申请/专利权人：贵州华芯半导体技术有限公司

申请日：2018-12-26

公开（公告）日：2024-06-25

公开（公告）号：CN109446831B

主分类号：G06F21/60

分类号：G06F21/60

优先权：

专利状态码：有效-授权

法律状态：2024.06.25#授权;2023.05.09#著录事项变更;2019.04.02#实质审查的生效;2019.03.08#公开

摘要：本公开提供了一种基于硬件装置的用于产品端口保护的密钥生成和验证方法及其系统，生成和验证方法包括：由与产线控制器连接的经授权第一硬件装置生成根密钥，由与产线控制器连接的经授权第二硬件装置采用国密算法、利用根密钥、将产品标识作为分散因子来生成应用密钥，由与产线控制器连接的经授权第三硬件装置采用国密算法、利用应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥，由产线控制器将用于端口保护的密钥写入产品的保护域中；以及由第三硬件装置从其基本文件中读取应用密钥，采用国密算法、利用应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥，由产线控制器将所生成的密钥与保护域中的密钥进行比较以验证端口。

主权项：1.一种基于硬件装置的用于产品的端口保护的密钥生成方法，所述方法包括：由与产线控制器连接的经授权的第一硬件装置，生成根密钥；利用第一加解密密钥对的公钥加密所述根密钥，以及将经加密的根密钥写入所述与产线控制器连接的经授权的第二硬件装置的基本文件中；由与产线控制器连接的经授权的第二硬件装置，从所述第二硬件装置的基本文件中读取所述经加密的根密钥，利用第一加解密密钥对的私钥来解密所述经加密的根密钥，采用国密算法、利用所述根密钥、将产品标识作为分散因子来生成应用密钥，利用第二加解密密钥对的公钥加密所述应用密钥，以及将经加密的应用密钥写入与所述产线控制器连接的经授权的第三硬件装置的基本文件中；由与产线控制器连接的经授权的第三硬件装置，从所述第三硬件装置的基本文件中读取所述经加密的应用密钥，利用第二加解密密钥对的私钥来解密所述经加密的应用密钥，以及采用国密算法、利用所述应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥。

全文数据：基于硬件装置的密钥生成和验证方法及系统技术领域本公开涉及端口保护方法及其系统，更具体地，涉及一种基于硬件装置的用于产品的端口保护的密钥生成和验证方法及其系统。背景技术Debug端口是设备中包含用于简化开发和调试的端口，而这对于设备的正常运行并不是必需的。Debug端口通常不会被删除或禁用，即避免更改设计的成本，也有利于工程师进行问题的追踪定位及调试。但是Debug端口若不加任何保护措施，则该端口将会成为黑客或竞争对手攻击的重要接口。例如：芯片上的JTAG接口、LPCLowPinCountDebug端口、SerialWireDebug、BackgroundDebugModeInterface和ProgramandDebugInterface等。目前关于Debug端口采用的保护方法大概分为两种：一是将Debug端口直接关闭；二是采用软件守护进程保护Debug端口。采用直接关闭Debug端口的方法，虽然可以很安全的保护芯片的内部资源，但是，若是出现问题，则非常不利于工程师对问题的追踪定位和调试解决。第二种方法采用守护进程保护Debug端口的方法，虽然在一定程度上可以保护Debug端口，但是该方法很容易遭受黑客的破解和攻击。鉴于上述情况，本公开提出了基于硬件装置的用于产品的端口保护的密钥生成和验证方法及其系统，其中，例如，该产品的端口可以是Debug端口。本公开的方法既能有效防止产品的端口被黑客攻击和破解，又能方便工程师定位追踪并调试该端口以解决实际问题。发明内容本公开提供了一种基于硬件装置的用于产品的端口保护的密钥生成方法，该方法包括：由与产线控制器连接的经授权的第一硬件装置，生成根密钥，利用第一加解密密钥对的公钥加密所述根密钥，以及将经加密的根密钥写入与产线控制器连接的经授权的第二硬件装置的基本文件中；由与产线控制器连接的经授权的第二硬件装置，从第二硬件装置的基本文件中读取经加密的根密钥，利用第一加解密密钥对的私钥来解密经加密的根密钥，采用国密算法、利用根密钥、将产品标识作为分散因子来生成应用密钥，利用第二加解密密钥对的公钥加密应用密钥，以及将经加密的应用密钥写入与产线控制器连接的经授权的第三硬件装置的基本文件中；由与产线控制器连接的经授权的第三硬件装置，从第三硬件装置的基本文件中读取经加密的应用密钥，利用第二加解密密钥对的私钥来解密经加密的应用密钥，以及采用国密算法、利用应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥。根据本公开的一方面，提供了一种基于硬件装置的用于产品的端口保护的密钥验证方法，该方法包括：由与产线控制器连接的第三硬件装置，从第三硬件装置的基本文件中读取经加密的应用密钥，解密经加密的应用密钥以得到应用密钥，采用国密算法、利用应用密钥、将产品标识作为分散因子来生成密钥源数据，以及对密钥源数据进行反转变换生成用于端口保护的密钥；以及由产线控制器，将所生成的用于端口保护的密钥与产品的保护域中的用于端口保护的密钥进行比较以用于验证端口。