CN114154443A - 芯片授权和验证方法、装置和电子设备 - Google Patents
芯片授权和验证方法、装置和电子设备 Download PDFInfo
- Publication number
- CN114154443A CN114154443A CN202111463404.0A CN202111463404A CN114154443A CN 114154443 A CN114154443 A CN 114154443A CN 202111463404 A CN202111463404 A CN 202111463404A CN 114154443 A CN114154443 A CN 114154443A
- Authority
- CN
- China
- Prior art keywords
- information
- authorization
- chip
- identity authentication
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F30/00—Computer-aided design [CAD]
- G06F30/30—Circuit design
- G06F30/32—Circuit design at the digital level
- G06F30/33—Design verification, e.g. functional simulation or model checking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Evolutionary Computation (AREA)
- Geometry (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例涉及芯片涉及领域,尤其涉及一种芯片授权和验证方法、装置和电子设备。先通过认证服务器对授权请求信息和授权列表信息进行加密形成授权密文信息并部署至芯片,再对芯片的授权密文信息进行解密得到授权明文信息并验证授权明文信息是否被篡改。在安全通路下进行授权部署,可以查询用户是否按芯片厂家授权的意图去使用芯片,并且终端设备生产端进行授权部署,可以减少芯片生产端的额外流程。
Description
技术领域
本发明芯片设计领域,尤其涉及一种芯片授权和验证方法、装置和电子设备。
背景技术
为了满足不同行业客户群体差异化需求,芯片厂商会在同一颗芯片上做差异化设计,并由于这些设计投入资源不同,需要有不同的授权来约束使用范围,并赋予不同售价。
现阶段对芯片授权的实现方案大多是找一个该芯片使用场景下的关键路径,在其必用组件中加密,并把授权数据藏在另一个组件中,在必用组件启动时进行授权数据比较。这种方案的缺陷是,工作量大,认证工作都在非安全区域,容易被破解。
发明内容
本发明实施例提供了一种芯片授权和验证方法、装置和电子设备,通过认证服务器对授权请求信息和授权列表信息进行加密形成授权密文信息并部署至芯片,再对芯片的授权密文信息进行解密得到授权明文信息并验证授权明文信息是否被篡改。在安全通路下进行授权部署,可以查询用户是否按芯片厂家授权的意图去使用芯片,并且生产端进行授权部署,可以减少芯片生产端的额外流程。
第一方面,本发明实施例提供了一种芯片授权方法,包括:
接收芯片授权工具发送的第一授权请求信息,所述第一授权请求信息包括第一芯片的芯片标识信息、项目信息和客户身份认证信息;
根据所述芯片标识信息、所述项目信息和所述客户身份认证信息,生成所述第一芯片的授权密文信息;
将所述授权密文信息发送给所述芯片授权工具,以使所述芯片授权工具将所授权密文信息部署至第一终端设备的安全分区。
一种可能的实现方式中,根据所述芯片标识信息、所述项目信息和所述客户身份认证信息,生成所述第一芯片的授权密文信息,包括:
根据所述芯片标识信息、所述项目信息和所述客户身份认证信息中的一项或多项的组合,确定所述第一芯片的授权列表信息,所述授权列表信息包含所述第一芯片获得的功能;
对所述授权列表信息进行至少一次加密,得到所述授权密文信息。
一种可能的实现方式中,根据所述芯片标识信息、所述项目信息和所述客户身份认证信息中的一项或多项的组合,确定所述第一芯片的授权列表信息,包括:
根据所述客户身份认证信息,确定芯片授权余额;
如果所述芯片授权余额不为零,则根据所述芯片标识信息确定第一芯片的授权列表信息,并且将所述芯片授权余额减一。
一种可能的实现方式中,根据所述芯片标识信息、所述项目信息和所述客户身份认证信息中的一项或多项的组合,确定所述第一芯片的授权列表信息,包括:
根据所述客户身份认证信息,确定芯片授权余额;
如果所述芯片授权余额不为零,则根据所述芯片标识信息和所述项目信息确定第一芯片的授权列表信息,并且将所述芯片授权余额减一。
一种可能的实现方式中,对所述授权列表信息进行至少一次加密,得到所述授权密文信息,包括:
基于所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息生成第一校验信息;
根据所述项目信息获取加密秘钥;
通过所述加密秘钥对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行加密形成所述授权密文信息。
第二方面,本发明实施例提供了一种芯片验证方法,包括:
第一芯片重启后,从安全分区读取第一芯片的授权密文信息;
通过解密密钥对所述授权密文信息进行解密,得到授权明文信息;
