CN111310209B

CN111310209B - 电子电路的安全启动

Info

Publication number: CN111310209B
Application number: CN202010093707.7A
Authority: CN
Inventors: O·范涅尤文胡伊泽; C·H·里卡尔
Original assignee: Proton World International NV
Current assignee: Proton World International NV
Priority date: 2015-11-03
Filing date: 2016-03-31
Publication date: 2024-03-05
Anticipated expiration: 2036-03-31
Also published as: CN106650456B; US20170124330A1; FR3043229B1; CN111310209A; CN106650456A; US11086999B2; US10157281B2; US20190073480A1; FR3043229A1; EP3166095A1

Abstract

本公开涉及电子电路的安全启动，其中，一种检查包括微控制器和嵌入式安全元件的电子设备的非易失性存储器的内容的真伪的方法，包括：使用与微控制器相关联的第一非可再编程存储区域中存储的指令启动微控制器，启动安全元件，使用安全元件对与微控制器相关联的第二可再编程非易失性存储区域的内容执行签名验证，以及如果签名被验证，则使用安全元件向微控制器发送第一密钥。

Description

电子电路的安全启动

本申请要求于2015年11月3日提交的法国专利申请第15/60510号的优先权权益。

技术领域

本公开内容总体上涉及电子电路，并且更具体地涉及包括处理器和嵌入式安全元件的设备。本公开更具体地应用于在设备的启动时控制处理器中包含的指令中的全部或部分指令的真伪。

背景技术

很多电子设备、例如手机、电子密钥(电子狗)等配备有用于处理数据和执行各种应用的微处理器。在这样的应用中，一些应用现在与需要保护所交换的数据的安全的操作(例如支付、访问控制和其他操作)相关联。

例如计算机、视频解码盒(机顶盒)等的更明显的设备包括可信平台模块(TPM)，TPM使得能够保护指令存储器的内容并且具体检查要执行的代码或程序尚未被涂改。这样的模块不存在于不复杂的设备，诸如手机、电子密钥和所连接的对象(所连接的手表、访问电子狗等)。

电子设备即使不包括安全平台模块，通常仍然越来越多地配备有嵌入式安全元件，嵌入式安全元件实际上为表示微电路卡(智能卡、SIM等)的安全功能的集成电路。例如，这样的安全元件包含提供用于支付、访问控制和其他操作的安全认证服务的微电路卡仿真应用。

发明内容

希望能够保护电子设备的启动以控制使得其所包含的代码或数据是真实的或者未被改写。

实施例提供一种克服在电子设备中启动的微处理器的已知技术的缺点中的全部或部分缺点的解决方案。

实施例提供保护与电子设备中的微处理器相关联的嵌入式安全元件。

因此，实施例提供一种检查包括微控制器和嵌入式安全元件的电子设备的非易失性存储器的内容的真伪的方法，方法包括：

使用与微控制器相关联的第一非可再编程存储区域中存储的指令启动微控制器；

启动安全元件，安全元件包含第一密钥，第一密钥用于解密与微控制器相关联的第二可再编程非易失性区域的内容；

使用安全元件对第二区域中的内容执行签名验证；以及

如果签名被验证，则安全元件向微控制器发送第一密钥。

根据实施例，微控制器生成第二密钥，向安全元件传输第二密钥，安全元件使用第二密钥加密第一密钥到微控制器的传输。

根据实施例，第二密钥的传输使用公共密钥非对称算法。

根据实施例，非对称加密密钥每个微控制器/安全元件对唯一。

根据实施例，第一密钥没有存储在微控制器中的非易失性存储器中。

根据实施例，微控制器等待来自安全元件的响应以执行第二区域中包含的指令。

根据实施例，在第二区域的内容发生认证更新的情况下，相应地修改安全元件中存储的签名。

根据实施例，由安全元件生成第一密钥。

根据实施例，如果签名没有被安全元件验证，则中断微控制器的电源。

实施例提供一种电子设备，包括：

微控制器；

嵌入式安全元件，

微控制器和安全元件能够实现以上方法。

根据实施例，在微控制器与安全元件之间插入有中间电路。

在对具体实施例的以下非限制性描述中结合附图详细讨论以上和其他特征和优点。

附图说明

参考附图来描述非限制性和非排他性实施例，其中相似的附图标记遍及各个视图指代相似的部分，除非另由所指。下文中参考附图来描述一个或多个实施例，在附图中：

图1是配备有微控制器和嵌入式安全元件的电子设备的实施例的框图形式的非常简化的表示；

图2是示出图1的电子设备的微控制器的启动序列的实施例的简化表示；以及

图3是示出图1的电子设备的微控制器的启动序列的另一实施例的简化表示。

具体实施方式

在不同的附图中，相同的元件分配有相同的附图标记。

为了清楚，仅示出并且将详述有助于理解所描述的实施例的这些步骤和元素。特别地，没有详述所执行的处理或者执行这些处理的电路的应用，所描述的实施例兼容这样的设备的一般应用。另外，也没有详述电子设备的不同元件之间的信号交换协议，所描述的实施例在此再次兼容当前使用的协议。在以下描述中，在提及术语“关于”、“接近”或“在……的数量级”时，表示在10％的范围内，优选地在5％的范围内。

图1以框图的形式非常示意性地示出将要描述的实施例所适用的类型的电子设备1的示例。

例如电话、电子密钥等的设备1包括负责控制在设备中执行的程序和应用中的全部或部分程序和应用的微控制器2(CPU——中央处理单元)。微控制器2经由一个或多个地址、数据和控制总线12与设备1的不同的电子电路和外围设备(未示出)(例如显示器控制电路、键盘等)以及与各种有线或无线输入输出接口14(I/O)(例如蓝牙)通信。微控制器2通常集成易失性和非易失性存储器，并且还处理设备1的类似存储器16(MEM(VM/NVM))的内容。微控制器2和设备1的各种电路由供电单元18(PU)来供电。例如，单元18是有可能与电压调节器相关联的电池。

在本公开所涉及的应用中，设备1还包括嵌入式安全元件3(例如eSE——嵌入式安全元件或eUICC——嵌入式通用集成电路卡)，安全元件3包括安全微处理器。元件3意图包含电子设备的安全服务或应用，例如支付、访问控制和其他应用。

有可能的是，例如近场通信控制器4(NFC)(也称为非接触式前端(CLF))、蓝牙控制器等的中间元件或电路4配备设备1。元件4(图1中用虚线图示)能够由微控制器2例如通过双股线类型的连接来使用(I2C或SPI)，并且由元件3通过单线类型的连接来使用(SWP——单线协议)。

根据安全元件3承受的电压电平，上述元件由单元18来供电，或者如图1所示，由本身被单元18供电的元件4来供电。例如，可以考虑由单元18在3伏特数量级的电压下对微控制器2和非接触式通信控制器4供电的情况以及由控制器4在1.8伏特(PWR)数量级的电压下对元件3供电的情况。NFC控制器4对电源的需要可以是由于通信协议在控制器与安全元件3之间所使用的电平。

本文提出利用嵌入式安全元件3的存在检查与微控制器2相关联的存储器中的全部或部分存储器的内容(数据、指令等)的真伪。

图2是示出图1的电子设备1的微控制器2的启动序列的实施例的简化表示。

微控制器2的启动在数据安全方面的固有风险在于，在微控制器代码(程序)被盗取的情况下，嵌入式安全元件的数据冒有被盗取的风险。这一风险发生在启动(被称为冷启动)时，在这之前为上电，因为并非所有的用于控制对不同电路的访问的机制已经被初始化，并且特别是空闲区域和保留区域中的存储器的配置。问题在设备“热”复位的情况下不太严重，也就是说，没有微控制器电源的中断，因为这样的存储器区域配置机制通常未被触及。然而，所描述的实施例也可以在复位时部分或整体删除存储器的情况下实现。

在具有电源中断的情况下启动(设备的电子电路的上电)或复位时，微控制器2通过访问其包含代码(启动程序)的非易失性存储器的设定区域51来启动(BOOT)。区域51通常是只读存储区域，也就是非易失性和非可再编程(有时称为“不可变”)。其因此在制造时设定并且没有冒着被可能的盗版者修改的风险。实际上，应当被保护的存储区域52(MEMCPU)是在应用需要访问元件3时被微控制器2采用的非易失性存储区域。这样的区域52还包含根据应用可再编程的代码(指令)和数据。如果盗版者在这些区域中成功存储攻击代码，则他/她能够访问安全元件3。

由微控制器执行的启动代码51包含用于启动安全元件3的指令(即，eSE的函数Fn(BOOT))以及随后在初始化过程的序列(用箭头53图示)中用于启动元件3对区域52的内容的检查或验证的过程的指令INST。一旦微控制器2向元件3通信指令INST，则微控制器2转为保持模式(HOLD)，在保持模式下，微控制器2等待来自安全元件3的响应。只要微控制器2没有接收到这一响应，就不采取其包含的代码的执行。

由元件3执行的检查CHECK包括读取区域52的全部或部分并且执行认证检查机制。例如，这一机制是基于区域52中所包含的代码和数据的签名计算，并且用于对照元件3中存储的参考签名来检查这一签名。在这种情况下，如果区域52的内容发生认证修改，则更新元件3中存储的参考签名以使得能够进行随后的真伪检查。

如果元件3验证区域52的内容的真伪，则其向微控制器2作出响应。微控制器2然后可以离开其保持模式并且基于区域52的内容执行初始化的其余部分。

然而，如果元件3没有验证(NOK)区域52的内容，则其经由插入在微控制器2的电源线路上的开关K引起这一电源的中断。然后其迫使微控制器被重启并且重复以上描述的步骤。如果由于瞬态故障产生错误，则下一执行验证该启动。然而，如果区域52中包含的代码有效地提出问题(无论其在攻击之后还是在存储器问题之后)，微控制器2将连续地启动，例如，直到电池18耗尽，或者只要设备1被连接就不断地进行，但是从没有通过启动阶段BOOT。

优选地，在元件3启动时(Fn(BOOT)eSE)，元件3监控源自微控制器2的请求(指令INST)的到达。如果这一请求在相对于启动与到达或请求INST之间的一般时间所确定的某个时间(例如在几百个毫秒的数量级)之后没有到达，则元件3引起微控制器2的电源的中断。这在微控制器的启动程序BOOT扰动的情况下提供另外的安全。

根据本实施例，每件事情通过微控制器2与安全元件3之间的消息的互换来执行，而没有必要作用于(中断)微控制器电源。

微控制器2和安全元件3的启动按照与前一实施例中相同的方式来被引起，也就是，在微控制器2的启动(框61，BOOT CPU)时被引起，微控制器2引起安全元件3的启动(框62，BOOT eSE)。一旦被启动，元件3转为其中元件3等待指令的模式(WAIT)。

另外，优选地通过由元件3进行的签名检查来执行对包含要检查的代码的区域52或者非易失性存储区域(NVM)的内容的检查。

根据图3的实施例，存储在非易失性存储器52中并且在其启动之后形成微控制器2的初始化的数据的代码和固定数据被加密。所使用的加密例如是对称AES型加密。然而，加密密钥并非存储在微控制器2中，而是存储在安全元件3中。

一旦微控制器2启动(框61的结尾)并且向元件3给出启动指令，则其生成密钥(框63，GEN KeyAESRDM)，优选地是用于加密代码的AES的大小的随机数。

微控制器2然后向安全元件传输密钥KeyAESRDM。优选地，这一传输由公共密钥机制来执行，微控制器使用算法的公共密钥对密钥KeyAESRDM加密(框64，CIPHER KeyAESRDM(PUBLIC KEY))。优选地，微控制器2不在非易失性存储器中存储随机数KeyAESRDM。实际上，其将这一数存储在易失性存储器中就足够了，这降低了攻击风险。一旦传输密钥KeyAESRDM，微控制器转向等待模式(WAIT)。

元件3借助于安全密钥机制对KeyAESRDM解密(框65，DECIPHER(KeyAESRDM))并且对其进行存储(框66，STORE KeyAESRDM)。

元件3然后解密微控制器2的非易失性存储器的区域52中包含(或者与其相关联)的代码(框67，DECIPHER CODE AESCodeKey)，并且计算和检查代码签名(框68，COMPUTE/CHECK SIGNATURE)。

如果签名不正确(框69的输出N，OK？)，则元件3不响应于微控制器2并且其操作被停止(STOP)。

如果签名正确(框69的输出Y)，则元件3使用密钥KeyAESRDM对密钥AESCodeKey加密(框70，CIPHER AESCodeKey(KeyAESRDM))并且将其发送给微控制器2。微控制器使用密钥KeyAESRDM对密钥AESCodeKey解密(框71，DECIPHER AESCodeKey(PUBLIC KEY))。

微控制器2然后使用密钥AESCodeKey解密区域52中包含的代码并且执行该代码(EXECUTE)。然而，微控制器2没有将密钥AESCodeKey存储在非易失性存储器中。因此，在微控制器2侧，数KeyAESRDM和密钥AESCodeKey仅存储在易失性存储元件(RAM、寄存器等)中。

根据替选实施例，由安全元件3针对区域52中所包含的代码的签名的每个变化(也就是在该代码每次被修改时)生成密钥AESCodeKey。

根据另一变型，在制造(微控制器2或安全元件3的)电路时，由安全元件3生成微控制器的存储器52的加密代码。这表示，代码AESCodeKey从一个设备1到另一设备发生变化。

优选地，对于每个微控制器部件2/安全元件3的对，非对称密钥(公共密钥和私有密钥的对)唯一。

应当注意，可以组合两个实施例及其相应变型。例如，在根据第二实施例的认证失败的情况下(框69的输出N，图3)，根据关于图2描述的实施例可以设置安全元件中断微控制器的电源。

已经描述了各种实施例。本领域技术人员能够想到各种修改。特别地，具有要检查的内容的存储区域的选择取决于应用并且可以变化。另外，安全元件与微控制器之间的数据交换加密过程的选择也取决于应用。另外，已经描述的实施例的实际实现在本领域技术人员使用上文中给出的功能指示的情况下的能力范围内。

这样的变化、修改和改进意图是本公开的部分，并且意图在本发明的精神和范围内。因此，以上描述仅作为示例而非意在限制。本发明仅如以下权利要求及其等同方案中定义地被限制。

可以组合以上描述的各种实施例以提供另外的实施例。可以鉴于以上详细描述对实施例做出这些和其他变化。通常，在以下权利要求中，所使用的术语不应当被理解为将权利要求限制为本说明书和权利要求中公开的具体实施例，而是应当被理解为包括所有可能的实施例连同这样的权利要求授权的等同方案的整个范围。因此，权利要求不受本公开的限制。

Claims

1.一种电子电路的系统，包括：

微控制器；

安全元件；和

存储器，具有耦合到所述微控制器的非可再编程存储区域，该非可再编程存储区域中存储有可由所述微控制器执行的一组启动指令，其中所述安全元件被布置为：

接收加密的第一安全密钥；

解密所述第一安全密钥；

接收第二安全密钥；

使用所述第二安全密钥，解密所述一组启动指令；

计算解密后的所述一组启动指令的签名；以及

响应于确定计算出的所述签名有效：

使用解密后的所述第一安全密钥对所述第二安全密钥进行加密；并且

将加密后的所述第二安全密钥发送到所述微控制器。

2.根据权利要求1所述的系统，其中，所述安全元件被布置为：

存储解密后的所述一组启动指令的签名；

更新所述一组启动指令；

计算更新后的所述一组启动指令的更新签名；以及

存储所述更新签名。

3.根据权利要求1所述的系统，其中，所述第一安全密钥已经与公共密钥一起加密，并且所述安全元件被布置为利用私钥来解密所述第一安全密钥，所述公共密钥和私钥形成一对密钥，所述一对密钥对于所述系统是唯一的。

4.根据权利要求1所述的系统，其中，所述签名在所述系统内是唯一的。

5.根据权利要求1所述的系统，包括：

电源，其中所述安全元件被布置为响应于确定计算出的所述签名无效而中断所述电源的操作。

6.根据权利要求1所述的系统，其中，所述微控制器被布置为：

接收加密后的所述第二安全密钥；

解密所述第二安全密钥；

使用解密后的所述第二安全密钥解密所述一组启动指令中的指令；以及

执行解密后的所述指令。

7.根据权利要求6所述的系统，其中，所述微控制器被布置为：

将解密后的所述第二安全密钥仅存储在易失性存储器中。

8.根据权利要求1所述的系统，其中，所述微控制器被布置为：

生成初始化数据；以及

将生成的所述初始化数据存储在所述存储器中。

9.根据权利要求1所述的系统，其中，所述微控制器被布置为：

生成随机数；

加密所述随机数以形成加密后的所述第一安全密钥；和

将加密后的所述第一安全密钥传递给所述安全元件。

10.根据权利要求9所述的系统，其中，所述微控制器被布置为：

在传递后进入等待模式；以及

在接收到加密后的所述第二安全密钥后，继续执行。

11.一种安全元件设备，包括：

安全微处理器，被配置为提供安全服务；和

至少一个通信接口，用于在所述安全元件设备和微控制器之间双向传递控制信息，其中，所述安全元件设备被配置为：

等待，直到从微控制器接收到加密的第一安全密钥；

解密所述第一安全密钥；

检索第二安全密钥；

使用所述第二安全密钥解密一组启动指令；

计算解密后的所述一组启动指令的签名；以及

响应于确定计算出的所述签名有效：

经由所述安全微处理器使用解密后的所述第一安全密钥对所述第二安全密钥进行加密；和

将加密后的所述第二安全密钥传递给所述微控制器。

12.根据权利要求11所述的安全元件设备，其中，所述安全元件设备被布置为嵌入式通用集成电路卡(eUICC)。

13.根据权利要求11所述的安全元件设备，其中，所述安全元件设备被布置为嵌入式安全元件(eSE)。

14.根据权利要求11所述的安全元件设备，其中，所述安全元件设备被布置为向移动设备提供安全服务。

15.根据权利要求11所述的安全元件设备，其中，所述至少一个通信接口包括近场通信控制器。

16.一种电子设备，包括：

微控制器；

用于提供安全服务的装置；和

用于提供安全存储初始化信息的存储装置，该初始化信息包括所述微控制器可执行的启动指令，其中，用于提供安全服务的所述装置用于：

接收第一安全密钥；

使用第二安全密钥解密所述初始化信息；

验证基于存储在所述存储装置中的所述初始化信息形成的签名；

使用所述第一安全密钥对所述第二安全密钥进行加密；以及

将加密后的第二密钥发送给所述微控制器。

17.根据权利要求16所述的电子设备，其中，所述电子设备是移动电话设备。

18.根据权利要求16所述的电子设备，其中，所述电子设备是电子钥匙设备。

19.根据权利要求16所述的电子设备，包括：

近场通信设备，其耦合到用于提供安全服务的所述装置。

20.根据权利要求16所述的电子设备，其中，所述安全服务包括访问控制服务。