TWI407745B

TWI407745B - 安全與重播受保護之記憶儲存

Info

Publication number: TWI407745B
Application number: TW095141241A
Authority: TW
Inventors: Rolf Blom; Christian Gehrmann
Original assignee: Ericsson Telefon Ab L M
Priority date: 2005-12-01
Filing date: 2006-11-08
Publication date: 2013-09-01
Also published as: EP1958114A2; JP2009517939A; US7681050B2; EP1958114B1; WO2007062941A2; WO2007062941A3; US20070130470A1; TW200805978A

Description

安全與重播受保護之記憶儲存

本發明係關於一種裝置(例如行動裝置)及方法，其用於機密性並完整性保護儲存於一可覆寫可公開存取記憶體內之資料。

行動裝置經常具有一處理系統，其具有一可信賴平台，該可信賴平台使用受保護軟體及受保護硬體以幫助保證儲存資料之機密性及完整性。現今有數種不同技術可用於在一處理器系統內機密性並完整性保護資料。該些現有技術之某些技術如下：．防篡改記憶體及處理。此類記憶體可能係一處理器晶片之一整體部分且限制該記憶體之讀寫操作，使得其係僅經由該處理器系統來執行。該記憶體還可以係受某些防篡改技術保護而無法實體存取的一外部記憶體。

．一次性唯寫記憶體。此類記憶體通常用於儲存不需要保密但應不可能更改的資料。

．密鑰儲存於完整性及機密性受保護記憶體內的處理系統。然後將此密鑰用以加密並完整性保護儲存於可覆寫可公開存取記憶體內的資料。

伴隨上述第三彈下之思路的技術問題在於攻擊者可能使用較早時間記錄的資料來替換當前記憶體資料。此攻擊類型從早期電話卡起便為人所熟知，最近已出現在使用者預付帳號中儲存使用者當前數量的用戶身份模組(SIM)卡上。大體上，當正好已將表示一給定數量之預付服務的一新值載入SIM卡時，攻擊者會記錄記憶體資料。然後，在已經使用該SIM卡之後，攻擊者將當前記錄的記憶體資料覆寫成更早記錄的記憶體資料，使得該SIM卡現在似乎具有一未使用的值。

另一範例係數位權利管理(DRM)受保護資料，其經常限制允許使用者檢視/播放的次數。在此情況下，必須儲存並完整性保護一DRM計數器。類似於SIM卡情況，該DRM計數器對於攻擊者使用在更早時間記錄的一更大DRM計數器值替換一更小當前DRM計數器值之重播攻擊較為敏感。因此，需防止企圖藉由使用先前記錄的有效記憶體資料替換當前記憶體資料來更改資訊之人的重播攻擊。本發明解決此問題及其他問題。

本發明係關於一種裝置(例如行動裝置)及方法，其可藉由使用一完整性密鑰及一加密密鑰來加密/解密儲存於一可覆寫可公開存取記憶體內之資料，經由一MAC計算來完整性保護該資料，並驗證該資料，來保護該資料不受重播攻擊。在一具體實施例中，該方法包括以下步驟：(a)驗證舊資料之完整性，該資料係使用一或多個當前密鑰(例如完整性密鑰MIK_n及可能需要的一加密密鑰MCK_n)而當前儲存於該可覆寫可公開存取記憶體內；(b)計算一或多個新密鑰(MIK_n＋1及可能需要的MCK_n＋1)，其中各新密鑰(MIK_n＋1且可能需要的MCK_n＋1)係藉由使用一偽隨機函數(PRF)、一密鑰(PK)及加一的一計數器值(n＋1)來計算；(c)使用該一或多個新密鑰(MIK_n＋1及可能需要的MCK_n＋1)保護該經驗證的舊資料及可能存在的新資料；(d)將該受保護的舊資料及可能存在的該受保護的新資料儲存於該可覆寫可公開存取記憶體內；(e)遞增一單調暫存器以具有一計數器值(n＋1)；及(f)從該可覆寫可公開存取記憶體抹除在步驟(a)驗證過的該舊資料。