根据本公开的另一方面，提供了一种基于硬件装置的用于产品的端口保护的密钥生成系统，该系统包括：与产线控制器连接的经授权的第一硬件装置，被配置为：生成根密钥，利用第一加解密密钥对的公钥加密根密钥，以及将经加密的根密钥写入与产线控制器连接的经授权的第二硬件装置的基本文件中；与产线控制器连接的经授权的第二硬件装置，被配置为：从第二硬件装置的基本文件中读取经加密的根密钥，利用第一加解密密钥对的私钥来解密经加密的根密钥，采用国密算法、利用根密钥、将产品标识作为分散因子来生成应用密钥，利用第二加解密密钥对的公钥加密应用密钥，以及将经加密的应用密钥写入与产线控制器连接的经授权的第三硬件装置的基本文件中；与产线控制器连接的经授权的第三硬件装置，被配置为：从第三硬件装置的基本文件中读取经加密的应用密钥，利用第二加解密密钥对的私钥来解密经加密的应用密钥，以及采用国密算法、利用应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥。根据本公开的另一方面，提供了一种基于硬件装置的用于产品的端口保护的密钥验证系统，该系统包括：与产线控制器连接的第三硬件装置，被配置为：从第三硬件装置的基本文件中读取经加密的应用密钥；解密经加密的应用密钥以得到应用密钥；采用国密算法、利用应用密钥、将产品标识作为分散因子来生成密钥源数据；对密钥源数据进行反转变换生成用于端口保护的密钥；以及将所生成的用于端口保护的密钥与产品的保护域中的用于端口保护的密钥进行比较以用于验证端口。利用本公开的技术方案，根密钥、应用密钥和Debug密钥都是基于硬件算法得到的且保存在硬件中，密钥明文是不可见的，采用Debug密钥对Debug端口进行保护是安全可靠的。可以有效防止黑客攻击，盗取程序代码；同时当芯片出现故障时，方便开发人员追踪定位问题，并进行调试解决。在附图和以下描述中阐述了本说明书的主题的一个或多个实施方式的细节。根据说明书、附图和权利要求，本主题的其它特征、方面和优点将变得显而易见。附图说明为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本公开的某些实施例，因此不应该被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它相关的附图。图1是根据本公开的实施例的基于硬件装置的用于产品的端口保护的密钥生成方法的流程图；图2是根据本公开的实施例的用于根密钥的生成的第一加解密密钥对的生成过程的流程图；图3是根据本公开的实施例的根密钥的解密过程的流程图；图4是根据本公开的实施例的用于应用密钥的生成的第二加解密密钥对的生成过程的流程图；图5是根据本公开的实施例的应用密钥的解密过程的流程图；图6是根据本公开的实施例的应用密钥的生成过程的流程图；图7是根据本公开的实施例的用于端口保护的密钥的生成过程的流程图；图8是根据本公开的实施例的基于硬件装置的用于产品的端口保护的密钥验证方法的流程图；图9是根据本公开的实施例的应用密钥的解密过程的流程图；图10是根据本公开的实施例的基于硬件装置的用于产品的端口保护的密钥生成系统的方框图；图11是根据本公开的实施例的基于硬件装置的用于产品的端口保护的密钥验证系统的方框图；以及图12A-12C是根据公开的实施例的基于硬件装置的密钥生成和验证方法的流程图。具体实施方式下面将结合本公开实施例中附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。通常在附图中描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围，而是仅仅表示本公开的选定实施例。基于本公开的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其它实施例，都属于本公开保护的范围。应注意到：相同的标号和标记在下面的附图中表示相同的元素，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本公开的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。本公开提出了基于硬件装置的用于产品的端口保护的密钥生成和验证方法及其系统，其中，例如，该产品的端口可以是Debug端口。但是，应当理解该产品的端口不限于Debug端口。图1是根据本公开的实施例的基于硬件装置的用于产品的端口保护的密钥生成方法的流程图。如图1所示，本公开的用于产品的端口保护的密钥生成方法使用三个安全硬件装置：第一硬件装置、第二硬件装置和第三硬件装置。该密钥生成方法包括根密钥的生成与保存S11、应用密钥的生成与保存S12以及用于端口保护的密钥的生成S13。在根密钥的生成与保存S11过程中，在步骤S110处，由第一硬件装置生成根密钥，该第一硬件装置是与产线控制器连接的经生产方授权的硬件装置。在步骤S111处，第一硬件装置利用第一加解密密钥对的公钥来加密根密钥。在步骤S112处，第一硬件装置将经加密的根密钥写入与产线控制器连接的经授权的第二硬件装置的基本文件中。在应用密钥的生成与保存S12过程中，在步骤S120处，由与产线控制器连接的经授权的第二硬件装置从其基本文件中读取经加密的根密钥。在步骤S121处，第二硬件装置利用第一加解密密钥对的私钥来解密经加密的根密钥。在步骤S122处，由第二硬件装置采用国密算法、利用根密钥、将产品标识作为分散因子来生成应用密钥。在步骤S123处，由第二硬件装置利用第二加解密密钥对的公钥加密应用密钥。在步骤S124处，由第二硬件装置将经加密的应用密钥写入与产线控制器连接的经授权的第三硬件装置的基本文件中。在用于端口保护的密钥的生成S13过程中，在步骤S130处，由与产线控制器连接的经授权的第三硬件装置从其基本文件中读取经加密的应用密钥。在步骤S131处，由第三硬件装置利用第二加解密密钥对的私钥来解密经加密的应用密钥。在步骤S132处，由第三硬件装置采用国密算法、利用应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥。上述结合图1所述的用于端口保护的密钥生成方法在产品出厂之前实施，基于硬件装置来生成用于保护产品端口的密钥的方法可以保证上述根密钥、应用密钥和用于端口保护的密钥的生成是安全且保密的。