技術(shù)領(lǐng)域

本公開內(nèi)容總體上涉及電子電路，并且更具體地涉及包括處理器和嵌入式安全元件的設(shè)備。本公開更具體地應(yīng)用于在設(shè)備的啟動時控制處理器中包含的指令中的全部或部分指令的真?zhèn)巍?/p>

背景技術(shù)：

很多電子設(shè)備、例如手機(jī)、電子密鑰(電子狗)等配備有用于處理數(shù)據(jù)和執(zhí)行各種應(yīng)用的微處理器。在這樣的應(yīng)用中，一些應(yīng)用現(xiàn)在與需要保護(hù)所交換的數(shù)據(jù)的安全的操作(例如支付、訪問控制和其他操作)相關(guān)聯(lián)。

例如計算機(jī)、視頻解碼盒(機(jī)頂盒)等的更明顯的設(shè)備包括可信平臺模塊(TPM)，TPM使得能夠保護(hù)指令存儲器的內(nèi)容并且具體檢查要執(zhí)行的代碼或程序尚未被涂改。這樣的模塊不存在于不復(fù)雜的設(shè)備，諸如手機(jī)、電子密鑰和所連接的對象(所連接的手表、訪問電子狗等)。

電子設(shè)備即使不包括安全平臺模塊，通常仍然越來越多地配備有嵌入式安全元件，嵌入式安全元件實(shí)際上為表示微電路卡(智能卡、SIM等)的安全功能的集成電路。例如，這樣的安全元件包含提供用于支付、訪問控制和其他操作的安全認(rèn)證服務(wù)的微電路卡仿真應(yīng)用。

技術(shù)實(shí)現(xiàn)要素：

希望能夠保護(hù)電子設(shè)備的啟動以控制使得其所包含的代碼或數(shù)據(jù)是真實(shí)的或者未被改寫。

實(shí)施例提供一種克服在電子設(shè)備中啟動的微處理器的已知技術(shù)的缺點(diǎn)中的全部或部分缺點(diǎn)的解決方案。

實(shí)施例提供保護(hù)與電子設(shè)備中的微處理器相關(guān)聯(lián)的嵌入式安全元件。

因此，實(shí)施例提供一種檢查包括微控制器和嵌入式安全元件的電子設(shè)備的非易失性存儲器的內(nèi)容的真?zhèn)蔚姆椒?，方法包括?/p>

使用與微控制器相關(guān)聯(lián)的第一非可再編程存儲區(qū)域中存儲的指令啟動微控制器；

啟動安全元件，安全元件包含第一密鑰，第一密鑰用于解密與微控制器相關(guān)聯(lián)的第二可再編程非易失性區(qū)域的內(nèi)容；

使用安全元件對第二區(qū)域中的內(nèi)容執(zhí)行簽名驗證；以及

如果簽名被驗證，則安全元件向微控制器發(fā)送第一密鑰。

根據(jù)實(shí)施例，微控制器生成第二密鑰，向安全元件傳輸?shù)诙荑€，安全元件使用第二密鑰加密第一密鑰到微控制器的傳輸。

根據(jù)實(shí)施例，第二密鑰的傳輸使用公共密鑰非對稱算法。

根據(jù)實(shí)施例，非對稱加密密鑰每個微控制器/安全元件對唯一。

根據(jù)實(shí)施例，第一密鑰沒有存儲在微控制器中的非易失性存儲器中。

根據(jù)實(shí)施例，微控制器等待來自安全元件的響應(yīng)以執(zhí)行第二區(qū)域中包含的指令。

根據(jù)實(shí)施例，在第二區(qū)域的內(nèi)容發(fā)生認(rèn)證更新的情況下，相應(yīng)地修改安全元件中存儲的簽名。

根據(jù)實(shí)施例，由安全元件生成第一密鑰。

根據(jù)實(shí)施例，如果簽名沒有被安全元件驗證，則中斷微控制器的電源。

實(shí)施例提供一種電子設(shè)備，包括：

微控制器；

嵌入式安全元件，

微控制器和安全元件能夠?qū)崿F(xiàn)以上方法。

根據(jù)實(shí)施例，在微控制器與安全元件之間插入有中間電路。

在對具體實(shí)施例的以下非限制性描述中結(jié)合附圖詳細(xì)討論以上和其他特征和優(yōu)點(diǎn)。

附圖說明

參考附圖來描述非限制性和非排他性實(shí)施例，其中相似的附圖標(biāo)記遍及各個視圖指代相似的部分，除非另由所指。下文中參考附圖來描述一個或多個實(shí)施例，在附圖中：

