CN102354413A

CN102354413A - 访问包含认证私密钥的集成电路的方法和系统

Info

Publication number: CN102354413A
Application number: CN2011101322988A
Authority: CN
Inventors: B·科利耶; R·西米琼莫
Original assignee: Oberthur Card Systems SA France
Current assignee: Ai Demiyafaguo
Priority date: 2010-05-20
Filing date: 2011-05-20
Publication date: 2012-02-15
Anticipated expiration: 2031-05-20
Also published as: EP2388948A1; EP2388948B1; FR2960327A1; FR2960327B1; CN102354413B

Abstract

本发明涉及电子集成电路(10_i)的领域，并且更为特别地涉及访问这类集成电路的方法和系统。所述方法包括一认证步骤(E13′，E13″)：利用访问装置(320)，通过使用所述集成电路特有的并存储在该集成电路中的认证私密钥(MSKD_i)，对所述集成电路进行认证，所述认证私密钥通过分散化根密钥(MSK)生成。此外，通过分散化所述根密钥(MSK)的生成方法实施至少两个分散化密钥的步骤(S1，S2)。所述访问装置(320)从中央工场(100)接收一中间密钥(MSKL)，所述中间密钥(MSKL)产生于分散化所述根密钥(MSK)的第一分散化步骤(S1)。

Description

访问包含认证私密钥的集成电路的方法和系统

技术领域

本发明涉及电子集成电路的领域，并且更为特别地涉及访问这样的集成电路的方法和系统。

背景技术

如今，电子集成电路在许多电子装置中使用。已知地尤其是形成智能卡的电子芯片、存储卡、U盘等的集成电路。

集成电路制造通常在第一制造工场或单元(通常是工厂)中进行，其中电路在硅晶片(或wafer)上制作。继而当电路需要进行定制或预定制时，该操作在第二定制工场或单元(或多个其它工场)中实施，其中，鉴于其需要执行的功能如此制作的集成电路通过数字数据进行(预)定制。

在本文献的下文中，术语“定制”一般性地被理解为由微电路板工业领域中的技术人员通常所采用的术语，或如由W.Rankl和W.Effing在文献“智能卡手册，第二版，Ed.John Wiley&Sons，Ltd”中以如下的方式定义的术语：“术语定制，在其广义上意味着卡或个人所特定的数据被输入卡中。这些数据可以例如是姓名、地址，也可以是与卡相关的密钥。唯一重要的事情是这些数据对于该卡是特定的。”

推而广之，集成电路的预定制在于一些相似操作，除了输入这些集成电路中的数据对于一批次或一类型的装置(例如智能卡)是共同的以外。这例如涉及包含在只读存储器ROM中的程序配置数据，其旨在确定与相同批次或相同类型的装置的所有集成电路所共有的性能或运行。

出于安全的原因，当集成电路离开制造工场时，集成电路应当包含每个集成电路所特有的称为传输密钥的密钥，以预防各种不期望的对集成电路所包含的存储器的访问，存储器通常是EEPROM(″Electrically-Erasable Programmable Read-Only Memory″，也就是电可擦可编程只读存储器)。该传输密钥因而在通过访问这些存储器以进行集成电路预定制或定制之前的认证控制时被使用。该传输密钥因而可被视作是认证密钥。

图1示出在基于集成电路生产电子智能卡的生产过程中的不同参与对象。

如在图2上示意性地示出的，智能卡CP通常包括塑料材料制的卡体CO，卡体接纳基于CI集成电路10构建的模块。该集成电路包括处理器或微控制器11，以及可录的非易失性存储器12、RAM类型的易失性存储器13、非可录的非易失性存储器ROM 14和通信接口19，通信接口19允许在处理器和智能卡外部之间交换数据和还允许对智能卡供电，例如根据ISO/IEC 7816标准的电触点或符合ISO/IEC 14443标准的非接触式接口。

存储器和通信接口通过微控制器进行管理并且是微控制器可访问的(根据情况，在读取和/或写入时)。

回到图1，申请者100、例如智能卡制造商，根据智能卡中的期望功能，求助于集成电路制造商200(或创建者)和集成电路的(预)定制公司300。

从如信息处理的物理观点看，制造工场200是高安全等级的环境，以便保证基于硅晶片1或wafers的集成电路10的整合制造。

在申请者处，用于集成电路的硬件安全模块HSM(″HardwareSecurity Module″)110被设置用于生成制造商密钥MSK(“ManufacturerSecretKey″)，下文中其被称为根密钥或主密钥(root key)。这些根密钥因而通过加安全的访问、例如经加安全的因特网被传输给制造工场200和(预)定制工场300。

在创建者200处，也存在硬件安全模块HSM 210，用于接收这些根密钥MSK和安全地将其传送给制造链的其余部分。

所述制造链包括集成电路的控制和编程模块220、和集成电路10的编程头230。如在下文中将看见的，编程头230还包括在初始测试时供电给集成电路10的供电部件(未显示)。

当然，制造操作和(预)定制操作可由同一家公司进行，制造和(预)定制单元可在同一工厂中，但是在不同的两个操作区域内。

对于接下来的描述，将主要描述集成电路10的定制。但是本发明适用于其它操作，例如预定制操作。

图3示出智能卡CP的传统生产步骤。

在初始步骤E0时，创建者200负责集成电路10的硬件制造、因而参照图2在前文中列举的不同器件的制造。特别地，集成电路不同层的图纹(dessin)制作非可录的非易失性存储器(ROM)14，以使得其包括代表用于集成电路运行的基础程序指令的数据，基础程序指令例如引导(boot)程序的数据和能够处理APDU(英语术语“Application ProtocolData Unit(应用协议数据单元)”)控制命令的操作系统OS的数据，如在下文中所述。

在第一步骤E1时，在智能卡制造商100处，通过HSM模块110生成密钥MSK，例如8字节或16字节。

在步骤E2时，通过加安全的因特网，密钥MSK被传输给创建者200和定制工场300，并且更为确切地被传输给HSM模块210和310。

在制造工场200处，电子集成电路10在晶片1(步骤E0)上制作。每个晶片属于一批次的编号ID_lot的晶片，并且包括识别号ID_wafer。在晶片上实现的每个集成电路此外可通过其在晶片上的位置(X_circuit、Y_circuit)进行识别或者包括在该批次或晶片上的电路号ID_circuit。

在步骤E3，对于实现的每个集成电路10_i，已接收密钥MSK的HSM模块210通过利用每个电子电路10_i的唯一一个识别数据或唯一一个序列号ID_i的所接收密钥MSK的分散化(diversification)，来生成传输或认证私密钥MSKD_i。

分散化的概念已充分地为本领域技术人员所熟知，并且不再进行细述。仅仅作为说明，可通过借助对称算法例如MSKD_i＝AES(ID_i，MSK)对唯一识别数据ID_i和根密钥MSK应用加密操作，来生成传输或认证私密钥MSKD_i。

一旦集成电路10_i的晶片1被制出，编程模块220在步骤E4控制编程头230，用以在每个集成电路10_i的例如EEPROM类型的可录的非易失性存储器12中写入：

-可例如包括集成电路类型、制造工场识别码ID_site和识别码ID_lot、ID_wafer和ID_circuit(或X_circuit、Y_circuit)中所有或部分的集成电路唯一识别数据ID_i，

-该集成电路10_i特有的和在步骤E3时生成的传输/认证密钥MSKD_i。

图2示出在该步骤后的集成电路的状态。

因此，编程头230包括直接访问存储区域12的访问部件，用于写入这些各种的数据，例如通过在存储器的物理端子上的直接接触。这里“直接访问”意指这样的事实：既不经过集成电路的处理器也不经过集成电路的正常通信接口来进行访问(通常根据ISO/IEC 7816标准的电触点)。

当处理器11的操作系统包括探测与密钥相关的异常情况或攻击的探测部件时，该直接访问显得有效，通常就是这种情形。实际上，在此情形下，如果在其传输或认证密钥MSKD_i被存储在非易失性存储器上之前使处理器通电，则由于缺少密钥立即探测到异常情况/攻击，并且该探测引起集成电路运行停止，而这不是所述情形。

需要注意的是，当编程模块220期望执行步骤E4的操作时，正是该编程模块220来控制HSM模块210以执行步骤E3的生成。

继而在步骤E5，创建者200在日志(数字文件或“log”)中存储所有使用的密钥MSKD_i和相关电路的唯一识别数据ID_i。该日志尤其以加密的方式被存储在编程模块220处，或作为变型，被存储在HSM模块210中。

在集成电路的(预)定制时出现问题的情况下，该日志尤其允许保存已被卸载的传输或认证密钥MSKD_i的轨迹，用于如果定制时不能再找到密钥MSKD_i来排除故障或需要时避免需丢弃电路。

在该步骤结束时，集成电路10的编程已经实施。然而已知进行供电测试E6，以验证每个电路的良好的电力运行。

该测试包括步骤E60，在该步骤的过程中，带馈电头的控制模块(这可以是与配有其编程头230的编程模块220相同的模块)与通信接口的正常的外部电触点相连接，并通过给其应用第一供电模拟信号使集成电路10_i通电。

因而在步骤E65，根据标准ISO/IEC 7816，电路10_i通过ATR消息(“Answer To Reset(重置响应)”)响应通电。在ISO/IEC 14443标准(非接触式卡)的范围内，该响应以ATS(“Answer To Select(选择响应)”)消息的形式进行。

如果集成电路返送符合ISO 7816标准的ATR消息并且如果其内容是正确的，也就是控制模块(测试E8)所期望的消息内容，那么该集成电路10_i被视作是相符的(步骤E9)。

否则(例如，在通常大约10到20微秒的时限内没有接收到任何响应)，集成电路被视作是有缺陷的和被废弃(步骤E10)。在此情况下，集成电路可被标注为有缺陷的(通过控制模块记录在储存器中或在步骤E5设置的日志中的等同写入)。

在该测试后，集成电路10_i离开制造工场，同时在存储器上具有唯一的识别数据ID_i和每个集成电路特有的传输/认证密钥MSKD_i。这些集成电路继而或以完整晶片的形式或以通过晶片1切割已个体化形式，被交付给定制工场300(步骤E11)。

在步骤E12，所接收的集成电路如果需要从所接收的晶片中切割出，继而例如被安装在图纹(vignette)上用以形成智能卡模块，最后插入符合ISO 7816标准的卡体CO中以便产生智能卡。

当然，实施相同方法，通过将集成电路安装在非接触式卡的模块上用于生产非接触式卡(“contactless”或“eCover(易通维)”——商品名)，或通过选择需要接纳集成电路的装置主体，用以生产其它便携式装置或袖珍装置如存储卡(SD或Flash)或U盘。

继而通过定制模块/装置320进行对智能卡的定制和因而其所包含的集成电路的定制，以符合所期望的功能。

该定制在步骤E13包括智能卡CP与具有根密钥MSK的访问和定制装置310/320之间的认证。

该认证的目的在于授权或不授权数据在集成电路10_i的EEPROM类型的非易失性存储器中的写入。

该认证尤其是经通信接口14、例如经根据ISO 7816标准的电触点通过与集成电路10_i的通信实施。

作为非限定性的说明，通过质询-响应算法的认证可被实施，以通过访问或定制装置对智能卡CP进行认证。通过智能卡CP对访问或定制装置的相似认证也被设置用于获得这两个装置的交互认证。

通过访问或定制装置对智能卡CP的认证可包括：

-由访问或定制装置向待定制卡发送APDU控制命令类型的第一数字认证控制命令，将合适规模的质询c(典型地随机数字)传输给集成电路10_i(步骤E130)。在该阶段，该APDU控制命令构成所制造的智能卡通常接收的整个第一数字信号；

-由卡的集成电路10_i计算响应res1，该响应对应于通过其特有的传输或认证密钥MSKD_i(步骤E134)对质询c的加密(例如通过应用DES或AES类型的对称算法)；

-将伴有卡的唯一识别数据ID_i的响应res1发送给访问或定制装置(步骤E135)；

-由访问或定制装置计算被认为由其接收的响应res2，

■借助于同样被接收的对应于该卡的唯一识别数据ID_i，首先产生所持有的根密钥MSK(从步骤E2)，用以获得与该智能卡CP相关联的(或更为特别地与该卡的集成电路相关联的)传输/认证密钥：MSKD_i-calculée＝AES(ID_i，MSK)(步骤E136)；然后

■以与计算res1相似的方式、但这次使用密钥MSKD_i-calculée，借助该密钥计算res2；和

-在两个值res1和res2之间进行比较，以验证或不验证所述认证(步骤E137)。

访问或定制装置通过智能卡CP进行的认证是相类似的，只是颠倒角色：第一控制命令APDU允许智能卡CP生成一随机数c，随机数c因而被传输给访问或定制装置。

在有效交互认证的情况下，智能卡CP的集成电路的定制E14因而通过定制装置实施。否则定制不被允许。

这种定制可在于：在集成电路的非易失性存储器12中存储软件指令，以使得智能卡提供“服务”(电子钱包、客票、护照等)。

该定制还是如在文献US 2007/095927中所描述的，在其中设置要定制加密的且无认证的密钥，用于保证在智能卡的发送器和包括该智能卡的装置之间通信安全。该密钥的定制尤其包括两个分散化子步骤，分散化子步骤之一产生主密钥和另一个分散化子步骤产生电路密钥。

在如上所述的过程中，需要访问集成电路的产品工场因而知晓根密钥MSK，根密钥通过智能卡100的申请人或制造商通知。自该相同的根密钥MSK被使用于访问大量的其它集成电路/智能卡的定制数据时起，这种知晓会尤其是就安全性而言形成一弊端。

此外，在文献US 2007/095927中的密钥管理要求一附加的传输密钥(transfer key)的通知，以及发送器的起始值(issuer seed)，这使管理过程变得复杂。

发明内容

本发明旨在改进对集成电路进行访问的安全性，尤其是关于根密钥MSK的管理，所述根密钥MSK对地大批量制造的集成电路的是共同的，且被使用于生成这些集成电路特有的传输/认证私密钥。

在该规划中，本发明尤其涉及访问集成电路的访问方法，所述访问包括一认证步骤：利用访问装置，通过使用所述集成电路特有的并存储在该集成电路中的认证私密钥，对所述集成电路进行认证，所述认证私密钥通过分散化根密钥生成，其特征在于：

-通过分散化所述根密钥的生成方法实施至少两个分散化密钥的步骤，并且

-所述访问装置从中央工场接收一中间密钥，所述中间密钥产生于分散化所述根密钥的第一步分散化骤。

根据本发明，访问装置，在上述示例中尤其是代表智能卡的定制工场，不再接收根密钥，不过接收在集成电路特有的认证私密钥的生成中产生的中间密钥。这通过使分散化根密钥的分解——分解为至少两个分散化密钥的步骤——变得可能，尤其在一意义上是这些连续的步骤的组成部分，该意义是：通过这些步骤之一产生的中间密钥被使用作为输入的，用于下述的步骤。

与知晓根密钥相关的不安全性因而被消除。

特别是，用于每个分散化步骤的应用标准的合适选择允许，对于一定数量上或多或少有限制的集成电路，获得可操作的中间密钥，如在下文中将可以看到的。

此外，这种对集成电路的访问可嵌入进该集成电路的定制过程中，甚至嵌入进包括初始定制的该集成电路的生产过程中。

特别地，所述访问装置对所述接收的中间密钥实施第二分散化步骤，以获得用于对所述集成电路进行认证的所述认证私密钥。因而知晓认证私密钥，访问装置可进行认证，以例如访问集成电路的非易失性存储器，来对其进行定制。

在一实施方式中，所述认证私密钥通过基于所述集成电路的唯一序列号(或唯一识别数据)分散化所述根密钥的方式获得。

根据一特征，所述第一分散化步骤包括基于所述集成电路的唯一序列号的第一子部分分散化所述根密钥的操作。根据第一子部分的选择，对于制造的集成电路的子集，该布置允许获得可操作的中间密钥。因此可将一中间密钥与对制造的集成电路的一子集进行操作的第三方进行对应。该第三方因而不知晓根密钥和/或其它中间密钥，所述密钥对于集成电路是可操作的，该第三方并不操控集成电路。

特别地，所述序列号的所述第一子部分对于多个集成电路是共同的。其可例如包含在之上建立集成电路的晶片的批次号或晶片号的信息。因而其涉及共同制造的集成电路的批次。

生成的中间密钥因而对应该批次晶片或该特定的晶片。

根据另一特征，第二分散化步骤包括基于所述集成电路的唯一序列号的第二子部分分散化所述中间密钥的操作。

特别地，所述唯一序列号的所述第二子部分包含从所述第一子部分识别的所述多个集成电路内识别所述集成电路的识别信息。其可例如涉及集成电路在晶片上或在晶片批次中的位置。因而对于制造的每个集成电路，个体化认证密钥。

特别是，序列号的所述第一和第二子部分在所述唯一序列号中是补充的。

在一实施方式中，所述方法包括在制造工场制造所述集成电路的制造步骤，和通过所述制造工场，接收来自所述中央工场的所述根密钥或所述中间密钥的接收步骤，和

所述制造包括借助于所述分散化步骤，通过所述根密钥或中间密钥的分散化生成所述认证私密钥的生成步骤，和所述认证私密钥在所述集成电路的非易失性存储器中的记录步骤。

因此，在离开制造工场时，所有集成电路包含其特有的认证密钥。

在一变型中，所述方法包括在制造工场制造所述集成电路的制造步骤，和通过所述制造工场，接收来自所述中央工场的所述根密钥或所述中间密钥的接收步骤，和

所述制造包括将所述根密钥或所述中间密钥记录在所述集成电路的非易失性存储器中的记录步骤。

该布置允许简化与通过集成电路的创建者/制造商实施的密钥相关联的操作，这是因为创建者/制造商不再管理每个电路特有的认证私密钥，和对于同时制造的或多或少而言大量的集成电路，今后仅操作单一密钥，根密钥。

因此对于创建者而言，操作成本和与密钥操作相关联的风险都得到降低。

此外，步骤E5的日志管理明显地得到简化。

根据一特征，所述方法包括一生成步骤，其在于：在所述集成电路内并在响应通过所述集成电路接收的第一信号时，通过分散化所述记录的密钥生成所述认证私密钥。

当然，该分散化实施两个分散化步骤。

此外，该内部生成增强认证私密钥的秘密性，这是因为其值不是外部机构已知的(日志、创建者等)。

所述方法此外包括以下步骤：

-删除非易失性的存储器的所述根密钥；和

-在集成电路的非易失性存储器中记录所述认证私密钥。

特别地，所述删除通过在存储器中粉碎由生成的认证私密钥记录的根密钥来实施。

认证密钥的存储允许在例如用于定制访问集成电路时实施认证。

至于粉碎，其保证在拥有该集成电路时，怀有恶意目的的人不能恢复需要时可被重新使用的根密钥。

在一实施方式中，认证私密钥基于存储在集成电路的所述非易失性存储器中的集成电路的唯一序列号，通过分散化根密钥获得。需要注意的是，该序列号的记录可在制造工场与根密钥的记录同时进行。

因此，认证私密钥的生成可独立地通过集成电路本身进行，而不需要来自集成电路外部的信息。

集成电路的唯一序列号可尤其包括所述集成电路在其上制作的一批次硅晶片或一硅晶片的识别码，并包括在所述批次或晶片内的所述集成电路的识别码(识别码或空间坐标)。

在本发明的一实施方式中，所述第一信号是集成电路通电的第一模拟信号。其通常涉及在将付给定制工场前，通过在制造工场上由测试设备进行的首次测试通电，以了解是否集成电路是可运行的还是要被丢弃的。

该布置允许在对集成电路进行各种干预前生成认证私密钥。由于在制造工场上存在测试，因而该布置使得：当集成电路被交付以便定制时，集成电路已经包含其传输私密钥，传输私密钥对于每个集成电路是不同的。因此避免了仅知道根密钥就能够访问具有公共根密钥的所有卡。

作为变型，所述第一信号是第一数字信号，即包含数字信息的信号。这允许仅仅当集成电路的数字处理部件(处理器或微控制器)被请求时生成认证私密钥。一般性地，通过数字信号进行的该首次访问在集成电路的首次定制尝试时实施。

因此，在该配置中，用于获得认证私密钥的对应根密钥的(子)分散化的等待时长被移到制造工场之外。这允许避免在制造工场的各种等待。

此外，考虑到模拟信号的处理(制造工场)比数字信号的处理(通常在定制工场)更加简短，因而由于这种数字信号的处理时限，该布置使认证密钥的生成是准透明的。

特别地，第一数字信号是第一控制指令，例如由访问装置发送的APDU类型的和例如在为集成电路定制的首次访问尝试时。控制指令的功能尤其在于：通过请求已经存储在集成电路中的一程序(例如操作系统)来在集成电路上执行一行动。

根据一特定特征，本方法包括在集成电路接收到所述第一信号时在一次性可编程的非易失性存储器(PROM即“Programmable Read OnlyMemory”(可编程只读存储器)类型，或OTP即One Time Programmable(一次性可编程))中写入指示第一信号已经接收的信息的步骤。

借助于该信息(例如通过特征位或各种其它二进制指示标)，集成电路以更小代价了解已经实现了所述已记录的密钥的分散化，以获得其认证私密钥。

该信息在一次性可编程的存储器中的写入还保证了：没有任何恶意行动能够引起集成电路重新实施所述已记录的密钥的分散化。

因此，在此情形下，所述方法可包括这样的步骤：在接收到信号(与所述第一信号具有相同的属性)时和在所述认证私密钥的生成的启动之前，确定指示第一信号已经接收的信息在一次性可编程的非易失性存储器中的存在。因此，如果传输从证私密钥已经被实现，则集成电路能够有效地阻止认证私密钥的新的生成。

根据一特别的特征，第一信号已经接收的信息的所述写入在认证私密钥记录在集成电路的非易失性存储器中的记录步骤之后。该布置保护集成电路避免可能在通过分散化进行的内部生成结束前集成电路供电断开所产生的某些问题。实际上，首次访问已经实施的信息因而仅仅当认证私密钥良好地被生成时才被写入存储器中。

当然，可考虑一些变型，如该信息的写入在通过分散化进行的生成之前进行。

根据另一特征，所述集成电路将对所述第一信号的响应传输到外部装置，并且这在认证私密钥在集成电路的非易失性存储器中的记录步骤之后进行。当然，该外部装置尤其是已经生成集成电路的所述第一注意信号的装置。当集成电路被使用时——例如用于执行集成电路的第一次定制时，特别地可涉及所述访问装置。

该布置允许根据通过分散化进行生成的步骤的成功与否来调整响应。因此，可能的错误可在外部装置中回溯，以便例如使集成电路作废。

特别地，所述外部装置在生成错误前的至少50ms(微秒)内、尤其至少10ms、优选至少250ms内等待对所述第一信号的响应。通过分散化的生成导致相对于第一信号处理的附加处理时限。该布置因而保证这些生成时限在集成电路的测试和/或定制装置处得以考虑

在一实施方式中，同一根密钥或中间密钥在制造工场处被记录在于同一硅晶片上制作的多个集成电路中。该布置允许创建者即集成电路制造者对于同一硅晶片(wafer)或同一批次的所有电路，都只能操作较少数量的根密钥/中间密钥，甚至仅一个密钥。需要注意的是，同一根密钥/中间密钥可被使用于整一个硅晶片批次。。

此外，根密钥或中间密钥在非易失性存储器中的记录步骤可包括：对所述非易失性存储器的直接访问的访问步骤，即不需要经过集成电路的传统的通信接口或处理器；和在该直接访问时将所述根密钥写入在存储器中的写入步骤。该直接访问允许在如果集成电路被通电而未持有根密钥和关于密钥的异常情况的探测部配备在该电路上时，避免对异常情况的探测。

根据其它的方面，认证步骤可包括：

-集成电路通过访问装置的认证；

-访问装置通过集成电路的认证；或

-集合两种前述认证的交互认证。

每个认证可是质询-响应类型的。

特别是，所述方法可包括在与预定制和定制的工场相区别的工场处对多个集成电路进行定制的步骤。

这些定制步骤先于认证步骤，在认证过程中通过向该集成电路发送控制命令获得对应的集成电路的序列号，基于所述获得的序列号对所述根密钥进行分散化，并且基于此根密钥在集成电路和定制装置之间实施认证，优选地是交互的认证。

根据本发明的一特征，所述方法包括将所述集成电路安装在符合标准ISO 7816的卡体中。当然，集成电路还可安装在符合标准ISO 14443的非接触式装置的模块上。

符合这些标准之一的装置可尤其具有格式卡片ID1、生物统计学通行证、U盘、micro SD类型的存储器等的形式。

根据本发明的另一特征，根密钥的所述分散化使用哈希函数，例如SHA-256(“安全哈希算法”产生256比特的结果或哈希)。

根据本发明的另一特征，所述集成电路在存储器上包括所述认证私密钥，并且所述认证步骤使用对称密钥的加密算法。当然，可设计使用不对称密钥的加密算法。

根据本发明的另一特征，所述方法在所述集成电路的定制操作的过程中实施。

相应地，本发明涉及访问集成电路的访问系统，其包括访问装置，所述访问装置配有认证模块，所述认证模块使用所述集成电路特有的并存储在所述集成电路中的认证私密钥认证所述集成电路，所述认证私密钥通过分散化根密钥生成，其特征在于：

-通过分散化所述根密钥的生成方法实施至少两个分散化密钥的步骤，和

-所述访问系统包括一中央工场，所述中央工场能够生成中间密钥，所述中间密钥产生于所述分散化根密钥的分散化第一步骤，并且所述中央工场能够将所述中间密钥传输到所述访问装置。

所述系统具有与在上文展示的方法相似的优点。

特别地，所述访问装置被配置用于通过对所述接收的中间密钥应用第二分散化步骤，来生成所述认证私密钥。

可选择地，所述系统可包括参照在前文展示的方法的特征的部件，并且尤其是一制造单元、一定制和认证单元。

特别地，制造单元可被配置以制造集成电路、接收来自中间工场的所述根密钥或中间密钥，并且在所述集成电路的非易失性存储器中记录所述根密钥或中间密钥。

因此，集成电路可包括一模块，其能够响应接收的第一信号，来通过所述记录的根密钥或中间密钥的分散化生成所述认证私密钥。

在此情形下，集成电路还可包括能够记录指示第一信号已经接收的信息的部件，并且该部件可包括一次性可编程的非易失性存储器，并且被配置以在一次性可编程的非易失性存储器中写入所述信息。

此外，所述集成电路可包括记录部件，所述记录部件通过在非易失性存储器中粉碎所述记录的根密钥或中间密钥的方式，记录所述认证私密钥。

认证模块例如在集成电路的非易失性存储器的定制之前的认证期间是可运作的。

附图说明

本发明的其它特征和优点还将在接下来的参照附图示意表示的描述中进行展示，附图中：

-图1示出根据现有技术的生产系统；

-图2示意性地示出根据现有技术的包含传输从证密钥的智能卡中的集成电路；

-图3以逻辑图的形式示出根据现有技术的智能卡或集成电路的生产步骤；

-图4示出根据第一实施方式实施本发明的生产系统；

-图5以逻辑图的形式示出根据图4的第一实施方式的智能卡或集成电路的生产步骤；

-图6和7示意性地示出在根据图4的第一实施方式的集成电路生产中在两个不同时刻的集成电路存储器的状态，分别在集成电路内部生成传输或认证私密钥之前和之后，

-图8示出根据第二实施方式实施本发明的生产系统；和

-图9以逻辑图的形式示出根据图8的第二实施方式生产智能卡或集成电路的生产步骤。

具体实施方式

图4和图5示出本发明的第一实施方式，其仍采用与前文所述的与图1和图3相同的标记来表示相同的元件或相同步骤。

在第一实施方式中，步骤E1后跟随步骤E1′，在步骤E1′的过程中，HSM模块110例如通过基于正在制造工场200构建的批次号ID_lot或晶片号ID_wafer的根密钥MSK分散化的第一步骤S1，同样生成中间密钥MSKL。如前文所述的，该批次号或晶片号构成集成电路10_i的唯一识别数据或唯一序列号ID_i的第一子部分。该子部分尤其是所有集成电路(相同批次或者相同晶片的集成电路)所共有的，并且为此，中间密钥MSKL是该同一组集成电路所公共的。

作为说明，该第一分散化步骤S1可使用哈希加密函数，例如SHA-256，其具有快速执行和难以探测的优点。因此，基于简单地级联输入哈希函数的16字节的根密钥MSK和4到8字节之间的批次号ID_lot，获得32字节的中间密钥MSKL：MSKL＝SHA-256(ID_lot||MSK)。

在步骤E1′之后，步骤E2仅仅在于将根密钥MSK传输给创建者200，继而步骤E2′在于将中间密钥MSKL传输给定制工场300。

在该阶段，因而可观察到，定制工场300不知晓根密钥MSK，这提高了对集成电路进行保护的安全性。

步骤E2′后紧随有步骤E4′，步骤E4′与图3的步骤E4相似，不同之处仅在于记录在集成电路10_i中的密钥是所接收的根密钥MSK。

此外可以注意到，传输/认证私密钥MSKD_i的自动生成程序也被存储在ROM存储器14中，其在集成电路的物理设计E0时被设置。

然而，需要注意的是，某些程序可通过部件220和230被输入和存储在非易失性存储器12中。

因此产生一些集成电路，其中的每个集成电路包括：

-其唯一的序列号ID_i，例如其由子部分ID_lot(或ID_wafer)和ID_circuit组成；

-根密钥MSK。

因而在该阶段注意到，所有集成电路在存储器上具有相同的根密钥MSK。因此，创建者100仅操控该根密钥，而不需要生成每个集成电路的私密钥也不需要生成中间密钥MSKL。

对于创建者，较难处理的步骤E3因而被消除。其处理因而得到加速，尤其降低了与密钥操控相关联的错误风险。

图6示出在该阶段非易失性存储器12的状态。

接下来的步骤E5此外被简化，因为步骤E5不再需要写入私密钥MSKD_i，仅仅序列号ID_i被存储。

然后在基本对应步骤E6的步骤E6′，当集成电路首次被通电(E60)时，其自动地启动通过处理器11运行(E61′)传输/认证私密钥MSKD_i的自动生成程序。

该生成计算例如在于：在基于唯一序列号ID_i的相继两个分散化步骤S1和S2使根密钥MSK分散化，这两个信息(根密钥和序列号)被记录在处理器11访问的非易失性存储器12中。

如前文所述，第一步骤S1在于：基于存储器上的根密钥MSK获得中间密钥MSKL，例如MSKL＝SHA-256(ID_lot||MSK)。然后第二步骤S2在于：基于在该批次中或该晶片上(或坐标X_circuit、Y_circuit)的集成电路号ID_circuit(4到8字节之间)使中间密钥MSKL分散化。

作为说明，可简单地将ID_circuit与中间密钥MSKL进行级联，并对所获得的数值应用哈希函数SHA-256：MSKDi＝SHA-256(ID_circuit||MSKL)。

可以注意到，哈希函数如SHA-256的使用的优点在于简化用于形成这些函数的输入字的处理：没有截取，单一级联(这里由符号“||”表示)是有效的，因为哈希函数可接收可变长度的输入数据。

此外，哈希函数SHA-256的优点在于：生成32字节的传输/认证私密钥，这对应于可使用于认证E13的算法AES用的密钥的尺寸。特别是，根据认证算法，将使用这样生成的私密钥的字节的全部或部分：对于3DES或AES-128类型的算法，私密钥MSKD_i的仅仅前16个字节将被使用；对于AES-192类型的算法，私密钥MSKD_i的仅仅前24个字节将被使用；和对于AES-256类型的算法，私密钥MSKD_i的32个字节将被使用。

在步骤E61′之后，处理器在非易失性存储器12中记录(E62′)这样生成的私密钥MSKD_i，来替代根密钥MSK。为避免怀有恶意目的的人可访问到根密钥，该操作通过利用新的私密钥MSKD_i覆盖根密钥MSK来实施。

继而，处理器在一次性可编程的非易失性存储器15(图6)中写入指示私密钥MSKD_i的生成已经发生的特征位150(flag，例如比特)(步骤E63′)，存储器15还已知为术语“PROM存储器”即ProgrammableRead Only Memory(可编程只读存储器)、或“OTP存储器”即One TimeProgrammable(一次性可编程)。

但是，OTP存储器15可以是非可录的非易失性存储器ROM 14的一部分。

这种OTP存储器15，例如通过熔丝的不可逆的焙烧，避免对信息150的各种修改，因此对于知晓是否私密钥MSKD_i已被良好生成而言保证了安全性。

尤其是在集成电路的每次通电时(例如在私密钥的自动生成程序运行开始时)验证该信息在OTP存储器15中的存在与否，以确定是否涉及电路的首次通电，在电路首次通电的情况下，私密钥MSKD_i的生成需要如前所述那样实现，或者以确定是否涉及以后的通电，在这种情况下，该私密钥的生成程序的运行被阻止。

因此，特征位150指示第一通电信号已被接收。

在该实施方式中，步骤E63′在生成步骤E61′之后，因而使集成电路安全防护于在分散化生成E61′结束之前可能断电会导致的一些问题。实际上，在此情形下，没有适当地在存储器15中指示私密钥MSKDi已经生成。下一次通电E61因而将重新启动该生成。

但是作为变型，步骤63′可在步骤E61′之前或同时发生。

在这些步骤之后，实施步骤E65，步骤E65和与参照图3描述的步骤相似。

如果需要，该步骤顺序允许在对通电的响应(在设置用于符合ISO/IEC 7816标准的接触式装置的集成电路的情形中是ATR，在设置用于符合ISO/IEC 14443标准的非接触式装置的集成电路的情形中是ATS)中指示：在通过分散化生成私密钥时产生错误或异常。

探测智能卡程序运行中的错误的探测部件因而被设置在集成电路10_i中。

因此在测试E8时探测到错误或异常的指示，以废弃集成电路10_i。

但是作为变型，步骤E61′、E62′和E63′的全部或部分可在步骤E65后实施。

由于在集成电路10_i中生成私密钥MSKD_i所需的时间(取50ms到500ms之间，通常在100ms到200ms之间)，控制模块220被配置成在测试E8时等待足够长的时间以允许私密钥的完全生成。

因此，该控制模块被配置成在生成错误前等待对通电的响应ATR/ATS至少50ms(微秒)，尤其至少100ms，优选至少250ms甚至500ms。在大多数情况中，等待将不大于1秒、甚至500ms。

因而可以观察到，该等待明显大于用于常见的对通电响应的等待。

步骤E9、E10、E11和E12与前文所描述的那些步骤相同。

图7示出在交付E11时集成电路10_i的状态：存储器12包括私密钥MKSD_i，但不再有根密钥MSK，并且OTP存储器15包括特征位150。

认证步骤E13′与前文所述的步骤E13相似，不同之处只在于：包括通过定制装置计算私密钥的MSKD_i-calculée的子步骤E136′是不同的。

实际上，定制工场300已经仅接收了中间密钥MSKL(步骤E1′)，该计算操作包括基于针对智能卡CP所获得的电路号ID_circuit对所接收的中间密钥MSKL实施如前所述的第二分散化步骤S2，以获得所述私密钥MSKD_i-calculée：MSKD_i-calculée＝SHA-256(ID_circuit||MSKL)。

优选地，在定制装置和集成电路之间进行交互认证。

因而可以观察到，认证可被实施，而定制装置320并不知道产生不同集成电路的私密钥MSKD_i的根密钥MSK。

与了解根密钥相关的不安全性因而被消除。

此外，应用于每个分散化步骤S1或S2的标准的适当选择，允许对于或多或少有限数量的集成电路而言获得可操作的中间密钥。尤其是，提供给300的中间密钥MSKL可仅仅涉及300所处理的集成电路，例如仅仅交付其识别码ID_lot或ID_wafer用于该告知的中间密钥MSKL的生成E1′的批次或晶片。

接下来的定制E14仍是传统的。

图8和9示出本发明的第二实施方式，其中与前文所述标记相同的标记涉及相同的元件或相同的步骤。

该实施方式与第一实施方式的不同之处在于：集成电路10_i内部的私密钥MSKD_i的生成是在集成电路10_i接收E130到第一有效控制命令、即接收到数字信号——在本例中是APDU控制命令时实施。

编程模块220仍在集成电路10_i的非易失性存储器12中写入(E4′)根密钥MSK和序列号ID_i。

继而，供电测试E6与图3的测试相似。

在交付E11时，存储器12因而包含根密钥MSK但没有私密钥MSKD_i，并且在OPT存储器15中没有特征位150(图6)。

认证E13″的不同之处在于：在接收E130整个第一控制命令APDU时，传输/认证私密钥MSKD_i的自动生成程序的运行在集成电路10_i内部启动(E131″)。

当然，可应用在接收到“第一”控制命令时就启动的其它启动标准，例如接收能引起处理器11执行一动作的第一有效控制命令，或接收在控制命令类别中或在预定的控制命令列表中的第一控制命令。

步骤E132″和E133″分别地与前文所述的步骤E62′和E63′相似，它们在接收到控制命令时引起：在启动私密钥MSKD_i生成的运行E131″之前，对存储器15上是否存在特征位150进行验证。

后序步骤E134、E135、E136′、E137和E14保持不变，允许集成电路10_i的认证和定制。该集成电路在定制步骤E14前的状态与图7上所示的状态相同。

与第一实施方式相类似地，步骤E131″、E132″、E133″的顺序可以更改，当然步骤E135在响应中提供基于在步骤E131″生成的私密钥MSKD_i计算出的值res1。

此外，在认证E13″时，定制装置320被配置成在生成错误消息或发送新的控制命令APDU之前，等待集成电路10_i能生成私密钥MSKD_i所必需的时间，即通常为至少50ms，甚至100ms、250ms或500ms。

但是可以注意到，这类装置320的等待控制命令的时间通常大于如前文所述的控制模块220的等待时间。作为示例，常见的是，智能卡读卡器在考虑请求操作失败之前等待一秒。

因此，该实施方式特别地适合于集成电路或智能卡的读取装置的实际等待时间。考虑到数字控制命令的处理时限，私密钥MSKD_i的生成因此显示出是准透明的。

同样，响应E135可对在生成E131″或记录E132″和E133″中产生的各种错误或异常提供情况。

此外，尽管在这些实施例中，用于在两个相继的分散化步骤中生成私密钥的序列号第一部分ID_lot(或ID_wafer)及同一序列号第二部分ID_circuit是唯一序列号的互补部分：ID_i＝ID_lot(或ID_wafer)||ID_circuit，可考虑不是这种情况，例如这两部分是不同的但具有共同的一子部分(作为示例，一方ID_lot和ID_wafer，另一方面ID_wafer和ID_circuit)。

在这两个实施方式的一变型中，步骤E2和E2′在于：将在步骤E1′时生成的中间密钥MSKL同样发送给制造工场200和定制工场300。

在此情形下，步骤E4′在于在集成电路10_i的存储器中记录MSKL，步骤E61′和E131′在于仅仅实施第二分散化步骤，在本文示例中MSKD_i＝SHA-256(ID_circuit||MSKL)。

图6和图7也适用于该第二实施方式，不同之处只在于：在图6的状态中，存储器12包括中间密钥MSKL，来替代根密钥MSK。

本发明的另一变型在于：创建者100本身根据其所接收的密钥MSK或中间密钥MSKL的一个或另一个，通过密钥MSK或中间密钥MSKL的分散化，计算私密钥MSKD_i(步骤E3)。

在此情形下，考虑到步骤E3的特性和使用步骤E136′，而不是步骤E136，应用图3的步骤E3到E14：序列号ID_i和私密钥MSKD_i在步骤E4记录在集成电路中；在这些集成电路内没有生成私密钥MSKD_i。

前述的示例只是本发明的一些非限定性的实施方式。

例如，尽管提到根密钥MSK分散化的两个组成步骤S1和S2，但可设置更多数目的步骤，从而生成多个中间密钥。这样的情形可以例如用于：对于将一批次晶片所交付给的公司(允许生成针对该公司的一中间密钥的借助ID_lot的第一分散化步骤，)，这些晶片分布在多个定制工场(允许对于每个工场生成一个中间密钥的借助于ID_wafer的第二分散化步骤)。每个工场因而借助于所接收的中间密钥实施认证E13′或E13″。

特别是，第一分散化可在集成电路中在接收到第一通电信号时实施(步骤E6′)，并且第二分散化也在集成电路中、但在接收到第一数字信号时实施(步骤E13″)。

此外，本发明可在与如上所述的集成电路的制造和(预)定制背景不同的使用背景中实施。作为示例，根密钥可在智能卡CP的定制操作时被存储在易失性存储器中。继而自在使用者处的首次使用起(来自使用者的读取/写入装置的第一信号的探测)，将根密钥分散化为认证私密钥。

此外，尽管如前所述的分散化示例实施SHA-256类型的哈希操作，但这些分散化可实施对称密钥式或非对称密钥式的加密操作(AES、DES)，或者直接地在整个或部分的序列号ID_i上实施，或者在哈希操作的结果上实施(在此情形下，合并哈希和加密操作)。

Claims

1.访问集成电路(10_i)的方法，所述方法包括一认证步骤(E13′，E13″)：利用访问装置(320)，通过使用所述集成电路特有的并存储在该集成电路中的认证私密钥(MSKD_i)，对所述集成电路进行认证，所述认证私密钥通过分散化根密钥(MSK)生成，其特征在于：

-通过分散化所述根密钥(MSK)的生成方法实施至少两个分散化密钥的步骤(S1，S2)，并且

-所述访问装置(320)从中央工场(100)接收一中间密钥(MSKL)，所述中间密钥(MSKL)产生于分散化所述根密钥(MSK)的第一步分散化骤(S1)。

2.根据权利要求1所述的方法，其特征在于，所述访问装置(320)对所述接收的中间密钥(MSKL)实施(E136′)第二分散化步骤(S2)，以获得用于对所述集成电路(10_i)进行认证(E13′，E13″)的所述认证私密钥(MSKD_i)。

3.根据前述权利要求任一项所述的方法，其特征在于，所述认证私密钥(MSKD_i)通过基于所述集成电路(10_i)的唯一序列号(ID_i)分散化所述根密钥(MSK)的方式获得。

4.根据权利要求3所述的方法，其特征在于，所述第一分散化步骤(S1)包括基于所述集成电路的唯一序列号(ID_i)的第一子部分(ID_lot，ID_wafer)分散化所述根密钥(MSK)的操作。

5.根据权利要求4所述的方法，其特征在于，所述序列号(ID_i)的所述第一子部分(ID_lot，ID_wafer)对于多个集成电路是共同的。

6.根据权利要求4或5所述的方法，其特征在于，第二分散化步骤(S2)包括基于所述集成电路的唯一序列号(ID_i)的第二子部分(ID_circuit)分散化所述中间密钥(MSKL)的操作。

7.根据权利要求6所述的方法，其特征在于，所述唯一序列号的所述第二子部分包含从所述第一子部分(ID_lot，ID_wafer)识别的所述多个集成电路内识别所述集成电路(10_i)的识别信息(ID_circuit)。

8.根据权利要求3到7任一项所述的方法，其特征在于，所述集成电路的唯一序列号存储在所述集成电路的非易失性存储器上。

9.根据权利要求1到8任一项所述的方法，其特征在于，所述方法包括在制造工场(200)制造所述集成电路(10_i)的制造步骤，和通过所述制造工场，接收来自所述中央工场(100)的所述根密钥(MSK)或所述中间密钥(MSKL)的接收步骤(E2)，和

所述制造包括将所述根密钥(MSK)或所述中间密钥(MSKL)记录在所述集成电路的非易失性存储器(12)中的记录步骤(E4′)。

10.根据权利要求9所述的方法，其特征在于，所述方法包括一生成步骤，其在于：在所述集成电路(10_i)内并在响应通过所述集成电路接收的第一信号(E61，E131)时，通过分散化所述记录的密钥(MSK，MSKL)生成(E62′，E132″)所述认证私密钥(MSKD_i)。

11.根据权利要求10所述的方法，其特征在于，所述方法包括一写入步骤(E64′，E134″)：在通过所述集成电路(10_i)接收所述第一信号(E61，E131)时，在一次性可编程的非易失性存储器(15)中写入一指示第一信号已经被接收的信息(150)。

12.根据权利要求11所述的方法，其特征在于，所述方法在接收(E61，E131)信号时和在所述认证私密钥(MSKD_i)的生成(E62′，E132″)启动之前包括一确定步骤：确定在一次性可编程的非易失性存储器(15)中存在所述的指示第一信号已经接收的信息(150)。

13.根据前述权利要求中任一项所述的方法，其特征在于，所述根密钥(MSK)的分散化使用哈希函数。

14.根据前述权利要求中任一项所述的方法，其特征在于，所述根密钥(MSK)的分散化使用加密函数。

15.根据前述权利要求中任一项所述的方法，其特征在于，所述集成电路(10_i)在存储器上包括所述认证私密钥(MSKD_i)，并且所述认证步骤(E13′，E13″)使用对称密钥的加密算法。

16.访问集成电路(10_i)的访问系统，其包括访问装置(300，320)，所述访问装置(300，320)配有认证模块，所述认证模块使用所述集成电路特有的并存储在所述集成电路中的认证私密钥(MSKD_i)认证所述集成电路，所述认证私密钥通过分散化根密钥(MSK)生成，其特征在于：

-通过分散化所述根密钥(MSK)的生成方法实施至少两个分散化密钥的步骤(S1，S2)，和

-所述访问系统包括一中央工场(100)，所述中央工场能够生成中间密钥(MSKL)，所述中间密钥产生于所述分散化根密钥(MSK)的分散化第一步骤(S1)，并且所述中央工场能够将所述中间密钥(MSKL)传输到所述访问装置(300，320)。

17.根据前述权利要求所述的系统，其特征在于，所述访问装置(300，320)被配置用于通过对所述接收的中间密钥(MSKL)应用第二分散化步骤(S2)，来生成所述认证私密钥(MSKD_i)。