一種數據安全傳輸設備的製作方法

2023-05-01 16:18:06 2

專利名稱：一種數據安全傳輸設備的製作方法
技術領域：
本實用新型涉及一種數據安全傳輸設備，特別地涉及一種基於嵌入式系統平臺的數據安全傳輸設備，屬於數據安全傳輸領域。
背景技術：
伴隨著二十一世紀的曙光，人類迎來了一個充滿希望的新時代。作為二十世紀人類社會最偉大的發明之一，計算機也邁入了其另一個充滿機遇的階段，人們越來越多的接觸到一個新的概念——嵌入式產品。像手機、PDA、VCD等等都屬於嵌入式產品，而像車載GPS系統、數控工具機、網絡冰箱等同樣都採用嵌入式系統。形式多樣的數位化設備正努力把Internet連接到人們生活的各個角落。數位化產品的廣泛普及將為嵌入式軟體產業的蓬勃發展提供無窮的推動力。
如今，嵌入式系統的應用已經在很多領域開花結果，如信息電器、移動計算設備、網絡設備、工控、仿真、醫療儀器等。各種應用嵌入式系統的設備逐漸要求強大的網絡和多媒體處理能力、易用的界面和豐富的功能。目前存在的一些著名的嵌入式系統包括Windows CE、VxWorks、pSOS、QNX、Palm OS、OS-9、LynxOS、Linux等。各種嵌入式應用軟體也正日趨繁榮，軟體的版權保護問題在嵌入式作業系統的應用中非常重要。
嵌入式作業系統的一個發展趨勢即為接入網絡，由於各個嵌入式系統還沒有很健壯的安全體系，在接入網絡的時候便成為攻擊的對象，各嵌入式系統的應用在基於網絡的應用中也存在著身份認證的安全問題。

發明內容
(一)要解決的技術問題本實用新型要解決技術問題是提供一種基於嵌入式系統平臺的數據安全傳輸設備。
(二)技術方案為了達到上述目的，本實用新型提供了一種基於嵌入式系統平臺的數據安全傳輸設備，該設備包括包括一個中央處理器，一個存儲器，一個接口模塊，設備中還包含一個嵌入式系統平臺通信協議模塊和一個安全模塊，通信協議模塊用於對嵌入式系統平臺的通信協議進行解析，安全模塊用於提供數據安全保護，通信協議模塊位於存儲器內部與所述中央處理器連接，安全模塊位於存儲器內部與所述中央處理器連接。
安全模塊為軟體保護模塊，軟體保護模塊用於提供軟體加密。
安全模塊還可以是身份識別模塊，身份識別模塊用於保存用戶敏感數據。
上述設備的中央處理器、接口晶片和存儲器集成在一個微控制器晶片。
上述設備的中央處理器和存儲器集成在一個微控制器晶片。
上述微控制器晶片是智慧卡晶片。
上述含智慧卡晶片的設備還包括快閃記憶體存儲器，快閃記憶體存儲器與微控制器晶片連接。
中央處理器和存儲器也可以集成在一個單片機中。
上述設備的存儲器為隨機存儲器、只讀存儲器、電子可擦可編程只讀存儲器、可擦可編程只讀存儲器中的任一種。
本實用新型解決上述技術問題採用的數據傳輸方法步驟如下1)主機識別設備2)主機向設備發送命令3)設備對命令的解析和處理4)設備對應用程式的響應所述主機識別設備的過程，即主機通過通信協議所述識別方式識別設備，並建立和設備的通信。由於嵌入式系統平臺和Windows作業系統還是存在著差異，可以根據不同的需求開發不同的驅動來滿足主機和設備之間的通信。
所述主機向設備發送命令，指主機收到客戶端的請求之後，使用協議約定數據傳輸格式發送驗證數據給設備。該請求可能是PIN碼驗證，可能是籤名驗證，可能是數據下載，可能是文件的訪問和權限管理。
所述設備對命令的解析和處理，指設備在接收到來自主機的命令之後，依據事先約定的數據協議解析命令請求，並執行相應的安全操作，比如執行PIN碼校驗，執行籤名驗證，接收需要下載的數據到指定的位置，依據訪問權限對文件進行讀寫修改添加刪除的操作，或者更改對文件的操作權限。
所述設備對應用程式的響應，指設備完成指定的操作之後或者設備對應用提出新的請求時，發送處理結果等相關數據給應用來響應應用的請求。
(三)有益效果本實用新型通過採用包含了可對嵌入式系統平臺的通信協議進行解析的通信模塊的存儲器，接口模塊和存儲器的數據傳輸設備與嵌入式平臺進行連接並進行數據傳輸，通過CPU運行預置於存儲器的算法程序對用戶與嵌入式平臺的通信進行加密，實現了基於嵌入式系統平臺的數據安全傳輸，進而實現軟體保護和身份識別，同時具有結構簡單、使用方便、性能穩定等優點。


