调试授权方法及系统与流程

本技术涉及调试授权，尤其涉及调试授权方法及系统。

背景技术：

1、处理器通常都会留出jtag接口，可用于对处理器自身的检测，也可在交付用户后用户用于对系统软件进行调试。通过jtag接口控制处理器即拥有了系统最高权限，现存技术通过在出厂后禁用jtag接口来保护处理器内部秘密不被获取。或者，通过设置不公开的方式秘密打开jtag接口，但该方式的具体操作过程一旦被外界获悉则无法阻止攻击者利用jtag接口对处理器进行攻击。

技术实现思路

1、本技术提供了调试授权方法，以解决现有的jtag接口安全性和系统软件调试便捷性无法兼顾的技术问题，实现在服务器交付使用后，仍可在保证安全的前提下对用户的调试权限进行配置管理。

2、为解决上述技术问题，第一方面，本技术提供了第一种调试授权方法，应用于处理器，所述方法包括：

3、采用所述处理器的rom模块内存储的调试授权密钥的公钥，对用于调试授权认证的第一认证信息进行非对称加密，获得第一认证信息密文，所述第一认证信息包括所述处理器的标识和所述处理器的真随机数生成设备生成的随机数；

4、将所述第一认证信息密文经由验证代理装置转发至验证服务器，使得所述验证服务器采用调试授权密钥的私钥，解密所述第一认证信息密文，获得第二认证信息，并根据所述第二认证信息中处理器的标识有效性的验证结果，产生调试授权权限，再采用所述私钥，对所述第二认证信息和所述调试授权权限进行非对称加密，获得第二认证信息密文；接收所述验证服务器通过所述验证代理装置返回的第二认证信息密文；

5、采用所述公钥，解密所述第二认证信息密文，获得所述调试授权权限和所述第二认证信息，响应于确定所述第一认证信息与所述第二认证信息比对结果一致，则按照所述调试授权权限，启动所述处理器的调试模块和所述处理器的引脚进行调试操作。

6、优选的，所述将所述第一认证信息密文经由验证代理装置转发至所述验证服务器，包括：

7、将所述第一认证信息密文发送至验证代理装置，由所述验证代理装置将第三认证信息加入所述第一认证信息密文得到第四认证信息，并将所述第四认证信息传输至所述验证服务器；所述第三认证信息包括：所述处理器的用户名和密码。

8、优选的，所述根据所述第二认证信息中处理器标识的有效性的验证结果，产生调试授权权限，包括：

9、响应于确定所述第二认证信息中处理器的标识和所述验证服务器内存储的处理器的标识一致，则所述第二认证信息中处理器的标识有效，产生启用调试功能的调试授权权限；

10、响应于确定所述第二认证信息中处理器的标识和所述验证服务器内存储的处理器的标识不一致，则所述第二认证信息中处理器的标识无效，不产生调试授权权限，则启动所述rom模块。

11、优选的，所述方法还包括：

12、响应于确定所述第一认证信息与所述第二认证信息比对结果不一致，则保持所述调试模块和所述引脚处于禁用状态。

13、优选的，所述采用所述处理器的rom模块内存储的调试授权密钥的公钥，对用于调试授权认证的第一认证信息进行非对称加密之前，还包括：

14、接收是否进入调试授权指令，如是，则进行调试授权，如否，则直接启动所述rom模块。

15、第二方面，本技术还提供了一种调试授权系统，应用于处理器，所述系统包括：第一加密模块、第一密文传输模块和解密调试模块；

16、所述第一加密模块，用于采用所述处理器的rom模块内存储的调试授权密钥的公钥，对用于调试授权认证的第一认证信息进行非对称加密，获得第一认证信息密文，所述第一认证信息包括所述处理器的标识和所述处理器的真随机数生成设备生成的随机数；

17、所述第一密文传输模块，用于将所述第一认证信息密文经由验证代理装置转发至验证服务器，使得所述验证服务器采用调试授权密钥的私钥，解密所述第一认证信息密文，获得第二认证信息，并根据所述第二认证信息中处理器的标识有效性的验证结果，产生调试授权权限，再采用所述私钥，对所述第二认证信息和所述调试授权权限进行非对称加密，获得第二认证信息密文；接收所述验证服务器通过所述验证代理装置返回的第二认证信息密文；

18、所述解密调试模块：用于采用所述公钥，解密所述第二认证信息密文，获得所述调试授权权限和所述第二认证信息，响应于确定所述第一认证信息与所述第二认证信息比对结果一致，则按照所述调试授权权限，启动所述处理器的调试模块和所述处理器的引脚进行调试操作。

19、第三方面，本技术还提供了第二种调试授权方法，应用于验证服务器，所述方法包括：

20、接收处理器通过验证代理装置转发的第一认证信息密文；其中，所述第一认证信息密文由所述处理器采用所述处理器的rom模块内存储的调试授权秘钥的公钥，对第一认证信息进行非对称加密获得，所述第一认证信息包括所述处理器的标识和所述处理器的真随机数生成设备生成的随机数；

21、采用所述调试授权秘钥的私钥，解密所述第一认证信息密文，获得第二认证信息，并根据所述第二认证信息中处理器的标识有效性的验证结果，产生调试授权权限，再采用所述私钥，对所述调试授权权限和所述第二认证信息进行非对称加密，获得第二认证信息密文；

22、将所述第二认证信息密文经由所述验证代理装置转发至所述处理器，以使所述处理器采用所述公钥，解密所述第二认证信息密文，获得所述调试授权权限和所述第二认证信息，响应于确定所述第一认证信息与所述第二认证信息比对结果一致，则按照所述调试授权权限，启用所述处理器的调试模块和所述处理器的引脚进行调试操作。

23、第四方面，本技术还提供了第二种调试授权系统，应用于验证服务器，所述系统包括：密文接收模块、验证授权模块、第二密文传输模块；

24、所述密文接收模块，用于接收处理器通过验证代理装置转发的第一认证信息密文；其中，所述第一认证信息密文由所述处理器采用所述处理器的rom模块内存储的调试授权秘钥的公钥，对第一认证信息进行非对称加密获得，所述第一认证信息包括所述处理器的标识和所述处理器的真随机数生成设备生成的随机数；

25、所述验证授权模块，用于采用所述调试授权秘钥的私钥，解密所述第一认证信息密文，获得第二认证信息，并根据所述第二认证信息中处理器的标识有效性的验证结果，产生调试授权权限，再采用所述私钥，对所述调试授权权限和所述第二认证信息进行非对称加密，获得第二认证信息密文；

26、所述第二密文传输模块，用于将所述第二认证信息密文经由所述验证代理装置转发至所述处理器，以使所述处理器采用所述公钥，解密所述第二认证信息密文，获得所述调试授权权限和所述第二认证信息，响应于确定所述第一认证信息与所述第二认证信息比对结果一致，则按照所述调试授权权限，启用所述处理器的调试模块和所述处理器的引脚进行调试操作。

27、第五方面，本技术还提供了第三种调试授权方法，所述方法包括：

28、处理器采用所述处理器的rom模块内存储的调试授权密钥的公钥，对第一认证信息进行非对称加密，获得第一认证信息密文，所述第一认证信息包括所述处理器的标识和所述处理器的真随机数生成设备生成的随机数；

29、将所述第一认证信息密文经由验证代理装置转发至所述验证服务器；

30、所述验证服务器采用调试授权密钥的私钥，解密所述第一认证信息密文，获得第二认证信息，并根据所述第二认证信息中处理器标识的有效性的验证结果，产生调试授权权限；再采用所述私钥，对所述调试授权权限和所述第二认证信息进行非对称加密，获得第二认证信息密文；

31、将所述第二认证信息密文经由所述验证代理装置转发至所述处理器；

32、所述处理器采用所述公钥，解密所述第二认证信息密文，获得所述调试授权权限和所述第二认证信息，响应于确定所述第一认证信息与所述第二认证信息比对结果一致，则按照所述调试授权权限，启用所述处理器的调试模块和所述处理器的引脚进行调试操作。

33、第六方面，本技术还提供了第三种调试授权系统，所述系统包括：处理器、验证服务器和验证代理装置；

34、所述处理器，用于采用所述处理器的rom模块内存储的调试授权密钥的公钥，对第一认证信息进行非对称加密，获得第一认证信息密文，所述第一认证信息包括所述处理器的标识和所述处理器的真随机数生成设备生成的随机数；将所述第一认证信息密文发送至所述验证代理装置；接收所述验证代理装置返回的第二认证信息密文；采用所述公钥解密所述第二认证信息密文，获得调试授权权限和第二认证信息，响应于确定所述第一认证信息与所述第二认证信息比对结果一致，则按照所述调试授权权限，启用所述处理器的调试模块和所述处理器的引脚进行调试操作；

35、所述验证代理装置，用于接收并转发所述第一认证信息密文至所述验证服务器；还用于接收并转发所述第二认证信息密文至所述所述处理器；

36、所述验证服务器，用于采用调试授权密钥的私钥，解密所述第一认证信息密文，获得所述第二认证信息，并根据所述第二认证信息中处理器的标识有效性的验证结果，产生所述调试授权权限；再采用所述私钥，对所述调试授权权限和所述第二认证信息进行非对称加密，获得第二认证信息密文；将所述第二认证信息密文发送至验证代理装置。

37、本技术提供了调试授权的方法和系统。所述方法包括：采用处理器的rom模块内存储的调试授权密钥的公钥对第一认证信息进行非对称加密，第一认证信息中包括处理器的标识。验证代理装置转发处理器和验证服务器之间的密文。验证服务器接收到第一认证信息密文后采用调试授权密钥的私钥解密获得第二认证信息，并根据处理器的标识有效性的验证结果产生调试授权权限；采用私钥对调试授权权限和第二认证信息加密。处理器接收到第二认证信息密文后采用公钥解密，获得调试授权权限和第二认证信息，响应于确定第一认证信息与第二认证信息比对结果一致，则按照调试授权权限对处理器的调试模块和处理器的引脚进行调试操作。本技术的技术方案可实现在服务器交付使用后，仍可在保证安全的前提下对用户的调试权限进行配置管理。