从所述授权明文信息中确定芯片标识信息、项目信息、客户身份认证信息、授权列表信息和第一校验信息;
根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证;若验证通过,则启动所述第一芯片,否则第一芯片启动失败,进入刷机流程。
一种可能的实现方式中,根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证,包括:
根据所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息生成第二校验信息;
若所述第二校验信息和所述第一校验信息比对一致,则确认所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息未被篡改。
一种可能的实现方式中,除了根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证之外,所述方法还包括:
根据所述芯片标识信息、所述项目信息、所述客户身份认证信息、所述授权列表信息和所述第一校验信息的排布格式,或者,根据所述授权明文信息中的认证标识,验证所述授权明文信息是否经过认证服务器授权;
通过安全启动secure boot流程,验证所述授权明文信息是否经过生产厂商授权。
本发明实施例中,先通过认证服务器对授权请求信息和授权列表信息进行加密形成授权密文信息并部署至芯片,再对芯片的授权密文信息进行解密得到授权明文信息并验证授权明文信息是否被篡改。在安全通路下进行授权部署,可以查询用户是否按芯片厂家授权的意图去使用芯片,并且生产端进行授权部署,可以减少芯片生产端的额外流程。
第三方面,本发明实施例提供了一种芯片授权装置,包括:
接收模块,用于接收芯片授权工具发送的第一授权请求信息,所述第一授权请求信息包括第一芯片的芯片标识信息、项目信息和客户身份认证信息;
生成模块,用于根据所述芯片标识信息、所述项目信息和所述客户身份认证信息,生成所述第一芯片的授权密文信息;
发送模块,用于将所述授权密文信息发送给所述芯片授权工具,以使所述芯片授权工具将所授权密文信息部署至所述第一芯片。
第四方面,本发明实施例提供了一种芯片验证装置,包括:
读取模块,用于第一芯片重启后,从所述第一芯片的安全区读取第一芯片的授权密文信息;
解密模块,用于通过解密密钥对所述授权密文信息进行解密,得到授权明文信息;
确认模块,用于从所述授权明文信息中确定芯片标识信息、项目信息、客户身份认证信息、授权列表信息和第一校验信息;
验证模块,用于根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证;
驱动模块,用于若验证通过,则启动所述第一芯片,否则第一芯片启动失败,进入刷机流程。
第五方面,本发明实施例提供了一种电子设备,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行第一方面或第二方面的方法。
第六方面,本发明实施例提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行第一方面或第二方面的方法。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种芯片授权设备的结构示意图;
图2为本发明实施例提供的一种芯片授权方法的流程图;
图3为本发明实施例提供的一种芯片验证方法的流程图;
图4为本发明实施例提供的一种芯片授权装置的结构示意图;
图5为本发明实施例提供的一种芯片验证装置的结构示意图;
图6为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为了更好的理解本说明书的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本说明书保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
图1为本发明实施例提供的一种芯片授权设备的结构示意图。如图1所示,可以包括:认证服务器110、芯片授权工具120、终端设备130、第一芯片140和安全分区150。
在终端设备130的生产过程中,认证服务器110需要对第一芯片140进行授权操作。芯片授权工具120将第一芯片140的第一授权请求信息发送至认证服务器110,认证服务器110在接收第一授权请求信息后对其加密形成授权密文信息,之后,认证服务器110将授权密文信息发送至芯片授权工具120,芯片授权工具120将授权密文信息存储至安全分区150。
上述芯片授权设备在对第一芯片进行授权时,芯片授权工具可以和认证服务器之间建立安全通路,加密形成的授权密文信息最终保存于安全分区,能够确保芯片厂家查询第一芯片的使用信息;并且芯片授权部署工作在终端设备生产时执行,减少了芯片生产端的额外流程。
图2为本发明实施例提供的一种芯片授权方法的流程图。如图2所示,该方法应用于认证服务器,可以包括:
步骤201,接收芯片授权工具发送的第一授权请求信息,第一授权请求信息包括第一芯片的芯片标识信息、项目信息和客户身份认证信息。
具体的,芯片标识信息为芯片出厂后写入一次性可编程存储器EFUSE区域的串号,EFUSE区域一旦写入无法更改。每个芯片具有与其他芯片不同且唯一的芯片标识信息,用于分辨芯片的身份。
一种实现方式中,对芯片进行授权部署时,芯片授权工具通过特有的加密通道向认证服务器提出申请并发送第一授权请求信息。芯片授权工具需要基于客户身份认证信息和认证服务器建立通信。
步骤202,根据芯片标识信息、项目信息和客户身份认证信息,生成第一芯片的授权密文信息。
一种实现方式中,认证服务器可以根据客户身份认证信息,确定芯片授权余额,如果芯片授权余额不为零,则可以根据芯片标识信息确定第一芯片的授权列表信息。确定第一芯片的授权列表信息之后,认证服务器会将第一芯片的授权余额减一。其中,授权列表信息包含第一芯片获得的功能。
一种实现方式中,认证服务器可以根据客户身份认证信息确定芯片授权余额不为零之后,还可以根据芯片标识信息和项目信息,确定第一芯片的授权列表信息。
一种实现方式中,认证服务器会基于芯片标识信息、项目信息、客户身份认证信息和授权列表信息生成第一校验信息,再根据第一芯片的项目信息获取加密秘钥,通过加密秘钥对第一芯片的芯片标识信息、项目信息、客户身份认证信息和授权列表信息进行加密形成第一芯片的授权密文信息。
具体的,认证服务器保存有加密秘钥,用于对上述信息进行加密形成授权密文信息,认证服务器端的加密秘钥为公钥。
步骤203,将授权密文信息发送给芯片授权工具,以使芯片授权工具将授权密文信息部署至第一终端设备的安全分区。
一种实现方式中,认证服务器将第一芯片的授权密文信息通过加密通道发送给芯片授权工具,芯片授权工具将授权密文信息写入第一终端设备的安全分区,安全分区可以包括重放保护内存块(Replay Protected Memory Block,RPMB)。授权密文信息存储在第一终端设备的安全分区中,如果第一终端设备有系统升级或恢复出厂设置的操作,授权密文信息不会被清除。
图3为本发明实施例提供的一种芯片验证方法的流程图。如图3所示,该方法用于终端设备,可以包括:
步骤301,第一芯片重启后,从安全分区读取第一芯片的授权密文信息。
一种实现方式中,第一芯片重启后,第一芯片内部的无盘启动ROM接口bootrom将二级程序加载器(Second Program Loader,SPL)加载至静态随机存取存储器(StaticRandom-Access Memory,SRAM),SPL完成内存和相关设备的初始化后,在安全分区读取授权密文信息License。
步骤302,通过解密密钥对授权密文信息进行解密,得到授权明文信息。
一种实现方式中,第一终端设备设备保存有解密秘钥,用于加密授权密文信息,得到授权明文信息,该解密秘钥为私钥。
步骤303,从所述授权明文信息中确定芯片标识信息、项目信息、客户身份认证信息、授权列表信息和第一校验信息。
步骤304,根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证。
一种实现方式中,终端设备先验证授权明文信息是否经过认证服务器授权,未经认证服务器授权的信息处于原始状态,可以根据所述芯片标识信息、所述项目信息、所述客户身份认证信息、所述授权列表信息和所述第一校验信息的排布格式,或者,根据所述授权明文信息中的认证标识,验证所述授权明文信息是否经过认证服务器授权。之后,根据芯片标识信息、项目信息、客户身份认证信息和授权列表信息生成第二校验信息,若第二校验信息和第一校验信息比对一致,则确认芯片标识信息、项目信息、客户身份认证信息和授权列表信息未被篡改。最后,通过安全启动secure boot流程,验证所述授权明文信息是否经过生产厂商授权,防止消费者从软硬件层面对芯片的部分关键系统进行读写、调试等高权限的操作。
步骤305,若验证通过,则启动第一芯片,否则第一芯片启动失败,进入刷机流程。
若上述三种验证全部成功,则验证通过,启动第一芯片,若存在一种及以上的验证失败,则终端设备进入刷机流程。
本发明实施例中,先通过认证服务器对授权请求信息和授权列表信息进行加密形成授权密文信息并部署至芯片,再对芯片的授权密文信息进行解密得到授权明文信息并验证授权明文信息是否被篡改。在安全通路下进行授权部署,可以查询用户是否按芯片厂家授权的意图去使用芯片,并且终端设备生产端进行授权部署,可以减少芯片生产端的额外流程。
图4为本发明实施例提供的一种芯片授权装置的结构示意图。本发明实施例中的芯片授权装置可以作为芯片授权设备实现本发明实施例提供的芯片授权方法。如图4所示,上述芯片授权装置可以包括:接收模块410、生成模块420和发送模块430。
接收模块410,用于接收芯片授权工具发送的第一授权请求信息,所述第一授权请求信息包括第一芯片的芯片标识信息、项目信息和客户身份认证信息。
生成模块420,用于根据所述芯片标识信息、所述项目信息和所述客户身份认证信息,生成所述第一芯片的授权密文信息。
发送模块430,用于将所述授权密文信息发送给所述芯片授权工具,以使所述芯片授权工具将所述授权密文信息部署至第一终端设备的安全分区。
图5为本发明实施例提供的一种芯片验证装置的结构示意图。本发明实施例中的芯片验证装置可以作为芯片验证设备实现本发明实施例提供的芯片验证方法。如图5所示,上述芯片验证装置可以包括:读取模块510、解密模块520、确定模块530、验证模块540和驱动模块550。
读取模块510,用于第一芯片重启后,从安全分区读取第一芯片的授权密文信息。
解密模块520,用于通过解密密钥对所述授权密文信息进行解密,得到授权明文信息。
确定模块530,从所述授权明文信息中确定芯片标识信息、项目信息、客户身份认证信息、授权列表信息和第一校验信息。
验证模块530,用于根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证。
驱动模块540,用于若验证通过,则启动所述第一芯片,否则第一芯片启动失败,进入刷机流程。
