集成电路中的安全特征和密钥管理的制作方法_6

W及完整性校验 值。（完整性校验值可W是与例如奇偶校验、汉明码等相关联的值）。SM被启用的1C进行 完整性校验（1415) W确定是否发生完整性错误（例如，产品巧片ID或完整性校验值已经 被损坏）。如果发生了完整性错误，则报告错误（1420)，处理被中止（1445)并且SM内核可 W进入"严重故障"状态。如果未发生完整性错误，则SM内核从安全存储器检索（1425)命 令分段。
[020引 SM内核W可预知的顺序对包含在安全存储器中的命令分段进行处理。例如，分段 可W连续地位于安全存储器中，或者各分段可W包含待处理的下一分段的存储器地址。在 一些情况下，错误（1430)可能引起SM被启用的1C不能可靠地确定待处理的下一命令分段 的定位，在该情况下，内核可W尝试利用撤退机制（例如，捜索已知的标头值）来定位下一 分段，或者将其处理为严重故障。如果未发生错误，则SM内核执行（1435)命令分段中的命 令。SM内核接着确定（1440)是否有任何附加的命令分段被留下来待执行。如果是，则流程 移至步骤1425。
[0204] 如果没有命令分段留下，则SM内核通知（1455)系统外部（例如，处理器355、SM 被启用的1C的特征或其他部分、或者并入有SM被启用的1C的装置）初始特征状态准备就 绪。该通知可W由SM被启用的1C用来将巧片的其他部分的启动排序，例如，通过保持SM 被启用的1C的除SM内核W外的所有部分处于复位来确保来自SM内核的必要值在其他组 件需要他们之前准备就绪。处理接着结束（步骤1460)。
[02化]返回参见步骤1430,如果发生错误，则SM被启用的1C确定是否许可跳到下一命令 分段（1445)。例如，命令分段的标头可能包含指示SM内核跳过有问题的命令分段的跳过 字符或错误上恢复标志。如果许可跳过有问题的命令分段，则SM被启用的1C可W报告没 有致命错误（1450)(例如，通过保存错误信息用于W后分析）并且移至步骤1440。如果SM 被启用的1C确定不许可跳过有问题的命令分段，则报告更严重的错误（1420)，并且处理被 中止1445。
[0206] SM内核可W例如在图14中描述的初始化处理之前、期间或之后将基本密钥初始 化。为了最大的特性和灵活性，SM内核可W仅将启动期间进行的命令分段所要求的那些基 本密钥初始化，接着在SM被启用的1C的其余部分被释放W启动之后将余下的基本密钥初 始化。
[0207] 在一些实施例中，安全存储器中的错误（例如，存储器完整性错误）可W由根权限 系统修复。错误可能是由在先RSB或DSB写入的。根权限系统可W发送包含允许SM被启 用的1C跳过引起错误的命令分段的重写命令的RSB。另外，RSB可W包含替换或校正故障 命令分段的附加的SM命令。另外，在一些实施例中，如果安全存储器中的错误数据是由来 自委托权限系统的DSB写入的，则不同的委托权限系统可W发送包含允许SM被启用的1C 跳过引起错误的命令分段的重写命令的DSB。另外，DSB可W包含进行由故障命令分段事先 处理的任务的附加SM命令。
[020引 5. 2个性化
[0209] 个性化是指在制造期间将密钥（例如，装置特定的）和数据（例如，命令分段）编 程到SM被启用的1C内。个性化的秘密密钥可W用于密钥管理和审核功能性。首先编程到 SM被启用的1C内的值中的一个可W是产品巧片ID。
[0210] 密钥信息可W被存储为密钥拆分。在初始化期间，SM内核从例如密钥拆分、包含 在网表中的信息或从两者重构装置密钥。例如，P1密钥拆分可W作为在装置中编程的第一 密钥拆分在晶片测试时被编程。P2密钥拆分可W在封装模具测试时被编程。P1和P2密钥 拆分通过SM内核被组合W形成基本密钥。组合函数可W选择为使得或者P1密钥拆分或者 P2密钥拆分（但不是两者一起）的知识对于确定基本密钥都是不充分的。另外，一个或多 个附加的密钥拆分可W在装置组装期间被存储并且可W由SM内核使用W确定附加的基本 密钥。例如，产品制造商可能希望作为其制造过程的一部分存储对于1C提供商或1C制造 商未知的密钥。除了个性化数据W外，SM被启用的1C可W被编程有唯一的产品巧片ID、制 造追踪/日期信息、批次ID、晶片ID、产品类型、装置历史数据W及其他信息的所W方式。
