一种应用于单片机系统的图像内容保护模块及方法与流程

1.本发明主要涉及的是图像内容的保护，尤其涉及一种应用于单片机系统的图像内容保护模块及方法。


背景技术：

2.随着科学技术的发展，现在以单片机为主的小型系统已经深入到各种应用场景，包括智能家电，可穿戴设备等。而这些场景中，恶意程序可以通过监视内存来获得显示设备上的内容，包括但不限于用户个人信息，设备信息，甚至密码和二维码等敏感信息。目前在单片机为主的小型系统中，因为计算性能的限制，通常是对数据源进行加密操作，例如对用户名密码的数据进行加密，但是对于显示设备上的内容还没有比较合适的保护方案。恶意程序可以通过读取显示图像的缓存来获取显示在屏幕上的内容，上传到服务器，通过图像识别的方式来获取敏感信息。


技术实现要素：

3.为了保护显示输出缓存中的信息，阻止恶意程序通过监视内存的方式，窃取显示输出缓存中的敏感信息，本发明提出一种应用于单片机系统的图像内容保护模块及方法，单片机系统中包括内存储器、密钥池以及图像内容保护模块，图像内容保护模块包括秘钥管理模块、缓存加密模块以及缓存解密模块，且秘钥管理模块中设置有定时器，其中：
4.秘钥管理模块，用于当达到定时固定的时间时，从密钥池中获取秘钥，并在缓存加密模块和缓存解密模块同时处于空闲状态时更新两者使用的密钥；
5.缓存加密模块，用于对输入的数据采用计数模式进行加密，并将加密的数据存入内存储器；
6.缓存解密模块，用于从内存储器取出加密的数据，进行基于计数模式的解密，并将解密数据送到显示设备。
7.进一步的，采用计数模式进行加密时，将数据分为n个大小为16字节的数据块，每个数据块分配的计数值依次为t1、t2……
t
n
。
8.进一步的，计数值t为明文数据块在系统内存中存储的地址。
9.进一步的，使用对称加密算法对计数值进行加密时，根据数据访问的连续性直接根据当前数据块的数据块地址预测下一数据块地址。
10.本发明还提供一种应用于单片机系统的图像内容保护方法，具体包括以下步骤：
11.对输入的数据进行加密操作，将加密后的数据存储在内存储器中，在输出数据到显示器时，从内存储器中读取加密数据并解密后输出到显示器，加密和解密过程中使用的密钥每隔固定时间间隔进行更新，并在加密和解密过程处于空闲的时候替换到加密和解密过程中。
12.进一步的，采用计数模式进行加密包括：
13.将明文数据分为n个大小为16字节的数据块，每个数据块分配的计数值依次为为
t1、t2……
t
n
；
14.使用对称加密算法分别对计数值进行加密，得到n个16个字节的计数加密值；
15.将每个计数加密值与其对应的明文数据块进行异或操作，生成数据块的密文，完成加密。
16.进一步的，基于计数模式进行解密包括：对每一个密文数据块，使用对称加密算法对该数据块的计数值进行加密，得到16字节的计数加密值，并将该加密值与密文数据块进行异或操作，得到该数据块的明文，完成解密。
17.1.本发明对于内存中的图像缓存数据要进行加密，防止外部其他程序可以获得明文的图像缓存；
18.2.本发明采用的加密和解密效率高，便于并行计算，对内存访问的带宽影响小；
19.3.利用专有模块控制密钥分发，避免恶意程序直接获取密钥。
附图说明
20.图1为本发明一种应用于单片机系统的图像内容保护模块示意图；
21.图2为本发明加密和解密过程示意图。
具体实施方式
22.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
23.本发明提供一种应用于单片机系统的图像内容保护模块，单片机系统中包括内存储器、密钥池以及图像内容保护模块，如图1，图像内容保护模块包括秘钥管理模块、缓存加密模块以及缓存解密模块，且秘钥管理模块中设置有定时器，其中：
24.秘钥管理模块，用于当达到定时固定的时间时，从密钥池中获取秘钥，并在缓存加密模块和缓存解密模块同时处于空闲状态时更新两者使用的密钥；
25.缓存加密模块，用于对输入的数据采用计数模式进行加密，并将加密的数据存入内存储器；
26.缓存解密模块，用于从内存储器取出加密的数据，进行基于计数模式的解密，并将解密数据送到显示设备。
27.在图1中，密钥管理模块负责提供加密器和解密器中使用的密钥；加密器对图像缓存数据做加密处理后，存入内存，解密器则将加密数据从内存中取出，解密后送到显示设备。