图6为本发明实施例提供的一种电子设备的结构示意图,如图6所示,电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:一个或者多个处理器610,存储器630,连接不同系统组件(包括存储器630和处理单元610)的通信总线640。
通信总线640表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture;以下简称:ISA)总线,微通道体系结构(Micro Channel Architecture;以下简称:MAC)总线,增强型ISA总线、视频电子标准协会(Video Electronics StandardsAssociation;以下简称:VESA)局域总线以及外围组件互连(Peripheral ComponentInterconnection;以下简称:PCI)总线。
电子设备典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器630可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(Random Access Memory;以下简称:RAM)和/或高速缓存存储器。电子设备可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如:光盘只读存储器(Compact Disc Read Only Memory;以下简称:CD-ROM)、数字多功能只读光盘(Digital Video Disc Read Only Memory;以下简称:DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与通信总线640相连。存储器630可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块的程序/实用工具,可以存储在存储器630中,这样的程序模块包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块通常执行本发明所描述的实施例中的功能和/或方法。
电子设备也可以与一个或多个外部设备通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过通信接口620进行。并且,电子设备还可以通过网络适配器(图6中未示出)与一个或者多个网络(例如局域网(Local Area Network;以下简称:LAN),广域网(Wide Area Network;以下简称:WAN)和/或公共网络,例如因特网)通信,上述网络适配器可以通过通信总线640与电子设备的其它模块通信。应当明白,尽管图6中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(RedundantArrays of Independent Drives;以下简称:RAID)系统、磁带驱动器以及数据备份存储系统等。
处理器610通过运行存储在存储器630中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例提供的芯片授权方法或芯片验证方法。
本发明实施例还提供一种计算机可读存储介质,上述计算机可读存储介质存储计算机指令,上述计算机指令使上述计算机执行本发明实施例提供的芯片授权方法或芯片验证方法。
上述计算机可读存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ReadOnly Memory;以下简称:ROM)、可擦式可编程只读存储器(Erasable Programmable ReadOnly Memory;以下简称:EPROM)或闪存、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (12)
1.一种芯片授权方法,其特征在于,所述方法包括:
接收芯片授权工具发送的第一授权请求信息,所述第一授权请求信息包括第一芯片的芯片标识信息、项目信息和客户身份认证信息;
根据所述芯片标识信息、所述项目信息和所述客户身份认证信息,生成所述第一芯片的授权密文信息;
将所述授权密文信息发送给所述芯片授权工具,以使所述芯片授权工具将所述授权密文信息部署至第一终端设备的安全分区。
2.根据权利要求1所述的方法,其特征在于,根据所述芯片标识信息、所述项目信息和所述客户身份认证信息,生成所述第一芯片的授权密文信息,包括:
根据所述芯片标识信息、所述项目信息和所述客户身份认证信息中的一项或多项的组合,确定所述第一芯片的授权列表信息,所述授权列表信息包含所述第一芯片获得的功能;
对所述授权列表信息进行至少一次加密,得到所述授权密文信息。
3.根据权利要求2所述的方法,其特征在于,根据所述芯片标识信息、所述项目信息和所述客户身份认证信息中的一项或多项的组合,确定所述第一芯片的授权列表信息,包括:
根据所述客户身份认证信息,确定芯片授权余额;
如果所述芯片授权余额不为零,则根据所述芯片标识信息确定第一芯片的授权列表信息,并且将所述芯片授权余额减一。
4.根据权利要求2所述的方法,其特征在于,根据所述芯片标识信息、所述项目信息和所述客户身份认证信息中的一项或多项的组合,确定所述第一芯片的授权列表信息,包括:
根据所述客户身份认证信息,确定芯片授权余额;
如果所述芯片授权余额不为零,则根据所述芯片标识信息和所述项目信息确定第一芯片的授权列表信息,并且将所述芯片授权余额减一。