圖1是配備有微控制器和嵌入式安全元件的電子設(shè)備的實(shí)施例的框圖形式的非常簡化的表示；

圖2是示出圖1的電子設(shè)備的微控制器的啟動序列的實(shí)施例的簡化表示；以及

圖3是示出圖1的電子設(shè)備的微控制器的啟動序列的另一實(shí)施例的簡化表示。

具體實(shí)施方式

在不同的附圖中，相同的元件分配有相同的附圖標(biāo)記。

為了清楚，僅示出并且將詳述有助于理解所描述的實(shí)施例的這些步驟和元素。特別地，沒有詳述所執(zhí)行的處理或者執(zhí)行這些處理的電路的應(yīng)用，所描述的實(shí)施例兼容這樣的設(shè)備的一般應(yīng)用。另外，也沒有詳述電子設(shè)備的不同元件之間的信號交換協(xié)議，所描述的實(shí)施例在此再次兼容當(dāng)前使用的協(xié)議。在以下描述中，在提及術(shù)語“關(guān)于”、“接近”或“在……的數(shù)量級”時，表示在10％的范圍內(nèi)，優(yōu)選地在5％的范圍內(nèi)。

圖1以框圖的形式非常示意性地示出將要描述的實(shí)施例所適用的類型的電子設(shè)備1的示例。

例如電話、電子密鑰等的設(shè)備1包括負(fù)責(zé)控制在設(shè)備中執(zhí)行的 程序和應(yīng)用中的全部或部分程序和應(yīng)用的微控制器2(CPU——中央處理單元)。微控制器2經(jīng)由一個或多個地址、數(shù)據(jù)和控制總線12與設(shè)備1的不同的電子電路和外圍設(shè)備(未示出)(例如顯示器控制電路、鍵盤等)以及與各種有線或無線輸入輸出接口14(I/O)(例如藍(lán)牙)通信。微控制器2通常集成易失性和非易失性存儲器，并且還處理設(shè)備1的類似存儲器16(MEM(VM/NVM))的內(nèi)容。微控制器2和設(shè)備1的各種電路由供電單元18(PU)來供電。例如，單元18是有可能與電壓調(diào)節(jié)器相關(guān)聯(lián)的電池。

在本公開所涉及的應(yīng)用中，設(shè)備1還包括嵌入式安全元件3(例如eSE——嵌入式安全元件或eUICC——嵌入式通用集成電路卡)，安全元件3包括安全微處理器。元件3意圖包含電子設(shè)備的安全服務(wù)或應(yīng)用，例如支付、訪問控制和其他應(yīng)用。

有可能的是，例如近場通信控制器4(NFC)(也稱為非接觸式前端(CLF))、藍(lán)牙控制器等的中間元件或電路4配備設(shè)備1。元件4(圖1中用虛線圖示)能夠由微控制器2例如通過雙股線類型的連接來使用(I2C或SPI)，并且由元件3通過單線類型的連接來使用(SWP——單線協(xié)議)。

根據(jù)安全元件3承受的電壓電平，上述元件由單元18來供電，或者如圖1所示，由本身被單元18供電的元件4來供電。例如，可以考慮由單元18在3伏特數(shù)量級的電壓下對微控制器2和非接觸式通信控制器4供電的情況以及由控制器4在1.8伏特(PWR)數(shù)量級的電壓下對元件3供電的情況。NFC控制器4對電源的需要可以是由于通信協(xié)議在控制器與安全元件3之間所使用的電平。

本文提出利用嵌入式安全元件3的存在檢查與微控制器2相關(guān)聯(lián)的存儲器中的全部或部分存儲器的內(nèi)容(數(shù)據(jù)、指令等)的真?zhèn)巍?/p>

圖2是示出圖1的電子設(shè)備1的微控制器2的啟動序列的實(shí)施例的簡化表示。

微控制器2的啟動在數(shù)據(jù)安全方面的固有風(fēng)險在于，在微控制器代碼(程序)被盜取的情況下，嵌入式安全元件的數(shù)據(jù)冒有被盜 取的風(fēng)險。這一風(fēng)險發(fā)生在啟動(被稱為冷啟動)時，在這之前為上電，因為并非所有的用于控制對不同電路的訪問的機(jī)制已經(jīng)被初始化，并且特別是空閑區(qū)域和保留區(qū)域中的存儲器的配置。問題在設(shè)備“熱”復(fù)位的情況下不太嚴(yán)重，也就是說，沒有微控制器電源的中斷，因為這樣的存儲器區(qū)域配置機(jī)制通常未被觸及。然而，所描述的實(shí)施例也可以在復(fù)位時部分或整體刪除存儲器的情況下實(shí)現(xiàn)。

