TW201415286A - 積體電路中之安全特性及金鑰管理 - Google Patents
積體電路中之安全特性及金鑰管理 Download PDFInfo
- Publication number
- TW201415286A TW201415286A TW102128695A TW102128695A TW201415286A TW 201415286 A TW201415286 A TW 201415286A TW 102128695 A TW102128695 A TW 102128695A TW 102128695 A TW102128695 A TW 102128695A TW 201415286 A TW201415286 A TW 201415286A
- Authority
- TW
- Taiwan
- Prior art keywords
- key
- command
- core
- authority
- rsb
- Prior art date
Links
- 230000015654 memory Effects 0.000 claims abstract description 153
- 238000000034 method Methods 0.000 claims description 111
- 238000004891 communication Methods 0.000 claims description 25
- 238000003860 storage Methods 0.000 claims description 11
- 238000012937 correction Methods 0.000 claims description 6
- 230000002085 persistent effect Effects 0.000 claims description 5
- 230000007246 mechanism Effects 0.000 abstract description 4
- 239000000047 product Substances 0.000 description 82
- 235000012431 wafers Nutrition 0.000 description 73
- 238000007726 management method Methods 0.000 description 49
- 238000013475 authorization Methods 0.000 description 41
- 238000013461 design Methods 0.000 description 35
- 238000010586 diagram Methods 0.000 description 35
- 238000012360 testing method Methods 0.000 description 32
- 238000004519 manufacturing process Methods 0.000 description 26
- 238000012545 processing Methods 0.000 description 24
- 230000008569 process Effects 0.000 description 21
- 230000006870 function Effects 0.000 description 19
- 230000008859 change Effects 0.000 description 16
- 238000013500 data storage Methods 0.000 description 15
- 238000013507 mapping Methods 0.000 description 15
- 230000004044 response Effects 0.000 description 11
- 238000012795 verification Methods 0.000 description 11
- 238000012986 modification Methods 0.000 description 10
- 230000004048 modification Effects 0.000 description 10
- 230000011218 segmentation Effects 0.000 description 9
- 230000002968 anti-fracture Effects 0.000 description 8
- 238000012432 intermediate storage Methods 0.000 description 8
- 239000000284 extract Substances 0.000 description 7
- 238000011084 recovery Methods 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 5
- 230000006378 damage Effects 0.000 description 5
- 230000018109 developmental process Effects 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000010276 construction Methods 0.000 description 4
- 238000009795 derivation Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 239000000463 material Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000004806 packaging method and process Methods 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000010267 cellular communication Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000001816 cooling Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 235000013599 spices Nutrition 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 description 1
- 206010000210 abortion Diseases 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000027455 binding Effects 0.000 description 1
- 238000009739 binding Methods 0.000 description 1
- 238000007664 blowing Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 239000007795 chemical reaction product Substances 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000013078 crystal Substances 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 238000013101 initial test Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 229910052751 metal Inorganic materials 0.000 description 1
- 238000001000 micrograph Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000013021 overheating Methods 0.000 description 1
- 238000012261 overproduction Methods 0.000 description 1
- 239000002243 precursor Substances 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 229940095676 wafer product Drugs 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Abstract
本發明描述一種用於在積體電路中提供安全特性及金鑰管理之機制。一例示性積體電路包含:一安全記憶體,其儲存一秘密金鑰;及一安全管理器核心,其耦合至該安全記憶體以接收一數位簽名命令、使用該秘密金鑰驗證與該命令相關聯之一簽名且使用該命令組態該積體電路之操作。
Description
本申請案主張2012年8月10日申請之美國臨時專利申請案第61/682,001號之權利,該案係以引用方式併入本文。
目前,晶片上系統廠商可銷售許多不同的品種的相同晶片,其中各品種經組態以用於一特定應用程式。通常由於燒斷一或多個熔絲或以其他方式程式化晶片上之一次性可程式化記憶體而發生晶片組態。此類型的晶片組態大體上係單向程序且不能取消。一種避免組態程序持續之方法係在一次性可程式化記憶體內添加可經組合以(例如,藉由一起互斥或多個位元以產生最終組態設定)修改先前設定之冗餘或備用位元。然而,此類型的冗餘的靈活性有限,且需要佔據晶片上的額外面積之額外的熔絲。此外,在設定並未消除對執行多個程式化步驟以組態晶片之需要之後,具有多個熔絲會增加成本。同樣地,當今的組態繼續由接著維持具有多個熔絲組態之晶片的庫存之晶片廠商(或其等合約商)執行。
不同品種的相同晶片之囤積通常係效率低下的。例如,經組態用於一特定應用程式之囤積的晶片在其等過度生產或顧客的晶片組態需求變化時被潛在地浪費。此外,在一些情況下,若經組態之晶片的庫存不足以滿足要求,則可延遲訂單履行。此外,藉由晶片廠商作出
的組態之當前模型可限制業務關係之範圍及晶片廠商與下游顧客之間的實際收入流。例如,當前模型可限制在晶片初始銷售之後由其等再組態產生未來收入之能力。若下游顧客希望獲得經組態之特性集以外的特性,則當前晶片通常缺少用於解鎖此功能性之構件且因此並無機會使用下游特性啟用作為收入流。
此外,對安全系統及應用程式的需要逐漸增長。目前,據稱安全晶片通常係在廠區中使用安全金鑰加以程式化。可以多種方式使用安全金鑰,諸如(例如)保護所儲存之資料、控制對數位內容之存取或加密/鑑認用於交易之資料。當今,此等金鑰可儲存在一次性可程式化記憶體中,一次性可程式化記憶體可直接保存金鑰或保存與衍生用於各種功能之金鑰之密碼編譯功能一起使用之一基礎金鑰。通常,藉由在一安全設施中執行金鑰加載程序提供安全性。
100‧‧‧生態系統
105‧‧‧積體電路供應商
107‧‧‧第三方IP供應商
110‧‧‧積體電路製造商
115‧‧‧IP及/或安全金鑰供應商
120‧‧‧安全服務
122‧‧‧記帳報告服務
125‧‧‧產品廠商
127‧‧‧裝置管理器
130‧‧‧終端使用者
140‧‧‧生命循環
142‧‧‧步驟
145‧‧‧步驟
150‧‧‧步驟
155‧‧‧步驟
160‧‧‧步驟
165‧‧‧步驟
170‧‧‧步驟
200‧‧‧操作系統
205‧‧‧網路
210‧‧‧公共陸地行動網路
215‧‧‧根授權機構
217‧‧‧根授權機構系統
220‧‧‧委託授權機構
222‧‧‧委託授權機構系統
240‧‧‧安全啟用裝置
245‧‧‧安全啟用裝置
250‧‧‧安全啟用裝置
255‧‧‧安全啟用裝置
260‧‧‧安全啟用裝置
265‧‧‧安全啟用積體電路
275‧‧‧無線存取點
280‧‧‧組態器系統
285‧‧‧特性空間
287‧‧‧實體
290‧‧‧位址
295‧‧‧值
300‧‧‧系統
305‧‧‧安全管理核心
310‧‧‧安全記憶體
315‧‧‧對象包裝程序
320‧‧‧提取器
325‧‧‧特性
330‧‧‧特性
335‧‧‧特性
340‧‧‧子提取器
345‧‧‧子提取器
350‧‧‧子提取器
355‧‧‧處理器
358‧‧‧暫存器介面
360‧‧‧匯流排
365‧‧‧測試器介面
370‧‧‧主機記憶體
375‧‧‧提取器介面
376‧‧‧金鑰介面
377‧‧‧組態值介面
410‧‧‧加解密模組
420‧‧‧執行引擎模組
430‧‧‧通信模組
440‧‧‧資料儲存模組
500‧‧‧步驟
510‧‧‧步驟
520‧‧‧步驟
600‧‧‧步驟
610‧‧‧步驟
620‧‧‧步驟
630‧‧‧步驟
640‧‧‧步驟
650‧‧‧步驟
660‧‧‧步驟
670‧‧‧步驟
680‧‧‧步驟
690‧‧‧步驟
700‧‧‧步驟
710‧‧‧步驟
720‧‧‧步驟
800‧‧‧步驟
810‧‧‧步驟
820‧‧‧步驟
900‧‧‧步驟
905‧‧‧步驟
912‧‧‧步驟
915‧‧‧步驟
920‧‧‧步驟
925‧‧‧步驟
926‧‧‧步驟
930‧‧‧步驟
935‧‧‧步驟
940‧‧‧步驟
945‧‧‧步驟
950‧‧‧步驟
955‧‧‧步驟
960‧‧‧步驟
965‧‧‧步驟
970‧‧‧步驟
975‧‧‧步驟
980‧‧‧步驟
985‧‧‧步驟
1005‧‧‧步驟
1015‧‧‧步驟
1020‧‧‧步驟
1025‧‧‧步驟
1030‧‧‧步驟
1035‧‧‧步驟
1040‧‧‧步驟
1045‧‧‧步驟
1100‧‧‧步驟
1105‧‧‧步驟
1110‧‧‧步驟
1120‧‧‧步驟
1130‧‧‧步驟
1135‧‧‧步驟
1140‧‧‧步驟
1150‧‧‧步驟
1160‧‧‧步驟
1200‧‧‧步驟
1210‧‧‧步驟
1215‧‧‧步驟
1220‧‧‧步驟
1225‧‧‧步驟
1230‧‧‧步驟
1235‧‧‧步驟
1240‧‧‧步驟
1245‧‧‧步驟
1250‧‧‧步驟
1310‧‧‧步驟
1320‧‧‧步驟
1330‧‧‧步驟
1340‧‧‧步驟
1350‧‧‧步驟
1360‧‧‧步驟
1405‧‧‧步驟
1410‧‧‧步驟
1415‧‧‧步驟
1420‧‧‧步驟
1425‧‧‧步驟
1430‧‧‧步驟
1435‧‧‧步驟
1440‧‧‧步驟
1445‧‧‧步驟
1450‧‧‧步驟
1455‧‧‧步驟
1460‧‧‧步驟
1510‧‧‧步驟
1520‧‧‧步驟
1530‧‧‧步驟
1540‧‧‧步驟
1600‧‧‧步驟
1610‧‧‧步驟
1620‧‧‧步驟
1630‧‧‧步驟
1640‧‧‧步驟
1650‧‧‧步驟
1660‧‧‧步驟
1710‧‧‧步驟
1720‧‧‧步驟
1730‧‧‧步驟
1740‧‧‧步驟
1750‧‧‧步驟
1760‧‧‧步驟
現在將參考展示本申請案之例示性實施例之隨附圖式,且其中:圖1A係描繪一例示性生態系統之一方塊圖。
圖1B係展示一生態系統內之一安全管理器啟用裝置之一例示性生命循環之一流程圖。
圖2A以方塊圖形式描繪用於組態及管理具有安全管理器啟用晶片之一或多個裝置之一例示性操作系統。
圖2B係與一安全管理器啟用IC相關聯之一特性空間之一例示性實施例之一方塊圖。
圖3係包含用於執行本文中描述之方法之一安全管理器啟用IC之一系統之一例示性實施例之一方塊圖。
圖4係一安全管理器核心之一例示性實施例之一方塊圖。
圖5係用於產生由一根授權機構系統簽名之命令之一根簽名區塊
之一例示性方法之一流程圖。
圖6係用於藉由一安全管理器核心處理圖5中產生之根簽名區塊之一例示性方法之一流程圖。
圖7係用於產生可與一委託簽名區塊相關聯之一根簽名區塊之一例示性方法之一流程圖。
圖8係用於產生一委託簽名區塊之一例示性方法之一流程圖。
圖9A係用於藉由一安全管理器核心處理圖8中產生之委託簽名區塊及相關根簽名區塊之一例示性方法之一流程圖。
圖9B係用於藉由一安全管理器核心處理自一根簽名區塊擷取之命令之一例示性方法之一流程圖。
圖10係用於一安全管理器啟用IC內之特性管理之一例示性方法之一流程圖。
圖11係用於產生用於運送一有效負載金鑰之一委託簽名區塊之一例示性方法之一流程圖。
圖12係用於藉由一安全管理核心處理包含一有效負載之一或多個簽名區塊之一例示性方法之一流程圖。
圖13A係用於在一安全管理啟用IC之設計程序期間利用一組態器系統之一例示性方法之一流程圖。
圖13B係用於利用晶片開發之後之一組態器系統之一例示性方法之一流程圖。
圖14係用於初始化一安全管理器啟用IC之一例示性方法之一流程圖。
圖15以方塊圖形式圖解說明一例示性個性化程序。
圖16係用於藉由一委託授權機構系統執行授權對一安全管理器啟用IC之一特性更新之一請求之一例示性方法之一流程圖。
圖17係用於藉由一根授權機構系統執行授權對一安全管理器啟
用IC之一特性更新之一請求之一例示性方法之一流程圖。
現在將詳細參考隨附圖式中圖解說明之當前例示性實施例。
1.概念
1.1生態系統概述
現在將參考圖1A,其以方塊圖形式展示一例示性生態系統100。如圖1A中所示,系統100可包含一積體電路(「IC」)供應商105、一第三方IP供應商107、一IC製造商110、一IP及/或安全金鑰供應商115、安全服務120、一記帳報告服務122、一產品廠商125、一裝置管理器127及一終端使用者130。為簡單起見,在此例示性生態系統中,僅展示各實體之一者。實務上,符合本文中描述之原理之一生態系統可具有各實體之一或多者(即,供應相同IC之多個IC製造商、提供利用相同IC設計之產品之多個產品廠商及多個顧客)。圖1A中所示之一些步驟亦可涉及若干公司(例如,IC製造可涉及製造晶圓、執行初始測試、切割晶圓、封裝晶片等等之不同公司及/或階段)。此外,在一些例項中,單個實體內可含有一些實體及其等功能。例如,一些公司設計並製造IC,在該情況下IC製造商110及IC供應商105可為相同實體。
IC供應商105係將晶片設計提供至IC製造商110以進行晶片生產之一實體。具體言之,IC供應商105提供用於可組態之IC之晶片設計,使得可在製造之後組態晶片之一些態樣(例如,以用於特定應用程式或啟用/停用特定特性)。例如,IC供應商105在設計中可包含一安全管理器(「SM」)核心或可規定經製造之IC包含一SM核心。包含一SM核心之一IC被稱為一SM啟用IC。除其他以外,SM核心容許取決於所要組態及安全需要鎖定或解鎖(或以其他方式組態(例如,諸如調諧一PLL以調整一CPU的效能或遞送由IC之可組態特性(「特性」)使用之一秘密金鑰))該一或多個特性。一SM啟用IC包含(例如)一(或可能更
多個)SM核心及一(或多個)安全的持續記憶體。且如下文詳細論述,SM啟用IC可視需要包含一些其他元件(例如,一或多個提取器、一或多個特性等等)或其等之某個組合。IC供應商105可包含根公開金鑰作為提供至IC製造商110之遮罩之一部分。IC供應商105可自可用作根授權機構之安全服務120獲得根公開金鑰。
根授權機構係與管理SM程式化能力且可將能力子集指派給與一或多個委託授權機構相關聯之一或多個委託授權機構系統之根授權機構系統相關聯之一實體。如下文更詳細論述,根授權機構系統可控制一SM啟用IC之組態。一SM啟用IC之組態可包含(例如)執行SM啟用IC之特性管理、執行SM啟用IC之金鑰管理或其等之一組合。根授權機構系統可控制系統100中之其他實體擁有之SM啟用IC之特性管理。例如,根授權機構系統可直接產生可經密碼編譯驗證(例如,數位簽名)之命令以鎖定或解鎖或組態與SM啟用IC相關聯之特性。此外,根授權機構系統可產生容許由IC製造商110、產品廠商125、裝置管理器127、終端使用者130、其他實體或其等之某個組合產生SM啟用IC之組態變化之有限授權。
根授權機構系統亦可控制用於SM啟用IC之金鑰管理。例如,根授權機構系統可授權SM核心將有效負載(例如,秘密金鑰或其他值)安全地遞送至SM啟用IC之其他部分(包含遞送至對SM啟用IC執行之軟體)。根授權機構系統可授權一或多個委託授權機構系統安全地遞送有效負載。
如上文提及,根授權機構係與根授權機構系統相關聯之一實體。因此,雖然本文中描述之實施例可將安全服務120稱為根授權機構,但是亦預期其他實體可用作根授權機構。例如,IC供應商105、產品廠商125或某個其他實體。
先前段落描述對另一實體授予權限之根授權機構。此等權限之
接受方被稱為一委託授權機構。在一些例項中,一委託授權機構與被賦予根授權機構系統的SM程式化能力之一子集之一委託授權機構系統相關聯。委託授權機構系統之間的SM程式化能力之子集可不同。委託授權機構可為產品廠商125、IC製造商110、裝置管理器127、某個其他實體或其等之某個組合。
如下文詳細論述。根授權機構系統、一或多個委託授權機構系統或其等之某個組合可具有對系統100中之SM啟用IC之修改(例如,特性及金鑰管理操作)之一定(或完全)控制。
IC製造商110係製造IC之一實體。如上文論述,一些IC可經組態使得晶片可在製造之後經組態用於特定應用程式。晶片上系統(「SOC」)、特定應用積體電路(ASIC)、FPGA、行動無線電晶片及處理器(例如,CPU)係適用於與本文中描述之實施例一起使用之IC之實例。一般而言,特性管理最特別適用於整合可獨立使用之多個功能或具有可組態之功能或具有應在晶片生命循環中之不同階段(例如,諸如除錯/測試模式)啟用/停用之能力之晶片。且對於金鑰管理應用程式,利用密碼編譯金鑰或類似秘密之任何晶片可為良好的候選者。IC製造商110可製造包含一SM核心之IC。IC製造商110可將一或多個安全金鑰、一裝置ID、初始特性組態設定或其等之某個組合嵌入至SM核心中作為其製造程序、測試程序或其二者之部分。為此,裝備IC製造商110以提供下文詳細論述之一第一客製化階段。具體言之,IC製造商110可為一委託授權機構使得其能夠對SM啟用IC作出特定組態變化。例如,在含有多個處理器之一IC中,可容許IC製造商110設定可用於SM啟用IC之處理器的數目,但是未對各處理器設定時脈速率。在未展示之一些實施例中,IC製造商110及IC供應商105係相同實體。
此外,IC製造商110可對經製造之IC進行測試以確保其等在設計規範內操作。在一些情況下,可在不同於IC製造之一不同設施處及/
或藉由不同於IC製造之一公司執行諸如晶圓分類之測試程序,在此情況下,標籤「IC製造商110」表示此等作用/步驟之組合。IC製造商110將SM啟用IC提供至產品廠商125。
產品廠商125將SM啟用IC併入至接著可用於終端使用者130之一或多個產品(例如,SM啟用裝置)中。在一些實施例中,產品廠商125係一裝置或服務銷售商且使SM啟用裝置可直接用於終端使用者130。在其他實施例中,產品廠商125將SM啟用裝置分配至一或多個第三方裝置或服務銷售商(未展示)以分配至終端使用者130。
產品廠商125可添加SM啟用IC之額外客製化。為此,產品廠商125可為一委託授權機構使得其能夠對SM啟用IC作出某些特定組態變化。例如,作為一委託授權機構,產品廠商125的委託授權機構系統可藉由根授權機構系統而被容許某些能力。
即使在將產品銷售給終端使用者130之後,亦可進一步組態或啟用一SM啟用IC中之特性。例如,終端使用者130及/或產品可與產品廠商125、裝置管理器127、安全服務120、委託授權機構、根授權機構或其等之某個組合協調以啟用一SM啟用IC中之特性。例如,此程序可涉及經由一網路傳輸一請求(例如,藉由使用產品中之無線電以經由一蜂巢式資料網路傳輸一請求訊息)及(例如,藉由使用產品中之無線電以自一蜂巢式資料網路接收一訊息)接收授權所請求的組態變化之一晶片特定訊息。
在一些例項中,產品廠商125亦可用作用於安裝在一SM啟用裝置上之一或多個應用程式之一應用程式創始人。此外,產品廠商125可用作管理與該應用程式相關聯之功能性之一應用程式運營商。類似地,產品廠商125亦可用作一作業系統廠商,其分配可與SM啟用裝置相容之一作業系統。產品廠商125亦可用作一服務運營商(諸如一行動網路運營商),例如管理可用於SM啟用裝置之一或多種服務或能力。