5.根据权利要求2所述的方法,其特征在于,对所述授权列表信息进行至少一次加密,得到所述授权密文信息,包括:
基于所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息生成第一校验信息;
根据所述项目信息获取加密秘钥;
通过所述加密秘钥对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行加密形成所述授权密文信息。
6.一种芯片验证方法,其特征在于,所述方法应用于终端设备,包括:
第一芯片重启后,从安全分区读取第一芯片的授权密文信息;
通过解密密钥对所述授权密文信息进行解密,得到授权明文信息;
从所述授权明文信息中确定芯片标识信息、项目信息、客户身份认证信息、授权列表信息和第一校验信息;
根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证;
若验证通过,则启动所述第一芯片,否则第一芯片启动失败,进入刷机流程。
7.根据权利要求6所述的方法,其特征在于,根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证,包括:
根据所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息生成第二校验信息;
若所述第二校验信息和所述第一校验信息比对一致,则确认所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息未被篡改。
8.根据权利要求7所述的方法,其特征在于,除了根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证之外,所述方法还包括:
根据所述芯片标识信息、所述项目信息、所述客户身份认证信息、所述授权列表信息和所述第一校验信息的排布格式,或者,根据所述授权明文信息中的认证标识,验证所述授权明文信息是否经过认证服务器授权;
通过安全启动secure boot流程,验证所述授权明文信息是否经过生产厂商授权。
9.一种芯片授权装置,其特征在于,包括:
接收模块,用于接收芯片授权工具发送的第一授权请求信息,所述第一授权请求信息包括第一芯片的芯片标识信息、项目信息和客户身份认证信息;
生成模块,用于根据所述芯片标识信息、所述项目信息和所述客户身份认证信息,生成所述第一芯片的授权密文信息;
发送模块,用于将所述授权密文信息发送给所述芯片授权工具,以使所述芯片授权工具将所述授权密文信息部署至第一终端设备的安全分区。
10.一种芯片验证装置,其特征在于,所述装置应用于终端设备,包括:
读取模块,用于第一芯片重启后,从安全区读取第一芯片的授权密文信息;
解密模块,用于通过解密密钥对所述授权密文信息进行解密,得到授权明文信息;
确定模块,用于从所述授权明文信息中确定芯片标识信息、项目信息、客户身份认证信息、授权列表信息和第一校验信息;
验证模块,用于根据所述第一校验信息对所述芯片标识信息、所述项目信息、所述客户身份认证信息和所述授权列表信息进行验证;
驱动模块,用于若验证通过,则启动所述第一芯片,否则第一芯片启动失败,进入刷机流程。
11.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至5任一项或6至8任一项所述的方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至5任一项或6至8任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111463404.0A CN114154443A (zh) | 2021-12-03 | 2021-12-03 | 芯片授权和验证方法、装置和电子设备 |
| PCT/CN2022/135082 WO2023098671A1 (zh) | 2021-12-03 | 2022-11-29 | 芯片授权和验证方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111463404.0A CN114154443A (zh) | 2021-12-03 | 2021-12-03 | 芯片授权和验证方法、装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114154443A true CN114154443A (zh) | 2022-03-08 |
Family
ID=80456064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111463404.0A Pending CN114154443A (zh) | 2021-12-03 | 2021-12-03 | 芯片授权和验证方法、装置和电子设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114154443A (zh) |
| WO (1) | WO2023098671A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023098671A1 (zh) * | 2021-12-03 | 2023-06-08 | 展讯通信(上海)有限公司 | 芯片授权和验证方法、装置和电子设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110363031A (zh) * | 2018-03-26 | 2019-10-22 | 北京华大信安科技有限公司 | 一种ip核授权方法、装置及pld |
