一种终端设备的逻辑安全设计方法和物理安全设计结构技术

本发明专利技术公开了一种终端设备的物理安全与逻辑安全设计方法。物理安全设计通过防拆互绕、交互组合的安全机制对终端进行防拆区域划分，设置多套独立的防拆检测电路，每1个防拆区域至少由2路防拆电路保护，每1路防拆电路保护多个防拆区域，每1个防拆区域之间至少存在1路不同的防拆电路，进而保障终端的物理安全。逻辑安全设计将处理器存储区域划分为用户Boot域、应用程序执行域、应用程序备份域及应用数据域；应用程序升级时不直接覆盖原程序，不破坏应用数据；且采用验签及密文下载机制，保障应用程序在下载、升级、启动过程中的安全。本发明专利技术旨在物理、逻辑两方面提高终端设备的安全性，避免现有终端产品硬件物理、软件逻辑设计中的安全隐患。

A Logical Security Design Method and Physical Security Design Architecture for Terminal Equipment

【技术实现步骤摘要】
一种终端设备的逻辑安全设计方法和物理安全设计结构
本专利技术涉及终端设备的安全防护领域，具体涉及一种终端硬件防拆物理安全设计以及程序安全下载、升级、启动逻辑安全设计方法。
技术介绍
终端设备极易受到硬件物理攻击，软件恶意篡改、盗版等风险，从而给企业和用户带来财产损失。在物理安全方面，终端设备受到拆卸外壳、钻孔、激光、化学腐蚀等物理攻击手段后，会导致设备内部存储的重要敏感数据被窃取。在逻辑安全方面，处理器bootloader通常只具备程序下载、启动两项功能，对应用程序几乎无保护。而且处理器bootloader对应用程序的下载、升级，传统上采用ISP方式。实际应用中，用户采用此方式进行应用程序下载、升级时，需擦除处理器内全部程序数据，该方式会带来不便和安全风险：若下载过程中出现错误，无法恢复原程序；由于目前处理器存储区同时用于存储应用程序和应用数据，一旦对处理器全部存储区进行擦除，会损坏存储区中的应用数据。另外，目前处理器bootloader下载、升级、启动过程并没有安全功能，处理器bootloader一般采用明文下载，且在启动过程中无法识别应用程序是否被篡改。因此，终端设备存在因受到物理攻击导致重要敏感数据被窃取的风险；应用程序下载、升级、启动阶段，因现有技术缺乏安全保护措施存在一定安全漏洞，易遭受软件逻辑攻击。
技术实现思路
本专利技术提供一种终端设备的物理安全和逻辑安全设计方法，分别通过硬件防拆物理安全设计、程序安全下载、升级、启动逻辑安全设计两个方面提高终端设备的整体安全性能。鉴于终端设备在物理安全上存在的安全风险或缺陷，采用硬件防拆互绕、交互组合的安全机制进行硬件防拆保护，所述方法如下：根据安全保护需求将终端设备划分为外壳、键盘、敏感数据区等防拆区域，所述区域的划分不限于以上3类；利用若干路防拆检测电路对上述防拆区域进行保护，每1路防拆检测电路相互独立，每1路防拆检测电路保护多个防拆区域；每1个防拆区域至少由2路以上防拆检测电路保护，且每个防拆区域之间至少存在1路不同的防拆检测电路，形成防拆互绕、交互组合的安全机制。鉴于终端设备在逻辑上存在的安全风险或缺陷，采用程序两级验签下载、两级验签启动方式的逻辑安全设计方法，所述方法如下：终端设备处理器存储器区域划分为用户Boot域、应用程序执行域、应用程序备份域及应用数据域，其中应用程序域包括应用程序配置信息域和应用程序镜像文件域。应用程序备份域用于在程序升级时存储备份升级程序；应用程序配置信息域存储应用程序的地址、长度、签名数据等配置信息；同时处理器一次性存储域用于存储对数据进行解密、验签时的对称算法密钥、非对称算法公钥。所述方法不限于将升级程序存储到处理器内部存储器的应用程序存储域，对于存储器容量有限的处理器，升级程序也可以首先存储到外部存储器。验签成功后，再从外部存储器复制到处理器应用程序执行域。处理器应用程序下载、升级设计为两级下载、两级验签方式：由处理器RomBoot引导下载、验签用户Boot；由用户Boot引导下载、升级、验签应用程序。用户Boot由处理器RomBoot采用明文方式引导下载，且进行有效性验签。用户Boot在产品生产阶段下载，且下载后无法再由终端用户进行升级。应用程序由用户Boot采用密文方式引导下载、升级，且升级时需要进行通道认证。用户Boot接收到有效的下载指令后再启动后续下载、升级。应用程序下载、升级前由签名工具对应用程序数据进行签名。下载时，用户Boot接收应用程序密文数据，用预置的对称算法密钥进行解密，将明文数据存储到应用程序域，之后进行验签。如果验签失败，则证明接收的应用程序数据已经被篡改，删除本次接收的应用程序。用户Boot引导应用程序进行升级时，首先解密应用程序数据密文，之后将明文数据存储到应用程序备份域。验签成功后，再将应用程序复制到处理器存储区的应用程序执行域，之后删除备份域程序数据。所述方法不限于将升级程序存储到处理器存储器的应用程序备份存储域，对于存储器容量有限的处理器，升级程序也可以首先存储到外部存储器。验签成功后，再从外部存储器复制到处理器应用程序执行区域。处理器上电启动采用两级验签、两级启动方式：首先由处理器RomBoot对用户Boot进行验签，验签成功后引导用户Boot启动运行；之后再由用户Boot对应用程序进行验签，验签成功后引导应用程序启动运行。用户Boot根据应用程序配置信息对应用程序进行验签，为加快启动速度，本专利技术不限于用户Boot对全部应用程序数据进行验签：在引导下载时，对全部应用程序配置信息、应用程序数据进行验签；在引导启动时，为加快启动速度，缩短对应用程序的验签时间，用户Boot可以只对应用程序配置信息数据以及应用程序数据头、尾、中间的一部分数据进行验签，其中数据验签地址存储在应用程序配置信息中。同时对应用程序数据进行循环冗余校验计算，进一步保证应用程序数据有效性，校验计算对比值位于应用程序配置信息中。本专利技术在物理安全和逻辑安全保护方面的有益效果是：将终端设备需要进行硬件安全保护的电路结构划分为多个区域，利用多套独立、互绕、交互组合的安全机制分别对各防拆区域进行保护，确保了单一安全机制失效或被破解不会对设备安全造成损害，不会因某一区域安全机制被破坏导致其他区域安全机制失效，同等安全级别下使用数量最少的安全检测电路；同时通过采用密文方式下载、对程序进行逐级验签、对处理器存储区域进行有效规划等逻辑安全设计来保障程序下载、升级、启动过程中的数据安全，保障升级时不直接覆盖原程序，不破坏应用数据，弥补了现有技术的缺陷。附图说明图1是本专利技术实施例提供的一种终端设备安全设计方法的硬件防拆原理示意图。图2是本专利技术实施例提供的一种终端设备安全设计方法的存储器划分示意图。图3是本专利技术实施例提供的一种终端设备安全设计方法的应用程序安全下载、升级流程示意图。图4是本专利技术实施例提供的一种终端设备安全设计方法的应用程序安全启动流程示意图。具体实施方式本专利技术实施例提供了一种终端设备的物理安全与逻辑安全具体设计实例，以下结合附图分别对物理安全硬件防拆设计和程序安全下载、启动、升级设计进行清楚、完整的描述，以充分理解设计目的、特征和效果：物理硬件安全防拆的电路结构原理示意图如图1所示，其设计构思及具体步骤如下：步骤1：防拆区域划分。将终端设备防拆区域划分为外壳、键盘、敏感数据区；其中，敏感数据区用于保护PCB板上的敏感器件及其布线。步骤2：防拆检测互绕、交互组合安全机制的实现。设置3路相互独立的防拆检测电路，1路动态电路(Circuit2)和两路静态电路(Circuit1、Circuit3)；其中，静态电路Circuit1用于保护外壳和键盘，动态电路Circuit2用于保护键盘和敏感数据区，静态电路Circuit3用于保护外壳和敏感数据区，即外壳、键盘、敏感数据区分别由2路独立的防拆检测电路保护，且3个区域中只有1路防拆检测电路相同，从而形成防拆检测互绕、交互组合的安全机制，电路原理参照图1。步骤3：静态电路Circuit1和Circuit3对外壳防拆的保护方法为在电路中串联防拆触点(S32/S34、S31/S33)；静态电路Circuit1和动态电路Circuit2对键盘防拆的保护方法为在键盘区域串联防拆触点(S本文档来自技高网...

