本发明涉及一种安全芯片的设计领域,具体涉及一种数据保护方法及安全芯片。
背景技术:
1、现有的安全芯片,在数据传输的过程中都会对数据进行加密,例如采用单向加密(如md5、sha-1、sha-256等加密算法)、对称加密(des、3ds、aes等加密算法)或非对称加密(rsa、ecc等加密算法)等方式对数据进行加密,以保证数据安全。
2、但以上软件的加密算法都存在部分优缺点,1、如md5加密算法,虽然md5加密算法是一种广泛使用的单向加密算法,但它已被证明存在安全漏洞,容易受到碰撞攻击,理由是:由于md5的哈希值长度固定为128位,而输入数据可以是任意长度,因此存在许多不同的输入数据可以生成相同的哈希值。这意味着攻击者可以通过特殊构造的数据,只要通过碰撞攻击找到两个不同的输入数据,寻找到与目标数据具有相同md5哈希值的数据,从而就能够绕过原本的安全机制。2、如rsa加密算法,rsa算法被认为是一种安全的加密算法,对于目前的计算能力和已知的攻击技术,破解使用足够长的密钥长度和正确实施的rsa密钥是非常困难的,但它由于其基于大数模幂运算。rsa加密和解密过程中需要进行大数的指数运算,涉及大数乘法和模运算等复杂计算,尤其是对于较大的密钥长度和大数操作时,计算量更加显著。因此,相对于其他加密算法,rsa算法在计算上需要更多的时间和资源。
3、由于加密算法各有优劣,仅依赖软件为主的加解密方式无法完全满足现代对数据安全的需求。我们需要同时考虑数据安全和计算效率的因素。软件加解密方式虽然可以提供一定的数据安全性,但面对强大的计算能力和先进的攻击技术,可能存在被破解的风险。此外,软件加解密通常需要消耗较多的计算资源,无法满足高效计算的需求。因此,在追求数据安全性的同时,我们也需要兼顾计算效率,以降低安全芯片的计算冗余。
4、综合而言,为了满足现今对数据安全和计算效率的双重需求,我们需要找到更好的数据保护方法,以确保数据的安全性和计算的高效性。
技术实现思路
1、为了解决现有技术中存在的技术问题,一方面,本发明提供了一种数据保护方法,应用于安全芯片,所述安全芯片与至少一外设设备连接,所述安全芯片包括至少一匹配电阻,每组所述匹配电阻与每组所述外设设备并联;所述数据保护方法包括:
2、判断所述外设设备是否为目标设备;
3、若是,标记所述外设设备为目标设备;
4、若否,标记所述外设设备为非目标设备;
5、获取来自所述非目标设备中至少一指令和目标区域地址;
6、判断所述指令的类型为读指令还是写指令;
7、若所述指令的类型为读指令,将所述目标区域地址中的数据加密后得到加密数据传输到所述非目标设备;
8、若所述指令的类型为写指令,判断所述目标区域地址是否为限定区域地址,若为限定区域地址,将所述非目标设备重新标记为所述目标设备。
9、进一步地说,在所述若所述指令的类型为读指令,将所述目标区域地址中的数据加密后得到加密数据传输到所述非目标设备后,还包括:
10、获取来自所述非目标设备返回的校验码;
11、对所述检验码进行校验;
12、若校验成功,将所述非目标设备标记为目标设备;
13、若校验失败,保持所述非目标设备的标记状态。
14、进一步地说,在所述若所述指令的类型为读指令后,还包括:
15、判断读指令所指向的所述目标区域地址是否为限定区域地址;
16、若为限定区域地址,计算读取所述限定区域地址的数据的次数是否超过读取阈值;
17、若超过,执行保护操作。
18、进一步地说,所述保护操作为擦除所述限定区域地址的数据和/或锁定所述限定区域地址的数据。
19、进一步地说,在所述若所述指令的类型为写指令,判断所述目标区域地址是否为限定区域地址,若是将所述非目标设备重新标记为所述目标设备后,还包括:
20、将所述限定区域地址数据进行擦除。
21、进一步地说,所述将所述非目标设备重新标记为所述目标设备,包括:
22、初始化所述匹配电阻所对应的所述目标设备的动态电阻值;
23、获取所述匹配电阻上的电压计算得出所述匹配电阻的第一电阻值;
24、将所述动态电阻值修改为所述第一电阻值。
25、进一步地说,所述判断所述外设设备是否为目标设备的方法,包括:
26、设定所述匹配电阻所对应的所述目标设备的动态电阻值;
27、获取所述匹配电阻上的电压计算得出所述匹配电阻的第一电阻值;
28、判断所述第一电阻值是否在所述动态电阻值的范围内;
29、若在所述动态电阻值的范围内,得出所述外设设备为目标设备;
30、若不在所述动态电阻值的范围内,得出所述外设设备为非目标设备。
31、进一步地说,所述外设设备还包括外设电阻,所述外设电阻与所述配对电阻并联,在所述获取所述匹配电阻上的电压计算得出所述匹配电阻的第一电阻值前,还包括:
32、获取来自所述外设电阻的第二电阻值;
33、根据所述第二电阻值判断所述第一电阻值是否存在偏差;
34、若存在所述偏差,判断所述偏差是否在偏差阈值范围内;
35、若所述偏差在所述偏差阈值范围内,调整所述第一电阻值;
36、进一步地说,在标记所述外设设备为目标设备后,还包括:
37、建立所述目标设备与所述安全芯片的数据通信;
38、允许所述目标设备针对所述安全芯片读写操作。
39、进一步地说,所述标记所述外设设备为目标设备的方法,包括:
40、获取所述外设设备的唯一识别码,并记录当前所述第一电阻值;
41、将所述唯一识别码和所述当前所述第一电阻值捆绑存储在所述安全芯片的指定区域;
42、标记所述指定区域为目标设备信息区域。
43、另一方面,本发明还提供了一种安全芯片,所述安全芯片与至少一外设设备连接,所述安全芯片包括至少一匹配电阻,每组所述匹配电阻与每组所述外设设备并联;所述安全芯片还包括:
44、第一检测模块,判断所述外设设备是否为目标设备;若是,标记所述外设设备为目标设备;若否,标记所述外设设备为非目标设备;
45、通信模块,获取来自所述非目标设备中至少一指令的类型和目标区域地址;
46、第二检测模块,判断所述指令的类型为读指令还是写指令;判断所述指令的类型为读指令还是写指令;若所述指令的类型为读指令,将所述目标区域地址中的数据加密后得到加密数据传输到所述非目标设备;若所述指令的类型为写指令,判断所述目标区域地址是否为限定区域地址,若为限定区域地址,将所述非目标设备重新标记为所述目标设备。
47、与现有技术相比,本发明提供了一种数据保护方法及安全芯片,数据保护方法包括:判断外设设备是否为目标设备;若是,标记外设设备为目标设备;若否,标记外设设备为非目标设备;获取来自非目标设备中至少一指令的类型和目标区域地址;判断指令的类型为读指令还是写指令;若指令的类型为读指令,将目标区域地址中的数据加密后得到加密数据传输到非目标设备;若指令的类型为写指令,判断目标区域地址是否为限定区域地址,若为限定区域地址,将非目标设备重新标记为目标设备;在上述方案中,即使外设设备被初步判断为非目标设备,也不会直接禁止当前外设设备与安全芯片间的通信,会进一步判断外设设备发送的指令的类型为读指令还是写指令,进而再对当前外设设备进行设备类型判定,在此过程中,能够防止原本应为目标设备的外设设备判定为非目标设备后就无法与安全芯片进行数据通信的情况发生;同时,利用匹配电阻的电阻值检测外设设备是否为目标设备的情况更加准确。
1.一种数据保护方法,其特征在于,应用于安全芯片,所述安全芯片与至少一外设设备连接,所述安全芯片包括至少一匹配电阻,每组所述匹配电阻与每组所述外设设备并联;所述数据保护方法包括:
2.根据权利要求1所述的数据保护方法,其特征在于,
3.根据权利要求1或2任一项权利要求所述的数据保护方法,其特征在于,
4.根据权利要求3所述的数据保护方法,其特征在于,
5.根据权利要求1所述的数据保护方法,其特征在于,
6.根据权利要求1-2任一项权利要求所述的数据保护方法,其特征在于,
7.根据权利要求1所述的数据保护方法,其特征在于,
8.根据权利要求7的所述的数据保护方法,其特征在于,
9.根据权利要求2的所述的数据保护方法,其特征在于,
10.根据权利要求1或2任一项权利要求所述的数据保护方法,其特征在于,
11.一种安全芯片,其特征在于,所述安全芯片与至少一外设设备连接,所述安全芯片包括至少一匹配电阻,每组所述匹配电阻与每组所述外设设备并联;所述安全芯片还包括:
