[发明专利]一种数据安全通道建立方法、系统控制处理器和启动固件

说明书

本申请属于通信安全技术领域，公开了一种数据安全通道建立方法、系统控制处理器和启动固件，该方法包括：根据预存储的启动固件密钥生成启动固件密钥哈希，并向启动固件发送请求报文；接收启动固件发送的响应报文，判断真实启动固件密钥哈希和启动固件密钥哈希是否一致；若一致，则根据系统控制处理器密钥哈希和预存储的启动固件密钥生成共享密钥；将共享密钥发送至启动固件；接收启动固件的采用共享密钥加密的加密响应报文；根据系统控制处理器中的共享密钥对加密响应报文进行解密，在解密成功后根据共享密钥对后续发送给启动固件的报文进行加密。本申请可以达到提高系统控制处理器和启动固件之间数据传输的安全性和保密性的效果。

技术领域

本申请涉及通信安全技术领域，尤其涉及一种数据安全通道建立方法、系统控制处理器和启动固件。

背景技术

在目前的Power处理器架构中，启动固件HostBoot是用于初始化处理器以及BUS总线以及初始化内存的模块，系统控制处理器SCP是用于加载HostBoot以及配置CPU状态的模块，但系统控制处理器和启动固件之间是以明文方式进行数据通信的，也就是说攻击者可以通过物理手段获取到系统控制处理器和启动固件之间的数据，或者注入非法攻击导致系统控制处理器或启动固件识别错误信息，造成严重的安全漏洞。

因此，现有技术中存在系统控制处理器和启动固件之间以明文方式进行数据通信、易遭受非法攻击导致数据传输安全性低、保密性差的问题。

发明内容

本申请提供了一种数据安全通道建立方法、系统控制处理器和启动固件，能够提高系统控制处理器和启动固件之间数据传输的安全性和保密性，避免了发生信息泄露的情况。

第一方面，本申请实施例提供了一种数据安全通道建立方法，该方法包括：

根据系统控制处理器中预存储的启动固件密钥生成启动固件密钥哈希，并向启动固件发送用于请求建立安全通道的请求报文；

接收启动固件发送的响应报文，响应报文包括启动固件的真实启动固件密钥哈希，判断真实启动固件密钥哈希和启动固件密钥哈希是否一致；

若一致，则根据系统控制处理器中的系统控制处理器密钥哈希和预存储的启动固件密钥生成共享密钥；若不一致，则安全通道建立失败；

在生成共享密钥后，将共享密钥发送至启动固件；

接收启动固件的采用共享密钥加密的加密响应报文；

根据系统控制处理器中的共享密钥对加密响应报文进行解密，在解密成功后根据共享密钥对后续发送给启动固件的报文进行加密。

进一步的，上述根据系统控制处理器中预存储的启动固件密钥生成启动固件密钥哈希，包括：通过调用系统控制处理器上的可信平台模组硬件算法接口来调用哈希算法，通过哈希算法将系统控制处理器中预存储的启动固件密钥生成启动固件密钥哈希。

进一步的，上述哈希算法为sha256哈希算法。

进一步的，上述根据系统控制处理器中的系统控制处理器密钥哈希和预存储的启动固件密钥生成共享密钥，包括：根据系统控制处理器中的系统控制处理器密钥哈希和预存储的启动固件密钥通过对称加密算法生成共享密钥。

进一步的，上述在生成共享密钥后，将共享密钥发送至启动固件，包括：

在生成共享密钥后，根据系统控制处理器中预存储的启动固件密钥对共享密钥进行加密，得到密文，将密文发送至启动固件。

进一步的，上述对称加密算法为AES256对称加密算法或者商密1号算法。

第二方面，本申请实施例提供了一种系统控制处理器，该系统控制处理器包括：