[0211] 图15 W框图形式图示了示例性个性化处理。在步骤1510中，委托权限系统得到 待编程到SM被启用的1C内的信息。信息可W包括例如一个或多个基本密钥、一个或多个 密钥拆分（例如，PI、P2,等等）、产品巧片ID或者它们的一些组合。待编程的信息可W从 禪合至委托权限系统的安全存储器或安全装置（例如，智能卡或服M)得到。
[0212] 在步骤1520中，委托权限系统将包含适当的存储器写入命令的DSB转送至装置测 试仪。被转送的信息可W被加密。装置测试仪将DSB (与其随附的RSB -起）转送至SM被 启用的1C，在那里被接收、验证并且（如果有效）由SM内核执行对存储器进行编程。
[0213] 在步骤1530中，委托权限系统可W用表明了一个或多个SM被启用的1C被成功个 性化了的信息来更新审核日志，并且处理结束（1540)。如先前所描述的，该些审核日志可W 接着被转送至安全服务120。
[0214] 另外，输入到SM被启用的1C的任何密钥都可W处于未加密或已加密的形式。SM 被启用的1C和/或SM内核可W支持用于个性化的加密密钥转送的一个或多个机制。例如， SM内核可W使用先前编程的密钥（例如，来自根权限的一个或多个密钥、来自委托权限的 一个或多个密钥、嵌在娃内的一个或多个基板密钥、一个或多个附加的安全密钥，等等）将 待编程的数据解密。另外，SM内核可W允许利用非对称加密进行会话密钥的更换或生成，例 如，W便产生与能够使用共享密钥的委托权限系统共享的密钥W在转送至SM被启用的1C 之前将个性化密钥加密。会话密钥由SM内核使用W解密待编程的密钥。在一些实施例中， 该协议可W通过将会话密钥与对于SM内核可用的附加对称密钥值组合而被扩展，例如，W 在SM内核与个性化中牵设到的外部装置（例如，委托权限系统）之间提供相互认证。
[0215] 密钥转送机制中的任何一个都可W独立于各个性化步骤来选择。另外，SM被启用 的1C不一定需要在密钥被个性化的顺序上强加任何约束，允许了从相同原始掩模集产生 的巧片能够对于不同应用或客户W不同的序列进行个性化。
[0216] 即使在进行任何个性化之前，委托权限系统也可W能够产生更新了特征状况的 DSB例如W供测试。在一个实施例中，SM内核生成了被发送至委托权限系统的随机挑战值。 委托权限系统生成并发送被绑定至挑战值并根据期望在非永久性基础上进行特征管理、密 钥管理或两者的DSB。例如，委托权限系统可W被启用SM被启用的1C的一个或多个特征， 直到下一复位为止。因此，允许了 SM被启用的装置的操作能够被测试。因此，即使巧片的 安全存储器被完全损坏或者未被编程，也仍然能够进行安全操作。
[0217] 5. 3对SM被启用的装置的特征状况的内场更新
[0218] SM被启用的装置的用户可W能够请求特征状况的更新。授权该些改变的报文（例 如，RSB/DSB)可W是巧片特定的或者W其他方式受限，使得他们可W在不可信信道（诸如 因特网等）之上被安全地发送。商人、系统操作员、装置供应商W及装置制造商也可W请求 更新SM被启用的1C中的特征的命令。在一些情形中，请求独立于特征更新通信所使用的 方法被转送至SM被启用的装置。例如，能够预先计算提供某些特征能力的解锁的一些列报 文，其中各报文被制定用于不同的特定产品巧片ID。该制定的列表可W由不与根权限系统 或委托权限系统直接相连的服务器存储。视情况而定（诸如在接收到支付之后等），预计算 列表中的实体可W被释放至SM被启用的装置。
[0219] 图16是用于对针对SM被启用的1C进行特征更新的请求进行授权的示例性方法 的流程图，其中更新由委托权限系统（例如，委托权限系统222)授权。
[0220] 在步骤1600中，委托权限系统接收更新与SM被启用的1C相关联的特征状态的请 求。请求可W是在网络之上的报文、电子邮件、经由口户网站接收的命令、电话请求、SMS报 文，等等。另外，在一些实施例中，请求可w来自从属于处理请求的委托权限系统的子系统。 (例如，从属者可W通过确认用户数据库或支付中的凭证来认证请求，接着将经批准的请求 发给主委托权限系统。）
[0221] 在步骤1610中，委托权限系统做出是否授权该请求的确定。例如，委托权限系统 可W为了信息或协助而联系第S方（例如，计费和报告服务122,或安全服务120)。如果请 求未被批准，则委托权限系统接着将授权失败报告（1620)给用户并且处理结束（1660)。例 如，委托权限系统可W发送电子邮件给用户，表明授权失败W及失败的原因。 悦2引如果，授权请求被批准，则委托权限系统得到（1630)RSB。RSB可W从根权限系统 或安全服务检索，或者如果先前接收的，则RSB可W从委托权限系统内部的（或W其他方式 相关联的）存储器检索。
[0223] 委托权限系统接着创建（1640)DSB。DSB可W例如利用参照图8、图9A、图9B和图 11进行的上述多个处理中的一个处理或一部分处理来创建。
[0224] 委托权限系统提供（1650)DSB并且处理结束（1660)。例如，委托权限系统可W经 由网络（例如，蜂窝式或因特网）将DSB传输至用户的SM被启用的装置。或者，在一些实 施例中，委托权限系统做出用户可用的DSB W供下载（例如，通过张贴在安全网站上）。
[0225] 图17是用于对针对SM被启用的1C进行特征更新的请求进行授权的示例性方法 的流程图，其中更新由根权限系统（例如，根权限系统217)授权。
[0226] 在步骤1710中，根权限系统接收更新与SM被启用的1C相关联的特征状况的请 求。请求可W是在网络之上的报文、电子邮件、经由口户网站接收的命令、电话请求、SMS报 文，等等。例如，在一些实施例中，请求可W来自从属于处理请求的委托权限系统的子系统。 (例如，从属者可W通过确认用户数据库或支付中的凭证来认证请求，接着将经批准的请求 发给主委托权限系统。）。请求可W来自委托权限系统。
[0227] 在步骤1720中，根权限系统确定是否该授权请求（该可W包括与用于信息或协助 的第S方联系）。如果请求未被批准，则根权限系统接着报告（1730)授权失败并且处理结 束（1760)。
[0228] 如果授权请求被批准，则根权限系统接着创建（1740) RSB。在该实施例中，RSB包 含引导SM内核更新其特征状态的信息。RSB可W例如利用参照图5或图7进行的上述处理 来创建。
[0229] 根权限系统接着提供（1750) RSB并且处理结束（1760)。
[0230] 现在将讨论本公开的各种实施例的示例。
[0231] 根据示例#1，方法可W包括；由集成电路的安全管理器接收根签名块；由安全管 理器利用秘密密钥来验证与根签名块相关联的签名；由安全管理器从根签名块提取命令； 由安全管理器执行提取的命令，其中所执行的命令适用于集成电路的操作。
[0232] 根据示例#2,方法可W包括；由集成电路的安全管理器接收委托签名块；由安全 管理器标识与委托权限系统相关联的委托许可和密钥；由安全管理器利用与委托权限系统 相关联的密钥来验证与委托签名块相关联的签名；由安全管理器从委托签名块中提取命 令；由安全管理器利用委托许可来验证提取的命令被许可；并且由安全管理器执行提取处 的命令，其中所执行的命令适合于集成电路的操作。
[0233] 根据示例#3,方法可W包括；由集成电路的安全管理器接收用于更新集成电路的 多个特征中的特征的状态的命令；由安全管理器确定特征的状态的更新是否是永久性的； 并且如果更新是永久性的，则将命令保存至存储器，并且执行用于更新特征的状态的命令。 在一个实施例中，特征的状态根据包括了时间相关的因素、或者集成电路的特点或者装置 的特点在内的一个或多个因素来更新。
[0234] 根据示例#4,方法可W包括；由集成电路的安全管理器接收适合于集成电路的特 征的状态的挑战，挑战接收自审核系统；响应于挑战，由安全管理器计算出作为秘密密钥和 特征的状态的函数的审核证明值；并且将审核证明值提供至审核系统。
[0235] 根据示例#5,方法可W包括；接收包括了配置器输入文件和硬件常量的配置器输 入数据；并且利用输入数据生成集成电路设计文件，其中集成电路设计文件包括提取器硬 件限定、一个或多个子提取器硬件限定W及状态缓存。
[0236] 根据示例#6,方法可W包括；接收限定了用于集成电路的特征和密钥的策略的配 置器可操作性输入数据；利用配置器可操作性输入数据生成用于集成电路的可操作配置映 射；并且从可操作性配置映射创建映射文件。
[0237] 根据示例#7,方法可W包括；一旦集成电路的上电或复位，就由集成电路的安全 管理器接收完整性校验值；由安全管理器通过处理安全存储器中的命令分段来进行完整性 校验；并且基于完整性校验值来确定命令段中的任何一个是否具有完整性错误。
[023引根据示例#8,方法可W包括；由集成电路的安全管理器追踪从实体接收到的命 令；将命令与相应的实体相关联；并且基于从各个实体接收到的命令对实体中的每一个进 行计费。
[0239] 在本公开中，"计算机"可W包括一个或多个处理器、存储器、数据接口、硬件安全 模块、显示器或它们的一些组合。处理器可W是单个或多个微处理器、现场可编程口阵列 (FPGA)或者能够执行特定指令集的数字信号处理器值SP)。由计算机进行的方法中的一 些可W利用能够存储在如下介质上的计算机可读指令植入；所述介质是诸如软盘、硬盘、 CD-ROM(压缩盘-只读存储器）W及MO(磁光）、DVD-ROM(数字通用盘-只读存储器）、 DVD-RAM(数字通用盘-随机存取存储器）等的有形非易失性计算机可读介质，或者半导体 (例如，ROM或闪存）存储器。备选地，方法中的一些可W在硬件组件或者诸如例如ASIC、 专口目的的计算机或者通用目的的计算机等的硬件与软件的组合中实现。一些实施例可W 不仅在集成电路内而且在计算机可读介质内实现。例如，该些设计可W存储在与用于设计 集成电路的软件设计工具相关联的计算机可读介质上或者嵌入其内。示例包括VHSIC硬件 描述语言（VHDL)网表、Verilog寄存器传输级（RTL)网表W及晶体管级（例如，SPICE或 SPICE相关的文件）网表。注意，该样的网表可W被合成W及是能够合成的。计算机可读介 质还包括具有诸如GDS-II文件等的布局信息的介质。此外，用于集成电路设计的网表文件 或其他计算机可读介质可W用在模拟环境中W进行如上所述的设计的方法。
[0240] 可W做出上述实施例的某些改写和修改。因此，上面讨论的实施例被视为说明性 的并且不是限制性的。本申请的实施例不限于任何特定的操作系统、移动装置架构、服务器 架构或者计算机编程语言。
【主权项】
1. 一种方法，包括： 由集成电路的安全管理器接收经数字签名的命令； 由所述安全管理器从所述集成电路的安全存储器获取秘密密钥； 由所述安全管理器利用所述秘密密钥来验证与所述命令相关联的签名，W及 由所述安全管理器执行所述命令W配置所述集成电路的操作。
2. 根据权利要求1所述的方法，其中执行所述命令包括： 更新所述集成电路的多个特征中的特征的状态，其中更新所述特征的所述状态引起W 下项中的至少一项；锁定所述特征、解锁所述特征或配置所述特征。
3. 根据权利要求2所述的方法，其中所述特征的所述状态的更新是永久性的或非永久 性的。
4. 根据权利要求1所述的方法，其中执行所述命令包括： 将一个或多个密钥传递至所述集成电路的一个或多个组件，其中所述密钥适合于W下 项中的至少一项；所述组件的加密操作、所述组件的数字权益管理操作、所述组件的口令管 理操作或者所述组件的认证操作。
5. 根据权利要求1所述的方法，其中执行所述命令包括： 标识一个或多个硬件常量并且将所述硬件常量存储在指定存储装置中，所述硬件常量 包括W下项中的至少一项；产品巧片标识符、一个或多个安全密钥、一个或多个基本密钥或 者错误校正数据。
6. 根据权利要求1所述的方法，其中所述命令由根权限签名，并且所述秘密密钥是所 述根权限的公钥。
7. 根据权利要求1所述的方法，其中所述命令由委托权限签名。
8. 根据权利要求7所述的方法，其中验证与所述命令相关联的所述签名包括： 从由根权限签名的根签名块获取所述委托权限的委托许可和公钥； 利用所述委托权限的所述公钥来确定与所述命令相关联的所述签名有效；W及 利用所述委托许可来确定所述命令被许可。
9. 根据权利要求1所述的方法，其中所述命令与经加密的净荷相关联，所述方法进一 步包括： 利用所述安全管理器可访问的基本密钥导出混合密钥； 利用所述混合密钥导出传送密钥； 利用所述传送密钥将所述经加密的净荷解密；W及 将经解密的净荷传递至特征。
10. -种集成电路，包括： 安全存储器，用于存储秘密密钥； 安全管理器（SM)内核，被禪合至所述安全存储器，W用于： 接收经数字签名的命令； 利用所述秘密密钥来验证与所述命令相关联的签名；W及 利用所述命令配置所述集成电路的操作。