在其他實施例中,其他實體、一或多個第三方(未展示)或其等之某個組合可為應用程式創始人、作業系統廠商、應用運營商或其等之某個組合。
IP及/或安全金鑰供應商115管理與SM啟用IC一起使用之安全金鑰。包含公開金鑰及秘密金鑰之安全金鑰值可被提供至IC製造商110、安全服務120、產品廠商125、裝置管理器127或其等之某個組合。在未展示之一些實施例中,IP及/或安全金鑰供應商115亦可將安全金鑰提供至第三方IP供應商107、IC供應商105或其等之某個組合。
安全服務120可用作安全金鑰之一中心經銷商,其可由生態系統中之實體使用。例如,安全服務120可自IP及/或安全金鑰供應商115(或自多個安全金鑰供應商)獲得安全金鑰並將其等分配至系統100中之其他實體。例如,一SM啟用行動電話應用程式處理器可使用來自複數個IP及/或安全金鑰供應商115(包含獨立操作及/或與一特定IC供應商105物管之許多IP及/或安全金鑰供應商115)之金鑰加以程式化。此等IP及/或安全金鑰供應商115之實例包含(不限於)電子付費系統、DRM/防盜系統、識別系統等等。在一些實施例中,安全服務120可包含根授權機構系統且用作SM啟用IC之根授權機構。在其他實施例中,彙總及根授權機構作用可不同。作為根授權機構,安全服務120可授權系統100中之一或多個其他實體成為委託授權機構以(例如)鎖定或解鎖與SM啟用IC相關聯之某些特性、將金鑰安全地遞送至SM啟用IC之部分(或對SM啟用IC執行之軟體)等等。如下文詳細論述,授權一委託授權機構對SM啟用IC作出某些組態變化、得到由根授權機構經密碼編譯授予之特權。
記帳報告服務122可耦合至系統100內之其他實體之一些或所有。在一些情況下,系統100中之一或多個實體可希望向SM啟用IC對某些組態設定收費(例如,啟用一增值特性)。記帳報告服務122藉由
生態系統中之各種實體追蹤與各種交易類型相關聯之費用。例如,可要求一實體對啟用或停用與SM啟用IC相關聯之特性或將一金鑰遞送至SM啟用IC進行付費。記帳報告服務122收集關於由委託人執行之交易次數之資訊,例如藉由自委託授權機構系統接收電子交易或查核記錄。基於所收集的記錄,記帳報告服務122可彙總跨多個晶片類型及交易類型(例如,經啟用之特性種類)之記帳金額,且最終計算屬於啟用特性或執行其他交易之實體之金額。同樣地,如下文描述,記帳報告服務122可有助於計算屬於諸如第三方IP供應商107之第三方之金額。藉由記帳報告服務122進行之記帳計算之輸入可包含(不限於)所執行之交易次數、所啟用的特性、啟用特性之時間長度等等。在一些實施例中,根授權機構或委託授權機構可強加一策略:在啟用或組態SM啟用IC上之一特性之前接收付費,但是在其他情況下可在啟用之後執行記帳及付費。在任一情況下,安全服務120可經由其與根授權機構系統及一或多個委託授權機構系統進行之通信動態地調整對所執行之交易次數的限制。在一些實施例中,記帳報告服務122係安全服務120之部分。在一些實施例中,記帳報告服務122可僅執行交易追蹤,且可單獨(或甚至手動)執行記帳及金融處理。
系統100可包含一第三方IP供應商107(或如先前提及,若干第三方IP供應商107)。一第三方IP供應商107可將一或多個特性或特性之部分提供至IC供應商105以便整合於SM啟用IC中。或在一些例項中,第三方IP供應商107可僅僅授權IC供應商105使用一或多個現有特性或特性之部分。可藉由根授權機構或在其委託能力之內操作之一委託授權機構啟用所整合的特性。在一些實施例中,在使用IP區塊補償第三方IP供應商107之前未啟用(例如,解鎖)該特性。例如,如在記帳報告服務122之背景下論述,一委託授權機構系統不一定具備在記帳報告服務122及/或第三方IP供應商107接收到付費之前授權特性啟動之能
力或授權。
終端使用者130係使用產品(例如,含有SM啟用IC之裝置)之一實體。終端使用者130可(例如)自IC製造商110、產品廠商125、裝置管理器127或某個第三方裝置或服務銷售商購買SM啟用裝置。
在一些實施例中,系統100包含裝置管理器127。裝置管理器127可為一委託授權機構使得其能夠對SM啟用IC作出特定組態變化。終端使用者130接著可與裝置管理器127(或安全服務120等等)協調以啟用一SM啟用IC中之特性。此程序可包含使用者及/或裝置經由一網路傳輸一請求、接收一授權回應及將回應訊息之至少一部分(該部分可包含(例如)來自安全服務120中授權一委託授權機構之根授權機構系統之一數位簽名及來自裝置管理器127且用作委託授權機構之一數位簽名)提供至SM啟用IC以實際上啟用所請求之特性。該請求可包含付費、進行付費之確認或進行未來付費之保證。此外,在一些實施例中,裝置管理器127可為具有對系統100中之SM啟用IC之修改(例如,特性及金鑰管理操作)之一定的直接或間接控制之一裝置或服務銷售商。
此外,在未展示之一些實施例中,系統100可包含一裝置特性管理器或一裝置金鑰管理器。裝置特性管理器可為具有(例如,經由金鑰管理操作、特性管理操作或其等之某個組合)授權涉及SM啟用IC)之組態變化之某些有限能力之一委託授權機構。
此外,在一些實施例中,根授權機構可安全地容許系統100中之其他實體啟用或部分啟用一SM啟用IC或SM啟用裝置之一或多個特性以進行測試。例如,根授權機構經由根授權機構系統可啟用(或部分啟用)SM啟用IC中之一特性達一設定時間週期或在多次通電內啟用(或部分啟用)SM啟用IC中之一特性(例如,在IC下次通電或重設之前僅啟用該特性)。類似地,在一些實施例中,委託人在根授權機構允許時
亦可經由委託授權機構系統被容許啟用或部分啟用SM啟用IC或裝置之特性以進行測試。
上述實體之一或多者可經由憑藉一或多個通信網路運營商操作之一或多個網路彼此耦合。此等網路之一些可藉由一或多個網路管理器加以維護。
現在參考圖1B,其展示一生態系統(例如,系統100)內之一SM啟用裝置之一例示性生命循環140。雖然該生命循環按一特定順序揭示下列步驟,但是應明白可酌情移動、修改或刪除該等步驟之至少一些。
在步驟142中,設計一SM啟用IC。如下文詳細論述,設計程序可利用(例如)一組態器、接收自SM廠商之一接線對照表及產生硬體組態金鑰及常數之一構件。例如,此產生程序可涉及根授權機構系統,例如在一些實施例中,根授權機構系統可產生用於一公開金鑰密碼系統之一金鑰對,其中公開金鑰被輸出作為一硬體組態金鑰且私密金鑰保留在根授權機構系統中(例如,用於授權委託)。SM啟用IC設計可包含可硬接線至經製造之SM啟用IC中之一或多個安全金鑰。SM啟用IC設計可經組態以容許儲存可程式化於經製造之SM啟用IC中之一或多個安全金鑰(例如,在步驟150、155或其二者中)。
在步驟145中,基於SM啟用IC設計製造並測試一SM啟用IC。各SM啟用IC可具有一或多個SM核心,其中各SM核心可控制一或多個特性。如下文詳細論述,可如藉由一或多個安全金鑰授權、經由一或多個SM命令或其等之某個組合變更、啟用、停用特性或其等之某個組合。此外,在一些實施例中,來自第三方供應商(例如,第三方供應商107)之特性或特性之部分可併入SM啟用IC中。例如,一第三方供應商可提供用於高速呈現大量影像檔之一特性,但是該特性最初未經啟用。可進行測試以確認SM啟用IC之特性是否正確操作。例如,
若根授權機構(或根授權機構本身)允許,則一委託授權機構可暫時地(例如,在固定時間內及/或在重設晶片之前)啟用一或多個特性以促進測試。取決於該實施例,可藉由IC製造商110、IC供應商105、某個其他實體(例如,一特製測試設施)或其等之某個組合執行步驟145。
在步驟150中,發生一第一客製化階段。在此步驟中,SM啟用IC可被指派一裝置識別碼(「ID」)且使用來自根授權機構系統、委託授權機構系統之一或多個金鑰、一或多個分拆金鑰或基礎金鑰加以組態。
分拆金鑰係當其與一不同分拆金鑰組合時形成一完整的金鑰(例如,一基礎金鑰)之一金鑰之部分。分拆金鑰可用以藉由(例如)在藉由不同的各方使用不同分拆金鑰程式化之SM啟用IC中具有SM核心來增加基礎金鑰之安全,各方皆不瞭解所有不同分拆金鑰。分拆金鑰經由一組合函數進行之組合發生在SM核心內以提供基礎金鑰。因為各程式化方皆不瞭解所有分拆金鑰,所以單個設施之折損不一定折損基礎金鑰。
下文更詳細地論述一例示性組態程序。在第一客製化階段期間亦可設定其他參數。例如,若SM啟用IC含有多個處理器,則第一客製化階段可設定最初可由產品廠商125使用之處理器之數目。或例如,第一客製化階段可設定各處理器之一最大時脈速率以禁止在負載下過熱或匹配測試145期間判定之最大速率。例如,安全地儲存此等限制可防止不誠實的經銷商將較低速度部分欺詐地評論為一較高速度等級。在未展示之替代實施例中,不存在步驟150且反而將第一客製化階段執行作為步驟155之部分。
在步驟155中,發生第二客製化階段。例如,相同系列的SM啟用IC可經進一步組態以滿足不同產品廠商的需求。在許多例項中,一些產品廠商可希望具體組態SM啟用IC。在此客製化階段期間,可更新
SM核心之特性狀態以按各產品廠商的需要客製化SM啟用IC。更新特性狀態可包含停用、啟用或變更與SM啟用IC相關聯之一或多個特性、以及加載額外的金鑰或其等之某個組合。此第二客製化階段可藉由(例如)IC製造商110、IC供應商105、產品廠商125、某個其他實體或其等之某個組合加以執行。雖然成本問題通常有利於使客製化步驟之數目保持儘可能少,但是一些應用程式可採用多於或少於兩個客製化階段。注意,該兩個客製化階段(150及160)可(例如)分別在IC之晶圓級測試及封裝級測試時加以執行。
在步驟160中,將SM啟用IC併入一裝置中以在產品製造程式期間產生一SM啟用裝置。此時亦可更新SM啟用IC之特性狀態。例如,一產品廠商可啟用特性組合以產生SM啟用裝置之不同生產線。可使用自安全服務120發佈之一硬體安全模組保護此程式化程序(例如,以確保最終將精確記錄提供至記帳報告服務122)。以此方式,產品廠商125可僅僅需要在其庫存中取得並保存來自IC供應商105之單個類型晶片,接著可在具有在產品組裝期間設定之不同組態之多個產品中使用此晶片。記帳報告服務122用以確保付費經啟用之能力(例如,使得IC供應商105能夠取決於晶片之組態收集各晶片之適當數量)。亦可將金鑰程式化於SM核心中作為步驟160之部分。例如,產品廠商可程式化各SM啟用裝置中之唯一金鑰(諸如為產品廠商125但未為IC供應商105所知之一金鑰)。
在步驟165中,分配SM啟用裝置。例如,可將SM啟用裝置分配至另一產品廠商、一代理商、一終端使用者130、裝置管理器127或生態系統中之其他實體。
在步驟170中,可對SM啟用裝置進行現場管理。(已離開產品廠商之一SM啟用裝置被視為在現場。注意這不一定與在一終端使用者的掌握中同義,例如,一行動電話載波運營商可在將一電話遞送至終
端使用者130之前對該電話執行客製化或規定)。現場管理可包含經接收以更新一SM啟用裝置之特性狀態之一請求。例如,可接收一請求以啟用SM啟用IC之一特殊音訊組件。此等請求可藉由(例如)終端使用者130或該裝置本身將該請求發送至根授權機構或一經適當授權之委託授權機構而起始。現場管理接著涉及一或多個授權及/或安全金鑰至一SM啟用裝置之傳輸。如下文詳細論述,可藉由根授權機構經由根授權機構系統與SM啟用裝置通信或藉由一委託授權機構經由一委託授權系統在其委託的SM程式化能力內作用且與SM啟用裝置通信執行安全金鑰遞送及特性管理。在接收到回應之後,SM啟用裝置中之軟體將該回應之部分(包含來自根授權機構及/或委託授權機構之密碼編譯授權)提供至SM核心,從而驗證該授權在執行所請求之操作(例如,特性組態、鍵入金鑰等等)之前對特定裝置有效。
單獨作用或結合其他實體作用之先前提及之實體之任一者可請求、產生、快取、傳輸或修改前述提及之更新、管理及查核訊息以控制SM啟用裝置之金鑰及特性。作用於裝置生命循環各個階段之此等實體之各者可獨立地操作,且可具有不同程度的SM啟用裝置或與該裝置交互操作之基礎設施之所有權。某些金鑰或特性之部署可涉及付費、查核或其他業務配置,其中可藉由前述提及之實體之一或多者執行SM核心活動之促進、執行某些動作之請求、公式化或解譯SM核心訊息、傳達或儲存該等訊息、授權動作之程序。
2.安全管理系統架構
現在參考圖2A,其以方塊圖形式展示用於組態並管理一或多個SM啟用裝置之一例示性操作系統200。系統200可包含以下藉由網路205操作地連接之一些或所有:公共陸地行動網路(PLMN)210、根授權機構215、根授權機構系統217、委託授權機構220、委託授權機構系統222、IC供應商105、SM啟用裝置240、245、250、255及260、
SM啟用IC 265、無線存取點275、組態器系統280及額外的實體287。
網路205可為(例如)網際網路、內部網路、區域網路、廣域網路、校園區域網路、都會區域網路、外部網路、專用外部網路、兩個或更多個耦合電子裝置之任何集合或此等或其他適當網路之任一者之一組合。網路205亦可與PLMN 210通信,PLMN 210亦被稱為一無線廣域網路(WWAN),或在一些情況下稱為一蜂巢式網路。為簡單起見,網路205被展示為單個實體,但是可存在多個網路。例如,即使圖2A中之其他實體係由網際網路連接,一專用外部網路亦可連接IC供應商105與根授權機構215。
根授權機構215係管理SM程式化能力且可將能力子集指派至一或多個委託授權機構220之一實體(例如,安全服務120)。根授權機構215與含有(或以其他方式存取)管理SM啟用IC 265及SM啟用裝置240、245、250、255及260之密碼編譯金鑰之根授權機構系統217相關聯。根授權機構系統217經組態以產生一或多個根簽名區塊(「RSB」)。如下文詳細論述,一RSB可包含一或多個SM命令、命令範本、一或多個委託權限、一或多個金鑰(例如,一委託公開金鑰)或其等之某個組合。RSB含有藉由根授權機構系統217使用對應於SM核心中之一公開金鑰之根私密金鑰(例如,一RSA私密金鑰)簽名之至少一數位憑證。根授權機構系統217可經組態以將一或多個RSB或其他資料提供至組態器系統280、SM啟用IC 265、委託授權機構系統222、SM啟用裝置(例如,240、245、250、255或260)、一或多個其他實體287、一電子儲存媒體(未展示)或其等之某個組合。此外,根授權機構系統217可經組態以在其受根授權機構系統217之一使用者命令時提供RSB。根授權機構系統217可實施於單個電腦上,或在一些例項中其可跨可按地理區域散佈之複數個電腦分配(例如,含有用於一臨限簽名系統之金鑰共用,其中計算數位元簽名需要多次金鑰共用之
協作)。
如下文詳細論述,根授權機構系統217可經組態以對一或多個委託授權機構系統222委託特權。根授權機構系統217亦可經組態以產生用於一或多個組態器系統280之系統及接線對照表金鑰常數。此外,根授權機構系統217可經組態以管理客製化程序(下文論述)期間使用之主金鑰。根授權機構系統217亦可經組態以產生測試向量及其他值以輔助SM核心整合及ASIC製造。
在一些實施例中,根授權機構系統217可經組態以委託產生額外委託之能力。在此實施例中,一第一委託授權機構系統可經組態以產生一或多個第二委託授權機構系統,其等各自具有第一委託授機構系統之SM程式化能力之一子集。委託之最大級別數(若存在限制)可為一可組態選項。一簡化實施例可忽略SM核心中對委託授權機構的支援,且反而對所有任務使用根秘密金鑰(例如,其中用作委託授權機構之實體具有含有根簽名金鑰之簽名裝置及/或經由一網路與此一裝置互動)。
根授權機構系統217可包含一防篡改簽名模組(未展示)以使安全性及/或效能增加。委託授權機構系統222通常係藉由根授權機構系統217授權以僅僅運行根授權機構系統217之授權之一子集。根授權機構系統217及委託授權機構系統222之特權階段可藉由(例如)密碼編譯金鑰、由簽名軟體執行之約束、運營商策略及防篡改簽名模組內之策略調節。
系統200可包含多個委託授權機構220。委託授權機構220係與委託授權機構系統222相關聯之一實體。委託授權機構系統222藉由根授權機構系統217而被賦予SM程式化能力之一子集。委託授權機構220之實例可包含(例如)產品廠商125、IC製造商110、裝置管理器127、服務運營商、銷售商、某個其他實體(例如,如參考圖1A論述)或其等
之某個組合。
委託授權機構系統222可具有自根授權機構系統217委託給委託授權機構系統222之某些能力(例如,金鑰管理操作之部分、特性管理操作或其二者)。此等能力可被輸送作為一正向授權集合或一約束集合。例如,可藉由根授權機構系統217、委託授權機構系統222經由對以下各者的控制輸送並限制特權:由授權機構系統提供的簽名訊息(例如,簽名區塊)、由授權機構系統使用之簽名金鑰之調節、可由授權機構系統之一者簽名之特定類型的有效負載之調節、通信頻道/目的地及可輸送至SM核心之多種類型的訊息之調節或其等之某個組合。可經委託之例示性特權包含以下能力:啟用或停用某些硬體能力、調整效能設定或其他值、容許使用某些外部介面、容許使用某些操作模式、啟用或停用測試模式(例如,控制診斷及除錯模式)、對一特定模式或特性作用的時間之控制(例如,僅在製造程式期間作用);調整SM啟用IC之特性之某些組態設定之值的能力、衍生及/或使用加密金鑰之一或多個金鑰、加密由某些SM啟用IC使用的金鑰、將金鑰供應給IC子集件、大體上調節SM啟用IC之組態、查核可由SM核心存取之狀態資訊、程式化金鑰/分拆金鑰、對一現場SM啟用IC執行診斷活動、校準或調諧類比電路以補償程序變動、對一特定產品中之輸入時脈及所要操作頻率組態一PLL、調整無線電之功率及頻率、組態由一內部熱故障執行之限制(熱限制可基於用於不同產品之封裝及冷卻方案而變化)、組態一電池充電電路,等等。
根授權機構系統217對委託授權機構系統222之授權亦可包含對委託授權機構系統222的授權之約束,包含(但不限於)委託授權機構系統222是否可(例如,藉由引導SM核心以將特性組態資料保存在非揮發性/一次性可程式化記憶體中)持續地或揮發性地組態特性、授權是否一定限於單個IC或一特定類別或特定群組的IC、授權是否一定限
於一隨機數字產生器狀態(以防再使用授權)。
如先前提及,特性設定不限於簡單的二進位開/關設定。例如,期望可使用委託授權機構系統222或根授權機構系統217以要求授權改變組態可存在問題(例如,安全性、可靠性、責任性等等)。例如,錯誤組態PLL或使用不正確的類比校準可導致SM啟用IC失靈,因此可藉由SM核心保護PLL設定。
如下文詳細論述,委託授權機構系統222經組態以產生一或多個委託簽名區塊(「DSB」)。委託授權機構系統222可經組態以將一DSB提供至:組態器系統280、SM啟用IC 265、根授權機構系統217、IC供應商105、SM啟用裝置(例如,240、245、250、255或260)、一電子儲存媒體(未展示)、一或多個實體87或其等之某個組合。此外,委託授權機構系統222可經組態以受委託授權機構系統222之一使用者命令時提供DSB。該一或多個實體287係並非一委託授權機構或根授權機構之實體,但是仍可接收RSB、委託簽名區塊(「DSB」)或其等之某個組合。例如,在一些實施例中,裝置管理器127、IP及/或安全金鑰供應商115、託管服務供應商等等不一定係委託授權機構,但是仍可接收RSB、DSB或其等之某個組合。
委託授權機構系統222可包含經組態以儲存安全金鑰(例如,委託私密金鑰、AES金鑰或其二者)之一或多者之一防篡改簽名模組(未展示)。例如,防篡改簽名模組可為一智慧型卡或硬體安全模組(「HSM」)。
在一些實施例中,委託授權機構系統222具有產生額外的委託之能力。在此一實施例中,提供SM程式化能力之系統可被禁止委託多於其當前擁有的SM程式化能力。例如,若根授權機構系統217僅將SM程式化能力A、B及C連同將SM程式化能力指派至額外的委託授權機構系統(未展示)之能力提供至委託授權機構系統222,則委託授權
機構系統222將不能進一步提供一SM程式化能力D,但是可委託不具備權限C之A及B。委託授權機構系統222可實施於單個電腦上,或在一些例項中可跨複數個電腦而分配。分配式委託可使用如先前描述之臨限簽名。針對可靠性及效能,委託授權機構系統222亦可包含多個冗餘及/或叢集組件。
此外,在一些實施例中,根授權機構系統217、委託授權機構系統222或其二者可經組態以將簽名區塊(例如,RSB、DSB)儲存在一或多個電子儲存媒體(未展示)中。電子儲存媒體可為(例如)揮發性(例如,SRAM、DRAM或其他半導體記憶體)或非揮發性(例如,硬碟、R/W光碟、快閃隨身碟)或其等之某個組合。RSB及/或DSB亦可儲存於SM裝置內(例如,若在重設該裝置之前一RSB/DSB對僅組態一特性,則每當產品重設時可能需要加載該組態)。
系統200可包含多個SM啟用裝置,例如SM啟用裝置240、245、250、255及260。SM啟用裝置240、245、250、255及260可為(例如)智慧型電話、平板電腦、小筆電、桌上型電腦、視訊轉換器、行動裝置、膝上型電腦、數位錄影機、付費TV視訊轉換器、汽車、製造裝備、數位相機及攝影機、電池、鑑認周邊設備之裝置、視訊遊戲使用者介面及其他使用者介面等等。雖然圖2A之例示性系統經展示具有多個SM裝置,但是該系統可使用一或任何數目個SM啟用裝置加以實施。SM啟用裝置240、245、250、255及260由根授權機構系統217驗證簽名或授權,繼而根授權機構系統217可授權委託授權機構系統222。此外,一SM啟用裝置(例如,SM啟用裝置240、245、250、255及260)與根授權機構系統217、委託授權機構系統222或其二者之間的耦合可能係暫時的。例如,在修改SM啟用IC之操作所需時間內可存在該耦合。對SM啟用裝置260及SM啟用IC 265之授權可藉由根授權機構系統217或委託授權機構系統222產生,且經由一或多個裝置測試器
(未展示)、程式化固定器(未展示)或其他媒介(未展示)遞送。
一般而言,一裝置測試器經組態以測試IC之功能性。特定言之,對於SM啟用IC,一裝置測試器此外可經組態以(例如,藉由將程式化命令供應給SM核心)將資訊(例如,金鑰、裝置ID等等)程式化於SM啟用IC中。裝置測試器或程式化固定器亦可將關於裝置及其SM核心之資訊(包含裝置識別資訊及組態資訊)記錄在一資料庫中。各裝置測試器可經組態以將一或多個SM啟用裝置耦合至根授權機構系統、委託授權機構系統或其二者。可能具有特性或能力之一範圍之系統或裝置理論上適用於一SM啟用IC之使用。
一SM啟用裝置可包含一或多個SM啟用IC(例如,265)。同樣地,SM啟用IC 265可包含(例如)一或多個SM核心及一或多個安全記憶體。且如下文詳細論述,SM啟用IC可視需要包含一些其他元件(例如,一或多個提取器、控制一或多個特性之輸出等等)或其等之某個組合。如下文論述,可經由金鑰管理或特性管理操作對SM啟用IC 265作出某些修改。
SM啟用裝置240、245、250、255及260可經裝備以透過PLMN 210進行蜂巢式通信、經裝備以使用無線存取點275進行Wi-Fi通信或能夠使用網路210進行蜂巢式通信及Wi-Fi通信二者,或其等之任何組合。無線存取點275可組態為根據IEEE 802.11規範之一者操作之WLAN。例如,SM啟用裝置250使用無線存取點275無線地耦合至網路205,且SM啟用裝置240經由PLMN 210耦合至網路205。SM啟用裝置240、245、250、255及260可支援之其他通信介面之實例包含乙太網、JTAG、串列/USB、I2C等等。
即使在程式化之前包括相同的IC,SM啟用裝置240、245、250、255及260亦可加以不同地組態。在消費電子器件中,(例如,由相同的遮罩集製成之)類似的矽或IC可用於廣泛範圍的產品(例如,高端及
低端產品),其中效能之差至少部分受控於組態。特性豐富的產品可能具有(例如)先進的音訊能力(例如,環繞聲)、多個HD視訊流、極多個且不斷變化的輸入及輸出、對包含電纜或衛星或無線特定數據機及轉碼器、各種調諧器等等之多個電纜供應商的支援,從而查看特性(諸如畫中畫)、Wi-Fi支援等等。同樣地,意欲用於一智慧型電話之一SM啟用IC可包含對諸如以下各者之能力之特性管理支援:GPS、各種無線網路無線電協定、Wi-Fi、基於近場通信之金融交易、藍芽或其他無線周邊介面、無線(over the air)視訊服務、HD視訊支援、無線視訊介面、額外的外部視訊介面、數種及各種解析度的相機及感測器、對各種螢幕大小及解析度之支援、對觸覺、圖形之處理及視訊增強及加速。SM啟用IC中之SM核心可用以管理諸如(例如)可用或可使用的記憶體之系統資源之大小及效能或可用處理器之速度及數目。在未展示之一些實施例中,一SM啟用裝置(例如,240、245、250、255及260)亦可操作地耦合至組態器系統280。一特定晶片上應停用一特定特性可能存在許多原因,包含減小未經使用的特性之IP許可成本、停用未作用或未經測試之矽區、避免較高端部分之調撥銷售、停用可產生安全風險之模式/設定等等。
委託授權機構220(例如,IC供應商105或IC製造商110)可自組態器系統280接收組態資料。由組態器系統280產生之資料可告知委託授權機構220如何定址特定特性或金鑰。
在一例示性實施例中,SM核心特性空間係儲存於包含於控制一SM啟用IC之特定功能性或組態態樣之值之一記憶體中之一位址空間。圖2B係與一SM啟用IC相關聯之一特性空間285之一例示性實施例之一方塊圖。特性空間285包含各自具有一相關聯之位址290之一或多個值295。例如,值「GPS無線電啟用」可能被指派至特性空間中之位址0。特性位址空間中之其他值(諸如一多位元PLL組態值)可跨越多
個位元(及對應的位址)。
在一些實施例中,特性空間285中之值之一或多者可與SM核心本身而非SM啟用IC之其他特性有關。此等特性空間值被視為內部特性。例如,一內部特性可能控制某一基礎金鑰是否可使用、載送關於一裝置之資訊(諸如產品製造商之識別碼、其中銷售產品之地理區域)等等。此等內部特性可用以控制授權(例如,使得意欲用於一地理區域中之裝置之授權將不會用作於另一地理區域中之裝置)。
內部特性可以類似於用以控制裝置元件之特性之一方式定址及加以控制。內部特性可用以表示一較高級別特權或特性條件,其接著被映射至引導裝置元件之更多特定SM核心輸出。例如,一內部特性可表示自1至7之一數字速度等級,而SM核心輸出則包含用於設定映射至速度等級之極多個PLL時脈控制設定之控制信號。以此方式,如隨後將描述,數字速度等級設定可被用作用於形成操作限於特定速度等級之SM核心命令之一條件。在另一實例中,內部特性在SM核心內可用以追蹤一經發佈之群組識別符、裝置識別符或已封裝、製造或由某一識別碼銷售一裝置之事實。在此實例中,製造實體可為允許將其製造商ID程式化於一內部特性中之一委託授權機構220。SM核心命令可解譯內部特性並使用結果以控制SM核心如何管理其他特性或金鑰。例如,SM核心可僅輸出某些金鑰或允許由一特定網路運營商操作之裝置或僅處於預銷售狀態之裝置之某些除錯設定。
返回參考圖2A,組態器系統280亦可經組態以將裝置特定金鑰映射至SM核心金鑰介面。組態器系統280可用於晶片開發期間及晶片開發之後以管理此等設定及組態。
組態器系統280可經組態以接收一或多個組態器輸入檔、硬體(「HW」)常數、或其等之某個組合,並處理其等以產生一或多個提取器硬體定義、一或多個子提取器硬體定義及一IC組態映射。所產生
的定義係(例如)描述SM啟用IC之組件之Verilog模組。該一或多個組態器輸入檔可定義一SM啟用IC之特定組態、列出一或多個安全金鑰及其等在SM啟用IC上之相關聯之目的地、由SM核心管理之特性之名稱及位址等等。例如,該一或多個組態器輸入檔可經組態以規定此等事物作為已命名之特性信號、組態位元、組態位元之分組、安全金鑰匯流排輸出、安全金鑰匯流排屬性、安全記憶體映射屬性或其等之某個組合。可由組態器系統280管理且嵌入硬體中之硬體常數(例如,固定在矽中且對於使用相同遮罩製成之所有晶片係常見的)之實例包含(例如)一晶片產品ID、來自根授權機構之一或多個金鑰(例如,根授權機構系統公開金鑰)、來自一委託授權機構之一或多個金鑰、一或多個基礎金鑰、一或多個額外的安全金鑰、錯誤校正資料、用於特性控制之預設值等等。
所產生的提取器硬體定義在IC設計中用來將匯流排輸出自SM核心路由至各個子提取器。子提取器硬體定義在IC設計中用來將特性空間位元自提取器映射至如該一或多個組態器輸入檔中規定之已命名之特性及金鑰。提取器硬體定義及任何子提取器硬體定義係用以產生含有一提取器及子提取器之SM啟用IC設計。
組態器系統280亦可經組態以利用追蹤組態變化且可用以最小化現有電路設計佈局之修改之一狀態快取。一狀態快取可為(例如)一映射檔、一IC組態映射等等。在一些實施例中,組態器280經組態以再讀取一先前輸出以實施狀態快取而非利用一映射檔更新狀態快取。
在一些實施例中,此外組態器系統280可經組態以產生一或多個命令映射檔、一或多個韌體映射檔及一或多個文件檔。命令映射檔係(例如)用以將命令映射為可為一SM啟用IC瞭解之一形式之檔。韌體映射檔係含有軟體開發所需定義及結構之檔(例如,標頭及原始檔案等等)。文件檔提供SM啟用IC設計之概述。此外,文件檔可包含用於設
計軟體組件之環境及建構原理。文件檔可為以下格式之一或多者:XML、HTML、文本、PDF、MICROSOFT WORD等等。
組態器系統280可用於生產一或多個SM啟用IC 265。在未展示之一些實施例中,組態器系統280可用於生產SM啟用裝置240、245、250、255及260之一或多者。組態器系統280可包含一或多個處理器(未展示)、一記憶體(未展示)及一資料介面(未展示)。組態器系統280可實施於單個電腦上,或在一些例項中可跨複數個電腦分配。
圖3係包含用於執行本文中描述之方法之一SM核心之一系統300之一例示性實施例之一方塊圖。系統300可包含SM核心305、安全記憶體310、提取器320、匯流排360、處理器355、提取器介面375、金鑰介面376、組態值介面377、主機記憶體370、特性325、330及335、子提取器340、345及350、暫存器介面358、測試器介面365或其等之某個組合。SM啟用IC包含SM核心305及安全記憶體310,且可視需要包含SM系統300之其他所示元件之一些(或所有)(例如,提取器320、匯流排360、處理器355、提取器介面375、子提取器340、345及350、金鑰介面376、組態值介面377、主機記憶體370、特性325、330及335等等)。雖然圖3中僅展示各組件之一者,但是應瞭解系統300可包括一個以上的已命名組件之任一者。例如,系統300可具有多個處理器355。類似地,雖然圖3之例示性系統僅展示具有單個SM核心305,但是SM啟用IC可含有多個SM核心305。進一步言之,在一些實施例中,系統300可包含測試器介面(「I/F」)365,其可操作地耦合(諸如使用光學、電或無線傳輸通信地耦合)至一測試器。在未展示之一些實施例中,一或多個子提取器340、345及350可組合提取器320。
此外,在一些實施例(未展示)中,SM核心305可直接連接一或多個特性(未展示),且若直接處置所有此等連接,則不一定需要提取器320及子提取器。且在一些實施例中,可使用提取器320、該一或多個
子提取器(例如,340、345及350)及介面(375、376、377)繼續連接特性325、330及335。
此外,SM核心305可直接讀取信號並將信號寫入至系統300之其他組件。在一些實施例中,SM核心305可經由(例如)一專用介面(未展示)或經由匯流排360取樣系統狀態、讀取資料參數等等。例如,SM核心305可經由匯流排360發佈讀取操作以獲得所要資訊。
系統300包含安全記憶體310。安全記憶體310可為單個安全記憶體及/或多個均質或異質安全記憶體。安全記憶體310可呈其中可以一非揮發性形式固定各位元之設定之一數位記憶體之一形式。安全記憶體310可包含(例如)熔絲記憶體、反熔絲記憶體、一次性可程式化(「OTP」)記憶體、可擦除且可程式化唯讀記憶體(「EPROM」)、電可擦除且可程式化唯讀記憶體(「EEPROM」)、RAM(包含電池供電RAM)或其等之某個組合。在一些實施例中,若安全記憶體310係熔絲記憶體或反熔絲記憶體,則安全記憶體310可包含(例如,藉由撤銷或再映射先前寫入之資料)提供修訂先前儲存於安全記憶體310中之資訊之能力之冗餘路徑。取決於當前技術及安全特性,可加密及/或鑑認安全記憶體310之內容、可保護安全記憶體310之內容以免被唯SM核心305以外的區塊讀取、可將安全記憶體310之內容組態為一次性可程式化。又,安全記憶體310可經隔離使得僅SM核心305連接至安全記憶體310,或使得可自安全記憶體310讀取SM啟用IC之其他組件,但僅SM核心305可寫入至安全記憶體310。安全記憶體310亦可被分區為可由唯SM核心305以外的SM啟用IC之組件讀取之一或多個部分及可僅由SM核心305讀取之一或多個部分。SM核心305可直接負責對安全記憶體310執行所有製造測試及程式化操作。此外,在一些實施例中,安全記憶體310經設計以拒絕嘗試藉由(例如)在操作期間自IC移除某些層、捕獲IC之顯微圖或電探測IC來獲悉其內容。此外,在一些
實施例中,SM核心305包含對象包裝程式315。對象包裝程式315將來自SM核心305之請求轉譯為為安全記憶體310所瞭解之請求,且反之亦然。在一些實施例中,安全記憶體310可與SM核心305成一體。
系統300包含一或多個特性325、330及335。經由子提取器340、345、350遞送至特性325、330及335之輸入大體上可組態,藉此(例如,經由金鑰管理及特性管理操作)提供與特性325、330及335相關聯之功能性之可組態性。此等組態變化可由經由暫存器介面358遞送至SM核心305之SM命令(下文描述)加以執行。
特性325、330及335可包含硬體、軟體及其等之組合。例如,特性325、330及335可為一全球定位服務、一或多個處理器(例如,CPU、圖形處理器、加解密核心等等)、額外的記憶體、USB埠、視訊輸入或輸出埠、音訊輸入或輸出埠、提供先進的圖形能力(例如,畫中畫、多個HD視訊流、圖形加速等等)之電路、用於存取一或多個網路之網路收發器(例如,Wi-Fi、近場、藍芽等等)、相機等等。特性之上述清單不應被視為限制,這係因為特性可包含可經由金鑰管理或特性管理操作組態之任何組件或能力。上文參考(例如)圖2A且下文在(例如)特性管理章節中論述特性能力。在一些實施例中,由一第三方IP供應商提供一特性或一特性之部分。特性325、330及335分別與子提取器340、345及350相關聯。在未展示之一些實施例中,多個特性可共用單個子提取器。子提取器340、345及350促進遞送跨SM啟用IC設計之SM核心輸出(諸如組態值及金鑰)。此外,如上論述,子提取器340、345及350係任選的,且大體上用於包含多個特性之大型或複雜的SM啟用IC(包含其中頂級ASIC平面設計及/或路由面臨挑戰之SM啟用IC)。提取器320經組態以分別將輸出自SM核心305遞送至子提取器340、345及350,其等繼而將信號遞送至特性325、330及335。
例示性系統300包含提取器320。提取器320係經組態以自SM核心
305接收資訊(例如,金鑰及特性狀態)並將該資訊以適用於一所期目的地特性之一形式路由至與該特性相關聯之適當的子提取器之一硬體組件。特性狀態指代由SM核心305及可能提取器320處理使得其呈為目的地特性所瞭解之一形式之資訊。特性狀態可具有特性空間中之一或多個相關聯之位址。例如,特性狀態可包含啟用信號、元資料、組態或校準資訊或有用於特性之其他資料。
提取器320操作地耦合至SM核心305,且耦合至一或多個特性(例如,特性325、330及335)。在一些實施例中,提取器320經由一提取器介面375耦合至SM核心305。提取器介面375使資訊(諸如特性資料、安全金鑰等等)自SM核心305傳達至提取器320。特性資料可為秘密或非秘密資料,且係用以組態一特性之一般資料。提取器介面375可包含將SM核心305耦合至提取器320之導線。提取器320接著經由金鑰介面376、組態值介面377或其等之一組合將該資訊傳送至與各目的地特性相關聯之子提取器。金鑰介面376係經組態以傳遞秘密資訊(例如,傳遞至諸如RSA及EC-DSA之公開金鑰系統之密碼編譯金鑰(諸如私密金鑰)、傳遞至諸如AES或三重DES之密碼系統之對稱金鑰及用於諸如HDCP或EMV之協定之金鑰)之一通信路徑。例如,提取器320可經由金鑰介面376將一128位元金鑰及目標金鑰位址傳達至一或多個特性(例如,325、330及/或350)。提取器320可經組態以解碼一目標位址以識別與目的地特性相關聯之一特定子提取器。例如,子提取器340、子提取器345及子提取器350分別與特性325、330及335相關聯。組態值介面377係經組態以傳遞與特性管理操作相關聯之特性資料之一通信路徑。例如,若組態或啟用一或多個特性(例如,325、330、335或其等之某個組合),則提取器320經由組態值介面377將特性資料傳遞至適當的子提取器。同樣地,若一特定特性無需(及/或出於安全原因而不一定被允許接收)與給定位址相關聯之值,則提取器及/或子
提取器可禁止來自目的地之此等值。禁止不必要的值可藉由避免將值不必要地路由且遞送至不需要該等值之子提取器或特性來改良ASIC上的效率。在一些實施例中,提取器介面375使資訊自SM核心305雙向傳達至提取器320。在其他實施例中,提取器介面375使資訊自SM核心305單向傳達至提取器320。金鑰介面376及組態值介面377可包含將SM提取器320耦合至一或多個子提取器340、345及350之導線。
提取器介面375、金鑰介面376及組態值介面377或其等之某個組合將SM核心305耦合至提取器320及子提取器340、345及350。介面之組合可藉由(例如)連續地發送資料值、在發生值變化事件(例如,啟用特性)或(例如,因為一特性通電而)接收到一請求時發送資料或其等之某個組合將資料自SM核心305傳輸至一特定特性。
與一SM核心相關聯之特性空間之各元素之當前值可儲存於(例如)安全記憶體310或(下文論述之)SM私密記憶體中。在一些實施例中,一給定操作(例如,一RSB或DSB之處理,下文論述)可僅更新特性空間之元素之一子集。在其中值變化事件自SM核心305傳達至提取器320之實施例中,期望(但並非必須)僅受一特定有效負載影響之特性空間之元素之值在處理該有效負載之後自SM核心305傳達至提取器320。在其中特性空間中之所有值自SM核心305連續地驅動至提取器320之實施例中,受一特定有效負載影響之值可組合來自(例如)SM私密記憶體之未受影響的特性空間之先前值以傳達至提取器320。
系統300可包含處理器355。處理器355可為(例如)單個或多個微處理器、場可程式化閘陣列(FPGA)元件或數位信號處理器(DSP)。處理器355之特定實例係(例如)一86x處理器、一ARM處理器、一MIPS微處理器、一8051微控制器等等。處理器355可經由匯流排360耦合至SM核心305、主機記憶體370、測試器I/F 365或其等之某個組合。在一些實施例中,處理器355可經組態以直接與SM核心305通信、經由
SM核心305讀取並程式化安全記憶體310、擷取SM核心305狀態及系統狀態、將命令發送至SM核心305、自SM核心305接收授權由處理器355執行之軟體(諸如開機常式、作業系統組件、應用程式等等)之密碼編譯雜湊或其等之某個組合。此外,可存在形成此等存取之複數個處理器。此外,在一些實施例中,處理器355具有使用ARM TrustZone®運行(例如,核心第0級(Ring 0)中之)較高特權程式碼或運行一安全虛擬機器監控器(SVMM)中之較高特權程式碼之能力。可使用SM核心305之一些或所有能力阻斷較低特權處理器355或程序。暫存器介面358可用以傳達請求之識別碼及特權級別,且SM核心305可在接受並處理跨暫存器介面358接收之SM命令時考慮請求器之特權級別。
系統300可包含主機記憶體370。主機記憶體370可為揮發性(例如,SRAM、DRAM或其他半導體記憶體)或非揮發性(例如,硬碟、R/W光碟、快閃隨身碟)或其等之某個組合。主機記憶體370操作地耦合至處理器355、SM核心305、測試器I/F 365或其等之某個組合。在此實施例中,主機記憶體370經由匯流排360耦合至系統300之一或多個組件。
系統300可包含測試器I/F 365。測試器I/F 365係用於測試器系統(未展示)之一介面。例如,測試器I/F 365可經組態以在以下情況下將一通信路徑提供至SM核心305:SM核心305處於一製造狀態、SM啟用IC在現場、處理器355仍未操作(或失靈)或其等之某個組合。測試器I/F 365可為一掃描介面、一測試介面、聯合測試行動組(「JTAG」)介面、通用串列匯流排介面、先進周邊匯流排(「APB」)介面等等。一測試器系統可耦合至系統300使得其能夠測試系統300以進行校正操作。例如,測試器系統可經組態以確保系統300適當地啟用特性、停用特性、程式化安全記憶體310等等。測試器系統可包含一或多個處
理器及一記憶體,且可與用於授權SM核心305中之操作之一委託授權機構系統通信(或包含該委託授權機構系統)。
系統300包含SM核心305。SM核心305可經由暫存器介面(「I/F」)358及匯流排360操作地耦合至安全記憶體310、提取器320及處理器355、主機記憶體370及測試器I/F 365。此外,在一些實施例(未展示)中,SM核心305可直接連接至處理器355、主機記憶體370及測試器I/F 365之一些或所有。SM核心305包含一或多個SM私密記憶體(未展示)。此等一或多個私密記憶體可用以儲存由SM核心使用之資料,包含一或多個安全金鑰(例如,基礎金鑰、個性化金鑰、攜載金鑰、接線對照表金鑰、根授權機構公開金鑰或委託授權機構公開金鑰等等)、安全記憶體310內之位置之一或多個指標、用於對象包裝程式315之指令、與特性位址相關聯之當前組態狀態、處理媒介之命令等等。在一些實施例中,一或多個安全金鑰及一產品晶片ID可硬接線至SM核心305中(例如,根授權機構公開金鑰、在安全記憶體310失靈或未經組態時一定可用之基礎金鑰等等)。該一或多個安全金鑰可包含對稱金鑰、公開不對稱金鑰、私密不對稱金鑰或其等之某個組合。在一些實施例中,該一或多個安全金鑰專用於SM核心,且一系列SM核心之間可共用其他安全金鑰。一SM核心系列指代可以某種方式相關之一SM核心集合。例如,由一給定遮罩設計製成之所有SM啟用IC中之SM核心可能被視為一系列。替代地,一系列類似的SM啟用IC之任一者中之所有SM核心可能被視為一系列。
在一例示性實施例中,SM核心305經組態以接收一或多個簽名區塊,其等可包含根簽名區塊(「RSB」)以及零個或多個委託簽名區塊(「DSB」),其等參考圖4進一步論述。SM核心305經組態以驗證與簽名區塊相關聯之簽名並提取規定約束/繫結(參見下文)之一相關聯之有效負載以及意欲用於一或多個特性(例如,325、330、335)之值(例
如,組態設定或金鑰)。約束之實例包含對SM核心應接受的有效負載之限制(諸如指定一特定裝置ID或用於儲存於特性位址空間中之值之所需狀態之限制或對可操縱的特性之限制等等)。SM核心305可經組態以使用根授權機構之一公開金鑰鑑認有效負載,且使用(例如)內置於SM啟用IC或源於儲存於安全記憶體210中之值之一私密金鑰自簽名區塊提取(例如,解密)有效負載。SM核心305經組態以經由提取器320將處理有效負載之一些或多個結果分配至所期一或多個特性(例如,325、330、335)。
在一些實施例中,SM核心305可經組態以執行更新SM啟用IC之特性狀態、促進至特性之金鑰遞送、啟用安全記憶體310之組態(諸如組態用於寫入至安全記憶體310所必需的參數(若有))等等之指令。例如,可命令SM核心305停用特性325並啟用特性330。取決於所提供的實施例及指令,SM核心305可(例如,藉由更新安全記憶體310)作出持續變化、(例如,藉由更新SM私密記憶體)作出非持續變化,或其二者。持續變化係持續至SM啟用IC斷電之後使得變化持續至重啟IC啟用晶片之後的變化。非持續變化係持續預定時間週期或事件之變化。例如,一非持續變化可僅僅有利於一定的執行次數,直至裝置損失電力等等。SM核心305可經組態以管理並遞送用於以下各者之金鑰:安全數位(「SD」)卡加密、快閃記憶體/硬碟加密、高頻寬數位內容保護(「HDCP」)、數位權利管理(「DRM」)系統、虛擬私密網路(「VPN」)、付費儀器(例如,EMV)、密碼管理器、無線電鏈路加密、周邊設備鑑認、其他安全操作等等。
此外,SM核心305可經組態以接收可用於IC組態程式之一或多個硬體(「HW」)常數。HW常數可包含(例如)一產品晶片ID、用於根授權機構系統之一或多個金鑰(諸如一RSA或EC-DSA公開金鑰)、來自一委託授權機構系統之一或多個金鑰、一或多個基礎金鑰、一或多個
額外的安全金鑰、用於SM核心305操作之參數(例如,記憶體使用、支援命令等等)、錯誤校正資料等等。一產品晶片ID可使用一識別值唯一識別一特定SM啟用IC或一特定SM啟用IC系列或其二者。安全金鑰可為對稱或不對稱金鑰(且若不對稱,則為公開金鑰或私密金鑰)。在一些實施例中,該一或多個基礎金鑰可源於一主金鑰、SM啟用IC系列之一識別程式碼、一晶片特定識別符或其等之某個組合。錯誤校正資料可包含(例如)與安全金鑰之一或多者有關的核對和。
SM核心305可經組態以產生對處理器355之中斷。例如,SM核心305可經組態以在以下情況下產生一中斷:更新SM啟用IC之特性狀態、待備妥以接收額外的I/O、輸出一金鑰等等。
SM核心305可經組態以執行一或多次內置自核對。例如,在測試介面等等的控制下,SM核心305可經組態以在首次通電時執行自核對。
在一些實施例中,系統300係組合圖3中所示之所有組件或大部分組件(諸如唯處理器355及主機記憶體370以外的所有組件)之單個IC(諸如一晶片上系統)。
在一些實施例中,系統300之所有或一些可經建構以防由外源篡改。例如,SM核心305可包含一安全網格(未展示)或在一安全網格下製造。一安全網格係(例如)使用一積體電路上之頂部金屬層之一或多者製造在主邏輯電路頂部上之一有線網路。安全網格可與旨在偵測對包括網格之導線的損壞之一主動感測器網路成對。在此實施例中,SM核心305經組態以在主動感測器指示安全網格佈線之一些已損壞時拒絕執行靈敏度操作。替代地,SM核心305可經組態以執行其他對策,諸如擦除安全記憶體310。
圖4描繪一例示性SM核心305之一方塊圖。例示性SM核心305可包含加解密模組410、一執行引擎模組420、一通信模組430及一資料
儲存模組440或其等之某個組合。應明白,此等模組之一或多者可經刪除、修改或與其他模組組合在一起。
加解密模組410可為經組態以提供鑑認、加密功能性、解密功能性或其等之某個組合之一硬體組件、一軟體組件或其等之一組合。例如,加解密模組410可經組態以提供對稱加密功能性、對稱解密功能性、不對稱稱加密功能性、不對稱解密功能性、不對稱簽名/簽名驗證、金鑰協議或其等之某個組合。在一些實施例中,加解密模組410可經組態以驗證與根簽名區塊(「RSB」)相關聯之一或多個數位簽名。RSB可包含(例如)一或多個SM命令、命令範本、一或多個委託權限、一或多個金鑰(例如,一委託公開金鑰)或其等之某個組合。RSB含有藉由根授權機構的私密金鑰(即,根授權機構系統217之私密金鑰)簽名之至少一數位簽名。加解密模組410可經組態以使用對應的根授權機構公開金鑰鑑認RSB之數位簽名。在一些實施例中,可使用RSA、DSA或ECDSA執行鑑認。在其他實施例(諸如其中自SM啟用IC提取鑑認秘密並非問題之實施例)中,可使用諸如HMAC之一對稱鑑認方案執行鑑認。鑑認方案可使用此等或其他演算法之一組合。鑑認方案可實施諸如PKCS#1或ANSI X9之一標準或可為專有。
此外,加解密模組410可經組態以驗證與一委託簽名區塊(「DSB」)相關聯之一或多個數位簽名。一DSB可包含(例如)一或多個SM命令、一有效負載(加密或未經加密)、一或多個金鑰或其等之某個組合。在一實施例中,規定並授權委託授權機構的公開金鑰之一RSB總是領先各DSB。DSB可含有藉由委託授權機構系統(例如,委託授權機構系統222)簽名之至少一數位簽名。在接收並驗證一有效DSB之後,加解密模組410可(酌情對於DSB)使用SM啟用IC中之一或多個基礎金鑰衍生一或多個混合金鑰、一或多個攜載金鑰、一或多個驗證符(例如,用於金鑰驗證之值)或其等之某個組合。此外,加解密模組
410可經組態以組合複數個分拆金鑰以形成一或多個基礎金鑰。
