定。例如,如果SM被启用的1C包含多个处理器,则定制的第一阶段可W设定可W在初始时 由产品供应商125使用的处理器的数量。或者,例如,定制的第一阶段可W设定用于各处理 器的最大时钟速率W抑制欠载的过热或者W匹配在测试145期间确定的最大速率。例如, 安全地存储该样的限制能够防止不诚实的分发商欺骗性地将较低速度的部件备注为较高 速度等级。在未示出的可选实施例中,没有步骤150,并且而是将定制的第一阶段作为步骤 155的一部分来进行。
[005引在步骤155中,定制的第二阶段发生。例如,相同系列的SM被启用的1C可W被进 一步配置成满足用于不同产品供应商的要求。在很多场合中,一些产品供应商可能想要专 口配置的SM被启用的1C。在定制的该阶段期间,SM内核的特征状态可W被更新W定制SM 被启用的1C来满足各产品供应商的需要。更新特征状态可W包括禁用、启用或更改与SM 被启用的1C相关联的一个或多个特征、W及加载附加的密钥或者它们的一些组合。定制的 该第二阶段可W例如由1C制造商110、1C提供商105、产品供应商125、一些其他实体或者 它们的一些组合来进行。尽管成本因素典型地希望维持定制步骤的数量尽可能地小,但是 一些应用也可W采用多于或少于两阶段的定制。注意,定制的两个阶段(150和160)可W 例如分别在1C的晶片级别测试和封装级别测试处进行。
[0059] 在步骤160中,SM被启用的1C被并入到装置内W在产品制造过程期间创建SM被 启用的装置。SM被启用的1C的特征状态在该点上也可W更新。例如,产品供应商可W启用 特征的组合W创建SM被启用的装置的不同产品线。该编程过程能够利用从安全服务120 发布的硬件安全模块而被保证安全(例如,W确保精确的记录被最终提供至计费和报告服 务122)。W该方式,产品供应商125可W仅需要在其库存中取得并保持来自1C提供商105 的单个类型的巧片,接着该巧片可W被用在具有在产品组装期间设定的不同配置的多个产 品中。计费和报告服务122用于确保正在启用的能力被支付(例如,使得1C提供商105能 够收集取决于巧片配置的用于各巧片的适当金额)。密钥也可W作为步骤160的一部分被 编程到SM内核内。例如,产品供应商可W在各SM被启用的1C中编程唯一的密钥(诸如产 品供应商125知道但1C提供商105不知道的密钥)。
[0060] 在步骤165中,分发SM被启用的装置。SM被启用的装置可W例如被分发至另一产 品供应商、中间商、最终用户130、装置管理员127或者生态系统中的其他实体。
[0061] 在步骤170中,能够完成SM被启用的装置的内场管理。(已经离开产品供应商的 SM被启用的装置被说成在内场。注意,该不一定与在最终用户的手中同义,例如,移动电话 运营商操作者可W在将其传递至最终用户130之前进行电话的定制或规定)。内场管理可 W包括被接收W更新SM被启用的装置的特征状态的请求。例如,请求可W被接收W启用SM 被启用的1C的特殊的音频组件。该样的请求可W例如由最终用户130或装置自身向根权 限或适当地被授权的委托权限发送请求来引发。内场管理接着牵设到一个或多个授权和/ 或安全密钥的至SM被启用的装置的传输。如下面所详细讨论的,安全密钥传递和特征管理 可W经由与SM被启用的装置通信的根权限系统由根权限进行,或者经由在其委托的SM编 程能力内起作用并且与SM被启用的装置通信的委托权限系统由委托权限进行。一旦收到 响应,SM被启用的装置中的软件就将响应的一部分(包括来自根权限和/或委托权限的密 码授权)提供至SM内核,该SM内核验证授权是否在进行被请求的操作(例如,特征配置, 键入密钥,等等)之前对于特定装置有效。
[0062] 或者单独地或者与其他实体结合地起作用的先前所述实体中的所有都可W请求、 生产、缓存、传输或者修改前述更新、管理W及审核报文W控制SM被启用的装置的密钥和 特征。在装置生命周期的各种点处具有角色的该些实体中的每一个都可W独立地操作,并 且可W具有SM被启用的装置或者与装置交互操作的基础结构的不同程度的所有权。某些 密钥或特征的部署可W牵设到支付、审核或者其中SM内核活动的便利、进行某些动作的请 求、制定或演绎SM内核报文、通信或存储所述报文、授权动作的过程可W通过前述实体中 的一个或多个来进行所在的其他商业布置。
[0063] 2.安全管理器系统架构
