【技術實現步驟摘要】
【國外來華專利技術】
本公開涉及電子設備,并且更具體地涉及用于管理與電子設備的所有者相關的密鑰、鏡像和其他資產的所有者撤銷仿真容器(rec)的系統和方法。
技術介紹
1、在計算產品中,存儲在引導rom中的嵌入式控制器(ec)引導代碼可以充當用于電子設備的特定所有者(例如,原始設備制造商(oem))的安全引導應用的信任根(rot)。oem可在設備供應期間將配置選項存儲在一次性可編程(otp)存儲器中。這可以包括用于加密和簽名引導鏡像的密碼密鑰。oem可實現由存儲在引導rom中的ec引導代碼加載并認證的ec引導鏡像并對這些ec引導鏡像進行簽名。ec引導代碼可使用存儲在otp存儲器中的自定義值來認證和解密引導鏡像。ec引導代碼所支持的其他特征可以包括密鑰撤銷和鏡像回滾保護。這可以允許所有者去激活存儲在電子設備上的密鑰清單中的一個或多個密鑰,或者從服務中移除特定的鏡像修訂,特別是通過在引導序列期間設置otp存儲器中的位。密鑰撤銷和鏡像回滾保護的概念可以適用于由引導rom加載和認證的第一可變代碼(fmc)。這些概念還可適用于fmc認證的鏡像以擴展信任鏈。
2、具有安全引導的ec通常具有在制造時由第一所有者(例如,oem)確定的otp存儲器中提供的單個配置。鏡像認證密鑰清單被生成、散列并存儲在密鑰散列二進制大對象(khb)中,并且khb的散列被存儲在otp存儲器中。因此,設備的所有所有者可使用oem簽名的鏡像。
3、具有安全引導的ec在設備的使用期內可具有多個所有者。每個所有者可以配置該部分以使用唯一的一組密鑰和鏡像修訂,該唯一的一組密鑰
4、因此,需要管理密鑰撤銷和鏡像回滾保護信息,使得電子設備的后續所有者不受前一所有者對密鑰撤銷和鏡像回滾保護特征的使用的限制。
技術實現思路
1、根據一個示例,一種設備可以具有引導代碼和非易失性存儲器。該引導代碼能夠由處理器執行以生成第一唯一私有密鑰,其中該第一唯一私有密鑰可不能由除引導代碼之外的代碼直接訪問;針對該設備的第一所有者創建第一所有者撤銷仿真容器,該第一所有者撤銷仿真容器包括第一資產撤銷信息;使用該第一唯一私有密鑰來生成對應于該第一所有者撤銷仿真容器的第一簽名;將該第一簽名存儲在該非易失性存儲器中;將該第一所有者撤銷仿真容器存儲在該非易失性存儲器中;從該非易失性存儲器檢索該第一簽名;從該非易失性存儲器檢索該第一所有者撤銷仿真容器;從該第一唯一私有密鑰導出第一唯一公共密鑰;使用該第一唯一公共密鑰和從該非易失性存儲器檢索的該第一簽名來驗證從該非易失性存儲器檢索的該第一所有者撤銷仿真容器;在成功驗證從該非易失性存儲器檢索的該第一所有者撤銷仿真容器之后,使用從該非易失性存儲器檢索的該第一所有者撤銷仿真容器的該第一資產撤銷信息來確定是否撤銷與該設備的該第一所有者相關聯的第一所有者資產的使用;并且基于確定該第一所有者資產應當被撤銷來撤銷該第一所有者資產的后續使用。
2、另一示例提供了一種用于電子設備的方法,該電子設備具有處理器、非易失性存儲器、引導代碼以及包括靜態隨機存取存儲器(sram)物理不可克隆功能(sram?puf)區域的sram。該方法可以包括該處理器至少基于以下各項中的一項或多項來生成第一唯一私有密鑰:(i)與該電子設備的第一所有者相關聯的第一所有者信息;以及(ii)該sram?puf區域的至少一部分,其中該第一唯一私有密鑰是不能由除該引導代碼之外的代碼直接訪問的。