本發明公開一種多核固件安全存儲方法及系統，存儲方法將多核固件以混合加密的方式存儲，混合加密存儲包括混合和加密兩個過程，混合是將多個CPU的固件按照隨機生成的固件混合參數混合，加密是將多核固件以加擾因子作為密鑰進行加密，加擾因子由出廠前固化的隨機長度的序列號生成，固件存儲時，其在Flash中的存儲地址隨機生成，并且在固件末尾寫入每個固件的實際長度并增加每個固件的CRC校驗和。本發明能夠提升固件層面的安全強度，有較強抗監聽、抗破解、抗反向功能，具有相同產品的差異化、每次導入固件密文不同、固件起始地址隨機選擇的優點。

技術領域

本發明涉及信息安全領域，具體是一種多核固件安全存儲方法及系統。

背景技術

隨著數據安全法和個人信息保護法的落地，國家對信息安全愈加重視。信息安全的基礎和核心是芯片，時下熱門的領域諸如：大數據、人工智能、機器學習、圖像識別等領域都需要芯片進行支撐，而為了保護知識產權及企業核心競爭力，芯片及固件層面的安全越來越受到重視。多數嵌入式設備固件程序往往以外部非易失存儲設備，或者是合封裸片（裸Die）的形式進行存儲，國家商業密碼局針對符合商密標準的產品要求固件以密文的形式存儲，但可能會存在以下問題：加密方法固定容易泄露、相同的固件加密后結果相同容易被反向破解、相同型號的產品間固件沒有差異化。

發明內容

針對現有技術的缺陷，本發明提供一種多核固件安全存儲方法及系統，提升固件層面的安全強度，有較強抗監聽、抗破解、抗反向功能，具有相同產品的差異化、每次導入固件密文不同、固件起始地址隨機選擇的優點。

為了解決所述技術問題，本發明采用的技術方案是：一種多核固件安全存儲方法，本方法將多核固件以混合加密的方式存儲，混合加密存儲包括混合和加密兩個過程，混合是將多個CPU的固件按照隨機生成的固件混合參數混合，加密是將多核固件以加擾因子作為密鑰進行加密，加擾因子由出廠前固化的隨機長度的序列號生成，固件存儲時，其在Flash中的存儲地址隨機生成，并且在固件末尾寫入每個固件的實際長度并增加每個固件的CRC校驗和。

進一步的，每顆芯片在出廠前固化的隨機長度的序列號不相同。

進一步的，采用定長輸出算法將隨機長度的序列號生成固定長度的加擾因子。

進一步的，固件混合時，若多個CPU的固件長度不一致，通過補寫隨機數與剩余代碼進行混合。

進一步的，本方法還包括固件解析過程，固件解析是將Flash中存儲的混合加密后的固件解密、拆分，然后分發至不同CPU對應的程序執行區執行。

進一步的，固件解析過程由BootRom程序控制，其過程為：BootRom根據配置寄存器獲取每個固件的實際長度和每個固件的CRC校驗和，BootRom根據固件的實際長度控制脫密模塊讀取固件的內容，脫密模塊根據固件混合參數自動跳轉到相應的密文位置進行解密，解密后通過脫密模塊分發到不同CPU對應的程序執行區執行。

進一步的，固件分發到不同CPU對應的程序執行區后進行固件合法性判斷，如果固件合法，BootRom將脫密模塊關閉，BootRom釋放控制權，CPU接管控制權運行固件；固件非法情況下，繼續執行BootRom代碼，等待固件下載。

進一步的，本方法應用于雙核固件安全存儲，其固件混合參數為取值范圍在0.1 ~0.9之間，保留一位小數。