[发明专利]基于硬件装置的密钥生成和验证方法及系统

说明书

本公开提供了一种基于硬件装置的用于产品端口保护的密钥生成和验证方法及其系统，生成和验证方法包括：由与产线控制器连接的经授权第一硬件装置生成根密钥，由与产线控制器连接的经授权第二硬件装置采用国密算法、利用根密钥、将产品标识作为分散因子来生成应用密钥，由与产线控制器连接的经授权第三硬件装置采用国密算法、利用应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥，由产线控制器将用于端口保护的密钥写入产品的保护域中；以及由第三硬件装置从其基本文件中读取应用密钥，采用国密算法、利用应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥，由产线控制器将所生成的密钥与保护域中的密钥进行比较以验证端口。

技术领域

本公开涉及端口保护方法及其系统，更具体地，涉及一种基于硬件装置的用于产品的端口保护的密钥生成和验证方法及其系统。

背景技术

Debug端口是设备中包含用于简化开发和调试的端口，而这对于设备的正常运行并不是必需的。Debug端口通常不会被删除或禁用，即避免更改设计的成本，也有利于工程师进行问题的追踪定位及调试。但是Debug端口若不加任何保护措施，则该端口将会成为黑客或竞争对手攻击的重要接口。例如：芯片上的JTAG接口、LPC(Low PinCount)Debug端口、Serial Wire Debug、Background Debug Mode Interface和Programand Debug Interface等。

目前关于Debug端口采用的保护方法大概分为两种：一是将Debug端口直接关闭；二是采用软件守护进程保护Debug端口。采用直接关闭Debug端口的方法，虽然可以很安全的保护芯片的内部资源，但是，若是出现问题，则非常不利于工程师对问题的追踪定位和调试解决。第二种方法采用守护进程保护Debug端口的方法，虽然在一定程度上可以保护Debug端口，但是该方法很容易遭受黑客的破解和攻击。

鉴于上述情况，本公开提出了基于硬件装置的用于产品的端口保护的密钥生成和验证方法及其系统，其中，例如，该产品的端口可以是Debug端口。本公开的方法既能有效防止产品的端口被黑客攻击和破解，又能方便工程师定位追踪并调试该端口以解决实际问题。

发明内容

本公开提供了一种基于硬件装置的用于产品的端口保护的密钥生成方法，该方法包括：由与产线控制器连接的经授权的第一硬件装置，生成根密钥，利用第一加解密密钥对的公钥加密所述根密钥，以及将经加密的根密钥写入与产线控制器连接的经授权的第二硬件装置的基本文件中；由与产线控制器连接的经授权的第二硬件装置，从第二硬件装置的基本文件中读取经加密的根密钥，利用第一加解密密钥对的私钥来解密经加密的根密钥，采用国密算法、利用根密钥、将产品标识作为分散因子来生成应用密钥，利用第二加解密密钥对的公钥加密应用密钥，以及将经加密的应用密钥写入与产线控制器连接的经授权的第三硬件装置的基本文件中；由与产线控制器连接的经授权的第三硬件装置，从第三硬件装置的基本文件中读取经加密的应用密钥，利用第二加解密密钥对的私钥来解密经加密的应用密钥，以及采用国密算法、利用应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥。

根据本公开的一方面，提供了一种基于硬件装置的用于产品的端口保护的密钥验证方法，该方法包括：由与产线控制器连接的第三硬件装置，从第三硬件装置的基本文件中读取经加密的应用密钥，解密经加密的应用密钥以得到应用密钥，采用国密算法、利用应用密钥、将产品标识作为分散因子来生成密钥源数据，以及对密钥源数据进行反转变换生成用于端口保护的密钥；以及由产线控制器，将所生成的用于端口保护的密钥与产品的保护域中的用于端口保护的密钥进行比较以用于验证端口。