的安全性。图3为本实用型嵌入式软件的保护装置安全模块的结构示意图,进一步如图3所示,在实施例1和2的安全模块1增加了用于给加解密单元11提供扰源电流的电流扰源单元13,即该安全模块1包括加解密单元11、生成单元12及电流扰源单元13。电流扰源单元 13由内部集成,可给安全模块1加入额外的电能,在安全模块1进行运算时,防止非法的简易功率分析和微分功率分析的能量分析攻击,有效的防止了黑客的检测,提高了系统的安全性。图4为本实用型嵌入式软件的保护装置的处理模块的结构示意图,如图4所示,在实施例1和2的处理模块2包括处理单元21,用于发出控制信号,与存储模块相连接;存储保护单元22,用于对存储模块进行分区保护,与处理单元21和存储模块相连接。处理单元21可以利用信息安全专用的32位国产中央处理器(CentralftOcessing Unit,简称CPU)来实现,存储保护单元22可以利用微处理器单元(Micro Processor Unit, 简称MPU)来实现,存储保护单元22可以按照需求任意分配存储空间,并能够对所分配的
5存储空间进行密和不加密的设置,可以对保存在存储模块中的程序进行加密保护,即使采用非法手段读取到数据也是密文,保证了数据的安全性。图5为本实用新型嵌入式软件的保护装置接口模块与处理模块的连接示意图,进一步如图5所示,本实用新型的嵌入式软件的保护装置还包括接口模块4,用于与外部嵌入式软件应用系统接口,与处理模块2相连接。该接口模块4可以利用外部具有通用串行总线(Universal Serial Bus 2.0,简称 USB2. 0)全速接口,IS07816 接口以及 LPC(Low Point Counter)接口来实现。本实施例中,在硬件方面采用通用串行接口,例如串行外围设备接口 Gerial Peripheral Interface,简称 SPI)、两线式串行总线(Inter-IntegratedCircuit,简称 I2C) 或其他的通用的接口将嵌入式软件应用系统与嵌入式软件的保护装置连接,交换很少的数据即可,在速度上没有要求,实现方便快捷,安全性高。另外,为了保证安全,本实用新型嵌入式软件的保护装置可以采用定制的方式封装,将引脚降到最低,防止从其它引脚分析数据,使系统更加安全。最后应说明的是以上实施例仅用以说明本实用新型的技术方案,而非对其限制; 尽管参照前述实施例对本实用新型进行了详细的说明,本领域的普通技术人员应当理解: 其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本实用新型各实施例技术方案的精神和范围。
权利要求1.一种嵌入式软件的保护装置,其特征在于包括用于根据算法生成数字证书和密钥,以及根据密钥对数字证书进行认证的安全模块, 包括用于在处理模块的控制下生成密钥的生成单元,与所述处理模块相连接,所述生成单元为硬件真随机数发生器;用于根据所述密钥,将明文按照算法加密为数字证书,并且根据所述密钥对所述数字证书进行认证的加解密单元,与所述处理模块和生成单元相连接,所述加解密单元包括算法单元RSA和数据流加密算法DES ;用于对所述安全模块进行控制,并且调用所述数字证书和密钥的处理模块,与所述安全模块相连接;用于在所述处理模块的控制下存储所述密钥的存储模块,与所述处理模块相连接; 用于与外部嵌入式软件应用系统接口的接口模块,与所述处理模块相连接,所述接口模块为通用串行接口。
2.根据权利要求1所述的嵌入式软件的保护装置,其特征在于所述安全模块还包括用于给所述加解密单元提供扰源电流的电流扰源单元,与所述加解密单元相连接。
3.根据权利要求1所述的嵌入式软件的保护装置,其特征在于所述处理模块包括 用于发出控制信号的处理单元,与所述存储模块相连接,所述处理单元为32位国产中央处理器;用于对所述存储模块进行分区保护的存储保护单元,与所述处理单元和存储模块相连接,所述存储保护单元为微处理器单元。
专利摘要本实用新型涉及一种嵌入式软件的保护装置,包括用于根据算法生成数字证书和密钥,以及根据密钥对数字证书进行认证的安全模块;用于对所述安全模块进行控制,并且调用所述数字证书和密钥的处理模块,与所述安全模块相连接;用于在所述处理模块的控制下存储所述密钥的存储模块,与所述处理模块相连接。本实用新型利用数字证书和认证结构,通过生成单元产生真随机数,从而产生随机的密钥,并在此基础上不断的更新数字证书,并采用增强型的加密算法,将明文加密为密文,生成数字证书,并根据密钥将原明文加密为密文,并与原密文即数字证书比对,实现数字证书的认证,提高了系统的安全性。
文档编号G06F21/22GK202067280SQ20102050572
公开日2011年12月7日 申请日期2010年8月25日 优先权日2010年8月25日
发明者刘曼 申请人:深圳中泽明芯科技有限公司