[发明专利]非对称加密认证方法和基于非对称加密认证的嵌入式设备

摘要

本发明公开了一种非对称加密认证方法和基于非对称加密认证的嵌入式设备，该方法为在硬件系统中设置一个用于生成私钥的加密芯片；并在存储空间中开辟一块特定存储区域用于存储与加密和解密相关的数据；当操作系统收到从内核中其它驱动或上层应用程序传来的公钥时，激活认证过程以完成认证；认证过程包括以下步骤1)通过加密芯片的驱动程序从加密芯片读出私钥；2)将私钥保存到所述的特定存储区域；3)使用RSA算法解密，完成认证，并将认证结果返回到操作系统。该非对称加密认证方法和基于非对称加密认证的嵌入式设备安全性高，能有效保障关键数据不被修改、删除或窃取。

主权项

一种非对称加密认证方法，其特征在于，在硬件系统中设置一个用于生成私钥的加密芯片；并在存储器中开辟一块特定存储区域用于存储与加密和解密相关的数据；所述的存储器为内存或FLASH存储器；当操作系统收到从内核中其它驱动程序或上层应用程序传来的公钥时，激活认证过程以完成认证；并根据认证结果判断该程序是否受信，从而决定该驱动程序或上层应用程序是否可在操作系统中被创建或调度，及其是否允许进行其他操作；如果程序或进程认证不通过，将由操作系统的进程管理直接禁止或KILL该驱动程序或上层应用程序，该驱动程序或上层应用程序将不被授权在本操作系统中运行；认证过程包括以下步骤：1)通过加密芯片的驱动程序从加密芯片读出私钥；2)将私钥保存到所述的特定存储区域；3)使用RSA算法对传入的公钥进行解密，完成认证，并将认证结果返回到操作系统；所述的特定存储区域只由认证过程对应的程序使用，在解密过程中，私钥及与私钥相关的数据均存储在该特定存储区域内，而不使用系统其他存储区域进行存储，解密完成后对特定存储区域进行清空；所述的在存储器中开辟一块特定存储区域的方法为：通过Boot Loader启动程序对存储器的物理地址空间进行分配，即分为被隐藏的地址区段和不受限制的地址区段；隐藏地址区段对应于特定存储区域，又称为受限制的地址区段；在Boot Loader启动程序中，通过配置处理器的基地址寄存器以及地址映射关系，使得Linux操作系统在建立MMU管理时，只在不受限制的地址区段上进行，而被隐藏的地址区段不参与MMU建立；使得在Linux系统启动后，MMU只能管理不受限制的物理地址区段；而被隐藏地址区段对MMU不可见，经过以上处理后，除指定的受信任的程序外，Linux操作系统及Linux操作系统上运行的程序都不能直接访问该被隐藏的地址区段；指定的受信任的程序对该段隐藏的物理地址进行访问的实现方法为：该指定的受信任的程序不通过MMU的地址映射而是采用物理地址对该被隐藏的地址区段进行操作；认证过程对应的程序作为内核态程序运行在Linux操作系统中，受操作系统内核调度，内核中其它驱动或上层应用程序不能调用该程序。