技術領域

本發明涉及一種非對稱加密認證方法和基于非對稱加密認證的嵌入式設備。

背景技術

隨著手持移動終端設備的技術發展，嵌入式設備(如平板電腦)已被廣泛應用。目前嵌入式設備主要應用在普通民用領域，這些領域的需求具有通用性和普遍性，因此軟硬件大多采用大眾化、通用化的設計。

但在特殊應用領域，尤其是在保密、安全相關的應用領域，這種通用化的嵌入式設備并不適合，此時需要提供一些特定技術來滿足保密、安全的相關要求。因此，有必要設計一種新型的加密認證方法和嵌入式設備，以滿足特殊場合的保密、安全要求。

發明內容

本發明所要解決的技術問題是提供一種非對稱加密認證方法和基于非對稱加密認證的嵌入式設備，該非對稱加密認證方法和基于非對稱加密認證的嵌入式設備安全性高，能有效保障關鍵數據不被修改、刪除或竊取。

發明的技術解決方案如下：

一種非對稱加密認證方法，在硬件系統中設置一個用于生成私鑰的加密芯片；并在存儲器中開辟一塊特定存儲區域用于存儲與加密和解密相關的數據；所述的存儲器為內存【RAM】或FLASH存儲器；

當操作系統收到從內核中其它驅動程序或上層應用程序傳來的公鑰時，激活認證過程以完成認證；

認證過程包括以下步驟：

1)通過加密芯片的驅動程序從加密芯片讀出私鑰；

2)將私鑰保存到所述的特定存儲區域；

3)使用RSA算法對傳入的公鑰進行解密，完成認證，并將認證結果返回到操作系統。

所述的特定存儲區域只由認證過程對應的程序使用，在解密過程中，私鑰及與私鑰相關的數據均存儲在該特定存儲區域內，而不使用系統其他存儲區域(如臨時內存等)進行存儲，解密完成后對特定存儲區域進行清空。

所述的在存儲器中開辟一塊特定存儲區域的方法為：通過Boot Loader啟動程序對存儲器的物理地址空間進行分配，即分為的被隱藏的地址區段和不受限制的地址區段；隱藏地址區段對應于特定存儲區域，又稱為受限制的地址區段；在Boot Loader啟動程序中，通過配置處理器的基地址寄存器以及地址映射關系，使得Linux操作系統在建立MMU管理時，只在不受限制的地址區段上進行，而被隱藏的地址區段不參與MMU建立；使得在Linux系統啟動后，MMU只能管理不受限制的物理地址區段；而被隱藏地址區段對MMU不可見，經過以上處理后，除指定的受信任的程序【如前述的認證過程所對應的程序，即認證程序】外，Linux操作系統及Linux操作系統上運行的程序都不能直接訪問該被隱藏的地址區段；

通過指定的受信任的程序對該段隱藏的物理地址進行訪問的實現方法為：該驅動程序不通過MMU的地址映射而是采用物理地址對該被隱藏的地址區段進行操作。

認證過程對應的程序【即認證程序】作為內核態程序運行在Linux操作系統中，受操作系統內核調度，內核中其它驅動或上層應用程序不能調用該程序。

一種基于非對稱加密認證的嵌入式設備，包括處理器、LCD顯示屏、內存、觸摸屏控制器、FLASH存儲器和USB接口；LCD顯示屏、內存、觸摸屏控制器、FLASH存儲器和USB接口均與處理器連接；還包括用于生成私鑰的加密芯片；所述的加密芯片與處理器連接；

還包括用于實現非對稱加密認證的裝置；所述用于實現非對稱加密認證的裝置包括：

在存儲器中開辟一塊特定存儲區域用于存儲與加密和解密相關的數據的裝置；所述的存儲器為內存【RAM】或FLASH存儲器

當操作系統收到從內核中其它驅動程序或上層應用程序傳來的公鑰時，激活認證過程以完成認證的裝置；

所述認證過程涉及到以下裝置：

用于通過加密芯片的驅動程序從加密芯片讀出私鑰的裝置；

用于將私鑰保存到所述的特定存儲區域的裝置；

用于使用RSA算法對傳入的公鑰進行解密完成認證，并將認證結果返回到操作系統的裝置。

嵌入式設備為平板電腦，所述的處理器為Exynos4412，FLASH存儲器采用NAND FLASH存儲器；內存為DDR3內存；還包括用于讀寫SD／TF器件的SD／TF插口；選用具有UART、I2C、SPI、PCI、USB任一接口的加密芯片，該加密芯片能提供2048位的私鑰。

加密芯片采用TF32A09器件。

有益效果：