在具有電源中斷的情況下啟動(設(shè)備的電子電路的上電)或復(fù)位時，微控制器2通過訪問其包含代碼(啟動程序)的非易失性存儲器的設(shè)定區(qū)域51來啟動(BOOT)。區(qū)域51通常是只讀存儲區(qū)域，也就是非易失性和非可再編程(有時稱為“不可變”)。其因此在制造時設(shè)定并且沒有冒著被可能的盜版者修改的風(fēng)險。實(shí)際上，應(yīng)當(dāng)被保護(hù)的存儲區(qū)域52(MEMCPU)是在應(yīng)用需要訪問元件3時被微控制器2采用的非易失性存儲區(qū)域。這樣的區(qū)域52還包含根據(jù)應(yīng)用可再編程的代碼(指令)和數(shù)據(jù)。如果盜版者在這些區(qū)域中成功存儲攻擊代碼，則他/她能夠訪問安全元件3。

由微控制器執(zhí)行的啟動代碼51包含用于啟動安全元件3的指令(即，eSE的函數(shù)Fn(BOOT))以及隨后在初始化過程的序列(用箭頭53圖示)中用于啟動元件3對區(qū)域52的內(nèi)容的檢查或驗證的過程的指令I(lǐng)NST。一旦微控制器2向元件3通信指令I(lǐng)NST，則微控制器2轉(zhuǎn)為保持模式(HOLD)，在保持模式下，微控制器2等待來自安全元件3的響應(yīng)。只要微控制器2沒有接收到這一響應(yīng)，就不采取其包含的代碼的執(zhí)行。

由元件3執(zhí)行的檢查CHECK包括讀取區(qū)域52的全部或部分并且執(zhí)行認(rèn)證檢查機(jī)制。例如，這一機(jī)制是基于區(qū)域52中所包含的代碼和數(shù)據(jù)的簽名計算，并且用于對照元件3中存儲的參考簽名來檢查這一簽名。在這種情況下，如果區(qū)域52的內(nèi)容發(fā)生認(rèn)證修改，則更新元件3中存儲的參考簽名以使得能夠進(jìn)行隨后的真?zhèn)螜z查。

如果元件3驗證區(qū)域52的內(nèi)容的真?zhèn)?，則其向微控制器2作出 響應(yīng)。微控制器2然后可以離開其保持模式并且基于區(qū)域52的內(nèi)容執(zhí)行初始化的其余部分。

然而，如果元件3沒有驗證(NOK)區(qū)域52的內(nèi)容，則其經(jīng)由插入在微控制器2的電源線路上的開關(guān)K引起這一電源的中斷。然后其迫使微控制器被重啟并且重復(fù)以上描述的步驟。如果由于瞬態(tài)故障產(chǎn)生錯誤，則下一執(zhí)行驗證該啟動。然而，如果區(qū)域52中包含的代碼有效地提出問題(無論其在攻擊之后還是在存儲器問題之后)，微控制器2將連續(xù)地啟動，例如，直到電池18耗盡，或者只要設(shè)備1被連接就不斷地進(jìn)行，但是從沒有通過啟動階段BOOT。

優(yōu)選地，在元件3啟動時(Fn(BOOT)eSE)，元件3監(jiān)控源自微控制器2的請求(指令I(lǐng)NST)的到達(dá)。如果這一請求在相對于啟動與到達(dá)或請求INST之間的一般時間所確定的某個時間(例如在幾百個毫秒的數(shù)量級)之后沒有到達(dá)，則元件3引起微控制器2的電源的中斷。這在微控制器的啟動程序BOOT擾動的情況下提供另外的安全。

圖3是示出圖1的電子設(shè)備的微控制器的啟動序列的另一實(shí)施例的簡化表示。

根據(jù)本實(shí)施例，每件事情通過微控制器2與安全元件3之間的消息的互換來執(zhí)行，而沒有必要作用于(中斷)微控制器電源。

微控制器2和安全元件3的啟動按照與前一實(shí)施例中相同的方式來被引起，也就是，在微控制器2的啟動(框61，BOOT CPU)時被引起，微控制器2引起安全元件3的啟動(框62，BOOT eSE)。一旦被啟動，元件3轉(zhuǎn)為其中元件3等待指令的模式(WAIT)。

另外，優(yōu)選地通過由元件3進(jìn)行的簽名檢查來執(zhí)行對包含要檢查的代碼的區(qū)域52或者非易失性存儲區(qū)域(NVM)的內(nèi)容的檢查。

根據(jù)圖3的實(shí)施例，存儲在非易失性存儲器52中并且在其啟動之后形成微控制器2的初始化的數(shù)據(jù)的代碼和固定數(shù)據(jù)被加密。所使用的加密例如是對稱AES型加密。然而，加密密鑰并非存儲在微控制器2中，而是存儲在安全元件3中。

一旦微控制器2啟動(框61的結(jié)尾)并且向元件3給出啟動指令，則其生成密鑰(框63，GEN KeyAESRDM)，優(yōu)選地是用于加密代碼的AES的大小的隨機(jī)數(shù)。

微控制器2然后向安全元件傳輸密鑰KeyAESRDM。優(yōu)選地，這一傳輸由公共密鑰機(jī)制來執(zhí)行，微控制器使用算法的公共密鑰對密鑰KeyAESRDM加密(框64，CIPHER KeyAESRDM(PUBLIC KEY))。優(yōu)選地，微控制器2不在非易失性存儲器中存儲隨機(jī)數(shù)KeyAESRDM。實(shí)際上，其將這一數(shù)存儲在易失性存儲器中就足夠了，這降低了攻擊風(fēng)險。一旦傳輸密鑰KeyAESRDM，微控制器轉(zhuǎn)向等待模式(WAIT)。

元件3借助于安全密鑰機(jī)制對KeyAESRDM解密(框65，DECIPHER(KeyAESRDM))并且對其進(jìn)行存儲(框66，STORE KeyAESRDM)。

元件3然后解密微控制器2的非易失性存儲器的區(qū)域52中包含(或者與其相關(guān)聯(lián))的代碼(框67，DECIPHER CODE AESCodeKey)，并且計算和檢查代碼簽名(框68，COMPUTE/CHECK SIGNATURE)。

如果簽名不正確(框69的輸出N，OK？)，則元件3不響應(yīng)于微控制器2并且其操作被停止(STOP)。

如果簽名正確(框69的輸出Y)，則元件3使用密鑰KeyAESRDM對密鑰AESCodeKey加密(框70，CIPHER AESCodeKey(KeyAESRDM))并且將其發(fā)送給微控制器2。微控制器使用密鑰KeyAESRDM對密鑰AESCodeKey解密(框71，DECIPHER AESCodeKey(PUBLIC KEY))。

微控制器2然后使用密鑰AESCodeKey解密區(qū)域52中包含的代碼并且執(zhí)行該代碼(EXECUTE)。然而，微控制器2沒有將密鑰AESCodeKey存儲在非易失性存儲器中。因此，在微控制器2側(cè)，數(shù)KeyAESRDM和密鑰AESCodeKey僅存儲在易失性存儲元件(RAM、寄存器等)中。

根據(jù)替選實(shí)施例，由安全元件3針對區(qū)域52中所包含的代碼的 簽名的每個變化(也就是在該代碼每次被修改時)生成密鑰AESCodeKey。

根據(jù)另一變型，在制造(微控制器2或安全元件3的)電路時，由安全元件3生成微控制器的存儲器52的加密代碼。這表示，代碼AESCodeKey從一個設(shè)備1到另一設(shè)備發(fā)生變化。

優(yōu)選地，對于每個微控制器部件2/安全元件3的對，非對稱密鑰(公共密鑰和私有密鑰的對)唯一。

應(yīng)當(dāng)注意，可以組合兩個實(shí)施例及其相應(yīng)變型。例如，在根據(jù)第二實(shí)施例的認(rèn)證失敗的情況下(框69的輸出N，圖3)，根據(jù)關(guān)于圖2描述的實(shí)施例可以設(shè)置安全元件中斷微控制器的電源。

已經(jīng)描述了各種實(shí)施例。本領(lǐng)域技術(shù)人員能夠想到各種修改。特別地，具有要檢查的內(nèi)容的存儲區(qū)域的選擇取決于應(yīng)用并且可以變化。另外，安全元件與微控制器之間的數(shù)據(jù)交換加密過程的選擇也取決于應(yīng)用。另外，已經(jīng)描述的實(shí)施例的實(shí)際實(shí)現(xiàn)在本領(lǐng)域技術(shù)人員使用上文中給出的功能指示的情況下的能力范圍內(nèi)。

這樣的變化、修改和改進(jìn)意圖是本公開的部分，并且意圖在本發(fā)明的精神和范圍內(nèi)。因此，以上描述僅作為示例而非意在限制。本發(fā)明僅如以下權(quán)利要求及其等同方案中定義地被限制。

可以組合以上描述的各種實(shí)施例以提供另外的實(shí)施例?？梢澡b于以上詳細(xì)描述對實(shí)施例做出這些和其他變化。通常，在以下權(quán)利要求中，所使用的術(shù)語不應(yīng)當(dāng)被理解為將權(quán)利要求限制為本說明書和權(quán)利要求中公開的具體實(shí)施例，而是應(yīng)當(dāng)被理解為包括所有可能的實(shí)施例連同這樣的權(quán)利要求授權(quán)的等同方案的整個范圍。因此，權(quán)利要求不受本公開的限制。