此外,在一些實施例中,RSB及/或DSB可含有加密有效負載部分。在此實施例中,加解密模組410可經組態以使用(例如)基礎金鑰或源於基礎金鑰之金鑰解密並證實加密有效負載部分。加解密模組410經組態以在鑑認RSB或DSB或其二者時將經驗證之命令提供至執行模組420。加解密模組410可耦合至執行引擎模組420、通信模組430及資料儲存模組440。
此外,得到一容許權限集合之DSB可指示其與另一下列DSB相關聯,且可將下列DSB進一步限於不同於第一DSB之一(例如,較狹窄)容許權限集合。
在一些實施例中,加解密模組410可經組態以使用一暫存器I/F(例如,暫存器I/F 358)與SM核心外部之一裝置或組件協商一隨機會話金鑰,諸如一測試器或CPU應用程式。經協商之會話金鑰可用以(例如)打開一安全通道或保護以一後續RSB、DSB或其二者傳達之秘密。
此外,下文參考圖5至圖9B詳細論述例示性RSB及DSB之態樣。
執行引擎模組420可為經組態以接收並執行SM命令之一硬體組件、一軟體組件或其等之一組合。SM命令可接收自根授權機構系統(例如,根授權機構系統217)、一委託授權機構系統(例如,委託授權機構系統222)、(例如,在開機程式期間)與SM核心305相關聯之一安全記憶體(例如,安全記憶體310)或其等之某個組合。SM命令可包含(例如)加載命令、金鑰衍生命令、解密命令、安全記憶體寫入命令、條件操作、策略組態操作等等。加載命令可(例如)對遞送至特性之組態輸出及/或在SM核心內部使用之狀態啟用非持續變化。金鑰衍生命令可用以使用(例如)如下文詳細論述之一金鑰樹由一基礎金鑰衍生一或多個安全金鑰。解密命令可用於解密一所接收的有效負載及對特性
解密及/輸出秘密金鑰輸出。安全記憶體寫入命令可用以將特定指令或其他變化寫入至安全記憶體。(例如,一寫入命令可用以對SM啟用IC作出持續變化)。條件操作可用以判定其他命令是否適合在一特定SM核心上運行或判定適合在一特定SM核心上運行之其他命令。策略組態操作可用以規定對其他命令可規定之限制(參見下文)。
除上文論述之SM命令以外,一些SM命令(例如,策略組態命令)可(例如)將一RSB或DSB之使用約束為:一特定產品晶片ID;產品晶片ID之一範圍;一特定產品製造商;基於由SM核心管理之任何特性組態之值之一給定晶片系列;要求在使用區塊時委託測試某個(某些)特性;或其等之某個組合。在一些實施例中,SM命令亦可藉由要求併入藉由SM核心(基於一隨機數字產生器)衍生之一隨機一次性挑戰之RSB/DSB數位簽名中將RSB或DSB或其二者約束為「單獨使用」。策略組態命令亦可基於自其他硬體連接至SM核心之信號狀態(例如,來自篡改偵測電路之輸出、安全記憶體310之錯誤狀態等等)強加限制。執行引擎模組420可耦合至加解密模組410、通信模組430及資料儲存模組440。
通信模組430可為經組態以用作SM核心305與外界之間之一介面之一硬體組件、一軟體組件或其等之一組合。例如,通信模組430可經組態以介接一CPU(例如,處理器355)、一主機記憶體(例如,主機記憶體370)、一安全記憶體(例如,安全記憶體310)、一提取器(例如,提取器320)、一測試器介面(例如,測試器1/F 365)、IC上之任何其他組件或其等之某個組合。通信模組430可經組態以(例如,經由匯流排360)自一或多個匯流排、安全記憶體等等接收命令。此外,通信模組430可有助於(例如,直接或經由提取器320或其二者)將資訊發送至各個特性。在一些實施例中,通信模組430包含一安全記憶體對象包裝程式(例如,對象包裝程式315)。安全記憶體對象包裝程式經組
態以將來自SM核心305之命令轉譯為可為由SM核心305相關聯之安全記憶體辨識之一格式。通信模組430可耦合至加解密模組410、執行引擎模組420及資料儲存模組440。
資料儲存模組440可包含一或多個SM私密記憶體。資料儲存模組440可經組態以儲存一或多個安全金鑰(例如,裝置金鑰或裝置金鑰之群組)、產品晶片ID、一或多個SM命令、開機指令、特性資料、組態資料、持續特性資訊等等。在一些實施例中,此外資料儲存模組可儲存用以使SM核心305操作持續變化之資訊,諸如關於記憶體佈局及使用之資訊。資料儲存模組440可包含或介接SM核心305外部之一或多個記憶體結構(諸如靜態RAM),或可併有內部儲存器(例如,暫存器、暫存器檔、靜態RAM等等。若此儲存器係揮發性儲存器,或若可用,則可使用揮發性記憶體)。資料儲存模組440亦可儲存密碼編譯值,諸如一委託授權機構系統公開金鑰。資料儲存模組440可耦合至加解密模組410、執行引擎模組420及通信模組430。
3.安全管理器功能性
由於根授權機構請求一SM啟用IC中之一SM核心執行一操作(例如,更新金鑰或特性狀態),根授權機構系統就一或多個SM命令定義該操作。SM命令在執行時可(除其他以外)更新藉由SM啟用IC中之SM核心管理之特性狀態。根授權機構系統以可由SM核心辨識之二進位格式編碼SM命令,且包含對該等命令之一數位簽名。命令與簽名之組合被視為一簽名區塊。來自根授權機構系統之簽名區塊被稱為根簽名區塊(「RSB」),且來自一委託授權機構系統之簽名區塊被稱為委託簽名區塊(「DSB」)。
在未涉及一委託簽名區塊之簡單的情況下,一SM啟用IC中之SM核心自根授權機構系統接收命令。根授權機構系統公開金鑰可內置於SM啟用IC中。圖5係用於產生包含由根授權機構系統簽名之命令之根
簽名區塊之一例示性方法之一流程圖。在步驟500中,根授權機構系統自(例如)一簽名請求或一輸入檔接收一或多個SM命令。接著藉由根授權機構系統使用根授權機構系統私密金鑰數位簽名(510)SM命令之區塊以產生RSB。在步驟520中,由根授權機構系統提供完整的RSB。RSB之接受方可為可(例如,經由測試器I/F 365)與根授權機構系統通信之一SM核心,或RSB在最終由SM核心接收之前可經由任何數目個實體(例如,媒介、伺服器、組件、應用程式、網路、儲存位置/檔等等)傳遞。
圖6係用於藉由SM啟用IC中之SM核心處理圖5中產生之RSB之一例示性方法之一流程圖。在步驟600中,在SM核心處接收RSB。SM核心接著獲取(610)根授權機構系統公開金鑰,(例如)其可儲存於SM啟用IC中且作為一硬體常數供應給SM核心,或可儲存於一安全記憶體(例如,安全記憶體310)中。
SM核心接著使用根授權機構系統公開金鑰驗證(620)RSB之數位簽名。若數位簽名驗證結果(630)指示簽名無效,則程序結束(690)。若數位簽名有效,則SM核心處理(640)RSB中含有之一或多個SM命令。若在處理SM命令時發生一錯誤(650),則使用(例如)暫存器I/F 358或一中斷報告(660)該錯誤,且程序結束(690)。例如,若一SM命令核對一產品晶片ID是否落在一特定範圍內且為SM核心所知的產品晶片ID落在此範圍外,則可發生一錯誤。若處理期間未發生錯誤,則SM核心判定(670)是否仍保持處理任何額外的SM命令。若存在需要處理之額外的SM命令,則流程返回至步驟640且在處理所有SM命令之前繼續該程式。當處理所有SM命令時,SM核心使用(例如)暫存器I/F 358報告成功(680)或一中斷,且程序結束(690)。
圖7係用於產生可與一DSB相關聯之一RSB之一例示性方法之一流程圖。在步驟700中,根授權機構系統接收一或多個輸入參數。輸
入參數可包含一或多個SM命令、委託人意欲對其等簽名之命令範本、委託權限、一委託授權機構系統公開金鑰、其他資料或其等之某個組合。委託授權機構系統公開金鑰具有受委託授權機構系統控制之一對應的委託授權機構系統私密金鑰。
如上文論述,SM命令可含有引導SM核心影響SM啟用IC之狀態的資訊。此外,當RSB與一DSB相關聯(例如,含有委託授權機構系統公開金鑰)時,SM命令可(正如上文的僅RSB之情況)包含基於某些條件停止處理之命令。例如,RSB可包含在繼續RSB處理及允許相關聯之DSB運行之前確認以下各項之命令:晶片係處於某一製造階段,或係在一特定產品晶片ID範圍內,或係在一特定序號範圍內,或具有與一特定群組或子集相關聯之設定,或處於/未處於一特定錯誤狀態等等。注意,以由SM核心判定之狀態為條件(諸如裝置生命循環、產品OEM識別符、使用者類型、地理區域、群組識別符、銷售商SKU、日期等等)之能力容許極靈活地控制可接受一給定RSB之裝置及將在該等裝置上接受何種RSB。因此,可防止在不滿足由根授權機構系統陳述之標準之裝置上執行DSB。
在一些實施例中,根授權機構系統亦可接收並簽名指定DSB之形式或內容或其二者之命令範本。委託授權機構系統可驗證根授權機構系統之簽名作為確保其將僅簽名所要形式之DSB之一方式。可描述SM命令包含於一命令範本內且可作出何種調整。委託授權機構系統中之一硬體安全模組可驗證範本上之根簽名、作出被允許的修改(或驗證僅作出被允許的修改),接著(若成功,則)簽名委託簽名區塊(DSB)。注意,此方式允許根授權機構(藉由委託授權機構系統)強加限制委託。注意,對委託簽名之此等限制係對由SM核心執行之限制之補充(例如,若RSB包含確認一產品晶片ID位於一給定範圍中之測試,則在DSB在該範圍外運行於一裝置上時在DSB之任何接受之前將
會發生錯誤)。
委託權限通常描述根授權機構容許委託者具有超過一SM核心之能力。例如,委託權限可包含授權更新特定特性、授權寫入至安全記憶體310內之實體位址之一範圍、授權在SM核心處理DSB時可由DSB執行的SM命令、授權目的地以進行安全金鑰傳輸、授權存取一或多個金鑰匯流排、授權存取一或多個周邊裝置或其等之某個組合。
一RSB(或若授權,則DSB)可設定SM核心中之權限資料欄位。例如,此等權限資料欄位可被映射至特性空間中之位址。此等設定可持續,除非(或直至)其等藉由另一RSB改變或直至重設晶片。例如,一例示性RSB在由SM核心處理時可設定一系列能力遮罩中之位元以規定是否運行某些能力。在另一實例中,RSB在由SM核心處理時可調整SM核心中控制SM核心作出關於安全記憶體310之佈局及組態之假設之指標。
RSB在由SM核心處理時亦可製備由一後續DSB使用之資料。例如,RSB可導致資料儲存於一資料儲存模組(例如,資料儲存模組440)中,且DSB可導致自資料儲存模組擷取資料。此外,在執行RSB之前,一處理器(例如,處理器355)可導致資料藉由(例如)利用暫存器I/F 358儲存於資料儲存模組中。RSB可導致SM核心檢驗符合某些準則之該資料,且若滿足該準則,則將該資料保留在資料儲存模組440中以供一後續DSB使用。在此情況下,即使該資料係由處理器而非根授權機構系統提供,該資料亦仍得到根授權機構系統的認同。例如,這可使一裝置上之韌體提供未藉由根授權機構或委託授權機構簽名之參數。
一RSB可要求DSB簽名包含由RSB規定之一形式之一定量的「聯結資料」。這迫使對其中改變聯結資料之各例項單獨地執行DSB簽名程序。例如,RSB可引導SM核心取樣由一隨機數字產生器產生之一
值,且要求DSB簽名包含取樣值,這迫使DSB簽名授權機構「現場」連接SM核心且防止DSB重播。在另一實例中,RSB可設定聯結資料以包含裝置ID及生命循環狀態,從而防止簽名DSB在其他裝置上重播。因為聯結資料藉由委託授權機構系統併入簽名中(且因此為委託授權機構系統所知且可處於向安全服務120報告之委託授權機構系統日誌中),所以RSB亦可規定作為聯結資料及根授權機構系統希望確保精確地記錄之參數。
在一些實施例中,一RSB在由SM核心處理時能夠寫入至與SM核心相關聯之一次性可程式化(OTP)記憶體(例如,安全記憶體310)。例如,作為一啟動程序之部分,OTP記憶體內含有之指令可啟用一SM啟用IC之特性X。一RSB可引導SM核心修改安全記憶體310使得在啟動程式期間啟用或不再啟用特性X。此外,在一些實施例中,一DSB亦可被授予對一經程式化之OTP記憶體之內容作出(通常限於)變化之權限。
在步驟710中,在藉由根授權機構系統使用根授權機構系統私密金鑰數位簽名之根簽名區塊中形成輸入參數以產生RSB。在步驟720中,將RSB遞送至(例如)委託授權機構系統或監督委託授權機構系統之一安全服務(例如,安全服務120)。
圖8係用於產生一DSB之一例示性方法之一流程圖。在步驟800中,委託授權機構系統接收一或多個委託輸入參數。委託輸入參數可包含(例如)圖7中產生之RSB、包含於DSM中之一或多個SM命令、其他有效負載資料(加密或未經加密)、一或多個金鑰或其等之某個組合。SM命令可包含在被執行時更新SM啟用IC之特性狀態之SM命令。如早期描述,SM命令可被接收作為由根授權機構系統簽名之一命令範本之部分。在步驟810中,可由委託授權機構系統(使用對應於RSB中含有之委託授權機構公開金鑰之私密金鑰)數位簽名委託輸入
參數以產生DSB。在步驟820中,將DSB提供至(例如)一SM啟用IC(直接或各種媒介)且由SM核心處理DSB。
在未展示之一些實施例中,委託授權機構系統在數位簽名委託輸入參數之前驗證RSB內之委託權限。例如,這可有助於防止產生以下問題:RSB被破壞或要求委託授權機構系統簽名超出根授權機構授權以外的某些事物。
圖9A係用於藉由SM核心處理圖8中產生之DSB(及相關聯之RSB)之一例示性方法之一流程圖。在步驟900中,在SM核心處接收與DSB相關聯之RSB。SM核心接著使用根授權機構公開金鑰驗證(905)RSB之數位簽名。若數位簽名無效,則拒絕RSB且程序結束(915)。若數位簽名有效,則SM核心開始處理(912)RSB中含有之SM命令。
若該一或多個SM命令之任一者未能處理或以其他方式產生一錯誤(920),則拒絕RSB且程序結束(915)。例如,若藉由RSB中之SM命令指定期間委託授權機構系統經組態以限制SM程式化能力之產品晶片ID之一範圍且SM啟用IC處理該範圍外之一產品晶片ID,則SM核心應失效且拒絕RSB(915)。在此實施例中,若程序結束於步驟915處且若達到相關聯之DSB,則可忽略並丟棄且不處理該DSB。在未展示之其他實施例中,SM核心可同時接收RSB及DSB。在此等實施例中,若程式歸因於處理RSB時發生的錯誤而結束,則可忽略並丟棄且不處理該DSB。在未展示之其他實施例中,SM核心可在處理RSB的同時或在接收RSB之前接收DSB。無關於一SM核心之一特定實施例接收RSB及DSB之方式為何,若拒絕一RSB,則SM核心可拒絕處理(或以其他方式拒絕)任何相關聯之DSB。
若成功地處理RSB內之SM命令,則SM核心自RSB提取(925)委託權限及委託授權機構公開金鑰。在步驟926中,SM核心接收與RSB相關聯之一DSB。如上提及,在未展示之一些實施例中,可同時或在不
同時間接收DSB及RSB。
SM核心使用包含於RSB中之委託授權機構公開金鑰驗證(930)DSB之數位簽名。若數位簽名無效,則拒絕DSB且程序結束(935)。若數位簽名有效,則SM核心自委託DSB提取(940)SM命令。SM核心接著判定(945)是否允許所提取的SM命令。SM核心藉由比較所提取的SM命令與委託權限及針對與RSB中含有的委託權限的符合性檢驗SM命令來作出此判定。若委託權限不容許所提取的SM命令,則不執行所提取的SM命令,且報告(950)一錯誤,且流程進行至步驟960。可向在SM啟用IC、一測試器等等上運行之軟體報告該錯誤,該軟體繼而可酌情通知委託授權機構、根授權機構或其他實體。
若允許所提取的SM命令,則SM核心執行(955)所提取的SM命令。在未展示之一些實施例中,SM命令之執行期間可發生任何錯誤,在該情況下流程可進行至步驟950。
SM核心接著判定(960)是否仍保持處理任何提取的SM命令。若已處理所有所提取的SM命令,則SM核心報告(965)成功執行DSB。可向SM啟用IC之一使用者、委託授權機構、根授權機構或其等之某個組合報告該報告。但是,若仍保持處理額外的SM命令,則流程進行至步驟945。
在未展示之一些實施例中,當不允許一所提取的SM命令且報告一錯誤(960)時,程序接著結束且拒絕DSB區塊。
圖9B係用於藉由SM核心處理自一RSB擷取之SM命令之一例示性方法之一流程圖。圖9A中展示步驟900、905及915。圖9B之剩餘部分詳述處理SM命令(912)並核對來自圖9A之結果(920)之步驟之一例示性實施例。當確認數位簽名有效時,開始進行圖9B中之細節。SM核心自RSB提取(970)一或多個SM命令。SM核心判定(975)該等約束實際上是否允許執行所提取的SM命令。若未授權該命令,則步驟975觸發一
錯誤。步驟975接著嘗試運行該命令,這亦可觸發一錯誤。當觸發一錯誤時,SM核心報告該錯誤(980)並拒絕RSB之剩餘部分(且因此拒絕任何相關聯之DSB(915))。若所提取的SM命令成功地運行,則SM核心接著判定(985)是否仍保持處理任何提取的SM命令。若等待任何進一步命令,則程序繼續下一個命令。當處理所有所提取的SM命令時,方法進行至圖9A中之步驟925。
(例如,RSB及/或DSB中之)比較測試可測試(例如)兩個值是否大於或小於彼此、等於彼此,等等。此外,在一些實施例中,比較測試可併有位元遮罩或其他任何其他種類的測試。一比較結果可為一即刻錯誤或一流程控制變化(例如,諸如跳躍)或後續操作之修改/跳轉。
在一些實施例中,可要求委託授權機構系統測試某個(某些)特性空間值。當特定的特性空間值不可用於根授權機構系統時,這可能有用。例如,根授權機構系統可希望授權一委託授權機構系統產生修改單個SM啟用裝置(與之相反,例如網路中之所有SM啟用裝置)之某些特性之組態之DSB。在此實施例中,根授權機構系統僅產生單個RSB,而非針對特性經修改之該一或多個SM啟用裝置之各者產生一不同RSB。注意,迫使DSB聯結至單個裝置迫使委託授權機構系統簽名而作出各裝置之一新的DSB一藉此確保藉由委託授權機構系統強加於簽名操作次數的限制有效地限制一委託授權機構可組態之裝置的數目。
作為一實例,SM啟用IC在處理提取自RSB之一SM命令時可將一值(例如,產品晶片ID或一隨機一次性挑戰)寫入至一中間儲存器位置。當SM核心驗證DSB之簽名時,SM核心將中間儲存器之內容併入簽名驗證程序中涉及的密碼編譯雜湊操作中。例如,中間儲存器中之值在計算密碼編譯雜湊時可與DSB命令串接。當SM啟用IC驗證DSB簽名時,若中間儲存器中之值與由委託授權機構系統在產生DSB時所
使用的值並不相同,則所計算的雜湊將不會匹配簽名雜湊且SM核心接著可拒絕DSB。
此外,在一些實施例中,RSB導致SM核心約束或修改可藉由一DSB使用一中間儲存器執行之活動以保存一或多個SM命令。在此實施例中,RSB中之SM命令可導致資料被寫入至中間儲存器中。SM核心接著驗證DSB簽名,且若有效,則SM核心接著將寫入至中間儲存器之資料視為一命令,且執行該資料。例如,中間儲存器中之資料可表示命令「將值64寫入至特性位址X」(例如,其中X可組態射頻)。藉由公式化整個命令,在此實例中RSB僅授權委託授權機構系統以僅將頻率設定為64,且並未設定為任何其他值。在此實施例之一擴展實施例中,RSB可含有容許DSB修改中間儲存器之一有限部分之委託權限,因此授權DSB對命令作出有限變動。例如,若委託者僅被容許改變對應於該頻率之參數之最低有效4個位元,則這將容許委託授權機構系統將該頻率設定為自64至79之任何值。
在一實施例中,SM核心管理用以過濾用於特性及金鑰管理之控制訊息之一安全時間參考。時間參考可維持在SM核心內或可在將時間提供至SM核心之一分離區塊中,在此實例中,一簽名區塊(例如,RSB、DSB)可引導一金鑰輸出或特性調整,但是該簽名區塊僅當時間位於某個時間窗內時方可使用。該簽名區塊包含導致SM核心執行與當前時間值之一直接比較之命令。例如,這可用以防止試驗金鑰或試驗特性在一試驗週期外加載。為增加安全性,可藉由SM特性信號管理並設定時間參考(例如,使得時間可追蹤至一安全伺服器上之時脈)。在此情況下,前述提及的規定RSB之聯結資料可用以要求在與用作簽名授權機構之根授權機構系統或委託授權機構系統現場互動時執行時間設定。替代地,可藉由容許藉由不受信任的軟體調整參考來產生一受信任的時間源,但是其中一追蹤值(在SM核心內或之外)監控
該裝置時間參考是否被調整、斷電或重設,這係因為該時間參考經由與一受信任的時間伺服器之一現場RSB及/或DSB互動而加標籤為有效。
3.1特性管理
特性管理可用以控制是否及以何種方式更新SM啟用IC之組態及其他特性狀態。SM啟用IC之特性狀態可控制SM啟用裝置之能力,例如以下能力:啟用、停用或以其他方式安全地組態特性之操作;基於產品晶片ID組態硬體能力、基於SM啟用IC之地理位置組態硬體位置、組態效能設定、容許或組態某些外部介面的使用、旁通某些操作模式的使用(例如,啟用/停用旁通某些功能操作模式之錯誤排除模式、修補ROM、調整微程式碼等等)、啟用或停用測試模式(例如,控制診斷及除錯模式)、控制一特定模式或特性何時作用(例如,僅在製造程式期間作用);調整由特性使用的參數、調整SM啟用IC之組態、執行查核操作以認證組態或SM核心可存取之其他資訊、對現場裝置安全地執行診斷活動、校準或調諧類比電路以補償程序變動、設定裝置組態資料(例如,對一特定產品中之輸入時脈及所要操作頻率組態一PLL)、基於可適用於一特定產品或區域之法規要求調整無線電之功率及頻率、組態由一內部熱故障執行之限制(熱限制可基於用於不同產品之封裝及冷卻方案而變化)、組態一電池充電電路、啟用SM啟用IC之潛在能力或升級、(例如,藉由提供具有組態狀態之軟體)停用廣告宣傳訊息在SM啟用裝置上的顯示、對SM啟用IC等等上之一CPU之一較高操作效能啟用現場升級),等等,(或其等之組合)。例如,控制診斷及除錯模式(例如,在下次重設之前)可暫時地啟用一除錯特性。此外,在一些實施例中,是否更新特性狀態取決於是否已付費(例如,如藉由記帳報告服務122管理)。
一SM核心(及SM啟用IC)之一例示性架構假定特性組態設定並非
秘密,但是特性設定之變更需要特權(例如,源自根授權機構)。對於秘密金鑰,此外其可被要求保護值的秘密性,因此秘密值可藉由使用在下個章節中更詳細論述之金鑰管理功能性加以處理。數位簽名可用以確保可僅由各授權方執行特性變化(以及金鑰相關操作)。
特性管理可包含將特性變化記錄在一非揮發性記憶體(例如,安全記憶體310)中,啟用僅在下次重設之前作用之特性變化、啟用僅在固定時間週期內(如藉由一時脈循環計時器或一即時時脈量測)有效的特性變化、啟用操作之選擇模式(例如,控制診斷及除錯模式、PLL組態等等)或其等之某個組合。
圖10係用於一SM啟用IC之特性管理之一例示性方法之一流程圖。在步驟1005中,SM啟用IC接收一或多個簽名區塊(例如,一或多個RSB、DSB或其等之一組合)。簽名區塊含有當由SM啟用IC中之SM核心處理時啟用SM核心以更新其管理的特性狀態之更新資訊。資訊可包含(例如)一或多個SM命令、一或多個金鑰或其等之一組合。SM核心使用對應的公開金鑰證實(1015)簽名區塊之數位簽名。例如,若簽名區塊係一RSB,則SM核心使用(例如,儲存於SM啟用IC中之)根授權機構公開金鑰以證實數位簽名。類似地,若簽名區塊係一DSB,則SM核心可使用(例如,來自RSB之)委託授權機構公開金鑰以證實DSB之數位簽名。在替代實施例中,SM啟用IC(或含有該IC之裝置)可接觸根授權機構系統、委託授權機構系統、一第三方伺服器或其等之某個組合以擷取適當的公開金鑰或所需的其他資訊。
若數位元簽名無效,則程序結束(1020)。若數位簽名有效,則SM核心判定(1025)當前權限是否容許所請求的特性更新。在此實施例中,可由安全記憶體310中之SM命令或設定、RSB、DSB或其等之某個組合設定權限。若權限不容許特性更新,則程序結束(1020)。若權限的確容許特性更新,則SM核心判定(1030)是否將SM命令執行為一
持續特性更新。(一持續特性更新係在重設SM啟用IC之後由於(例如)將變化記錄在一非揮發性記憶體中而繼續進行之一特性更新)。若是,則SM核心酌情保存(1035)一SM命令、金鑰值、一特性組態值或其等之一組合以對非揮發性安全記憶體(例如,安全記憶體310)執行持續特性更新,且亦視需要更新(1040)SM核心中之對應的特性狀態。若未將SM命令執行為一持續特性更新,則程序移動至步驟1040,更新由SM核心管理之特性狀態,且程序完成(1045)。
3.2金鑰管理
金鑰管理功能性可用以安全地遞送有效負載,例如秘密金鑰或其他值。目的地可包含對SM啟用IC執行之軟體、硬體區塊或甚至含有SM啟用IC之一裝置之其他部分。SM啟用IC含有若干永久儲存的裝置特定對稱金鑰(基礎金鑰)。基礎金鑰可用以自舉額外金鑰之安全遞送。在接收到含有一有效負載之一簽名區塊之後,SM啟用IC在提取有效負載之前證實區塊之簽名及任何相關聯之權限。當面臨一金鑰管理命令時,SM啟用IC進行一金鑰展開程序,其首先由一基礎金鑰衍生一攜載金鑰,接著使用攜載金鑰以解密該命令中含有或藉由該命令參考之一金鑰,且最後將經解密之金鑰傳遞至另一硬體單元。如上文參考圖3論述,例如,經解密之金鑰可直接或經由一提取器、金鑰介面及子提取器傳遞至硬體單元。金鑰管理命令無須在一安全設施中運行;有效負載可經由不受信任的通信頻道現場遞送至含有SM啟用IC之產品。