在一个实施例中，由产线控制器将步骤S132中生成的用于端口保护的密钥写入产品的保护域中。在一个实施例中，另外，在步骤S11开始之前可以先验证经授权的第一和第二硬件装置是否已经与产线控制器连接。在一个实施例中，另外，在步骤S12开始之前可以先验证经授权的第二和第三硬件装置是否已经与产线控制器连接。在一个实施例中，另外，在步骤S13开始之前可以先验证经授权的第三硬件装置是否已经与产线控制器连接。其中上述连接方式可以包括通用串行总线USB、局域网LAN、外围组件互联高速PCIE等。在本公开的实施例中，在根密钥的保存过程中，还可以将经加密的根密钥写入第一硬件装置的基本文件中，以用于根密钥的备份。在本公开的实施例中，另外，在应用密钥的保存过程中，可以将消息认证码MAC值与经加密的应用密钥一起保存到第三硬件装置的基本文件中，以用于验证应用密钥的完整性，防止密钥被篡改保证其安全性。图2是根据本公开的实施例的用于根密钥的生成的第一加解密密钥对的生成过程的流程图。由于第一和第二硬件装置无法在其中生成用于加密根密钥的第一加解密密钥对，因此需要在硬件装置外部生成后导入到其中。如图2所示，在步骤S210处，由与产线控制器连接的经授权的第一硬件装置和第二硬件装置分别生成第一签名密钥对；在步骤S211处，第一和第二硬件装置分别利用第一签名密钥对的公钥加密第一会话密钥；在步骤S212处，将经加密的第一会话密钥分别从第一硬件装置和第二硬件装置中导出；在步骤S213处，第一和第二硬件装置分别利用经加密的第一会话密钥加密第一加解密密钥对；接着，在步骤S214处，由第一和第二硬件装置将经加密的第一加解密密钥对导入第一和第二硬件装置中。并且在步骤S215处，第一和第二硬件装置可以分别在其装置内部解密在步骤S214导入的经加密的第一加解密密钥对。在该实施例中，第一签名密钥对和第一加解密密钥对都是非对称密钥对，与对称密钥相比，这可以很好的保护第一会话密钥和根密钥的安全性。并且，在第一和第二硬件装置中均保存有用于加密或解密根密钥的第一加解密密钥对，即根密钥只能在第一或第二硬件装置中被加密或解密，从而保证根密钥免受来自外界的攻击。图3是根据本公开的实施例的根密钥的解密过程S121的流程图。如图3所示，在步骤S3210处由产线控制器将经加密的根密钥导入第二硬件装置的密钥容器并返回第一密钥句柄；以及在步骤S3211处，由第二硬件装置基于第一密钥句柄、利用第一加解密密钥对的私钥来解密经加密的根密钥。从而在第二硬件装置中得到根密钥以用于后续应用密钥的生成。在该实施例中，第一加解密密钥对的私钥仅保存在硬件装置中无法被导出，相对应的根密钥的解密过程只在硬件装置内部执行，而且是基于密钥句柄而非密钥本身来解密该根密钥，因此工具开发者或使用者都无法获取根密钥的明文数据，进而很好地保护了根密钥。图4是根据本公开的实施例的用于应用密钥的生成的第二加解密密钥对的生成过程的流程图。由于第二和第三硬件装置无法在其中生成用于加密应用密钥的第二加解密密钥对，因此需要在硬件装置外部生成后导入到其中。如图4所示，在步骤S420处，由与产线控制器连接的第三硬件装置生成第二签名密钥对；在步骤S421处，第三硬件装置利用第二签名密钥对的公钥加密第二会话密钥；在步骤S422处，将经加密的第二会话密钥从第三硬件装置中导出；在步骤S423处，由第三硬件装置利用经加密的第二会话密钥加密第二加解密密钥对；并在步骤S424处将经加密的第二加解密密钥对导入第二和第三硬件装置中。随后，在步骤S425处，第二和第三硬件装置可以分别在其装置内解密在步骤S424导入的经加密的第二加解密密钥对。在该实施例中，第二签名密钥对和第二加解密密钥对都是非对称密钥对，与对称密钥相比，这可以很好的保护第二会话密钥和应用密钥的安全性。并且，在第二和第三硬件装置中均保存有用于加密或解密应用密钥的第二加解密密钥对，即应用密钥只能在第二或第三硬件装置中被加密或解密，从而保证应用密钥免受来自外界的攻击。图5是根据本公开的实施例的应用密钥的解密过程S131的流程图。如图5所示，在步骤S5310处由产线控制器将经加密的应用密钥导入第三硬件装置的密钥容器并返回第二密钥句柄；以及在步骤S5311处，由第三硬件装置基于第二密钥句柄、利用第二加解密密钥对的私钥来解密经加密的应用密钥。从而在第三硬件装置中得到应用密钥以用于后续用于端口保护的密钥的生成。在该实施例中，第二加解密密钥对的私钥仅保存在硬件装置中无法被导出，相对应的应用密钥的解密过程只在硬件装置内部执行，而且是基于密钥句柄而非密钥本身来解密该应用密钥，因此很好地保护了应用密钥的安全性。图6是根据本公开的实施例的应用密钥的生成过程S122的流程图。如图6所示，在步骤S6220处，由第二硬件装置采用国密算法、利用根密钥、将产品标识作为分散因子来生成第三会话密钥；以及在步骤S6221处对该第三会话密钥进行摘要运算来生成应用密钥。在该实施例中，国密算法由内置于第二硬件装置中的国密算法模块来执行，这种基于硬件装置的密钥生成方法保障了应用密钥的生成过程的安全性。此外，通过摘要运算来生成应用密钥，可以使得无论输入的第三会话密钥的长度如何，所计算出来的应用密钥的长度总是固定的，并且所得到的应用密钥与其相对应的输入的第三会话密钥密切相关，对密钥数据的完整性提供了健全的保障。另一方面，摘要运算是不可逆的，即无法根据计算得到的应用密钥进行反向运算来得到会话密钥进而得到根密钥，这样保证了根密钥的和应用密钥的独立性，因此，对用户而言，只由用过授权的硬件装置来获得根密钥或应用密钥。在一个实施例中，国密算法可以为SM4国密算法。在一个实施例中，产品标识可以是产品ID号。在一个实施例中，另外，第二硬件装置可以删除其生成的应用密钥，从而保证应用密钥仅保存在经授权的第三硬件装置中，进一步保障应用密钥的安全性。