[发明专利]非对称加密认证方法和基于非对称加密认证的嵌入式设备

说明书

技术领域

本发明涉及一种非对称加密认证方法和基于非对称加密认证的嵌入式设备。

背景技术

随着手持移动终端设备的技术发展，嵌入式设备(如平板电脑)已被广泛应用。目前嵌入式设备主要应用在普通民用领域，这些领域的需求具有通用性和普遍性，因此软硬件大多采用大众化、通用化的设计。

但在特殊应用领域，尤其是在保密、安全相关的应用领域，这种通用化的嵌入式设备并不适合，此时需要提供一些特定技术来满足保密、安全的相关要求。因此，有必要设计一种新型的加密认证方法和嵌入式设备，以满足特殊场合的保密、安全要求。

发明内容

本发明所要解决的技术问题是提供一种非对称加密认证方法和基于非对称加密认证的嵌入式设备，该非对称加密认证方法和基于非对称加密认证的嵌入式设备安全性高，能有效保障关键数据不被修改、删除或窃取。

发明的技术解决方案如下：

一种非对称加密认证方法，在硬件系统中设置一个用于生成私钥的加密芯片；并在存储器中开辟一块特定存储区域用于存储与加密和解密相关的数据；所述的存储器为内存【RAM】或FLASH存储器；

当操作系统收到从内核中其它驱动程序或上层应用程序传来的公钥时，激活认证过程以完成认证；

认证过程包括以下步骤：

1)通过加密芯片的驱动程序从加密芯片读出私钥；

2)将私钥保存到所述的特定存储区域；

3)使用RSA算法对传入的公钥进行解密，完成认证，并将认证结果返回到操作系统。

所述的特定存储区域只由认证过程对应的程序使用，在解密过程中，私钥及与私钥相关的数据均存储在该特定存储区域内，而不使用系统其他存储区域(如临时内存等)进行存储，解密完成后对特定存储区域进行清空。

所述的在存储器中开辟一块特定存储区域的方法为：通过Boot Loader启动程序对存储器的物理地址空间进行分配，即分为的被隐藏的地址区段和不受限制的地址区段；隐藏地址区段对应于特定存储区域，又称为受限制的地址区段；在Boot Loader启动程序中，通过配置处理器的基地址寄存器以及地址映射关系，使得Linux操作系统在建立MMU管理时，只在不受限制的地址区段上进行，而被隐藏的地址区段不参与MMU建立；使得在Linux系统启动后，MMU只能管理不受限制的物理地址区段；而被隐藏地址区段对MMU不可见，经过以上处理后，除指定的受信任的程序【如前述的认证过程所对应的程序，即认证程序】外，Linux操作系统及Linux操作系统上运行的程序都不能直接访问该被隐藏的地址区段；

通过指定的受信任的程序对该段隐藏的物理地址进行访问的实现方法为：该驱动程序不通过MMU的地址映射而是采用物理地址对该被隐藏的地址区段进行操作。

认证过程对应的程序【即认证程序】作为内核态程序运行在Linux操作系统中，受操作系统内核调度，内核中其它驱动或上层应用程序不能调用该程序。

一种基于非对称加密认证的嵌入式设备，包括处理器、LCD显示屏、内存、触摸屏控制器、FLASH存储器和USB接口；LCD显示屏、内存、触摸屏控制器、FLASH存储器和USB接口均与处理器连接；还包括用于生成私钥的加密芯片；所述的加密芯片与处理器连接；

还包括用于实现非对称加密认证的装置；所述用于实现非对称加密认证的装置包括：

在存储器中开辟一块特定存储区域用于存储与加密和解密相关的数据的装置；所述的存储器为内存【RAM】或FLASH存储器

当操作系统收到从内核中其它驱动程序或上层应用程序传来的公钥时，激活认证过程以完成认证的装置；

所述认证过程涉及到以下装置：

用于通过加密芯片的驱动程序从加密芯片读出私钥的装置；

用于将私钥保存到所述的特定存储区域的装置；

用于使用RSA算法对传入的公钥进行解密完成认证，并将认证结果返回到操作系统的装置。

嵌入式设备为平板电脑，所述的处理器为Exynos4412，FLASH存储器采用NAND FLASH存储器；内存为DDR3内存；还包括用于读写SD／TF器件的SD／TF插口；选用具有UART、I2C、SPI、PCI、USB任一接口的加密芯片，该加密芯片能提供2048位的私钥。

加密芯片采用TF32A09器件。

有益效果：