90E)��、電源監(jiān)控芯片27(優(yōu)選型號(hào)為ADM698)以及備份電源28 (優(yōu)選型號(hào)為18650)����。其中,DSP處理器21分別與FLASH存儲(chǔ)器22�����、SDRAM存儲(chǔ)器23��、FPGA��、控制接口芯片��、電源監(jiān)控芯片相連��,設(shè)備接口芯片與FPGA相連,備份電源與電源監(jiān)控芯片相連�����。FLASH存儲(chǔ)器22內(nèi)固化有N個(gè)設(shè)備密鑰(密文)����。密鑰注入器的非易失性存儲(chǔ)器為EEPROM (優(yōu)選型號(hào)為24LC512)。此夕卜����,被保護(hù)設(shè)備的非易失性FLASH存儲(chǔ)器上還內(nèi)置有引導(dǎo)程序(明文)31與管理程序(明文)32。
[0035]其中所述DSP處理器是可運(yùn)行軟件的DSP�、ARM、PowerPC�����、單片機(jī)或通用PC處理器等�;FPGA處理器是可進(jìn)行編程的邏輯器件�;電源監(jiān)控芯片是可以監(jiān)測(cè)電壓狀態(tài)并提供掉電保護(hù)的電源管理芯片等。
[0036]密鑰注入器�、安全管理分機(jī)及被保護(hù)設(shè)備中的非易失性存儲(chǔ)器是Nand FLASH,NorFLASH、SD卡���、CF卡�����、硬盤或通用半導(dǎo)體存儲(chǔ)介質(zhì)�����。易失性存儲(chǔ)器23是RAM����、SDRAM, DDR或DSP內(nèi)部RAM存儲(chǔ)器等。系統(tǒng)對(duì)外的設(shè)備接口 25和/或控制接口 26是異步串口��、同步串口�、CAN總線或Rapid1總線等。
[0037]再參見圖2�����,其詳細(xì)說(shuō)明了上述保護(hù)系統(tǒng)進(jìn)行密鑰保護(hù)管理的流程:安全管理分機(jī)運(yùn)行時(shí)����,首先完成系統(tǒng)初始化工作(步驟110),然后判斷密碼密鑰是否有效(步驟120)���,若密碼密鑰無(wú)效����,則從密鑰注入器內(nèi)讀取密碼密鑰(明文)(步驟130),再使用密碼密鑰與分機(jī)的FLASH存儲(chǔ)器22中的設(shè)備密鑰(密文)進(jìn)行異或運(yùn)算完成解密(步驟140);若密碼密鑰有效�����,則直接用來(lái)解密設(shè)備密鑰���。得到設(shè)備密鑰的明文后��,將其儲(chǔ)存在分機(jī)的SDRAM存儲(chǔ)器23中����。完成以上步驟后��,等待被保護(hù)設(shè)備向安全管理分機(jī)申請(qǐng)?jiān)O(shè)備密鑰�����,若設(shè)備申請(qǐng)被通過(guò)(步驟150)�����,則向其下發(fā)相應(yīng)的設(shè)備密鑰(明文)(步驟160)�����。其中使用的加解密算法包括異或��、3DES��、Geff發(fā)生器�、MD5、AES等密碼學(xué)算法�。
[0038]本實(shí)施例中,在安全管理分機(jī)完成密碼密鑰讀取后拔出密鑰注入器�,將其保存于一般人員無(wú)法獲取的其它位置,實(shí)現(xiàn)密碼密鑰(明文)�����、設(shè)備密鑰(密文)的分開存儲(chǔ)和物理隔離�。