【技术保护点】
1.一种终端设备的逻辑安全设计方法，其特征在于，采用两级验签下载、升级，两级验签启动的方式，对用户Boot和应用程序进行下载、升级、启动；通过将处理器存储区域划分为用户Boot域、应用程序执行域、应用程序存储域及应用数据域，确保应用程序升级时不直接覆盖原程序，不破坏应用数据；同时通过验签与密文下载结合的机制，保障应用程序在下载、升级、启动过程中的有效性。

【技术特征摘要】
1.一种终端设备的逻辑安全设计方法，其特征在于，采用两级验签下载、升级，两级验签启动的方式，对用户Boot和应用程序进行下载、升级、启动；通过将处理器存储区域划分为用户Boot域、应用程序执行域、应用程序存储域及应用数据域，确保应用程序升级时不直接覆盖原程序，不破坏应用数据；同时通过验签与密文下载结合的机制，保障应用程序在下载、升级、启动过程中的有效性。2.根据权利要求1所述的逻辑安全设计方法，其特征在于，所述将处理器存储区域划分为用户Boot域、应用程序执行域、应用程序存储及应用数据域的方法实现了应用程序下载、升级时，不直接覆盖原程序，不破坏应用数据；其中应用程序存储域用于程序升级时存储备份应用程序；用户Boot引导应用程序首次下载时，将应用程序下载到应用程序执行域；进行升级时，用户Boot首先引导应用程序下载到应用程序存储域，进行有效性验签后，再将应用程序从应用程序存储域复制到应用程序执行域，替换原程序。3.根据权利要求1所述的逻辑安全设计方法，其特征在于，所述两级验签下载、升级，两级验签启动的方式：处理器RomBoot不直接引导应用程序下载、升级、启动，而只是引导下载、启动用户Boot，用户Boot一旦下载即无法再由终端用户进行升级；用户Boot引导下载、启动应用程序；在下载、启动阶段分别进行有效性验签，且应用程序可以由用户进行升级。4.根据权利要求1所述的逻辑安全设计方法，其特征在于，所述应用程序启动过程中，应用程序数据文件包括应用程序配置信息和应用程序镜像文件，应用程序配置信息存储应用程序...

【专利技术属性】
技术研发人员：连恒兴，刘超，
申请(专利权)人：北京中电华大电子设计有限责任公司，
类型：发明
国别省市：北京,11