[0064] 现在参照W框图形式示出了用于配置和管理一个或多个SM被启用的装置的示例 性操作系统200的图2A。系统200可W包括由网络205可操作性地连接的公共陆地移动 网络(PLMN) 210、根权限215、根权限系统217、委托权限220、委托权限系统222、1C提供商 105、SM被启用的装置240、245、250、255和260、SM被启用的1C 265、无线访问点275、配置 器系统280 W及附加的实体287中的一些或所有。
[0065] 网络205可W例如是互联网、内联网、局域网、广域网、校园区域网、城域网、外联 网、私有外联网、两个或多个禪合的电子装置中的任何集合或者该些或其他适当的网络中 的任何的组合。网络205还可W与也称作无线广域网(WWAN)或者在一些情况下称作蜂窝 网络的PLMN 210通信。为简单起见,网络205示出为单个实体,但能够可W存在多个网络。 例如,私有外联网可W将1C提供商105与根权限215连接,即使图2A中的其他实体由互联 网连接。
[0066] 根权限215是管理SM编程能力并且能够将能力的子集分配至一个或多个委托权 限220的实体(例如,安全服务120)。根权限215与包含(或W其他方式有权访问)管理 SM被启用的1C 265和SM被启用的装置240、245、250、255和260的密码密钥的根权限系统 217相关联。根权限系统217被配置成生成一个或多个根签名块("RSB")。如下面所详 细讨论的,RSB可W包括一个或多个SM命令、命令模板、一个或多个委托许可、一个或多个 密钥(例如,委托公钥)或者它们的一些组合。RSB包含由根权限系统217利用对应于SM 内核中的公钥的根私钥(例如,RSA私钥)签名的至少一个数字证书。根权限系统217可 W被配置成将一个或多个RSB或其他数据提供至配置器系统280、SM被启用的1C 265、委 托权限系统222、SM被启用的装置(例如,240、245、250、255或260)、一个或多个其他实体 287、电子存储介质(未示出)或者它们的一些组合。另外,根权限系统217可W被配置成 当由根权限系统217的用户指示时提供RSB。根权限系统217可W在单个计算机上实现,或 者在一些场合中可W横跨可在地理上分散多个计算机(例如,其包含用于口限签名系统的 密钥共享,其中,需要来自多个密钥共享的协作来计算数字签名)分布。
[0067] 如下面所详细讨论的,根权限系统217可W被配置成把特权委托给一个或多个委 托权限系统222。根权限系统217还可W配置成生成用于一个或多个配置器系统280的系 统和网表密钥常量。另外,根权限系统217可W被配置成管理在定制处理(下面讨论)期 间使用的万能密钥。根权限系统217也可W被配置成创建测试矢量W及辅助SM内核集成 和ASIC制造的其他值。
[0068] 在一些实施例中,根权限系统217可W被配置成委托用于创建附加委托的能力。 在该实施例中,第一委托权限系统可W被配置成创建各具有第一委托权限系统的SM编程 能力的子集的一个或多个第二委托权限系统。委托级别的最大数量(如果有限制的话)可 W是可配置的选项。简化的实施例可W对于委托权限省略SM内核中的支持,并且而是针对 所有任务使用根秘密密钥(例如,其中用作委托权限的实体具有包含根签名密钥的签名装 置并且/或者利用该样的装置在网络之上交互)。
[0069] 根权限系统217可W包括防篡改签名模块(未示出)W提供增加的安全和/或特 性。委托权限系统222典型地通过根权限系统217被授予授权W仅行使根权限系统217的 权限的子集。根和委托权限系统217和222的特权阶段可W例如通过密码密钥、由签名软 件强加的约束、操作者策略W及在防篡改签名模块内的策略来调整。
[0070] 系统200可W包括多个委托权限220。委托权限220是与委托权限系统222相关 联的实体。委托权限系统222已经被根权限系统217赋予了 SM编程能力的子集。委托权 限220的示例可W例如包括产品供应商125、1C制造商110、装置管理员127、服务操作者、 零售商、一些其他实体(例如,如参照图1A讨论的)或者它们的一些组合。