图7是根据本公开的实施例的用于端口保护的密钥的生成过程S132的流程图。如图7所示，在步骤S7320处，由第三硬件装置采用国密算法、利用应用密钥、将产品标识作为分散因子来生成密钥源数据；以及在步骤S7321处，对密钥源数据进行反转变换生成用于端口保护的密钥。在该实施例中，国密算法由内置于第三硬件装置的国密算法模块来执行，这种基于硬件装置的密钥生成方法保障了用于端口保护的密钥的生成过程的安全性。在本公开的实施例中，对密钥源数据进行反转变换生成用于端口保护的密钥包括将密钥源数据循环移位N位，并将左2N字节和右2N字节异或M次以生成用于端口保护的密钥，其中N为正整数，M为正整数。在本公开的实施例中，国密算法可以为SM4国密算法。在本公开的实施例中，产品标识可以是产品ID号。图8是根据本公开的实施例的基于硬件装置的用于产品的端口保护的密钥验证方法的流程图。如图8所示，本公开的用于产品的端口保护的密钥验证方法需要第三硬件装置。该密钥验证方法包括用于端口保护的密钥生成S80以及该用于端口保护的密钥验证S81。在用于端口保护的密钥生成S80过程中，由与产线控制器连接的第三硬件装置在步骤S800处从其基本文件中读取经加密的应用密钥；在步骤S801处解密经加密的应用密钥以得到应用密钥；在步骤S802处采用国密算法、利用应用密钥、将产品标识作为分散因子来生成密钥源数据；以及在步骤S803处对密钥源数据进行反转变换生成用于端口保护的密钥。在用于端口保护的密钥验证S81过程中，产线控制器将所生成的用于端口保护的密钥与产品的保护域中保存的用于端口保护的密钥进行比较以用于验证该端口。如果验证成功则打开该端口，则可以根据需要开启该端口以用于定位追踪或调试等实际应用，如果验证失败，则不打开端口，从而可以保护端口不受外界的破解或攻击。在本公开的实施例中，另外，在步骤S80开始之前可以先验证第三硬件装置是否已经与产线控制器连接，其中该连接方式可以包括通用串行总线USB、局域网LAN、外围组件互联高速PCIE等。在本公开的实施例中，对密钥源数据进行反转变换生成用于端口保护的密钥包括将密钥源数据循环移位N位，并将左2N字节和右2N字节异或M次以生成用于端口保护的密钥，其中N为正整数，M为正整数。在一个实施例中，国密算法可以为SM4国密算法。在一个实施例中，产品标识可以是产品ID号。在一个实施例中，产品标识可以从产品的eFuse中读取。图9是根据本公开的实施例的应用密钥的解密过程S802的流程图。如图9所示，在应用密钥的解密过程中，在步骤S9020处由产线控制器将经加密的应用密钥导入第三硬件装置的密钥容器并返回密钥句柄；以及在步骤S9021处，由第三硬件装置基于密钥句柄、利用加解密密钥对的私钥来解密经加密的应用密钥。从而在第三硬件装置中得到应用密钥以用于后续用于端口保护的密钥的生成。在该实施例中，加解密密钥对的私钥被保存在硬件装置中无法被导出，如果该硬件装置是未被授权的，则将无法获得正确的应用密钥从而无法通过验证过程，因此能很好的保护产品端口的安全性。图10是是根据本公开的实施例的基于硬件装置的用于产品的端口保护的密钥生成系统的示意图。如图10所示，该用于产品的端口保护的密钥的生成系统包括产线控制器100以及经授权的第一硬件装置101、第二硬件装置102和第三硬件装置103。其中第二硬件装置102包括国密算法模块1020、密钥容器1021和基本文件1022，以及第三硬件装置103包括国密算法模块1030、密钥容器1031和基本文件1032。根据本公开的实施例，在根密钥的生成与保存过程中，在与产线控制器连接的经授权的第一硬件装置101被配置为：生成根密钥，利用第一加解密密钥对的公钥加密根密钥，以及将经加密的根密钥与产线控制器连接的经授权的第二硬件装置102的基本文件中。根据本公开的实施例，在应用密钥的生成与保存过程中，与产线控制器连接的经授权的第二硬件装置102被配置为：从其基本文件1022中读取经加密的根密钥，利用第一加解密密钥对的私钥来解密经加密的根密钥，采用国密算法、利述根密钥、将产品标识作为分散因子来生成应用密钥，利用第二加解密密钥对的公钥加密应用密钥，以及将经加密的应用密钥写入与产线控制器连接的经授权的第三硬件装置103的基本文件1032中。根据本公开的实施例，在用于端口保护的密钥的生成过程中，与产线控制器连接的经授权的第三硬件装置103被配置为从其基本文件1032中读取经加密的应用密钥，利用第二加解密密钥对的私钥来解密经加密的应用密钥，以及采用国密算法、利用应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥。上述基于硬件装置的用于产品的端口保护的密钥生成系统中的第一至第三硬件装置可以保证上述根密钥、和应用密钥用于端口保护的密钥的生成是安全且保密的。在一个实施例中，产线控制器100被配置为将生成用于端口保护的密钥写入产品的保护域中。该端口保护密钥的写入过程在产品出厂前完成。在一个实施例中，另外，在根密钥的生成与保存过程开始之前可以先验证经授权的第一和第二硬件装置101和102是否已经与产线控制器100连接。在一个实施例中，另外，在应用密钥的生成与保存过程开始之前可以先验证经授权的第二和第三硬件装置120和103是否已经与产线控制器100连接。在一个实施例中，另外，在在用于端口保护的密钥的生成过程开始之前可以先验证经授权的第三硬件装置103是否已经与产线控制器100连接。其中上述连接方式可以包括通用串行总线USB、局域网LAN、外围组件互联高速PCIE等。在本公开的实施例中，在根密钥的保存过程中，还可以将经加密的根密钥写入第一硬件装置101的基本文件中，以用于根密钥的备份。在本公开的实施例中，另外，在应用密钥的保存过程中，可以将消息认证码MAC值与经加密的应用密钥一起保存到第三硬件装置103的基本文件1032中，以用于验证应用密钥的完整性，防止密钥被篡改保证其安全性。