28.加密和解密过程如图2所示，图2省略了加密后将密文存储在内存中，以及解密时从内存中获取密文的过程，缓存加密模块至少包括对称加密器以及异或器，缓存加密模块从图像缓存输入端获取计数值并通过对称加密器对计数值进行加密得到计数加密值，将明文和计数加密值进行异或得到数据密文；在解密时，缓存解密模块获取计数值并通过对称加密器对计数值进行加密得到计数加密值，将数据密文和计数加密值进行异或得到数据明文，将得到的明文数据从数据缓存输出端输出到显示设备。
29.在实际操作中，如果明文数据被划分为100个数据块，第一个明文数据块的地址为40，因为图像缓存数据存储的连续性，并且每一个数据块包含16个字节，所以第二个数据块地址就是56，第三个数据块地址72，以此类推。理论上知道第一个数据块的地址就可以通过数据数量计算接下来每一个传输的数据块的计数值，这也是预测的原理；而第一个明文数据块的地址是系统启动缓存加密模块或者缓存解密模块的时候，作为输入参数，传递给缓存加密解密模块和缓存解密模块的。
30.秘钥管理模块定时进行秘钥更新，但是更新的密钥需要在加密器和解密器同时处于空闲状态时才能加载到缓存加密模块和缓存解密模块中，一方面设置专有模块发放秘钥可以有效防止恶意程序直接获取秘钥，另一方面秘钥管理模块保证缓存加密模块和缓存解密模块的密钥同步更新，保证加密和解密过程的正确性。
31.本实施例中，在密钥管理模块中增加定时器模块，每经过特定时间，密钥管理模块就会自动到密钥池内提取新的密钥，该密钥不会被任何程序访问到，以保证恶意程序无法获取该密钥；获得密钥后，密钥管理模块在加密器和解密器空闲状态时，同时更新两者使用的密钥。
32.考虑到单片机系统的计算能力有限，加解密模块采用对称加密算法例如aes算法或者sm4。对称加密算法的加密效率高，速度快，计算量小。同时加解密引擎使用同样的密钥也简化了密钥维护，非常适合单片机系统。
33.为了达到实时性的需求，具体实施过程中可以采用并行加密策略。因为计数模式下每一个数据块的加解密互不相关，这样可以采用多个数据块并行加密的方式提高加密写入内存的吞吐率。加密器设计的时候，采用了多个对称加密引擎并行的结构，本领域技术人员可以根据实际的数据速率需求设置对称加密引擎的数量，本发明不对对称加密引擎数量作限制。
34.本发明还提出一种应用于单片机系统的图像内容保护方法，即对输入的数据进行加密操作，将加密后的数据存储在内存储器中，在输出数据到显示器时，从内存储器中读取加密数据并解密后输出到显示器，加密和解密过程中使用的密钥每隔固定时间间隔进行更新，并在加密和解密过程处于空闲的时候替换到加密和解密过程中。
35.在对数据进行加密的时候，采取计数模式，计数模式的加解密流程如下：
36.加密时将数据分为n个数据块，每一个数据块大小为16个字节；
37.数据块分配的计数值为t1、t2……
t
n
，；
38.加密操作的时候，使用对称加密算法对计数值进行加密，得到的16个字节的计数加密值；
39.将计数加密值与明文数据块进行异或操作，生成数据块的密文；
40.解密操作的时候，使用同样的方式生成计数加密值，然后将计数加密值与密文数据块进行异或操作，得到数据块的明文，次数不再赘述。
41.实际应用中，计数模式的计数值，使用16字节数据对应的地址代替。这样设计可以让每一个数据块的计数加密值和地址直接相关，便于随机访问，同时每个数据块的计数加密值也是唯一的，不会出现多个数据块使用相同的计数加密值导致潜在风险；除此以外，计数模式只用到了对称加密算法的加密模式，也简化了加密器和解密器的设计。
42.解密时，为了达到实时性的需求，采用计数加密值预处理的方式，提前计算出下一
个数据块所需要的计数加密值。因为图像缓存在内存中以连续的方式存储，将缓存送至显示设备的过程中，对内存的读操作也是连续地址访问的方式，所以解密器在访问内存过程中对于下一个读取的数据块的地址预测可以使用地址递增的方式，这个简单的策略可以有很高的预测命中率，可以让解密器在读取数据之前就根据预测的地址计算出计数加密值。当收到数据后，通过简单的异或操作获得数据的明文。
43.尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。