[发明专利]安全数据处理设备

说明书

一种安全数据处理设备，包括处理器和耦合到处理器的存储器，处理器被配置为：接收脚本，脚本包括用于供应一种类型的可编程设备的至少一个指令集，至少一个指令集中的每个指令集定义要由安全数据处理设备执行的一个或多个密码操作，一个或多个密码操作中的每个密码操作都引用参数；将脚本存储在存储器中；从存储器中取回第一授权密钥，并使用第一授权密钥来验证与脚本相关联的签名，其中，脚本被脚本的产生者签名；从与处理器通信的编程机的编程模块接收编程请求，编程请求请求对可编程设备进行编程，并标识脚本中的至少一个指令集中的指令集。

技术领域

本申请涉及安全数据处理设备。

背景技术

硬件安全模块(HSM)通常用于将软件代码和加密密钥安全地部署到可编程设备上(供消费设备使用)。

硬件安全模块是一种可以安全地创建和保存私人密钥和秘密密钥使得它们不会被提取的设备。HSM还提供了使用密钥执行一些所选择的加密操作的能力。

一般来说，HSM用于保存和使用私人密钥，并响应简单的请求以递送例如单个密钥。

发明内容

原始设备制造商(OEM)形式的制造方创建最终要出售给其终端客户的消费产品，其包含可编程设备(例如，安全元件、微处理器、微控制器等)。OEM想要向可编程设备供应OEM特定的信息、X.509证书以及安全密钥和其他凭证。这允许OEM生产可以在互联网上被唯一且安全地认证的消费产品，从而允许OEM完全信任可编程设备供应的数据。

每个可编程设备必须被供应为使得它可以与每个其他可编程设备安全地区分开：例如，通过使用现有的密码技术(例如，非对称加密，其中每个可编程设备具有唯一的私人密钥以及关联的X.509证书)来完成这一点。工厂中用于供应可编程设备的HSM必须在多个产品运行过程中保持最终产品的完整性。

有多种不同类型的可编程设备，其全部都需要略有不同的存储布置、内置的加密加速器和对密钥和证书的选择以及其他安全信息。新型可编程设备定期(例如，每周)被添加到可编程设备制造商的目录中。

发明人已经认识到，随着新的可编程设备变得可用，HSM软件(其控制HSM的操作)需要每次被更新以容纳新的可编程设备。然而，HSM当前需要软件图像更新以处理每种新型可编程设备，但是在工厂中不断使用的HSM无法在需要时很容易地被更新。原位更新HSM的过程很困难，而且存在更改可能会阻止其他产品线继续正确地进行供应的高风险。

本公开的实施例解决了许多技术问题，包括：

(i)如何在无需协调和管理跨许多不同工厂的许多HSM的更新的情况下，增加供应未来的但未知的可编程设备的能力。

本公开的实施例有利地避免了对生产线的代价高昂的中断，否则将在更新HSM以供应新的可编程设备时发生该中断。本公开的实施例有利地进一步避免了由于在HSM更新之后对生产线中的旧设备进行重新测试而导致的对生产线的代价高昂的中断。此外，本公开的实施例有利地避免了更换未通过重新测试的任何旧设备的成本。

(ii)如何确保OEM可以信任工厂(通常是在不安全的环境中)安全地进行必要的密码功能，特别是使秘密密钥保密，并确保在正确的地方并且不在任何其他地方使用正确的密钥。

本公开的实施例有利地保护了OEM的秘密和设备凭证，使得工厂可以在不访问OEM的密钥的情况下执行密码操作，此外，工厂不能将秘密/凭证重新用于其他产品，因此OEM不需要信任工厂保守其秘密。这样防止了克隆(由此相同的证书被加载到多于一个可编程设备中)。出于多种原因，克隆的设备可能会对OEM不利。例如，克隆的设备可能需要来自OEM的支持，因此要求OEM承受计算资源修复、更新和/或服务于克隆的设备、并承受网络带宽向克隆的设备提供这种支持。

(iii)如何确保例如在运输中或在存储时不会篡改给工厂的指令，使得消费产品保持其完整性。