TWI489315B

TWI489315B - 用於電子裝置之暫時安全開機流程之系統與方法

Info

Publication number: TWI489315B
Application number: TW101144444A
Authority: TW
Inventors: Chao Chung Hsien
Original assignee: Htc Corp
Priority date: 2011-12-01
Filing date: 2012-11-28
Publication date: 2015-06-21
Also published as: CN103218571A; TW201329779A; US9276753B2; US9054874B2; CN103218571B; US20150222438A1; CN103136463B; US20130145171A1; US20130145140A1; TW201324225A; TWI463349B; TW201325174A; US9270466B2; CN103177223B; CN103177223A; US20130145166A1; TWI484812B; CN103136463A; US9240889B2

Description

用於電子裝置之暫時安全開機流程之系統與方法

本發明關於一種用於電子裝置之暫時安全開機流程之系統與方法，尤指一種利用獨特裝置資訊之暫時安全開機流程。

電子裝置一般會安裝作業系統。通常在開機過程中，啟動加載程序(bootloader)會啟動電子裝置之元件，並載入作業系統，以讓使用者能操作電子裝置來執行各種功能。某些使用者特定資料或使用者安裝之程式亦是由作業系統控制。然而，當電子裝置遇到錯誤情況或送至維修中心檢驗時，使用者並不希望個人資料/檔案在檢驗時被顯露出來，或者電子裝置無法正常開機。

本發明揭露一種用於電子裝置之暫時安全開機流程之系統與方法。本發明一實施例用於暫時安全開機流程之方法包含：根據電子裝置之識別資料產生第一符記；連同第一符記傳送一請求至服務供應方，該請求對應於開機套件；從服務供應方接收第二符記及開機套件；驗證第二符記及開機套件；及根據驗證結果執行開機套件。

本發明之另一實施例的系統包含：電子裝置，用以利用處理器執行至少一作業系統。該處理器包含：符記產生器，用以根據第一鑰匙對之第一鑰匙產生第一符記；符記驗證單元，用以根據第一鑰匙對之第一鑰匙驗證第二符記；開機套件執行單元，用以根據該第二符記之驗證執行安全開機套件；及鑰匙對單元，用以儲存至少該第一鑰匙，第一鑰匙是第一鑰匙對其中之一鑰匙。該系統另包含通訊介面單元，設置於電子裝置中，用以傳送第一符記，及接收第二符記及安全開機套件；及服務供應方，用以驗證第一符記，根據第一鑰匙對之第二鑰匙產生第二符記，及依照第一符記之驗證結果根據第二鑰匙對之第三鑰匙產生該安全開機套件。

本發明之另一實施例揭露一種開機套件處理方法。該方法包含：從電子裝置接收請求及第一符記；根據第一符記驗證電子裝置之身分；當電子裝置之身分被確認時，產生包含第一符記之至少部分內容的第二符記；保護對應於請求之開機套件；及傳送第二符記及被保護之開機套件至電子裝置。

本發明揭露一種用於電子裝置之暫時安全開機流程之系統與方法。電子裝置可傳送請求至服務供應方以提供只能被暫時執行之開機套件。為了確保請求之安全性，電子裝置可產生一符記(token)隨著請求一起傳送。為了回應請求，服務供應方可驗證符記以判斷請求傳送者之身分。當身分確認時，服務供應方始傳送安全開機套件及另一符記。電子裝置亦可驗證符記及安全開機套件以確認服務供應方之身分。電子裝置及服務供應方可根據只有雙方才擁有之特定資訊產生上述符記。另外，為了避免上述資訊被具惡意之一方竊取，電子裝置可於無法被未經授權之使用者存取的安全區域中處理請求及符記。

請參考第1圖，第1圖為說明本發明實施例之安全開機處理系統的示意圖。如圖所示，系統包含電子裝置100及服務供應方200。電子裝置100可以是手持式裝置，例如行動電話、平板電腦、遊戲機、個人數位助理及/或其他裝置。電子裝置100亦可以是個人電腦、桌上型電腦、筆記型電腦。在某些情況下，使用者希望能夠在不影響作業系統或顯露個人資料的前提下對電子裝置進行開機，例如電子裝置被送至維修中心檢驗時，因此使用者希望能利用某些安全機制(例如密碼或解鎖圖案)將電子裝置100上鎖。為了能保護使用者隱私又可以同時檢查電子裝置100之功能，另一開機套件可於安全區域中暫時被執行，並於執行完成後被移除。為了獲得暫時開機套件，電子裝置可傳送請求至服務供應方200(例如電子裝置100之製造商)來下載暫時開機套件。電子裝置100可隨著請求傳送包含對應於電子裝置100之獨特資訊的識別符記至服務供應方200。請求及識別符記可儲存於儲存裝置中，例如安全數位記憶卡(SD card)或微型安全數位記憶卡(micro SD card)，且經由另一電子裝置(例如一個人電腦)傳送至服務供應方。使用者可經由另一電子裝置和服務供應方聯絡，例如經由個人電腦登入服務供應方200之伺服器且上傳識別符記。

服務供應方200可驗證電子裝置100的身分並以安全理由記錄上述動作。為了回應請求及識別符記的確認，服務供應方200可傳回安全開機套件及驗證符記至電子裝置100。驗證符記亦需被電子裝置100驗證以確認開機套件發送者之身分。當身分確認後，電子裝置100可暫時執行開機套件，並於開機套件執行完畢後經由正常程序重新開機。相似地，開機套件及驗證符記可以由傳送請求之另一電子裝置接收，並儲存於電子裝置100可以存取之儲存裝置中。舉例來說，當服務供應方200驗證過登入使用者的識別符記時，使用者可以經由下載來存取安全開機套件及驗證符記，並儲存於安全數位記憶卡/微型安全數位記憶卡或個人電腦之硬碟中。電子裝置100經由通用序列埠(universal serial bus,USB)從安全數位記憶卡或微型安全數位記憶卡存取檔案。

接下來請參考第2圖，第2圖為本發明實施例之電子裝置100的方塊圖。電子裝置100除了其他元件之外，包含處理器110及通訊介面170。處理器110用以於正常區域(未圖示)中執行至少一作業系統及複數個應用程式，以及於安全區域120中執行私密程式。安全區域120可用以執行具有安全指令之應用軟體或程式。在本發明的一實施例中，安全區域120除了其他元件，可包含符記產生器130、符記驗證單元140、開機套件執行單元150及鑰匙對單元160。符記產生器130用以產生傳送至服務供應方200的識別符記，而符記驗證單元140用以驗證從服務供應方200接收來的驗證符記。符記產生器130根據電子裝置100之獨特資訊(例如識別資料)產生識別符記。識別資料可以是裝置序列碼、國際移動設備識別(international mobile equipment identity,IMEI)碼、媒體存取控制位址(MAC address)、國際行動用戶識別(international mobile subscriber identification,IMSI)碼及/或其他獨特且用以指明電子裝置100之資訊。再者，為了提供較佳的安全性，識別符記可以將獨特資訊和其他隨機產生之資料結合的方式產生。獨特資訊及隨機資料可以經過一預定演算法處理，且由只有電子裝置100及服務供應方200才知道之鑰匙所保護。預定演算法可以是目前已知的加密演算法。

符記驗證單元140根據另一演算法檢驗驗證符記，另一演算法可以是目前已知的解密演算法。電子裝置100及服務供應方200可擁有至少一對用於加密及解密之鑰匙。鑰匙對是儲存於鑰匙對單元160。鑰匙可於製造過程中儲存起來，或者透過安全程序來取得，且不同之電子裝置可擁有不同之鑰匙對。鑰匙對可以是RSA公開及私密鑰匙對，電子裝置100擁有公開鑰匙，而服務供應方200擁有私密鑰匙。識別符記可以利用電子裝置100之公開鑰匙加密識別資料及隨機資料而產生，且由服務供應方200之私密鑰匙解密以進行驗證。因此，符記產生器130及服務供應方200可分享相對應之一對演算法以分別進行加密及解密。相似地，符記驗證單元140亦可和服務供應方200分享相對應之一對演算法以進行解密。符記之產生及驗證細節將於後續討論。

開機套件執行單元150是用以於驗證符記經過驗證確認後，執行從服務供應方200接收來之開機套件。為了提供較佳的安全性，開機套件可以進一步被鑰匙保護，且開機套件執行單元150可於執行前先驗證安全開機套件。因此，如上所述，開機套件執行單元150可存取鑰匙對單元160之相對應鑰匙，並使用相對應演算法保護開機套件。相似於符記，服務供應方200可利用私密鑰匙對開機套件進行加簽或加密以保護開機套件，而開機套件執行單元150可利用相對應公開鑰匙來驗證安全開機套件。舉例來說，開機套件可以由從服務供應方200之私密鑰匙產生之數位簽章所加簽。開機套件可以設計來執行特定工作，例如檔案系統備份、客製化、系統檢查或其他工作。電子裝置100可依據特定目的發送特定開機套件之請求。

電子裝置100亦包含通訊介面170用以和服務供應方200進行通訊。通訊介面170可於電子裝置100及服務供應方200之間利用適當之傳輸協定傳送識別符記、驗證符記和開機套件。傳輸協定可以是有線或無線協定。通訊介面170可用以和另一電子裝置進行通訊，例如個人電腦。符記和開機套件可經由另一電子裝置在電子裝置100及服務供應方200之間傳輸。舉例來說，通訊介面可以是通用序列埠介面或記憶體介面。

第3圖說明本發明實施例之安全開機方法的流程圖。本方法可由第1圖之系統所實施。本方法一開始於步驟310中由電子裝置100產生識別符記，識別符記是根據電子裝置擁有之某些獨特資料所產生，並被第一鑰匙對之其中一鑰匙所加密。之後在步驟320中，識別符記從電子裝置100被傳送至服務供應方200。識別符記可附加於用以要求開機套件之請求，或結合於請求中。服務供應方200可驗證識別符記以確認請求裝置之身分及其是否可靠(在步驟330中)。識別符記可以被第一鑰匙對之另一鑰匙驗證。當確認識別符記後，服務供應方200在步驟340中產生驗證符記，驗證符記包含接收方(例如在本實施例是電子裝置100)要驗證之訊息。之後服務供應方200連同安全開機套件傳送驗證符記至電子裝置100(在步驟350中)。驗證符記可以根據識別符記中的內容產生，並被第一鑰匙對之另一鑰匙加密。在其他實施例中，驗證符記可另包含其他需要接收方驗證且經其他操作(例如SHA演算法)處理之訊息。當接收到驗證符記後，電子裝置首先在步驟360中驗證識別符記。相似地，識別符記可以被電子裝置100擁有的鑰匙所驗證。電子裝置100亦可在步驟370中根據鑰匙驗證安全開機套件，上述用以驗證安全開機套件之鑰匙可以是電子裝置100及服務供應方200所分享之另一鑰匙對的其中之一。若驗證符記和安全開機套件皆被確認，在步驟380中，安全開機套件可以於安全區域中執行以暫時對電子裝置100進行開機，進而執行特定工作。當安全開機套件執行完成，在步驟390中，電子裝置100可經由正常開機程序重新啟動。重新啟動後，安全開機套件會從電子裝置100中移除以避免再次被執行。

接下來，符記之產生及驗證細節將會於以下內容說明。第4圖為說明本發明實施例產生識別符記的示意圖。如第4圖所示，識別符記是根據電子裝置100之識別資料和隨機資料所產生。識別資料可以是裝置序列碼、國際移動設備識別碼、媒體存取控制位址、國際行動用戶識別碼及/或其他獨特且用以指明電子裝置100之資訊。隨機資料只可被使用一次以確保安全性。隨機資料可用以隱藏識別資料以避免被竊取。在本發明的一實施例中，隨機資料的長度較識別資料的長度長。因此，每一請求之識別符記可以相異，且只對相對應之請求有效。識別資料及隨機資料是根據一鑰匙對之第一公開鑰匙經由第一演算法處理。在每一鑰匙對中，公開鑰匙是由電子裝置100擁有，而私密鑰匙是由服務供應方200擁有。電子裝置100不一定知道私密鑰匙，但在現有技術中，私密鑰匙可以被公開鑰匙所驗證。第一演算法可以是任一形式之加密演算法，例如RSA演算法。

接下來請參考第5圖，第5圖為說明本發明實施例電子裝置100處理開機套件的流程圖。處理流程從步驟510開始，識別符記根據第一公開鑰匙產生，並隨著開機套件之請求傳送至服務供應方 200。識別符記可根據第4圖產生。第一公開鑰匙是包含第一公開鑰匙及相對應第一私密鑰匙之鑰匙對的其中之一。第一公開鑰匙是電子裝置100所擁有，而第一私密鑰匙是服務供應方200所擁有。接下來從服務供應方200接收對應於識別符記之驗證符記及安全開機套件(在步驟520中)。識別符記、驗證符記及安全開機套件可以經由無線協定傳輸及/或經由一儲存裝置存取。舉例來說，驗證符記及安全開機套件可以被下載並儲存於數位安全記憶卡或微型數位安全記憶卡中。電子裝置100之後根據第一公開鑰匙在步驟530中驗證驗證符記。驗證符記之驗證可先用第一公開鑰匙解密驗證符記，再確認其中之內容。當確認驗證符記後，電子裝置100接下來在步驟540中根據第二公開鑰匙驗證安全開機套件。相似地，第二公開鑰匙可對應於用以加簽或加密安全開機套件之第二私密鑰匙。接著在步驟550中，安全開機套件根據驗證結果被執行。若驗證失敗，安全開機套件不被執行且被拋棄。若驗證成功，安全開機套件在電子裝置100之安全區域中被執行。當完成安全開機套件的執行後，電子裝置100經由正常程序重新啟動且進入作業系統。識別符記及安全開機套件可以從電子裝置100中移除。請注意用以產生識別符記之隨機資料亦會被清除且無法再次使用。

第6圖為說明本發明實施例產生驗證符記及安全開機套件的示意圖。如上所述，驗證符記是當從電子裝置100接收過來之識別符記被確認後所產生。識別符記之內容可用以產生驗證符記，以使驗證符記只能被傳送方的識別符記所驗證。在本實施例中，電子裝置100的識別資料及隨機資料是用來根據第二演算法及第一私密鑰匙產生驗證符記。第一私密鑰匙是和第4圖之第一公開鑰匙成對，且第二演算法亦可以是任何形式之加密演算法。在本發明其他實施例中，其他資料亦可以加入驗證符記中，例如其他需要驗證之資料。在本發明其他實施例中，驗證符記之內容可以在加密前先經過處理，例如經過雜湊(hash)操作。電子裝置100請求之開機套件是利用第二私密鑰匙經由第三演算法處理以產生安全開機套件。第二私密鑰匙是和電子裝置100擁有的第二公開鑰匙成對，且第三演算法亦可以是任何形式之加密/壓縮演算法或使用數位簽章之演算法。在第4圖及第6圖的實施例中，鑰匙對可於製造過程中分配至電子裝置100，或者於服務供應方200之特定安全註冊程序中請求而得，且鑰匙對可儲存於只能在安全區域中存取之安全記憶體。

第7圖說明本發明實施例服務供應方200處理安全開機套件的流程圖。首先，在步驟710中，識別符記連同請求被服務供應方200所接收，該請求是用以要求執行特定工作之開機套件。在傳送開機套件之前，識別符記在步驟720中根據第一私密鑰匙被驗證。識別符記包含請求傳送方之身分資訊，且是利用和第一私密鑰匙成對之第一公開鑰匙所產生。再者，識別符記可以被檢驗以確認請求傳送方是否和服務供應方200有關聯，例如由服務供應方200製造、曾向服務供應方200註冊及/或其他關係。服務供應方200亦可以記錄對應於請求之事件，事件可包含請求裝置之身分、接收到請求之時間、請求之形式及確認結果等資訊。

當識別符記被確認後，在步驟730中，服務供應方200根據識別符記之內容及第一私密鑰匙產生驗證符記。為了確保服務供應方 200之回應傳送至正確的請求裝置，驗證符記可包含識別符記中的識別資料及隨機資料，以使驗證符記只能被產生上述資料的請求裝置所驗證。為了提供較佳的保護，識別資料及隨機資料在被第一私密鑰匙加密前可以經過某些操作(例如雜湊操作)之前處理。在本發明其他實施例中，驗證符記亦可以包含其他必要之資訊。之後在步驟740中，對應於請求之開機套件根據第二私密鑰匙被保護。開機套件可以被第二私密鑰匙產生之簽章加簽。在步驟750中，驗證符記隨著安全開機套件被傳送之請求裝置。在本發明的一實施例中，符記及安全開機套件可以經由無線協定傳送。在本發明的其他實施例中，驗證符記及安全開機套件可以儲存於可被電子裝置100存取之儲存裝置中，例如數位安全卡。

第8圖說明本發明實施例電子裝置100驗證開機套件的示意圖。當接收到驗證符記及安全開機套件後，電子裝置100於執行前需要驗證兩者，以確保安全開機套件是從可信任的服務供應方接收過來。驗證符記根據第一公開鑰匙經過第四演算法處理。第四演算法可對應於第6圖第二演算法之解密演算法，且第一公開鑰匙是和第一私密鑰匙成對。因此，驗證符記可以被解密成識別資料及隨機資料。電子裝置100可將解密的識別資料和其自身的識別資料進行比對以確認驗證符記是從服務供應方傳來，且確認其是正確的接收方。解密的隨機資料亦可和第4圖之隨機資料進行比對。安全開機套件是根據第二私密鑰匙經過第五演算法處理以確認開機套件。第五演算法可以是對應於第6圖第三演算法之解密/解壓縮演算法，且第二公開鑰匙是和第二私密鑰匙成對。請注意鑰匙對的公開鑰匙是由電子裝置100所持有，而鑰匙對的私密鑰匙是由服務供應方200所持有。在本發明其他實施例中，第二鑰匙對可以加密於驗證符記中，且電子裝置100只能在確認驗證符記後才能得到第二公開鑰匙。在服務供應方200提供開機套件至複數個電子裝置100的情況中，不同電子裝置的鑰匙對是相異的。用以產生及驗證符記的演算法及鑰匙可於製造過程中儲存於電子裝置100的安全區域內，或經由特定註冊程序請求而得。

在本發明的一實施例中，電子裝置可以是手持式裝置，例如智慧型手機、平板電腦、遊戲機、個人數位助理、多媒體播放器及/或其他裝置。在本發明的一實施例中，暫時安全開機流程可以被特定之使用者輸入所啟動，例如裝置開機時長按電源鍵和home鍵。在本發明的另一實施例中，暫時安全開機流程可以於安全區域中被加載程序所執行，或由Trustzone技術實施之軟體所執行。符記及開機套件可以經由無線傳輸或硬體連接方式傳送至儲存裝置，例如安全數位記憶卡及通用序列埠(USB)外接記憶體等。

以上所述僅為本發明之較佳實施例，凡依本發明申請專利範圍所做之均等變化與修飾，皆應屬本發明之涵蓋範圍。

100‧‧‧電子裝置

110‧‧‧處理器

120‧‧‧安全區域

130‧‧‧符記產生器

140‧‧‧符記驗證單元

150‧‧‧開機套件執行單元

160‧‧‧鑰匙對單元

170‧‧‧通訊介面

200‧‧‧服務供應方

310-390,510-560,710-750‧‧‧步驟

第1圖為說明本發明實施例之安全開機處理系統的示意圖。

第2圖為本發明實施例之電子裝置的方塊圖。

第3圖為說明本發明實施例之安全開機方法的流程圖。

第4圖為說明本發明實施例產生識別符記的示意圖。

第5圖為說明本發明實施例電子裝置處理開機套件的流程圖。

第6圖為說明本發明實施例產生驗證符記及安全開機套件的示意圖。

第7圖說明本發明實施例服務供應方處理安全開機套件的流程圖。

第8圖說明本發明實施例電子裝置驗證開機套件的示意圖。

310-390‧‧‧步驟

Claims

一種用於一電子裝置之暫時安全開機流程之方法，包含：根據該電子裝置之一識別資料產生一第一符記；隨著該第一符記傳送一請求至一服務供應方，該請求對應於一開機套件；從該服務供應方接收一第二符記及一開機套件；驗證該第二符記及該開機套件；及根據驗證結果執行該開機套件。
如請求項1所述之方法，另包含：當完成該開機套件之執行後重新啟動該電子裝置。
如請求項1所述之方法，其中產生該第一符記包含：產生隨機資料；及根據一第一鑰匙加密該識別資料及該隨機資料。
如請求項1所述之方法，其中驗證該第二符記及該開機套件包含：利用該第一鑰匙解密該第二符記；利用該識別資料確認該第二符記之內容；及當該第二符記被確認後，利用一第二鑰匙驗證該開機套件。
如請求項3所述之方法，另包含從該電子裝置中清除該隨機資料。
如請求項1所述之方法，其中該識別資料是以下其中之一：裝置序列碼、國際移動設備識別(international mobile equipment identity,IMEI)碼、媒體存取控制位址(MAC address)及國際行動用戶識別(international mobile subscriber identification,IMSI)碼。
如請求項1所述之方法，其中執行該開機套件是於該電子裝置之一安全區域中執行。
一種用於暫時開機流程之系統，包含：一電子裝置，用以利用一處理器執行至少一作業系統，該處理器包含：一符記產生器，用以根據一第一鑰匙產生一第一符記；一符記驗證單元，用以根據一第一鑰匙對之該第一鑰匙驗證一第二符記；一開機套件執行單元，用以根據該第二符記之驗證執行一安全開機套件；及一鑰匙對單元，用以儲存至少該第一鑰匙，該第一鑰匙係該第一鑰匙對之其中之一鑰匙。
如請求項8所述之系統，另包含：一通訊介面單元，設置於該電子裝置中，用以傳送該第一符記，及接收該第二符記及該安全開機套件；及一服務供應方，用以驗證該第一符記，根據該第一鑰匙對之一第二鑰匙產生該第二符記，及依照該第一符記之驗證結果根據一第二鑰匙對之一第三鑰匙產生該安全開機套件。
如請求項8所述之系統，其中該符記產生器更進一步用以根據該第一鑰匙加密該電子裝置之一識別資料及一隨機資料以產生該第一符記。
如請求項9所述之系統，其中該服務供應方更進一步用以根據該第二鑰匙加密該第一符記之內容以產生該第二符記，及利用該第三鑰匙加簽一開機套件以產生該安全開機套件。
如請求項8所述之系統，其中該開機套件執行單元更進一步用以根據一第二鑰匙對之一第四鑰匙驗證該安全開機套件。
如請求項12所述之系統，其中該第一鑰匙對是一RSA鑰匙對，該第一鑰匙是一公開鑰匙，且該第二鑰匙是一私密鑰匙；該第二鑰匙對是另一RSA鑰匙對，該第四鑰匙是一公開鑰匙，且該第三鑰匙是一私密鑰匙。
如請求項12所述之系統，其中該第四鑰匙是被該服務供應方加密於該第二符記中，且可由該電子裝置解密該第二符記而獲得。
如請求項8所述之系統，其中該安全開機套件是下載於該電子裝置可存取之儲存裝置中。
如請求項8所述之系統，其中該處理器更進一步用以當該安全開機套件執行完成時重新啟動該電子裝置，且執行該作業系統。
如請求項8所述之系統，其中該符記產生器、該符記驗證單元、該開機套件執行單元及該鑰匙對單元是在該電子裝置之一安全區域中執行，且該安全區域無法被該作業系統存取。
一種開機套件處理方法，包含：從一電子裝置接收一請求及一第一符記；根據該第一符記驗證該電子裝置之身分；當該電子裝置之身分被確認時，產生包含該第一符記之至少部分內容的一第二符記；保護對應於該請求之開機套件；及傳送該第二符記及該被保護之開機套件至該電子裝置。
如請求項18所述之方法，其中該驗證該電子裝置之身分的步驟另包含根據一第一鑰匙對之一第二鑰匙解密該第一符記以得到該電子裝置之一識別資料及一隨機資料，其中該第一符記是由該第一鑰匙對之一第一鑰匙產生。
如請求項19所述之方法，其中該產生該第二符記的步驟另包含利用該第一鑰匙加密至少該識別資料及該隨機資料。