CN120068051B 一种基于安全协处理器的固件保护的方法及系统 （赛飞特工程技术集团有限公司）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN120068051B(45)授权公告日2025.07.11

(21)申请号202510533961.7

(22)申请日2025.04.27

(65)同一申请的已公布的文献号申请公布号CN120068051A

(43)申请公布日2025.05.30

(56)对比文件

CN109564606A,2019.04.02

CN107679425A,2018.02.09

审查员金梦

(73)专利权人赛飞特工程技术集团有限公司

地址266000山东省青岛市崂山区石岭路

39号(名汇国际)1号楼6层702户

(72)发明人孙传武李祥龙孟庆利李华才

(51)Int.CI.

GO6F21/51(2013.01)

GO6F21/42(2013.01)

GO6F21/55(2013.01)

GO6F21/64(2013.01)

GO6F21/44(2013.01)

权利要求书4页说明书21页附图2页

(54)发明名称

一种基于安全协处理器的固件保护的方法及系统

(57)摘要

CN120068051B本发明涉及固件保护技术领域，尤其涉及一种基于安全协处理器的固件保护的方法及系统。该方法包括以下步骤：获取协处理器特征数据；根据协处理器特征数据提取硬件熵源数据；基于硬件熵源数据生成硬件信任根密钥；基于硬件信任根密钥对固件进行分区处理，得到固件分区数据；根据固件分区数据构建分层验证结构数据；基于分层验证结构数据实施固件启动安全校验，得到完整性验证数据；根据完整性验证数据建立处理器间的安全通信通道；基于安全通信通道执行双向认证过程，并生成会话密钥数据；基于会

CN120068051B

获取协处理器特征数据；根据协处理器特征数据提取硬件熵源数据；基于硬件熵源数据生成硬件信任根密钥

基于硬件信任根密钥对固件进行分区处理，得到固件分区数据；根据固件分区数据构建分层验证结构数据；基于分层验证结构数据实施固件启动安全校验，得到完整性验证数据

根据完整性验证数据建立处理器间的安全通信通道；基于安全通信通道执行双向认证过程，并生成会话密钥数据

基于会话密钥数据监测固件运行环境；根据固件运行环境识别潜在异常行为，并实施防护措施，得到固件运行时的保护状态数据

根据保护状态数据监控数据访问请求；基于数据访问请求进行硬件加密处理，得到硬件加密结果数据；根据硬件加密结果数据建立数据防算改保护机制，得到固件数据安全状态数据

S2

S4

S5

CN120068051B权利要求书1/4页

2

1.一种基于安全协处理器的固件保护的方法，其特征在于，包括以下步骤：

步骤S1:获取协处理器特征数据；根据协处理器特征数据提取硬件熵源数据；基于硬件熵源数据生成硬件信任根密钥；

步骤S2:基于硬件信任根密钥对固件进行分区处理，得到固件分区数据；根据固件分区数据构建分层验证结构数据；基于分层验证结构数据实施固件启动安全校验，得到完整性验证数据，其中基于硬件信任根密钥对固件进行分区处理具体为：

基于协处理器特征数据进行固件二进制代码分析，并识别功能模块和数据区域，建立固件结构映射表；

基于固件结构映射表划分固件安全等级，将固件分为引导区、核心执行区、配置区和数据存储区；

对引导区的固件代码进行哈希加密，利用硬件信任根密钥生成引导区签名数据；

对核心执行区的固件代码进行分块切片处理，生成数据块大小为4KB的代码块序列数

据；

基于硬件信任根密钥和代码块序列数据计算各代码块的HMAC值，构建代码完整性校验

链；

将配置区的参数加密存储，并设置基于硬件信任根密钥的访问控制策略；

对数据存储区进行安全隔离，并建立基于硬件信任根密钥的数据加密通道；

将引导区签名数据、代码完整性校验链、配置区访问控制以及数据加密通道合并为固件分区数据；

其中根据固件分区数据构建分层验证结构数据具体为：

基于固件分区数据构建多级验证节点，形成树状验证层级，确定主从验证关系；

根据主从验证关系分配验证优先级，构建验证依赖图，生成节点验证顺序；

将固件分区数据中的引导区签名数据设置为根验证节点；

基于固件分区数据中的代码完整性校验链建立核心执行区的级联验证结构，形成验证传递链；

对固件分区数据中的配置区参数建立散列验证表，并与访问控制策略关联，生成配置验