[0039]進(jìn)一步參見圖3,其詳細(xì)說(shuō)明了該保護(hù)系統(tǒng)進(jìn)行銷密控制的工作流程:當(dāng)安全管理分機(jī)運(yùn)行時(shí)���,若控制接口 26接收到銷密指令����,則產(chǎn)生中斷(步驟300),控制安全管理分機(jī)擦除分機(jī)的FLASH 22中設(shè)備密鑰(密文)(步驟310)���,再擦除分機(jī)的SDRAM 23中設(shè)備密鑰(明文)(步驟320)����,最后向被保護(hù)設(shè)備的管理程序32發(fā)送銷密指令(步驟330)���,要求擦除被保護(hù)設(shè)備中功能程序(密文)��、設(shè)備密鑰(明文)���、功能程序(明文);當(dāng)安全管理分機(jī)運(yùn)行時(shí)���,若電源監(jiān)控芯片27監(jiān)測(cè)到系統(tǒng)掉電(步驟200)�,則根據(jù)備份電源28電量判斷是否啟動(dòng)備份電源(步驟210)�����,若不啟動(dòng)備份電源�,則進(jìn)入步驟310開始執(zhí)行擦除動(dòng)作,若啟動(dòng)備份電源,則開始對(duì)備份電源使用時(shí)間開始計(jì)時(shí)(步驟220)���,當(dāng)超過(guò)設(shè)置時(shí)限時(shí),則進(jìn)入步驟310開始執(zhí)行擦除動(dòng)作��。
[0040]銷密控制流程是保證被保護(hù)設(shè)備中的軟件代碼�、敏感信息的安全的最后手段。從控制接口傳入的銷密控制指令可以是操作員的主動(dòng)銷密動(dòng)作�,也可以是傳感器被觸發(fā)時(shí)的被動(dòng)銷密動(dòng)作。本發(fā)明中�,設(shè)備密鑰的明文和被保護(hù)設(shè)備功能程序的明文均是被保存在RAM內(nèi),當(dāng)系統(tǒng)掉電時(shí)�����,RAM內(nèi)明文數(shù)據(jù)全部丟失����,系統(tǒng)內(nèi)僅有在FLASH上保存的密文。若設(shè)備被非授權(quán)用戶獲得����,由于無(wú)法獲得解密密鑰,不能通過(guò)反向編譯得知被保護(hù)設(shè)備的工作流程����、工作原理及工作參數(shù)���。同時(shí),為了避免設(shè)備在進(jìn)行維護(hù)的正常掉電時(shí)被誤擦除�,系統(tǒng)中還設(shè)置了掉電時(shí)間計(jì)時(shí),可以通過(guò)插入密鑰注入器人工停止計(jì)時(shí)����,保證系統(tǒng)完整性。本實(shí)施例中���,計(jì)時(shí)時(shí)限為30分鐘��,由于設(shè)備密鑰長(zhǎng)度為1M字節(jié)����,因此有2S3S_S種組合���,遠(yuǎn)遠(yuǎn)超出目前任何計(jì)算機(jī)的運(yùn)算能力�����,是不能在時(shí)限內(nèi)解密成功并完成反編譯的����。
[0041]本發(fā)明的方法與系統(tǒng)能夠在不影響被保護(hù)設(shè)備功能、不改變其硬件情況下對(duì)功能軟件實(shí)施密碼保護(hù)�、防止功能軟件泄密,而且實(shí)現(xiàn)簡(jiǎn)單���,便于系統(tǒng)改進(jìn)與升級(jí)。典型地�,能有效的降低各種設(shè)備在意外或主動(dòng)泄密等情況下被非授權(quán)用戶獲取后的失密風(fēng)險(xiǎn),非授權(quán)用戶在未獲得解密密鑰時(shí)�����,所獲得的功能程序密文將無(wú)任何價(jià)值����,且系統(tǒng)SDRAM存儲(chǔ)器中的密碼密鑰明文和被保護(hù)設(shè)備RAM存儲(chǔ)器中的功能程序明文也因?yàn)榈綦姸鵁o(wú)法恢復(fù)。
[0042]顯然����,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明的適合于電子系統(tǒng)信息安全保護(hù)系統(tǒng)及方法進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的思想和范圍。這樣�,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)�����。
【主權(quán)項(xiàng)】
