基于UFS接口的安全控制装置、系统、方法和移动设备与流程

本发明涉及数据传输安全领域，具体而言，涉及一种基于ufs接口的安全控制装置、系统、方法和移动设备。

背景技术：

随着信息安全成为关注焦点，手机等移动设备的安全性越来越受到重视，tee(可信执行环境，trustedexecutionenvironment的简写)、可信计算等技术也在手机操作系统中得到越来越多的应用。基于硬件的安全是可信计算环境的基础，也是敏感数据安全、金融安全等行业的要求。当前在手机等移动设备中的安全解决方案包括：在手机中嵌入安全芯片，使用tf卡(trans-flashcard的简写)作为安全单元，使用蓝牙或者音频口与其它安全设备连接，在移动设备中嵌入安全芯片的全终端解决方案在易用性和安全性上得到越来越多的认可，目前手机等移动设备中使用的安全芯片一般使用spi接口，由于芯片接口带宽的限制，只能用于语音/短信加密、用户身份认证等数据量要求较低的场合，对高清照片、视频、大文档等则处理速度很慢，在应用软件中有时也是使用软算法来保护这些大数据，但却降低了安全性。

ufs(unix文件系统的简称)作为一种高速flash存储接口，在ufs2.1规范中，其理论带宽高达11.6gbps，可以满足大数据量加解密的需求，当前，越来越多的手机采用ufs存储作为其内部存储器，但是目前还没有针对ufs接口的安全控制装置。

针对上述现有技术中还没有针对ufs的安全控制装置的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种基于ufs接口的安全控制装置、系统、方法和移动设备，以至少解决现有技术中还没有针对ufs的安全控制装置的技术问题。

根据本发明实施例的一个方面，提供了一种基于ufs接口的安全控制装置，包括：ufs控制器；ufs接口，ufs接口的一端与ufs控制器连接；安全模块，与ufs控制器连接；以及第一存储装置，与安全模块连接。

进一步的，安全模块包括加解密模块。

进一步的，第一存储装置为norflash。

进一步的，第一存储装置中存储有加解密模块进行加密和/或解密操作的密钥。

进一步的，加解密模块中使用的加密算法包括如下至少之一：对称算法、非对称算法和哈希算法。

进一步的，安全模块包括签名验签模块。

根据本发明实施例的另一方面，还提供了一种移动设备，包括上述基于ufs接口的安全控制装置。

根据本发明实施例的另一方面，还提供了一种基于ufs接口的安全控制系统，包括上述基于ufs接口的安全控制装置，还包括主机控制器和第二存储装置，基于ufs接口的安全控制装置通过ufs接口与主机控制器连接，基于ufs接口的安全控制装置还与第二存储装置连接。

进一步的，第二存储装置为nandflash。

根据本发明实施例的另一方面，还提供了一种基于ufs接口的安全控制方法，应用于上述基于ufs接口的安全控制系统，包括如下步骤：ufs控制器通过ufs接口接收主机控制器发送的控制指令，并确定控制指令的类型；在控制指令为针对安全模块的控制指令时，ufs控制器将控制指令发送给安全模块，安全模块接收到控制指令后，执行控制指令对应的安全功能操作；在控制指令不是针对安全模块的控制指令时，ufs控制器将控制指令转化为针对第二存储装置的读写命令并发送给第二存储装置。

在本发明实施例中，通过ufs接口与ufs控制器连接，ufs控制器还与安全模块连接，安全模块与第一存储装置连接，其中安全模块使基于ufs接口的安全控制装置成为可信安全控制装置，从而实现了提高安全控制装置可信计算环境的安全性，并可以对接收到的数据以及发送的数据进行安全保护的技术效果，进而解决了现有技术中还没有针对ufs的安全控制装置的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种ufs接口的安全控制装置的示意图；

图2是根据本发明实施例的一种ufs接口的安全控制系统的示意图；以及

图3是根据本发明实施例的一种ufs接口的安全控制方法的示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

实施例1

根据本发明实施例，提供了一种基于ufs接口的安全控制装置的产品实施例，图1是根据本发明实施例的基于ufs接口的安全控制装置，如图1所示，该装置包括ufs控制器、ufs接口、安全模块和第一存储装置，其中，ufs接口的一端与ufs控制器连接；安全模块，与ufs控制器连接；第一存储装置，与安全模块连接。

具体的，ufs控制器可以是单片机，ufs控制器通过ufs接口可以与其他设备连接，并接收其他设备通过ufs接口传输的数据或者指令，安全模块可以对接收到的数据或者指令进行加解密等操作，第一存储装置可以用于存储数据。

在本发明实施例中，通过ufs接口与ufs控制器连接，ufs控制器还与安全模块连接，安全模块与第一存储装置连接，其中安全模块使基于ufs接口的安全控制装置成为可信安全控制装置，从而实现了提高安全控制装置可信计算环境的安全性，并可以对接收到的数据以及发送的数据进行安全保护的技术效果，进而解决了现有技术中还没有针对ufs的安全控制装置的技术问题。

在一种可选的实施例中，安全模块包括加解密模块。

具体的，加解密模块可以进行数据加密解密操作，具体的，可以对ufs控制器通过ufs接口接收到的数据或者指令进行解密操作，以及对将要发出的数据进行加密操作，其中，接收到的数据或者指令可以是写入或读取闪存的数据或者指令。