根据本公开的实施例，经授权的第一硬件装置101和第二硬件装置102可以用于第一加解密密钥对的生成。该第一加解密密钥对用于在硬件装置中加密或解密根密钥。在实施例中，第一硬件装置101和第二硬件装置102被配置为分别生成第一签名密钥对，利用第一签名密钥对的公钥加密第一会话密钥并将经加密的第一会话密钥分别从第一硬件装置101和第二硬件装置102中导出；以及第一硬件装置101和第二硬件装置102还被配置为利用所述经加密的第一会话密钥加密所述第一加解密密钥对并将经加密的第一加解密密钥对导入所述第一硬件装置101和第二硬件装置102中；以及第一硬件装置101和第二硬件装置102还被配置为解密所述经加密的第一加解密密钥对以得到第一加解密密钥对。在该实施例中，第一签名密钥对和第一加解密密钥对都是非对称密钥对，与对称密钥相比，这可以很好的保护第一会话密钥和根密钥的安全性。并且，在第一和第二硬件装置中均保存有用于加密或解密根密钥的第一加解密密钥对，即根密钥只能在第一或第二硬件装置中被加密或解密，从而保证根密钥免受来自外界的攻击。根据本公开的实施例，经授权的第二硬件装置102和产线控制器100可以用于根密钥的解密过程。产线控制器100被配置为将经加密的根密钥导入第二硬件装置102的密钥容器1021并返回第一密钥句柄；以及第二硬件装置102被配置为基于第一密钥句柄、利用第一加解密密钥对的私钥来解密经加密的根密钥。从而在第二硬件装置102中得到根密钥以用于后续应用密钥的生成。在该实施例中，第一加解密密钥对的私钥仅保存在硬件装置中无法被导出，相对应的根密钥的解密过程只在硬件装置内部执行，而且是基于密钥句柄而非密钥本身来解密该根密钥，因此工具开发者或使用者都无法获取根密钥的明文数据，进而很好地保护了根密钥。根据本公开的实施例，经授权的第二硬件装置102和第三硬件装置103可以用于第二加解密密钥对的生成。该第二加解密密钥对用于在硬件装置中加密或解密应用密钥。在实施例中，与产线控制器100连接的第三硬件装置103被配置为：生成第二签名密钥对；利用第二签名密钥对的公钥加密第二会话密钥；将经加密的第二会话密钥从第三硬件装置103中导出；利用经加密的第二会话密钥加密第二加解密密钥对；并将经加密的第二加解密密钥对导入第二硬件装置102和第三硬件装置103中。随后第二硬件装置102和第三硬件装置103可以分别被配置为在其装置内解密先前导入的经加密的第二加解密密钥对以得到第二加解密密钥对。在该实施例中，第二签名密钥对和第二加解密密钥对都是非对称密钥对，与对称密钥相比，这可以很好的保护第二会话密钥和应用密钥的安全性。并且，在第二和第三硬件装置中均保存有用于加密或解密应用密钥的第二加解密密钥对，即应用密钥只能在第二或第三硬件装置中被加密或解密，从而保证应用密钥免受来自外界的攻击。根据本公开的实施例，经授权的第三硬件装置103和产线控制器100可以用于应用密钥的解密过程。产线控制器被配置为将经加密的应用密钥导入第三硬件装置103的密钥容器1031并返回第二密钥句柄；以及第三硬件装置103被配置为基于第二密钥句柄、利用第二加解密密钥对的私钥来解密经加密的应用密钥。从而在第三硬件装置103中得到应用密钥以用于后续用于端口保护的密钥的生成。在该实施例中，第二加解密密钥对的私钥仅保存在硬件装置中无法被导出，相对应的应用密钥的解密过程只在硬件装置内部执行，而且是基于密钥句柄而非密钥本身来解密该应用密钥，因此很好地保护了应用密钥的安全性。根据本公开的实施例，与产线控制器连接100的经授权的第二硬件装置102可以用于应用密钥的生成过程，其中第二硬件装置102被配置为采用国密算法、利用根密钥、将产品标识作为分散因子来生成第三会话密钥；处对该第三会话密钥进行摘要运算来生成应用密钥。在该实施例中，国密算法由内置于第二硬件装置102的国密算法模块1020来执行，这种基于硬件装置的密钥生成系统保障了应用密钥的生成过程的安全性。此外，通过摘要运算来生成应用密钥，可以使得无论输入的第三会话密钥的长度如何，所计算出来的应用密钥的长度总是固定的，并且所得到的应用密钥与其相对应的输入的第三会话密钥密切相关，对密钥数据的完整性提供了健全的保障。另一方面，摘要运算是不可逆的，即无法根据计算得到的应用密钥进行反向运算来得到会话密钥进而得到根密钥，这样保证了根密钥的和应用密钥的独立性，因此，对用户而言，只由用过授权的硬件装置来获得根密钥或应用密钥。在本公开的实施例中，国密算法可以为SM4国密算法。在本公开的实施例中，产品标识可以是产品ID号。在本公开的实施例中，第二硬件装置102可以删除其生成的应用密钥，从而保证应用密钥仅保存在经授权的第三硬件装置103中，进一步保障应用密钥的安全性。根据本公开的实施例，与产线控制器连接100的经授权的第三硬件装置103可以用于端口保护的密钥的生成过程，其中第三装置103被配置为采用国密算法、利用应用密钥、将产品标识作为分散因子来生成密钥源数据；以及对密钥源数据进行反转变换生成用于端口保护的密钥。在该实施例中，国密算法由内置于第三硬件装置103的国密算法模块1030来执行，这种基于硬件装置的密钥生成系统保障了用于端口保护的密钥的生成过程的安全性。在本公开的实施例中，对密钥源数据进行反转变换生成用于端口保护的密钥包括将密钥源数据循环移位N位，并将左2N字节和右2N字节异或M次以生成用于端口保护的密钥，其中N为正整数，M为正整数。在本公开的实施例中，国密算法为SM4国密算法。在本公开的实施例中，产品标识可以是产品ID号。图11是根据本公开的实施例的基于硬件装置的用于产品的端口保护的密钥验证系统的示意图。如图11所示，该用于产品的端口保护的密钥的验证系统包括产线控制器110、第三硬件装置113以及产品114，其中第三硬件装置包括国密算法模块1130、密钥容器1131和基本文件1131。