圖1軟體加密鎖操作流程圖為本實用新型中實施例1的工作流程圖；圖2身份認證鎖操作流程圖為本實用新型中實施例2的工作流程圖；圖3所示單MCU方案為實施例2的硬體框圖；圖4所示MCU加接口晶片方案為實施例3的硬體框圖；圖5所示MCU加接口晶片以及存儲器方案為實施例1的硬體框圖。
具體實施方式
本實用新型硬體部分可以是高性能的智慧卡晶片，也可以是高性能的CPU晶片，或者是它們和USB接口晶片的結合，另外還可以加上其他主控制器和傳感器。解決本實用新型所指技術問題的技術方案是一種基於嵌入式系統平臺的USB口或者並口或者串口的信息安全或者軟體保護設備。
由於WinCE作業系統是嵌入式系統平臺上的一種重要的作業系統，因為實施例中以WinCE上的應用為例來闡述本實用新型。
本實用新型的第一種優選實施例，提供了一種應用於WinCE作業系統下的軟體保護設備(或稱為加密鎖)。以USB接口設備為例。
如圖5所示，所述軟體保護設備502包括順次連接的接口晶片503、MCU(Micro-Controller Unit，微控制器單元)505和擴展存儲器504，所述擴展存儲器可以選用任意的RAM、ROM、EEPROM、FLASH等，用於存儲相應的加密算法。所述存儲器應該有足夠的存儲空間，用於存儲預置的加密算法，或者可以由用戶選擇或下載算法，如果需要存儲部分用戶代碼的話需要有足夠大的存儲空間，可以是片內FLASH等。
圖中MCU505包括WinCE下的通信協議模塊506和安全模塊507。506模塊完成針對WinCE作業系統的通信協議的解析，安全模塊507用於提供數據安全保護，在本實施例中為軟體保護模塊。
固件程序部分包括對設備的識別部分、設備等待並接收來自主機的數據、設備解析並處理數據、設備返回給主機數據並等待下一條指令、以及設備同主機斷開連接部分。設備被主機識別，通過內置於MCU內部的寄存器的信息，建立主機和設備的連接。
上述程序中，設備和主機的通信部分為核心部分，下面結合圖1對設備和主機的通信過程做詳細的說明。
將設備連接到裝有WinCE作業系統的掌上電腦的USB接口，等待掌上電腦識別設備。
經過步驟101主機對設備完成了初始化，再由步驟102主機對設備的產品廠商標識進行驗證，如果正確，設備執行步驟103，否則轉到110將設備斷開和主機的連接。步驟103中進行驗證用戶口令，若正確，設備等待來自應用的命令以執行步驟104，否則也轉到步驟110，設備執行步驟104接收到命令之後，解析命令並根據不同的應用要求進行步驟105進行數據加解密，或者步驟106用預置代碼運算數據的操作。數據處理結束之後將數據返回進入步驟107，等待來自應用的命令，如果應用不再有響應，則進入步驟110，斷開和主機的連接，否則，如果還有新的命令，則轉到步驟108，經判斷如果通信結束，則執行步驟109使設備斷開與主機的連接，否則轉到步驟104繼續等待接受命令。
以下對利用預置代碼運算數據即實現步驟106的功能進行進一步描述。
設備作為提供軟體加密的裝置。可以用於保存用戶軟體的部分片斷，保證這部分片斷的安全，而不被讀出，並使之在設備內部運行並與外部軟體交互，以此來控制軟體保證其合法運行。該設備與外部程序交互頻繁，計算速度和通信速度是重要的速度性能指標。
根據該實施例的功能，可實現如下的軟體保護功能1.獲得設備信息，這個信息指本裝置的信息。這些信息存儲在內部存儲器內，提供給用戶記憶和識別自己的設備的功能。如步驟102。
2.格式化，用戶可以對本裝置進行格式化，經過格式化後使所有的設置和數據恢復到出廠狀態。
3.寫文件，這類文件包括用戶的代碼片斷，或者該片斷運行時所需要的數據。
4.讀文件，這類文件可以是代碼片斷運行時的數據文件但不是該代碼片斷本身。
5.運行文件，這類文件就是指用戶寫入的代碼片斷，讓這些代碼片斷在本設備內運行並保證其運行的一切數據和內存信息保留在設備以內而只返回結果。
6.加解密，提供給用戶在硬體內部進行對用戶數據RSA、DES、3DES等加解密，並將加解密結果返回給用戶。
預置代碼中還包括軟體保護應用接口函數，所述軟體保護應用接口函數是軟體保護設備和第3方應用之間的接口級，這個應用接口函數主要由開發商使用，主要提供如下功能1.打開設備 打開該設備的句柄，建立與該設備的通訊通道。
