一种安全芯片管理系统、方法、设备和存储介质与流程

1.本技术涉及通信技术领域，尤其涉及一种基于物联网操作系统的安全芯片管理系统及方法。


背景技术：

2.随着物联网的应用，涉及用户隐私的海量数据将被各类物联网设备记录，其数据安全隐患也愈加严重，由于物联网通用mcu的资源受限性，安全芯片在物联网设备的安全上起到了越来越重要的作用。
3.目前市面上安全芯片种类繁多，不同品牌的安全芯片支持的安全功能各异，与mcu间的通信协议差异巨大，硬件访问接口不统一，当前物联网操作系统在安全芯片的管理上存在的问题是：在应用层，没有标准的安全芯片访问接口，导致应用程序通用性、移植性差；在驱动层，没有标准的驱动层访问接口，导致更换安全芯片开发工作难度大，效率低。


技术实现要素：

4.本技术实施例提供一种安全芯片管理系统、方法、设备和存储介质，为应用层提供标准统一的安全芯片访问接口，提高了应用程序的通用性和移植性；为驱动层提供标准统一的挂载接口，降低了驱动开发的难度，也提升了开发的效率。
5.为了解决上述技术问题，本技术是这样实现的：
6.第一方面，本技术实施例提供了一种安全芯片管理系统，所述系统包括：
7.安全芯片硬件、安全组件、安全芯片驱动模块和通信总线驱动模块；
8.所述安全组件，包括对应用层统一的访问接口和对驱动层提供统一的访问挂载接口；所述安全组件按照不同的功能划分为密钥存储管理模块、数据存储管理模块、对称加密管理模块、非对称加密管理模块、哈希管理模块、消息识别码管理模块和算法描述符管理模块中的至少一项；
9.所述安全芯片驱动模块，用于提供所述安全芯片的通信协议；
10.所述通信总线驱动模块，用于为所述安全芯片驱动模块访问安全芯片提供总线驱动。
11.可选地，所述算法描述符管理模块用于所述安全芯片访问互斥锁，以及挂载驱动层算法描述符的初始化、销毁和清除。
12.可选地，所述密钥存储管理模块分为对称加密算法密钥管理模块和非对称加密算法密钥管理模块，所述对称加密算法密钥管理模块和所述非对称加密算法密钥管理模块都包含算法类型模块、密钥信息模块、密钥管理操作模块；
13.所述密钥信息包括密钥id、密钥类型、密钥存储位置、密钥可导出标识、密钥和密钥长度中的至少一项；
14.所述密钥管理操作包括密钥生成、密钥更新、密钥导入和密钥导出中的至少一项。
15.可选地，所述对称加密管理模块包括算法信息模块、密钥信息模块、特征信息度iv
信息模块和对称加密操作模块中的至少一项；所述密钥信息包括密钥id、密钥使用方式、密钥和密钥长度；所述iv信息包括iv向量长度、iv向量偏移和iv向量值中的至少一项；所述对称加密操作模块执行的对称加密操作包括加密和解密中的至少一项；
16.所述非对称加密管理模块包括算法类型模块、密钥信息模块和非对称加密操作模块；所述密钥信息包括密钥id、密钥参数、密钥使用方式、密钥和密钥长度中的至少一项；所述非对称加密操作模块执行的非对称加密操作包括加密、解密、签名和验签中的至少一项。
17.可选地，所述哈希管理模块包括算法信息模块和哈希操作模块：所述算法信息包括算法类型、块大小、哈希计算值和处理长度中的至少一项；所述哈希操作包括初始化、更新分块、最后分块和单次哈希计算中的至少一项。
18.可选地，所述消息识别码管理模块包括算法信息模块、密钥信息模块、iv信息模块和消息识别码操作模块中的至少一项：所述密钥信息包括密钥id、密钥使用方式、密钥和密钥长度中的至少一项；所述iv信息包括iv向量长度、iv向量偏移和iv向量值中的至少一项；所述消息识别码操作模块执行的消息识别码操作包括初始化、更新分块、最后分块和单次消息识别码计算中的至少一项。
19.第二方面，本技术实施例提供了一种安全芯片管理方法，所述方法包括：
20.应用程序调用安全组件内部的功能接口，所述功能接口包括密钥存储管理模块功能接口、数据存储管理模块功能接口、对称加密管理模块功能接口、非对称加密管理模块功能接口、哈希管理模块功能接口、消息识别码管理模块功能接口中的至少一项；
21.安全组件管理模块向算法描述符管理模块申请算法描述符内存，所述算法描述符包括密钥存储管理模块、数据存储管理模块、对称加密管理模块、非对称加密管理模块、哈希管理模块、消息识别码管理模块中的至少一项的算法描述符；
22.所述算法描述符对应模块进行所述算法描述符初始化，挂载所述算法描述符对应的驱动层访问接口；
23.所述算法描述符对应模块对所述算法描述符进行结构填充；
24.所述算法描述符对应模块调用挂载的所述算法描述符对应的驱动层访问接口，传入所述算法描述符信息；
25.所述算法描述符对应模块获取操作结果并释放所述算法描述符内存。