[0071] 委托权限系统222可W具有从根权限系统217委托给它的某些能力(例如,密钥 管理操作、特征管理操作或两者的一部分)。该些能力可W被输送作为正向授权的集合或作 为约束的集合。例如,特权可W通过控制由权限系统提供什么签名报文(例如,签名块)、 由权限系统使用的签名密钥的调整、可W由权限系统中的一个签名的净荷的特定类型的调 整、通信信道/目的地的调整W及可被输送至SM内核的报文的类型或者它们的一些组合而 由根权限系统217、委托权限系统222输送和限制。可W被委托的示例性特权包括;能够启 用或禁用某些硬件能力、调节特性设定或其他值、允许某些外部接口的使用、允许操作的某 些模式的使用、启用或禁用测试模式(例如,控制诊断和调试模式)、控制什么时候特定模 式或特征被激活(例如,仅在制造过程期间被激活)、能够调节SM被启用的1C的特征的某 些配置设定的值、导出和/或使用一个或多个密钥加密密钥、将W供某些SM被启用的1C使 用的密钥加密、将密钥供应至1C子组件、调节SM被启用的1C的通常配置、审核可由SM内核 访问的状态信息、为密钥/密钥拆分编程、在内场SM被启用的1C上进行诊断活动、校准或 调谐模拟电路W补偿处理变化、配置用于特定产品中的输入时钟和期望的操作频率的PLL、 调节无线电的功率和频率、配置由内部热失效安全强加的限制(热限制可W基于不同产品 中使用的封装和冷却溶液而变化)、配置电池充电电路,等等。
[0072] 根权限系统217的对委托权限系统222的授权也可W包括在委托权限系统222的 授权上的约束,包括但不限于委托权限系统222是能够永久地(例如,通过引导SM内核将 特征配置数据保存在非易失性/一次性可编程存储器中)还是短暂地配置特征、授权是必 须被绑定至单个1C还是至特定类或组的1C、授权是否必须被绑定成随机数量发生器状态 (W防止授权被复用)。
[0073] 如先前所提到的,特征设定不限于简单二进制开/关设定。例如,可W有使得期望 使用委托权限系统222或根权限系统217 W要求用于配置上的改变的授权的关注(例如, 安全性、可靠性、责任,等等)。例如,错误配置化L或者使用不正确的模拟校准可W引起SM 被启用的1C误动作,所W P化设定可W通过SM内核来保证安全。
[0074] 如下面所详细讨论的,委托权限系统222被配置成生成一个或多个委托-签名块 ("DSB")。委托权限系统222可W被配置成将DSB提供至:配置器系统280、SM被启用的 1C 265、根权限系统217、IC提供商105、SM被启用的装置(例如,240、245、250、255或260)、 电子存储介质(未示出)、一个或多个实体287或者它们的一些组合。另外,委托权限系统 222可W被配置成在由委托权限系统222的用户指示时提供DSB。一个或多个实体287是其 既不是委托权限也不是根权限的实体,但是仍然可W接收RSB、委托-签名块("DSB")或 它们的一些组合。例如,在一些实施例中,装置管理员127、IP和/或安全密钥提供商115、 托管服务提供商等等可W不是委托权限,但是仍然可W接收RSB、DSB或它们的一些组合。
[0075] 委托权限系统222可W包括被配置成存储一个或多个安全密钥(例如,委托私钥、 AES密钥或两者)的防篡改签名模块(未示出)。例如,防篡改签名模块可W是智能卡或硬 件安全模块("服M")。
[0076] 在一些实施例中,委托权限系统222具有创建附加委托的能力。在该样的实施例 中,提供SM编程能力的系统能够被禁止委托比当前拥有的更多的SM编程能力。例如,如果 根权限系统217伴随着将SM编程能力分配至附加的委托权限系统(未示出)的能力将仅 SM编程能力A、B和C提供至委托权限系统222,则委托权限系统222将不能进一步提供SM 编程能力D,但能够在没有许可C的情况下委托A和B。委托权限系统222可W在单个计算 机上实现,或者在一些场合中被横跨多个计算机分布。分布的委托可W如先前所述使用口 限签名。委托权限系统222还可W包括用于可靠性和特性的多个冗余的和/或群聚的组件。
[0077] 另外,在一些实施例中,根权限系统215、委托权限系统222或两者可W被配置成 在一个或多个电子存储介质(未示出)中存储签名块(例如,RSB、DSB)。电子存储介质可 W例如是易失性的(例如,SRAM、DRAM或者其他半导体存储器)或非易失性的(例如,硬盘、 R/W光盘、闪存驱动器)或者它们的一些组合。RSB和/或DSB也可W被存储在SM装置内 (例如,如果RSB/DSB对仅配置特征直到装置被复位为止,则配置可能需要在每次产品复位 时被加载)。
