專(zhuān)利名稱(chēng):在設(shè)備制造之前對(duì)組件的保護(hù)的制作方法
技術(shù)領(lǐng)域:
本申請(qǐng)涉及設(shè)備安全��,更具體地�,涉及在設(shè)備制造之前對(duì)組件的保護(hù)����。
背景技術(shù):
曾經(jīng),制造商直接控制隨后要組合為単一設(shè)備的每個(gè)組件的生產(chǎn)��。確實(shí),通常所有組件和該單ー設(shè)備可以在一家制造��。然而��,當(dāng)設(shè)備是復(fù)雜的電子設(shè)備���,使得設(shè)備的眾多組件的制造源自多個(gè)制造商的實(shí)用性和成本節(jié)約變得更有吸引力����。即使存在安全考慮���,尤其是在由所有組件制造最終設(shè)備時(shí)�。仿造或偽造設(shè)備可能是沒(méi)有保護(hù)沿制造路徑的步驟的不幸結(jié)果����。
發(fā)明內(nèi)容
通過(guò)在將組件交付至最終產(chǎn)品制造設(shè)施之前保護(hù)產(chǎn)品內(nèi)的組件,可以使得最終產(chǎn)品制造設(shè)施生產(chǎn)的設(shè)備成為可證明的安全設(shè)備�。根據(jù)本公開(kāi)的一方面,提供了一種便于設(shè)備的安全制造的方法�����。所述方法包括:在所述設(shè)備的組件處產(chǎn)生密碼密鑰對(duì)����,所述密碼密鑰對(duì)包括專(zhuān)用密碼密鑰和對(duì)應(yīng)的公用密碼密鑰��;在所述設(shè)備的所述組件處安全存儲(chǔ)所述專(zhuān)用密鑰�,從而產(chǎn)生受保護(hù)組件���;以及向生產(chǎn)所述設(shè)備的設(shè)施提供所述受保護(hù)組件����,所述設(shè)施至少部分地基于所述受保護(hù)組件來(lái)生產(chǎn)所述設(shè)備�����。在本申請(qǐng)的其他方面�����,提供了一種用于執(zhí)行該方法的系統(tǒng)��。結(jié)合附圖����,通過(guò)審閱本公開(kāi)的具體實(shí)現(xiàn)的以下描述�,對(duì)于本領(lǐng)域技術(shù)人員而言���,本公開(kāi)的其他方面和特征將變得顯而易見(jiàn)。
現(xiàn)在參照作為實(shí)例示出了示例實(shí)現(xiàn)的附圖來(lái)描述本發(fā)明����,其中:圖1示意性示出了用于示例消費(fèi)產(chǎn)品的分布式制造過(guò)程;圖2示出了根據(jù)本公開(kāi)的實(shí)現(xiàn)的圖1的移動(dòng)通信設(shè)備的示例示意配置�;圖3示出了根據(jù)本公開(kāi)實(shí)現(xiàn)的用于產(chǎn)生安全產(chǎn)品的系統(tǒng)的組件;以及圖4示出了圖3的根據(jù)本公開(kāi)的實(shí)現(xiàn)用于產(chǎn)生安全產(chǎn)品的系統(tǒng)����,其中添加有中繼。
具體實(shí)施例方式消費(fèi)品的生產(chǎn)通常需要協(xié)調(diào)生產(chǎn)成品的組件不同的制造設(shè)施以及將組件交付給最終制造設(shè)施��,在最終制造設(shè)施中通過(guò)組裝組件來(lái)生產(chǎn)最終產(chǎn)品����。見(jiàn)圖1,示意性示出了用于示例性的消費(fèi)產(chǎn)品�,即,移動(dòng)通信設(shè)備100�����,的分布式制造過(guò)程�。第一制造設(shè)施IlOA生產(chǎn)處理器128��、第二制造設(shè)施IlOB生產(chǎn)通信子系統(tǒng)102��、第三制造設(shè)施IlOC生產(chǎn)鍵盤(pán)124�、第四制造設(shè)施IlD生產(chǎn)顯示器126���。第五制造設(shè)施IlOE接收接收其他制造設(shè)施110A�����、110BU10C�、IIOD輸出的組件和來(lái)自許多其他制造設(shè)施的組件��,并生產(chǎn)移動(dòng)通信設(shè)備100�。圖2示出了移動(dòng)通信設(shè)備100的示例示意配置。移動(dòng)通信設(shè)備100包括:外殼���、輸入設(shè)備(例如具有多個(gè)鍵的鍵盤(pán)124)和輸出設(shè)備(例如顯示器126),可以包括全圖形或全彩色液晶顯示器(LCD)����。在一些實(shí)施例中,顯示器126可以包括觸摸屏顯示器��。在這些實(shí)施例中,鍵盤(pán)124可以包括虛擬鍵盤(pán)��。備選地�����,可以利用其他類(lèi)型的輸出設(shè)備��。圖2中將處理設(shè)備(處理器128)示意性地示為耦合在鍵盤(pán)124和顯示器126之間�����。處理器128至少部分響應(yīng)于用戶(hù)對(duì)鍵盤(pán)124上的鍵的促動(dòng)���,控制顯示器126的操作以及移動(dòng)通信設(shè)備100的整體操作����。