26.可选地，所述安全组件管理模块的启动流程包括：
27.安全芯片驱动模块进行初始化，安全芯片上电启动完成；
28.初始化所述安全组件的公共资源，创建安全芯片访问互斥锁；
29.挂载驱动层的描述符操作到所述算法描述符管理模块；所述描述符操作包括初始化、销毁或者清除。
30.第三方面，本技术实施例提供了一种电子设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序或者指令，所述程序或者指令被所述处理器执行时实现安全芯片管理方法中的步骤。
31.第四方面，本技术实施例提供了一种可读存储介质，所述可读存储介质上存储有程序或指令，所述程序或指令被处理器执行时实现安全芯片管理方法中的步骤。
32.本技术实施例中提供了一种安全芯片管理系统、方法、设备和存储介质，安全芯片管理系统包括安全芯片硬件、安全组件、安全芯片驱动模块和通信总线驱动模块，其中安全
组件包括对应用层统一的访问接口和对驱动层提供统一的访问挂载接口；安全组件的每个管理模块对应用层提供统一的访问接口。还采用了算法描述符的方式，算法描述符为驱动层访问接口提供统一的挂载方式，具体算法描述符统一为驱动层具体的功能提供必要的访问信息。安全芯片驱动模块，用于提供所述安全芯片的通信协议；通信总线驱动模块，用于为所述安全芯片驱动模块访问安全芯片提供总线驱动。为应用层提供标准统一的安全芯片访问接口，提高了应用程序的通用性和移植性；为驱动层提供标准统一的挂载接口，降低了驱动开发的难度，也提升了开发的效率。
附图说明
33.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
34.图1是本技术实施例提供的安全芯片管理系统框图；
35.图2是本技术实施例提供的安全组件结构；
36.图3是本技术实施例提供的安全组件启动流程；
37.图4是本技术实施例提供的安全组件访问流程；
38.图5是本技术实施例提供的安全芯片管理方法流程示意图；
39.图6是本发明实施例提供的一种电子设备的结构图。
具体实施方式
40.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
41.针对现有技术中的不足，本技术提供了一种基于物联网操作系统的安全芯片管理系统及方法。
42.图1示出了本技术实施例提供的安全芯片管理系统，所述系统包括：安全组件101、安全芯片驱动模块102、通信总线驱动模块103和安全芯片硬件104。
43.所述安全组件101，包括对应用层统一的访问接口和对驱动层提供统一的访问挂载接口；所述安全组件101按照不同的功能划分为密钥存储管理模块、数据存储管理模块、对称加密管理模块、非对称加密管理模块、哈希管理模块、消息识别码管理模块和算法描述符管理模块中的至少一项。
44.所述安全芯片驱动模块102，用于提供所述安全芯片的通信协议。
45.所述通信总线驱动模块103，用于为所述安全芯片驱动模块访问安全芯片104提供总线驱动。
46.在一种可能的实施方式中，所述算法描述符管理模块用于所述安全芯片访问互斥锁，以及挂载驱动层算法描述符的初始化、销毁和清除。
47.在一种可能的实施方式中，所述密钥存储管理模块分为对称加密算法密钥管理模
块和非对称加密算法密钥管理模块，所述对称加密算法密钥管理模块和所述非对称加密算法密钥管理模块都包含算法类型模块、密钥信息模块、密钥管理操作模块。
48.所述密钥信息包括密钥id、密钥类型、密钥存储位置、密钥可导出标识、密钥和密钥长度中的至少一项；所述密钥管理操作包括密钥生成、密钥更新、密钥导入和密钥导出中的至少一项。
49.在一种可能的实施方式中，所述对称加密管理模块包括算法信息模块、密钥信息模块、特征信息度iv信息模块和对称加密操作模块中的至少一项；所述密钥信息包括密钥id、密钥使用方式、密钥和密钥长度；所述iv信息包括iv向量长度、iv向量偏移和iv向量值中的至少一项；所述对称加密操作模块执行的对称加密操作包括加密和解密中的至少一项。
50.在一种可能的实施方式中，所述非对称加密管理模块包括算法类型模块、密钥信息模块和非对称加密操作模块；所述密钥信息包括密钥id、密钥参数、密钥使用方式、密钥和密钥长度中的至少一项；所述非对称加密操作模块执行的非对称加密操作包括加密、解密、签名和验签中的至少一项。
51.在一种可能的实施方式中，所述哈希管理模块包括算法信息模块和哈希操作模块：所述算法信息包括算法类型、块大小、哈希计算值和处理长度中的至少一项；所述哈希操作包括初始化、更新分块、最后分块和单次哈希计算中的至少一项。
