[发明专利]密码模块和针对其的运行方法

说明书

用于至少临时控制至少一个计算装置的运行的密码模块，其中所述密码模块构造成，检验如下存储装置的至少一个存储区域：所述计算装置可访问所述存储装置；并且所述密码模块构造成，根据所述检验来控制所述至少一个计算装置的运行。

技术领域

本发明涉及一种密码模块。此外，本发明涉及一种针对这样的密码模块的运行方法。

背景技术

从DE 10 2009 046436 A1中，已知了一种加密的硬件模块。

发明内容

本发明的任务是，说明一种具有提升的实用性的密码模块。

在开头所提到的类型的密码模块的情况下，该任务通过如下方式来解决：密码模块构造用于至少临时控制至少一个计算装置的运行；其中密码模块构造成，检验如下存储装置的至少一个存储区域：计算装置可访问所述存储装置；并且密码模块构造成，根据所述检验来控制至少一个计算装置的运行。由此，有利地给出了如下可能性：例如根据相对于可预先给定的内容的偏差，检验存储区域的内容。经此，有利地例如可以阻止，通过计算装置执行不安全的或被攻击者所危害的计算机程序。

在优选的实施形式中，存储装置可以布置在密码模块和计算装置外部。可是，在其他优选的实施形式中，存储装置也可以集成到计算装置中。在还有其他优选的实施形式中，有利地也可以设置有片上系统（英语：system-on-a-chip，SoC），所述片上系统具有计算装置、存储装置和至少一个根据这些实施形式的密码模块。

在其他优选的实施形式中，计算装置可以具有至少一个计算核和/或微处理器和/或微控制器或者这一类的。

在其他优选的实施形式中设置了，密码模块构造成，在使用基于密钥的消息认证码CMAC（Cipher-based Message Authentication Code）的情况下，执行对至少一个存储区域的检验。由此，能够实现特别高效的检验。涉及CMAC方法的示例性设计方案的互联网出版物例如在https://doi.org/10.6028%2Fnist.sp.800-38b下可检索到。

在其他优选的实施形式中设置了，密码模块具有优选地集成到密码模块中的存储单元，用于存储针对至少一个存储区域的至少一个参考值和/或参考布局。在优选的实施形式中，参考值例如可以表示针对可预先给定的存储内容的CMAC值，针对所述可预先给定的存储内容的CMAC值例如与如下CMAC值是可比较的：所述CMAC值在通过密码模块检验至少一个存储区域时已被测定。假如所测定的CMAC值与参考值有偏差，则可以推断出经过检验的存储区域的存储内容的不容许的改变。

在其他优选的实施形式中设置了，密码模块构造成，根据参考值来执行检验。在这些实施形式中，检验例如包括：根据至少一个存储区域的存储内容来形成CMAC值，和将这样形成的CMAC值与参考值进行比较，如该参考值例如寄存在密码模块的存储单元中那样。

在其他优选的实施形式中，参考布局可以包含下列信息中的一个或者多个：a）存储装置中的存储区域的数目，计算装置可访问所述存储装置，b）有关的存储区域的地址范围（起始地址和/或结束地址），c）有关的存储区域的长度，d）有关的存储区域的至少一个参考值（例如CMAC值），e）关于加密的签名的数据，例如签名地址和/或签名类型和/或对上级证书（“root certificate（根证书）”）的参考。这些信息优选地可以存储在具有多个相对应的数据字段的数据结构中。

在其他优选的实施形式中，密码模块可以使用前面所提到的参考值或参考布局，以便确定对至少一个存储区域的检验的类型和范围。例如，依据起始地址和结束地址，可以确定针对检验的输入数据的集合（例如CMAC值形成）。