[0078] 系统200可W包括若干SM被启用的装置,例如,SM被启用的装置240、245、250、 255和260。SM被启用的装置240、245、250、255和260可^是例如智能电话、平板电脑、上 网本、台式计算机、机顶盒、移动装置、膝上型计算机、数字视频记录仪、付费TV机顶盒、汽 车、制造设备、数字和视频照相机、电池、认证外围的装置、视频游戏用户接口化及其他用户 接口,等等。尽管用多个SM装置示出了图2A的示例性系统,但是系统可W用一个或任何数 量的SM被启用的装置实现。SM被启用的装置240、245、250、255和260对来自进而能够授 权的根权限系统217、委托权限系统222的签名或其他授权进行验证。另外,SM被启用的装 置(例如,SM被启用的装置240、245、250、255和260)与根权限系统217、与委托权限系统 222或者与两者之间的禪合可W是临时的。例如,禪合可W存在于用W修改SM被启用的1C 的操作所需要的时间。用于SM被启用的装置260和SM被启用的1C 265的授权可W由根 权限系统217或委托权限系统222创建,并且经由一个或多个装置测试仪(未示出)、编程 器具(未示出)或其他中间体(未示出)传递。
[0079] 装置测试仪通常被配置成测试1C的功能性。特别地对于SM被启用的1C,装置测 试仪可W附加地被配置成将信息(例如,密钥、装置1C等等)编程到SM被启用的1C内(例 如,通过将编程命令供应至SM内核)。装置测试仪或编程器具也可W在数据库中记录关于 装置及其SM内核的信息,包括装置身份信息和配置信息。各装置测试仪可W被配置成将一 个或多个SM被启用的装置禪合至根权限系统、委托权限系统或两者。可能具有一套特征或 能力的系统或装置理想地适合SM被启用的1C的使用。
[0080] SM被启用的装置可W包括一个或多个SM被启用的IC(例如,265)。同样,SM被启 用的1C 265可W包括例如一个或多个SM内核,W及一个或多个安全存储器。并且如下面 所详细讨论的,SM被启用的1C可W可选地包括一些其他元素(例如,一个或多个提取器、 控制一个或多个特征的输出,等等)、或者它们的一些组合。如下面所讨论的,可W经由密钥 管理或特征管理操作对SM被启用的1C 265进行某些修改。
[0081] SM被启用的装置240、245、250、255和260可W被配备用于通过PLMN 210的蜂窝 通信、被配备用于利用无线访问点275的Wi-Fi通信、或能够进行利用网络210的蜂窝W及 Wi-Fi通信两者或者他们中的任何组合。无线访问点275可W被配置成根据IEEE 802. 11 规范中的一个进行操作的WLAN。例如,SM被启用的装置250利用无线访问点275无线地禪 合至网络205,并且SM被启用的装置240经由PLMN 210禪合至网络205。SM被启用的装 置240、245、250、255和260能够支持的其他通信接口的示例包括W太网、JTAG、串口 /USB、 I2C,等等。
[00間 即使包括了在编程之前同样的1C,SM被启用的装置240、245、250、255和260也可 W不同地配置。在消费电子产品中,可W在宽范围的产品(例如,高端和低端产品两者)中 使用类似的娃或1C(例如,由相同掩模集制作),其中特性上的差异至少部分由配置控制。 特征丰富的产品可能具有例如先进的音频能力(例如,环绕立体声)、多个皿视频流、大量 且多样的输入和输出、包括了有线的或卫星的或无线的特定调制解调器和转码器、各种调 谐器等等的用于多个有线电视提供商的支持、诸如画中画等的观看特征、Wi-Fi支持,等等。 同样,预期用于在智能电话中使用的SM被启用的1C可W包括用于诸如GI^S等的能力的特 征管理支持、各种无线网络无线电协议、Wi-Fi、基于近场通信的财务交易、藍牙或其他外围 接口、空中视频服务、皿视频支持、无线视频接口、附加的外部视频接口、许多且各种分辨率 的照相机和传感器、用于各种屏幕大小和分辨率的支持、用于触觉的、图形的和视频的增强 与加速的处理。SM被启用的1C中的SM内核可W用于管理诸如例如可用的或可使用的存储 器等的系统资源的大小和特性,或者可用的处理器的速度和数量。在未示出的一些实施例 中,SM被启用的装置(例如,240、245、250、255和260)也可^被可操作性地禪合至配置器 系统280。特定特征为什么应该在特定巧片上被禁用的原因有很多,包括降低用于未用的 特征的IP许可证发放成本、禁用非工作的或未经测试的娃面积、避免较高端部件的拆用销 售、禁用可能造成安全风险的模式/设定,等等。