處理器128包括處理器存儲(chǔ)器214�。外殼可以是垂直長(zhǎng)形,或者可以取其他大小和形狀(包括翻蓋外殼結(jié)構(gòu))��。在鍵盤(pán)124包括與至少ー個(gè)字母字符和至少ー個(gè)數(shù)字字符相關(guān)聯(lián)的鍵的情況下���,鍵盤(pán)124可以包括模式選擇鍵����、或用于在字母輸入和數(shù)字輸入之間切換的其他硬件或軟件。除了處理器128之外��,圖2示意性地示出了移動(dòng)通信設(shè)備100的其他部分��。這些部分可以包括:通信子系統(tǒng)102 ;短距離通信子系統(tǒng)204 ;鍵盤(pán)124和顯示器126����。移動(dòng)通信設(shè)備100還可以包括其他輸入/輸出設(shè)備,包括一組輔助I/O設(shè)備206���、串行端ロ 208����、揚(yáng)聲器211和麥克風(fēng)212�����。移動(dòng)通信設(shè)備100還可以包括存儲(chǔ)器設(shè)備��,包括閃存216和隨機(jī)存取存儲(chǔ)器(RAM)218 ;以及各種其他設(shè)備子系統(tǒng)220����。移動(dòng)通信設(shè)備100可以包括具有語(yǔ)音和數(shù)據(jù)通信能力的雙向射頻(RF)通信設(shè)備。此外����,移動(dòng)通信設(shè)備100具有經(jīng)由因特網(wǎng)與其他計(jì)算機(jī)系統(tǒng)通信的能力。由處理器128執(zhí)行的操作系統(tǒng)軟件存儲(chǔ)在如閃存216之類(lèi)的計(jì)算機(jī)可讀介質(zhì)中�����,但也可以存儲(chǔ)在如只讀存儲(chǔ)器(ROM)或類(lèi)似存儲(chǔ)元件之類(lèi)的其他類(lèi)型的存儲(chǔ)設(shè)備中���。此夕卜�����,可以將系統(tǒng)軟件����、專(zhuān)用設(shè)備應(yīng)用或其部分臨時(shí)加載入如RAM218之類(lèi)的易失性存儲(chǔ)器中�����。移動(dòng)設(shè)備接收到的通信信號(hào)也可以存儲(chǔ)在RAM218中���。除了操作系統(tǒng)功能以外�����,處理器128還能夠執(zhí)行移動(dòng)通信設(shè)備100上的軟件應(yīng)用��?���?梢栽谥圃炱陂g在移動(dòng)通信設(shè)備100上安裝控制基本設(shè)備操作的預(yù)定軟件應(yīng)用集合,如語(yǔ)音通信模塊230A和數(shù)據(jù)通信模塊230B���。還可以在制造期間在移動(dòng)通信設(shè)備100上安裝質(zhì)詢(xún)/響應(yīng)模塊230C��。此外���,還可以在制造期間安裝附加軟件模塊,示意為其他軟件模塊230N��,例如可以是P頂應(yīng)用�。P頂應(yīng)用能夠組織和管理數(shù)據(jù)項(xiàng)目,如電子郵件���、日歷事件���、語(yǔ)音郵件、約會(huì)��、和任務(wù)項(xiàng)目���。P頂應(yīng)用還能夠經(jīng)由無(wú)線運(yùn)營(yíng)商網(wǎng)絡(luò)270(由無(wú)線塔表示)發(fā)送和接收數(shù)據(jù)項(xiàng)目�����。由PM應(yīng)用管理的數(shù)據(jù)項(xiàng)目經(jīng)由無(wú)線運(yùn)營(yíng)商網(wǎng)絡(luò)270與主機(jī)系統(tǒng)中存儲(chǔ)的或與主機(jī)系統(tǒng)相關(guān)聯(lián)的���、設(shè)備用戶(hù)的相應(yīng)數(shù)據(jù)項(xiàng)目無(wú)縫地集成、同步和更新���?����?梢酝ㄟ^(guò)通信子系統(tǒng)102���,并可能通過(guò)短距離通信子系統(tǒng)204來(lái)執(zhí)行包括數(shù)據(jù)和語(yǔ)音通信在內(nèi)的通信功能。通信子系統(tǒng)102包括接收機(jī)250���、發(fā)射機(jī)252以及ー個(gè)或多個(gè)天線(示為接收天線254和發(fā)送天線256)�。此外,通信子系統(tǒng)102還包括:處理模塊�,如數(shù)字信號(hào)處理器(DSP) 258,以及本地振蕩器(LO) 260����。通信子系統(tǒng)102的具體設(shè)計(jì)和實(shí)現(xiàn)取決于移動(dòng)通信設(shè)備100要在其中操作的通信網(wǎng)絡(luò)。