(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210431568.3 (22)申请日 2022.04.22 (71)申请人 山东三未信安信息科技有限公司 地址 250098 山东省济南市高新区新 泺大 街1299号鑫盛大厦2号楼18层1801 申请人 山东多次方半导体有限公司 (72)发明人 桑洪波　李风杰　 (74)专利代理 机构 北京首捷专利代理有限公司 11873 专利代理师 梁婧宇 (51)Int.Cl. G06F 21/46(2013.01) G06F 9/445(2018.01) H04L 9/32(2006.01) (54)发明名称 一种注入式密码服 务器及执 行方法 (57)摘要 本发明公开了一种注入式密码服务器及执 行方法， 该注入式密码服务器包括： 产品镜像子 系统， 将各种服务器设备抽象及例化， 各服务器 设备的产品被抽取为产品镜像文件； 各产品运行 过程中的中间变量存储在密码服务器内存或 PCI‑E密码卡的用户区； 产品注入子系统集成在 基本输入输出系统中， 能够访问密码服务器产品 携带的PCI ‑E密码卡， 能够使用PCI ‑E密码卡的密 钥、 密码运算以及PCI ‑E密码卡的用户区功能； 校 验和加载产品镜像文件， 并将通过验证的所述产 品镜像文件注入到密码服务器硬件中。 该注入式 密码服务器能够摒弃大容量的磁盘或固态盘， 将 各类产品生产统一化， 降低产品经济成本和生产 时间成本， 便 于各产品升级、 运维和使用。 权利要求书2页 说明书6页 附图1页 CN 114912102 A 2022.08.16 CN 114912102 A 1.一种注入式密码服 务器， 其特 征在于， 包括： 产品镜像子系统和产品注入子系统； 其中， 所述产品镜像子系统， 用于将各种服务器设备抽象及例化， 各服务器设备的产品 被抽取为产品镜像文件； 各产品运行过程中的中间变量存储在密码服务器内存或PCI ‑E密 码卡的用户区； 产品注入子系统， 用于集成在基本输入输出系统中， 能够访 问密码服务器产品携带的 PCI‑E密码卡， 能够使用PCI ‑E密码卡的密钥、 密码运算以及PCI ‑E密码卡的用户区功能； 校 验和加载所述产品镜像文件， 并将通过验证的所述产品镜像文件注入到密码服务器硬件 中。 2.根据权利要求1所述的一种注入式密码服务器， 其特征在于， 所述产品镜像子系统具 体包括： 抽取模块， 用于抽取各产品使用的操作系统、 相关驱动、 服务程序并例化为格 式镜像文 件； 解析模块， 用于解析 所述格式镜像文件， 分离出代码段和浮 点数常量的关键数据段； 运算模块， 用于采用SM3密码算法对所述关键数据段进行杂凑运算， 再使用厂商私钥进 行SM2签名运 算； 生成模块， 用于将所述运算模块的运算结果填充在格式镜像文件的扩展字段， 生成产 品镜像文件； 所述产品镜像文件供 所述产品注入子系统校验和 加载。 3.根据权利要求2所述的一种注入式密码服务器， 其特征在于， 所述产品注入子系统具 体包括： 产品镜像载入模块， 用于驱动、 访问PCI ‑E密码卡， 配置产品镜像文件的加载方式， 调用 产品镜像验证模块验证产品镜像文件， 将验证通过的产品镜像文件直接加载至密码服务器 内存中； 产品镜像验证模块， 用于验证产品镜像文件是否合法。 4.根据权利要求3所述的一种注入式密码服务器， 其特征在于， 所述产品镜像验证模 块， 包括： 引入子模块， 用于引入厂商身份密钥对， 厂商身份密钥对采用SM2密钥对， 相应的分为 厂商私钥和厂商公钥； 所述厂商私钥存储在厂商设备内， 所述厂商公钥预置在P CI‑E密码卡 内部； 加载与验证子模块， 用于对所述产品镜像文件进行加载和验证， 将SM2签名结果加载至 PCI‑E密码卡内部， 采用SM3杂凑算法计算加载的关键数据段， 读取厂商公钥并执行验证签 名操作， 若验证操作通过则跳转至各产品对应的操作系统地址并启动； 若验证操作失败则 进行错误告警并退 出加载。 5.一种注入式密码服务器的执行方法， 其特征在于， 应用在如权利要求1 ‑4任一项所述 的注入式密码服 务器上， 该 执行方法包括： 通过产品镜像子系统将各种服务器设备抽象及例化， 各服务器设备的产品被抽取为产 品镜像文件； 采用产品注入子系统校验和加载所述产品镜像文件， 将通过验证的所述产品镜像文件 注入到密码服 务器硬件中。 6.根据权利要求5所述的一种注入式密码服务器的执行方法， 其特征在于， 通过产品镜权　利　要　求　书 1/2 页 2 CN 114912102 A 2像子系统将各种服务器设备抽象及例化， 各服务器设备 的产品被抽取为产品镜像文件； 包 括： 抽取各产品使用的操作系统、 相关驱动、 服 务程序并例化 为格式镜像文件； 解析所述格式镜像文件， 分离出代码段和浮 点数常量的关键数据段； 采用SM3密码算法对所述关键数据段进行杂凑运算， 再使用厂商私钥进行SM2签名 运 算； 将SM2签名运算的结果填充在格 式镜像文件的扩展字段， 生成产品镜像文件； 所述产品 镜像文件供 所述产品注入子系统校验和 加载。 7.根据权利要求5所述的一种注入式密码服务器的执行方法， 其特征在于， 采用产品注 入子系统校验和加载所述产品镜像文件， 将通过验证的所述产品镜像文件注入到密码服务 器硬件中； 包括： 驱动、 访问PCI ‑E密码卡， 配置产品镜像文件的加载 方式； 引入厂商身份密钥 对， 厂商身份密钥 对采用SM2密钥对， 相应的分为厂商私钥和厂商公 钥； 所述厂 商私钥存 储在厂商设备内， 所述厂 商公钥预置在PCI ‑E密码卡内部； 对所述产品镜像文件进行加载和验证， 将SM2签名结果加载至PCI ‑E密码卡内部， 采用 SM3杂凑算法计算加载的关键数据段； 集成在基本 输入输出系统中的自检模块， 对所述SM2、 SM 3两个密码算法进行检测； 当所述自检模块检测通过后， 则读取厂 商公钥并执 行验证签名操作； 若验证操作通过则 跳转至各产品对应的操作系统地址并启动； 若验证操作失败则进行 错误告警并退 出加载。权　利　要　求　书 2/2 页 3 CN 114912102 A 3