1.一種電子系統(tǒng)信息安全保護(hù)系統(tǒng),其特征在于�,所述保護(hù)系統(tǒng)包括:密鑰注入器、安全管理分機(jī)和至少一個(gè)被保護(hù)設(shè)備�����;其中�, 所述密鑰注入器相對(duì)于所述安全管理分機(jī)為可拔插設(shè)備,其包括以明文形式存放密碼密鑰的非易失性存儲(chǔ)器�; 所述安全管理分機(jī)包括:以密文形式固化所述被保護(hù)設(shè)備的設(shè)備密鑰的非易失性存儲(chǔ)器、與所述被保護(hù)設(shè)備建立通信連接的設(shè)備接口芯片以及易失性存儲(chǔ)器�����; 所述被保護(hù)設(shè)備包括以密文形式存放功能程序的非易失性存儲(chǔ)器��; 所述密碼密鑰用于將所述設(shè)備密鑰從密文形式解密成明文形式���,明文形式的所述設(shè)備密鑰用于將所述功能程序從密文形式解密成明文形式�。2.根據(jù)權(quán)利要求1所述的保護(hù)系統(tǒng)����,其特征在于��,所述安全管理分機(jī)還包括: DSP處理器�����、FPGA處理器���、設(shè)備接口芯片、控制接口芯片��、電源監(jiān)控芯片以及備份電源��;其中�, 所述DSP處理器分別與所述安全管理分機(jī)的非易失性存儲(chǔ)器����、易失性存儲(chǔ)器、FPGA處理器����、控制接口芯片和電源監(jiān)控芯片相耦接,完成所述設(shè)備密鑰的解密和/或銷密����; 所述FPGA處理器還與設(shè)備接口芯片相耦接��,通過(guò)所述設(shè)備接口芯片和相應(yīng)的接口與所述被保護(hù)設(shè)備交互�����; 所述備份電源與所述電源監(jiān)控芯片相耦接�,在所述保護(hù)系統(tǒng)掉電時(shí)適時(shí)啟動(dòng)擦除動(dòng)作��。3.根據(jù)權(quán)利要求1所述的保護(hù)系統(tǒng)�����,其特征在于�����,所述被保護(hù)設(shè)備的非易失性存儲(chǔ)器上還內(nèi)置有明文形式的引導(dǎo)程序與管理程序����。4.根據(jù)權(quán)利要求1所述的保護(hù)系統(tǒng),其特征在于���,所述密鑰注入器�、所述安全管理分機(jī)及所述被保護(hù)設(shè)備中的非易失性存儲(chǔ)器是Nand FLASH, Nor FLASH�����、SD卡、CF卡�、硬盤或通用半導(dǎo)體存儲(chǔ)介質(zhì); 所述安全管理分機(jī)中的易失性存儲(chǔ)器是RAM�����、SDRAM, DDR或DSP內(nèi)部RAM存儲(chǔ)器�����。5.根據(jù)權(quán)利要求2所述的保護(hù)系統(tǒng)���,其特征在于����,所述安全管理分機(jī)對(duì)外的設(shè)備接口和/或控制接口是異步串口����、同步串口��、CAN總線或Rapid1總線�。6.一種基于權(quán)利要求1-5中任意一項(xiàng)所述的保護(hù)系統(tǒng)的電子系統(tǒng)信息安全保護(hù)方法����,其特征在于�,所述保護(hù)方法包括步驟: 安全管理分機(jī)運(yùn)行,完成系統(tǒng)初始化工作��; 判斷密碼密鑰是否有效���,若密碼密鑰無(wú)效�����,則從密鑰注入器內(nèi)讀取密碼密鑰�,再使用密碼密鑰對(duì)安全管理分機(jī)的非易失性存儲(chǔ)器中的密文形式的設(shè)備密鑰進(jìn)行解密����;若密碼密鑰有效,則直接用來(lái)解密設(shè)備密鑰����; 得到設(shè)備密鑰的明文后,將其儲(chǔ)存在安全管理分機(jī)的易失性存儲(chǔ)器�����; 等待被保護(hù)設(shè)備向安全管理分機(jī)申請(qǐng)?jiān)O(shè)備密鑰,若設(shè)備申請(qǐng)被通過(guò)����,則向被保護(hù)設(shè)備下發(fā)相應(yīng)的明文形式的設(shè)備密鑰。