根据本公开的实施例，第三硬件装置113可以用于端口保护的密钥生成过程中，其中与产线控制器110连接的第三硬件装置113被配置为：从其基本文件1132中读取经加密的应用密钥；解密经加密的应用密钥以得到应用密钥；采用国密算法、利用应用密钥、将产品标识作为分散因子来生成密钥源数据；以及对密钥源数据进行反转变换生成用于端口保护的密钥。在用于端口保护的密钥验证过程中，产线控制器110被配置为将所生成的用于端口保护的密钥与产品的保护域中保存的用于端口保护的密钥进行比较以用于验证该端口。如果验证成功则打开该端口，则可以根据需要开启该端口以用于定位追踪或调试等实际应用，如果验证失败，则不打开端口，从而可以保护端口不受外界的破解或攻击。在该实施例中，国密算法由内置于第三硬件装置113的国密算法模块1130来执行，这种基于硬件装置的密钥生成系统保障了用于端口保护的密钥的生成过程的安全性。在本公开的实施例中，另外，在密钥验证过程开始之前可以先验证第三硬件装置113是否已经与产线控制器110连接，其中该连接方式可以包括通用串行总线USB、局域网LAN、外围组件互联高速PCIE等。在本公开的实施例中，对密钥源数据进行反转变换生成用于端口保护的密钥包括将密钥源数据循环移位N位，并将左2N字节和右2N字节异或M次以生成用于端口保护的密钥，其中N为正整数，M为正整数。在本公开的实施例中，国密算法可以为SM4国密算法。在本公开的实施例中，产品标识可以是产品ID号。在本公开的实施例中，产品标识可以从产品的eFuse中读取。根据本公开的实施例，第三硬件装置113和产线控制器110可以用于应用密钥的解密过程。产线控制器被配置为将经加密的应用密钥导入第三硬件装置113的密钥容器1131并返回密钥句柄；以及第三硬件装置113被配置为基于密钥句柄、利用加解密密钥对的私钥来解密经加密的应用密钥。从而在第三硬件装置113中得到应用密钥以用于后续用于端口保护的密钥的生成。在该实施例中，加解密密钥对的私钥仅保存在硬件装置中无法被导出，如果该硬件装置是未被授权的，则将无法获得正确的应用密钥从而无法通过验证过程，因此能很好的保护产品端口的安全性。图12A-12C是根据公开的实施例的基于硬件装置的密钥生成和验证方法的流程图。如图12A-12C所示，本发明方案总共使用三个安全硬件装置：第一硬件装置、第二硬件装置和第三硬件装置。本方案共分为三部分：根密钥的生成、应用密钥的生成、用于端口保护的密钥的生成及验证。图12A是根据本公开的实施例的根密钥的生成过程。在根密钥的生成过程中，使用第一硬件装置和第二硬件装置，并利用非对称算法的公私密钥保护机制，其中第二硬件装置作为用于生成应用密钥；而第一硬件装置放入保险柜进行备份。该根密钥的生成过程，对用户完全透明，工具开发者、使用者都无法获取根密钥的明文数据。根密钥的明文只有在硬件装置内部才能解密。所以该方法可以保证根密钥的生成是绝对安全和保密的。下面详述根密钥的生成过程。1首先判断产线控制器上是否插入第一硬件装置和第二硬件装置；2利用第一硬件装置和第二硬件装置生成第一签名密钥对；3第一硬件装置和第二硬件装置分别利用2导出的第一签名密钥对的公钥加密第一会话密钥；4将经加密的第一会话密钥从第一和第二硬件装置中导出；5第一硬件装置和第二硬件装置分别利用4导出的经加密的第一会话密钥加密第一加解密密钥对；6将经加密的第一加解密密钥对导入第一和第二硬件装置；7第一硬件装置生成根密钥；8第一硬件装置利用6中导入的第一加解密密钥对的公钥加密根密钥；9将经加密的根密钥写入第二硬件装置中的基本文件；以及10将经加密的根密钥写入第一硬件装置中的基本文件。图12B是根据本公开的实施例的应用密钥的生成过程。在应用密钥的生成过程中，应用密钥采用根密钥和产品ID号利用SM4算法进行分散生成，下面详细描述其生成过程：1首先判断产线控制器上是否插入第二硬件装置和第三硬件装置；2利用第三硬件装置生成第二签名密钥对；3第三硬件装置利用2中生成的第二签名密钥对的公钥加密第二会话密钥；4将将经加密的第二会话密钥从第三硬件装置中导出；5第三硬件装置利用4导出的经加密的第二会话密钥加密第二加解密密钥对；6将经加密的第二加解密密钥对导入第三硬件装置；7从第二硬件装置的基本文件中读出经加密的根密钥；8将经加密的根密钥导入第二硬件装置到密钥容器，同时返回第一密钥句柄；9第二硬件装置采用SM4算法，利用根密钥，并将产品ID作为分散因子，生成第三会话密钥；10第二硬件装置对9中生成的第三会话密钥进行摘要运算，得到应用密钥；11利用第二加解密密钥对的公钥加密应用密钥；12将11中的经加密的应用密钥和消息认证码MAC值存储到第三硬件装置的基本文件中；以及13第二硬件装置删除生成的应用密钥。图12C是根据本公开的实施例的用于端口保护的密钥的生成和验证过程。在用于端口保护的密钥的生成和验证过程中，用于端口保护的密钥的生成利用应用密钥和读出的芯片ID号，采用SM4算法进行分散生成。下面详细描述其生成过程：1首先检测产线的产线控制器上是否插入第三硬件装置；2从第三硬件装置的基本文件中读出经加密的应用密钥；3将经加密的应用密钥导入密钥容器，并返回第二密钥句柄；4从芯片的efuse中读出芯片ID号；5利用3中的应用密钥，将4中的读出的芯片ID作为分散因子，并采用第三硬件装置中的SM4算法生成密钥源数据32字节；6将用于端口保护的密钥的源数据进行循环右移8个字节，并将左16字节和右16字节进行异或1次运算，最终得到用于端口保护的密钥，其中循环右移的字节数和异或的次数取决于产线策略；7将用于端口保护的密钥写入芯片的保护域。在用于端口保护的密钥的验证过程中，前面步骤1～6相同，在第7步写入生成的用于端口保护的密钥，并与保护域中存储的用于端口保护的密钥进行比对，验证成功则会重新打开Debug端口。在本公开中，以上参考附图描述了一些实施例。