2.關閉設備 在設備準備不再使用的時候，將該設備的句柄和設備狀態信息清除。
3.發送命令 這個是本軟體保護產品的核心部分，實現對本裝置的所有設置工作，即所有軟體保護功能的實現。
軟體保護設備的主要作用是保護程序部分不會出現在主機的內存中，這樣帶來的好處是1.防止程序的非法拷貝，主機上的程序離開軟體保護鍵就是不完整的，軟體的分發必須有軟體保護鍵的存在。
2.防止程序被非法跟蹤或調試，軟體的重要部分的代碼不會運行在主機中，所有的調試軟體都無法得到該段程序的運行狀態。
3.防止被轉儲，軟體最易被破解的情況是其在運行的時候，傳統的加殼保護的軟體，經常被內存轉儲的情況下將代碼還原回來。
4.防止反編譯，無論反編譯的技術有多高，都無法得到該實施例裝置內部的代碼片斷，因此無法實現其軟體本身的完整功能。
本實用新型的第二種優選實施例，提供了一種用戶身份識別設備(或稱為身份認證鎖)。它主要負責保存用戶敏感數據，如密碼、數字證書等。
身份識別設備的硬體部分如圖3中所示，圖中301為主機，302為身份識別設備，303為設置在所述身份識別設備中的MCU，所述MCU內部集成了WinCE下的通信協議部分304和安全模塊305，其中，303包括CPU、接口晶片和RAM存儲器，所述RAM中內置有算法。圖中MCU303部分包括WinCE下的通信協議模塊304和安全模塊305。304模塊完成針對WinCE的通信協議的解析，安全模塊305在本實施例中為身份識別模塊。所述MCU中應該有足夠的片內RAM空間，用於預置算法，包括RSA、DES、3DES、MD5算法等，或者可以由用戶選擇或下載算法，如果需要存儲部分用戶代碼的話需要有夠大的存儲空間，可以是片內FLASH等。
身份識別設備的固件程序部分可以結合智慧卡技術和現代密碼學技術，可以支持第三方算法下載，支持多級文件管理和訪問。
如流程圖2所示。
WinCE作業系統對設備的識別過程同實施例一。
總體功能為圖2中步驟201為主機對身份識別設備完成了初始化，步驟202中由身份識別設備獲得用戶輸入的口令A，步驟203中身份識別設備從密碼存儲區中讀出口令並經過特定的處理得到B，步驟204中將A和B進行比較，不同則身份認證失敗，轉到步驟211，身份識別設備斷開同主機的連接，相同則由身份識別設備分配一定的權限給用戶，所述該權限同用戶的密碼等級相關聯，用戶可以進行授權身份允許範圍內的應用端操作，即身份識別設備接收來自應用的命令如步驟205，對命令進行解析處理如步驟206數據加密處理和步驟207用預置代碼運算數據，然後返回給應用，然後執行步驟208繼續等待來自應用的命令。在應用沒有合法響應的情況下轉到步驟211斷開設備與主機的連接，否則接收應用層的命令，如果通過步驟208判斷指示通信結束，則到步驟210斷開連接正常結束本次通信過程，否則轉到步驟205繼續執行。步驟202、步驟203、步驟204三個模塊也可以直接從身份識別設備中讀取密碼，由主機端判定密碼是否正確。
本實施例可實現如下功能包括
1.控制訪問網絡通過身份識別設備中含有的ID信息和用戶驗證信息，用於登陸網絡。
2.用於驗證和鑑別文件的發送者身份的數字籤名或證明，並防止被中途篡改。
3.存儲密碼信息，儲存用戶密碼信息，防止用戶手動輸入密碼時帶來的風險。
4.遠程登陸，銀行的網站可以利用籤名信息來識別用戶得合法性。
5.控制文件的訪問，可以在一些文件中加入訪問控制信息，可以防止在身份識別設備的情況下非法訪問或運行。
6.控制登陸到特定的應用系統，開發商可以將此功能用於自己的產品，該產品可以利用本實施例裝置來進行登陸。
上述3中所述是指身份識別設備中包含的密碼信息發送給主機用來識別持鎖人信息。
所述預置代碼中還包括身份識別設備應用接口函數，身份識別設備應用接口函數是身份識別設備和第3方應用之間的接口級，這個應用接口函數主要由開發商使用，所述應用接口函數主要提供如下功能1.打開設備打開該設備的句柄，建立與該設備的通訊通道。
2.關閉設備在設備準備不再使用的時候，將該設備的句柄和設備狀態信息清除。