在一實施例中,金鑰展開程序使用提供保護以防副通道及故障感應攻擊之一金鑰樹建構。一金鑰樹建構實現由單個開始金鑰產生多個不同的金鑰,且可接著連續地使用所產生的金鑰之各者以產生多個額外的不同金鑰。金鑰展開程序之替代實施例可使用區塊加密(諸如AES)、不對稱演算法(例如,RSA)等等。
圖11係用於產生安全攜載一有效負載之一DSB之一例示性方法之一流程圖。如上文論述,有效負載可包含一秘密金鑰。在步驟1100中,委託授權機構系統接收一基礎金鑰以用於其計算。基礎金鑰可為(例如)一全域基礎金鑰或一晶片特定基礎金鑰。委託授權機構系統可自(例如)IC製造商110、產品廠商125或安全服務120接收基礎金鑰。委託授權機構系統亦可藉由解密或以其他方式處理儲存於產品(例如,用於SM核心之安全記憶體310)中之一值判定基礎金鑰。
在各種實施例中,一全域基礎金鑰可由多個SM啟用IC使用。例如,一全域基礎金鑰可為作為一HW常數提供至SM啟用IC之根授權機構系統金鑰。在其他實施例中,基礎金鑰係裝置特定金鑰,例如程式化於SM核心中之一基礎金鑰。在一些例項中,裝置特定金鑰係部分源於一產品晶片ID。在另一實施例中,委託授權機構系統獲得一混合金鑰或混合金鑰(而非基礎金鑰)之一前驅體。例如,若各晶片具有一唯一的裝置特定裝置金鑰KCHIP,則根授權機構可(例如,經由安全服務120)分配至具有用於各晶片之F(KCHIP,DelegateID)之一表/資料庫之委託授權機構系統,其中F係諸如雜湊之一密碼編譯操作,其容許委託設備使用該晶片之表輸入項作為其混合金鑰(或形成混合金鑰),同時RSB可引導SM核心計算特定委託者的DelegateID之F(KCHIP,DelegateID)以達到相同值。更一般而言,受委託的基礎金鑰可被遞送作為一受委託的金鑰資料庫之部分,且使用為SM核心所知的主要基礎金鑰、為SM核心所知或可遞送至SM核心(例如,在RSB及/或DSB中)之參數值(諸如委託者ID)及一或多個金鑰產生函數而衍生。例如,可使用金鑰途徑、HMAC、雜湊函數或其他金鑰衍生方法衍生混合金鑰。資料庫可含有(例如)每個或多個晶片之一受委託基礎金鑰。一受委託基礎金鑰可由根授權機構系統產生。例如,根授權機構可使用(例如)AES及一系列單向函數由一主金鑰衍生裝置特定基礎金鑰。以
此方式進行衍生及金鑰控制可有助於防止在一第三方不當地管理金鑰時折損較高值金鑰。
在步驟1105(除非早已衍生混合金鑰,例如上文論述之每個替代實施例)中,委託授權機構系統衍生一混合金鑰。委託授權機構系統可藉由對在先前步驟中衍生之金鑰使用一系列一或多個單向函數衍生混合金鑰。例如,可使用金鑰樹操作、HMAC計算、雜湊函數或其他金鑰衍生方法衍生混合金鑰。來自基礎金鑰之額外的抽象程式可有助於保護基礎金鑰免於直接攻擊。
在步驟1110中,委託授權機構系統使用一系列單向函數由混合金鑰衍生一或多個攜載金鑰。步驟1110可涉及對稱密碼編譯、不對稱密碼編譯、單向密碼編譯函數或其等之某個組合。委託授權機構系統接著可藉由(例如)由一主金鑰衍生有效負載金鑰或自一經預計算之資料表擷取有效負載金鑰或經由一網路擷取有效負載金鑰而獲得有效負載金鑰。在一些實施例中,經預計算之表可由發佈金鑰之一第三方(諸如負責發佈用於一特定系統或協定(諸如HDCP、EMV等等)之金鑰之一實體)產生或先前由委託授權機構系統產生。有效負載金鑰可經加密儲存,接著由委託授權機構系統解密作為獲得(1120)有效負載金鑰之程序之部分。
在步驟1130中,委託授權機構系統使用一或多個攜載金鑰加密有效負載金鑰。
在步驟1135中,委託授權機構系統使用經加密之有效負載金鑰及混合金鑰(或另一金鑰)衍生一驗證符。具體言之,驗證符可藉由提供經加密之有效負載金鑰及混合金鑰作為最終輸出係驗證符之一系列一或多個單向函數之輸入而產生。驗證符啟用一SM核心(或潛在地啟用經加密之有效負載金鑰之接受方)以驗證經加密之有效負載金鑰有效且未經修改。
在步驟1140中,委託授權機構系統接收一或多個委託輸入參數(除涉及簽名之其他值以外,其亦可包含SM核心及提取器/子提取器應最終遞送有效負載之位置之一位址)。且在步驟1150中,接著藉由委託授權機構系統使用委託授權機構系統私密金鑰數位簽名委託輸入參數、經加密之有效負載金鑰及驗證符以產生DSB。在步驟1160中,提供DSB。
替代地,在未展示之一些實施例中,省略步驟1135,且因此在步驟1150中,未數位簽名驗證符且未提供DSB之部分(1160)。
圖12係用於藉由SM核心處理包含一有效負載之一或多個簽名區塊之一例示性方法之一流程圖。例如,該一或多個簽名區塊可為(例如,經由圖11之程序產生之)一RSB及一相關聯之DSB。在另一實施例中,有效負載可包含於不具備一DSB之一RSB內。
在步驟1200中,在SM核心處接收一或多個簽名區塊(例如,一或多個RSB、DSB或其等之一組合)。亦可接收額外的未簽名之資料(諸如具有驗證符之一經加密之有效負載)。可同時或在不同時間接收此等元素。
在步驟1210中,SM核心驗證該一或多個簽名區塊之數位簽名,且驗證任何DSB之委託權限有效。驗證程序類似於上文參考圖9A及圖9B描述之程序。若該一或多個簽名區塊之數位簽名無效或委託權限無效,則SM核心拒絕(1215)該一或多個簽名區塊,且程序結束(1250)。然而,若數位簽名及權限有效,則SM核心使用為SM核心所知的一基礎金鑰(例如,全域金鑰或受委託的基礎金鑰)(例如,使用用以產生混合金鑰(參見關於圖11之描述)之相同的演算法)衍生(1220)一混合金鑰。SM核心可接著使用基礎金鑰及用以產生圖11中之一攜載金鑰之相同的演算法衍生(1225)該攜載金鑰。
SM核心自DSB(或自RSB或自未簽名之資料(若RSB或該資料係經
加密之有效負載存在的位置))提取(1230)經加密之有效負載金鑰,且使用經加密之有效負載金鑰衍生(1235)一驗證符且使用用以產生圖11中之攜載金鑰之相同的演算法衍生(1235)混合金鑰。SM核心可接著判定(1240)驗證符是否正確。SM核心藉由比較步驟1235中衍生之驗證符與使用有效負載金鑰接收之驗證符(例如,DSB中)來作出此判定。若該兩個驗證符不匹配,則這係一錯誤(1215)且程序結束(1250)。若驗證符的確匹配,則SM核心使用攜載金鑰解密(1245)經加密之有效負載金鑰,且程序結束(1250)。
替代地,在未展示之一些實施例中,省略步驟1235及1240,且因此可在無須使用驗證符之情況下解密經加密之有效負載金鑰。步驟1235及1240亦可使用驗證一驗證符之其他方法取代(例如,藉由驗證該驗證符而不獨立地計算該驗證符(諸如藉由驗證一RSA、EC-DSA或驗證符中含有之其他數位簽名)取代)。
此外,在一些實施例(未展示)中,經加密之有效負載金鑰並非提取自DSB(1230),反而可(例如)擷取自一RSB(或其他簽名區塊)、一安全記憶體(例如,安全記憶體310)、經由一暫存器I/F(例如,暫存器I/F 358)單獨地提供自簽名區塊,或擷取自SM核心內之一私密記憶體。
3.3查核
可期望在不同時間驗證一SM啟用IC之狀態。例如,查核能力可用以確保一先前特性管理命令適當地應用於一裝置,或驗證一裝置之真實性。例如,若顧客請求退還啟用一特性之一交易,則可期望驗證是否在退還購買價格之前停用該特性。
一般的查核程序可包含自一查核實體接收挑戰。此挑戰可為一隨機參數,且經包含以容許確認回應於一特定請求產生回應。在接收到挑戰之後,SM啟用IC可產生認證,其表明(1)已知一秘密金鑰(例如,查核命令中規定之一基礎金鑰),及(2)已知適當狀態之值或該狀
態之性質(例如,其滿足挑戰中規定之準則)。例如,回應於一查核命令,一例示性SM核心可計算一查核認證值,其係一秘密金鑰之一函數及特性狀態中被查核之位元之一函數。查核計算中包含秘密金鑰防止不知道秘密金鑰之對手偽造查核回應。查核實體最終驗證該回應。狀態查核可使用對稱密碼編譯(諸如訊息鑑認程式碼)及/或公開金鑰密碼編譯(諸如數位簽名)以保護認證。
在一例示性實施例中,查核請求可視需要含有表明命令簽名者亦已知選定的秘密金鑰之一驗證符。例如,若此驗證符匹配一經內部計算之參考,則SM核心可僅產生一查核認證。關於該請求之一驗證符可有助於防止未經授權的一方調用查核命令。
可潛在地查核包含SM核心內部特性之任何特性狀態之值。例如,為使用查核功能性以驗證一先前特性管理命令適當地應用於SM啟用IC,該先前命令可設定指示其成功之一內部位元,接著隨後可查核此位元。若查核實體之目的僅僅係驗證含有一SM核心之一裝置之真實性(但並非其狀態),則該回應中無須併有任何特性狀態。
可使用可用於SM核心之任何金鑰(包含全域金鑰、裝置特定金鑰、由一系列SM啟用IC共用之金鑰或其等之某個組合)執行查核。在使用裝置特定金鑰之實施例中,金鑰之一資料庫可(例如,藉由根授權機構、IC製造商、產品廠商、安全服務等等)用於查核者以促進驗證查核回應(且可能產生查核請求)。
4.組態器及編譯器功能性
在一SM啟用IC之設計程序期間可使用一組態器系統(例如,組態器系統280)。組態器系統在ASIC設計程式期間經操作以追蹤並自動化經SM核心管理之特性空間及金鑰至IC中之特性或其他目的地或使用之映射。圖13A係用於在一SM啟用IC之設計程序期間利用一組態器系統之一例示性方法。在步驟1310中,組態器系統接收組態器輸入資
料。組態器輸入資料可包含一或多個組態器輸入檔、硬體(「HW」)常數或其等之某個組合。
該一或多個組態器輸入檔定義關於一SM啟用IC之所要組態之資訊。例如,此等檔可規定此等事物作為組態值(該等組態值應被遞送至各特性)之名稱及大小(例如,位元數目)、特性位址空間內之組態值之分組及位置、組態值之預設(例如,通電)值、安全金鑰匯流排目的地之名稱及屬性、安全金鑰匯流排屬性(諸如目的地之金鑰大小)、安全記憶體映射屬性(諸如關於安全記憶體310之佈局之資訊)或其等之某個組合。
組態器輸入檔中可含有HW常數或單獨地接收HW常數。至組態器之HW常數輸入之實例可包含(例如)產品晶片ID、來自根授權機構之一或多個金鑰(潛在地包含根授權機構公開金鑰)、來自一委託授權機構之一或多個金鑰、一或多個基礎金鑰、一或多個額外的安全金鑰、錯誤校正資料等等。
在步驟1320中,組態器系統產生IC設計文件。此等IC設計檔可包含一提取器硬體定義、子提取器硬體定義及狀態快取資料(例如,IC組態映射資訊)。在一些實施例中,在步驟1310中可包含先前IC組態映射資訊以及組態器輸入資料以在SM啟用IC設計併有變化時最小化現有電路設計佈局之修改。在此情況下,組態器嘗試識別以影響最小的方式以作出所請求的變化。例如,若特性位址空間中插入一新值,則這可包含使用先前映射以識別先前未經使用之位置以便插入(例如,相對於再產生用於現有值之位置)。同樣地,若自特性位址空間移除一值,則相對於再定位剩餘特性,組態器可使用先前映射資訊以保留一間隙。
例如當晶片設計待備妥用於大規模製造時,則鎖定(步驟1330)該晶片設計。此時,影響用於製造之遮罩集之組態器輸出可能不再變
化。圖13B係在晶片設計致力於製造之後可如何利用晶組態器之一例示性程序之一流程圖。
在步驟1340中,組態器系統接收組態器操作輸入資料。組態器操作輸入資料可包含圖13A中產生之IC組態映射以及(例如,一操作SM組態檔中之)額外的資料。操作SM組態檔可描述(例如)關於可如何使用與一特定SM啟用IC相關聯之特性及金鑰之策略、命名慣例之變化、安全記憶體310之SM核心的使用之佈局及組態慣例及內部特性至特性位址之映射。
在步驟1350中,組態器系統在內部產生操作組態映射。因為可晚於圖13A中之步驟執行圖13B中之步驟,所以與可在圖13A期間製備之特性位址範圍之映射相比,產生於步驟1350處之映射可為一更廣泛且更新的映射,但是圖13B中之程序大體上必須假定不能改變來自圖13A且實際上影響晶片硬體之輸出。
在步驟1360中,組態器系統由其操作組態映射產生映射檔。此等映射檔包含一或多個命令映射檔及一或多個韌體映射檔。命令映射檔係(例如)用以將命令映射為可為一SM核心所瞭解之一形式之檔。例如,若根授權機構系統希望將一特定組態值輸送至一給定特性,則此檔可有助於根授權機構系統識別對應於該組態值及特性之特性空間位址。韌體映射檔係含有軟體開發所需的定義及結構之檔(例如,C或C++標頭及原始檔案等等)。在一些實施例中,步驟1340中可包含操作組態映射以及組態器操作輸入資料以在操作輸入資料併有額外變化時最小化現有操作設計之修改。
替代地,在一些實施例中,組態器系統產生文件檔。文件檔提供SM啟用IC設計之概述,諸如特性空間及相關聯之位址中之指派名稱之清單、發送至各特性之組態值之清單、關於所支援之金鑰之資訊、對特性位址空間中之值之預設值等等。此外,文件檔可包含用於
設計軟體組件之環境及建構原理。文件檔可以諸如XML、HTML、文本、PDF、WORD等等之格式輸出。
5.操作生態系統
5.1安全記憶體命令分段及通電程式
在一例示性實施例中,一命令分段區域駐留在係一SM啟用IC之部分之一安全記憶體310中。此區域保存在每次重設時由SM啟用IC執行之SM命令。所儲存的SM命令係以分段組織,且可用以在特性空間及其中在每次重設時可期望SM啟用IC執行一命令(例如,遞送諸如一韌體解密金鑰之一金鑰)及/或持續地載送SM啟用IC內之組態操作之其他情況下實現之值之持續設定。
安全記憶體通常係持續的,且在一些實施例(諸如使用一次性可程式化記憶體之實施例)中無法容易地覆寫,從而可能必需多種措施來改良穩定性。一種可能的故障係「斷裂」,其係寫入程式期間歸因於(例如)電力故障而產生的中斷。在未來重設時,可期望一中斷命令分段寫入不能呈現不可使用的SM啟用IC。另一種可能的故障係歸因於(例如)矽降解或外部條件而破壞儲存於安全記憶體中之資料。再者,可期望影響最小且單個破壞事件應不可能演現不可使用的SM啟用IC。亦可期望安全記憶體的破壞(例如,作為攻擊之部分)不能實現避免藉由SM核心對SM啟用IC操作執行之任何約束。
SM命令可含有控制其中一SM核心寫入至一安全記憶體之方式之資訊。例如,可能存在一防斷裂旗標(防斷裂模式)或一錯誤恢復旗標(錯誤恢復模式)或一組合。
當防斷裂模式作用時,一例示性SM核心在開始寫入一命令分段(或其他寫入操作)之程序時將一「跳轉字」寫入至安全記憶體。若寫入未完成,則跳轉字導致SM核心在隨後重設時辨識寫入未完成(例如,因此其可跳轉含有部分寫入之資料之區域)。在寫入跳轉字之
後,SM核心可寫入有效負載(例如,主命令分段內容),且接著(例如,藉由將該字中之所有位元設定為值1)消除跳轉字。當未使用防斷裂模式時,SM啟用IC未寫入一跳轉字,從而保存安全記憶體之一字,但是這意謂若寫入未完成,則SM核心在隨後重設時可暫存一嚴重的故障。(一嚴重的故障可導致SM核心(例如,由於進行正常操作可能折損安全性)進入SM啟用IC進入之一功能性減小的狀態)。當消除跳轉字時,該分段變為強制性且將在每次隨後重設時被使用(即,在消除跳轉字之後,SM啟用IC在其面臨讀取該分段之一不可校正問題時將會增強一嚴重故障)。是否使用一防斷裂模式之選擇可取決於程式化環境,例如停用防斷裂模式之改良效率在一受控制的工廠環境中可能係較佳的,而防斷裂性可能強制進行現場寫入。
對於錯誤恢復模式,SM啟用IC設定命令分段標頭中之一旗標,該旗標指示:若自安全記憶體中讀取分段存在問題,則其可接受省略命令分段。例如,可能在啟用SM啟用IC之能力之一分段上設定錯誤恢復旗標。若SM啟用IC跳轉該分段,則因為其不能自安全記憶體讀取,同時SM啟用IC之能力可能低於適當地讀取並處理該分段時SM啟用IC之能力,所以未產生任何安全風險。
SM啟用IC可不容許對寫入至安全記憶體之任何給定分段(或其他資料值)規定防斷裂旗標及錯誤恢復旗標、容許對寫入至安全記憶體之任何給定分段(或其他資料值)規定防斷裂旗標及錯誤恢復旗標之一者或二者。SM啟用IC亦可需要使用一特定模式組合以全部寫入至安全記憶體。
在重設之後,SM核心如藉由儲存於其安全記憶體(例如,安全記憶體310)中之命令分段引導般自動地初始化特性及金鑰狀態。圖14係用於初始化一SM啟用IC之一例示性方法之一流程圖。
在步驟1405中,給SM啟用IC通電或重設SM啟用IC。作為此步驟
之部分,可重設SM核心。SM核心接著擷取(1410)與SM啟用IC及一完整性核對值相關聯之一產品晶片ID。(完整性核對值可為與(例如)一同位核對、漢民碼等等相關聯之一值)。SM啟用IC執行一完整性核對(1415)以判定是否發生一完整性錯誤(例如,產品晶片ID或完整性核對值被破壞)。若發生一完整性錯誤,則報告(1420)該錯誤,中止(1445)程序,且SM核心可進入一「嚴重故障」狀態。若未發生完整性錯誤,則SM核心自安全記憶體擷取(1425)一命令分段。
SM核心按一可預測順序處理安全記憶體中含有的命令分段。例如,分段可連續地位於安全記憶體中,或各分段可含有待處理之下一個分段之記憶體位址。在一些情況下,一錯誤(1430)可導致SM啟用IC不能可靠地判定待處理之下一個命令分段之位置,在該情況下該核心可嘗試使用一回落機制定位下一個分段(例如,搜尋一已知標頭值),或將此視為一嚴重的故障。若未發生一錯誤,則SM核心執行(1435)命令分段中之命令。SM核心接著判定(1440)是否仍保持執行任何額外的命令分段。若是,則流程移動至步驟1425。
若未保留命令分段,則SM核心通知(1455)系統外部(例如,處理器355、SM啟用IC之特性或其他部分或併有SM啟用IC之裝置):初始特性狀態已備妥。此通知可由SM啟用IC使用以藉由(例如)保存唯重設中的SM核心以外的SM啟用IC之所有部分按次序啟動晶片之其他部分,以確保來自SM核心之必要值已在其他組件需要其等之前而備妥。程序接著結束(步驟1460)。
返回參考步驟1430,若發生一錯誤,則SM啟用IC判定是否可允許跳轉至下一個命令分段(1445)。例如,命令分段之標頭可含有一跳轉字或一錯誤恢復旗標,其等命令SM核心跳轉有問題的命令分段。若可允許跳轉有問題的命令分段,則SM啟用IC可(例如,藉由保存錯誤資訊以供隨後分析)報告非致命錯誤(1450),且移動至步驟1440。若
SM啟用IC判定不允許跳轉有問題的命令分段,則報告(1420)一更為嚴重的錯誤,且中止程序1445。
SM核心可在(例如)圖14中描述之初始化程序之前、期間或之後初始化基礎金鑰。為最大化效能及靈活性,SM核心可僅初始化在開機期間執行命令分段所必需的基礎金鑰,接著在釋放SM啟用IC之剩餘部分以使其啟動之後初始化剩餘的基礎金鑰。
在一些實施例中,可由根授權機構系統修復安全記憶體中之錯誤(例如,記憶體完整性錯誤)。該等錯誤可(例如)藉由一先前RSB或一DSB寫入。根授權機構系統可發送含有容許SM啟用IC跳轉導致錯誤之命令分段之一撤銷命令之一RSB。此外,RSB可含有更換或校正錯誤命令分段之額外的SM命令。此外,在一些實施例中,若安全記憶體中之錯誤資料係藉由來自一委託授權機構系統之一DSB寫入,則一不同的委託授權機構系統可發送含有容許SM啟用IC跳轉導致錯誤之命令分段之一撤銷命令之一DSB。此外,DSB可含有執行先前藉由錯誤命令分段處置之任務之額外的SM命令。
5.2個性化
個性化指代在製造期間將金鑰(例如,裝置特有)及資料(例如,命令分段)程式化於一SM啟用IC中。經個性化之秘密金鑰可用於金鑰管理及查核功能性。程式化於一SM啟用IC中之第一值之一者可為一產品晶片ID。
金鑰資訊可被儲存作為分拆金鑰。在初始化期間,SM核心由(例如)分拆金鑰、接線對照表中含有之資訊或其二者重新建構裝置金鑰。例如,在晶圓測試時可將一P1分拆金鑰程式化為裝置中程式化之第一分拆金鑰。在封裝晶粒測試時可程式化一P2分拆金鑰。P1分拆金鑰與P2分拆金鑰可由SM核心組合以形成一基礎金鑰。組合函數可經選取使得對P1分拆金鑰或P2分拆金鑰(但並非其二者)的瞭解不足以判
定基礎金鑰。此外,在裝置組裝及測試期間可儲存一或多個額外的分拆金鑰且可由SM核心使用一或多個額外的分拆金鑰以判定額外的基礎金鑰。例如,作為其製造程式之部分,一產品製造商可希望儲存不為IC供應商或IC製造商所知的金鑰。除個性化資料以外,亦可使用唯一的產品晶片ID、製造追蹤/日期資訊、批量ID、晶圓ID、產品類型、裝置歷史資料及各種其他資訊程式化SM啟用IC。
圖15以方塊圖形式圖解說明一例示性個性化程式。在步驟1510中,委託授權機構系統獲取程式化於SM啟用IC中之資訊。該資訊可包含(例如)一或多個基礎金鑰、一或多個分拆金鑰(例如,P1、P2等等)、一產品晶片ID或其等之某個組合。待程式化之資訊可獲取自耦合至委託授權機構系統之一安全儲存器或一安全裝置(例如,智慧型卡或一HSM)。
在步驟1520中,委託授權機構系統將含有適當的記憶體寫入命令之一DSB傳送至一裝置測試器。可加密被傳送之資訊。裝置測試器將DSB(及其隨附RSB)傳送至SM啟用IC,其中DSB藉由SM核心接收、驗證及(若有效)執行以程式化記憶體。
在步驟1530中,委託授權機構系統可使用指示成功地個性化該一或多個SM啟用IC之資訊更新一查核日誌,且程序結束(1540)。如先前描述,接著可將此等查核日誌傳送至一安全服務120。
此外,至SM啟用IC之任何金鑰輸入可呈未經加密或加密形式。SM啟用IC及/或SM核心可支援經加密之金鑰傳送之一或多個機制以便個性化。例如,SM核心可使用一先前程式化之金鑰(例如,來自根授權機構之一或多個金鑰、來自委託授權機構之一或多個金鑰、嵌入矽中之一或多個基礎金鑰、一或多個額外的安全金鑰等等)以解密待程式化之資料。此外,SM核心可容許使用不對稱加密交換或產生一會話金鑰,(例如)以產生一共用金鑰,其中一委託授權機構系統可在該
共用金鑰傳送至SM啟用IC之前使用該共用金鑰以加密一個人性金鑰。會話金鑰由SM核心使用以解密待程式化之金鑰。在一些實施例中,此協定可藉由組合會話金鑰與可用於SM核心之額外的對稱金鑰值加以擴展以(例如)在SM核心與個性化中涉及之一外部裝置(例如,委託授權機構系統)之間提供相互鑑認。
可對各個性化步驟獨立地選取金鑰傳送機制之任一者。此外,SM啟用IC無須強加約束其中個性化金鑰之順序,從而容許對不同的應用或顧客按不同的次序個性化產自相同的原始遮罩集之晶片。
即使在執行任何個性化之前,委託授權機構系統亦能夠產生更新(例如,用於測試之)特性狀態之DSB。在一實施例中,SM核心產生發送至委託授權機構系統之一隨機挑戰值。委託授權機構系統產生並發送限於挑戰值並按需要非持續地執行特性管理、金鑰管理或其二者之一DSB。例如,在下次重設SM啟用IC之前,委託授權機構系統可一直啟用SM啟用IC之一或多個特性。因此,容許測試SM啟用裝置之操作。因此,即使一晶片的安全記憶體被完全破壞或未經程式化,亦仍可執行安全操作。
5.3現場更新SM啟用裝置之特性狀態
SM啟用裝置的使用者能夠請求更新特性狀態。授權此等變化之訊息(例如,RSB/DSB)可為晶片特有或以其他方式受限,使得其等可經由不受信任的通道(諸如網際網路)安全地發送。批發商、系統運營商、裝置廠商及裝置製造商亦可請求命令以更新SM啟用IC中之特性。在一些情形下,獨立於將特性更新傳達至SM啟用裝置之方法傳送該請求。例如,可預計算提供一定特性能力之解鎖之一系列訊息,其中各訊息係針對一不同特定產品晶片ID而加以公式化。此經預計算之清單可由並未直接連接根授權機構系統或委託授權機構系統之一伺服器儲存。可酌情(諸如在接收到付費之後)將預計算清單中之輸入項
釋放至SM啟用裝置。
圖16係用於授權對一SM啟用IC進行特性更新之請求之一例示性方法之一流程圖,其中由委託授權機構系統(例如,委託授權機構系統222)授權更新。
在步驟1600中,委託授權機構系統接收更新與一SM啟用IC相關聯之特性狀態之一請求。該請求可為經由一網路進行之一訊息、經由一網站入口接收之一命令、一電話請求、一SMS訊息等等。此外,在一些實施例中,該請求可源於從屬於處置該請求之委託授權機構系統之一子系統。(例如,附屬機構可藉由確認一使用者資料庫中之一憑證或付費鑑認該請求,接著將已認同的請求轉發至主委託授權機構系統)。