11. 根据权利要求10所述的集成电路，进一步包括： 可由所述SM内核配置的多个特征。
12. 根据权利要求11所述的集成电路，进一步包括： 被禪合至所述SM内核的提取器；W及 被禪合至所述提取器的多个子提取器，其中所述多个子提取器中的每一个子提取器还 被禪合至所述多个特征中的一个特征。
13. 根据权利要求11所述的集成电路，其中所述SM内核包括： 密码机模块，用于验证所述命令的所述签名； 执行引擎模块，用于执行所述命令； 通信模块，用于促进所述SM内核与所述集成电路的组件之间的通信；W及 数据存储模块，用于管理所述SM内核的内部存储并且与所述安全存储器通过接口接 厶 口 〇
14. 一种方法，包括； 由根权限系统接收标识影响集成电路的操作的命令的数据； 由所述根权限系统利用根权限密钥来对所述命令进行签名W创建根签名块巧SB) 及 将所述RSB提供至所述集成电路的安全管理器。
15. 根据权利要求14所述的方法，其中所述RSB经由所述集成电路的测试仪接口被提 供至所述安全管理器。
16. 根据权利要求14所述的方法，其中所述命令指示所述安全管理器更新所述集成电 路的特征，其中所述特征的更新是永久性的或非永久性的。
17. 根据权利要求14所述的方法，其中所述命令是将一个或多个密钥传递至所述集成 电路的组件，其中所述密钥适合于W下项中的至少一项；所述组件的加密操作、所述组件的 数字权益管理操作、所述组件的口令管理操作或者所述组件的认证操作。
18. 根据权利要求14所述的方法，其中所述命令是将一个或多个硬件常量存储在所述 集成电路内，所述硬件常量包括W下项中的至少一项；产品巧片标识符、一个或多个安全密 钥、一个或多个基本密钥或者错误校正数据。
19. 一种方法，包括； 由根权限系统接收表明影响集成电路的操作的命令的输入参数； 由所述根权限系统创建包括所述命令和与委托权限系统相关联的委托许可的根签名 块巧SB)，所述RSB由所述根权限系统签名；W及 将所述RSB提供至所述集成电路的安全管理器。
20. 根据权利要求19所述的方法，其中所述委托许可限定所述委托权限系统对于所述 安全管理器的管理能力。
21. 根据权利要求19所述的方法，其中所述RSB进一步包括与所述委托权限系统相关 联的公钥。
22. 根据权利要求19所述的方法，其中所述RSB进一步包括与所述命令相关联的命令 模版。
23. 根据权利要求19所述的方法，其中所述RSB进一步包括用于委托权限签名的一个 或多个要求。
24. 根据权利要求19所述的方法，进一步包括将所述RSB传递至所述委托权限系统。
25. -种方法，包括； 由委托权限系统接收包括影响集成电路的操作的命令的输入参数； 由所述委托权限系统对所述委托输入参数进行签名W创建委托签名块值SB) 及 将所述DSB提供至所述集成电路的安全管理器。
26. 根据权利要求25所述的方法，其中所述输入参数被接收作为由根权限系统提供的 根签名块化SB)的一部分。
27. 根据权利要求26所述的方法，其中所述DSB与所述RSB相关联，所述RSB被提供至 所述安全管理器。
28. 根据权利要求26所述的方法，其中所述RSB包括W下项中的一项或多项；与所述 委托权限系统相关联的委托许可、与所述委托权限系统相关联的公钥、与所述命令相关联 的命令模版或者用于委托权限签名的要求。
29. 根据权利要求28所述的方法，其中所述委托许可限定所述委托权限系统对于所述 安全管理器的管理能力。
【专利摘要】描述了用于提供集成电路中的安全特征和密钥管理的机制。示例集成电路包括用于存储秘密密钥的安全存储器，以及被耦合至安全存储器以用于接收数字签名命令、利用秘密密钥来验证与命令相关联的签名并且利用命令来配置集成电路的操作的安全管理器内核。
【IPC分类】H04L9-14
【公开号】CN104541474
【申请号】CN201380042381
【发明人】P·C·科克, B·C-M·琼, A·J·莱瑟森
【申请人】密码研究公司
【公开日】2015年4月22日
【申请日】2013年8月9日
【公告号】EP2907262A2, US20140044265, WO2014026095A2, WO2014026095A3