[发明专利]基于硬件装置的密钥生成和验证方法及系统

权利要求书

1.一种基于硬件装置的用于产品的端口保护的密钥生成方法，所述方法包括：

由与产线控制器连接的经授权的第一硬件装置，

生成根密钥，

利用第一加解密密钥对的公钥加密所述根密钥，以及

将经加密的根密钥写入所述与产线控制器连接的经授权的第二硬件装置的基本文件中；

由与产线控制器连接的经授权的第二硬件装置，

从所述第二硬件装置的基本文件中读取所述经加密的根密钥，

利用第一加解密密钥对的私钥来解密所述经加密的根密钥，

采用国密算法、利用所述根密钥、将产品标识作为分散因子来生成应用密钥，

利用第二加解密密钥对的公钥加密所述应用密钥，以及

将经加密的应用密钥写入与所述产线控制器连接的经授权的第三硬件装置的基本文件中；

由与产线控制器连接的经授权的第三硬件装置，

从所述第三硬件装置的基本文件中读取所述经加密的应用密钥，

利用第二加解密密钥对的私钥来解密所述经加密的应用密钥，以及

采用国密算法、利用所述应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥。

2.如权利要求1所述的方法，其中所述方法还包括由所述产线控制器将所述用于端口保护的密钥写入所述产品的保护域中。

3.如权利要求1所述的方法，其中所述方法还包括：

由所述与产线控制器连接的经授权的第一硬件装置和第二硬件装置分别生成第一签名密钥对；

由所述第一和第二硬件装置分别利用所述第一签名密钥对的公钥加密第一会话密钥；

由所述第一和第二硬件装置分别将经加密的第一会话密钥分别从所述第一硬件装置和第二硬件装置中导出；

由所述第一和第二硬件装置分别利用所述经加密的第一会话密钥加密所述第一加解密密钥对；

由所述第一和第二硬件装置将经加密的第一加解密密钥对导入所述第一和第二硬件装置中；以及

由所述第一和第二硬件装置解密所述经加密的第一加解密密钥对以得到所述第一加解密密钥对。

4.如权利要求1所述的方法，其中利用第一加解密密钥对的私钥来解密所述经加密的根密钥包括：

由所述产线控制器将所述经加密的根密钥导入所述第二硬件装置的密钥容器并返回第一密钥句柄；以及

由所述第二硬件装置基于所述第一密钥句柄、利用第一加解密密钥对的私钥来解密所述经加密的根密钥。

5.如权利要求1所述的方法，其中所述方法还包括：

由所述与产线控制器连接的第三硬件装置生成第二签名密钥对；

由所述第三硬件装置利用所述第二签名密钥对的公钥加密第二会话密钥；

由所述第三硬件装置将经加密的第二会话密钥从所述第三硬件装置中导出；

由所述第三硬件装置利用所述经加密的第二会话密钥加密所述第二加解密密钥对；

由所述第三硬件装置将经加密的第二加解密密钥对导入所述第二和第三硬件装置；以及

由所述第二和第三硬件装置解密所述经加密的第二加解密密钥对以得到所述第二加解密密钥对。

6.如权利要求1所述的方法，其中利用第二加解密密钥对的私钥来解密所述经加密的应用密钥包括：

由所述产线控制器将所述经加密的应用密钥导入所述第三硬件装置的密钥容器并返回第二密钥句柄；以及

由所述第三硬件装置基于所述第二密钥句柄、利用第二加解密密钥对的私钥来解密所述经加密的应用密钥。

7.如权利要求1所述的方法，其中采用国密算法、利用所述根密钥、将产品标识作为分散因子来生成应用密钥包括：

由所述第二硬件装置采用国密算法、利用所述根密钥、将产品标识作为分散因子来生成第三会话密钥；以及对所述第三会话密钥进行摘要运算来生成所述应用密钥。