在步驟1610中,委託授權機構系統判定是否授權此請求。例如,委託授權機構系統可針對資訊或輔助而接觸一第三方(例如,記帳報告服務122或安全服務120)。若未認同該請求,則委託授權機構系統向使用者報告(1620)授權失敗且程序結束(1660)。例如,委託授權機構系統可將指示授權失敗及失敗原因之一封電子郵件發送至使用者。
若認同授權請求,則委託授權機構系統獲取(1630)一RSB。該RSB可擷取自根授權機構系統或安全服務,或若先前已接收,則該RSB可擷取自委託授權機構系統內部(或以其他方式與委託授權機構系統相關聯之)儲存器。
委託授權機構系統接著產生(1640)一DSB。例如,可使用上文參考圖8、圖9A、圖9B及圖11描述之程序或程序部分產生DSB。
委託授權機構系統提供(1650)DSB且程序結束(1660)。例如,委託授權機構系統可經由一網路(例如,蜂巢式或網際網路)將DSB傳輸至使用者的SM啟用裝置。或在一些實施例中,委託授權機構系統使
DSB可(例如,藉由發佈在一安全網頁上)供使用者下載。
圖17係用於授權對一SM啟用IC進行特性更新之一請求之一例示性方法之一流程圖,其中由根授權機構系統(例如,根授權機構系統217)授權更新。
在步驟1710中,根授權機構系統接收更新與一SM啟用IC相關聯之特性狀態之一請求。該請求可為經由一網路進行之一訊息、一封電子郵件、經由一網站入口接收之一命令、一電話請求、一SMS訊息等等。此外,在一些實施例中,該請求可源於從屬於處置該請求之委託授權機構系統之一子系統。(例如,附屬機構可藉由確認一使用者資料庫中之一憑證或付費鑑認該請求,接著將已認同的請求轉發至主委託授權機構系統)。該請求可源於一委託授權機構系統。
在步驟1720中,根授權機構系統判定是否授權此請求(例如,其可針對資訊或輔助而接觸一第三方。若未認同該請求,則根授權機構系統報告(1730)授權失敗且程序結束(1760)。
若認同授權請求,則根授權機構系統產生(1740)一RSB。在此實施例中,RSB含有引導SM核心以更新其特性狀態之資訊。例如,可使用上文參考圖5或圖7描述之程序產生RSB。
根授權機構系統接著提供(1750)RSB且程序結束(1760)。
現在將論述本發明之各種實施例之實例。
根據實例#1,一種方法可包括:藉由一積體電路之一安全管理器接收根簽名區塊;藉由該安全管理器使用一秘密金鑰驗證與該根簽名區塊相關聯之一簽名;藉由該安全管理器自該根簽名區塊提取一命令;藉由該安全管理器執行所提取的命令,其中該所執行的命令涉及積體電路之操作。
根據實例#2,一種方法可包括:藉由一積體電路之一安全管理器接收一委託簽名區塊;識別該安全管理器、委託權限及與一委託授
權機構系統相關聯之一金鑰;藉由該安全管理器使用與該委託授權機構系統相關聯之金鑰驗證與該委託簽名區塊相關聯之一簽名;藉由該安全管理器自該委託簽名區塊提取一命令;藉由該安全管理器驗證使用委託權限允許所提取的命令;及藉由該安全管理器執行所提取的命令,其中該所執行的命令涉及積體電路之操作。
根據實例#3,一種方法可包括:藉由一積體電路之一安全管理器接收更新該積體電路之複數個特性之一特性之一狀態之一命令;藉由該安全管理器判定該特性之狀態之一更新是否持續;且若更新持續,則將該命令保存至記憶體,且執行該命令以更新該特性之狀態。在一實施例中,根據包括一時間相關因數或該積體電路之一特性或一裝置之一特性之一或多個因數更新該特性之狀態。
根據實例#4,一種方法可包括:藉由一積體電路之一安全管理器接收涉及該積體電路之一特性之一狀態之一挑戰,該挑戰係接收自一查核系統;回應於該調整,藉由該安全管理器依據一秘密金鑰及該特性之狀態計算一查核認證值;及將該查核認證值提供至該查核系統。
根據實例#5,一種方法可包括:接收包含一組態器輸入檔及硬體常數之一組態器輸入資料;及使用該輸入資料產生積體電路設計檔,其中該等積體電路設計檔包含一提取器硬體定義、一或多個子提取器硬體定義及一狀態快取。
根據實例#6,一種方法可包括:接收定義一積體電路之特性及金鑰之策略之組態器操作輸入資料;使用該組態器操作輸入資料產生該積體電路之一操作組態映射;及由該操作組態映射產生映射檔。
根據實例#7,一種方法可包括:當通電或重設一積體電路時,藉由該積體電路之一安全管理器擷取一完整性核對值;藉由該安全管理器憑藉處理一安全記憶體中之命令分段執行一完整性核對;及基於
該完整性核對值判定該等命令分段之任一者是否具有一完整性錯誤。
根據實例#8,一種方法可包括:藉由一積體電路之一安全管理器追蹤接收自實體之命令;使該等命令與對應的實體相關聯;及基於接收自一各自實體的命令對該等實體之各者記帳。
在本發明中,一「電腦」可包含一或多個處理器、一記憶體、一資料介面、一硬體安全模組、一顯示器或其等之某個組合。處理器可為單個或多個微處理器、場可程式化閘陣列(FPGA)元件或能夠執行特定的指令集之數位元信號處理器(DSP)。可使用電腦可讀指令植入由電腦執行之方法之一些,電腦可讀指令可儲存於一有形非暫時性電腦可讀媒體(諸如軟碟、硬碟、光碟-唯讀記憶體(CD-ROM)及磁光碟(MO)、數位多功能光碟-唯讀記憶體(DVD-ROM)、數位多功能光碟-隨機存取記憶體(DVD RAM)或半導體(例如,ROM或快閃)記憶體)上。替代地,該等方法之一些可實施於硬體組件或硬體與軟體之組合(諸如(例如)ASIC、專用電腦或通用電腦)中。一些實施例可不僅實施於一積體電路內,而且亦可實施於電腦可讀媒體內。例如,此等設計可儲存於與用於設計積體電路之一軟體設計工具相關聯之電腦可讀媒體上及/或嵌入電腦可讀媒體內。實例包含VHSIC硬體描述語言(VHDL)接線對照表、Verilog暫存器傳送級(RTL)接線對照表及電晶體級(例如,SPICE或SPICE相關檔)接線對照表。注意,此等接線對照表可加以合成且可能係可合成的。電腦可讀媒體亦包含具有諸如一GDS-II檔之佈局資訊之媒體。此外,可在一模擬環境中使用網路表檔或積體電路設計之其他電腦可讀媒體以執行上文描述之設計之方法。
可對所述實施例作出某些調適及修改。因此,上文論述之實施例被視為闡釋性且非限制性。本申請案之實施例並不限於任何特定作業系統、行動裝置架構、伺服器架構或電腦程式化語言。
300‧‧‧系統
305‧‧‧安全管理核心
310‧‧‧安全記憶體
315‧‧‧對象包裝程序
320‧‧‧提取器
325‧‧‧特性
330‧‧‧特性
335‧‧‧特性
340‧‧‧子提取器
345‧‧‧子提取器
350‧‧‧子提取器
355‧‧‧處理器
358‧‧‧暫存器介面
360‧‧‧匯流排
365‧‧‧測試器介面
370‧‧‧主機記憶體
375‧‧‧提取器介面
376‧‧‧金鑰介面
377‧‧‧組態值介面
Claims (29)
- 一種方法,其包括:藉由一積體電路之一安全管理器接收一數位簽名命令;藉由該安全管理器自該積體電路之一安全記憶體獲得一秘密金鑰;藉由該安全管理器使用該秘密金鑰驗證與該命令相關聯之一簽名;及藉由該安全管理器執行該命令以組態該積體電路之操作。
- 如請求項1之方法,其中執行該命令包括:更新該積體電路之複數個特性之一特性之一狀態,其中更新該特性之該狀態導致以下至少一者:鎖定該特性、解鎖該特性或組態該特性。
- 如請求項2之方法,其中該特性之該狀態之一更新係持續或非持續的。
- 如請求項1之方法,其中執行該命令包括:將一或多個金鑰遞送至該積體電路之一或多個組件,其中該等金鑰涉及以下至少一者:該等組件之加密操作、該等組件之數位權利管理操作、該等組件之密碼管理操作或該等組件之鑑認操作。
- 如請求項1之方法,其中執行該命令包括:識別一或多個硬體常數並將該等硬體常數儲存在指定的儲存器中,該等硬體常數包括以下至少一者:一產品晶片識別符、一或多個安全金鑰、一或多個基礎金鑰或錯誤校正資料。
- 如請求項1之方法,其中該命令係由一根授權機構簽名,且該秘密金鑰係該根授權機構之一公開金鑰。
- 如請求項1之方法,其中該命令係由一委託授權機構簽名。
- 如請求項7之方法,其中驗證與該命令相關聯之該簽名包括:自由一根授權機構簽名之一根簽名區塊獲得該委託授權機構之委託權限及一公開金鑰;使用該委託授權機構之該公開金鑰判定與該命令相關聯之該簽名是否有效;及使用該等委託權限判定允許該命令。
- 如請求項1之方法,其中該命令與一加密有效負載相關聯,該方法進一步包括:使用可存取至該安全管理器之一基礎金鑰衍生一混合金鑰;使用該混合金鑰衍生一攜載金鑰;使用該攜載金鑰解密該加密有效負載;及將該解密有效負載遞送至一特性。
- 一種積體電路,其包括:一安全記憶體,其儲存一秘密金鑰;一安全管理器(SM)核心,其耦合至該安全記憶體,以:接收一數位簽名命令;使用該秘密金鑰驗證與該命令相關聯之一簽名;及使用該命令組態該積體電路之操作。
- 如請求項10之積體電路,其進一步包括:可由該SM核心組態之複數個特性。
- 如請求項11之積體電路,其進一步包括:耦合至該SM核心之一提取器;及耦合至該提取器之複數個子提取器,其中該複數個子提取器之各者亦耦合至該複數個特性之一者。
- 如請求項11之積體電路,其中該SM核心包括: 一加解密模組,其驗證該命令之該簽名;一執行引擎模組,其執行該命令;一通信模組,其促進該SM核心與該積體電路之組件之間的通信;及一資料儲存模組,其管理該SM核心之內部儲存器並介接該安全記憶體。
- 一種方法,其包括:藉由一根授權機構系統接收識別影響一積體電路之操作之一命令之資料;藉由該根授權機構系統使用一根授權機構金鑰簽名該命令以產生一根簽名區塊(RSB);及將該RSB提供至該積體電路之一安全管理器。
- 如請求項14之方法,其中該RSB係經由該積體電路之一測試器介面提供至該安全管理器。
- 如請求項14之方法,其中該命令指示該安全管理器更新該積體電路之一特性,其中該特性之一更新係持續或非持續的。
- 如請求項14之方法,其中該命令將一或多個金鑰遞送至該積體電路之組件,其中該等金鑰涉及以下至少一者:該等組件之加密操作、該等組件之數位權利管理操作、該等組件之密碼管理操作或該等組件之鑑認操作。
- 如請求項14之方法,其中該命令將一或多個硬體常數儲存在該積體電路內,該等硬體常數包括以下至少一者:一產品晶片識別符、一或多個安全金鑰、一或多個基礎金鑰或錯誤校正資料。
- 一種方法,其包括:藉由一根授權機構系統接收指示影響一積體電路之操作之一 命令之輸入參數;藉由該根授權機構系統產生包括該命令及與一委託授權機構系統相關聯之委託權限之一根簽名區塊(RSB),該RSB係由該根授權機構系統簽名;及將該RSB提供至該積體電路之一安全管理器。
- 如請求項19之方法,其中該等委託權限定義超過該安全管理器之該委託授權機構系統之管理能力。
- 如請求項19之方法,其中該RSB進一步包括與該委託授權機構系統相關聯之一公開金鑰。
- 如請求項19之方法,其中該RSB進一步包括與該命令相關聯之一命令範本。
- 如請求項19之方法,其中該RSB進一步包括對一委託授權機構簽名之一或多個要求。
- 如請求項19之方法,其進一步包括將該RSB遞送至該委託授權機構系統。
- 一種方法,其包括:藉由一委託授權機構系統接收包含影響一積體電路之操作之一命令之輸入參數;藉由該委託授權機構系統簽名該等委託輸入參數以產生一委託簽名區塊(DSB);及將該DSB提供至該積體電路之一安全管理器。
- 如請求項25之方法,其中該等輸入參數被接收作為由一根授權機構系統提供之一根簽名區塊(RSB)之部分。
- 如請求項26之方法,其中該DSB與該RSB相關聯,該RSB提供至該安全管理器。
- 如請求項26之方法,其中該RSB包括以下一或多者:與該委託授 權機構系統相關聯之委託權限、與該委託授權機構系統相關聯之一公開金鑰、與該命令相關聯之一命令範本或對一委託授權機構簽名之要求。
- 如請求項28之方法,其中該等委託權限定義超過該安全管理器之該委託授權機構系統之管理能力。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201261682001P | 2012-08-10 | 2012-08-10 | |
| US61/682,001 | 2012-08-10 | ||
| US13/831,545 | 2013-03-14 | ||
| US13/831,545 US10771448B2 (en) | 2012-08-10 | 2013-03-14 | Secure feature and key management in integrated circuits |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201415286A true TW201415286A (zh) | 2014-04-16 |
| TWI621031B TWI621031B (zh) | 2018-04-11 |
Family
ID=50066202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102128695A TWI621031B (zh) | 2012-08-10 | 2013-08-09 | 積體電路中之安全特性及金鑰管理 |
Country Status (7)
| Country | Link |
|---|---|
| US (5) | US10771448B2 (zh) |
| EP (1) | EP2907262B1 (zh) |
| JP (1) | JP6427099B2 (zh) |
| KR (4) | KR102230834B1 (zh) |
| CN (1) | CN104541474B (zh) |
| TW (1) | TWI621031B (zh) |
| WO (1) | WO2014026095A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11126753B2 (en) | 2016-11-15 | 2021-09-21 | Huawei Technologies Co., Ltd. | Secure processor chip and terminal device |
| TWI783590B (zh) * | 2021-05-08 | 2022-11-11 | 瑞昱半導體股份有限公司 | 晶片驗證系統及其驗證方法 |
| US11595371B2 (en) | 2016-08-01 | 2023-02-28 | Data I/O Corporation | Device programming with system generation |
| TWI809026B (zh) * | 2018-01-09 | 2023-07-21 | 美商高通公司 | 用於在一加密系統中管理密碼密鑰之一集合的積體電路(ic)系統、用於一積體電路(ic)系統之方法及非暫時性電腦可讀媒體 |
| TWI817930B (zh) * | 2016-08-01 | 2023-10-11 | 美商數據輸出入公司 | 具有裝置認證的裝置編程系統 |
| US11789874B2 (en) | 2018-01-09 | 2023-10-17 | Qualcomm Incorporated | Method, apparatus, and system for storing memory encryption realm key IDs |
Families Citing this family (112)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9231758B2 (en) * | 2009-11-16 | 2016-01-05 | Arm Technologies Israel Ltd. | System, device, and method of provisioning cryptographic data to electronic devices |
| US9015469B2 (en) | 2011-07-28 | 2015-04-21 | Cloudflare, Inc. | Supporting secure sessions in a cloud-based proxy service |
| US9607142B2 (en) * | 2011-09-09 | 2017-03-28 | International Business Machines Corporation | Context aware recertification |
| US8782774B1 (en) * | 2013-03-07 | 2014-07-15 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US10120350B2 (en) * | 2013-03-11 | 2018-11-06 | Fisher-Rosemount Systems, Inc. | Background collection of diagnostic data from field instrumentation devices |
| US9396320B2 (en) | 2013-03-22 | 2016-07-19 | Nok Nok Labs, Inc. | System and method for non-intrusive, privacy-preserving authentication |
| US9887983B2 (en) * | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9961077B2 (en) | 2013-05-30 | 2018-05-01 | Nok Nok Labs, Inc. | System and method for biometric authentication with device attestation |
| US9401802B2 (en) * | 2013-07-31 | 2016-07-26 | Fairchild Semiconductor Corporation | Side channel power attack defense with pseudo random clock operation |
| US9542558B2 (en) * | 2014-03-12 | 2017-01-10 | Apple Inc. | Secure factory data generation and restoration |
| US9942049B2 (en) * | 2014-04-04 | 2018-04-10 | Qualcomm Incorporated | Remote station and method for re-enabling a disabled debug capability in a system-on-a-chip device |
| US8966267B1 (en) | 2014-04-08 | 2015-02-24 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US8996873B1 (en) | 2014-04-08 | 2015-03-31 | Cloudflare, Inc. | Secure session capability using public-key cryptography without access to the private key |
| US9768957B2 (en) * | 2014-04-23 | 2017-09-19 | Cryptography Research, Inc. | Generation and management of multiple base keys based on a device generated key |
| US9577999B1 (en) | 2014-05-02 | 2017-02-21 | Nok Nok Labs, Inc. | Enhanced security for registration of authentication devices |
| US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| US9413533B1 (en) | 2014-05-02 | 2016-08-09 | Nok Nok Labs, Inc. | System and method for authorizing a new authenticator |
| US9397828B1 (en) | 2014-05-13 | 2016-07-19 | Google Inc. | Embedding keys in hardware |
| US20150331043A1 (en) * | 2014-05-15 | 2015-11-19 | Manoj R. Sastry | System-on-chip secure debug |
| US9721121B2 (en) * | 2014-06-16 | 2017-08-01 | Green Hills Software, Inc. | Out-of-band spy detection and prevention for portable wireless systems |
| US20150381368A1 (en) * | 2014-06-27 | 2015-12-31 | William A. Stevens, Jr. | Technologies for secure offline activation of hardware features |
| US9455979B2 (en) | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
| US9875347B2 (en) | 2014-07-31 | 2018-01-23 | Nok Nok Labs, Inc. | System and method for performing authentication using data analytics |
| US9749131B2 (en) | 2014-07-31 | 2017-08-29 | Nok Nok Labs, Inc. | System and method for implementing a one-time-password using asymmetric cryptography |
| US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
| US10185669B2 (en) | 2014-08-04 | 2019-01-22 | Oracle International Corporation | Secure key derivation functions |
| US9736154B2 (en) | 2014-09-16 | 2017-08-15 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
| KR102407066B1 (ko) * | 2014-09-17 | 2022-06-08 | 크라이프토그라피 리서치, 인코포레이티드 | 집적 회로를 위한 상이한 엔티티들의 특권들의 관리 |
| US9705501B2 (en) * | 2014-10-01 | 2017-07-11 | Maxim Integrated Products, Inc. | Systems and methods for enhancing confidentiality via logic gate encryption |
| US9866548B2 (en) | 2014-12-17 | 2018-01-09 | Quanta Computer Inc. | Authentication-free configuration for service controllers |
| US9618566B2 (en) | 2015-02-12 | 2017-04-11 | Globalfoundries Inc. | Systems and methods to prevent incorporation of a used integrated circuit chip into a product |