例如����,移動(dòng)通信設(shè)備100的通信子系統(tǒng)102可以被設(shè)計(jì)為與MobiteXTM、DataTACTM或通用分組無(wú)線業(yè)務(wù)(GPRS)移動(dòng)數(shù)據(jù)通信網(wǎng)絡(luò)一起進(jìn)行操作�����,還被設(shè)計(jì)為與如先進(jìn)移動(dòng)電話服務(wù)(AMPS)�、時(shí)分多址(TDMA)、碼分多址(CDMA)�、個(gè)人通信服務(wù)(PCS)、全球移動(dòng)通信系統(tǒng)(GSM)��、GSM增強(qiáng)數(shù)據(jù)速率演進(jìn)(EDGE)�����、通用移動(dòng)電信系統(tǒng)(UMTS)、寬帶碼分多址(W-CDMA)�����、高速分組接入(HSPA)等多種語(yǔ)音通信網(wǎng)絡(luò)中任一種一起進(jìn)行操作����。移動(dòng)通信設(shè)備100還可以與分離的和集成的其他類(lèi)型的數(shù)據(jù)和語(yǔ)音網(wǎng)絡(luò)一起利用���。網(wǎng)絡(luò)接入要求根據(jù)通信系統(tǒng)的類(lèi)型而改變����。典型地����,標(biāo)識(shí)符與每個(gè)移動(dòng)設(shè)備相關(guān)聯(lián),唯一標(biāo)識(shí)移動(dòng)設(shè)備或移動(dòng)設(shè)備所分配至的訂戶(hù)��。在特定網(wǎng)絡(luò)或網(wǎng)絡(luò)技術(shù)內(nèi)����,標(biāo)識(shí)符是唯一的。例如��,在Mobitex 網(wǎng)絡(luò)中,使用與每個(gè)設(shè)備相關(guān)聯(lián)的Mobitex接入號(hào)碼(MAN)在網(wǎng)絡(luò)上注冊(cè)移動(dòng)設(shè)備���;在DataTAC 網(wǎng)絡(luò)中����,使用與每個(gè)設(shè)備相關(guān)聯(lián)的邏輯鏈路標(biāo)識(shí)符(LLI)在網(wǎng)絡(luò)上注冊(cè)移動(dòng)設(shè)備�。然而,在GPRS網(wǎng)絡(luò)中�����,網(wǎng)絡(luò)接入與設(shè)備的訂戶(hù)或用戶(hù)相關(guān)聯(lián)��。GPRS設(shè)備因此需要訂戶(hù)識(shí)別模塊(通常被稱(chēng)作訂戶(hù)識(shí)別模塊(SM)卡)�,以便在GPRS網(wǎng)絡(luò)上進(jìn)行操作。盡管利用SIM來(lái)標(biāo)識(shí)訂戶(hù)��,使用國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)(IMEI)號(hào)碼來(lái)唯一標(biāo)識(shí)GSM/GPRS網(wǎng)絡(luò)內(nèi)的移動(dòng)設(shè)備��。當(dāng)已經(jīng)完成所需的網(wǎng)絡(luò)注冊(cè)或激活過(guò)程時(shí)�,移動(dòng)通信設(shè)備100可以在無(wú)線運(yùn)營(yíng)商網(wǎng)絡(luò)270上發(fā)送和接收通信信號(hào)。將接收天線254從無(wú)線運(yùn)營(yíng)商網(wǎng)絡(luò)270接收到的信號(hào)路由至接收機(jī)250��,接收機(jī)250提供信號(hào)放大、頻率下轉(zhuǎn)換���、濾波�����、信道選擇等���,還可以提供模數(shù)轉(zhuǎn)換。接收信號(hào)的模數(shù)轉(zhuǎn)換允許DSP258執(zhí)行更復(fù)雜的通信功能���,如解調(diào)和解碼。采用類(lèi)似的方式��,DSP258對(duì)要發(fā)送至無(wú)線運(yùn)營(yíng)商網(wǎng)絡(luò)270的信號(hào)進(jìn)行處理(例如��,調(diào)制和編碼)����,然后將其提供至發(fā)射機(jī)252,以進(jìn)行數(shù)模轉(zhuǎn)換�、頻率上轉(zhuǎn)換、濾波�、放大并經(jīng)由發(fā)送天線256發(fā)送至無(wú)線運(yùn)營(yíng)商網(wǎng)絡(luò)270。除了對(duì)通信信號(hào)進(jìn)行處理以外����,DSP258提供對(duì)接收機(jī)250和發(fā)射機(jī)252的控制�。例如�,可以通過(guò)在DSP258中實(shí)現(xiàn)的自動(dòng)增益控制算法來(lái)對(duì)應(yīng)用至接收機(jī)250和發(fā)射機(jī)252中的通信信號(hào)的增益進(jìn)行自適應(yīng)控制。在數(shù)據(jù)通信模式中��,通信子系統(tǒng)102對(duì)如文本消息或網(wǎng)頁(yè)下載等接收信號(hào)進(jìn)行處理�,并將其輸入至處理器128。然后����,由處理器128對(duì)接收信號(hào)進(jìn)行進(jìn)一步處理,以向顯示器126輸出���,或備選地向ー些其他輔助I/O設(shè)備206輸出�����。