CN107004083A - 设备密钥保护 - Google Patents

Abstract

一种保护设备中的设备密钥的方法，该设备包括本地连接到至少一次性可编程存储器的至少一个安全元件，该至少一次性可编程存储器以包括锁定位和未锁定位的位串的形式存储全局值。锁定位在设备的初始化阶段被不可逆地预先编程在一次性可编程存储器中，而未锁定位保持在可以由安全元件进行编程的最初状态。安全元件用于在设备初始化时通过使用全局值来生成设备特定值，编程先前在一次性可编程存储器中所获得的设备特定值，并且通过编程对应位串的未锁定位来擦除全局值。本公开文本的另一目的包括用于实现该方法的设备。

Description

设备密钥保护

技术领域

本发明涉及信任设备与数据处理实体之间在信任的环境之外使用数据认证的数字数据传输的领域。

背景技术

信任设备涉及合并在个人计算机、移动设备或任何其他数据处理实体中的安全设备，以提供最少地依赖于用户或管理员来保持该实体以及外围设备安全的内置安全机制。已经开发出信任的个人计算设备，用于通过硬件和基于操作系统的机制而不是通过插件程序和策略来最大化个人计算机的安全。为此，安全机制可以被实施为芯片、芯片组、芯片上的系统和母版以及其他模块；因为本领域技术人员所公知的是基于硬件的机制本质上比那些利用软件所创建的更值得信任。

为了确保信任的设备所发送的数据的真实性，可以将数字签名应用于数据。因此，信任设备需要访问包括私钥和公钥的密钥对。实际上，如果几个信任设备向同一个实体发送数据，为了避免需要几个公钥来认证数据，信任设备上的密钥对应当是全局的。从安全性的角度，如果密钥在一个设备上泄露，那么由于黑客能够因此伪造他自己的认证数据，整个系统被破坏。这产生了安全系统中灾难性的单点故障。

黑客能够使用一些类型的非侵入式或侵入式攻击来获取全局密钥，诸如例如：软件攻击，使得设备开放从而尝试读取直接位于设备内部的密钥，差分功耗分析(DPA)或简单功耗分析(SPA)攻击，故障注入攻击等。

安全设备可以通过用于恢复全局密钥的一些方式被攻击。由于一些攻击目的是观察设备的功耗、电磁辐射或处理时间，所以它们被称为非侵入式攻击。其他攻击由于包括修改设备，尤其是设备在短时间内的行为，而被称为侵入式攻击。在后面的类别中，差分故障分析(DFA)被认为是对于任何加密/解密系统的严重攻击。DFA是基于在两种不同的状态下对于密码设备所提供的输出的观察和比较。其中一个状态对应于设备的正常操作，而另一个是通过主动注入故障而获得的，注入故障目的是通过从0切换到1或者反之来改变一个或几个位。这种物理的位反转能够通过例如利用激光束扫描集成电路表面来实现。由于激光照射能够在计算机的控制下进行实施，同时具有非常的空间和时间分辨率，因此通过定位在密码设备内的敏感区域，激光照射允许以准确且容易的方式对于设备的行为进行干扰。当在密码算法的处理期间注入一些故障时，大量输出的分析允许通过观察故障在算法中的传播来确定全局私钥。

现有技术中使用了不同的技术来保护被用于生成相同物的程序、密钥或参数的完整性，例如：

文献US2011/225409A1公开了一种包括存储软件启动标识(CCID)的一次性可编程(OTP)存储器的芯片组，其中CCID包括多位值，将两个或更多个CCID客户标识(CID)包含在多位值内的客户特定索引位置。该芯片组进一步包括一个或多个处理电路，用于获得证书并且从客户证书获得证书索引值；通过根据证书索引值检索到CCID，从CCID读取OTP CID；基于利用证书对于OPT CID的评估，确定客户证书是否已被撤销；以及如果客户证书被确定为已撤销，则禁止芯片组的软件启动。OTP CID值在OTP存储器中进行编程，使得个别的位可以从0变到1，但是不能回到0。在此情况下，位1被锁定，而位未被锁定。每个客户的OTP CID值可以由芯片组制造商进行管理。

文献EP2506176A1公开了涉及生产具有唯一属性的芯片的方法和系统。利用芯片上的硬件随机数发生器产生随机位向量，或者产生“即时(on the fly)”作为硬件组件。所产生的随机位向量存储在芯片的一次性可编程存储器中。在芯片中，从芯片的一次性可编程存储器中所编程的随机位向量得到一个值。所得到的值被输出到与芯片通信连接的外部接收模块，从而使得安全应用的供应商能够基于芯片的一次性可编程存储中所编程的随机位向量对于消息进行加密，该消息能够由芯片利用密钥进行解密。随机位向量被编程在PROM(可编程只读存储器)中，其中所有的位被锁定使得处理器无法修改向量全部被编程的位串。修改在PROM中所存储的值的唯一方式是利用另一包含更新值的PROM来进行物理地替换。

文献US2010/166182A1公开了一种用于提供安全的分组化语音传输的方法。对应于目的地设备的公钥被获取。为了在与目的地设备的分组化语音连接上进行传输，输入信号被数字化。数字化的信号利用目的地设备的公钥进行加密。当在目的地设备接收到该加密的输入信号时，利用目的地设备处的安全私钥进行解密。根据实施例，调用设备可以与具有USB连接器的模拟终端适配器相关联，其中的USB连接器用于插入闪速存储设备，闪速存储设备能够包含非对称公/私钥对的私钥以及针对公钥所在位置的指针。然后，在调用启动的初始阶段，目的地调用设备的加密器/解密器能够获取源调用设备的公钥，并且利用公钥来加密将要发送到源调用设备的数据。私钥可以存储在调用设备的固定存储器中或者在可移除的闪速存储器中，其中私钥位串的所有位可以从0修改到1，并且反转具有任何限制。

文献WO2008/057156A2公开了改进的安全编程技术，其包括减小芯片秘密非易失性存储器中所编程的位的大小，同时使能由安全设备所支持的典型的安全应用。用于安全编程的技术包括将芯片制造从连接到票券供应者以获得票券的随后过程分离。根据该技术的方法可以包括，在接收票券的任何通信之前，从设备发送(制造)服务商签名的证书。根据该技术的方法可以包括，在制造过程中，芯片内部的非易失性存储器将证书与私钥一起存储。该系统包括安全处理器、操作系统、票券服务、调用应用以及受保护的存储器。操作系统包括安全内核，安全内核包括密钥商店、加密/解密引擎以及安全应用。

因此，需要提供一种有效的解决方案以防止黑客通过任何差分故障分析来确定私钥，更一般地，通过由任何种类的分析所提取的信息来猜测这样的密钥。

发明内容

为了克服保护密钥的现有技术系统和方法的不足，有利的是实践一种用于以有效的方式保护密码的非对称密钥对的设备和方法，同时避免需要管理用于认证多个设备的多个密钥对。

本公开文本的实施例提出了根据权利要求1所述的保护设备中的设备密钥的方法，其中的设备包括本地连接到至少一个一次性可编程存储器的至少一个安全元件。

另一实施例提出根据权利要求9所述的设备，该设备包括本地连接到用于存储全局值的至少一个一次性可编程存储器的至少一个安全元件。

设备的安全元件可以包括密钥发生器，该密钥发生器用于通过使用一次性可编程存储器中所存储的全局值来生成唯一的设备特定值作为例如非对称密钥对。该操作通常在设备的初始化或启动时进行。对于设备特定的唯一设备密钥对包括设备私钥和设备公钥。

作为全局值，所生成的设备密钥对优选地存储在一次性可编程存储器中。在优选实施例中，全局值体现包括全局私钥和全局公钥的全局密钥对，其中的全局私钥和全局公钥通常在制造该设备时以不可逆的方式编程在一次性可编程存储器中。

根据另一实施例，设备公钥通过全局私钥进行签名，并且通过编程全部或者部分的未锁定位，从一次性可编程存储器擦除全局私钥，使得安全元件识别全局私钥的删除。

为了提高设备的安全性，优选的解决方案允许只使用一次全局密钥，因为使用和保存这样的全局私钥是有风险的，因为它被暴露进行修改和再次使用用于与任何其他设备进行通信。

根据另一实施例，一次性可编程存储器中所存储的全局值可以由安全元件用于通过屏蔽或加密来保护所生成的设备特定密钥对。

附图说明

利用以下详细描述将更好地理解本发明，描述参考作为非限制性示例给出的附图。

图1示出本发明的设备的总览图，该设备包括本地连接到一次性可编程存储器的安全元件。

图2示出设备的实施例，其中通过使用不同于安全元件的外部路径将全局非对称密钥对写入一次性存储器中。

图3示出设备的实施例，其中随机设备密钥对由安全元件产生。

图4示出设备的实施例，其中所生成的设备公共密钥通过使用全局密钥对进行签名。

图5示出设备的实施例，其中设备密钥对和设备公钥的签名被写入并且锁定在一次性可编程存储器中。

图6示出设备的实施例，其中安全元件对于全局私和/或公钥的未锁定位进行编程从而将其从一次性可编程存储器擦除。

图7示出设备的实施例，其中安全元件所产生的全局私钥被一次性可编程存储器中所编程的屏蔽值进行屏蔽从而提供全局私钥的“真”值。

图8示出设备的实施例，其中安全元件所产生的全局私钥被一次性可编程存储器中所硬编码的密钥进行加密从而提供全局私钥的“真”值。

具体实施方式

所述设备DEV包括如图1示意性示出的本地连接到持久性存储器或一次性可编程存储器OPT的安全元件SE。该存储器OTP总体上包含在设备的制造、个性化或者第一次启动时引入的设备特定参数。设备特定参数可以包括由安全元件SE生成包括密钥的设备特定值DV所使用的全局值GV。

设备DEV，也称为安全设备，可以被集成在个人计算机、移动设备、付费电视机顶盒，或者提供对于设备的用户透明的植入式安全机制的任何其他数据处理单元。这些通常被硬编码并且与软件程序结合的安全机制可以安装在芯片、芯片组、芯片上的系统、智能卡、母版或其他专用模块中。

安全元件SE可以包括其上能够安装应用、进行个性化和管理的平台。它包括硬件、软件、接口以及协议，这些使得能够进行证书的安全存储，用于支付、认证以及其他服务的应用的执行。安全性关键的应用，诸如那些包含支付和账户证书的应用，需要安全的硬件存储器和安全的执行环境。在移动设备上，这通常由安全元件来处理。

安全元件SE可以以不同形式来实施，诸如通用集成电路卡(UICC)、嵌入式安全元件、或NFC(近场通信)装置，诸如能够插入到移动设备上的卡槽中或以非接触的方式使用的分开的芯片或安全设备。通常UICC是由移动网络运营商控制的用户标识模块(SIM)的形式。嵌入式的安全元件向服务供应商给出将安全元件嵌入到移动设备本身中的选择。安全元件SE可以包括信任共同的实体的一个或多个安全域，每个安全域包括数据集合，诸如分组、小程序、应用等，这意味着安全域可以通过使用共同的或全局的密钥或令牌来进行认证或管理。安全域可以与服务提供商相关联，并且可以包括服务供应商小程序或应用，诸如忠诚、折扣和信用卡，并且传送应用或小程序。

根据实施例，安全元件SE包括密钥发生器KG，其用于通过使用包括一次性可编程存储器OTP中所存储的全局非对称密钥对的全局值GV，来产生包括非对称设备密钥对的设备特定值DV。所产生的非对称密钥对对于设备DEV是唯一且特定的，并且包括存储在安全元件SE的非易失性存储器中的设备私钥DKpri和设备公钥DKpub。

图2示出如下的示例：通过仅在制造设备DEV时可用的特定路径，将包括全局私钥DKpri和全局公钥DKpub的全局非对称密钥对编程在一次性可编程存储器OTP中。一个或多个数据线形式的路径优选地通过硬件方式被禁能，诸如在将全局非对称密钥对编程在一次性可编程存储器OTP中之后，通过熔断相关的保险丝来使得该路径停用。

当数据线无法在物理上切断时，可以通过编程OTP存储器中的位使得无法再从外部访问OTP存储器，而使得该路径永久禁能。

在初始化阶段，当制造或个性化设备DEV时，位串形式的全局值GV(诸如，密钥对)被编程在一次性可编程存储器OTP中，从而以不可逆的方式将几个位锁定或熔断，使得所关心的位无法重置为初始值，并且串的剩余位保持未锁定，从而这些位能够在设备DEV的操作之后进行锁定。根据示例，所有的位1可以锁定，而所有的位0未锁定，或者反之。在被熔断的位设置为1的情况下，OTP存储器的初始状态是所有位设置为0，或者相反。

根据特定配置，熔断位在同一个OTP存储器中可以根据它们的存储器地址被设置为0或1，例如安全元件SE用于识别可以利用适当的索引进行指示的锁定位和未锁定位。

除了制造或个性化处理模块，安全元件SE是能够编程OTP存储器位的唯一替换模块。根据另一实施例，从一开始，安全元件SE通过使用TRNG(真随机数发生器)来生成随机的非对称设备密钥对以提供唯一的密钥对。这些密钥然后由安全元件SE通过使用全局非对称密钥对进行签名。在图3和图4所示的示例中，设备公钥DKpub优选地由全局密钥GKpri进行签名。全局公钥GKpub然后用于核实该签名。

需要注意的是，已知的签名算法使用密钥来生成签名，使用公钥来对其进行核实。

签名Sig DKpub然后可以包括由全局密钥GKpri签名的设备公钥DKpub的摘要，该摘要通过将SHA-2,SHA-3,BLAKE类型或任何其他专有类型的单向、无冲突哈希函数施加到设备公钥DKpub来计算。

安全元件SE中所包括的处理器可以将产生的设备特定的非对称密钥对以及相关联的签名编程在OTP存储器中，使得它们的值的多个位被锁定从而防御通过外部干预所执行的任何修改，见图5。

为了改善全局密钥的保护，全局私钥GKpri可以由编程其值的所有未锁定位的安全元件SE的处理器从OTP存储器擦除，如图6所示。在全局私钥GKpri用于签名设备公钥DKpub的情况下，设备密钥的修改将导致由于缺少全局私钥GKpri而无法重现的签名的核实失败。

根据另一实施例，安全元件SE的处理器可以通过编程对应位串的未锁定位，来擦除全局公钥GKpub或者一次性可编程存储器OTP中所存储的全部全局公钥对。

为了防止全局值GV或全局密钥对被误删，在OTP存储器中可以实施试验机制。例如，在每次删除试验后，计数器可以从预定的值递增或递减，并且当计数器达到预定的最大值或者被设置为零时，总是执行全局密钥对中的至少一个密钥或两个密钥的删除。

在设备DEV的制造或个性化时无法提供全局密钥对的情况下，例如由于成本原因；可以设想两个可选的解决方案：

A)全局私钥GKpri1可以在设备DEV的初始化阶段被硬编码入安全元件SE中，并且利用OTP存储器中所存储的全局值BV来屏蔽，如图7中所示。术语“硬编码”在此意思是全局密钥GKpri1被植入在安全元件SE的硬件和/或软件中使得其无法被修改。

屏蔽操作BL可以包括由安全元件SE的处理器将使用全局值BV作为参数的预定数学函数或算法应用在硬编码的全局私钥GKpri1的值上。这样获得的结果体现出设备DEV的安全元件SE生成设备密钥对(DKpri,DKpub)所使用的全局私钥的有效或“真”值GKpri2，并且计算设备公钥DKpub的签名Sig DKpu。

B)全局私钥GKpri1可以被硬编码到安全元件SE中，并且利用体现OTP存储器中所编程的全局密钥K的全局值进行加密，如图8所示。加密操作优选地使用专用算法而不是诸如加密标准(DES)或高级加密标准(AES)的已知的加密算法来产生全局密钥GKpri的有效或“真”值。该“真”值然后由安全元件SE用于计算设备公钥DKpub的签名Sig DKpub。

在这些示例中，通过编程未锁定的位，对于与屏蔽值BV或全局密钥K对应的位串的修改或删除足以防止重新使用全局私钥GKpri1。优选地，所使用的私钥或“真”全局密钥GKpri2直接依赖于屏蔽值BV或全局密钥K。

而且，在所公开的实施例中，签名可以通过与如图4所示的全局密钥存储于OTP存储器的情况下相似的方式来确定。

黑客因此无法“使用(play with)”OTP存储器中所存储的全局值来执行差分功耗分析(DPA)或简单功耗分析(SPA)攻击。由于全局值通常在设备第一次开启或启动之后被擦除，所以即使是通过卸载安全元件SE或OTP存储器以观察和分析硬编码的位串结构的开封式攻击也被防御。

当全局值先前已经在制造该设备时被写入到OTP存储器中时，黑客的另外一种可能性是尝试在初始化或启动之前攻击设备。在本文所公共的其他实施例可结合的实施例中，可以通过一些其他的安全机制(诸如，混淆技术或防御开封式攻击)保护OTP存储器或者存储全局值的特定区域来克服。

Claims (15)

1.一种保护设备(DEV)中的设备密钥的方法，所述设备(DEV)包括本地连接到至少一次性可编程存储器(OTP)的至少一个安全元件(SE)，所述至少一次性可编程存储器以包括锁定位和未锁定位的位串的形式存储全局值(GV)，所述锁定位在所述设备(DEV)的初始化阶段期间不可逆地预先编程在所述一次性可编程存储器(OTP)中，所述未锁定位保持在允许通过所述安全元件(SE)可编程所述未锁定位的初始状态。

所述方法其特征在于包括如下步骤：

-在所述设备(DEV)初始化时，由所述安全元件(SE)，通过使用所述全局值(GV)来生成设备特定值(DV)，

-由所述安全元件(SE)编程先前在一次性可编程存储器(OTP)中所获得的所述设备特定值(DV)，以及

-由所述安全元件(SE)，通过编程对应位串的未锁定位来擦除所述全局值(GV)。

2.根据权利要求1所述的方法，其特征在于，所述全局值(GV)包括非对称全局私钥对，所述非对称全局密钥对包括全局私钥(GKpri)和全局公钥(GKpub)，并且其特征在于所述设备特定值(DV)包括非对称设备密钥对，所述非对称设备密钥对包括设备私钥(DKpri)和设备公钥(DKpub)。

3.根据权利要求2所述的方法，其特征在于，其包括如下的进一步步骤：由所述安全元件(SE)通过对于摘要进行签名来计算设备公钥(DKpub)的签名(SigDKpub)，所述摘要通过利用全局私钥(GKpri)将哈希函数施加到设备公钥(DKpub)而产生，所述全局公钥(GKpub)用于核实所述签名(SigDKpub)。

4.根据权利要求3所述的方法，其特征在于，先前所获得的设备私钥(DKpri)、设备公钥(DKpub)以及签名(SigDKpub)通过所述安全元件(SE)被编程在所述一次性可编程存储器(OTP)中，全局私钥(GKpri)或一次性可编程存储器(OTP)中所存储的全部全局密钥对通过编程对应位串的未锁定位被擦除。

5.根据权利要求2所述的方法，其特征在于，全局私钥(GKpri)是在设备(DEV)的初始化阶段被硬编码到所述安全元件(SE)中并且利用一次性可编程存储器(OTP)中所存储的全局值(BV)进行屏蔽。

6.根据权利要求5所述的方法，其特征在于，所述安全元件(SE)将屏蔽操作(BL)施加到硬编码的全局私钥(GKpri)的值，所述屏蔽操作(BL)包括使用屏蔽值(BV)作为参数的预定数学函数或算法，所获得的结果体现所述设备(DEV)所使用的全局私钥(GKpri)的有效值，从而生成设备密钥对并且计算所述设备公钥(DKpub)的签名(SigDKpub)。

7.根据权利要求1所述的方法，其特征在于，全局值(GV)包括全局密钥(K)，所述全局密钥(K)用于确定所述设备(DEV)的初始化阶段硬编码在所述安全元件(SE)中的唯一非对称全局密钥对的全局私钥(Gkpri)的有效值。

8.根据权利要求7所述的方法，其特征在于，安全元件(SE)通过使用专用的算法，利用全局密钥(K)来加密硬编码的全局私钥(GKpri)，所获得的结果体现所述设备(DEV)所使用的全局私钥(GKpri)的有效值，用于生成设备密钥对并且计算所述设备公钥(DKpub)的签名(SigDKpub)。

9.一种设备(DEV)，所述设备(DEV)包括本地连接到至少一次性可编程存储器(OTP)的至少一个安全元件(SE)，所述至少一次性可编程存储器以包括锁定位和未锁定位的位串的形式存储全局值(GV)，所述锁定位在所述设备(DEV)的初始化阶段期间可逆地预先编程在一次性可编程存储器(OTP)中，所述未锁定位保持在允许通过所述安全元件(SE)可编程所述未锁定位初始状态，所述设备其特征在于所述安全元件(SE)包括：

发生器，用于在设备(DEV)初始化时通过使用全局值(GV)来生成设备特定值(DV)，

处理器，用于

编程在一次性可编程存储器(OTP)中先前所获得的设备特定值(DV)，以及

通过编程对应位串的未锁定位来擦除所述全局值(GV)。

10.根据权利要求9所述的设备，其特征在于，全局值(GV)包括非对称全局密钥对，所述非对称全局密钥对包括全局私钥(GKpri)和全局公钥(GKpub)，其特征在于所述设备特定值(DV)包括非对称设备密钥对，所述非对称设备密钥对包括设备私钥(DKpri)和设备公钥(DKpub)。

11.根据权利要求2所述的设备，其特征在于，处理器进一步用于：通过对于摘要进行签名来计算设备公钥(DKpub)的签名(SigDKpub)，所述摘要通过利用全局私钥(GKpri)将哈希函数施加到设备公钥(DKpub)而产生。

12.根据权利要求11所述的设备，其特征在于，所述处理器进一步用于编程先前在一次性可编程存储器(OTP)中所获得的设备私钥(DKpri)、设备公钥(DKpub)以及签名(SigDKpub)，并且通过编程对应位串的未锁定位来擦除全局私钥(GKpri)或一次性可编程存储器(OTP)中所存储的全部全局密钥对。

13.根据权利要求10所述的设备，其特征在于，全局私钥(GKpri)是在设备(DEV)的初始化阶段被硬编码到安全元件(SE)中并且利用一次性可编程存储器(OTP)中所存储的全局值(BV)进行屏蔽。

14.根据权利要求13所述的设备，其特征在于，所述安全元件(SE)进一步用于将屏蔽操作(BL)施加到硬编码的全局私钥(GKpri)，所述屏蔽操作(BL)包括使用屏蔽值(BV)作为参数的预定数学函数或算法，所述密钥发生器用于使用所获得的体现全局私钥(GKpri)的有效值，用于生成设备密钥对(DKpri，DKpub)。

15.根据权利要求9所述的设备，其特征在于，所述全局值(GV)包括全局密钥(K)，所述密钥发生器用于使用所述全局密钥(K)来确定在所述设备(DEV)的初始化阶段硬编码在所述安全元件(SE)中的唯一非对称全局密钥对的全局私钥(Gkpri)的有效值，所述安全元件(SE)进一步用于通过使用专用算法来使用全局密钥(K)加密硬编码的全局私钥(GKpri)。