(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210263657.1 (22)申请日 2022.03.17 (65)同一申请的已公布的文献号 申请公布号 CN 114629641 A (43)申请公布日 2022.06.14 (73)专利权人 江南信安 （北京） 科技有限公司 地址 100088 北京市海淀区花园路7号 新时 代大厦11层 专利权人 江苏新质信息科技有限公司 (72)发明人 白锦龙　郏晖　汪海洋　 (74)专利代理 机构 北京知呱 呱知识产权代理有 限公司 1 1577 专利代理师 郑兴旺 (51)Int.Cl. H04L 9/08(2006.01)H04L 9/20(2006.01) H04L 9/32(2006.01) G06F 21/51(2013.01) 审查员 代悦宁 (54)发明名称 基于安全芯片的代码下载启动安全保护方 法及装置 (57)摘要 基于安全芯片的代码下载启动安全保护方 法及装置， 该方法向安全芯片下载代码前， 需要 配置安全芯片可以判断下载权限， 每颗芯片只配 置一次， 不可重复配置； 向安全芯片下载代码时， 获取下载权限， 获取下载权限后才可以进行下 载； 获取下载权限后， 下载代码时， 同时将启动权 限配置数据下载到安全芯片， 可重复配置； 启动 代码时， 获取启动权 限， 获取启动权 限后才可 以 正常启动代码。 本发明采用双重认证， 下载权 限 需要配置信息认证(否则将配置不成功)和下载 认证(否则将无法下载)； 启动权限需要配置信息 认证(防止配置信息篡改)和启动认证(防止代码 篡改)， 保证芯片代码的安全， 防止非法代码下 载， 防止代码篡改。 权利要求书2页 说明书9页 附图6页 CN 114629641 B 2022.10.25 CN 114629641 B 1.基于安全芯片的代码下 载启动安全保护方法， 其特 征在于， 包括： 配置下载权限： 判断安全芯片是否下载公钥， 若所述安全芯片已下载公钥， 结束配置； 若所述安全芯片未下载公钥， 配置随机数信息， 下载公钥到所述安全芯片的SRAM， 采用私钥 对所述随机数进 行签名， 根据所述随机数的签名验证结果拷贝公钥到所述安全芯片的存储 区域； 获取下载权限： 从所述安全芯片获取所述随机数， 采用私钥对所述随机数进行签名， 将 签名数据下发到所述安全芯片， 所述安全芯片根据公钥对签名数据进行验证， 根据验证结 果判断是否具有下 载权限； 配置启动权限： 获取下载权限后， 向所述安全芯片下载代码； 对代码进行摘要运算获取 摘要值， 采用私钥对摘要值进行加密得到代码加密数据； 将所述代码加密数据配置成配置 信息， 将配置信息下 载到所述 安全芯片； 获取启动权限： 当代码启动时， 对所述配置信息进行校验； 当配置信息校验成功后， 对 所述安全芯片的代码存储区的代码进行摘要运算， 得到代码摘要数据； 采用公钥对所述代 码加密数据进行解密， 将解密数据和所述代码摘要数据进行比对， 根据比对结果判断是否 具有启动权限； 向安全芯片存储区域下载公钥时， 首先将公钥下载到安全芯片的SRAM中， 从安全芯片 获取随机数， 并用私钥对随机数进 行签名， 将 签名值下发安全芯片， 安全芯片用SRAM中的公 钥对签名值验签， 验签成功后安全芯片将公钥拷贝到存 储区； 配置启动权限过程中， 对所述代码加密数据配置的配置信息再次进行摘要运算， 将再 次进行摘要运算 获得的摘要值添加到配置信息中； 配置信息包括代码加密数据和配置信息 的摘要值； 获取启动权限过程中， 去 除配置信息中的摘要数据后， 对去 除摘要数据的配置信息进 行摘要运算， 运算的摘要值与去除的摘要值进行对比， 若比对结果一致， 则配置信息正确， 允许启动下 载， 否则启动下 载失败。 2.根据权利要求1所述的基于安全芯片的代码下载启动 安全保护方法， 其特征在于， 配 置下载权限的过程中， 采用OTP存 储模式进行一次性配置： 进行过下载权限配置的所述安全芯片的OTP存储区存有公钥和公钥标志， 通过公钥标 志判断公钥是否有效， 若公钥标志有效结束 下载权限配置； 若公钥标志无效， 则对所述安全 芯片进行 下载权限配置 。 3.根据权利要求1所述的基于安全芯片的代码下载启动 安全保护方法， 其特征在于， 获 取下载权限过程中， 所述安全芯片根据公开的公钥对签名数据进 行验证， 验签成功， 允许对 代码下载， 验签失败， 阻止代码下 载。 4.根据权利要求1所述的基于安全芯片的代码下载启动 安全保护方法， 其特征在于， 当 验证配置信息正确后， 对所述安全芯片中下载的代码进行摘要运算得到下载代码的摘要 值； 对配置信息中的代码加密数据采用公钥进行解密， 把解密的摘要值和下载代码的摘要 值进行对比， 若比对结果一致， 则代码正确， 允许所述安全芯片正常启动， 否则启动下载失 败。 5.基于安全芯片的代码下 载启动安全保护装置， 其特 征在于， 包括： 下载权限配置单元， 用于判断安全芯片是否下载公钥， 若所述安全芯片已下载公钥， 结权　利　要　求　书 1/2 页 2 CN 114629641 B 2束配置； 若所述安全芯片未下载公钥， 配置随机数信息， 下载公钥到所述安全芯片的SRAM， 采用私钥对所述随机数进 行签名， 根据所述随机数的签名验证结果拷贝公钥到所述安全芯 片的存储区域； 下载权限获取单元， 用于从所述安全芯片获取所述随机数， 采用私钥对所述随机数进 行签名， 将 签名数据下发到所述安全芯片， 所述安全芯片根据公钥对签名数据进 行验证， 根 据验证结果判断是否具有下 载权限； 启动权限配置单元， 用于获取下载权限后， 向所述安全芯片下载代码； 对代码进行摘要 运算获取摘要值， 采用私钥对摘要值进行加密得到代码加密数据； 将所述代码加密数据配 置成配置信息， 将配置信息下 载到所述 安全芯片； 启动权限获取单元， 用于当代码启动时， 对所述配置信 息进行校验； 当配置信 息校验成 功后， 对所述安全芯片的代码存储区的代码进行摘要运算， 得到代码摘要 数据； 采用公钥对 所述代码加密数据进行解密， 将解密数据和所述代码摘要数据进行比对， 根据比对结果判 断是否具有启动权限； 向安全芯片存储区域下载公钥时， 首先将公钥下载到安全芯片的SRAM中， 从安全芯片 获取随机数， 并用私钥对随机数进 行签名， 将 签名值下发安全芯片， 安全芯片用SRAM中的公 钥对签名值验签， 验签成功后安全芯片将公钥拷贝到存 储区； 配置启动权限过程中， 对所述代码加密数据配置的配置信息再次进行摘要运算， 将再 次进行摘要运算 获得的摘要值添加到配置信息中； 配置信息包括代码加密数据和配置信息 的摘要值； 获取启动权限过程中， 去 除配置信息中的摘要数据后， 对去 除摘要数据的配置信息进 行摘要运算， 运算的摘要值与去除的摘要值进行对比， 若比对结果一致， 则配置信息正确， 允许启动下 载， 否则启动下 载失败。 6.根据权利要求5所述的基于安全芯片的代码下载启动 安全保护装置， 其特征在于， 所 述下载权限配置单 元中， 采用OTP存 储模式进行一次性配置： 进行过下载权限配置的所述安全芯片的OTP存储区存有公钥和公钥标志， 通过公钥标 志判断公钥是否有效， 若公钥标志有效结束 下载权限配置； 若公钥标志无效， 则对所述安全 芯片进行 下载权限配置 。 7.根据权利要求5所述的基于安全芯片的代码下载启动 安全保护装置， 其特征在于， 所 述下载权限获取单元中， 所述安全芯片根据公开的公钥对签名数据进 行验证， 验签成功， 允 许对代码下 载， 验签失败， 阻止代码下 载。 8.根据权利要求5所述的基于安全芯片的代码下载启动 安全保护装置， 其特征在于， 当 验证配置信息正确后， 对所述安全芯片中下载的代码进行摘要运算得到下载代码的摘要 值； 对配置信息中的代码加密数据采用公钥进行解密， 把解密的摘要值和下载代码的摘要 值进行对比， 若比对结果一致， 则代码正确， 允许所述安全芯片正常启动， 否则启动下载失 败。权　利　要　求　书 2/2 页 3 CN 114629641 B 3