应该理解，以上所描述的实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本公开的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，该模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和或流程图中的每个方框、以及框图和或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。另外，在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备可以是个人计算机，服务器，或者网络设备等执行本公开各个实施例所述方法的全部或部分步骤。需要说明的是，在本文中，诸如第一和第三等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。以上所述仅为本公开的优选实施例而已，并不用于限制本公开，对于本领域的技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。以上所述，仅为本公开的具体实施方式，但本公开的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以所附权利要求及其等同物的保护范围为准。

权利要求：1.一种基于硬件装置的用于产品的端口保护的密钥生成方法，所述方法包括：由与产线控制器连接的经授权的第一硬件装置，生成根密钥，利用第一加解密密钥对的公钥加密所述根密钥，以及将经加密的根密钥写入所述与产线控制器连接的经授权的第二硬件装置的基本文件中；由与产线控制器连接的经授权的第二硬件装置，从所述第二硬件装置的基本文件中读取所述经加密的根密钥，利用第一加解密密钥对的私钥来解密所述经加密的根密钥，采用国密算法、利用所述根密钥、将产品标识作为分散因子来生成应用密钥，利用第二加解密密钥对的公钥加密所述应用密钥，以及将经加密的应用密钥写入与所述产线控制器连接的经授权的第三硬件装置的基本文件中；由与产线控制器连接的经授权的第三硬件装置，从所述第三硬件装置的基本文件中读取所述经加密的应用密钥，利用第二加解密密钥对的私钥来解密所述经加密的应用密钥，以及采用国密算法、利用所述应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥。2.如权利要求1所述的方法，其中所述方法还包括由所述产线控制器将所述用于端口保护的密钥写入所述产品的保护域中。3.如权利要求1所述的方法，其中所述方法还包括：由所述与产线控制器连接的经授权的第一硬件装置和第二硬件装置分别生成第一签名密钥对；由所述第一和第二硬件装置分别利用所述第一签名密钥对的公钥加密第一会话密钥；由所述第一和第二硬件装置分别将经加密的第一会话密钥分别从所述第一硬件装置和第二硬件装置中导出；由所述第一和第二硬件装置分别利用所述经加密的第一会话密钥加密所述第一加解密密钥对；由所述第一和第二硬件装置将经加密的第一加解密密钥对导入所述第一和第二硬件装置中；以及由所述第一和第二硬件装置解密所述经加密的第一加解密密钥对以得到所述第一加解密密钥对。4.如权利要求1所述的方法，其中利用第一加解密密钥对的私钥来解密所述经加密的根密钥包括：由所述产线控制器将所述经加密的根密钥导入所述第二硬件装置的密钥容器并返回第一密钥句柄；以及由所述第二硬件装置基于所述第一密钥句柄、利用第一加解密密钥对的私钥来解密所述经加密的根密钥。5.如权利要求1所述的方法，其中所述方法还包括：由所述与产线控制器连接的第三硬件装置生成第二签名密钥对；由所述第三硬件装置利用所述第二签名密钥对的公钥加密第二会话密钥；由所述第三硬件装置将经加密的第二会话密钥从所述第三硬件装置中导出；由所述第三硬件装置利用所述经加密的第二会话密钥加密所述第二加解密密钥对；由所述第三硬件装置将经加密的第二加解密密钥对导入所述第二和第三硬件装置；以及由所述第二和第三硬件装置解密所述经加密的第二加解密密钥对以得到所述第二加解密密钥对。6.如权利要求1所述的方法，其中利用第二加解密密钥对的私钥来解密所述经加密的应用密钥包括：由所述产线控制器将所述经加密的应用密钥导入所述第三硬件装置的密钥容器并返回第二密钥句柄；以及由所述第三硬件装置基于所述第二密钥句柄、利用第二加解密密钥对的私钥来解密所述经加密的应用密钥。7.如权利要求1所述的方法，其中采用国密算法、利用所述根密钥、将产品标识作为分散因子来生成应用密钥包括：由所述第二硬件装置采用国密算法、利用所述根密钥、将产品标识作为分散因子来生成第三会话密钥；以及对所述第三会话密钥进行摘要运算来生成所述应用密钥。8.如权利要求1所述的方法，其中采用国密算法、利用所述应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥包括：由所述第三硬件装置采用国密算法、利用所述应用密钥、将所述产品标识作为分散因子来生成密钥源数据；以及对所述密钥源数据进行反转变换生成用于端口保护的密钥。9.如权利要求8所述的方法，其中对所述密钥源数据进行反转变换生成用于端口保护的密钥包括：将所述密钥源数据循环移位N位，并将左2N字节和右2N字节异或M次以生成所述用于端口保护的密钥，其中N为正整数，M为正整数。10.如权利要求1所述的方法，其中所述方法还包括：删除在由所述与产线控制器连接的经授权的第二硬件装置中所生成的应用密钥。11.一种基于硬件装置的用于产品的端口保护的密钥验证方法，所述方法包括：由与产线控制器连接的第三硬件装置，从所述第三硬件装置的基本文件中读取经加密的应用密钥，解密所述经加密的应用密钥以得到应用密钥，采用国密算法、利用所述应用密钥、将产品标识作为分散因子来生成密钥源数据，以及对所述密钥源数据进行反转变换生成用于端口保护的密钥；以及由所述产线控制器，将所生成的用于端口保护的密钥与产品的保护域中的用于端口保护的密钥进行比较以用于验证所述端口。