7.根據(jù)權(quán)利要求6所述的保護(hù)方法����,其特征在于,所述保護(hù)方法還包括步驟: 當(dāng)安全管理分機(jī)運(yùn)行時(shí)�����,若接收到銷密指令���,則產(chǎn)生中斷��,控制安全管理分機(jī)擦除分機(jī)的非易失性存儲(chǔ)器中密文形式的設(shè)備密鑰�����,并擦除分機(jī)的易失性存儲(chǔ)器中明文形式的設(shè)備密鑰; 同時(shí)向被保護(hù)設(shè)備發(fā)送銷密指令��,要求擦除被保護(hù)設(shè)備中密文形式的功能程序、明文形式的設(shè)備密鑰和明文形式的功能程序�����。8.根據(jù)權(quán)利要求6所述的保護(hù)方法�����,其特征在于�����,所述保護(hù)方法還包括步驟: 當(dāng)安全管理分機(jī)運(yùn)行時(shí)���,若監(jiān)測(cè)到系統(tǒng)掉電����,則根據(jù)備份電源電量判斷是否啟動(dòng)備份電源�����; 若不啟動(dòng)備份電源����,則直接開始執(zhí)行擦除動(dòng)作;若啟動(dòng)備份電源,則開始對(duì)備份電源使用時(shí)間進(jìn)行計(jì)時(shí)�,當(dāng)超過(guò)設(shè)置時(shí)限時(shí),則開始執(zhí)行擦除動(dòng)作���; 其中���,所述擦除動(dòng)作為:擦除安全管理分機(jī)的非易失性存儲(chǔ)器中密文形式的設(shè)備密鑰和易失性存儲(chǔ)器中明文形式的設(shè)備密鑰;同時(shí)擦除被保護(hù)設(shè)備中密文形式的功能程序��、明文形式的設(shè)備密鑰和明文形式的功能程序���。9.根據(jù)權(quán)利要求6所述的保護(hù)方法����,其特征在于�,所述保護(hù)方法還包括步驟: 在安全管理分機(jī)完成密碼密鑰讀取后拔出密鑰注入器,將其保存于一般人員無(wú)法獲取的其它位置���。10.根據(jù)權(quán)利要求6所述的保護(hù)方法��,其特征在于�����,所述解密使用的算法包括異或���、3DES、Geff 發(fā)生器��、MD5 或 AES���。
【專利摘要】本發(fā)明涉及信息安全領(lǐng)域�,公開一種電子系統(tǒng)信息安全保護(hù)系統(tǒng)及方法�,該系統(tǒng)包括:密鑰注入器、安全管理分機(jī)和至少一個(gè)被保護(hù)設(shè)備��;其中����,密鑰注入器相對(duì)于安全管理分機(jī)為可拔插設(shè)備,其包括以明文形式存放密碼密鑰的非易失性存儲(chǔ)器����;安全管理分機(jī)包括:以密文形式固化被保護(hù)設(shè)備的設(shè)備密鑰的非易失性存儲(chǔ)器、與被保護(hù)設(shè)備建立通信連接的設(shè)備接口芯片以及易失性存儲(chǔ)器�����;被保護(hù)設(shè)備包括以密文形式存放功能程序的非易失性存儲(chǔ)器;所述密碼密鑰用于將所述設(shè)備密鑰從密文形式解密成明文形式���,明文形式的所述設(shè)備密鑰用于將所述功能程序從密文形式解密成明文形式�����。本發(fā)明以雙重加密方式對(duì)設(shè)備的核心內(nèi)容進(jìn)行防控����,最大限度保證了設(shè)備的信息安全�����。
【IPC分類】G06F21/78
【公開號(hào)】CN105184196
【申請(qǐng)?zhí)枴緾N201510555655
【發(fā)明人】漆楊
【申請(qǐng)人】四川九洲電器集團(tuán)有限責(zé)任公司
【公開日】2015年12月23日
【申請(qǐng)日】2015年9月2日