| US9930050B2 (en) * | 2015-04-01 | 2018-03-27 | Hand Held Products, Inc. | Device management proxy for secure devices |
| KR101655890B1 (ko) * | 2015-04-08 | 2016-09-08 | (주)세이퍼존 | 배드 유에스비 방지를 위한 보안 유에스비 장치의 펌웨어 설치 방법 |
| CN106664559B (zh) * | 2015-05-27 | 2019-11-29 | 华为技术有限公司 | 无线通信网络中设备配置的方法、装置及系统 |
| FR3038757B1 (fr) * | 2015-07-07 | 2017-08-11 | Univ Montpellier | Systeme et procede d'authentification et de licence ip |
| US10642962B2 (en) | 2015-07-28 | 2020-05-05 | Western Digital Technologies, Inc. | Licensable function for securing stored data |
| ITUB20152708A1 (it) * | 2015-07-31 | 2017-01-31 | St Microelectronics Srl | Procedimento per operare una crittografia con mascheratura di dati sensibili, apparato di crittografia e prodotto informatico corrispondente |
| DE102015217724A1 (de) * | 2015-09-16 | 2017-03-16 | Siemens Aktiengesellschaft | Vorrichtung und Verfahren zum Erstellen einer asymmetrischen Prüfsumme |
| EP3147830B1 (en) * | 2015-09-23 | 2020-11-18 | Nxp B.V. | Protecting an integrated circuit |
| US9996711B2 (en) * | 2015-10-30 | 2018-06-12 | Intel Corporation | Asset protection of integrated circuits during transport |
| EP3384423B1 (en) * | 2015-12-02 | 2022-08-10 | Cryptography Research, Inc. | Device with multiple roots of trust |
| EP3391584B1 (en) | 2015-12-16 | 2020-11-04 | Cryptography Research, Inc. | Cryptographic management of lifecycle states |
| WO2017125144A1 (en) * | 2016-01-20 | 2017-07-27 | Renesas Electronics Europe Gmbh | Integrated circuit with anti-counterfeiting capabilities |
| US20170257369A1 (en) | 2016-03-04 | 2017-09-07 | Altera Corporation | Flexible feature enabling integrated circuit and methods to operate the integrated circuit |
| US10534882B2 (en) * | 2016-03-29 | 2020-01-14 | Qualcomm Incorporated | Method and apparatus for configuring an integrated circuit with a requested feature set |
| EP3252990A1 (de) * | 2016-06-03 | 2017-12-06 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum bereitstellen eines geheimnisses zum authentisieren eines systems und/oder komponenten des systems |
| US10754968B2 (en) * | 2016-06-10 | 2020-08-25 | Digital 14 Llc | Peer-to-peer security protocol apparatus, computer program, and method |
| US10255462B2 (en) | 2016-06-17 | 2019-04-09 | Arm Limited | Apparatus and method for obfuscating power consumption of a processor |
| EP3264816A1 (en) * | 2016-06-30 | 2018-01-03 | Sequans Communications S.A. | Secure boot and software upgrade of a device |
| TWI621347B (zh) * | 2016-08-04 | 2018-04-11 | 捷而思股份有限公司 | 偽造指令自動過濾系統、協同運作系統、與相關的指令核實電路 |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10650621B1 (en) | 2016-09-13 | 2020-05-12 | Iocurrents, Inc. | Interfacing with a vehicular controller area network |
| US11539535B2 (en) * | 2016-10-06 | 2022-12-27 | Cryptography Research, Inc. | Generating an authentication result by using a secure base key |
| US11283625B2 (en) * | 2016-10-14 | 2022-03-22 | Cable Television Laboratories, Inc. | Systems and methods for bootstrapping ecosystem certificate issuance |
| US11222319B2 (en) * | 2016-10-14 | 2022-01-11 | Cable Television Laboratories, Inc. | Systems and methods for post-hoc device registration |
| US9946899B1 (en) | 2016-10-14 | 2018-04-17 | Google Llc | Active ASIC intrusion shield |
| US11405201B2 (en) | 2016-11-10 | 2022-08-02 | Brickell Cryptology Llc | Secure transfer of protected application storage keys with change of trusted computing base |
| US10498712B2 (en) | 2016-11-10 | 2019-12-03 | Ernest Brickell | Balancing public and personal security needs |
| US10855465B2 (en) | 2016-11-10 | 2020-12-01 | Ernest Brickell | Audited use of a cryptographic key |
| US11398906B2 (en) | 2016-11-10 | 2022-07-26 | Brickell Cryptology Llc | Confirming receipt of audit records for audited use of a cryptographic key |
| US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
| US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| US10585608B2 (en) * | 2017-03-22 | 2020-03-10 | Oracle International Corporation | System and method for securely isolating a system feature |
| CN106973056B (zh) * | 2017-03-30 | 2020-11-17 | 中国电力科学研究院 | 一种面向对象的安全芯片及其加密方法 |
| GB2561374B (en) * | 2017-04-11 | 2022-04-06 | Secure Thingz Ltd | Storing data on target data processing devices |
| US10652245B2 (en) | 2017-05-04 | 2020-05-12 | Ernest Brickell | External accessibility for network devices |
| US10348706B2 (en) * | 2017-05-04 | 2019-07-09 | Ernest Brickell | Assuring external accessibility for devices on a network |
| CN107229880A (zh) * | 2017-05-12 | 2017-10-03 | 深圳市博巨兴实业发展有限公司 | 一种带用户安全调试功能的微处理器芯片 |
| US10505931B2 (en) * | 2017-06-02 | 2019-12-10 | Nxp B.V. | Method for authenticating an integrated circuit device |
| US11418364B2 (en) | 2017-06-07 | 2022-08-16 | Combined Conditional Access Development And Support, Llc | Determining a session key using session data |
| US20190007212A1 (en) | 2017-06-30 | 2019-01-03 | Intel Corporation | Secure unlock systems for locked devices |
| US11218322B2 (en) | 2017-09-28 | 2022-01-04 | Intel Corporation | System and method for reconfiguring and deploying soft stock-keeping units |
| FR3072195B1 (fr) | 2017-10-11 | 2019-10-18 | Stmicroelectronics (Rousset) Sas | Procede de gestion d'un retour de produit pour analyse et produit correspondant |
| CN107797933B (zh) * | 2017-11-22 | 2020-06-12 | 中国银行股份有限公司 | 生成模拟报文的方法及装置 |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11250133B2 (en) | 2018-01-12 | 2022-02-15 | Arris Enterprises Llc | Configurable code signing system and method |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| WO2019144403A1 (zh) * | 2018-01-29 | 2019-08-01 | 深圳市汇顶科技股份有限公司 | 芯片的访问方法、安全控制模块、芯片和调试设备 |
| US11184164B2 (en) * | 2018-02-02 | 2021-11-23 | Microsoft Technology Licensing, Llc | Secure crypto system attributes |
| US11063701B2 (en) * | 2018-07-13 | 2021-07-13 | Encore Semi, Inc. | Safety integrity level of service (SILoS) system |
| US10853273B2 (en) | 2018-08-01 | 2020-12-01 | Micron Technology, Inc. | Secure memory system programming |
| US10707973B2 (en) * | 2018-08-30 | 2020-07-07 | Rohde & Schwarz Gmbh & Co. Kg | Method of testing bluetooth low energy devices over-the-air and testing system |
| GB2578158B (en) * | 2018-10-19 | 2021-02-17 | Advanced Risc Mach Ltd | Parameter signature for realm security configuration parameters |
| GB201902470D0 (en) * | 2019-02-22 | 2019-04-10 | Secure Thingz Ltd | Security data processing device |
| CN109756332B (zh) * | 2019-03-04 | 2023-03-03 | 重庆捷思芯创电子科技有限公司 | 一种sram型fpga与外置密钥管理芯片的通讯系统 |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US11329967B2 (en) * | 2019-05-24 | 2022-05-10 | Arris Enterprises Llc | Key-ladder protected personalization data conversion from global to unique encryption |
| US11868981B2 (en) * | 2019-08-02 | 2024-01-09 | Mastercard International Incorporated | System and method to support payment acceptance capability for merchants |
| CN110380854A (zh) * | 2019-08-12 | 2019-10-25 | 南京芯驰半导体科技有限公司 | 针对多个系统的根密钥生成、隔离方法及根密钥模块 |
| US20210012357A1 (en) * | 2019-09-27 | 2021-01-14 | Intel Corporation | Protection against misuse of software-defined silicon |
| US11042473B2 (en) * | 2019-11-01 | 2021-06-22 | EMC IP Holding Company LLC | Intelligent test case management for system integration testing |
| CN113055340B (zh) * | 2019-12-26 | 2023-09-26 | 华为技术有限公司 | 鉴权方法及设备 |
| US10903990B1 (en) | 2020-03-11 | 2021-01-26 | Cloudflare, Inc. | Establishing a cryptographic tunnel between a first tunnel endpoint and a second tunnel endpoint where a private key used during the tunnel establishment is remotely located from the second tunnel endpoint |
| TWI743715B (zh) * | 2020-03-24 | 2021-10-21 | 瑞昱半導體股份有限公司 | 用來針對非揮發性記憶體進行資訊保護的方法及設備 |
| US11502832B2 (en) | 2020-06-04 | 2022-11-15 | PUFsecurity Corporation | Electronic device capable of protecting confidential data |
| US11416639B2 (en) * | 2020-06-29 | 2022-08-16 | Nuvoton Technology Corporation | PQA unlock |
| US20220021544A1 (en) * | 2020-07-15 | 2022-01-20 | Micron Technology, Inc. | Secure Serial Peripheral Interface (SPI) Flash |
| CN111935119B (zh) * | 2020-07-31 | 2021-06-18 | 上海安路信息科技股份有限公司 | 数据加密认证方法及数据加密认证系统 |
| US11681784B2 (en) * | 2020-09-03 | 2023-06-20 | Arista Networks, Inc. | Hardware license verification |
| US20210012893A1 (en) * | 2020-09-28 | 2021-01-14 | Uih America, Inc. | Systems and methods for device control |
| US20220114284A1 (en) * | 2020-10-14 | 2022-04-14 | Qualcomm Incorporated | Signed command stream and command execution |
| US11595189B2 (en) | 2020-10-27 | 2023-02-28 | Microsoft Technology Licensing, Llc | Secure key exchange using key-associated attributes |
| US11630711B2 (en) * | 2021-04-23 | 2023-04-18 | Qualcomm Incorporated | Access control configurations for inter-processor communications |
| US11928349B2 (en) | 2021-04-23 | 2024-03-12 | Qualcomm Incorporated | Access control configurations for shared memory |
| US20230394901A1 (en) * | 2022-06-02 | 2023-12-07 | Micron Technology, Inc. | Securing electronic ballot systems via secure memory devices with embedded hardware security modules |
| US11546323B1 (en) * | 2022-08-17 | 2023-01-03 | strongDM, Inc. | Credential management for distributed services |
| US11736531B1 (en) | 2022-08-31 | 2023-08-22 | strongDM, Inc. | Managing and monitoring endpoint activity in secured networks |
| US11765159B1 (en) | 2022-09-28 | 2023-09-19 | strongDM, Inc. | Connection revocation in overlay networks |
| US11916885B1 (en) | 2023-01-09 | 2024-02-27 | strongDM, Inc. | Tunnelling with support for dynamic naming resolution |
| US11765207B1 (en) | 2023-03-17 | 2023-09-19 | strongDM, Inc. | Declaring network policies using natural language |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5530753A (en) | 1994-08-15 | 1996-06-25 | International Business Machines Corporation | Methods and apparatus for secure hardware configuration |
| JP4083218B2 (ja) | 1995-06-05 | 2008-04-30 | サートコ・インコーポレーテッド | マルチステップディジタル署名方法およびそのシステム |
| JPH10274927A (ja) | 1997-03-31 | 1998-10-13 | Nippon Telegr & Teleph Corp <Ntt> | 認証を伴う命令発行方法およびこれに用いるモジュール |
| JP4670158B2 (ja) | 2001-02-16 | 2011-04-13 | ソニー株式会社 | データ処理方法および半導体回路 |
| US20020141582A1 (en) * | 2001-03-28 | 2002-10-03 | Kocher Paul C. | Content security layer providing long-term renewable security |
