管理电子设备的所有权的制作方法

本公开涉及电子设备，并且更具体地涉及用于随时间管理电子设备的所有权的系统和方法，包括电子设备的所有权的安全转移。

背景技术：

1、在计算产品中，存储在引导rom中的嵌入式控制器(ec)引导代码可以充当用于电子设备的特定所有者(例如，原始设备制造商(oem))的安全引导应用的信任根(rot)。oem可在设备供应期间将配置选项存储在一次性可编程(otp)存储器中。这可以包括用于加密和签名引导镜像的密码密钥。oem可实施并签名由存储在引导rom中的引导代码加载并认证的ec引导镜像。引导代码可使用存储在otp存储器中的自定义值来认证和解密引导镜像。引导代码所支持的其它特征可以包括密钥撤销和回滚保护。这可以允许所有者去激活存储在电子设备上的密钥清单中的一个或多个密钥，或者从服务中移除特定的镜像修订，特别是通过在引导序列期间设置otp存储器中的位。

2、具有安全引导的ec通常具有在制造时由第一所有者(例如，oem)确定的otp存储器中提供的单个配置。镜像认证密钥清单被生成、散列并存储在密钥散列二进制大对象(khb)中，并且khb的散列被存储在otp存储器中。结果，设备的所有所有者使用oem签名的镜像。

3、本公开提供了长时间支持特定电子设备的多个所有者的系统和方法，包括不同所有者之间所有权的安全转移。

技术实现思路

1、根据一个示例，系统可以包括电子设备。电子设备可具有一次性可编程(otp)存储器、引导代码、易失性存储器和非易失性存储器。引导代码可以包括存储在只读存储器中的不可变代码、存储在非易失性存储器中的认证代码或存储在易失性存储器中的认证代码。引导代码可由处理器执行以使用存储在otp存储器中的信息来认证与电子设备的隐式所有者相关联的代码；从与电子设备的隐式所有者相关联的认证代码接收第一创建所有者容器请求；响应于第一创建所有者容器请求，为电子设备的第一所有者创建第一所有者容器，该第一所有者容器包括与电子设备的第一所有者相关联的第一已签名数据镜像；将第一所有者容器存储在非易失性存储器中；使用与该电子设备的第一所有者相关联的第一已签名数据镜像来认证与该电子设备的第一所有者相关联的第一可执行代码。引导代码可由处理器执行以执行从电子设备的第一所有者到电子设备的第二所有者的所有权转移，其可包括使用存储在第一所有者容器中的密钥来验证已签名所有权转移命令；响应于对已签名所有权转移命令的成功认证，创建第二所有者容器，第二所有者容器包括与电子设备的第二所有者相关联的第二已签名数据镜像；将第二所有者容器存储在非易失性存储器中；撤销第一所有者容器；使用与该电子设备的第二所有者相关联的第二已签名数据镜像来认证与该电子设备的第二所有者相关联的第二可执行代码。

2、另一示例提供了一种用于具有一次性可编程(otp)存储器和非易失性存储器的电子设备的方法。该方法可包括使用存储在otp存储器中的信息来认证与电子设备的隐式所有者相关联的代码。该方法可以包括从与电子设备的隐式所有者相关联的认证代码接收第一创建所有者容器请求，并且响应于第一创建所有者容器请求，创建第一所有者容器，第一所有者容器包括与电子设备的第一所有者相关联的第一已签名数据镜像。该方法可包括将第一所有者容器存储在非易失性存储器中并使用与电子设备的第一所有者相关联的第一已签名数据镜像来认证与电子设备的第一所有者相关联的第一可执行代码。该方法可包括使用存储在第一所有者容器中的密钥来认证已签名所有权转移命令，以及响应于已签名所有权转移命令的成功认证，为电子设备的第二所有者创建第二所有者容器，该第二所有者容器包括与电子设备的第二所有者相关联的第二已签名数据镜像。该方法可包括将第二所有者容器存储在非易失性存储器中，撤销第一所有者容器，以及使用与电子设备的第二所有者相关联的第二已签名数据镜像来认证与电子设备的第二所有者相关联的第二可执行代码。

3、另一示例提供可包括电子设备的系统。电子设备可以具有一次性可编程(otp)存储器，该otp存储器包括与电子设备的隐式所有者相对应的配置信息。电子设备还可以具有存储在只读存储器和非易失性存储器中的不可变引导代码。不可变引导代码可由处理器执行以确定第一所有者容器是否存在于非易失性存储器中，并且响应于确定第一所有者容器不存在于非易失性存储器中，禁止加载不能使用与电子设备的隐式所有者相对应的配置信息来认证的可执行代码。引导代码还可以使用与电子设备的隐式所有者相对应的配置信息来认证与电子设备的隐式所有者相关联的第一可执行代码。引导代码还可以加载与电子设备的隐式所有者相关联的经认证的第一可执行代码。引导代码可从与电子设备的隐式所有者相关联的经认证的可执行代码接收第一创建所有者容器请求。引导代码可响应于第一创建所有者容器请求来创建第一所有者容器，第一所有者容器包括与电子设备的第一所有者相关联的第一已签名数据镜像。引导代码可将第一所有者容器存储在非易失性存储器中，并且响应于确定第一所有者容器存在于非易失性存储器中，禁止加载不能使用与电子设备的第一所有者相关联的第一已签名数据镜像来认证的可执行代码。引导代码还可以使用与电子设备的第一所有者相关联的第一已签名数据镜像来认证与电子设备的第一所有者相关联的第一可执行代码，并且加载与电子设备的第一所有者相关联的经认证的第一可执行代码。

技术特征：

1.一种系统，所述系统包括：

2.根据权利要求1所述的系统，其中所述引导代码包括存储在只读存储器中的不可变代码。

3.根据权利要求1所述的系统，其中所述引导代码包括存储在所述非易失性存储器中的认证代码或存储在所述易失性存储器中的认证代码。

4.根据权利要求1-3中任一项所述的系统，其中：

5.根据权利要求1-4中任一项所述的系统，其中：

6.根据权利要求1-5中任一项所述的系统，其中，所述第一所有者容器包括：

7.根据权利要求6所述的系统，其中，所述容器报头包括重放保护单调计数器(rpmc)。

8.根据权利要求1-7中任一项所述的系统，其中能够由所述处理器执行以将所述第一所有者容器存储在所述非易失性存储器中的所述引导代码包括能够由所述处理器执行以将所述第一所有者容器的两个副本存储在所述非易失性存储器中的所述引导代码。

9.根据权利要求8所述的系统，其中所述引导代码能够由所述处理器执行以响应于所述第一所有者容器的所述两个副本被成功地存储在所述非易失性存储器中的确认而提供所有权被建立的指示。

10.根据权利要求1-9中任一项所述的系统，其中所述非易失性存储器包括串行外围接口(spi)闪存存储器或电可擦除可编程只读存储器(eeprom)。

11.根据权利要求1-10中任一项所述的系统，所述系统包括：

12.根据权利要求11所述的系统，其中撤销所述第一所有者容器包括对所述otp存储器中对应于所述第二所有者容器的位进行编程。

13.一种方法，所述方法包括：

14.根据权利要求13所述的方法，所述方法包括：

15.根据权利要求14所述的方法，其中撤销所述第一所有者容器包括编程所述otp存储器中对应于所述第二所有者容器的位。

16.根据权利要求13-15中任一项所述的方法，所述方法包括：

17.根据权利要求13-16中任一项所述的方法，其中使用与所述电子设备的所述第一所有者相关联的所述第一已签名数据镜像来认证与所述电子设备的所述第一所有者相关联的所述第一可执行代码包括使用来自与所述电子设备的所述第一所有者相关联的已签名数据镜像的配置信息和秘密信息来认证与所述电子设备的所述第一所有者相关联的所述第一可执行代码。

18.一种系统，所述系统包括：

19.根据权利要求18所述的系统，其中：

20.根据权利要求18-19中任一项所述的系统，其中，响应于确定所述第一所有者容器存在于所述非易失性存储器中，所述不可变引导代码能够由所述处理器执行以执行从所述电子设备的所述第一所有者到所述电子设备的第二所有者的所有权转移过程，包括能够由所述处理器执行以进行以下操作的所述不可变引导代码：

21.根据权利要求20所述的系统，其中，所述不可变引导代码能够由所述处理器执行以确定所述第二所有者容器是否存在于所述非易失性存储器中，并且响应于确定所述第二所有者容器存在于所述非易失性存储器中：

22.根据权利要求18-21中任一项所述的系统，其中：

技术总结
一种具有一次性可编程(OTP)存储器、引导代码、易失性存储器和非易失性存储器的设备。引导代码可以使用OTP中的信息来认证电子设备的隐式所有者的代码；接收第一创建所有者容器请求；创建包括第一已签名数据镜像的第一所有者容器；存储第一所有者容器；以及使用第一已签名数据镜像来认证与第一所有者相关联的第一可执行代码。引导代码可将所有权从第一所有者转移到第二所有者，包括使用存储在第一所有者容器中的密钥来认证已签名所有权转移命令，以及创建包括与第二所有者相关联的第二已签名数据镜像的第二所有者容器；存储第二所有者容器；撤销第一所有者容器；以及使用该第二已签名数据镜像来认证与该电子设备的第二所有者相关联的第二可执行代码。

技术研发人员：E·玛兰多,R·瓦勒,A·克里希南,R·戈德伯格
受保护的技术使用者：微芯片技术股份有限公司
技术研发日：
技术公布日：2024/5/12