一种安全信息配制方法、安全验证方法以及相关芯片技术

本发明专利技术实施例提供了一种安全信息配置方法，用于节约成本，简化安全信息配置的流程，提高安全信息配置的安全性与可靠性。本发明专利技术实施例提供的安全信息配置方法包括：SoC生成非对称性密钥对；将私钥写入SoC的eFuse中；对公钥进行加密；将加密后的公钥写入flash中保存；根据目标软件信息生成第一摘要信息；对第一摘要信息进行签名，得到签名信息；将签名信息写入flash。本发明专利技术实施例还提供了相关的安全验证方法以及相关芯片。

【技术实现步骤摘要】
【国外来华专利技术】一种安全信息配制方法、安全验证方法以及相关芯片
本专利技术涉及信息安全领域，尤其涉及一种安全信息配制方法、安全验证方法以及相关芯片。
技术介绍
随着信息技术的发展，信息安全的重要性引来了越来越多的关注。在传统信息系统中，密钥与授权消息等信息都被存储于磁盘中，而磁盘很容易被破坏，导致这种方法安全性不高。因此现有的信息系统中在闪存(flash)、处理器之外添加了安全芯片，用于保护系统的安全性，请参阅图1。安全芯片具有可靠性认证、用户身份认证、数字签名等功能，可以用于防止未经授权的软件修改。安全芯片是信息系统可信的最低层次，入侵者只有攻破安全芯片才能有可能攻破信息系统的防护，因此，安全芯片提供了整个信息系统的可信的基础。但是现有的信息系统的安全性管理任务全部由安全芯片实现，因此必须外购了安全芯片后，才能实现信息系统的安全信息配置，而外购安全芯片会增加信息系统的成本。且由于在进行安全信息配置时需要对flash、安全芯片、处理器三个硬件均进行配置，会使得安全信息配置的流程较为复杂。同时由于外置的安全芯片与处理器通过以太网互联，安全芯片与处理器的连接上可能存在安全漏洞，信息系统仍有被入侵者攻破防线的可能。
技术实现思路
本专利技术实施例提供了一种安全信息配置方法，可以提高信息系统的安全性，降低信息系统被入侵者攻破防线的可能。本专利技术实施例第一方面提供了一种安全信息配置方法，包括：系统级芯片SoC生成非对称性密钥对，所述非对称性密钥对包括公钥与私钥；所述SoC将所述私钥写入所述SoC的电可编程熔丝eFuse中；所述SoC对所述公钥进行加密；所述SoC将加密后的所述公钥写入闪存flash中保存；所述SoC获取所述flash中的目标软件信息，并根据所述目标软件信息生成第一摘要信息，所述目标软件信息用于启动目标软件；所述SoC使用所述公钥或所述私钥对所述第一摘要信息进行签名，得到签名信息；所述SoC将所述签名信息写入所述flash。结合本专利技术实施例的第一方面，本专利技术实施例的第一方面的第一种实现方式中，所述SoC使用所述公钥或所述私钥对所述第一摘要信息进行签名包括：所述SoC获取flash中的加密后的所述公钥；所述SoC对所述加密后的所述公钥进行解密，得到所述公钥；所述SoC使用所述公钥对所述第一摘要信息进行签名；或，所述SoC使用所述私钥对所述第一摘要信息进行签名。结合本专利技术实施例的第一方面，本专利技术实施例的第一方面的第二种实现方式中，所述eFuse中包括安全标识，所述安全标识具有安全、非安全两种状态，所述安全标识用于控制所述目标软件的启动方式，若所述安全标识为非安全状态，则所述目标软件的启动方式为：直接启动；若所述安全标识为安全状态，则所述目标软件的启动方式为：经过SoC的安全验证后启动；所述方法在所述SoC将所述签名信息写入所述flash之后还包括：所述SoC将所述eFuse的所述安全标识由非安全状态切换到安全状态。结合本专利技术实施例的第一方面、第一方面的第一种实现方式和第二种实现方式，本专利技术实施例的第二方面的第三种实现方式中，所述SoC对所述公钥进行加密包括：所述SoC根据所述私钥确定对称性密钥，并通过所述对称性密钥加密所述公钥。结合本专利技术实施例的第一方面的第三种实现方式，本专利技术实施例的第一方面的第四种实现方式中，所述SoC根据所述私钥确定对称性密钥包括：所述SoC截取所述私钥的预置位域，作为所述对称性密钥。本专利技术实施例的第二方面提供了一种安全验证方法，适用于系统级芯片SoC，其中，所述SoC包括写入有非对称性密钥对的私钥的电可编程熔丝eFuse，所述安全验证方法包括：所述SoC从所述flash中获取目标软件信息的签名信息；所述SoC使用所述非对称性密钥对的公钥或所述私钥，对所述签名信息进行解密，得到第一摘要信息；所述SoC获取所述flash中的所述目标软件信息，并根据所述目标软件信息生成第二摘要信息；若所述第一摘要信息与所述第二摘要信息相同，则所述SoC确认所述目标软件通过安全验证。结合本专利技术实施例的第二方面，本专利技术实施例的第二方面的第一种实现方式中，所述SoC对所述签名信息进行解密包括：所述SoC使用所述私钥对所述签名信息进行解密；或，所述SoC获取flash中的加密后的所述非对称性密钥对的公钥；所述SoC对所述加密后的公钥进行解密，得到所述公钥；所述SoC使用所述公钥对所述签名信息进行解密。结合本专利技术实施例的第二方面的第一种实现方式，本专利技术实施例的第二方面的第二种实现方式中，所述SoC对所述加密后的公钥进行解密，得到所述公钥包括：所述SoC根据所述私钥确定对称性密钥，并通过所述对称性密钥对所述加密后的公钥进行解密。结合本专利技术实施例的第二方面的第二种实现方式，本专利技术实施例的第二方面的第三种实现方式中，所述SoC根据所述私钥确定对称性密钥包括：所述SoC截取所述私钥的预置字段，作为所述对称性密钥。本专利技术实施例的第三方面提供了一种系统级芯片SoC，包括：密钥生成模块，用于生成非对称性密钥对，所述非对称性密钥对包括公钥与私钥；私钥保存模块，用于将所述私钥写入所述SoC的电可编程熔丝eFuse中；公钥加密模块，用于对所述公钥进行加密；公钥保存模块，用于将加密后的所述公钥写入闪存flash中保存；第一摘要生成模块，用于获取所述flash中的目标软件信息，并根据所述目标软件信息生成第一摘要信息，所述目标软件信息用于启动目标软件；第一摘要签名模块，用于使用所述公钥或所述私钥对所述第一摘要信息进行签名，得到签名信息；签名保存模块，用于将所述签名信息写入所述flash。结合本专利技术实施例的第三方面，本专利技术实施例的第三方面的第一种实现方式中，所述第一摘要签名模块具体用于：获取flash中的加密后的所述公钥；对所述加密后的所述公钥进行解密，得到所述公钥；使用所述公钥对所述第一摘要信息进行签名；或，使用所述私钥对所述第一摘要信息进行签名。结合本专利技术实施例的第三方面的第一种实现方式，本专利技术实施例的第三方面的第二种实现方式中，所述eFuse中包括安全标识，所述安全标识具有安全、非安全两种状态，所述安全标识用于控制所述目标软件的启动方式，若所述安全标识为非安全状态，则所述目标软件的启动方式为：直接启动；若所述安全标识为安全状态，则所述目标软件的启动方式为：经过SoC的安全验证后启动；所述SoC还包括：状态切换模块，用于将所述eFuse的所述安全标识由非安全状态切换到安全状态。结合本专利技术实施例的第三方面、第三方面的第一种实现方式与第二种实现方式，本专利技术实施例的第三方面的第三种实现方式中，所述公钥加密模块具体用于：根据所述私钥确定对称性密钥，并通过所述对称性密钥加密所述公钥。结合本专利技术实施例的第三方面的第三种实现方式，本专利技术实施例的第三方面的第四种实现方式中，所述根据所述私钥确定对称性密钥包括：截取所述私钥的预置位域，作为所述对称性密钥。本专利技术实施例的第四方面提供了一种SoC，其中，所述SoC包括写入有非对称性密钥对的私钥的电可编程熔丝eFuse，所述SoC包括：签名获取模块，用于从所述flash中获取目标软件信息的签名信息；签名解密模块，用于使用所述非对称性密钥对的公钥或所述私钥，对所述签名信息进行解密，得到第一摘要信息；第二摘要生成模块，用于获取本文档来自技高网...

