本公開提供了一種基于硬件裝置的用于產品端口保護的密鑰生成和驗證方法及其系統，生成和驗證方法包括：由與產線控制器連接的經授權第一硬件裝置生成根密鑰，由與產線控制器連接的經授權第二硬件裝置采用國密算法、利用根密鑰、將產品標識作為分散因子來生成應用密鑰，由與產線控制器連接的經授權第三硬件裝置采用國密算法、利用應用密鑰、將產品標識作為分散因子來生成用于端口保護的密鑰，由產線控制器將用于端口保護的密鑰寫入產品的保護域中；以及由第三硬件裝置從其基本文件中讀取應用密鑰，采用國密算法、利用應用密鑰、將產品標識作為分散因子來生成用于端口保護的密鑰，由產線控制器將所生成的密鑰與保護域中的密鑰進行比較以驗證端口。

技術領域

本公開涉及端口保護方法及其系統，更具體地，涉及一種基于硬件裝置的用于產品的端口保護的密鑰生成和驗證方法及其系統。

背景技術

Debug端口是設備中包含用于簡化開發和調試的端口，而這對于設備的正常運行并不是必需的。Debug端口通常不會被刪除或禁用，即避免更改設計的成本，也有利于工程師進行問題的追蹤定位及調試。但是Debug端口若不加任何保護措施，則該端口將會成為黑客或競爭對手攻擊的重要接口。例如：芯片上的JTAG接口、LPC(Low PinCount)Debug端口、Serial Wire Debug、Background Debug Mode Interface和Programand Debug Interface等。

目前關于Debug端口采用的保護方法大概分為兩種：一是將Debug端口直接關閉；二是采用軟件守護進程保護Debug端口。采用直接關閉Debug端口的方法，雖然可以很安全的保護芯片的內部資源，但是，若是出現問題，則非常不利于工程師對問題的追蹤定位和調試解決。第二種方法采用守護進程保護Debug端口的方法，雖然在一定程度上可以保護Debug端口，但是該方法很容易遭受黑客的破解和攻擊。

鑒于上述情況，本公開提出了基于硬件裝置的用于產品的端口保護的密鑰生成和驗證方法及其系統，其中，例如，該產品的端口可以是Debug端口。本公開的方法既能有效防止產品的端口被黑客攻擊和破解，又能方便工程師定位追蹤并調試該端口以解決實際問題。

發明內容

本公開提供了一種基于硬件裝置的用于產品的端口保護的密鑰生成方法，該方法包括：由與產線控制器連接的經授權的第一硬件裝置，生成根密鑰，利用第一加解密密鑰對的公鑰加密所述根密鑰，以及將經加密的根密鑰寫入與產線控制器連接的經授權的第二硬件裝置的基本文件中；由與產線控制器連接的經授權的第二硬件裝置，從第二硬件裝置的基本文件中讀取經加密的根密鑰，利用第一加解密密鑰對的私鑰來解密經加密的根密鑰，采用國密算法、利用根密鑰、將產品標識作為分散因子來生成應用密鑰，利用第二加解密密鑰對的公鑰加密應用密鑰，以及將經加密的應用密鑰寫入與產線控制器連接的經授權的第三硬件裝置的基本文件中；由與產線控制器連接的經授權的第三硬件裝置，從第三硬件裝置的基本文件中讀取經加密的應用密鑰，利用第二加解密密鑰對的私鑰來解密經加密的應用密鑰，以及采用國密算法、利用應用密鑰、將產品標識作為分散因子來生成用于端口保護的密鑰。

根據本公開的一方面，提供了一種基于硬件裝置的用于產品的端口保護的密鑰驗證方法，該方法包括：由與產線控制器連接的第三硬件裝置，從第三硬件裝置的基本文件中讀取經加密的應用密鑰，解密經加密的應用密鑰以得到應用密鑰，采用國密算法、利用應用密鑰、將產品標識作為分散因子來生成密鑰源數據，以及對密鑰源數據進行反轉變換生成用于端口保護的密鑰；以及由產線控制器，將所生成的用于端口保護的密鑰與產品的保護域中的用于端口保護的密鑰進行比較以用于驗證端口。