該方法可以包括該處理器針對該電子設備的該第一所有者創建第一所有者撤銷仿真容器,該第一所有者撤銷仿真容器包括第一資產撤銷信息。該方法可以包括該處理器使用該第一唯一私有密鑰來生成對應于該第一所有者撤銷仿真容器的第一簽名。該方法可以包括該處理器將該第一簽名存儲在該非易失性存儲器中。該方法可以包括該處理器將該第一所有者撤銷仿真容器存儲在該非易失性存儲器中。該方法可以包括該處理器從該非易失性存儲器檢索該第一簽名。該方法可以包括該處理器從該非易失性存儲器檢索該第一所有者撤銷仿真容器。該方法可以包括該處理器從該第一唯一私有密鑰導出第一唯一公共密鑰。該方法可以包括該處理器使用該第一唯一公共密鑰和從該非易失性存儲器檢索的該第一簽名來驗證從該非易失性存儲器檢索的該第一所有者撤銷仿真容器。在成功驗證從非易失性存儲器檢索的該第一所有者撤銷仿真容器時,該方法可以包括該處理器使用從非易失性存儲器檢索的該第一所有者撤銷仿真容器的該第一資產撤銷信息來確定是否撤銷與該電子設備的該第一所有者相關聯的第一所有者資產的使用。該方法可以包括該處理器基于確定該第一所有者資產應當被撤銷來撤銷該第一所有者資產的后續使用。
3、另一示例提供了一種用于電子設備的方法,該電子設備具有處理器和引導代碼。該方法可以包括該處理器創建與該電子設備隨時間的多個所有者相對應的多個撤銷仿真容器,其中相應撤銷仿真容器可以包括與該電子設備的相應所有者相關聯的資產撤銷信息。該方法可以包括該處理器以一次性可編程的方式對該多個撤銷仿真容器的該資產撤銷信息進行編程。該方法可以包括該處理器使用該多個撤銷仿真容器的該資產撤銷信息來確定是否撤銷與該電子設備隨時間的該多個所有者相關聯的多個資產中的相應資產的使用。該方法可以包括該處理器基于確定與該電子設備隨時間的該多個所有者相關聯的該多個資產中的相應資產應當被撤銷來撤銷該相應資產的后續使用。
本文檔來自技高網...【技術保護點】
1.一種設備,所述設備包括:
2.根據權利要求1所述的設備,其中所述引導代碼包括存儲在只讀存儲器中的不可變引導代碼。
3.根據權利要求1至2中任一項所述的設備,所述設備包括:
4.根據權利要求1至3中任一項所述的設備,其中所述引導代碼能夠由所述處理器執行以:
5.根據權利要求4所述的設備,其中以一次性可編程的方式對所述第一所有者撤銷仿真容器的所述第一資產撤銷信息進行編程包括:在所述第一所有者撤銷仿真容器的所述第一資產撤銷信息已經被引導代碼編程之后,不存在用于修改所述第一所有者撤銷仿真容器的所述第一資產撤銷信息的所述引導代碼。
6.根據權利要求4至5中任一項所述的設備,其中所述引導代碼能夠由所述處理器執行以基于確定所述第一所有者資產應當被撤銷來撤銷所述第一所有者資產的所述后續使用包括確定所述第一所有者撤銷仿真容器的所述第一資產撤銷信息已經被一次性編程。
7.根據權利要求1至6中任一項所述的設備,其中與所述設備的所述第一所有者相關聯的所述第一所有者資產包括以下各項中的一項:與所述第一所有者相關聯的密碼密鑰、與所述
8.根據權利要求1至7中任一項所述的設備,其中所述引導代碼能夠由所述處理器執行以:
9.根據權利要求8所述的設備,所述設備包括:
10.一種方法,所述方法包括:
11.根據權利要求10所述的方法,所述方法包括:
12.根據權利要求11所述的方法,其中所述處理器基于確定所述第一所有者資產應當被撤銷來撤銷所述第一所有者資產的所述后續使用包括確定所述第一所有者撤銷仿真容器的所述第一資產撤銷信息已經被一次性編程。
13.根據權利要求10至11中任一項所述的方法,其中與所述電子設備的所述第一所有者相關聯的所述第一所有者資產包括以下各項中的一項:與所述第一所有者相關聯的密碼密鑰、與所述第一所有者相關聯的可執行鏡像;以及與所述第一所有者相關聯的散列表。
14.根據權利要求10至13中任一項所述的方法,所述方法包括:
15.根據權利要求14所述的方法,所述方法包括:
16.一種方法,所述方法包括:
17.根據權利要求16所述的方法,所述方法包括:
18.根據權利要求17所述的方法,其中所述處理器生成多個唯一私有密鑰包括至少基于以下各項中的一項或多項來生成所述多個唯一私有密鑰中的相應唯一私有密鑰:(i)與所述電子設備的所述多個所有者中的相應所有者相關聯的所有者信息;以及(ii)所述電子設備的靜態隨機存取存儲器(SRAM)物理不可克隆功能(SRAM?PUF)區域的至少一部分。
19.根據權利要求16至18中任一項所述的方法,其中所述處理器基于確定所述多個資產中的相應資產應當被撤銷來撤銷所述相應資產的所述后續使用包括確定所述多個撤銷仿真容器中的所述相應撤銷仿真容器的相應資產撤銷信息已經被一次性編程。
20.根據權利要求16至19中任一項所述的方法,其中與所述電子設備隨時間的所述多個所有者相關聯的所述多個資產中的相應資產包括以下各項中的一項:與所述多個所有者中的相應所有者相關聯的密碼密鑰、與所述多個所有者中的相應所有者相關聯的可執行鏡像;以及與所述多個所有者中的相應所有者相關聯的散列表。
...【技術特征摘要】
【國外來華專利技術】
1.一種設備,所述設備包括:
2.根據權利要求1所述的設備,其中所述引導代碼包括存儲在只讀存儲器中的不可變引導代碼。
3.根據權利要求1至2中任一項所述的設備,所述設備包括:
4.根據權利要求1至3中任一項所述的設備,其中所述引導代碼能夠由所述處理器執行以:
5.根據權利要求4所述的設備,其中以一次性可編程的方式對所述第一所有者撤銷仿真容器的所述第一資產撤銷信息進行編程包括:在所述第一所有者撤銷仿真容器的所述第一資產撤銷信息已經被引導代碼編程之后,不存在用于修改所述第一所有者撤銷仿真容器的所述第一資產撤銷信息的所述引導代碼。
6.根據權利要求4至5中任一項所述的設備,其中所述引導代碼能夠由所述處理器執行以基于確定所述第一所有者資產應當被撤銷來撤銷所述第一所有者資產的所述后續使用包括確定所述第一所有者撤銷仿真容器的所述第一資產撤銷信息已經被一次性編程。
7.根據權利要求1至6中任一項所述的設備,其中與所述設備的所述第一所有者相關聯的所述第一所有者資產包括以下各項中的一項:與所述第一所有者相關聯的密碼密鑰、與所述第一所有者相關聯的可執行鏡像;以及與所述第一所有者相關聯的散列表。
8.根據權利要求1至7中任一項所述的設備,其中所述引導代碼能夠由所述處理器執行以:
9.根據權利要求8所述的設備,所述設備包括:
10.一種方法,所述方法包括:
11.根據權利要求10所述的方法,所述方法包括:
12.根據權利要求11所述的方法,其中所述處理器基于確定所述第一所有者資產應當被撤銷來撤銷所述第一所有者資產的所述后續使用...
【專利技術屬性】
技術研發人員:E·瑪蘭多,S·瓦德亞納坦,
申請(專利權)人:微芯片技術股份有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。