[发明专利]用于对安全元件与主机设备进行加密对准和绑定的方法和装置

说明书

本公开的实施例涉及将安全元件加密地绑定到主机设备的方法和将安全元件与主机设备加密地对准的方法。将安全元件加密地绑定到主机设备的方法包括：将主机密钥信息存储在安全元件的主机密钥信息槽中以及将绑定信息存储在安全元件的安全存储器中。绑定信息与主机密钥信息相关。方法包括将第二秘密密钥存储在主机设备的系统操作代码内。第二秘密密钥与主机密钥信息加密地相关。方法包括：在存储绑定信息之后并且在存储第二秘密密钥之后，将安全元件操作地耦合到主机设备；由主机设备从安全元件读取绑定信息；由主机设备使用绑定信息和第二秘密密钥来生成主机密钥信息；以及由主机设备将主机密钥信息存储在主机设备的主机密钥信息槽中。

技术领域

本发明通常涉及加密对准，并且在特定实施例中，涉及用于将安全元件与主机设备加密对准的方法和装置。

背景技术

设备安全性对于保护数据内容以及确保生成数据的设备的身份很重要。安全元件可用于存储和应用敏感数据(例如，加密密钥)，并安全地执行计算机代码(例如，用于主机设备的电子支付应用程序)，或者加密地支持用于对物联网(IoT)设备的传输层安全性(TLS)。安全元件包括主动和/或被动预防措施，使得未经授权的实体无法读取安全元件的存储器中的内容或发现安全元件中存储的加密秘密。使用仅安全元件和主机设备已知的主机密钥信息将安全元件加密地绑定到主机设备。

在其他用途中，安全元件可以用作主机设备身份的基础。为了保证主机设备的身份，重要的是不要由外部实体发现主机密钥信息。主机密钥信息可以存储在安全元件中，然后在绑定过程期间随后发送到主机设备。但是，安全元件和主机设备可以在分离的位置处和/或由不同的制造商制造。结果，绑定过程可能在不安全的位置处执行。例如，当主机密钥信息从安全元件传输到主机设备时，或者当主机设备发送命令以使用主机密钥对安全元件进行个性化设置时，主机密钥信息可能在绑定过程期间容易被发现。因此，可能期望安全元件与主机设备之间减少或消除外部实体发现主机密钥信息的可能性的绑定过程。

发明内容

根据本发明的一个实施例，将安全元件加密地绑定到主机设备的方法包括：将主机密钥信息存储在安全元件的安全元件主机密钥信息槽中，以及在第一位置处将绑定信息存储在安全元件的安全存储器中。绑定信息与主机密钥信息加密地相关。方法还包括在远离第一位置的第二位置处将第二秘密密钥存储在主机设备的受保护存储器中存储的系统操作代码内。第二秘密密钥与主机密钥信息加密地相关。方法还包括：在第三位置处，在我存储绑定信息之后并且在存储第二秘密密钥SK₂之后的第三位置处，将安全元件操作地耦合到主机设备；由主机设备从安全元件读取绑定信息；由主机设备使用绑定信息和第二秘密密钥生成主机密钥信息；以及由主机设备将主机密钥信息存储在主机设备的主机设备主机密钥信息槽中。安全元件和主机设备并置在第三位置处。第三位置远离第一位置和第二位置。

根据另一实施例，将安全元件与主机设备加密地对准的方法包括：根据主密钥和安全元件唯一标识符来生成安全元件多样化密钥，以及使用安全元件多样化密钥来将主机密钥信息加密，以生成经加密的主机密钥信息。主机密钥信息HK_SE唯一地对应于安全元件。方法还包括：将主机密钥信息存储在安全元件的安全元件主机密钥信息槽中；将经加密的主机密钥信息存储在安全元件的安全存储器中；以及使用主机设备唯一标识符来对主密钥进行模糊处理，以在主机设备的受保护存储器中存储的系统操作代码内生成经主机设备模糊处理的密钥。

根据本发明的又一实施例，将安全元件加密地绑定到主机设备的方法包括：将安全元件私钥存储在安全元件的安全存储器中；使用安全元件私钥来创建安全元件公钥；将主机设备私钥存储在主机设备的受保护存储器中存储的系统操作代码内；以及将安全元件和主机设备操作地耦合。方法还包括由主机设备执行系统操作代码。执行系统操作代码包括：从安全元件读取安全元件公钥；使用主机设备私钥和安全元件公钥来创建主机密钥信息；以及将主机密钥信息存储在主机设备的主机设备主机密钥信息槽中。

附图说明