保护芯片私密信息的方法、装置、设备、介质和产品与流程

本发明涉及计算机软件，尤其涉及一种保护芯片私密信息的方法、装置、设备、介质和产品。

背景技术：

1、在芯片设计领域，很多的系统级芯片（system on chip，soc）都会设计单次可编程（one time programmable，otp）存储空间，用于保存一些soc的固有私密信息（比如芯片根密钥，设备根密钥，验证密钥，调试密钥等等），而上述固有私密信息是需要在soc的生产阶段就提前烧录进去。为了保证在工厂的生产过程中的私密信息安全，通常的做法是采用对称加密技术把私密信息明文先转换为密文，然后将转换后的密文导入并批量生产，后续使用场景下对密文进行解密使用，可以避免私密信息明文的直接暴露。

2、然而，将转换后的密文导入并批量生产具有以下几点缺陷：第一，私密信息密文烧录过程中有泄密风险。第二，私密信息明文的长度较长，对称加密后的私密信息密文的长度与私密信息明文的长度是一致的，根据不同的加密算法，可以达到2kb甚至更长。而otp中可能包含多个私密信息，私密信息密文占用了比较大的otp存储空间，导致芯片面积和生产成本都增大。第三为了对私密信息密文进行解密，还需维护一个专用的安全环境保存密钥，对安全性有较高要求；如果每个设备需要不同的根密钥（一芯一密），还需要安全的密钥保护服务器来管理密钥，成本大大增加。

技术实现思路

1、本发明提供一种保护芯片私密信息的方法、装置、设备、介质和产品，用以解决现有技术中私密信息密文在烧录过程中存在泄密风险，占用了比较大的otp空间，导致芯片面积和生产成本都增大，且需维护专用的安全环境保存密钥，还需安全的密钥保护服务器来管理密钥，大大增加了成本的缺陷。

2、本发明提供一种保护芯片私密信息的方法，包括如下步骤：为目标芯片的私密信息生成种子密钥；将所述种子密钥烧录至所述目标芯片的单次可编程otp存储空间以避免所述目标芯片在烧录过程中产生安全泄露。

3、作为一个实施例，在所述将所述种子密钥烧录至所述目标芯片的单次可编程otp存储空间之后，还包括：响应于私密信息生成指令，从所述otp存储空间读取所述种子密钥，基于预设的派生算法和所述种子密钥生成所述目标芯片的私密信息，或者，基于预设的密码学算法和所述种子密钥生成所述目标芯片的私密信息。

4、作为一个实施例，所述基于预设的派生算法和所述种子密钥生成所述目标芯片的私密信息，包括：将所述种子密钥代入所述派生算法，得到所述派生算法生成的派生密钥，将所述派生密钥作为所述私密信息；其中，所述派生算法的表达式为：dk=kdf（key，salt，iterations，lenth）；dk为派生密钥，key为所述种子密钥，salt为预先为所述目标芯片生成的密码盐的随机数，iterations为所述目标芯片包含的子功能的迭代次数，lenth为派生密钥的长度。

5、作为一个实施例，所述派生算法存储于安全核，所述密码盐的随机数固化于所述目标芯片的硬件代码。

6、作为一个实施例，在所述目标芯片的每次安全启动流程中，所述密码盐的随机数、所述迭代次数和所述派生密钥的长度均相同。

7、作为一个实施例，所述密码学算法包括对称加密算法和非对称加密算法。

8、本发明还提供一种保护芯片私密信息的装置，包括如下模块：密钥生成模块，用于为目标芯片的私密信息生成种子密钥；密钥烧录模块，用于将所述种子密钥烧录至所述目标芯片的单次可编程otp存储空间以避免所述目标芯片在烧录过程中产生安全泄露。

9、本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述任一种所述保护芯片私密信息的方法。

10、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述保护芯片私密信息的方法。

11、本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述保护芯片私密信息的方法。

12、本发明提供的保护芯片私密信息的方法、装置、设备、介质和产品，采用种子密钥替代私密信息密文，因种子密钥是可公开的，不存在烧录过程中的泄密风险，也无需维护一个专用的安全环境进行保存，对安全性要求低，无需密钥保护服务器来管理，降低了服务器成本，另外，种子密钥的长度低于私密信息密文，节省了otp空间，降低了芯片面积和生产成本。

技术特征：

1.一种保护芯片私密信息的方法，其特征在于，包括：

2.根据权利要求1所述的保护芯片私密信息的方法，其特征在于，在所述将所述种子密钥烧录至所述目标芯片的单次可编程otp存储空间之后，还包括：

3.根据权利要求2所述的保护芯片私密信息的方法，其特征在于，所述基于预设的派生算法和所述种子密钥生成所述目标芯片的私密信息，包括：

4.根据权利要求3所述的保护芯片私密信息的方法，其特征在于，所述派生算法存储于安全核，所述密码盐的随机数固化于所述目标芯片的硬件代码。

5.根据权利要求3或4所述的保护芯片私密信息的方法，其特征在于，在所述目标芯片的每次安全启动流程中，所述密码盐的随机数、所述迭代次数和所述派生密钥的长度均相同。

6.根据权利要求2所述的保护芯片私密信息的方法，其特征在于，所述密码学算法包括对称加密算法和非对称加密算法。

7.一种保护芯片私密信息的装置，其特征在于，包括：

8.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述保护芯片私密信息的方法。

9.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述保护芯片私密信息的方法。

10.一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述保护芯片私密信息的方法。

技术总结
本发明提供一种保护芯片私密信息的方法、装置、设备、介质和产品，涉及计算机软件技术领域，方法包括为目标芯片的私密信息生成种子密钥；将所述种子密钥烧录至所述目标芯片的单次可编程OTP存储空间以避免所述目标芯片在烧录过程中产生安全泄露。本发明采用种子密钥替代私密信息密文，因种子密钥是可公开的，不存在烧录过程中的泄密风险，也无需维护一个专用的安全环境进行保存，对安全性要求低，无需密钥保护服务器来管理，降低了服务器成本，另外，种子密钥的长度低于私密信息密文，节省了OTP空间，降低了芯片面积和生产成本。

技术研发人员：请求不公布姓名,请求不公布姓名
受保护的技术使用者：上海壁仞科技股份有限公司
技术研发日：
技术公布日：2024/11/7