在一种可选的实施例中，第一存储装置为norflash。

具体的，norflash是现在市场上一种主要的非易失闪存技术，其特点是芯片内执行，这样应用程序可以直接在flash闪存内运行，不必再把代码读到ram中，norflash的传输效率很高，在1-4mb的小容量时具有很高的成本效益。

在一种可选的实施例中，第一存储装置中存储有加解密模块进行加密和/或解密操作的密钥。

具体的，第一存储装置可以用来存储安全模块进行加密操作的加密密钥以及进行解密操作的解密密钥，除此之外，还可以存储其他重要数据或者程序，包括ufs控制器以及安全模块在计算或处理过程中的测量数据、pin、证书或者必要的管理工具等，并且由于第一存储装置只与安全模块连接，也就是第一存储装置中的数据只能由安全模块获取，相较于现在全局共享的密钥读取方式，本发明极大的降低了数据泄露风险，提高了抗木马攻击能力，安全性更高。

在一种可选的实施例中，加解密模块中使用的加密算法包括如下至少之一：对称算法、非对称算法和哈希算法。

具体的，本发明可以对写入和读取闪存的数据进行加密，在很多安全应用场景中，可以对外部数据加密，例如，视频传输，语音通话，云数据加密等，在可信计算环境下，可以使用非对称算法做身份的认证。

在一种可选的实施例中，安全模块包括签名验签模块。

在一种可选的实施例中，安全模块除了可以包括加解密模块、签名验签模块之外，还可以具备提供信任根的功能，本发明的基于ufs接口的安全控制装置可以应用于本地数据加密、身份验证、电子签名、链路保护等场合。

实施例2

根据本发明实施例，提供了一种移动设备的产品实施例，该移动设备包括上述基于ufs接口的安全控制装置。

具体的，上述基于ufs接口的安全控制装置可以应用在移动设备中，移动设备可以是手机、电脑、平板、ipad等，通过将安全模块与基于ufs接口的ufs控制器集成，可以为手机等移动设备提供安全信任根，并提供高速数据加密解密、签名验签等安全功能，同时，通过上述基于ufs接口的安全控制装置与现有手机等移动设备的集成，可以提高移动设备的安全级别，通过对数据进行加密保护，可以有效保护用户数据和数字财产的安全。

实施例3

根据本发明实施例，提供了一种基于ufs接口的安全控制系统的产品实施例，图2是根据本发明实施例的基于ufs接口的安全控制系统，如图2所示，该系统包括上述基于ufs接口的安全控制装置，还包括主机控制器和第二存储装置，基于ufs接口的安全控制装置通过ufs接口与主机控制器连接，也就是ufs接口的另一端与主机控制器连接，基于ufs接口的安全控制装置还与第二存储装置连接。

具体的，主机控制器设置在主机中。

在一种可选的实施例中，第二存储装置为nandflash。

具体的，nandflash是现在市场上一种主要的非易失闪存技术，其特点是能达到高存储密度，并且写入和擦除的速度很快。

实施例4

根据本发明实施例，提供了一种基于ufs接口的安全控制方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图3是根据本发明实施例的基于ufs接口的安全控制方法，应用于上述基于ufs接口的安全控制系统，如图3所示，该方法包括如下步骤：

步骤s102，ufs控制器通过ufs接口接收主机控制器发送的控制指令，并确定控制指令的类型。

具体的，主机控制器可以用于向ufs控制器发送控制指令，ufs控制器通过ufs接口接收该控制指令，并且确定该控制指令的类型，具体为确定该控制指令是否为针对安全模块的控制指令。

步骤s104，在控制指令为针对安全模块的控制指令时，ufs控制器将控制指令发送给安全模块，安全模块接收到控制指令后，执行控制指令对应的安全功能操作。

具体的，ufs控制器在确定控制指令为针对安全模块的控制指令时，将控制指令发送给安全模块，安全模块用于接收该针对其的控制指令，安全模块在接收到控制指令后，执行该控制指令对应的安全功能操作，其中，安全功能操作包括但不仅限于加解密操作、哈希运算、私密数据存储等操作。

可选的，安全模块在接收到控制指令后，会对控制指令进行验证，包括但不仅限于签名验签等操作的验证，验证通过之后，安全模块执行通过验证的控制指令对应的安全功能操作。

步骤s106，在控制指令不是针对安全模块的控制指令时，ufs控制器将控制指令转化为针对第二存储装置的读写命令并发送给第二存储装置。

具体的，ufs控制器在确定控制指令不是针对安全模块的控制指令时，会将控制指令转化为针对第二存储装置的读写命令并发送给第二存储装置，第二存储装置用于接收该读写命令，其中，这些读写命令中的数据部分可以被配置为被安全模块进行高速加解密操作的对象，以实现外部数据的加密存储。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

在本发明的描述中，需要理解的是，方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，在未作相反说明的情况下，这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作，因此不能理解为对本发明保护范围的限制；方位词“内、外”是指相对于各部件本身的轮廓的内外。

为了便于描述，在这里可以使用空间相对术语，如“在……之上”、“在……上方”、“在……上表面”、“上面的”等，用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是，空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如，如果附图中的器件被倒置，则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其他器件或构造之下”。因而，示例性术语“在……上方”可以包括“在……上方”和“在……下方”两种方位。该器件也可以其他不同方式定位(旋转90度或处于其他方位)，并且对这里所使用的空间相对描述作出相应解释。

此外，需要说明的是，使用“第一”、“第二”等词语来限定零部件，仅仅是为了便于对相应零部件进行区别，如没有另行声明，上述词语并没有特殊含义，因此不能理解为对本发明保护范围的限制。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。