[0083] 委托权限220(例如,IC提供商105或IC制造商110)可W接收来自配置器系统 280的配置数据。由配置系统280生成的数据可W通知委托权限220如何寻址特定特征或 密钥。
[0084] 在示例性实施例中,SM内核特征空间是存储在存储器中的包括了控制SM被启用 的1C的特定功能性或配置方面的值的地址空间。图2B是与SM被启用的1C相关联的特征 空间285的示例性实施例的框图。特征空间285包括一个或多个值295,其中每一个都具有 相关联的地址290。例如,值"GI^S无线电启用的"可能被分配至特征空间中的地址0。诸如 多位PLL配置值等的特征空间中的其他值可W跨距多个位(和相应的地址)。
[0085] 在一些实施例中,除了 SM被启用的1C的其他特征W外,特征空间285内的值中的 一个或多个可W设及SM内核自身。该样的特征空间值称为内部特征。例如,内部特征可能 控制某些基本密钥是否可用W供使用、携带关于装置的信息(诸如,产品制造商的身份、产 品售出所在的地理区域),等等。该些内部特征可W用于控制授权(例如,使得预期用于一 个地理区域内的装置的授权将不能在另一区域中的装置上工作)。
[0086] 内部特征是可寻址的并且被W与用于控制装置元素的特征类似的方式控制。内部 特征可W用于代表接着被映射到引导设备的元素的更加具体的SM内核输出的较高级别的 特权或特征条件。例如,内部特征可W代表从1到7的数值的速度等级,而SM内核输出包 括用于设定映射到速度等级的较大数量化L时钟控制设定的信号。W该方式,如将在后面 描述的,数值的速度等级设定可W用作用于形成其操作被限于特定速度等级的SM内核命 令的条件。在另一示例中,内部特征可W在SM内核内使用W追踪已发布组标识符、装置标 识符或者装置已经通过一定身份被封装、制造或者售出的事实。在该示例中,制造实体可能 是具有将其制造商ID编程到内部特征内的许可的委托权限220。SM内核命令可W演绎内 部特征并使用结果来控制SM内核如何管理其他特征或密钥。例如,SM内核可W对于由特 定网络操作者操作的装置或仅对于处于预零售状态的装置仅输出某些密钥或者某些调试 设定许可。
[0087] 返回参见图2A,配置器系统280也可W配置成将装置特定密钥映射到SM内核密钥 接口。配置器系统280可W在巧片开发期间也可W在之后被利用来管理该些设定和配置。
[0088] 配置器系统280可W被配置成接收一个或多个配置器输入文件、硬件("HW")常 量或者他们的组合,并且将他们进行处理W生成一个或多个提取器硬件限定、一个或多个 子提取器硬件限定W及1C配置映射。生成的限定例如是描述SM被启用的1C的组件的 Verilog模块。一个或多个配置器输入文件可W限定用于SM被启用的1C的特定配置、列出 一个或多个安全密钥及其相关联的在SM被启用的1C上的目的地、由SM内核管理的特征的 名字和地址、等等。例如,一个或多个配置器输入文件可W被配置成指定该样的事物作为已 命名的特征信号、配置位、配置位的分组、安全密钥总线输出、安全密钥总线属性、安全存储 器映射属性或者他们的组合。可W由配置器系统280配置并且被嵌在硬件内(例如,被固 定在娃内并且对于用相同掩模做出的所有巧片共用)的硬件常量的示例包括例如巧片产 品ID、来自根权限(例如,根权限系统公钥)的一个或多个密钥、来自委托权限的一个或多 个密钥、一个或多个基本密钥、一个或多个附加的安全密钥、错误校正数据、用于特征控制 的默认值,等等。
[0089] 生成的提取器硬件限定被用在1C设计中W将总线输出从SM内核布线到各种子提 取器。如在一个或多个配置器输入文件中指定的,子提取器硬件限定被用在IC设计中W将 特征空间位从提取器映射到已命名的特征和密钥。提取器硬件限定和任何子提取器硬件限 定被用于产生包含提取器和子提取器的SM被启用的1C设计。
[0090] 配置器系统280也可W被配置成利用追踪配置上的改变的状态缓存,并且该状态 缓存可W用于使现有的电路设计布局的修改最小化。状态缓存例如可W是映射文件、1C配 置映射,等等。在一些实施例中,代替利用映射文件来更新状态缓存,配置