检测硬件的方法、装置、设备及存储介质制造方法及图纸

本申请公开了检测硬件的方法、装置、设备及存储介质。方法包括：向物理载体发送第一验证数据，物理载体上承载有多个硬件；接收物理载体返回的密文和绑定关系信息，密文是多个硬件中的至少两个硬件分别采用各自的密钥对第一验证数据进行加密之后得到的，绑定关系信息用于指示至少两个硬件之间的绑定关系；对密文及绑定关系信息进行验证，基于验证结果确定至少两个硬件的安全性。基于物理载体上承载的硬件之间的绑定关系以及硬件采用各自的密钥加密的密文来验证硬件的安全性，能够防止硬件发生被替换以及被仿冒等攻击行为。生被替换以及被仿冒等攻击行为。生被替换以及被仿冒等攻击行为。

【技术实现步骤摘要】
检测硬件的方法、装置、设备及存储介质


[0001]本申请涉及安全
，特别涉及检测硬件的方法、装置、设备及存储介质。

技术介绍

[0002]硬件的安全性是密码算法、安全协议等软件安全技术的基础。近年来，针对硬件的攻击行为越来越常见。因此，如何进行硬件检测，以在硬件层面保证设备的安全性，已经成为安全领域的重要课题。

技术实现思路

[0003]本申请实施例提供了一种检测硬件的方法、装置、设备及存储介质，以解决相关技术中的问题，技术方案如下：
[0004]第一方面，提供了一种检测硬件的方法，所述方法包括：向物理载体发送第一验证数据，所述物理载体上承载有多个硬件；接收所述物理载体返回的密文和绑定关系信息，所述密文是所述多个硬件中的至少两个硬件分别采用各自的密钥对所述第一验证数据进行加密之后得到的，所述绑定关系信息用于指示所述至少两个硬件之间的绑定关系；对所述密文及所述绑定关系信息进行验证，基于验证结果确定所述至少两个硬件的安全性。
[0005]通过基于物理载体上承载的硬件之间的绑定关系以及硬件采用各自的密钥加密的密文来验证硬件的安全性，能够防止硬件发生被替换以及被仿冒等攻击行为。
[0006]结合第一方面，在第一方面的第一种可能的实施方式中，所述绑定关系信息包括所述至少两个硬件所对应的密钥之间的绑定关系；所述对所述密文及所述绑定关系信息进行验证，包括：获取所述至少两个硬件所对应的密钥，基于所述至少两个硬件所对应的密钥验证所述绑定关系信息包括的绑定关系是否正确；采用所述至少两个硬件所对应的密钥对所述至少两个硬件加密的密文分别进行解密，验证解密得到的第二验证数据与所述第一验证数据是否一致；所述基于验证结果确定所述至少两个硬件的安全性，包括：当验证结果为所述绑定关系信息包括的绑定关系正确，且解密得到的第二验证数据与第一验证数据一致时，确定所述至少两个硬件为安全状态。
[0007]结合第一方面或第一方面的第一种可能的实施方式，在第一方面的第二种可能的实施方式中，所述接收所述物理载体返回的密文和绑定关系信息，包括：接收所述物理载体返回的密文和公证证书，所述公证证书中包括所述至少两个硬件所对应的密钥之间的绑定关系，还包括所述绑定关系的数字签名；所述对所述密文及所述绑定关系信息进行验证，包括：基于所述公证证书中的数字签名验证所述绑定关系信息包括的绑定关系是否正确；采用所述公证证书中所述至少两个硬件所对应的密钥对所述至少两个硬件加密的密文分别进行解密，验证解密得到的第二验证数据与所述第一验证数据是否一致；所述基于验证结果确定所述至少两个硬件的安全性，包括：当验证结果为所述绑定关系信息包括的绑定关系正确，且解密得到的第二验证数据与第一验证数据一致时，确定所述至少两个硬件为安全状态。
[0008]通过公证证书来验证硬件之间的绑定关系，能够兼容标准的TCG认证协议，且在协议中扩展硬件的绑定关系，从而具备较强的实用性。
[0009]结合第一方面、第一方面的第一种或第二种可能的实施方式，在第一方面的第三种可能的实施方式中，所述至少两个硬件所对应的密钥由所述至少两个硬件分别基于各自的硬件标识生成。
[0010]由于硬件标识是硬件的固有属性，具有唯一性、不可复制，且由硬件提供保护，因而基于硬件各自的硬件标识生成硬件的密钥，在提高了密钥的安全性的基础上，使得硬件的安全性进一步提高。
[0011]结合第一方面的第三种可能的实施方式，在第一方面的第四种可能的实施方式中，所述硬件标识包括硬件唯一密钥HUK、物理不可克隆函数PUF、机密性受保护的一次性可编程OTP中的标识信息或背书密钥EK。