| CN112118211A (zh) * | 2019-06-20 | 2020-12-22 | 北京京东尚科信息技术有限公司 | 设备通信方法、装置、系统、介质及电子设备 |
| CN112585608A (zh) * | 2020-01-13 | 2021-03-30 | 深圳市大疆创新科技有限公司 | 嵌入式设备、合法性识别方法、控制器及加密芯片 |
| CN113505361A (zh) * | 2021-07-16 | 2021-10-15 | 无锡安可芯信息技术有限公司 | 面向asic和fpga器件的加密数字ip核授权方法 |
| CN114154443A (zh) * | 2021-12-03 | 2022-03-08 | 展讯通信(上海)有限公司 | 芯片授权和验证方法、装置和电子设备 |
-
2021
- 2021-12-03 CN CN202111463404.0A patent/CN114154443A/zh active Pending
-
2022
- 2022-11-29 WO PCT/CN2022/135082 patent/WO2023098671A1/zh unknown
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023098671A1 (zh) * | 2021-12-03 | 2023-06-08 | 展讯通信(上海)有限公司 | 芯片授权和验证方法、装置和电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023098671A1 (zh) | 2023-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9270466B2 (en) | System and method for temporary secure boot of an electronic device | |
| JP4410821B2 (ja) | 保護された処理システムへの初期トラステッド・デバイスのバインディングの検証 | |
| US7844819B2 (en) | Application authentication system | |
| CN107430658B (zh) | 安全软件认证及验证 | |
| CN107743067B (zh) | 数字证书的颁发方法、系统、终端以及存储介质 | |
| US9678766B2 (en) | Controlling the configuration of computer systems | |
| CN110621014A (zh) | 一种车载设备及其程序升级方法、服务器 | |
| CN105101169A (zh) | 可信执行环境处理信息的方法、装置、终端及sim卡 | |
| US11481523B2 (en) | Secure element | |
| CN114513310A (zh) | 一种车辆诊断设备的认证方法、装置、电子设备及介质 | |
| CN112148314A (zh) | 一种嵌入式系统的镜像验证方法、装置、设备及存储介质 | |
| WO2023098671A1 (zh) | 芯片授权和验证方法、装置和电子设备 | |
| KR20070059891A (ko) | 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법 | |
| CN109889334A (zh) | 嵌入式固件加密方法、装置、wifi设备及存储介质 | |
| CN114189862A (zh) | 无线终端及无线终端在Uboot模式下的接口访问鉴权方法 | |
| CN111783120A (zh) | 一种数据的交互方法、计算设备、bmc芯片及电子设备 | |
| JP2010212805A (ja) | 決済処理セキュリティ情報配信方法、決済処理セキュリティ情報配信システム、そのセンタ装置、サーバ装置、決済端末、及びプログラム | |
| CN110674525A (zh) | 一种电子设备及其文件处理方法 | |
| CN112825093B (zh) | 安全基线检查方法、主机、服务器、电子设备及存储介质 | |
| CN115361140B (zh) | 安全芯片密钥验证方法及装置 | |
| KR101390677B1 (ko) | 임베디드 소프트웨어의 복제관리 방법 및 이를 위한 복제관리 프로그램을 기록한 컴퓨터로 판독가능한 기록매체 | |
| EP3701414B1 (en) | Systems and methods for confirming a cryptographic key | |
| CN114791834B (zh) | 一种应用程序的启动方法、装置、电子设备及存储介质 | |
| CN111221774B (zh) | 处理单元配置方法和处理单元配置装置 | |
| WO2020209106A1 (ja) | 情報処理端末、情報処理装置、情報処理方法、プログラム、および情報処理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |