CN115982725A - 用于处理数据的方法和设备 - Google Patents
用于处理数据的方法和设备 Download PDFInfo
- Publication number
- CN115982725A CN115982725A CN202211257780.9A CN202211257780A CN115982725A CN 115982725 A CN115982725 A CN 115982725A CN 202211257780 A CN202211257780 A CN 202211257780A CN 115982725 A CN115982725 A CN 115982725A
- Authority
- CN
- China
- Prior art keywords
- key
- data
- encrypted
- hardware
- dat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
一种用于处理数据、例如密码密钥的方法,该方法具有:使用基于硬件的扩展模块的至少一个第一密钥来对第一数据进行加密,其中该第一密钥能至少暂时通过该基于硬件的扩展模块来被禁止,例如能至少暂时被禁止和/或开放,例如基于该基于硬件的扩展模块的启动顺序;将经加密的第一数据存储在非易失性存储器中。
Description
技术领域
本公开涉及一种用于处理数据的方法。
本公开还涉及一种用于处理数据的设备。
发明内容
示例性的实施方式涉及一种用于处理数据、例如密码密钥的方法、例如计算机实现的方法,该方法具有:使用基于硬件的扩展模块的至少一个第一密钥来对第一数据进行加密,其中该第一密钥能至少暂时通过该基于硬件的扩展模块来被禁止,例如能至少暂时被禁止和/或开放,例如基于该基于硬件的扩展模块的启动顺序;将经加密的第一数据存储在非易失性存储器中。
在其它示例性的实施方式中,这能够实现对第一数据的安全存储,这些第一数据例如在该基于硬件的扩展模块的启动过程或启动顺序被操纵的情况下无法被解密,原因在于例如执行该方法的设备对例如对于解密来说所需的密钥的访问通过该基于硬件的扩展模块来被禁止。
在其它示例性的实施方式中,经加密的第一数据例如也可以被存储在该基于硬件的扩展模块之外,例如被存储在目标系统的非易失性存储器中,其中例如能实现比较大并且仍然安全的密钥存储器。
在其它示例性的实施方式中规定:该方法具有:使用该基于硬件的扩展模块的至少一个第二密钥来对第二数据进行加密,其中该第二密钥至少暂时未通过该基于硬件的扩展模块来被禁止或者至少暂时无法通过该基于硬件的扩展模块来被禁止;而且可选地,将经加密的第二数据存储在该非易失性存储器中。因此,在其它示例性的实施方式中,经加密的第二数据必要时也可以在该基于硬件的扩展模块的启动过程或启动顺序被操纵的情况下被解密,例如借助于第二密钥,原因在于:例如与第一密钥相反,该第二密钥无法被禁止。因此,在其它示例性的实施方式中,能够区分诸如密码密钥那样的待加密数据:诸如密码密钥那样的待加密数据例如是否即使在该基于硬件的扩展模块的启动过程或启动顺序被操纵的情况下也应该可用或可使用。
在其它示例性的实施方式中规定:该基于硬件的扩展模块是根据AUTOSAR的安全硬件扩展(Secure Hardware Extension)模块、即SHE模块。
在其它示例性的实施方式中,该基于硬件的扩展模块例如能集成到目标系统、例如具有计算装置的设备中,例如用于嵌入式系统、例如embedded system、例如用于控制设备,例如能布置在与例如该目标系统的至少有些组件相同的半导体衬底上(“片上(on-chip)”)。
在其它示例性的实施方式中,这些第一数据能够使设备、例如用于该基于硬件的扩展模块的目标系统成为密码域的参与方和/或建立经认证的和/或经加密的通信关系,其中例如这些第二数据不能使该设备成为密码域或该密码域的参与方和/或建立经认证的和/或经加密的通信关系或该经认证的和/或经加密的通信关系,其中例如这些第二数据能用于该设备的基础设施,例如用于安全访问、例如Security Access,和/或用于加载、例如下载应用软件。
在其它示例性的实施方式中,这些第一数据具有用于通信关系的至少一个密钥。
在其它示例性的实施方式中,必要时,所要存储的数据例如可以按如下地被分类:
a.) 用于目标系统、例如嵌入式系统或控制设备的基础设施的数据,例如用于应用软件的安全访问或者软件下载。在其它示例性的实施方式中,例如如果识别出了操纵的话,这些数据可以是重要的,例如对于恢复目标系统、例如控制设备的完整性来说。在其它示例性的实施方式中,上文示例性描述的用于目标系统的基础设施的数据例如可以形成第二数据。
b.) 例如目标系统、例如控制设备例如为了成为密码域的参与方而需要的数据。借此,在其它示例性的实施方式中,例如能够实现经认证的和/或经加密的通信关系,该通信关系例如在软件被操纵的情况下可能导致损坏。在其它示例性的实施方式中,上文在点b.)中所描述的数据例如可以形成第一数据。
在其它示例性的实施方式中,例如从操作人员的角度,上文示例性描述的情况b.)应具有比情况a.)更高的优先级。例如,不应该使被识别为被操纵的目标系统、例如控制设备投入运行,或者至少不应该成为密码域的有效参与方(例如能够可信地进行通信)。
在其它示例性的实施方式中规定:该方法具有:确定待加密数据是否应使用第一密钥来被加密;而且如果待加密数据应使用该第一密钥来被加密的话,则使用该第一密钥来对待加密数据进行加密;而且可选地,存储经加密的数据,例如将经加密的数据存储在非易失性存储器中。在其它示例性的实施方式中,对待加密数据是否应使用第一密钥来被加密的确定例如可以基于具有至少上文示例性描述的情况或类别a.)、b.)的分类来进行。
在其它示例性的实施方式中规定:该方法进一步具有:如果待加密数据不应使用第一密钥来被加密的话,则使用第二密钥来对待加密数据进行加密;而且可选地,存储经加密的数据,例如将经加密的数据存储在非易失性存储器中。
换言之,在其它示例性的实施方式中,经加密的第一数据和经加密的第二数据以及必要时其它经加密的数据都可以被存储在同一非易失性存储器中,其中在其它示例性的实施方式中,这些数据仍然能例如关于它们的可解密性来不一样地被处理,例如通过禁止第一密钥,例如对于该基于硬件的扩展模块的启动过程或启动顺序被操纵的情况来说,其中例如第二密钥对于该基于硬件的扩展模块的启动过程或启动顺序被操纵的情况来说不被禁止并且因此即使在该基于硬件的扩展模块的启动过程或启动顺序被操纵的情况下也能被使用,例如用于对经加密的第二数据进行解密。与此相对应地,例如经加密的第一数据在该基于硬件的扩展模块的启动过程或启动顺序被操纵的情况下无法被解密,原因在于为此所需的密钥由于该操纵而被禁止。
在其它示例性的实施方式中规定:该方法具有:例如在将该基于硬件的扩展模块构造成根据AUTOSAR的SHE模块的情况下,例如通过设置安全启动保护标志(secure bootprotection Flag),禁止第一密钥,例如禁止该第一密钥针对该基于硬件的扩展模块的不正常的启动顺序的情况来使用;而且可选地,例如在将该基于硬件的扩展模块构造成根据AUTOSAR的SHE模块的情况下,例如通过不设置或重置或删除安全引导保护标志或该安全引导保护标志,开放第二密钥用于在该基于硬件的扩展模块的不正常的启动顺序的情况下使用。
其它示例性的实施方式涉及一种用于实施按照这些实施方式所述的方法的设备。
其它示例性的实施方式涉及一种计算机可读存储介质,其包括指令,这些指令在由计算机来执行时促使该计算机实施按照这些实施方式所述的方法。
其它示例性的实施方式涉及一种计算机程序,其包括指令,在由计算机来执行该程序时,这些指令促使该计算机实施按照这些实施方式所述的方法。
其它示例性的实施方式涉及一种数据载波信号,该数据载波信号传输和/或表征按照这些实施方式所述的计算机程序。
其它示例性的实施方式涉及按照这些实施方式所述的方法和/或按照这些实施方式所述的设备和/或按照这些实施方式所述的计算机可读存储介质和/或按照这些实施方式所述的计算机程序和/或按照这些实施方式所述的数据载波信号的用于如下要素中的至少一个要素的应用:a) 安全地存储第一密钥;b) 阻止该第一密钥在该基于硬件的扩展模块的不正常的启动顺序的情况下使用;c) 在该基于硬件的扩展模块之外,提供安全存储器,例如用于密码密钥;d) 优先保护不一样的数据。
本发明的其它特征、应用途径以及优点从随后对本发明的实施例的描述中得到,这些实施例在附图的图中示出。在此,所有被描述或者被示出的特征本身或以任意的组合来形成本发明的主题,与它们在权利要求书中的概括或者它们的回引无关,以及与它们在说明书中或在附图中的表达或呈现无关。
附图说明
在附图中:
图1示意性示出了按照示例性的实施方式的简化流程图;
图2示意性示出了按照其它示例性的实施方式的简化流程图;
图3示意性示出了按照其它示例性的实施方式的简化流程图;
图4示意性示出了按照其它示例性的实施方式的简化流程图;
图5示意性示出了按照其它示例性的实施方式的简化框图;
图6示意性示出了按照其它示例性的实施方式的简化图表;
图7示意性示出了按照其它示例性的实施方式的简化框图;
图8示意性示出了按照其它示例性的实施方式的应用的方面。
具体实施方式
示例性的实施方式,参见图1,涉及一种用于处理数据、例如密码密钥的方法、例如计算机实现的方法,该方法具有:使用基于硬件的扩展模块208(图5)的至少一个第一密钥KEY1来对第一数据DAT1进行加密100,其中该第一密钥KEY1能至少暂时通过该基于硬件的扩展模块208来被禁止,例如能至少暂时被禁止和/或开放,例如基于该基于硬件的扩展模块208的启动顺序BS(见下文,图6);将经加密的第一数据DAT1'存储102(图1)在非易失性存储器204b(图5)中。
在其它示例性的实施方式中,这能够实现以加密形式对第一数据DAT1的安全存储,这些第一数据例如在该基于硬件的扩展模块208的启动过程或启动顺序被操纵的情况下无法被解密,原因在于例如执行该方法的设备200(图5)对例如对于解密来说所需的第一密钥KEY1的访问通过该基于硬件的扩展模块208来被禁止。
在其它示例性的实施方式中,经加密的第一数据DAT1'例如也可以被存储在该基于硬件的扩展模块208之外,例如被存储在目标系统200的非易失性存储器204b(图5)中,其中例如能实现比较大并且仍然安全的密钥存储器SS。
在其它示例性的实施方式中,参见图2,规定:该方法具有:使用该基于硬件的扩展模块208的至少一个第二密钥KEY2来对第二数据DAT2进行加密105,其中该第二密钥KEY2至少暂时未通过该基于硬件的扩展模块208来被禁止或者至少暂时无法通过该基于硬件的扩展模块来被禁止;而且可选地,将经加密的第二数据DAT2'存储107(图2)在该非易失性存储器204b中。因此,在其它示例性的实施方式中,经加密的第二数据DAT2'必要时也可以在该基于硬件的扩展模块208的启动过程或启动顺序被操纵的情况下被解密,例如借助于第二密钥KEY2,原因在于:例如与第一密钥KEY1相反,该第二密钥无法被禁止或者不被禁止。因此,在其它示例性的实施方式中,能够区分诸如密码密钥那样的待加密数据DAT1、DAT2:诸如密码密钥那样的待加密数据例如是否即使在该基于硬件的扩展模块208的启动过程或启动顺序被操纵的情况下也应该可用或可使用。
在其它示例性的实施方式中,第一数据DAT1除了第一密钥KEY1之外例如也仍可以使用第二密钥KEY2来被加密。
在其它示例性的实施方式中规定:该基于硬件的扩展模块是根据AUTOSAR(AUTomotive Open System ARchitecture(汽车开放系统架构))的安全硬件扩展(SecureHardware Extension)模块、即SHE模块。
在其它示例性的实施方式中,参见图5,该基于硬件的扩展模块208例如能集成到目标系统200、例如具有计算装置202的设备200中,例如用于嵌入式系统、例如embeddedsystem、例如用于控制设备,例如能布置在与例如该目标系统200的至少有些组件202、204相同的半导体衬底SUBSTR上(“片上(on-chip)”)。
在其它示例性的实施方式中,这些第一数据DAT1能够使设备200、例如用于该基于硬件的扩展模块208的目标系统成为密码域的参与方和/或建立经认证的和/或经加密的通信关系,其中例如这些第二数据DAT2不能使该设备200成为密码域或该密码域的参与方和/或建立经认证的和/或经加密的通信关系或该经认证的和/或经加密的通信关系,其中例如这些第二数据DAT2能用于该设备的基础设施,例如用于安全访问、例如Security Access,和/或用于加载、例如下载应用软件PRG(图5)。
在其它示例性的实施方式中,这些第一数据DAT1具有用于通信关系的至少一个密钥,例如对称或非对称密码系统的至少一个密码密钥。
在其它示例性的实施方式中,必要时,所要存储的数据DAT1、DAT2例如可以按如下地被分类:
a.) 用于目标系统200、例如嵌入式系统或控制设备的基础设施的数据,例如用于应用软件PRG的安全访问或者软件下载。在其它示例性的实施方式中,例如如果识别出了操纵的话,这些数据可以是重要的,例如对于恢复目标系统、例如控制设备的完整性来说。在其它示例性的实施方式中,上文示例性描述的用于目标系统的基础设施的数据例如可以形成第二数据DAT2。
b.) 例如目标系统200、例如控制设备例如为了成为密码域的参与方而需要的数据。借此,在其它示例性的实施方式中,例如能够实现经认证的和/或经加密的通信关系,该通信关系例如在软件PRG被操纵的情况下可能导致损坏。在其它示例性的实施方式中,上文在点b.)中所描述的数据例如可以形成第一数据DAT1。
在其它示例性的实施方式中,例如从操作人员的角度,上文示例性描述的情况b.)应具有比情况a.)更高的优先级。例如,在其它示例性的实施方式中,不应该使被识别为被操纵的目标系统、例如控制设备投入运行,或者至少不应该成为密码域的有效参与方(例如能够可信地和/或经加密地进行通信)。
在其它示例性的实施方式中,参见图3,规定:该方法具有:确定110待加密数据DAT-V是否应使用第一密钥KEY1来被加密;而且如果待加密数据DAT-V应使用该第一密钥KEY1来被加密的话,则使用该第一密钥KEY1来对待加密数据DAT-V进行加密112;而且可选地,存储113经加密的数据DAT-V',例如将经加密的数据存储在非易失性存储器204b(图5)中。
在其它示例性的实施方式中,对待加密数据DAT-V是否应使用第一密钥KEY1来被加密的确定110例如可以基于具有至少上文示例性描述的情况或类别a.)、b.)的分类来进行。
在其它示例性的实施方式中规定:该方法进一步具有:如果待加密数据DAT-V不应使用第一密钥KEY1来被加密的话,则使用第二密钥KEY2来对待加密数据DAT-V进行加密114;而且可选地,存储115经加密的数据DAT-V',例如将经加密的数据存储在非易失性存储器204b中。
换言之,在其它示例性的实施方式中,经加密的第一数据DAT1'和经加密的第二数据DAT2'以及其它经加密的数据DAT-V'都可以被存储在同一非易失性存储器204b中,其中在其它示例性的实施方式中,这些数据仍然能例如关于它们的可解密性来不一样地被处理,例如通过禁止第一密钥KEY1,例如对于该基于硬件的扩展模块208的启动过程或启动顺序被操纵的情况来说,其中例如第二密钥KEY2对于该基于硬件的扩展模块的启动过程或启动顺序被操纵的情况来说不被禁止并且因此即使在该基于硬件的扩展模块208的启动过程或启动顺序被操纵的情况下也能被使用,例如用于对经加密的第二数据进行解密。与此相对应地,例如经加密的第一数据DAT1'在该基于硬件的扩展模块208的启动过程或启动顺序被操纵的情况下无法被解密,原因在于为此所需的密钥KEY1由于该操纵而被禁止。
在其它示例性的实施方式中,参见图4,规定:该方法具有:例如在将该基于硬件的扩展模块208构造成根据AUTOSAR的SHE模块的情况下,例如通过设置安全启动保护标志,禁止120第一密钥KEY1,例如禁止该第一密钥针对该基于硬件的扩展模块208的不正常的启动顺序的情况来使用;而且可选地,例如在将该基于硬件的扩展模块208构造成根据AUTOSAR的SHE模块的情况下,例如通过不设置或重置或删除安全引导保护标志或该安全引导保护标志,开放122第二密钥KEY2例如用于在该基于硬件的扩展模块208的不正常的启动顺序的情况下使用。
在其它示例性的实施方式中,该基于硬件的扩展模块208、例如SHE模块例如提供了用属性来标记各个密钥KEY1的可能性,该属性确保了:这些密钥KEY1例如在用于Security(安全)域的成功的SHE安全启动顺序之后才被开放以供使用、例如由目标系统来使用(例如属性或标志“安全启动受保护(Secure Boot Protected)”)。
其它示例性的实施方式,参见图5,涉及一种用于实施按照这些实施方式所述的方法的设备200。
该设备200例如具有:带有至少一个计算内核202a、202b的计算装置(“计算机”)202;被分配给该计算装置202的存储装置204,用于至少暂时存储如下要素中的至少一个要素:a) 数据DAT(例如待加密数据DAT-V或者第一数据DAT1和/或第二数据DAT2);b) 计算机程序PRG,尤其是用于实施按照这些实施方式所述的方法,或者应用软件。
在其它优选的实施方式中,该存储装置204具有:易失性存储器204a(例如工作存储器(RAM));和/或上文已经示例性提及的非易失性存储器204b(例如闪速EEPROM、NVRAM等等)。
在其它示例性的实施方式中,在应用按照这些实施方式所述的原理的情况下,例如能有利地实现密钥存储器SS,例如在该设备200的非易失性存储器204b中实现该密钥存储器,该密钥存储器虽然位于SHE模块208之外,但是该密钥存储器同样能被用于安全地存储经加密的数据或密钥DAT1'、DAT2',原因在于:在其它示例性的实施方式中,能控制哪个密钥KEY1、KEY2例如能在启动顺序被操纵之后使用,以及哪个密钥不能。
在其它示例性的实施方式中,计算装置202具有如下要素中的至少一个要素或构造为这些要素中的至少一个要素:微处理器(µP)、微控制器(µC)、专用集成电路(ASIC)、片上系统(SoC)、可编程逻辑模块(例如FPGA,现场可编程门阵列(field programmable gatearray))、硬件电路、图形处理器(GPU)或者它们的任意组合。
其它示例性的实施方式涉及一种计算机可读存储介质SM,其包括指令PRG,这些指令在由计算机202来执行时促使该计算机实施按照这些实施方式所述的方法。
其它示例性的实施方式涉及一种计算机程序PRG,其包括指令,在由计算机202来执行该程序PRG时,这些指令促使该计算机实施按照这些实施方式所述的方法。
其它示例性的实施方式涉及一种数据载波信号DCS,该数据载波信号传输和/或表征按照这些实施方式所述的计算机程序PRG。
在其它示例性的实施方式中,例如替代于或补充于其它数据,该数据载波信号DCS能经由该设备200的可选的、例如双向的数据接口208来被传输。
该基于硬件的扩展模块208例如具有用于至少第一密钥KEY1和第二密钥KEY2的存储器SP,其中在其它示例性的实施方式中,该存储器SP可以以本身公知的方式被保护免于未经授权的访问。
在其它示例性的实施方式中,该基于硬件的扩展模块208具有一个或多个密码原语或函数KP,所述一个或多个密码原语或函数例如能够在使用例如第一密钥KEY1和/或第二密钥KEY2的情况下实施加密或解密,例如参见按照图1的块100和/或按照图2的块105和/或按照图3的块112、114。
在其它示例性的实施方式中,该基于硬件的扩展模块208具有集成控制逻辑SL,该集成控制逻辑例如控制该基于硬件的扩展模块208的运行的至少有些方面,例如对密码原语KP的执行或者对安全启动保护标志的设置或重置,例如针对第一密钥KEY1。
图6示意性示出了按照其它示例性的实施方式的简化框图。描绘了该基于硬件的扩展模块208的启动顺序BS、例如SHE安全启动顺序,如其在其它示例性的实施方式中例如能在该设备200的启动时被执行的那样。
在其它示例性的实施方式中,该启动顺序例如至少在第一部分是基于硬件的,并且因此无法例如通过软件来被规避。在此基础上,在其它示例性的实施方式中,接下来是该启动顺序BS的其它软件部分,这些软件部分进一步实现SHE安全启动顺序,直至应用软件为止。
在其它示例性的实施方式中,一旦SHE安全启动顺序BS已经成功完成,例如在应用软件启动之前成功完成,启动链或启动顺序BS的成功结束就被报告给SHE模块208,参见按照图6的块B1,然后例如第一密钥KEY1被开放以供使用。然后,该设备200或该计算装置202可以使用第一密钥KEY1例如用于对经加密的第一数据DAT1'进行解密B2。
另一方面,如果在SHE安全启动顺序BS期间识别出操纵,则这在其它示例性的实施方式中同样被用信号通知给SHE模块208。接着,例如第一密钥KEY1保持被禁止,例如直至SHE模块208或该设备200的下一次硬件复位为止。在其它示例性的实施方式中,例如启动链的软件可以在识别出操纵的情况下强制重新启动并且切换到可信状态,在该可信状态下例如能够实现安全的软件下载(“Secure SW Download”),在其它示例性的实施方式中,利用该安全的软件下载例如可以恢复该设备200的完整性。
换言之,在有些示例性的实施方式中可以规定:例如在该设备200(图5)被操纵的情况下,SHE安全启动过程BS(图6)未被成功结束并且第一密钥KEY1无法被设备200或202使用例如以便对关键数据DAT1'(例如参见上文的情况b.))进行解密。借此,对这些关键数据的使用安全地被阻止,例如软件PRG不再能够成为密码域的参与方。
在其它示例性的实施方式中,例如为了恢复该设备200的完整性,该设备200的基础设施的数据DAT2使用第二密钥KEY2来被加密(例如上文的情况a.)),这些数据即使在SHE安全启动顺序BS有错误的情况下也不被SHE模块208所禁止。借此,在其它示例性的实施方式中,该设备200例如可以借助于可信的软件下载而重新达到完整状态。
图7示意性示出了按照其它示例性的实施方式的简化框图。元素E1象征性地表现可信实体,例如信任根(root of trust)。元素E2象征性地表现ROM(只读存储器);元素E3象征性地表现引导管理器;元素E4象征性地表现引导加载程序;元素E5象征性地表现管理程序;元素E6象征性地表现可信执行环境(Trusted Execution Environment)、即例如可信的执行环境;元素E7象征性地表现密钥管理,例如用于管理密码密钥。元素E8象征性地表现用于第一密钥E8a、KEY1和第二密钥E8b、KEY2的存储器(例如也参见按照图5的元素SP)。元素E9象征性地表现可选的软件更新过程,例如用于例如在识别出操纵之后恢复该设备200(图5)的完整性。元素E10象征性地表现存储器、例如用于密码对象的存储器,该存储器例如与密钥管理E7相关联。
在第一步骤a1中,位于ROM E2中的程序对引导管理器E3进行检查,然后a2 引导管理器E3对引导加载程序E4进行检查,该引导加载程序就其而言对管理程序E5进行检查。管理程序E6对可信执行环境进行检查。
只要在上述检查a2、a3、a4之一中证实:存在操纵或错误,第一密钥KEY1就被SHE模块208禁止,因此例如不(再)能被该设备200、例如该设备的软件PRG所使用,参见箭头a5。
可选地,例如如果引导加载程序E4在检查a3中确定存在操纵或错误,则也可以分岔到块E9,参见箭头a6,该块象征性地表现针对该设备200的软件更新,例如用于恢复该设备200的完整性。
其它示例性的实施方式,参见图8,涉及按照这些实施方式所述的方法和/或按照这些实施方式所述的设备200和/或按照这些实施方式所述的计算机可读存储介质SM和/或按照这些实施方式所述的计算机程序PRG和/或按照这些实施方式所述的数据载波信号DCS的用于如下要素中的至少一个要素的应用:a) 安全地存储302第一密钥KEY1;b) 阻止304该第一密钥KEY1在该基于硬件的扩展模块208的不正常的启动顺序BS的情况下使用;c) 在该基于硬件的扩展模块208之外,提供306安全存储器SS,例如用于密码密钥;d) 优先保护308不一样的数据DAT1、DAT2。
Claims (13)
1.一种用于处理数据(DAT)、例如密码密钥的方法、例如计算机实现的方法,所述方法具有:使用基于硬件的扩展模块(206')的至少一个第一密钥(KEY1)来对第一数据(DAT1)进行加密(100),其中所述第一密钥(KEY1)能至少暂时通过所述基于硬件的扩展模块(208)来被禁止,例如能至少暂时被禁止和/或开放,例如基于所述基于硬件的扩展模块(208)的启动顺序(BS);将经加密的第一数据(DAT1')存储(102)在非易失性存储器(204b)中。
2.根据权利要求1所述的方法,所述方法具有:使用所述基于硬件的扩展模块(208)的至少一个第二密钥(KEY2)来对第二数据(DAT2)进行加密(105),其中所述第二密钥(KEY2)至少暂时无法通过所述基于硬件的扩展模块(208)来被禁止;而且可选地,将经加密的第二数据(DAT2')存储(107)在所述非易失性存储器(204b)中。
3.根据上述权利要求中至少一项所述的方法,其中所述基于硬件的扩展模块(208)是根据AUTOSAR的安全硬件扩展模块、即SHE模块。
4.根据上述权利要求中至少一项所述的方法,其中所述第一数据(DAT1)能够使设备(200)、例如用于所述基于硬件的扩展模块(208)的目标系统(200)成为密码域的参与方和/或建立经认证的和/或经加密的通信关系,其中例如所述第二数据(DAT2)不能使所述设备(200)成为密码域的参与方和/或建立经认证的和/或经加密的通信关系,其中例如所述第二数据(DAT2)能用于所述设备(200)的基础设施,例如用于安全访问、例如SecurityAccess,和/或用于加载、例如下载应用软件。
5.根据上述权利要求中至少一项所述的方法,其中所述第一数据(DAT1)具有用于通信关系的至少一个密钥。
6.根据上述权利要求中至少一项所述的方法,所述方法具有:确定(110)待加密数据(DAT-V)是否应使用所述第一密钥(KEY1)来被加密;而且如果所述待加密数据(DAT-V)应使用所述第一密钥(KEY1)来被加密的话,则使用所述第一密钥(KEY1)来对所述待加密数据(DAT-V)进行加密(112);而且可选地,存储(113)经加密的数据(DAT-V'),例如将所述经加密的数据存储在所述非易失性存储器(204b)中。
7.根据权利要求6所述的方法,所述方法进一步具有:如果所述待加密数据(DAT-V)不应使用所述第一密钥(KEY1)来被加密的话,则使用所述第二密钥(KEY2)来对所述待加密数据(DAT-V)进行加密(114);而且可选地,存储(115)经加密的数据(DAT-V'),例如将所述经加密的数据存储在所述非易失性存储器(204b)中。
8.根据上述权利要求中至少一项所述的方法,所述方法具有:例如在将所述基于硬件的扩展模块(208)构造成根据AUTOSAR的SHE模块的情况下,例如通过设置安全启动保护标志,禁止(120)所述第一密钥(KEY1),例如禁止所述第一密钥针对所述基于硬件的扩展模块(208)的不正常的启动顺序(BS)的情况来使用;而且可选地,例如在将所述基于硬件的扩展模块(208)构造成根据AUTOSAR的SHE模块的情况下,例如通过不设置或重置或删除安全引导保护标志或所述安全引导保护标志,开放(122)所述第二密钥(KEY2)用于在所述基于硬件的扩展模块(208)的不正常的启动顺序(BS)的情况下使用。
9.一种设备(200),所述设备用于实施根据上述权利要求中至少一项所述的方法。
10.一种计算机可读存储介质(SM),所述计算机可读存储介质包括指令(PRG),所述指令在由计算机(202)来执行时促使所述计算机实施根据权利要求1至8中至少一项所述的方法。
11.一种计算机程序(PRG),所述计算机程序包括指令,在由计算机(202)执行所述程序(PRG)时,所述指令促使所述计算机实施根据权利要求1至8中至少一项所述的方法。
12.一种数据载波信号(DCS),所述数据载波信号传输和/或表征根据权利要求11所述的计算机程序(PRG)。
13.根据权利要求1至8中至少一项所述的方法和/或根据权利要求9所述的设备(10;200)和/或根据权利要求10所述的计算机可读存储介质(SM)和/或根据权利要求11所述的计算机程序(PRG)和/或根据权利要求12所述的数据载波信号(DCS)的用于如下要素中的至少一个要素的应用:a) 安全地存储(302)所述第一密钥(KEY1);b) 阻止(304)所述第一密钥(KEY1)在所述基于硬件的扩展模块(208)的不正常的启动顺序(BS)的情况下使用;c) 在所述基于硬件的扩展模块(208)之外,提供(306)安全存储器(SP),例如用于密码密钥;d)优先保护(308)不一样的数据(DAT1、DAT2)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102021211591.8A DE102021211591A1 (de) | 2021-10-14 | 2021-10-14 | Verfahren und Vorrichtung zum Verarbeiten von Daten |
DE102021211591.8 | 2021-10-14 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115982725A true CN115982725A (zh) | 2023-04-18 |
Family
ID=85773448
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211257780.9A Pending CN115982725A (zh) | 2021-10-14 | 2022-10-14 | 用于处理数据的方法和设备 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115982725A (zh) |
DE (1) | DE102021211591A1 (zh) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6260066B2 (ja) | 2016-01-18 | 2018-01-17 | Kddi株式会社 | 車載コンピュータシステム及び車両 |
DE102016210788B4 (de) | 2016-02-18 | 2023-06-07 | Volkswagen Aktiengesellschaft | Komponente zur Verarbeitung eines schützenswerten Datums und Verfahren zur Umsetzung einer Sicherheitsfunktion zum Schutz eines schützenswerten Datums in einer solchen Komponente |
JP6260067B1 (ja) | 2016-08-09 | 2018-01-17 | Kddi株式会社 | 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム |
-
2021
- 2021-10-14 DE DE102021211591.8A patent/DE102021211591A1/de active Pending
-
2022
- 2022-10-14 CN CN202211257780.9A patent/CN115982725A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
DE102021211591A1 (de) | 2023-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100809977B1 (ko) | 집적 시스템 내에서의 보안 운영의 활성화 방법, 보안 운영의 초기화 방법, 암호화된 데이터의 변환 방법 및 집적 시스템 기능의 복원 방법 | |
US8190917B2 (en) | System and method for securely saving and restoring a context of a secure program loader | |
US7694121B2 (en) | System and method for protected operating system boot using state validation | |
US8572410B1 (en) | Virtualized protected storage | |
US8438658B2 (en) | Providing sealed storage in a data processing device | |
US6539480B1 (en) | Secure transfer of trust in a computing system | |
US7945789B2 (en) | System and method for securely restoring a program context from a shared memory | |
TW201535145A (zh) | 使用保護讀取儲存器安全地儲存韌體數據之系統及方法 | |
US20070237325A1 (en) | Method and apparatus to improve security of cryptographic systems | |
EP1429224A1 (en) | Firmware run-time authentication | |
KR20030082485A (ko) | 대칭 키 암호화에 기초한 데이터의 저장 및 검색 | |
KR20030082484A (ko) | 공개 키 암호화에 기초한 데이터의 저장 및 검색 | |
US8843766B2 (en) | Method and system for protecting against access to a machine code of a device | |
WO1999039475A1 (en) | Cryptographic system | |
US20170243011A1 (en) | Component for processing a protectable date and method for implementing a security function for protecting a protective date in such a component | |
EP3440586B1 (en) | Method for write-protecting boot code if boot sequence integrity check fails | |
CN115982725A (zh) | 用于处理数据的方法和设备 | |
US20090172631A1 (en) | Method Of Adding A Functionality To An Executable First Module Of A Program Package | |
CN114637996A (zh) | 用于以确保安全的方式启动计算单元的方法 | |
US20230058046A1 (en) | Apparatus and Method for Protecting Shared Objects | |
WO2022019910A1 (en) | Read protection for uefi variables | |
Kursawe et al. | Flexible μTPMs through disembedding | |
US20220317184A1 (en) | Secured debug | |
US20220318439A1 (en) | Secured storage of ciphering keys | |
EP3009952A1 (en) | System and method for protecting a device against attacks on procedure calls by encrypting arguments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication |