可信根的制作方法

各种实施例涉及一种装置并且一种半导体装置。各种实施例涉及传输可信根的技术。

背景技术：

在半导体制造和硅芯片产品的生产中，制造商的或供应商的芯片是用形式为被构建到芯片的布局设计中的电子电路的所有硬件创建的。然而，产品仍需要以如由最终顾客所期望的特定方式运行。现在的许多网络处理器（包括网关和机顶盒处理器）需要操作系统（OS）。正如新的个人计算机（PC）必须安装OS（无论这是MS Windows、Linux还是其它）一样，网络处理器也需要OS，其需要在使用之前被安装。

在过去，并且现在仍是这样，芯片制造商用被用于识别的专用密钥材料来对针对最终用户的网络处理器编程。然而，变得越来越典型的是网络处理器由原始设备或装置制造商（OEM或ODM）供应，于是OEM/ODM设计ROM或其它类似装置以驱动由ODM提供的特定特征。

有问题的是，允许从制造过程下游供应OS从安全观点出发是更有风险的。软件攻击者例如可以在OS安装规程期间向芯片中安装恶意软件或间谍软件。通常，芯片在制造中被转送到数个OEM或ODM开发者以实现个性化安装并被供应。在沿着此链的任何地方，攻击者都可能能够插入攻击软件。

另一问题随着物联网/万物网和物云（cloud of things）（IoT/E）、（CoT）缓慢地起飞而出现。精确的结构还不清楚物联网将看起来像什么，但是变得越来越清楚的是其将类似我们现在具有的因特网——具有更多对象、互连、自主性以及针对安全违背的显著更多的机会。

根据研究机构Gartner和ABI研究，到2020年，在IoT/E、CoT上将存在250亿与300亿之间某处的装置。最终，每个人和每个东西将可能具有唯一的IP地址。事实是IP地址即将至于IoT的对象正如现在社会保险号之于人们。IoT，每个东西和每个人将真实地是号码——和可能的攻击矢量。

取决于芯片的最终用途，此类攻击的效果可以在从损害至安全或保密信息的严重违背的任何地方。例如，在网关和STB中，攻击者可以在OS安装期间向用户的装置安装后门，从而能够获得关于用户的机密信息，包括银行业务和个人细节。

特别地随着在诸如网络处理器的情况下的OS的普遍安装，问题是指数的。攻击者只需要在主OS内部设立一次攻击，然后OEM或ODM就将不安全的OS系统安装到数千个且可能是数百万个单元中。在那种情况下，攻击者将可以访问因特网上的大批装置。此类攻击者可以例如用制造过程的一次渗入而将数十万个用户网关变成机器人。

攻击者已被证明是相当富有创造力的（ingenuitive），并且已使用各种方法来在产品过程中渗入芯片，包括一种特洛伊木马。例如，存在定制图像，其提供可用于从因特网（其中用户相信图像是出于善意被准备的）下载的更高级特征。那些图像也可能干扰运营商（operator）网络中的特定特征。

像目前工艺水平的机顶盒和网关那样的数个系统现在使用安全启动（boot）机制来禁止窜改将在此类装置上执行的软件。用以确保此类安全启动机制的现在的机制通过在芯片供应商的制造过程期间向半导体装置中设立一个或多个密钥（在私钥-公钥对【不对称】，或者同样地2个私钥【对称】的意义上的密钥）来起动（start）其可信根（RoT）。

此类RoT密钥可以通过在芯片供应商装置生产期间熔合某些位/寄存器以在密钥中进行硬编码或者使用装置上的OTP（一次性编程）实体来完成。两个系统都是已知的，并且在这里将不阐述。闪速存储器或EE2PROM存储器上的密钥存储过去也正被使用，但是被认为是可攻击的，并且被芯片上供应所取代。

一次性口令（OTP）是对仅一个登录会话或交易有效的口令。OTP避免与传统（静态）口令相关联的许多缺点。由OTP处理的最重要的缺点是：与静态口令相反，其不容易重演攻击。这意味着设法记录已经被用来登录到服务中或实施业务的OTP的潜在入侵者将不能够滥用该OTP，由于其将不再有效。缺点是OTP对于人类而言难以记忆。因此其需要附加的技术来工作。在任何事件中，OTP不真正处理位于芯片生产过程的OEM/ODM部分的攻击者的问题。大概，在该阶段可以访问芯片的攻击者将可以访问OTP。

可信平台模块（TPM）和此组件周围的基础设施是尝试在平台中构建一系列“可信根”的行业。“在早期”，可信平台模块仅仅被联系到半导体（硬件）架构。事情随着用于智能卡技术的安全元件（SE）装置和被并入到通用处理器架构中的可信执行环境（TEE）的发明而演进。已被遗漏的是被嵌入在片上系统（SoC）中的集成可信根，其为SoC架构提供基于硅的安全——以使TEE针对软件攻击和穿透攻击两者变坚固的方式。

在高层级，TPM通常是具有被附着到计算机系统上的总线的集成闪存/储存器的微控制器。但是它也可以是虚拟装置，或者被集成到芯片组中。其基于用于密码处理器——被设计成通过将密码密钥集成到装置中来防护硬件安全的专用微处理器的国际标准。图10示出能够经由主机I/O接口1002被连接到系统的TPM芯片1000。如果TPM被集成到芯片中，则其将可能被制作为IP或功能块。每个TPM芯片包含称为签注密钥（EK）的RSA 1004（缩写RSA取自算法开发者Ron Rivest、Aki Shamir和Leonard Adelman的首字母）密钥对。该对被保持在芯片内部，并且不可以被软件访问。存储根密钥（SRK）是在用户或管理员用密钥生成单元1006取得系统的所有权时被创建的。此密钥对由TPM基于EK和所有者规定的口令生成。

由证明身份密钥AIK单元1008提供的称为证明身份密钥（AIK）的第二密钥通过在其被执行之前散列固件和软件的关键区段而保护装置免受未经授权的固件和软件修改。当系统尝试连接到网络时，杂乱信号被发送到验证其匹配期望值的服务器。如果任何散列组件自从最后起动以来已被修改，则匹配将失败，并且系统被拒绝进入网络。

可信平台模块在与可信通电条件组合时形成所谓的可信根（RoT）。可信根由始终被装置的OS信任的TPM内的一组函数构成。RoT起控制其被嵌入其中的装置上的TPM密码处理器的单独计算引擎的作用。RoT提供可信计算特征后面的功能，包括：密钥管理、口令保护、对操作系统或程序的未经授权的改变的检测和报告；在空中（on the fly）驱动加密；根工具箱（rootkit）检测；存储器完整性：用户认证；网络接入；数据保护；基于硬件的数字权限管理（DRM）支持等。一旦被激活，TPM通过到已针对网络开发的其它可信计算组织（TCG）规范的联系（linkage）（诸如，可信网络连接（TNC）和自我加密驱动（SED））来提供增加的安全。

这种连环出击提供可以管理装置的安全集成的能力水平。此类装置包括台式PC、服务器、膝上型计算机以及新兴的移动装置。现在，TNC的网络能力集合为用户提供过于困难、过于昂贵或者另外不切实际而不能递送在早期的实施方式中的安全水平。

在移动性情景中，TCG的移动可信模块（MTM）是针对在移动和嵌入式装置中的使用而开发的安全元件和规范。由于规模经济以及功率和覆盖区约束，其与针对有线计算环境开发的TPM相比具有减少的特征集合。但是其可以与其它装置中的TPM协同工作以实现完整的系统安全。用来开发为移动信任所需要的完整功能的努力继续正在进行的MTM 2.0的开发。用这些规范，网络服务提供商、第三方服务提供商和最终用户全部受益于建立值得信任的行为。

并且针对嵌入式系统阵营，TCG还具有具体地聚焦于此类系统的嵌入式工作组，其将对IoT/E、CoT的对象具有显著影响。该工作组仍处于其初期，其中出来一个规范，但是其主动地利用嵌入式片段工作以赶上跨行业的标准和规范。

虽然可信平台在设计系统时是最佳防火墙中的一个，但其可能未供应如某些应用可能需要的那么严密的阻塞点（choke point）。在许多情况下，可信平台可能很足够。在其它情形下，其可能不足够。要在双方或更多方之间建立经认证的通信和信任以及要保护静止和运动两者中的信息需要既可信又安全的平台。对于运动中的信息，以下是重要的：锁定信息的完整性以确保其在接收端处与其在发送端处是相同的。

随着IoT市场渐渐加速（pick up steam）以供智能家居、工厂、汽车、保健装置以及无数的其它对象使用，稳健的平台安全将变成保证这些IoT基础设施中的每一个内的完整性的强烈要求。为了实现所有这些，将需要丰富的要求、标准、证书以及顺性（compliance）。现在，在大多数情况下，安全被设计到软件中，其用安全启动起动然后初始化操作系统的安全特征。安全确实存在于硬件中，但是通常在支持由于设计而易受攻击的软件方面实现不佳。向前，如果在硬件中适当地实现了安全，则可以将此类攻击限制于单个装置而不是相同类型的所有装置。

从生产流程出发，这意味着密钥所有者（例如，运营商（carrier）或OEM）正在使用经编译的目标图像，并且正在对其加密或者加密并签名。此类私钥的相应对应物由半导体供应商提供，并且在半导体制造过程中此类密钥被以后来不可能改变此类密钥的方式（例如保险丝、eFuse、OTP）被编程到芯片中。此类顾客特定的芯片然后被发送到板制造商，其将装置安装到PCB上并使用经加密的目标图像来编程到文件系统（例如，闪速存储器）中。

此规程的缺点如下。首先，由于装置仅可用具有正确密钥的图像操作，在板生产阶段期间，必须也用也由密钥所有者加密的特殊图像来完成此类板的测试。板生产中的修改或快速反应时间是不可能的。调试和追踪由于此限制而被禁止或非常复杂。

另一缺点是此类生产的半导体装置独有地用于单个项目。供应链必须为每个装置密钥保持缓冲库存，因此使缓冲库存的量倍增，但是同时不允许有供应灵活性并且必须被废弃的未使用的缓冲库存的风险增加。

还有另一缺点在有版权的作品的背景下出现。因特网现在充满有版权的作品的未经授权的使用。从简单的屏幕镜头到被剪辑（rip）的电影，因特网版权侵害是猖獗的。随着物联网变得更加现实，并且实际上家庭中的所有装置都被链接到家庭网关，所以将高清晰度电影直接地从版权所有者下载并流式传输（stream）到家庭用户将变成如烤箱一样的例程。

有问题的是，OS安装阶段处的攻击可以被设计成允许攻击者拦截经下载的/经流式传输的有版权的材料和拷贝。特别地，这个问题使内容提供商对提供高清晰度内容、特别是更新的或流行的电影到达因特网感到扫兴。这种冷却作用已减慢了用于使家庭网关作为技术支柱的主要催化剂中的一个。只要内容提供商抑制内容，用户就将不被鼓励切换至家庭网关物联网。在另一方面，为用户提供安全地访问有版权的内容、特别是有价值的或流行的内容而没有该内容被剪辑掉的威胁的能力将帮助引导在新时代的家庭连接中。

可信平台是正确方向上的一步。仅仅在近几年，其以加密密钥的形式已进入普遍的部署，并且大多数是在计算基础设施中。其具有更多潜力，并且在IoT自主装置的情况下（某些仅价值几便士，其它的价值百万元），可信且受防护（secured）的平台将需要演进。

从安全观点出发，在SoC的设计时处理系统的主处理器的安全并将其贯彻制造供应链直至产品的有效寿命对于建立稳健的基于硅的安全而言是有重大意义的。

到目前为止，尚不存在允许OEM/ODM安全地供应供应商芯片、同时避免或充分地减轻OS或其它OEM/ODM软件/固件安装过程期间的攻击风险的令人满意的方式。

技术实现要素：

因此，存在对安全供应芯片的需要。特别地，存在对于允许减轻OS或其它安装过程期间的攻击风险的技术的需要。

用独立权利要求的特征来满足此需要。从属权利要求限定实施例。

根据一方面，提供了一种处理通信信号的半导体装置。该装置包括第一晶体管逻辑和第二晶体管逻辑。第一晶体管逻辑由第一逻辑提供商以电路形式布置，并且提供半导体装置的最少功能。所述最少功能被用来调上来半导体装置。所述最少功能被使用第一加密密钥加密。第二晶体管逻辑由第二逻辑提供商布置。第二逻辑提供商不同于第一逻辑提供商。第二晶体管逻辑被以电路形式布置以包括能够使用第二加密密钥来执行密码能力的安全密钥。第二晶体管逻辑还包括将半导体装置实行为芯片装置并准备好处理安全通信信号的功能。

根据另一方面，提供了一种芯片组。该芯片组包括存储器、接口以及媒体网关。媒体网关被配置成提供媒体功能。该芯片组还包括被配置成从存储器检索由密码密钥加密的第一启动指令的处理器。处理器被配置成对第一启动指令解密并执行第一启动指令以在启用模式下操作。处理器当在启用模式下操作时被配置成接收配置数据并将包括第二启动指令的配置数据的至少部分写入到存储器。

通过提供第一启动指令，变得可能的是供应芯片组，该芯片组提供允许接收包括至少第二启动指令的配置数据的最少功能。例如，芯片组的供应商因此可以借助于密码密钥来安全地供应芯片组；同时，不需要芯片组的供应商拥有第二启动指令。例如，配置数据可以包括OS或者在软件上。还可以可能的是配置数据包括芯片组的组件的驱动程序；然后，处理器可进一步被配置成响应于执行第二启动指令而安装芯片组的组件的驱动程序。因此可以通过采用密码密钥来有效地防止OS和/或其它软件的安装受到攻击。如从上文将领会到的，从而可以采用2步安全启动或双启动机制。

例如，第二启动指令可以使处理器能够控制用来提供媒体功能的媒体网关。在这方面，第二启动指令在被执行时提供由第一启动指令未提供的功能是可能的。在这种意义上，第二启动指令可以实质上将半导体装置实行为芯片装置，并且可以允许处理安全通信信号。例如，配置数据可以包括选择性地许可对媒体功能的访问的媒体认证证书。例如，媒体认证证书可以对应于DRM密钥。通过仅供应DRM密钥以及配置数据，不需要芯片组的供应商拥有DRM密钥。一般地，不需要配置数据包括媒体认证证书。相反地，可能的是仅在如由第二启动指令初始化的芯片组的操作期间接收媒体认证证书。例如，可能的是第二启动指令使处理器能够接收选择性地许可对媒体功能的访问的媒体认证证书。

可能的是处理器当在启用模式下操作时被配置成禁用超过所述接收配置数据和所述将配置数据的至少部分写入到存储器的任何另外的功能。换言之，在启用模式期间，芯片组的功能可以被限制于基于第二启动指令进行的第二启动的准备。从而，可以有效地防止OS或软件安装期间的攻击。

例如，一旦采用第一启动指令的第一启动已完成且启用模式已完成——即一旦配置数据被写入到存储器——则可能的是第一启动指令的重新执行不再可能。例如，芯片组可以被配置成响应于将配置数据的所述至少部分写入到存储器而禁用第一启动指令的执行。从而，可以有效地防止攻击者在芯片组上安装除预期的配置数据之外的软件。例如，第一启动指令的执行的禁用可以是硬件编程的。

一般地，可以采用安全服务器通信来接收配置数据。安全服务器通信可以减轻所述接收配置数据期间的攻击的风险。

例如，可以使用另一密码密钥对第二启动指令加密。通过采用另一密码密钥，变得可能的是进一步产生针对配置数据（包括例如，OS或另外的软件）的安装期间的攻击的安全水平。另外的密码密钥可以是为运营商所知而不为供应商所知的密钥。因此，运营商的密钥未被暴露给供应商。

根据另一方面，提供了一种方法。该方法包括将被密码密钥加密的第一启动指令写入到存储器。第一启动指令的执行选择性地使能够接收配置数据并将包括第二启动指令的配置数据的至少部分写入到存储器。因此，第一启动指令可以如上文所解释的那样向芯片组提供最少功能。

针对根据目前所讨论的方面的方法，因此可以实现与可以由根据本申请的另一方面的芯片组实现的效果相当的效果。

根据另一方面，提供了一种方法。该方法包括从存储器检索第一启动指令。第一启动指令被用密码密钥加密。该方法还包括对第一启动指令解密。该方法还包括执行第一启动指令以在启用模式下操作。该方法还包括在启用模式下：接收配置数据。该方法还包括在启用模式下：将配置数据的至少部分写入到存储器。配置数据的所述至少部分包括第二启动指令。

针对根据目前所讨论的方面的方法，因此可以实现与可以由根据另外的实施例的芯片组实现的效果相当的效果。

附图说明

在结合附图来阅读时，从以下详细描述，本发明的前述的和附加的特征和效果将变得显而易见，在所述附图中相似的参考数字指代相似的元件。

图1示意性地图示根据各种实施例的可信根的传输。

图2图示根据参考实施方式的可信根的实施方式。

图3示意性地图示根据各种实施例的可信根的传输。

图4图示根据参考实施方式的可信根的实施方式。

图5示意性地图示根据各种实施例的可信根的传输。

图6图示根据各种实施例的安全制造的技术。

图7示意性地图示根据各种实施例的可信根的传输。

图8示意性地图示根据各种实施例的安全制造图像的创建。

图9示意性地图示根据各种实施例的安全制造设置。

图10示意性地图示可信平台模块。

具体实施方式

应将绘图视为示意性表示，并且在绘图中所图示的元件未必按比例示出。相反地，各种元件被表示成使得其功能和一般目的变得对于本领域的技术人员而言显而易见。还可以用间接连接或耦合来实现在绘图中所示出或在本文中所描述的功能块、装置、组件或其它物理或功能单元之间的任何连接或耦合。还可以通过无线连接来建立组件之间的耦合。可以在硬件、固件、软件或其组合中实现功能块。虽然实施例的具有输入接口的便携式电子装置可以是无线通信装置、个人数字助理或具有通信能力的其它便携式装置，但输入接口不限于在此类通信装置中使用。

图1图示安全传输100的最终目标是把来自芯片制造商或执行芯片供应商安全启动104的可信根RoT 102传输到系统安全所有者（例如运营商）108以便允许运营商和/或系统安全所有者106用新的密钥材料来执行安全启动。安全传输应该在安全条件下执行以便确保免于攻击（特别是目的在于特别是在制造线的OEM/ODM部分期间发现密钥的攻击）的保护的可能的最高程度。安全传输的形式可以是传输硬件唯一密钥（HuK）。HUK充当新可信根用于系统安全所有者持有根密钥以生成用于此装置的软件。该传输使用芯片制造商RoT来执行安全启动104，其向装置中编程新的密钥材料。在传输完成之后，装置通常仅允许系统安全所有者安全启动106被用来启动装置。安全启动104和106可以使用装置中的不同硬件功能来存储和检索RoT。

在图2中图示与其中涉及到数字权限管理（DRM）的RoT的传输有关的问题。一般地用参考数字200来示出生产流程，其中芯片供应商202例如通过供应商加工厂（工厂）或通过其自己的工厂来制造芯片，并且以经封装的形式（即，被切割并封装在具有外部连接引脚的塑料外壳中的硅管芯）被装运到系统供应商204。系统供应商204可以是ODM或OEM。一旦安全内容（例如，OS系统或供应商特定特征）被安装在芯片中，芯片就被出售或递送给最终用户并被集成到运营商产品206中。最终产品可以是来自被安装在例如调制解调器盒、STB或者甚至智能电话中的网关的任何东西。

在典型的情形中，诸如ODM或OEM 210的运营商210可能期望将其自己的特征或OS安装到芯片中。运营商210可以例如是网络运营商。进一步可能是运营商可能期望激活芯片或将芯片设立为安全芯片以诸如从内容所有者208上载有版权的内容。例如，运营商210想要出售芯片，该芯片将被集成到STB等（即，调制解调器或智能电话）中，其能够接收经上载的或流式传输的电影并将其解密。在前一种情况下，运营商210向芯片供应商提供密码密钥，并且在后者中，内容所有者208向运营商210提供DRM密钥和/或密码密钥，该运营商210然后将向芯片供应商提供密钥/DRM密钥（或两者）。芯片供应商202然后将密码密钥或DRM密钥（或两者）安装到芯片中。在生产过程中进一步向下游，系统供应商使用密码密钥来安装特殊特征软件/固件或OS。这还可以包括将DRM密钥安装到特殊软件中作为例如用来验证对特定电影或频道的访问的真实性的安全认证过程的部分。

在以上情形中出现令人烦恼的问题，因为芯片供应商被委托给运营商的密钥。更坏的是，芯片供应商甚至可以具有用于DRM受防护的内容的密钥。在其中有版权的内容被非法检索的情况下，可以很好在场（court）中发现供应商已疏忽了密钥的管理。在有版权的内容具有高价值（诸如，轰动的电影）的场合，例如，供应商可能对数百万美元的损失应负责任。为了避免这些令人烦恼的问题，在这里提出的解决方案提供一种安全启动机制，其限制密钥或至少与芯片或DRM内容的访问有关的关键密钥。

在图3中图示被提出的机制的基本原理。在图中示出芯片供应商301，其可以是DMK（装置制造商密钥）306（例如，Lantiq制造商密钥（LMK））的所有者。

更详细地，图示2步安全启动或双启动机制，其将系统安全所有者的安全启动从芯片供应商解耦。最初，系统安全所有者例如在供应商的站点处可以创建符合芯片供应商可信根303的图像。例如由芯片供应商301制造并封装的芯片供应商封装的装置可以允许仅可信的软件将被加载以执行RoT传输。其经由硬件、固件或软件将经加密的启动机制安装到芯片上，从而给安全启动使能的产品提供例如产品安全图像。芯片供应商301例如创建密钥（其可以是主密钥或本机主密钥，例如装置制造商密钥（DMK或LMK）380），并且使用此密钥来在芯片上或与芯片相关联地锁定或加密安全启动规程（如一般地用308和309所示出）。可以在该管芯、相邻管芯或板上的安装之前将安全启动规程存储或预先存储于在相同管芯上或被连接到那里的关联存储器（未示出）（诸如，ROM、高速缓冲存储器等）中。出于安全的目的，可能可行的是将安全启动规程存储在相同封装中或相同管芯上，否则攻击者可能尝试通过除去外部存储器装置并分析该存储器装置来获得密钥。

经加密的RoT传输启动包括至少最少功能以便在低级操作模式下起动芯片。例如，芯片供应商301安装所谓的启用规程，其在用正确的密钥（例如，DMK 380）被解密或打开时能够执行启用例程并进入起动芯片的基本功能的启用模式。因此，还可以将该启用规程称为基于第一启动指令。

在一个实施例中，所提供的基本功能是使系统安全所有者或运营商能够安装他或她的密码密钥381和/或DRM证书302a。在这里，系统安全所有者或运营商可以将密码密钥381和/或DRM证书302a写入到存储器。此功能且只有此功能可以是由启用模式提供的唯一功能，例如可信根的传输。换言之，该启用例程具体地起作用以使产品安全，并将证书传输到OTP或非易失性存储器中。

芯片供应商301与系统安全所有者（可以是服务提供商/运营商）共享可信根传输密钥材料303。这使系统安全所有者能够使用软件构建工具305来创建RoT传输图像309。

系统安全所有者将向此图像添加新的RoT密钥材料和附加证书（例如，从内容所有者接收到的DRM/CA证书302a）。此材料可以被手动地306a或者使用安全服务器通信方法306b来添加。

一旦启用规程被安装320，则启动程序或装置被有效地锁定，并且在一个实施例中，芯片被提供给运营商310，其可以是诸如Deutsche Telekom AG（DTAG）的网络提供商或诸如Warner Bros的内容提供商。替换地，内容所有者或提供商312可以与运营商或服务提供商310分离，并且向运营商或系统安全所有者310或307供应DRM或CA密钥302a。首先执行启动程序所必需的密码密钥380被转交给运营商，从而有效地将RoT传输给新的所有者，即运营商310。

应领会到在该点处，芯片供应商不再处于安全图片中，即芯片供应商不可以访问运营商的或系统安全所有者的密码或DRM密钥302a。这在内容提供商安装被用来将有版权的内容锁定和解锁的DRM密钥302a的情况下是特别重要的。在那种情况下，保护芯片供应商306或301在DRM密钥302a被盗或被破坏的事件中免受任何错误的行为或不法行为。在其中被盗内容是轰动的影片的情况下，损害可能是灾难性的。这是启动的第一时期（phase）。芯片供应商装置304现在仅仅用来自系统安全所有者的可信软件进行操作。

在启动的第二时期中，系统供应商304将其安全密钥存储在芯片上。这可以例如通过将密钥首先传输到安全服务器316来完成。在将系统供应商密钥传输到安全服务器的情况下，系统供应商的雇员不可以访问密钥——他们请求服务器为他们提供密钥以将所述密钥直接地安装在芯片上。应领会到可以将第一和第二启动视为分叉（bi-furcate）启动或两时期启动。

第一启动

现在将更详细地描述第一启动，其一般地在图3中被参考为（1）。第一启动可以采用第一启动指令。

时期1：出于特定目的而设计或已设计并生产或已生产半导体芯片的芯片供应商装置304或芯片供应商301提供工具，该工具允许系统安全所有者（运营商、ODM或OEM）具有带有被创建的安全图像320或309的芯片，其中第一启动的该第一阶段被锁定到芯片装置304和芯片供应商301，使得如果您想要起动供应装置，则没有人可以将其替换。芯片供应商因此提供被使能的装置以接受系统安全所有者（运营商、OEM或ODM）的证书302a编程。

时期2：在所述阶段被执行之后，系统供应商可以可选地执行系统的生产相关测试，并且设立芯片的特定部分（如在半导体行业中——甚至在现在的半导体产品中通常那样）。执行这样的生产相关软件在具有专用处理器资源和芯片硬件隔离的硬件隔离系统中运行。时期1环境不可以被时期2软件或时期2硬件模块访问。芯片供应商或生产测试软件触发（start up）产品时期或时期2相关硬件并且调上来接口，所述接口包括系统和WLAN接口。参数的WLAN校准甚至可以在此时发生。在芯片通过此时期之后，生产测试软件将测试的完成和结果用信号通知时期1硬件。时期1环境进入第一启动的下一阶段。

时期3：时期1环境对系统安全所有者软件进行认证，在图3中被提及为（2）；在这里，可以说可信根传输发生。系统安全所有者然后将DRM证书302a安装到OTP内部的装置（在芯片存储器上——无论使用哪一个内部存储器），并且在安装的末端使装置能够准备好第二阶段或安全启动，即生产性安全启动或生产性安全启动产品，其也可以被称为制造安全启动产品；第二启动可以基于在第一启动的时期3中安装的第二启动指令。从这一点向前，使装置能够仅允许第二安全启动可信根运行。在一个实施例中，第一启动阶段绝不可以在芯片上再次运行。如可以看到的那样，在这里，DRM证书302是预先构建的，即包括用于第二阶段的控制数据的相应控制数据已经包括DRM证书302a。

用于安全启动的证书和用于DRM 302a的证书可选地两者都在此阶段进入芯片中。在另一个实施例中，从安全服务器306b安装用于DRM 302a的证书。可以从芯片供应商301或其它提供工具（诸如，企业网络应用）以允许系统安全所有者或供应商构建图像。在那种情况下，系统供应商或其它可以为第一启动的下一阶段限定密钥381。

系统安全所有者307构建第三阶段，所述第三阶段构建“制造图像”以向其传输可信根。

这可以在运营商站点（即，提供安装用于第二安全启动的DRM 302a和证书所需要的工具的DTAG或其它）处完成。当对单元进行测试时，可以在制造线中使用此图像。从那时起，使用这些证书对芯片进行访问、更新或修改。

在另一实施例中，替代使DRM/CA密钥302a被预先构建到第3阶段中，在第3阶段的执行期间安装DRM和安全启动和/或DRM/CA密钥。在此第3阶段，芯片将使用例如软件守护程序（daemon）（其实际上对网络中的安全服务器进行认证）来对其本身进行认证。此认证使用补充认证过程的芯片硬件模块。在一个设立中，工具置于芯片321上。在其中安全图像309被加载到装置320并在芯片321上运行的位置中，将建立用以与持有密钥的安全服务器306b通信的协议以检索密钥。这些密钥然后在芯片非易失性存储器中被编程。最后，可信根传输（2）阶段将设置硬件位以关闭RoT传输。这与早先描述的预先构建方法相反。

作为边注，ASK（或证书）用以起动证书并且此证书被借助于PGP证书在芯片供应商与系统所有者314之间交换。这可以用由系统所有者实践的无论什么安全方式来完成。

第二启动

参考图3，应一般地参考（3）来解释第二启动阶段。第二启动使用非易失性存储器（例如，OTP）中的证书来以系统安全所有者密钥381保护的安全启动来起动装置，以便产品启动的密钥381现在是只有系统安全所有者知道的密钥。第二启动可以采用第二启动指令。

此阶段包括将被用来启用媒体网关功能的DRM证书302a。在提出的解决方案的安全启动的情况下，芯片供应商既未获得也未被暴露于DRM证书302a，因为DRM证书在系统安全所有者阶段进来。

在此点处，OEM或ODM或者拥有芯片的实体能够将特征的其余部分安装到芯片中以完成设立，即安装芯片组的组件的驱动程序。这可以包括构成其产品的特定供应的专有特征。这些可以包括例如传统宽带能力、省电选项、用户接口等。OEM或ODM添加的功能也可以被加密，并且可以仅用适当的证书访问。例如，最终用户可能需要在购买最终产品（诸如，路由器或机顶盒（STB））之后或者在日常使用期间采用适当的证书来起动芯片。

随着对本申请的发明的实体的先前采用的技术400的回顾（参见图4），所提出的解决方案的伴随优点应容易显而易见。在这种情况下，芯片供应商402本质上在其制造过程的阶段处完全设立芯片，并且产生运营商和产品系列特定的芯片。在这种情况下，运营商404将其证书和/或DRM/CA证书提供给芯片供应商402。DRM/CA证书甚至可以已由内容所有者406提供。证书和/或DRM/CA证书甚至可以通过系统供应商来提供。除安装证书以运行芯片之外，芯片供应商还可以在芯片中设立运营商特定的特征。

当然，采取所有的预防措施以确保证书和/或DRM/CA证书不受损害。然而，如果存在安全违背，则芯片供应商402可以发现难以证明未发生不法行为。外面攻击的证据可能未留下用以证明芯片供应商不应受罚的痕迹。继续，OEM/ODM 410可以替代地在其制造过程的阶段处提供其自己的功能。

参考图5应更好地领会到提出的解决方案的伴随优点。在这里，清楚看见的是芯片供应商502从未接触系统安全所有者（例如，运营商）504的证书或内容所有者506的DRM或CA证书。

在制造技术方面已参考图3描述了所提出的解决方案。所提出的解决方案还被表征为一种启动装置，其具有仅足以用于以下目的的功能：允许芯片用最少功能启动，以便允许芯片然后被安装有系统安全所有者（例如，运营商）502的证书或者内容所有者504的DRM或CA证书。所述最少功能意指经加密的启动至少包括最少功能以便在低级操作模式下起动芯片。例如，芯片供应商502安装所谓的启用规程，其在被用正确的密钥解密或打开时能够执行启用例程并进入起动芯片的基本功能的启用模式。在一个实施例中，所提供的基本功能是使运营商能够安装他或她的密码密钥和/或DRM证书。此功能且仅此功能可以是由启用模式提供的唯一功能。换言之，启用例程具体地起作用以使产品安全并将证书传输到非易失性存储器（例如，OTP）中。

所提出的解决方案也是可以应用于如图6中所示出的制造周期或制造线600的安全制造解决方案。在芯片供应商的环境602中在晶片生产604处开始，其产生安全制造模式使能的装置。在一个实施例中，直接地在芯片上将所述最少功能创建为硬件例如晶体管、电路或其它逻辑等。芯片供应商602安装所谓的启用规程，其在被用正确的密钥解密或打开时能够执行启用例程并进入起动芯片的基本功能的启用模式。在一个实施例中，所提供的基本功能是使运营商能够安装他或她的密码密钥和/或DRM证书。此功能且仅此功能可以是由启用模式提供的唯一功能。换言之，启用例程具体地起作用以使产品安全并将证书传输到OTP中。

在制造技术的此时期中，芯片可选地被单片化，换言之被从晶片切割，并如由最终客户所需要的那样用适当的导线和引脚布局封装到塑料（或在半导体行业中采用的其它典型材料）外壳中。经封装的芯片被测试，例如经受后端（BE）测试。该提出的解决方案中的BE测试将局限于被安装在装置上的功能的最小集合。

在接下来的一系列制造技术中，经封装的或未经封装的装置被以物理方式在所有权方面转移到ODM或OEM 607。在许多实例中，芯片或经封装的装置可以位于相同位置中，即所有权而不是芯片或经封装的装置的位置被转移。

可选地，在装置被供电时，ODM或OEM 607可以执行ICT、飞针（flying probe）、边界扫描或功能测试（包括硬件或软件评估）中的一个或多个，如一般地被称为608。可选地，ODM或OEM 607可以通过根据逻辑方案设置晶体管来向闪速存储器或存储器/可编程逻辑（诸如，PROM等）中安装逻辑。后者可以例如用施加于被安装在PC板上的装置的PCB测试图像来执行。

在有或没有由ODM或OEM 607进行的测试的情况下，ODM或OEM安装安全制造图像。如参考先前的图所描述的那样，安全制造图像609可以包括ODM或OEM期望被构建到装置上的特定功能。ODM或OEM在安全制造图像内包括内容所有者的证书或DRM或CA证书（图3）。

现在参考图7，现在将描述安全制造图像工具700（此后简称为图像工具）。图像工具700是系统安全所有者（图3）或ODM或OEM用来安装其安全制造图像（其供应产品关键组件）的那种工具。其还允许系统安全所有者ODM或OEM生成安全启动图像，意指用内容所有者的证书或DRM或CA证书来防护的启动图像。在图像工具的一个方面中，图像仅在ODM或OEM处的制造期间被使用一次，并且不可以在相同芯片上被再次使用。

在产品中被供应的关键组件受到根密钥的密码保护。特征证书由芯片供应商在702处提供。

产品测试软件进一步由ODM或OEM（所谓的中间人，其向系统安全所有者提供制造软件和启动参数）在704处提供。在一个方面中，制造软件和启动参数由OEM提供且不为ODM所知道。在后一种情况下，ODM然后接收安全制造图像709或安装其自己的制造流程。

系统安全所有者（例如，运营商）在708处可以可选地使用图像工具以便对装置或所提供的组件进行签名和或加密。在一个方面中，系统安全所有者（例如，运营商）使用一次性口令或非易失性存储器图像工具来创建用于芯片的密钥材料，签名并添加加密密钥。

如一般地用参考708在图7中所示出那样，工具被从一方传递至另一方，并且每一方都添加其密钥。该工具可以被系统安全所有者操作从而组合来自每一方的组件。通过使用安全制造图像工具，系统安全所有者将获得安全制造图像作为输出。

参考图8将更好地理解安全制造图像创建800，其中应看到的是安全制造图像（SMI）802由报头802a和多个分立阶段802b..n构成。报头802a包括用以通知启动ROM该图像是‘LQ-安全的’的参数。报头802a可以包括DDR调整参数。报头还可以包括一个或多个阶段的长度和/或地址，其后来被用于制造技术中以允许ODM或OEM访问稍后的阶段。优选地诸如用已经描述的LMK（其可以是AES，诸如256位AES）来对参数加密。

优选地，报头802a仅包括参数，并且不被允许具有可以用来绕过ROM代码的可执行逻辑。作为另一选项，芯片供应商特定的特征证书可以被添加在LQ报头之后。由于证书被加密，其只需要在固定位置处传递，以便启动加载程序可以将它解密并使用它。在此点处的芯片被置于安全模式中作为给ROM代码的指示以预期报头之后的Lantiq特征证书。

在一个方面中，LMK被硬接线为芯片的逻辑的部分。可以例如使LMK仅从读取时清零寄存器（一旦寄存器被读取该寄存器就被清零）可读取。在提出的解决方案的另一方面中，芯片可以被用作非安全装置，并被设置成“非安全”模式。在那种情况下，LMK密钥将被丢弃。针对“安全”模式，使用LMK密钥来对一个或多个稍后的阶段解密，但是最值得注意的是图像的第一阶段。

AES通常被作为可递送内容的部分被提供给被供应有安全制造工具的芯片的最终所有者。当然，不同的用户将接收到不同的AES。AES在一个方面需要用来对针对用户的DSA公钥和“顾客256位AES PSO”加密。第一阶段启动加载程序代码包括此密钥并将允许Lantiq不释放启动加载程序代码。启动加载程序可以保持为经加密的二进制。

应该经由UGW将供应工具释放给顾客。- 将使用图8中的流程来生成“Lantiq特征证书”。工具的输出应该是“PGP加密的供应文件”，其包括32位LQ证书ID（LCID）、OEM配置、OEMC寄存器（仅RD）和PPM寄存器（仅RD）内容。

在至少第一阶段802a中，使用AES密钥来读取报头。在通过AES密钥测试之后，该阶段进入安全模式。由芯片供应商安装的启动装置在由报头指示的地址处被解密并被执行。在第二阶段中，启动装置被激活并使用LMK密钥来对需要被执行的任何逻辑解密。在阶段3中，执行安全产品密钥的OPT编程。

应领会到可以将在本文中提供的所提出的解决方案实现为软件、固件、硬件、晶体管逻辑或可重新布置的逻辑。然而，为了保证安全水平，以物理形式（即，固件、硬件、晶体管逻辑或可重新布置的逻辑）提供所提出的解决方案中的一个、多个或所有方面将是必要的。

为了促进所提出的解决方案的安全方面，进一步提供可以包括数个安全数据库库（database library）的安全数据库系统804。在一个方面中，安全数据库系统包括由芯片供应商所有的数据库806。优选地，芯片供应商的可信雇员——所谓的安全主管可以访问数据库。在此类布置中，安全主管的访问被限制，例如只能够访问被加密存储在数据库中且被安装到芯片中的LMK（例如，先前参考图3所讨论的）。在另一布置中，安全主管可能能够使用LMK来起动向芯片中创建安全图像的装置。

在另一方面中，安全数据库系统包括交换数据库808，其被包括在与数据库806相同的数据库中、在数据库806中被分区或者作为物理上分离的数据库。交换数据库包括可以由芯片供应商或OEM/ODM提供的功能和特征。交换数据库将允许任一方开发并供应关于在各方之间共享的功能和特征的改进。

将关于图9来讨论作为本发明的另一方面的OEM或ODM安全制造设置900。在图9中，示出以象形文字方式图示受保护的密钥的位置的密钥阶梯902。LMK 904位于芯片供应商处，其起动安全制造启动技术。板组装线由OEM或ODM控制。LMK是机器生成的密钥例如AES256，其被添加到芯片的RTL，即晶体管逻辑，其可以由自动化工具实现。

在另一实施例中，芯片供应商可以采用附加密钥诸如LCK本地证书密钥906，其是用以对特定特征证书进行认证的动态密钥。LCK还可以用来防护认证并启用高级特征。高级特征例如可以被硬接线到芯片上，并且仅针对特定顾客被激活。

接下来，可以提供相关启动密钥908，其例如还可以是一个或多个安全生产启动阶段。相关启动密钥通常由产品密钥所有者（诸如，运营商或可信ODM或OEM）生成。相关启动密钥通常被存储在安全图像中。

密钥阶梯中的下一个横档图示产品密钥供应910，其中供应硬件唯一密钥和/或生产性安全启动（例如，公共EC-DSA密钥）。除此之外或替换地，在此阶段供应DRM证书。产品密钥供应由产品密钥所有者（诸如，运营商或可信OEM或ODM）生成。

在本文中描述的所提出的解决方案的特定优点是单个芯片设计可以被用于各种最终功能。换言之，单个芯片设计可以涵盖多组功能。在那种意义上，芯片可以取决于哪个密钥被ODM或OEM使用而具有不同的图像或不同的身份。例如，芯片可以包括安全和非安全模式两者。如果OEM或ODM采用不使用密钥来对安全启动解锁的非安全模式，则芯片将在不对芯片的经加密的部分解锁的情况下启动。在那种情况下，芯片可以被用作没有安全能力的正常芯片。例如可能OEM或ODM不需要保护有版权的内容。

在其它情况下，OEM或ODM可能期望产生能够防护内容的芯片。在这种情况下，OEM或ODM设有密钥诸如LMK，其允许它访问安全启动及其它与安全环境相关的特征。

在另一示例中，芯片可以包括用于不同ODM或OEM的不同组的特征。某些OEM或ODM可能希望具有某些功能，诸如具有到较旧标准的传统连接诸如ADSL，而其它ODM或OEM只期望为顾客供应VDSL2产品。

将领会到为根据所提出的解决方案的芯片提供多个用途需要单个芯片设计，其对工厂成本具有巨大影响，并且提供规模经济，由于芯片的单个库存可以被应用于多个用途。这对后勤规划具有大的影响，由于芯片供应商必须不需要估计必须生产多少特定类型的芯片以实现预期销售。此外，如果ODM或OEM取消或返回其订单，则芯片可以被再出售给另一购买者。

尽管已关于某些优选实施例示出并描述了本发明，但本领域的其它技术人员在阅读和理解本说明书时将想到等价物和修改。本发明包括所有此类等价物和修改，并且本发明仅仅由所附权利要求的范围限制。