為了對抗當前記憶體資料被舊記憶體資料替換之攻擊，需由處理系統將舊記憶體資料識別為過時。若舊記憶體資料受到完整性保護且可能使用當前保護密鑰外的密鑰加密保護，則處理系統將能夠偵測到覆寫。因而，本解決方案之基本思路涉及如下：1.可將用於產生一資料序列的一機制及控制用於鍵控目的。如何使用資料取決於所選擇的特定安全解決方案。在本文所論述之安全解決方案中，將鍵控資料分成多個部分，一部分用於產生機密性/加密保護用的密鑰而另一部分用於產生完整性保護用的密鑰。此機制及控制需要以一方式產生該資料序列，使得無法重新產生舊密鑰。

2.一種使用完整性密鑰與加密密鑰(可選)保護儲存於一可覆寫可公開存取記憶體之資料之機制。

在一具體實施例中，用於產生完整性密鑰及加密密鑰之機制係實施於一防篡改模組內。此點將保證用於產生該等密鑰的所有變數均受到保護。該等密鑰係使用一偽隨機函數(PRF)、一密鑰PK(裝置專用且儲存於該防篡改模組內)、及一單調序列(例如一計數器值)來產生。一可信賴程序控制該單調序列之步進。

使用該等密鑰來加密/解密受保護資料及完整性保護(經由一MAC計算及驗證)受保護資料係藉由可信賴軟體及可信賴硬體在一防篡改模組內執行。較佳的係在用於產生該等密鑰的相同防篡改模組內完成該些操作。否則，當在該等防篡改模組之間傳送該等密鑰時，應機密性保護該等密鑰。接著針對圖1，提供關於可實施本解決方案之裝置100之一詳細說明及關於裝置100可保護資料之方法的一逐步說明。

參見圖1，存在裝置100(例如行動裝置100)之一方塊圖，裝置100具有一防篡改模組102及一處理器104，防篡改模組102及處理器104用於機密性並完整性保護儲存於一可覆寫可公開存取記憶體108內的資料106。如所示，防篡改模組102(可信賴模組102)具有一平台密鑰儲存器110，其持有一平台密鑰(PK)、及一單調暫存器(MR)112，其持有一計數器值(n)。該PK及計數器值(n)用於在一共用PRF113(或兩個專用PRF)幫助下計算一記憶體機密性密鑰(MCK)及一記憶體完整性密鑰(MIK)。此計算如下：MCK_n＝PRFc(PK,n) MIK_n＝PRFi(PK,n)

在計算MCK及MIK之後，防篡改模組102實施一適當加密方法114，其使用該MCK(加密密鑰)來機密性保護資料106。此外，防篡改模組102實施一適當訊息認證碼(MAC)方法116，其使用該MIK(完整性密鑰)來完整性保護先前加密的資料，然後將該資料儲存於可覆寫可公開存取記憶體108內。一範例性MAC方法係使用SHA－1的HMAC(用於訊息認證之鍵控雜湊)，其中HMAC定義如何將密鑰導入計算中。或者，可僅使用MAC方法116及MIK來完整性保護未受保護資料106且不加密將儲存於可覆寫可公開存取記憶體108內的資料。在另一替代方案中，可使用加密方法114及MCK(加密密鑰)來機密性保護已受完整性保護之資料。本文所述之範例基於資料在將其儲存於可覆寫可公開存取記憶體108內之前受到加密保護資料並然後受到完整性保護之情形。

接著提供一逐步說明來說明本解決方案可用於在一DRM_counter上防止重播攻擊之一方法。該逐步說明如下：1.防篡改模組102接收需要受保護並儲存於可覆寫可公開存取記憶體108內的未受保護資料106，在此範例中該資料係一DRM計數器(值x)。如將會瞭解的，需保護之資訊通常非DRM內容本身，而係指示允許讀取/播放DRM內容之數目的DRM計數器。

2.一旦有某些觸發事件(例如啟動、受控斷電、更新關鍵安全參數)，便驗證當前儲存於可覆寫可公開存取記憶體108內之舊資料以確保其非一重播攻擊之主體。為了驗證該舊資料，防篡改模組102(使用處理器104及唯讀記憶體(ROM)碼)使用基於當前MR計數器值n的密鑰MIK_n及MCK_n來檢查受保護舊資料之MAC值(或多個值)。此時，假定驗證該舊資料之完整性。

3.防篡改模組102藉由使用當前計數器值n＋1來計算新密鑰MIK_n＋1及MCK_n＋1。應注意，此時還未遞增MR 112。

4.防篡改模組102使用新密鑰MIK_n＋1及MCK_n＋1來加密/完整性保護該DRM_counter(值x)。此外，防篡改模組102使用MIK_n＋1及MCK_n＋1重新加密/完整性保護該經驗證的舊資料(參見步驟2)。

5.防篡改模組102將受密鑰MIK_n＋1及MCK_n＋1保護的舊資料儲存於可覆寫可公開存取記憶體108內。此外，將該受保護DRM_counter(值x)在可覆寫可公開存取記憶體108內儲存為DRM_counter_n＋1。

6.防篡改模組102在MR 112將n遞增為n＋1。一旦已遞增n，則再也沒有任何方法來擷取並使用值比當前n更小的密鑰。

7.防篡改模組102藉由使用密鑰MIK_n及MCK_n來抹除在步驟2中驗證過的舊版資料。可看出，當驗證/保護資料時，本解決方案僅允許參照「當前密鑰」(例如MIK_n及MCK_n)與「下一密鑰」(例如MIK_n＋1及MCK_n＋1)。如此，本解決方案之一重要方面在於使用「當前密鑰」及「下一密鑰」來執行操作且在遞增MR 112並抹除舊版受保護資料之前完成所有驗證/機密性處理。

8.攻擊者記錄加密/受完整性保護的DRM_counter_n＋1。

9.因為使用者已存取DRM內容，故將DRM_counter遞減至值x－1。

10.一旦有某些觸發事件(例如啟動、受控斷電、更新關鍵安全參數)，便驗證在步驟5期間儲存於可覆寫可公開存取記憶體108之舊資料以確保其非一重播攻擊之主體。為了驗證該舊資料，防篡改模組102(使用處理器104及唯讀記憶體(ROM)碼)使用基於當前MR計數器值n＋1的密鑰MIK_n＋1及MCK_n＋1來檢查受保護舊資料之MAC值(或多個值)。此時，假定驗證該舊資料之完整性。

11.防篡改模組102藉由使用當前計數器值n＋2來計算新密鑰MIK_n＋2及MCK_n＋2。同時應注意，此時未遞增MR112。

12.防篡改模組102使用新密鑰MIK_n＋2及MCK_n＋2來加密/完整性保護該DRM_counter(值x－1)。此外，防篡改模組102使用MIK_n＋2及MCK_n＋2加密/完整性保護該經驗證的舊資料(參見步驟10)。

13.防篡改模組102將受密鑰MIK_n＋2及MCK_n＋2保護的舊資料儲存於可覆寫可公開存取記憶體108內。此外，將該受保護的DRM_counter(值x－1)作為取代前者DRM_counter_n＋1的DRM_counter_n＋2儲存於可覆寫可公開存取記憶體108內。

14.防篡改模組102將MR 112從n＋1遞增至n＋2。一旦已遞增MR 112，則再也沒有任何方法來擷取並使用值比當前n＋2更小的密鑰。

15.防篡改模組102藉由使用密鑰MIK_n＋1及MCK_n＋1來抹除在步驟10中驗證過的舊版資料。

16.攻擊者將經加密/受完整性保護的DRM_counter_n＋1插入可覆寫可公開存取記憶體108內。然後，刪除加密/受完整性保護的DRM_counter_n＋2。

17.一旦有某些觸發事件(例如啟動、受控斷電、更新關鍵安全參數)，便驗證當前儲存於可覆寫可公開存取記憶體108之舊資料以確保其非一重播攻擊之主體。為了驗證該舊資料，防篡改模組102(使用處理器104及唯讀記憶體(ROM)碼)使用基於當前MR計數器值n＋2的密鑰MIK_n＋2及MCK_n＋2來檢查該受保護舊資料之MAC值(或多個值)。此時，該完整性檢查失敗，因為該欺騙加密/受完整性保護的DRM_counter_n＋1沒有正確的MAC。而且，若該完整性檢查針對全部記憶體108或其部分失敗，則抹除對應舊資料(在此情況下其係DRM_counter_n＋1)或將其標記為無效。

本解決方案之重要部分係實現MR 112。以下係可用於實現MR 112之數個不同選項之一列表：．可將計數器n儲存於在防篡改模組102上的一受實體保護快閃記憶體、可抹除可程式化唯讀記憶體(EPROM)或電可抹除可程式化唯讀記憶體(EEPROM)內。若裝置100係一行動電話，則防篡改模組102可位於一基帶晶片上而儲存計數器n之受實體保護快閃記憶體、EPROM或EEPROM還可位於該基帶晶片上。

．可藉由向一電子熔絲/一次性寫入記憶體內寫入一值更新計數器n。

．可將計數器n儲存於一外部安全源內並從其擷取，然後受保護(加密並完整性保護)地發送至防篡改模組102。

參見圖2，提供一流程圖，其說明依據本發明用於保護儲存於可覆寫可公開存取記憶體108內之資料之一方法200之基本步驟。一有觸發事件，防篡改模組102便藉由使用當前MIK_n及可能需要的當前MCK_n來驗證儲存於可覆寫可公開存取記憶體108內的舊資料之完整性(參見步驟202)。若該完整性檢查失敗，則防篡改模組102抹除該舊資料或將該舊資料標注為無效，因為無法信賴當前儲存於可覆寫可公開存取記憶體108內的舊資料(參見步驟204)。

若通過該完整性檢查，則防篡改模組102計算一新密鑰MIK_n＋1及可能需要的MCK_n＋1(步驟206)。每個新密鑰MIK_n＋1及可能需要的MCK_n＋1係藉由使用一PRF、一密鑰(PK)及加一的一計數器值(n＋1)來計算。然後防篡改模組102使用新密鑰MIK_n＋1及可能需要的MCK_n＋l保護該經驗證的舊資料及可能存在的新資料(步驟208)。隨後，防篡改模組102將該受保護的舊資料及可能存在的新資料儲存於可覆寫可公開存取記憶體108內(步驟210)。

防篡改模組102然後遞增/步進MR 112，使其具有一計數器值(n＋1)(步驟212)。最後的計數器更新應直到已驗證該記憶體資料才發生，因為考慮到只有直到所有受保護記憶體資料在新密鑰MIK_n＋1/MCK_n＋1下均已受到正確保護時才可讓舊密鑰MIK_n/MCK_n過時。然後，防篡改模組102將該先前驗證的舊資料(參見步驟202)從可覆寫可公開存取記憶體108抹除掉(步驟214)。

此時，可使用一特定硬體信號來鎖定防篡改模組102，以防止任何對完整性密鑰的進一步讀取並防止對MAC的任何新計算，直到下一開機時機或下一MR更新時機(步驟216)。然而，仍可在任何需要的時候添加新資料，但需要使用該(等)當前密鑰來添加新資料。當然，需要定義解鎖當前密鑰所需的事件。否則，可能觸發一MR更新，其執行檢查舊資料有效性、添加新資料、遞增MR並保護上述所有資料。

參見圖3，存在一裝置100'(例如行動裝置100')之一方塊圖，裝置100'具有一防篡改模組102，其依據本發明之另一具體實施例機密性並完整性保護要儲存於一可覆寫可公開存取記憶體108內的資料。此裝置100'之組件與圖1所示之裝置100所使用之組件相同，包括處理器104、平台密鑰持有者110、MR 112、PRF 113、加密方法114及MAC方法116。但是，此裝置100'係設計以藉由以下方法來使管理更加簡單：按上述保護一特定資料部分，然後將該特定受保護資料部分以及所使用的MR密鑰號一起儲存於可覆寫可公開存取記憶體108內。

在此具體實施例中，防篡改模組102藉由針對每個個別受保護資料部分計算一MAC來完整性保護所有此類記憶體部分，然後其藉由在與所有受保護個別資料部分一起儲存的該等MAC上計算一MAC(顯示為MAC_K _n ₄ )來完整性保護所有受保護資料。依此方式，防篡改模組102不需要重新計算所有MAC，然後在一MR更新發生時重新加密所有資料。而且未更改的資料仍保持其舊保護。為了致動驗證，防篡改模組102需要瞭解其在最初保護該資料部分所使用的密鑰號MR，以便推導相關密鑰。而且，防篡改模組102還需驗證沒有任何資料部分曾被攻擊者交換成某些其他受保護資料。為了完成此點，防篡改模組102可計算並驗證用於完整性保護所有個別資料部分之MAC(顯示為MAC_K _n ₄ )。在此擴展形式中，應實施一政策以引導可產生哪個密鑰，例如可僅允許在一給定窗口內小於當前計數器值的密鑰。

下列係本解決方案之某些額外特徵及優點：1.該防篡改模組應係一晶片之一部分，該晶片包含記憶體及難以探查之處理能力。其應難以探查，因此難以靜態或在處理期間擷取資訊。

2.受保護的資料可讓一計數器包含一記錄，其指示認為資料有效之更新之數目。若如此情況，則在各更新期間減小此計數器值且若該值等於零，則將抹除對應的資料或標記為無效。當受保護資料係僅針對一特定數目的MR更新有效時，可使用此點。

3.本解決方案可用於輔助一韌體行動裝置軟體升級。例如，可通過空氣將行動裝置升級軟體下載到行動裝置。若當該行動裝置之使用者正在使用行動裝置時他/她不想讓升級發生，因為升級需要完全重新開機並重建行動裝置軟體。則該使用者可推遲升級以在下班時間(例如夜晚時間)發生。若此情況發生，則為了重新啟動該行動裝置，其通常需要某些秘密發信輸入，例如一PIN(個人識別號碼)。然後必須預先將該升級觸發發信值提供給該行動裝置，以便使該行動裝置在下一開機事件時進入升級模式。因此，需要將該觸發發信儲存並保護於該行動裝置非揮發性記憶體內。在此情況下，該受保護的儲存發信應僅一次(即在該行動裝置之下一啟動時)有效。

4.應瞭解，本文所述之處理器104可藉由使用專用電路或電路系統(例如互連以執行一專用功能之離散邏輯閘極)、程式指令或二者之一組合來依據本解決方案執行各種動作。

儘管附圖及前述詳細說明中已說明本發明之二具體實施例，但應明白本發明不限於所揭示的該等具體實施例，而可具有許多重新配置、修改及取代而不脫離隨附申請專利範圍所界定並所述之本發明之範疇。

100．．．裝置/行動裝置

100'．．．裝置/行動裝置

102．．．防篡改模組/可信賴模組

104．．．處理器

106．．．資料

108．．．可覆寫可公開存取記憶體

110．．．平台密鑰儲存器/平台密鑰持有者

112．．．單調暫存器(MR)

113．．．PRF

114．．．加密方法

116．．．訊息認證碼(MAC)方法

200．．．方法

結合該等附圖，參考上面詳細說明可更全面地理解本發明，其中：圖1係一裝置(例如行動裝置)之一方塊圖，該裝置具有一防篡改模組，其依據本發明機密性並完整性保護儲存於一可覆寫可公開存取記憶體內之資料；圖2係依據本發明用於保護儲存於一可覆寫可公開存取記憶體內之資料之一方法之基本步驟之一流程圖；以及圖3係一裝置(例如行動裝置)之一方塊圖，該裝置具有一防篡改模組，其依據本發明之另一具體實施例機密性並完整性保護儲存於一可覆寫可公開存取記憶體內之資料。