12.如权利要求11所述的方法，其中解密所述经加密的应用密钥以得到应用密钥包括：由所述产线控制器将所述经加密的应用密钥导入所述第三硬件装置的密钥容器并返回密钥句柄；以及由所述第三硬件装置基于所述密钥句柄、利用加解密密钥对的私钥来解密所述经加密的应用密钥以得到所述应用密钥。13.如权利要求11所述的方法，其中对所述密钥源数据进行反转变换生成用于端口保护的密钥包括：将所述密钥源数据循环移位N位，并将左2N字节和右2N字节异或M次以生成所述用于端口保护的密钥，其中N为正整数，M为正整数。14.一种基于硬件装置的用于产品的端口保护的密钥生成系统，所述系统包括：与产线控制器连接的经授权的第一硬件装置，被配置为：生成根密钥，利用第一加解密密钥对的公钥加密所述根密钥，以及将经加密的根密钥写入所述与产线控制器连接的经授权的第二硬件装置的基本文件中；与产线控制器连接的经授权的第二硬件装置，被配置为：从所述第二硬件装置的基本文件中读取所述经加密的根密钥，利用第一加解密密钥对的私钥来解密所述经加密的根密钥，采用国密算法、利用所述根密钥、将产品标识作为分散因子来生成应用密钥，利用第二加解密密钥对的公钥加密所述应用密钥，以及将经加密的应用密钥写入与所述产线控制器连接的经授权的第三硬件装置的基本文件中；与产线控制器连接的经授权的第三硬件装置，被配置为：从所述第三硬件装置的基本文件中读取所述经加密的应用密钥，利用第二加解密密钥对的私钥来解密所述经加密的应用密钥，以及采用国密算法、利用所述应用密钥、将产品标识作为分散因子来生成用于端口保护的密钥。15.如权利要求14所述的系统，所述系统还包括所述产线控制器，所述产线控制器被配置为将所述用于端口保护的密钥写入所述产品的保护域中。16.如权利要求14所述的系统，其中，所述第一硬件装置和第二硬件装置还被配置为分别生成第一签名密钥对，利用所述第一签名密钥对的公钥加密第一会话密钥并将经加密的第一会话密钥分别从所述第一硬件装置和第二硬件装置中导出；所述第一硬件装置和第二硬件装置还被配置为利用所述经加密的第一会话密钥加密所述第一加解密密钥对并将经加密的第一加解密密钥对导入所述第一和第二硬件装置中，以及所述第一硬件装置和第二硬件装置还被配置为解密所述经加密的第一加解密密钥对以得到所述第一加解密密钥对。17.如权利要求14所述的系统，其中与产线控制器连接的经授权的第二硬件装置被配置为利用第一加解密密钥对的私钥来解密所述经加密的根密钥包括：由所述产线控制器将所述经加密的根密钥导入所述第二硬件装置的密钥容器并返回第一密钥句柄；以及由所述第二硬件装置基于所述第一密钥句柄、利用第一加解密密钥对的私钥来解密所述经加密的根密钥。18.如权利要求14所述的系统，其中，所述第三硬件装置还被配置为生成第二签名密钥对，利用所述第二签名密钥对的公钥加密第二会话密钥并将经加密的第二会话密钥从所述第三硬件装置中导出；所述第三硬件装置还被配置为利用所述经加密的第二会话密钥加密所述第二加解密密钥对并将经加密的第二加解密密钥对导入所述第二和第三硬件装置；以及所述第二和第三硬件装置还被配置为解密所述经加密的第二加解密密钥对以得到所述第二加解密密钥对。19.如权利要求14所述的系统，其中与产线控制器连接的经授权的第三硬件装置被配置为利用第二加解密密钥对的私钥来解密所述经加密的应用密钥包括：由所述产线控制器将所述经加密的应用密钥导入所述第三硬件装置的密钥容器并返回第二密钥句柄；以及由所述第三硬件装置基于所述第二密钥句柄、利用第二加解密密钥对的私钥来解密所述经加密的应用密钥。20.如权利要求14所述的系统，其中所述第二硬件装置被配置为：采用国密算法、利用所述根密钥、将产品标识作为分散因子来生成第三会话密钥；以及对所述第三会话密钥进行摘要运算来生成所述应用密钥。21.如权利要求15所述的系统，其中所述第三硬件装置被配置为：采用国密算法、利用所述应用密钥、将所述产品标识作为分散因子来生成密钥源数据；以及对所述密钥源数据进行反转变换生成用于端口保护的密钥。22.如权利要求21所述的系统，其中所述第三硬件装置被配置为：将所述密钥源数据循环移位N位，并将左2N字节和右2N字节异或M次以生成所述用于端口保护的密钥，其中N为正整数，M为正整数。23.如权利要求14所述的系统，其中所述与产线控制器连接的经授权的第二硬件装置还被配置为删除由其所生成的所述应用密钥。24.一种基于硬件装置的用于产品的端口保护的密钥验证系统，所述系统包括：与产线控制器连接的第三硬件装置，被配置为：从所述第三硬件装置的基本文件中读取所述经加密的应用密钥，解密所述经加密的应用密钥以得到应用密钥，采用国密算法、利用所述应用密钥、将产品标识作为分散因子来生成密钥源数据，以及对所述密钥源数据进行反转变换生成用于端口保护的密钥；以及产线控制器，被配置为将所生成的用于端口保护的密钥与产品的保护域中的用于端口保护的密钥进行比较以用于验证所述端口。25.如权利要求24所述的系统，其中与产线控制器连接的第三硬件装置被配置为解密所述经加密的应用密钥以得到应用密钥包括：由所述产线控制器将所述经加密的应用密钥导入所述第三硬件装置的密钥容器并返回密钥句柄；以及由所述第三硬件装置基于所述密钥句柄、利用加解密密钥对的私钥来解密所述经加密的应用密钥以得到所述应用密钥。26.如权利要求24所述的系统，其中所述第三硬件装置被配置为：将所述密钥源数据循环移位N位，并将左2N字节和右2N字节异或M次以生成所述用于端口保护的密钥，其中N为正整数，M为正整数。

百度查询： 贵州华芯半导体技术有限公司 基于硬件装置的密钥生成和验证方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD