回滾表的存儲映像中的對應的安全修訂號進行比較(框108)�。如果 該軟件組件的安全修訂號小于在暫時性防回滾表的存儲映像中的對應的安全修訂號(框 108),則終止開機過程(框110)��。如果該軟件組件的安全修訂號等于或大于在暫時性防回 滾表的存儲映像中的對應的安全修訂號(框108)����,則裝載該軟件組件(框112)。當已經(jīng)對 需要驗證的全部軟件組件進行防回滾驗證(框114)且已經(jīng)裝載存儲器寫入驅(qū)動器時�����,將暫 時性防回滾表的存儲映像保存到非易失性存儲器作為替換防回滾表(框116)����。刪除暫時性 防回滾表(框116)����。為了阻止再次使用暫時性防回滾表���,增大防回滾表的最小版本號��,且更 新在OTP存儲器40中的對應的版本號(框116)���。
[0048] 本發(fā)明的實施方式相對于現(xiàn)有技術(shù)具有許多優(yōu)勢。在從丟失的或損壞的防回滾表 恢復期間��,W成本高效的方式對全部受保護的軟件組件進行防回滾保護����。在OTP存儲器40 方面��,成本節(jié)省對于具有許多可信軟件組件的復雜的富操作系統(tǒng)來說是重要的��。對于無裝 載器的產(chǎn)品��,例如處于閉式橋配置的調(diào)制解調(diào)器�,或者對于其中的裝載器不支持安全的定 制的產(chǎn)品��,提供了明顯的優(yōu)勢�。在該兩種配置中���,利用現(xiàn)有方案��,幾乎全部的受保護的軟件 組件必須被裝載成能夠成功地修復防回滾表�����,然而在修復開機期間無法對該些軟件組件進 行防回滾保護�。
[0049] 當然�,在不脫離本發(fā)明的本質(zhì)特征的情況下,可W采用與本文中明確地提出的方 式不同的其它方式來實施本發(fā)明��。本發(fā)明的實施方式在全部方面都應被視為說明性的而非 限制的���,且意圖使在所附權(quán)利要求的含義和等同范圍內(nèi)的全部變化包含在本發(fā)明中��。
【主權(quán)項】
1. 一種通過電子設備進行恢復的方法���,所述電子設備具有處理器且具有非易失性存儲 器和一次性可編程(OTP)存儲器,其中���,防回滾表丟失或損壞��,所述方法包括: 將所述設備重新開機��; 通過開機代碼或者最初由開機代碼裝載的且在所述處理器上執(zhí)行的第一安全軟件組 件��,將具有版本號的且已經(jīng)被加密簽名的暫時性防回滾表從預定地址裝載到存儲器中�,所 述暫時性防回滾表包括對于多個軟件組件中的各個軟件組件可允許的最小安全修訂號; 驗證所述暫時性防回滾表的有效性����; 使用所述暫時性防回滾表的存儲映像,驗證在開機過程期間隨后裝載的各個軟件組件 的安全修訂號���;和 在裝載合適的存儲器寫入驅(qū)動器之后��,將所述暫時性防回滾表的所述存儲映像安全地 保存在非易失性存儲器中作為替換防回滾表���。2. 根據(jù)權(quán)利要求1所述的方法,還包括���,在通過最初由開機代碼裝載的所述第一安全 軟件組件將所述暫時性防回滾表裝載到存儲器中之前,驗證所述第一安全軟件組件的安全 修訂號與OTP存儲器中存儲的對應的安全修訂號至少一樣大����。3. 根據(jù)權(quán)利要求1所述的方法���,其中,將所述暫時性防回滾表從預定地址裝載到存儲 器中包括經(jīng)由USB或UART接口讀取所述表���。4. 根據(jù)權(quán)利要求1所述的方法��,其中����,將所述暫時性防回滾表從預定地址裝載到存儲 器中包括從所述設備上的非易失性存儲器讀取所述表�。5. 根據(jù)權(quán)利要求4所述的方法,其中��,從非易失性存儲器讀取所述暫時性防回滾表包 括: 從公共非易失性存儲器讀取所述表以及完整性信息����;和 使用唯一密鑰驗證所述表的完整性。6. 根據(jù)權(quán)利要求4所述的方法��,其中�,從非易失性存儲器讀取所述暫時性防回滾表包 括從回放保護內(nèi)存塊(RPMB)讀取所述表。7. 根據(jù)權(quán)利要求1所述的方法,其中�,驗證所述暫時性防回滾表的有效性包括驗證在 創(chuàng)建所述加密簽名時使用的設備ID匹配所述電子設備的ID。8. 根據(jù)權(quán)利要求1所述的方法���,其中�,驗證所述暫時性防回滾表的有效性包括利用所 述開機代碼或第一軟件組件中的公共密鑰來驗證使用對應的私人密鑰生成所述加密簽名���。9. 根據(jù)權(quán)利要求1所述的方法����,其中���,驗證所述暫時性防回滾表的有效性包括驗證所 述暫時性防回滾表的版本號與在所述電子設備上的OTP存儲器中存儲的所需的最小防回 滾表版本號至少一樣大���。10. 根據(jù)權(quán)利要求1所述的方法,還包括����,在將所述暫時性防回滾表裝載到存儲器中之 后,當合適的存儲器寫入驅(qū)動器已經(jīng)被裝載時����,設置存儲器中的狀態(tài)位元以觸發(fā)隨后寫入 所述防回滾表的所述存儲映像作為替換防回滾表���。11. 根據(jù)權(quán)利要求10所述的方法��,其中����,安全地保存所述暫時性防回滾表的所述存儲 映像作為替換防回滾表包括在待進行防回滾驗證的全部軟件組件已經(jīng)被裝載之后且響應 于所述狀態(tài)位元,保存所述暫時性防回滾表的所述存儲映像��。12. 根據(jù)權(quán)利要求1所述的方法�����,還包括����,響應于至少一個軟件組件的安全修訂號更 新,修改所述暫時性防回滾表的所述存儲映像����。13. 根據(jù)權(quán)利要求1所述的方法,還包括����,當裝載軟件組件并且對于所述軟件組件在所 述暫時性防回滾表的所述存儲映像中不存在對應條目時,更新所述暫時性防回滾表的所述 存儲映像以包括所述軟件組件和相關聯(lián)的安全修訂號。14. 根據(jù)權(quán)利要求1所述的方法����,其中,安全地保存所述暫時性防回滾表的所述存儲映 像作為替換防回滾表包括: 生成對于所述暫時性防回滾表的所述存儲映像的完整性數(shù)據(jù)��;和 將所述暫時性防回滾表的所述存儲映像以及所述完整性數(shù)據(jù)寫入非安全的非易失性 存儲器中作為替換防回滾表�。15. 根據(jù)權(quán)利要求14所述的方法,其中���,生成對于所述暫時性防回滾表的所述存儲映 像的完整性數(shù)據(jù)包括使用僅在安全操作模式下可用的唯一密鑰生成基于哈希的消息認證 碼��。16. 根據(jù)權(quán)利要求1所述的方法��,其中�,安全地保存所述暫時性防回滾表的所述存儲映 像作為替換防回滾表包括將所述暫時性防回滾表的所述存儲映像寫入非易失性存儲器的 回放保護內(nèi)存塊中作為替換防回滾表����。17. 根據(jù)權(quán)利要求9所述的方法,其中���,安全地保存所述暫時性防回滾表的所述存儲映 像作為替換防回滾表包括: 增大所需的最小防回滾表版本號���;和 將更新的所需的最小防回滾表版本號保存在OTP存儲器中���。18. 根據(jù)權(quán)利要求1所述的方法,還包括: 裝載富操作系統(tǒng)(OS)且在所述富OS下由所述處理器執(zhí)行一個或多個應用��;和 在與所述富OS及其應用隔離的安全模式下操作所述處理器���。19. 根據(jù)權(quán)利要求18所述的方法,其中�����,所述處理器包括可操作以執(zhí)行所述富OS及其 應用的第一處理單元��、以及與所述第一處理單元隔離的第二處理單元���,并且其中�,在與所述 富OS及其應用隔離的安全模式下操作所述處理器包括在所述第二處理單元上執(zhí)行所述安 全模式�����。20. 根據(jù)權(quán)利要求18所述的方法���,其中��,所述OTP存儲器僅在安全模式下能夠被所述處 理器訪問��。21. -種創(chuàng)建用于電子設備的暫時性防回滾表的方法�,包括: 從所述設備獲得唯一的設備ID和防回滾表的所需的最小版本號; 生成暫時性防回滾表���,所述暫時性防回滾表包括待進行防回滾驗證的全部安全軟件組 件的標識以及對于各個這種軟件組件的安全修訂號�; 使用私人密鑰��、所述設備ID以及所述所需的最小版本號對所述暫時性防回滾表進行 加密簽名����;和 將所述暫時性防回滾表提供給所述設備。22. 根據(jù)權(quán)利要求21所述的方法����,其中,在所述暫時性防回滾表中的各個軟件組件的 所述安全修訂號為零����。23. 根據(jù)權(quán)利要求21所述的方法,其中�,所述私人密鑰對應于所述電子設備已知的公 共密鑰。24. -種電子設備��,包括: 處理器; 非易失性存儲器�;和 一次性可編程(OTP)存儲器; 其中���,所述處理器能夠操作以: 將所述設備重新開機�; 通過開機代碼或者最初由開機代碼裝載的第一安全軟件組件����,將具有版本號的且已經(jīng) 被加密簽名的暫時性防回滾表從預定地址裝載到存儲器中���,所述暫時性防回滾表包括對于 多個軟件組件中的各個軟件組件的可允許的最小安全修訂號���; 驗證所述暫時性防回滾表的有效性; 使用所述暫時性防回滾表的存儲映像�,驗證在開機過程期間隨后裝載的各個軟件組件 的安全修訂號;和 在裝載合適的存儲器寫入驅(qū)動器之后����,安全地保存所述暫時性防回滾表的所述存儲映 像作為替換防回滾表。
【專利摘要】一種加密簽名的����、對特定設備是唯一的且包括版本號的暫時性防回滾表被提供給需要替換防回滾表的電子設備�。在重新開機之后����,該表被該設備驗證且被裝載到存儲器中。所述表的存儲映像用于在全部可信軟件組件被裝載時對它們進行防回滾驗證���。在開機過后�,所述表的存儲映像以安全的方式被寫入到非易失性存儲器作為替換防回滾表��,且暫時性防回滾表被刪除��。在OTP存儲器中的所需的最小表版本號被增大�。在授權(quán)服務中心處使用私人密鑰創(chuàng)建暫時性防回滾表且對暫時性防回滾表進行簽名;在電子設備中的對應的公共密鑰驗證其真實性����。
【IPC分類】H04L9/32, G06F9/44, G06F21/57
【公開號】CN104956374
【申請?zhí)枴緾N201480006422
【發(fā)明人】佩爾·斯塔爾, 哈坎·恩隆德, 漢斯·霍爾姆貝格
【申請人】意法愛立信有限公司
【公開日】2015年9月30日
【申請日】2014年2月18日
【公告號】US20140250290, WO2014131652A1