[发明专利]设备密钥保护

说明书

一种保护设备中的设备密钥的方法，该设备包括本地连接到至少一次性可编程存储器的至少一个安全元件，该至少一次性可编程存储器以包括锁定位和未锁定位的位串的形式存储全局值。锁定位在设备的初始化阶段被不可逆地预先编程在一次性可编程存储器中，而未锁定位保持在可以由安全元件进行编程的最初状态。安全元件用于在设备初始化时通过使用全局值来生成设备特定值，编程先前在一次性可编程存储器中所获得的设备特定值，并且通过编程对应位串的未锁定位来擦除全局值。本公开文本的另一目的包括用于实现该方法的设备。

技术领域

本发明涉及信任设备与数据处理实体之间在信任的环境之外使用数据认证的数字数据传输的领域。

背景技术

信任设备涉及合并在个人计算机、移动设备或任何其他数据处理实体中的安全设备，以提供最少地依赖于用户或管理员来保持该实体以及外围设备安全的内置安全机制。已经开发出信任的个人计算设备，用于通过硬件和基于操作系统的机制而不是通过插件程序和策略来最大化个人计算机的安全。为此，安全机制可以被实施为芯片、芯片组、芯片上的系统和母版以及其他模块；因为本领域技术人员所公知的是基于硬件的机制本质上比那些利用软件所创建的更值得信任。

为了确保信任的设备所发送的数据的真实性，可以将数字签名应用于数据。因此，信任设备需要访问包括私钥和公钥的密钥对。实际上，如果几个信任设备向同一个实体发送数据，为了避免需要几个公钥来认证数据，信任设备上的密钥对应当是全局的。从安全性的角度，如果密钥在一个设备上泄露，那么由于黑客能够因此伪造他自己的认证数据，整个系统被破坏。这产生了安全系统中灾难性的单点故障。

黑客能够使用一些类型的非侵入式或侵入式攻击来获取全局密钥，诸如例如：软件攻击，使得设备开放从而尝试读取直接位于设备内部的密钥，差分功耗分析(DPA)或简单功耗分析(SPA)攻击，故障注入攻击等。

安全设备可以通过用于恢复全局密钥的一些方式被攻击。由于一些攻击目的是观察设备的功耗、电磁辐射或处理时间，所以它们被称为非侵入式攻击。其他攻击由于包括修改设备，尤其是设备在短时间内的行为，而被称为侵入式攻击。在后面的类别中，差分故障分析(DFA)被认为是对于任何加密/解密系统的严重攻击。DFA是基于在两种不同的状态下对于密码设备所提供的输出的观察和比较。其中一个状态对应于设备的正常操作，而另一个是通过主动注入故障而获得的，注入故障目的是通过从0切换到1或者反之来改变一个或几个位。这种物理的位反转能够通过例如利用激光束扫描集成电路表面来实现。由于激光照射能够在计算机的控制下进行实施，同时具有非常的空间和时间分辨率，因此通过定位在密码设备内的敏感区域，激光照射允许以准确且容易的方式对于设备的行为进行干扰。当在密码算法的处理期间注入一些故障时，大量输出的分析允许通过观察故障在算法中的传播来确定全局私钥。

现有技术中使用了不同的技术来保护被用于生成相同物的程序、密钥或参数的完整性，例如：

文献US2011/225409A1公开了一种包括存储软件启动标识(CCID)的一次性可编程(OTP)存储器的芯片组，其中CCID包括多位值，将两个或更多个CCID客户标识(CID)包含在多位值内的客户特定索引位置。该芯片组进一步包括一个或多个处理电路，用于获得证书并且从客户证书获得证书索引值；通过根据证书索引值检索到CCID，从CCID读取OTP CID；基于利用证书对于OPT CID的评估，确定客户证书是否已被撤销；以及如果客户证书被确定为已撤销，则禁止芯片组的软件启动。OTP CID值在OTP存储器中进行编程，使得个别的位可以从0变到1，但是不能回到0。在此情况下，位1被锁定，而位未被锁定。每个客户的OTP CID值可以由芯片组制造商进行管理。