[0012]结合第一方面、第一方面的第一种至第四种中任一可能的实施方式，在第一方面的第五种可能的实施方式中，所述密钥包括对称密钥或非对称密钥。
[0013]结合第一方面的第五种可能的实施方式，在第一方面的第六种可能的实施方式中，当所述密钥是非对称密钥时，所述密钥包括公钥和私钥；所述密文是所述至少两个硬件分别采用各自的私钥对所述第一验证数据进行加密之后得到的，所述绑定关系信息基于所述至少两个硬件所对应的公钥之间的绑定关系得到。通过采用非对称密钥，进一步提高硬件的安全性。
[0014]第二方面，提供了一种检测硬件的方法，所述方法包括：接收验证单元发送的第一验证数据；获取密文和绑定关系信息，所述密文是物理载体上承载的多个硬件中的至少两个硬件分别采用各自的密钥对所述第一验证数据进行加密之后得到的，所述绑定关系信息用于指示所述至少两个硬件之间的绑定关系；将所述密文和绑定关系信息发送至所述验证单元，由所述验证单元对所述密文及所述绑定关系信息进行验证，基于验证结果确定所述至少两个硬件的安全性。
[0015]结合第二方面，在第二方面的第一种可能的实施方式中，获取绑定关系信息之前，还包括：获取所述至少两个硬件的密钥，基于所述至少两个硬件的密钥之间的绑定关系获取所述绑定关系信息，存储所述绑定关系信息。
[0016]结合第二方面的第一种可能的实施方式，在第一方面的第二种可能的实施方式中，所述基于所述至少两个硬件的密钥之间的绑定关系获取所述绑定关系信息，存储所述绑定关系信息，包括：注册所述至少两个硬件的密钥，得到公证证书，存储所述公证证书，所述公证证书中包括所述至少两个硬件所对应的密钥之间的绑定关系，还包括所述绑定关系的数字签名；所述获取绑定关系信息，包括：获取所述公证证书。
[0017]结合第二方面、第二方面的第一种或第二种可能的实施方式，在第二方面的第三种可能的实施方式中，所述至少两个硬件所对应的密钥由所述至少两个硬件分别基于各自的硬件标识生成。
[0018]结合第二方面的第三种可能的实施方式，在第二方面的第四种可能的实施方式中，所述硬件标识包括HUK、PUF、机密性受保护的OTP中的标识信息或EK。
[0019]结合第二方面、第二方面的第一种至第四种中任一可能的实施方式，在第二方面的第五种可能的实施方式中，所述密钥包括对称密钥或非对称密钥。
[0020]结合第二方面的第五种可能的实施方式，在第二方面的第六种可能的实施方式中，当所述密钥是非对称密钥时，所述密钥包括公钥和私钥；所述密文是所述至少两个硬件分别采用各自的私钥对所述第一验证数据进行加密之后得到的，所述绑定关系信息基于所述至少两个硬件所对应的公钥之间的绑定关系得到。
[0021]第三方面，提供了一种检测硬件的装置，所述装置包括：发送模块，用于向物理载体发送第一验证数据，所述物理载体上承载有多个硬件；接收模块，用于接收所述物理载体返回的密文和绑定关系信息，所述密文是所述多个硬件中的至少两个硬件分别采用各自的密钥对所述第一验证数据进行加密之后得到的，所述绑定关系信息用于指示所述至少两个硬件之间的绑定关系；验证模块，用于对所述密文及所述绑定关系信息进行验证，用于基于验证结果确定所述至少两个硬件的安全性。
[0022]结合第三方面，在第三方面的第一种可能的实施方式中，所述绑定关系信息包括所述至少两个硬件所对应本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种检测硬件的方法，其特征在于，所述方法包括：向物理载体发送第一验证数据，所述物理载体上承载有多个硬件；接收所述物理载体返回的密文和绑定关系信息，所述密文是所述多个硬件中的至少两个硬件分别采用各自的密钥对所述第一验证数据进行加密之后得到的，所述绑定关系信息用于指示所述至少两个硬件之间的绑定关系；对所述密文及所述绑定关系信息进行验证，基于验证结果确定所述至少两个硬件的安全性。2.