| US7987510B2 (en) * | 2001-03-28 | 2011-07-26 | Rovi Solutions Corporation | Self-protecting digital content |
| JP4899248B2 (ja) | 2001-04-02 | 2012-03-21 | 富士通セミコンダクター株式会社 | 半導体集積回路 |
| US7484105B2 (en) | 2001-08-16 | 2009-01-27 | Lenovo (Singapore) Ptd. Ltd. | Flash update using a trusted platform module |
| JP2003209545A (ja) | 2002-01-11 | 2003-07-25 | Tokyo Denki Univ | コア内蔵型集積回路及びそのコア盗用防止方法 |
| US7552343B2 (en) * | 2002-03-19 | 2009-06-23 | Nxp B.V. | Conditional access control |
| JP2004173206A (ja) * | 2002-11-22 | 2004-06-17 | Toshiba Corp | 半導体集積回路及び機能実現システム |
| US20040103325A1 (en) * | 2002-11-27 | 2004-05-27 | Priebatsch Mark Herbert | Authenticated remote PIN unblock |
| KR100581440B1 (ko) | 2003-07-04 | 2006-05-23 | 학교법인 한국정보통신학원 | 겹선형쌍을 이용한 개인식별정보 기반의 대리서명 장치 및방법 |
| US20050114700A1 (en) | 2003-08-13 | 2005-05-26 | Sensory Networks, Inc. | Integrated circuit apparatus and method for high throughput signature based network applications |
| US20060059372A1 (en) * | 2004-09-10 | 2006-03-16 | International Business Machines Corporation | Integrated circuit chip for encryption and decryption having a secure mechanism for programming on-chip hardware |
| US7251805B2 (en) | 2004-10-12 | 2007-07-31 | Nanotech Corporation | ASICs having more features than generally usable at one time and methods of use |
| US7774619B2 (en) * | 2004-11-17 | 2010-08-10 | Broadcom Corporation | Secure code execution using external memory |
| JP4260759B2 (ja) | 2005-02-18 | 2009-04-30 | 富士通株式会社 | 機器制御サービス提供プログラム、機器制御サービス提供システムおよび機器制御サービス提供方法 |
| EP1722503A1 (en) | 2005-05-13 | 2006-11-15 | DrayTek Corp. | Method used by an access point of a wireless LAN and related apparatus |
| FR2897222A1 (fr) * | 2006-02-03 | 2007-08-10 | Gemplus Sa | Acces a distance a une memoire de masse et une memoire de securite dans un objet communicant portable |
| US7624283B2 (en) * | 2006-02-13 | 2009-11-24 | International Business Machines Corporation | Protocol for trusted platform module recovery through context checkpointing |
| US8560829B2 (en) | 2006-05-09 | 2013-10-15 | Broadcom Corporation | Method and system for command interface protection to achieve a secure interface |
| CN101127625B (zh) * | 2006-08-18 | 2013-11-06 | 华为技术有限公司 | 一种对访问请求授权的系统及方法 |
| US9064135B1 (en) * | 2006-12-12 | 2015-06-23 | Marvell International Ltd. | Hardware implemented key management system and method |
| US8468351B2 (en) | 2006-12-15 | 2013-06-18 | Codesealer Aps | Digital data authentication |
| US20080162866A1 (en) * | 2006-12-28 | 2008-07-03 | Siddiqi Faraz A | Apparatus and method for fast and secure memory context switching |
| US7778074B2 (en) | 2007-03-23 | 2010-08-17 | Sigmatel, Inc. | System and method to control one time programmable memory |
| US8995288B2 (en) * | 2007-06-11 | 2015-03-31 | Broadcom Corporation | Method and system for a configurable communication integrated circuit and/or chipset |
| US8417848B2 (en) * | 2007-11-20 | 2013-04-09 | Hangzhou H3C Technologies Co., Ltd. | Method and apparatus for implementing multiple service processing functions |
| US20090187771A1 (en) * | 2008-01-17 | 2009-07-23 | Mclellan Jr Hubert Rae | Secure data storage with key update to prevent replay attacks |
| US9003197B2 (en) * | 2008-03-27 | 2015-04-07 | General Instrument Corporation | Methods, apparatus and system for authenticating a programmable hardware device and for authenticating commands received in the programmable hardware device from a secure processor |
| CN102105905B (zh) | 2008-08-07 | 2013-07-17 | 三菱电机株式会社 | 半导体集成电路装置及空调用遥控器 |
| US9317708B2 (en) | 2008-08-14 | 2016-04-19 | Teleputers, Llc | Hardware trust anchors in SP-enabled processors |
| US8627471B2 (en) | 2008-10-28 | 2014-01-07 | Freescale Semiconductor, Inc. | Permissions checking for data processing instructions |
| WO2010057312A1 (en) | 2008-11-24 | 2010-05-27 | Certicom Corp. | System and method for hardware based security |
| KR101261674B1 (ko) * | 2008-12-22 | 2013-05-06 | 한국전자통신연구원 | 다운로드 제한 수신 시스템에서의 상호 인증 방법 및 장치 |
| US8505078B2 (en) * | 2008-12-28 | 2013-08-06 | Qualcomm Incorporated | Apparatus and methods for providing authorized device access |
| US20100174920A1 (en) | 2009-01-06 | 2010-07-08 | Jonathan Peter Buckingham | Data processing apparatus |
| US8332641B2 (en) * | 2009-01-30 | 2012-12-11 | Freescale Semiconductor, Inc. | Authenticated debug access for field returns |
| US8250630B2 (en) | 2009-03-05 | 2012-08-21 | Cisco Technology, Inc. | Detecting unauthorized computer access |
| US20100284539A1 (en) * | 2009-03-09 | 2010-11-11 | The Regents Of The University Of Michigan | Methods for Protecting Against Piracy of Integrated Circuits |
| US8583930B2 (en) * | 2009-03-17 | 2013-11-12 | Electronics And Telecommunications Research Institute | Downloadable conditional access system, secure micro, and transport processor, and security authentication method using the same |
| JP5423088B2 (ja) * | 2009-03-25 | 2014-02-19 | ソニー株式会社 | 集積回路、暗号通信装置、暗号通信システム、情報処理方法、及び暗号通信方法 |
| US7795899B1 (en) | 2009-04-08 | 2010-09-14 | Oracle America, Inc. | Enabling on-chip features via efuses |
| JP5572705B2 (ja) | 2009-07-10 | 2014-08-13 | サーティコム コーポレーション | 電子資産を管理するためのシステムおよび方法 |
| US20110016308A1 (en) | 2009-07-17 | 2011-01-20 | Ricoh Company, Ltd., | Encrypted document transmission |
| US10482254B2 (en) | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
| US9071421B2 (en) | 2010-12-15 | 2015-06-30 | Microsoft Technology Licensing, Llc | Encrypted content streaming |
| US9569631B2 (en) | 2011-01-21 | 2017-02-14 | Lexmark International, Inc. | Method and apparatus for configuring an electronics device |
| CA2830846C (en) | 2011-03-21 | 2018-08-28 | Irdeto B.V. | System and method for securely binding and node-locking program execution to a trusted signature authority |
| US8843764B2 (en) | 2011-07-15 | 2014-09-23 | Cavium, Inc. | Secure software and hardware association technique |
| US9231926B2 (en) | 2011-09-08 | 2016-01-05 | Lexmark International, Inc. | System and method for secured host-slave communication |
| US9015837B1 (en) | 2011-09-29 | 2015-04-21 | Google Inc. | Systems and methods for verifying an update to data of an electronic device |
| US8812837B2 (en) | 2012-06-01 | 2014-08-19 | At&T Intellectual Property I, Lp | Apparatus and methods for activation of communication devices |
| US8954732B1 (en) | 2012-06-27 | 2015-02-10 | Juniper Networks, Inc. | Authenticating third-party programs for platforms |
| US9436848B2 (en) * | 2013-05-30 | 2016-09-06 | Cryptography Research, Inc. | Configurator for secure feature and key manager |
| US9692599B1 (en) | 2014-09-16 | 2017-06-27 | Google Inc. | Security module endorsement |
| TWI610561B (zh) * | 2016-08-26 | 2018-01-01 | Smart Mobile Broadcasting Technology Inc | 視聽條件更新方法、更新碼生成系統、更新碼生成裝置、視聽條件管理裝置、內容接收系統、及內容發送系統 |
| NL2022902B1 (en) * | 2019-04-09 | 2020-10-20 | Univ Delft Tech | Integrated circuit device for loT applications |
-
2013
- 2013-03-14 US US13/831,545 patent/US10771448B2/en active Active
- 2013-08-09 WO PCT/US2013/054306 patent/WO2014026095A2/en active Application Filing
- 2013-08-09 KR KR1020157003505A patent/KR102230834B1/ko active IP Right Grant
- 2013-08-09 KR KR1020227008926A patent/KR102470524B1/ko active IP Right Grant
- 2013-08-09 EP EP13827130.9A patent/EP2907262B1/en active Active
- 2013-08-09 TW TW102128695A patent/TWI621031B/zh active
- 2013-08-09 KR KR1020217007899A patent/KR102312131B1/ko active IP Right Grant
- 2013-08-09 KR KR1020217030967A patent/KR102378157B1/ko active IP Right Grant
- 2013-08-09 JP JP2015526731A patent/JP6427099B2/ja active Active
- 2013-08-09 CN CN201380042381.3A patent/CN104541474B/zh active Active
-
2015
- 2015-09-30 US US14/871,951 patent/US10084771B2/en active Active
-
2018
- 2018-09-21 US US16/138,105 patent/US10666641B2/en active Active
-
2020
- 2020-09-04 US US17/012,886 patent/US11695749B2/en active Active
-
2023
- 2023-06-29 US US18/216,093 patent/US20230388290A1/en active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11595371B2 (en) | 2016-08-01 | 2023-02-28 | Data I/O Corporation | Device programming with system generation |
| TWI817930B (zh) * | 2016-08-01 | 2023-10-11 | 美商數據輸出入公司 | 具有裝置認證的裝置編程系統 |
| US11824847B2 (en) | 2016-08-01 | 2023-11-21 | Data I/O Corporation | Device programming with system generation |
| US11126753B2 (en) | 2016-11-15 | 2021-09-21 | Huawei Technologies Co., Ltd. | Secure processor chip and terminal device |
| TWI809026B (zh) * | 2018-01-09 | 2023-07-21 | 美商高通公司 | 用於在一加密系統中管理密碼密鑰之一集合的積體電路(ic)系統、用於一積體電路(ic)系統之方法及非暫時性電腦可讀媒體 |
| US11789874B2 (en) | 2018-01-09 | 2023-10-17 | Qualcomm Incorporated | Method, apparatus, and system for storing memory encryption realm key IDs |
| TWI783590B (zh) * | 2021-05-08 | 2022-11-11 | 瑞昱半導體股份有限公司 | 晶片驗證系統及其驗證方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104541474B (zh) | 2018-03-30 |
| KR102378157B1 (ko) | 2022-03-24 |
| US20230388290A1 (en) | 2023-11-30 |
| TWI621031B (zh) | 2018-04-11 |
| US11695749B2 (en) | 2023-07-04 |
| JP2015531924A (ja) | 2015-11-05 |
| KR102312131B1 (ko) | 2021-10-13 |
| US20160028722A1 (en) | 2016-01-28 |
| WO2014026095A2 (en) | 2014-02-13 |
| US20210058387A1 (en) | 2021-02-25 |
| US10771448B2 (en) | 2020-09-08 |
| US20140044265A1 (en) | 2014-02-13 |
| KR102230834B1 (ko) | 2021-03-23 |
| US20190097999A1 (en) | 2019-03-28 |
| JP6427099B2 (ja) | 2018-11-21 |
| KR20210032557A (ko) | 2021-03-24 |
| US10084771B2 (en) | 2018-09-25 |
| KR20210119585A (ko) | 2021-10-05 |
| EP2907262A4 (en) | 2016-05-18 |
| KR102470524B1 (ko) | 2022-11-24 |
| KR20220042236A (ko) | 2022-04-04 |
| KR20150040920A (ko) | 2015-04-15 |
| US10666641B2 (en) | 2020-05-26 |
| WO2014026095A3 (en) | 2014-05-01 |
| EP2907262B1 (en) | 2019-11-27 |
| CN104541474A (zh) | 2015-04-22 |
| EP2907262A2 (en) | 2015-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11695749B2 (en) | Secure feature and key management in integrated circuits | |
| US11789625B2 (en) | Managing privileges of different entities for an integrated circuit | |
| US10419407B2 (en) | System and method for controlling features on a device | |
| CN110765437B (zh) | 将资产安全地提供给目标设备的模块 | |
| US9436848B2 (en) | Configurator for secure feature and key manager | |
| CN115021950A (zh) | 用于端点的在线服务商店 | |
| CN115037494A (zh) | 无需预先定制端点的云服务登入 | |
| CN115021949A (zh) | 具有被保护用于可靠身份验证的存储器装置的端点的识别管理方法和系统 | |
| CN115037492A (zh) | 基于在存储器装置中实施的安全特征的在线安全服务 | |
| CN115037496A (zh) | 经由在线固件商店的端点定制 |