52.在一种可能的实施方式中，所述消息识别码管理模块包括算法信息模块、密钥信息模块、iv信息模块和消息识别码操作模块中的至少一项：所述密钥信息包括密钥id、密钥使用方式、密钥和密钥长度中的至少一项；所述iv信息包括iv向量长度、iv向量偏移和iv向量值中的至少一项；所述消息识别码操作模块执行的消息识别码操作包括初始化、更新分块、最后分块和单次消息识别码计算中的至少一项。
53.本技术实施例提供的安全芯片管理系统，通过安全组件按照不同的功能划分为密钥存储管理模块、数据存储管理模块、对称加密管理模块、非对称加密管理模块、哈希管理模块、消息识别码管理模块，以及抽象出公共的算法描述符管理模块。并且安全组件的每个管理模块对应用层提供统一的访问接口。还采用了算法描述符的方式，其中，算法描述符为驱动层访问接口提供统一的挂载方式，具体算法描述符统一为驱动层具体的功能提供必要的访问信息。
54.可以看出，本技术实施例提供的安全芯片的访问主要涉及4个版块，具体说明如下：
55.(1)安全组件，包括对应用层提供统一的访问接口和对驱动层提供统一的访问挂载接口。
56.(2)安全芯片驱动模块，提供安全芯片的通信协议。
57.(3)通信总线驱动模块，为安全芯片驱动访问安全芯片提供总线驱动。
58.(4)安全芯片硬件。
59.本技术实施例主要针对安全组件，根据安全芯片提供的通用功能，安全组件结构如图2所示。安全组件按照不同的功能划分为密钥存储管理模块、数据存储管理模块、对称加密管理模块、非对称加密管理模块、哈希管理模块、消息识别码管理模块，并抽象出公共的算法描述符管理模块。密钥存储管理模块、数据存储管理模块、对称加密管理模块、非对
称加密管理模块、哈希管理模块、消息识别码管理模块之间相互没有联系，每个功能模块都是独立的，算法描述符管理统一管理以上各个模块的算法描述符。
60.具体地将结合图2进行进一步说明解释：
61.(1)算法描述符管理模块
62.算法描述符结管理模块是其它管理模块的一个公共功能的抽象，其功能包含两部分：
63.a.安全芯片访问互斥锁。
64.b.挂载驱动层算法描述符的初始化、销毁、清除。
65.(2)密钥存储管理模块
66.密钥存储管理分为对称加密算法密钥管理和非对称加密算法密钥管理，两种密钥管理都包含算法类型、密钥信息、密钥管理操作三部分：
67.a.算法类型包含aes、des、3des、sm1、sm4、rsa、sm2、sm9等。
68.b.密钥信息包含密钥id、密钥类型、密钥存储位置、密钥可导出标识、密钥、密钥长度等。
69.c.密钥管理操作包含密钥的生成、密钥的更新、密钥的导入、密钥的导出。
70.(3)对称加密管理模块
71.对称加密管理包含算法信息、密钥信息、iv信息、对称加密操作四个部分：
72.a.算法信息包含算法类型(aes、des、3des、sm1)以及算法模式。
73.b.密钥信息包含密钥id、密钥使用方式、密钥、密钥长度等。
74.c.iv信息包括iv向量长度、iv向量偏移、iv向量值。
75.d.对称加密操作包括加密和解密。
76.(4)非对称加密管理模块
77.非对称加密管理模块包含算法类型、密钥信息、非对称加密操作三个部分：
78.a.算法类型包含rsa、sm2、sm9。
79.b.密钥信息包含密钥id、密钥参数、密钥使用方式、密钥、密钥长度等。
80.c.非对称加密操作包括加密、解密、签名、验签。
81.(5)哈希管理模块
82.哈希管理模块包含算法信息、哈希操作两个部分：
83.a.算法信息包含算法类型、块大小，哈希计算值、处理长度等。
84.b.哈希操作包括初始化、更新分块、最后分块、单次哈希计算。
85.(6)消息识别码管理模块
86.消息识别码管理模块包含算法信息、密钥信息、特征信息度(information value，iv)、消息识别码操作四个部分：
87.a.算法信息包含算法类型以及算法模式。
88.b.密钥信息包含密钥id、密钥使用方式、密钥、密钥长度等。
89.c.所述iv信息包括iv向量长度、iv向量偏移、iv向量值。
90.d.消息识别码操作包括初始化、更新分块、最后分块、单次消息识别码计算。
91.(7)数据存储管理模块
92.数据存储管理包含数据信息、数据操作两部分：
93.a.数据信息包含存储方式、存储位置、存储数据及长度。
94.b.数据操作包括写入用户数据、读取用户数据。
95.只有安全组件启动之后，各个功能模块的功能才能正常运转。具体的安全组件的启动流程如图3所示：
96.步骤301：安全芯片驱动模块进行初始化，安全芯片上电启动就绪。
97.步骤302：初始化安全组件的公共资源，创建安全芯片访问互斥锁。
98.步骤303：挂载驱动层的描述符操作(初始化、销毁、清除)到安全组件的算法描述符管理模块。
99.应用层在安全组件启动之后访问安全组件，应用层是安全组件的使用者。应用层访问安全组件的流程如图4所示：
100.步骤401：应用程序调用安全组件内部的任一的功能接口(密钥存储、数据存储、对称加密、非对称加密、哈希、消息识别码)。
101.步骤402：安全组件功能对应的管理模块，向算法描述符管理模块申请具体的算法描述符内存。其中，“具体的算法描述符内存”可以是以下功能模块的任何一个：密钥存储管理模块、数据存储管理模块、对称加密管理模块、非对称加密管理模块、哈希管理模块、消息识别码管理模块。
102.步骤403：具体的算法描述符初始化，并挂载对应的驱动层访问接口。
103.步骤404：对具体的算法描述符进行结构填充。
104.步骤405：调用挂载的驱动接口，传入具体的算法描述符信息。
105.步骤406：获取操作结果并释放算法描述符内存。
106.综上所述，本技术实施例中提供了一种安全芯片管理系统，安全芯片管理系统包括安全芯片硬件、安全组件、安全芯片驱动模块和通信总线驱动模块，其中安全组件包括对应用层统一的访问接口和对驱动层提供统一的访问挂载接口；安全组件的每个管理模块对应用层提供统一的访问接口。还采用了算法描述符的方式，算法描述符为驱动层访问接口提供统一的挂载方式，具体算法描述符统一为驱动层具体的功能提供必要的访问信息。安全芯片驱动模块，用于提供所述安全芯片的通信协议；通信总线驱动模块，用于为所述安全芯片驱动模块访问安全芯片提供总线驱动。为应用层提供标准统一的安全芯片访问接口，提高了应用程序的通用性和移植性；为驱动层提供标准统一的挂载接口，降低了驱动开发的难度，也提升了开发的效率。
107.基于相同的技术构思，本技术实施例还提供了一种安全芯片管理方法，如图5所示，所述方法包括：
108.步骤601：应用程序调用安全组件内部的功能接口，所述功能接口包括密钥存储管理模块功能接口、数据存储管理模块功能接口、对称加密管理模块功能接口、非对称加密管理模块功能接口、哈希管理模块功能接口、消息识别码管理模块功能接口中的至少一项；
109.步骤602：安全组件管理模块向算法描述符管理模块申请算法描述符内存，所述算法描述符包括密钥存储管理模块、数据存储管理模块、对称加密管理模块、非对称加密管理模块、哈希管理模块、消息识别码管理模块中的至少一项的算法描述符；
110.步骤603：所述算法描述符对应模块进行所述算法描述符初始化，挂载所述算法描述符对应的驱动层访问接口；
111.步骤604：所述算法描述符对应模块对所述算法描述符进行结构填充；
112.步骤605：所述算法描述符对应模块调用挂载的所述算法描述符对应的驱动层访问接口，传入所述算法描述符信息；
113.步骤606：所述算法描述符对应模块获取操作结果并释放所述算法描述符内存。
114.在一种可能的实施方式中，所述安全组件管理模块的启动流程包括：安全芯片驱动模块进行初始化，安全芯片上电启动完成；初始化所述安全组件的公共资源，创建安全芯片访问互斥锁；挂载驱动层的描述符操作到所述算法描述符管理模块；所述描述符操作包括初始化、销毁或者清除。
115.需要说明的是，本技术实施例中应用于切片管理功能实体的方法实施例中的任意实施方式都可以被本实施例中的上述切片管理功能实体所实现，以及达到相同的有益效果，此处不再赘述。
116.请参见图6，图6是本发明实施例提供的一种电子设备的结构图，如图6所示，电子设备包括：存储器601、处理器602及存储在存储器601上并可在处理器602上运行的程序或者指令，程序或者指令被处理器602执行时实现上述安全芯片管理方法中的步骤。
117.本技术实施例提供了一种可读存储介质，所述可读存储介质上存储有程序或指令，所述程序或指令被处理器执行时实现上述安全芯片管理方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
118.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
119.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本技术各个实施例所述的方法。
120.上面结合附图对本技术的实施例进行了描述，但是本技术并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本技术的启示下，在不脱离本技术宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本技术的保护之内。