【技术保护点】
PCT国内申请，权利要求书已公开。

【技术特征摘要】
【国外来华专利技术】1.一种安全信息配置方法，其特征在于，包括：系统级芯片SoC生成非对称性密钥对，所述非对称性密钥对包括公钥与私钥；所述SoC将所述私钥写入所述SoC的电可编程熔丝eFuse中；所述SoC对所述公钥进行加密；所述SoC将加密后的所述公钥写入闪存flash中保存；所述SoC获取所述flash中的目标软件信息，并根据所述目标软件信息生成第一摘要信息，所述目标软件信息用于启动目标软件；所述SoC使用所述公钥或所述私钥对所述第一摘要信息进行签名，得到签名信息；所述SoC将所述签名信息写入所述flash。2.根据权利要求1所述的安全信息配置方法，其特征在于，所述SoC使用所述公钥或所述私钥对所述第一摘要信息进行签名包括：所述SoC获取flash中的加密后的所述公钥；所述SoC对所述加密后的所述公钥进行解密，得到所述公钥；所述SoC使用所述公钥对所述第一摘要信息进行签名；或，所述SoC使用所述私钥对所述第一摘要信息进行签名。3.根据权利要求1所述的安全信息配置方法，其特征在于，所述eFuse中包括安全标识，所述安全标识具有安全、非安全两种状态，所述安全标识用于控制所述目标软件的启动方式，若所述安全标识为非安全状态，则所述目标软件的启动方式为：直接启动；若所述安全标识为安全状态，则所述目标软件的启动方式为：经过SoC的安全验证后启动；所述方法在所述SoC将所述签名信息写入所述flash之后还包括：所述SoC将所述eFuse的所述安全标识由非安全状态切换到安全状态。4.根据权利要求1至3中任一项所述的安全信息配置方法，其特征在于，所述SoC对所述公钥进行加密包括：所述SoC根据所述私钥确定对称性密钥，并通过所述对称性密钥加密所述公钥。5.根据权利要求4所述的安全信息配置方法，其特征在于，所述SoC根据所述私钥确定对称性密钥包括：所述SoC截取所述私钥的预置位域，作为所述对称性密钥。6.一种安全验证方法，适用于系统级芯片SoC，其特征在于，所述SoC包括写入有非对称性密钥对的私钥的电可编程熔丝eFuse，所述安全验证方法包括：所述SoC从flash中获取目标软件信息的签名信息；所述SoC使用所述非对称性密钥对的公钥或所述私钥，对所述签名信息进行解密，得到第一摘要信息；所述SoC获取所述flash中的所述目标软件信息，并根据所述目标软件信息生成第二摘要信息；若所述第一摘要信息与所述第二摘要信息相同，则所述SoC确认所述目标软件通过安全验证。7.根据权利要求6所述的安全验证方法，其特征在于，所述SoC对所述签名信息进行解密包括：所述SoC使用所述私钥对所述签名信息进行解密；或，所述SoC获取flash中的加密后的所述非对称性密钥对的公钥；所述SoC对所述加密后的公钥进行解密，得到所述公钥；所述SoC使用所述公钥对所述签名信息进行解密。8.根据权利要求7所述的安全验证方法，其特征在于，所述SoC对所述加密后的公钥进行解密，得到所述公钥包括：所述SoC根据所述私钥确定对称性密钥，并通过所述对称性密钥对所述加密后的公钥进行解密。9.根据权利要求8所述的安全验证方法，其特征在于，所述SoC根据所述私钥确定对称性密钥包括：所述SoC截取所述私钥的预置字段，作为所述对称性密钥。10.一种系统级芯片SoC，其特征在于，包括：密钥生成模块，用于生成非对称性密钥对，所述非对称性密钥对包括公钥与私钥；私钥保存模块，用于将所述私钥写入所述SoC的电可编程熔丝eFuse中；公钥加密模块，用于对所述公钥进行加密；公钥保存模块，用于将加密后的所述公钥写入闪存flash中保存；第一摘要生成模块，用于获取所述flash中的目标软件信息，并根据所述目标软件信息生成第一摘要信息，所述目标软件信息用于启动目标软件；第一摘要签名模块，用于使用所述公钥或所述私钥对所述第一摘要信息进行签名，得到签名信息；签名保存模块，用于将所述签名信息写入所述flash。11.根据权利要求10所述的SoC，其特征在于，所述第一摘要签名模块具体用于：获取flash中的加密后的所述公钥；对所述加密后的所述公钥进行解密，得到所述公钥；使用所述公钥对所述第一摘要信息进行签名；或，使用所述私钥对所述第一摘要信息进行签名。12.根据权利要求10所述的SoC，其特征在于，所述eFuse中包括安全标识，所述安全标识具有安全、非安全两种状态，所述安全标识用于控制所述目标软件的启动方式，若所述安全标识为非安全状态，则所述目标软件的启动方式为：直接启动；若所述安全标识为安全状态，则所述目...

【专利技术属性】
技术研发人员：何贵洲，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44