根据权利要求1所述的方法，其特征在于，所述绑定关系信息包括所述至少两个硬件所对应的密钥之间的绑定关系；所述对所述密文及所述绑定关系信息进行验证，包括：获取所述至少两个硬件所对应的密钥，基于所述至少两个硬件所对应的密钥验证所述绑定关系信息包括的绑定关系是否正确；采用所述至少两个硬件所对应的密钥对所述至少两个硬件加密的密文分别进行解密，验证解密得到的第二验证数据与所述第一验证数据是否一致；所述基于验证结果确定所述至少两个硬件的安全性，包括：当验证结果为所述绑定关系信息包括的绑定关系正确，且解密得到的第二验证数据与第一验证数据一致时，确定所述至少两个硬件为安全状态。3.根据权利要求1所述的方法，其特征在于，所述接收所述物理载体返回的密文和绑定关系信息，包括：接收所述物理载体返回的密文和公证证书，所述公证证书中包括所述至少两个硬件所对应的密钥之间的绑定关系，还包括所述绑定关系的数字签名；所述对所述密文及所述绑定关系信息进行验证，包括：基于所述公证证书中的数字签名验证所述绑定关系信息包括的绑定关系是否正确；采用所述公证证书中所述至少两个硬件所对应的密钥对所述至少两个硬件加密的密文分别进行解密，验证解密得到的第二验证数据与所述第一验证数据是否一致；所述基于验证结果确定所述至少两个硬件的安全性，包括：当验证结果为所述绑定关系信息包括的绑定关系正确，且解密得到的第二验证数据与第一验证数据一致时，确定所述至少两个硬件为安全状态。4.根据权利要求1-3任一所述的方法，其特征在于，所述至少两个硬件所对应的密钥由所述至少两个硬件分别基于各自的硬件标识生成。5.根据权利要求4所述的方法，其特征在于，所述硬件标识包括硬件唯一密钥HUK、物理不可克隆函数PUF、机密性受保护的一次性可编程OTP中的标识信息或背书密钥EK。6.根据权利要求1-5任一所述的方法，其特征在于，所述密钥包括对称密钥或非对称密钥。7.根据权利要求6所述的方法，其特征在于，当所述密钥是非对称密钥时，所述密钥包括公钥和私钥；所述密文是所述至少两个硬件分别采用各自的私钥对所述第一验证数据进行加密之后得到的，所述绑定关系信息基于所述至少两个硬件所对应的公钥之间的绑定关系得到。8.一种检测硬件的方法，其特征在于，所述方法包括：
接收验证单元发送的第一验证数据；获取密文和绑定关系信息，所述密文是物理载体上承载的多个硬件中的至少两个硬件分别采用各自的密钥对所述第一验证数据进行加密之后得到的，所述绑定关系信息用于指示所述至少两个硬件之间的绑定关系；将所述密文和所述绑定关系信息发送至所述验证单元，由所述验证单元对所述密文及所述绑定关系信息进行验证，基于验证结果确定所述至少两个硬件的安全性。9.根据权利要求8所述的方法，其特征在于，获取绑定关系信息之前，还包括：获取所述至少两个硬件的密钥，基于所述至少两个硬件的密钥之间的绑定关系获取所述绑定关系信息，存储所述绑定关系信息。10.根据权利要求9所述的方法，其特征在于，所述基于所述至少两个硬件的密钥之间的绑定关系获取所述绑定关系信息，存储所述绑定关系信息，包括：注册所述至少两个硬件的密钥，得到公证证书，存储所述公证证书，所述公证证书中包括所述至少两个硬件所对应的密钥之间的绑定关系，还包括所述绑定关系的数字签名；所述获取绑定关系信息，包括：获取所述公证证书。11.根据权利要求8-10任一所述的方法，其特征在于，所述至少两个硬件所对应的密钥由所述至少两个硬件分别基于各自的硬件标识生成。12.根据权利要求11所述的方法，其特征在于，所述硬件标识包括硬件唯一密钥HUK、物理不可克隆函数PUF、机密性受保护的一次性可编程OTP中的标识信息或背书密钥EK。13.根据权利要求8-12任一所述的方法，其特征在于，所述密钥包括对称密钥或非对称密钥。14.根据权利要求13所述的方法，其特征在于，当所述密钥是非对称密钥时，所述密钥包括公钥和私钥；所述密文是所述至少两个硬件分别采用各自的私钥对所述第一验证数据进行加密之后得到的，所述绑定关系信息基于所述至少两个硬件所对应的公钥之间的绑定关系得到。15.一种检测硬件的装置，其特征在于，所述装置包括：发送模块，用于向物理载体发送第一验证数据，所述物理载体上承载有多个硬件；接收模块，用于接收所述物理载体返回的密文和绑定关系信...

【专利技术属性】
技术研发人员：张梦楠，乔立忠，陈海武，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：