[发明专利]芯片、生成私钥的方法和可信证明的方法

权利要求书

1.一种安全芯片，其特征在于，所述芯片包括安全核模块和业务核，所述安全核模块包括：安全核和存储器，其中，所述安全核模块对于所述芯片的除所述安全核模块外的外部模块访问隔离，且所述安全核模块对于所述芯片以外的外部设备访问隔离；

所述存储器，用于保存所述芯片的唯一设备秘密UDS；

所述安全核，用于根据层1固件的哈希和所述UDS，生成层1公钥和层1私钥；

所述安全核，还用于使用所述层1私钥对层2证书进行签名；

所述存储器，用于保存所述层1私钥；

所述业务核用于运行业务核固件。

2.如权利要求1所述的芯片，其特征在于，所述安全核，具体用于根据所述层1固件的哈希和所述UDS，确定设备组合身份CDI；根据所述CDI，生成所述层1公钥和所述层1私钥。

3.如权利要求1或2所述的芯片，其特征在于，所述安全核模块的地址在所述外部模块和所述外部设备能够访问的地址范围之外。

4.如权利要求2所述的芯片，其特征在于，所述安全核还用于根据所述CDI和层2固件哈希，生成层2公钥和层2私钥；

所述存储器还用于保存所述层2私钥；

所述层2证书中包括所述层2公钥。

5.如权利要求4所述的芯片，其特征在于，所述安全核，还用于在使用所述层1私钥对层2证书进行签名后，将所述层1私钥删除。

6.如权利要求4或5中所述的芯片，其特征在于，所述安全核还用于在接收到挑战设备发送的针对目标数据的验证请求信息时，运行安全固件，以根据所述层2私钥对所述目标数据进行签名，并将签名后的目标数据发送给所述挑战设备，以便于所述挑战设备根据所述层2公钥对所述签名后的目标数据进行验证；

其中，所述安全固件为层1固件和/或层2固件。

7.如权利要求1、2、4、5中任一项所述的芯片，其特征在于，所述安全核还用于在接收到挑战设备发送的针对目标数据的验证请求信息时，运行安全固件，以根据所述层1私钥对所述目标数据进行签名，并将签名后的目标数据发送给所述挑战设备，以便于所述挑战设备根据所述层1公钥对所述签名后的目标数据进行验证；

其中，所述安全固件为层1固件和/或层2固件。

8.如权利要求1所述的芯片，其特征在于，所述芯片还包括第一输入输出接口和第二输入输出接口，所述第一输入输出接口耦合至所述安全核模块，所述第二输入输出接口耦合至所述业务核。

9.一种生成私钥的方法，其特征在于，由芯片中的安全核执行，所述安全核位于所述芯片的安全核模块中，所述安全核模块还包括用于存储所述芯片的唯一设备秘密UDS的存储器，所述安全核模块对于所述芯片的除所述安全核模块外的外部模块访问隔离，且所述安全核模块对于所述芯片以外的外部设备访问隔离，所述方法包括：

所述安全核从存储器中获取所述UDS；

所述安全核根据层1固件的哈希和所述UDS，生成层1公钥和层1私钥；

所述安全核使用所述层1私钥对层2证书进行签名；

所述安全核将所述层1私钥写入到所述存储器中。

10.如权利要求9所述的方法，其特征在于，所述安全核根据层1固件的哈希和所述UDS，生成层1公钥和层1私钥，包括：

所述安全核根据所述UDS和所述层1固件的哈希，确定设备组合身份CDI；根据所述CDI，生成所述层1公钥和所述层1私钥。

11.如权利要求10所述的方法，其特征在于，所述方法还包括：

所述安全核根据所述CDI和层2固件哈希，生成层2公钥和层2私钥；

所述安全核将所述层2私钥写入到所述存储器中；

所述层2证书中包括所述层2公钥。