3.發送命令這個是身份識別設備的核心部分，實現對本裝置的所有設置工作，即所有本身份識別設備的智慧卡功能的實現。
數字身份識別設備的主要作用是保護重要得到敏感數據永遠都不會被讀出鍵裝置之外如主機的內存中，這樣所帶來的好處是1.用戶可以不必記憶冗長的密碼，安全的密碼一定有字母和數字組成足夠複雜的字符串，而且是時常更新的，用身份識別設備來存儲密碼信息可以免去用戶的麻煩。
2.提供雙因子認證的保險措施，即使用戶的密碼或數字身份識別設備的一方丟失，都不會給用戶帶來風險。
3.密鑰不可導出，保證了用戶密鑰的安全。
4.算法內置本實用新型的第三種實施例，提供另一種身份識別設備，如圖4中所示，所述身份識別設備402中設置有接口晶片403，和與之相連的集成了CPU和存儲器的MCU404，由所接口晶片與主機401相連，主要用於完成對接口協議的翻譯，使得MCU部分404的實現可以更簡單。404部分也包括405(WinCE下的協議模塊)和406(安全模塊)。
本實施例中的主機與設備的通信與實施例2完全相同，並實現與實施例2相同的功能。
以上對本實用新型所提供的一種設備，進行了詳細介紹，本文中應用了具體個例對本實用新型的原理及實施方式進行了闡述，以上實施例的說明只是用於幫助理解本實用新型的方法及其實現思想；同時，對於本領域的一般技術人員，依據本實用新型的思想，在具體實施方式
及應用範圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本實用新型的限制。
權利要求1.一種數據安全傳輸設備，包括一個中央處理器，一個存儲器，一個接口模塊，其特徵在於，所述設備中還包含一個針對嵌入式系統平臺的通信協議模塊和一個安全模塊，所述通信協議模塊用於完成對各個嵌入式系統平臺的通信協議進行解析，所述安全模塊用於提供數據安全保護，所述通信協議模塊位於所述存儲器內部與所述中央處理器連接，所述安全模塊位於所述存儲器內部與所述中央處理器連接。
2.如權利要求1所述的數據安全傳輸設備，其特徵在於，所述安全模塊為軟體保護模塊，軟體保護模塊用於提供軟體加密。
3.如權利要求1所述的數據安全傳輸設備，其特徵在於，所述安全模塊為身份識別模塊，身份識別模塊用於保存用戶敏感數據。
4.如權利要求1至3中任一權利要求所述的數據安全傳輸設備，其特徵在於，所述中央處理器、接口晶片和存儲器集成在一個微控制器晶片。
5.如權利要求1至3中任一權利要求所述的數據安全傳輸設備，其特徵在於，所述中央處理器和存儲器集成在一個微控制器晶片。
6.如權利要求4所述的數據安全傳輸設備，其特徵在於，所述微控制器晶片是智慧卡晶片。
7.如權利要求5所述的數據安全傳輸設備，其特徵在於，所述微控制器晶片是智慧卡晶片。
8.如權利要求6或7所述的數據安全傳輸設備，其特徵在於，所述設備還包括擴展存儲器，所述擴展存儲器與所述微控制器晶片連接。
9.如權利要求1至3中任一權利要求所述的數據安全傳輸設備，其特徵在於，所述中央處理器和存儲器集成在一個單片機。
10.如權利要求1所述的數據安全傳輸設備，其特徵在於，所述存儲器為隨機存儲器、只讀存儲器、電子可擦可編程只讀存儲器、可擦可編程只讀存儲器中的任一種。
11.如權利要求1所述的數據安全傳輸設備，其特徵在於，所述嵌入式系統平臺為Windows CE、VxWorks、ucLinux、FreeBSD或Solaris。
專利摘要本實用新型涉及一種數據安全傳輸設備，特別地涉及一種基於嵌入式系統平臺的數據安全傳輸設備。為解決嵌入式系統平臺的數據安全傳輸的問題，本實用新型提供的基於嵌入式系統平臺的數據安全傳輸設備，包括CPU、接口晶片和存儲器，存儲器內置可對嵌入式系統平臺的通信協議進行解析的通信協議模塊和用於數據安全保護的安全模塊，通信協議模塊位於存儲器內部與CPU連接，安全模塊位於存儲器內部與CPU連接，通過在存儲器中增加通信協議模塊和安全模塊，在軟體保護和身份識別領域實現了基於嵌入式系統平臺的數據安全傳輸。
文檔編號H04L29/06GK2891502SQ20062001239
公開日2007年4月18日 申請日期2006年4月17日 優先權日2006年4月17日
發明者陸舟, 於華章 申請人:北京飛天誠信科技有限公司