設(shè)備用戶(hù)還可以使用鍵盤(pán)114和/或某個(gè)其他輔助I/O設(shè)備206 (例如����,觸摸板�����、搖臂開(kāi)關(guān)、姆指輪或某種其他類(lèi)型的輸入設(shè)備)來(lái)編寫(xiě)如電子郵件消息之類(lèi)的數(shù)據(jù)項(xiàng)目����。然后可以經(jīng)由通信子系統(tǒng)102在無(wú)線運(yùn)營(yíng)商網(wǎng)絡(luò)270上發(fā)送所編寫(xiě)的數(shù)據(jù)項(xiàng)目。在語(yǔ)音通信模式中���,設(shè)備的總體操作基本上類(lèi)似于數(shù)據(jù)通信模式����,只是將接收信號(hào)輸出至揚(yáng)聲器211�����,并且通過(guò)麥克風(fēng)212產(chǎn)生用于發(fā)送的信號(hào)����。諸如語(yǔ)音消息記錄子系統(tǒng)之類(lèi)的備選語(yǔ)音或音頻I/O子系統(tǒng)也可以在移動(dòng)通信設(shè)備100上實(shí)現(xiàn)�。此外,顯示器126也可以用在語(yǔ)音通信模式下����,例如用于顯示呼叫方身份、語(yǔ)音呼叫持續(xù)時(shí)間、或其他語(yǔ)音呼叫相關(guān)信息����。短距離通信子系統(tǒng)204可以實(shí)現(xiàn)移動(dòng)通信設(shè)備100與其他鄰近系統(tǒng)或設(shè)備(不必是類(lèi)似設(shè)備)之間的通信。例如�����,短距離通信子系統(tǒng)可以包括紅外設(shè)備及關(guān)聯(lián)電路和組件�、或藍(lán)牙(Bluetooth )通信模塊,以提供與具有類(lèi)似功能的系統(tǒng)和設(shè)備的通信�。有時(shí)存在以下情況,第五制造設(shè)施IlOE不是完全安全的設(shè)施�����,在第五制造設(shè)施IlOE處組裝新產(chǎn)品并介紹給公眾之后短期內(nèi)���,出現(xiàn)新產(chǎn)品的偽造版本���。通常偽造版本的生產(chǎn)商從第五制造設(shè)施IlOE獲取新產(chǎn)品的組件,并對(duì)組件執(zhí)行反向工程����,使其自身的制造設(shè)施可以緊密近似得到新產(chǎn)品的組件����。從消費(fèi)者或者設(shè)置部署設(shè)備的網(wǎng)絡(luò)的觀點(diǎn)看���,新產(chǎn)品的偽造版本可能與新產(chǎn)品不可區(qū)分���。對(duì)于新產(chǎn)品的生產(chǎn)商,由于市場(chǎng)上的偽造版本的存在而損失的收入與關(guān)聯(lián)于各個(gè)組件的知識(shí)產(chǎn)權(quán)的價(jià)值相關(guān)�。對(duì)于移動(dòng)通信設(shè)備100的示例情況,在全部組件中�����,與處理器128相關(guān)聯(lián)的知識(shí)產(chǎn)權(quán)的價(jià)值可以是主要的��。然而應(yīng)理解����,在其他示例設(shè)備中��,與其他組件相關(guān)聯(lián)的知識(shí)產(chǎn)權(quán)可以具有更大價(jià)值�。圖3示出了用于產(chǎn)生安全產(chǎn)品的系統(tǒng)300的組件。系統(tǒng)300包括:內(nèi)部環(huán)境306���、第一制造設(shè)施IlOA和第五制造設(shè)施110E��。內(nèi)部環(huán)境306(這樣命名是由于其是與制造設(shè)施110A���、110B�����、110C�����、1 IOD和IlOE簽約以生產(chǎn)移動(dòng)通信設(shè)備100的組織內(nèi)部的環(huán)境)包括制造認(rèn)證服務(wù)器(MAS) 308和碼簽名服務(wù)器302�����。圖4示出了圖3的用于產(chǎn)生安全產(chǎn)品的系統(tǒng)300�����,其中添加了與無(wú)線運(yùn)營(yíng)商網(wǎng)絡(luò)270相關(guān)聯(lián)的中繼402�?��?傮w上�����,通過(guò)在將組件交付至最終產(chǎn)品制造設(shè)施之前保護(hù)產(chǎn)品內(nèi)的組件����,能夠證明設(shè)備制造過(guò)程的安全性。具體地講�����,在將移動(dòng)通信設(shè)備100的處理器128運(yùn)送至第五制造設(shè)施IlOE之前�,處理器128可以由第一制造設(shè)施IlOA配置。例如��,處理器128可以被配置為使得處理器128僅執(zhí)行合適簽名的軟件����。此外,移動(dòng)通信設(shè)備100的處理器128可以被配置為使得處理器128可以對(duì)密碼質(zhì)詢(xún)進(jìn)行合適響應(yīng)���。此外�,移動(dòng)通信設(shè)備100的處理器128可以被配置為使得處理器128被鎖閉以防止被進(jìn)ー步改變或改正���。在操作中�,處理器128安全執(zhí)行密鑰分配器碼303���,以產(chǎn)生非対稱(chēng)密鑰對(duì)和處理器128的標(biāo)識(shí)符(“處理器ID”312)���。例如,非対稱(chēng)密鑰對(duì)可以包括處理器私鑰311和處理器公鑰310�。處理器128在執(zhí)行密鑰分配器碼303時(shí)可以例如通過(guò)在處理器存儲(chǔ)器214中將非対稱(chēng)處理器密鑰對(duì)310、311與分配給處理器128的處理器ID312相結(jié)合地存儲(chǔ)�����,來(lái)將非對(duì)稱(chēng)處理器密鑰對(duì)310�、311綁定至其自身。除了將非對(duì)稱(chēng)處理器密鑰對(duì)310���、311和處理器ID312本地存儲(chǔ)在處理器存儲(chǔ)器214中之外����,處理器128還向內(nèi)部環(huán)境306中的MAS308發(fā)送報(bào)告316�����。報(bào)告316包括:例如����,處理器ID312���、處理器公鑰310、以及與處理器128的安全設(shè)置相關(guān)的附加安全特性數(shù)據(jù)314�����。MAS308提供內(nèi)部環(huán)境306內(nèi)的安全數(shù)據(jù)存儲(chǔ)和管理���。在第一制造設(shè)施IlOA處的處理器128執(zhí)行的密鑰分配器碼303可以通過(guò)將碼簽名公鑰304提供給處理器128來(lái)初始化處理器128的“安全啟動(dòng)”特征�。與將碼簽名公鑰304提供給處理器128相結(jié)合����,第一制造設(shè)施IlOA可以配置處理器128,使得處理器128只能執(zhí)行已經(jīng)使用與碼簽名公鑰304相對(duì)應(yīng)的碼簽名私鑰簽名的可執(zhí)行碼�����。此外�,第一制造設(shè)施IlOA可以配置處理器128,使得處理器128對(duì)將來(lái)的改變鎖閉���。第一制造設(shè)施IlOA可以將處理器128對(duì)將來(lái)的改變鎖閉的ー種方式包括:配置處理器128�,使得處理器私鑰311的每個(gè)比特與一次性可編程(OTP)保險(xiǎn)絲相關(guān)聯(lián)。即處理器存儲(chǔ)器214可以實(shí)現(xiàn)為OTP保險(xiǎn)絲�����。第一制造設(shè)施IlOA還可以禁用處理器128的調(diào)試接ロ�,以防止繞過(guò)安全啟動(dòng)特征或訪問(wèn)處理器私鑰311�����。在完成制造和配置處理器128時(shí)�����,第一制造設(shè)施IIOA可以配置將處理器128運(yùn)送至第五制造設(shè)施110E�。在第五制造設(shè)施IlOE處,移動(dòng)通信設(shè)備100可以被組裝以包括處理器128和其他組件��。在成功組裝時(shí)�����,第五制造設(shè)施IlOE可以將移動(dòng)通信設(shè)備100運(yùn)送至市場(chǎng)����。與將移動(dòng)通信設(shè)備100運(yùn)送至市場(chǎng)相結(jié)合��,MAS 308可以配置中繼402以允許移動(dòng)通信設(shè)備100與中繼402之間的安全通信��。例如�����,從移動(dòng)通信設(shè)備100安全地發(fā)送消息和安全地接收到移動(dòng)通信設(shè)備100的消息可能需要與中繼通信�����。在第五制造設(shè)施IIOE處���,在制造移動(dòng)通信設(shè)備100期間,可以測(cè)試處理器128��。這種測(cè)試可能涉及需要處理器128對(duì)給定的質(zhì)詢(xún)正確地產(chǎn)生響應(yīng)���。如下所述���,正確響應(yīng)的產(chǎn)生可以被認(rèn)為是所制造的設(shè)備安全的證據(jù)。對(duì)于被認(rèn)為是安全的所制造的設(shè)備��,應(yīng)當(dāng)可以確認(rèn),生產(chǎn)流程中的安全驗(yàn)證步驟未被跳過(guò)或篡改�。在示例的安全制造過(guò)程中,包括密碼驗(yàn)證每個(gè)處理器的標(biāo)識(shí)的步驟����。除了在制造過(guò)程階段測(cè)試處理器128之外,被配置為在處理器128上執(zhí)行的操作系統(tǒng)可以被配置為僅執(zhí)行已簽名應(yīng)用�����。通常�����,處理器128可以被配置為支持應(yīng)用的執(zhí)行����,以及在合適時(shí)支持訪問(wèn)移動(dòng)通信設(shè)備100的應(yīng)用編程接ロ(API)的應(yīng)用���。操作系統(tǒng)可以包括安全處理機(jī)元件�����?�?梢砸筇幚砥?28執(zhí)行的每個(gè)應(yīng)用為安全應(yīng)用�����。執(zhí)行安全應(yīng)用不違反定義的安全策略的確?��?梢陨婕按_定已經(jīng)利用合適簽名對(duì)該應(yīng)用進(jìn)行了簽名�����。這種確定可以在各種時(shí)刻發(fā)生����,例如在啟動(dòng)時(shí)����,或動(dòng)態(tài)發(fā)生。在啟動(dòng)時(shí)�,安全處理機(jī)可以分析應(yīng)用以及已經(jīng)加載至設(shè)備的任何其他應(yīng)用。安全處理機(jī)可以以以下討論的方式驗(yàn)證已經(jīng)對(duì)應(yīng)用進(jìn)行合適的密碼簽名���。例如���,安全處理機(jī)可以例如訪問(wèn)碼簽名公鑰304�����。一般地����,應(yīng)用開(kāi)發(fā)者向已經(jīng)簽約生產(chǎn)移動(dòng)通信設(shè)備100的組織的內(nèi)部環(huán)境306提交專(zhuān)用于給定應(yīng)用的請(qǐng)求�����。響應(yīng)于該請(qǐng)求并假定請(qǐng)求被準(zhǔn)許����,內(nèi)部環(huán)境306的碼簽名服務(wù)器302利用碼簽名私鑰對(duì)給定應(yīng)用進(jìn)行簽名�。為了對(duì)應(yīng)用碼進(jìn)行密碼簽名,碼簽名服務(wù)器302可以首先提供給定應(yīng)用的碼作為對(duì)散列函數(shù)的輸入以獲得數(shù)字簽名�����。隨后�����,碼簽名服務(wù)器302可以使用碼簽名私鑰對(duì)數(shù)字簽名進(jìn)行編碼����。然后��,碼簽名服務(wù)器302可以向應(yīng)用文件附加編碼的數(shù)字簽名(可以稱(chēng)為密碼簽名或密碼標(biāo)識(shí)符“ ID”)�����。隨后�����,將給定應(yīng)用加載至移動(dòng)通信設(shè)備100����。在啟動(dòng)時(shí)��,安全處理機(jī)可以獲得(可能從預(yù)定存儲(chǔ)器位置)給定應(yīng)用的碼以及與給定應(yīng)用相關(guān)聯(lián)的密碼ID之一�����。然后���,安全處理機(jī)可以提供給定應(yīng)用的碼作為對(duì)由碼簽名服務(wù)器302使用的相同散列函數(shù)的輸入���。由于向散列函數(shù)提供應(yīng)用碼��,安全處理機(jī)接收本地?cái)?shù)字簽名作為散列函數(shù)的輸出��。然后�����,安全處理機(jī)利用碼簽名公鑰304來(lái)檢查本地?cái)?shù)字簽名�,以確認(rèn)碼的相同散列被內(nèi)部環(huán)境306簽名�。如果安全處理機(jī)確認(rèn)碼的相同散列被內(nèi)部環(huán)境306簽名,則安全處理機(jī)允許處理器執(zhí)行該應(yīng)用���。如果安全處理機(jī)未確認(rèn)碼的相同散列被內(nèi)部環(huán)境306簽名�����,則安全處理機(jī)拒絕處理器128執(zhí)行該應(yīng)用的能力。在制造過(guò)程的任一點(diǎn)����,MAS308可以產(chǎn)生專(zhuān)用于處理器128的質(zhì)詢(xún),井向移動(dòng)通信設(shè)備100發(fā)送質(zhì)詢(xún)���。MAS308可以產(chǎn)生質(zhì)詢(xún)����,使得MAS308可驗(yàn)證響應(yīng),并且如果所安裝的處理器是第一制造設(shè)施IlOA已經(jīng)安全配置的處理器128�,則響應(yīng)只能由移動(dòng)通信設(shè)備100產(chǎn)生。允許MAS308確認(rèn)處理器128擁有處理器私鑰311的一種簡(jiǎn)單的質(zhì)詢(xún)-響應(yīng)機(jī)制如下進(jìn)行�。MAS308產(chǎn)生某些隨機(jī)數(shù)據(jù),并將隨機(jī)數(shù)據(jù)發(fā)送至移動(dòng)通信設(shè)備100�����。移動(dòng)通信設(shè)備100利用處理器私鑰311對(duì)隨機(jī)數(shù)據(jù)簽名���,并將簽名的數(shù)據(jù)發(fā)送至MAS308���。MAS308使用處理器公鑰310來(lái)驗(yàn)證簽名的數(shù)據(jù)。允許MAS308確認(rèn)處理器128擁有處理器私鑰311的一種備選機(jī)制如下進(jìn)行���。MAS308利用處理器公鑰310對(duì)某些隨機(jī)數(shù)據(jù)加密���,從而產(chǎn)生加密的隨機(jī)數(shù)據(jù)。MAS308將加密的隨機(jī)數(shù)據(jù)發(fā)送至移動(dòng)通信設(shè)備100����。響應(yīng)于接收到的加密隨機(jī)數(shù)據(jù)��,移動(dòng)通信設(shè)備100使用處理器私鑰311執(zhí)行解密����,以獲得隨機(jī)數(shù)據(jù)���。然后��,移動(dòng)通信設(shè)備100向MAS308發(fā)送隨機(jī)數(shù)據(jù)����。在接收到正確解密的隨機(jī)數(shù)據(jù)時(shí)����,MAS308可以確信處理器128擁有處理器私鑰311。在未驗(yàn)證簽名的數(shù)據(jù)時(shí)���,或者在接收到不正確解密的隨機(jī)數(shù)據(jù)時(shí)���,MAS308可以配置阻止移動(dòng)通信設(shè)備100從第五制造設(shè)施IlOE運(yùn)送����。與阻止從第五制造設(shè)施IlOE運(yùn)送相結(jié)合�����,MAS308還可以配置在中繼402上不激活移動(dòng)通信設(shè)備100�����。S卩���,MAS308可以被動(dòng)地配置中繼402不與移動(dòng)通信設(shè)備100進(jìn)行安全通信。在未驗(yàn)證簽名的數(shù)據(jù)時(shí)�,或者在接收到不正確解密的隨機(jī)數(shù)據(jù)時(shí),MAS308可以主動(dòng)配置阻止移動(dòng)通信設(shè)備100與中繼402通信�。考慮圖4���,為了增加安全性��,移動(dòng)通信設(shè)備100可以產(chǎn)生另ー密碼密鑰��。處理器128可以獨(dú)立發(fā)起產(chǎn)生該另ー密碼密鑰����。然而,在另ー情況下��,處理器128響應(yīng)于來(lái)自MAS308的請(qǐng)求404�����,發(fā)起產(chǎn)生該另ー密碼密鑰��?����;蛟S�,至少作為測(cè)試移動(dòng)通信設(shè)備100安全性的一部分,MAS308可以發(fā)送請(qǐng)求404以從移動(dòng)通信設(shè)備100收集認(rèn)證的數(shù)據(jù)集合����。如果在移動(dòng)通信設(shè)備100處接收到請(qǐng)求404時(shí)該另ー密碼密鑰尚未產(chǎn)生,處理器128則發(fā)起該另ー密碼密鑰的產(chǎn)生���。響應(yīng)于請(qǐng)求404�����,處理器128可以對(duì)該另ー密碼密鑰加密���,以形成加密的另ー密碼密鑰414。為了加密���,移動(dòng)通信設(shè)備100可以使用與中繼402相關(guān)聯(lián)的公鑰�����。然后��,處理器128可以形成簽名的塊406���。該簽名的塊406包括請(qǐng)求404和對(duì)請(qǐng)求404的響應(yīng)408。響應(yīng)408包含設(shè)備標(biāo)識(shí)的指示和加密的另ー密碼密鑰414��。然后�,處理器128可以利用處理器私鑰311對(duì)包含請(qǐng)求404和響應(yīng)408的塊進(jìn)行簽名,使得移動(dòng)通信設(shè)備100然后可以向MAS308發(fā)送簽名的塊406�。繼而,MAS308可以將加密的另ー密碼密鑰414轉(zhuǎn)發(fā)至中繼402�。由于已經(jīng)使用與中繼402相關(guān)聯(lián)的公鑰來(lái)加密該另ー密碼密鑰414,中繼402可以對(duì)加密的另ー密碼密鑰414解密�����,以產(chǎn)生專(zhuān)用于移動(dòng)通信設(shè)備100的該另ー密碼密鑰。此后����,移動(dòng)通信設(shè)備100可以向中繼402發(fā)送請(qǐng)求416,以向其注冊(cè)��。移動(dòng)通信設(shè)備100可以在注冊(cè)請(qǐng)求中利用另ー密碼密鑰�,從而允許中繼402使用其對(duì)該另ー密碼密鑰的先驗(yàn)知識(shí)來(lái)確認(rèn)在移動(dòng)通信設(shè)備100處已經(jīng)發(fā)起注冊(cè)請(qǐng)求。該另ー密碼密鑰可以是對(duì)稱(chēng)密鑰或非對(duì)稱(chēng)密鑰對(duì)���。盡管以上描述了產(chǎn)生在成品中包括單個(gè)安全組件��,但是應(yīng)當(dāng)清楚����,類(lèi)似地可以在包括在成品中之前保護(hù)多個(gè)組件�。本申請(qǐng)的上述實(shí)現(xiàn)僅是示例。在不脫離由所附權(quán)利要求限定的本申請(qǐng)的范圍的前提下���,本領(lǐng)域技術(shù)人員可以對(duì)具體實(shí)施例做出改變���、修改和變型。
權(quán)利要求
1.一種便于設(shè)備(100)的安全制造的方法�,所述方法包括: 在所述設(shè)備的組件處產(chǎn)生密碼密鑰對(duì)���,所述密碼密鑰對(duì)包括專(zhuān)用密碼密鑰和對(duì)應(yīng)的公用密碼密鑰; 在所述設(shè)備的所述組件處安全存儲(chǔ)所述專(zhuān)用密碼密鑰����,從而生產(chǎn)受保護(hù)組件�����;以及 向生產(chǎn)所述設(shè)備的設(shè)施提供所述受保護(hù)組件���,所述設(shè)施至少部分地基于所述受保護(hù)組件來(lái)生產(chǎn)所述設(shè)備����。
2.根據(jù)權(quán)利要求1所述的方法���,其中�����,所述組件包括處理器����。
3.根據(jù)權(quán)利要求2所述的方法,還包括:禁用所述處理器的調(diào)試接ロ���。
4.根據(jù)權(quán)利要求2或3所述的方法���,還包括:所述處理器僅執(zhí)行利用另ー專(zhuān)用密碼密鑰簽名的應(yīng)用。
5.根據(jù)權(quán)利要求2至4中任一項(xiàng)所述的方法����,其中,在所述設(shè)備的所述組件處存儲(chǔ)所述專(zhuān)用密鑰包括:針對(duì)所述專(zhuān)用密鑰的每個(gè)比特�����,將一次性可編程保險(xiǎn)絲燒入所述處理器��。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法��,還包括:產(chǎn)生所述組件的標(biāo)識(shí)�。
7.根據(jù)權(quán)利要求6所述的方法,還包括:與所述標(biāo)識(shí)相關(guān)聯(lián)地向認(rèn)證服務(wù)器發(fā)送所述公用密碼密鑰�����。
8.根據(jù)權(quán)利要求7所述的方法�,還包括:向所述認(rèn)證服務(wù)器發(fā)送與所述處理器的安全特性相關(guān)的數(shù)據(jù)(314)����。
9.一種便于設(shè)備(100)的安全制造的系統(tǒng)(300)�����,所述系統(tǒng)包括: 制造設(shè)施(110A),適于: 在所述設(shè)備(100)的組件(128)處�����,通過(guò)執(zhí)行密鑰分配器碼(303)來(lái)產(chǎn)生密碼密鑰對(duì)���,所述密碼密鑰對(duì)包括專(zhuān)用密碼密鑰(311)和對(duì)應(yīng)的公用密碼密鑰(310); 在所述設(shè)備的所述組件(128)處安全存儲(chǔ)所述專(zhuān)用密碼密鑰(311)����,從而利用所述密鑰分配器碼(303)來(lái)生產(chǎn)受保護(hù)組件;以及 向用于生產(chǎn)所述設(shè)備(100)的后續(xù)制造設(shè)施(110E)提供所述受保護(hù)組件(128)���,所述后續(xù)制造設(shè)施(110E)至少部分地基于所述受保護(hù)組件(128)來(lái)生產(chǎn)所述設(shè)備(100)�。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)����,其中��,所述組件包括處理器(128)����。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)���,其中�����,所述組件制造設(shè)施還適于:禁用所述處理器(128)的調(diào)試接ロ�。
12.根據(jù)權(quán)利要求10或11所述的系統(tǒng)���,其中�����,所述組件制造設(shè)施還適于:配置所述處理器(128)僅執(zhí)行利用另ー專(zhuān)用密碼密鑰簽名的應(yīng)用��。
13.根據(jù)權(quán)利要求10至12中任一項(xiàng)所述的系統(tǒng)�����,其中���,所述組件制造設(shè)施還適于:針對(duì)所述專(zhuān)用密鑰(311)的每個(gè)比特����,將一次性可編程保險(xiǎn)絲燒入所述處理器(128)�。
14.根據(jù)權(quán)利要求9至13中任一項(xiàng)所述的系統(tǒng),其中����,所述組件密鑰分配器碼(303)還適于使所述組件產(chǎn)生所述組件的標(biāo)識(shí)(312)。
15.根據(jù)權(quán)利要求14所述的系統(tǒng)����,還包括:認(rèn)證服務(wù)器(308)���, 其中���,所述組件密鑰分配器還適于:與所述標(biāo)識(shí)(312)相關(guān)聯(lián)地,向所述認(rèn)證服務(wù)器(308)發(fā)送所述公用密碼密鑰(310)或與所述處理器有關(guān)的附加安全特性數(shù)據(jù)(314)�����。
全文摘要
通過(guò)在將組件交付至最終產(chǎn)品制造設(shè)施之前保護(hù)產(chǎn)品內(nèi)的組件�,可以使設(shè)備制造過(guò)程可證實(shí)地安全�����。此外�����,在制造期間甚至之后�����,在設(shè)備由消費(fèi)者使用時(shí)��,可以針對(duì)安全性和真實(shí)性來(lái)測(cè)試組件���。
文檔編號(hào)H04W88/02GK103098539SQ201180043053
公開(kāi)日2013年5月8日 申請(qǐng)日期2011年7月8日 優(yōu)先權(quán)日2010年7月9日
發(fā)明者蘭·羅伯遜, 羅杰·保羅·鮑曼, 羅伯特·亨德森·伍德 申請(qǐng)人:捷訊研究有限公司