安全芯片和应用处理器及其操作方法技术

公开了安全芯片和应用处理器及其操作方法。在装置中可包括安全芯片和应用处理器，该装置被配置为在证书授权不存在的环境中，在包括公钥基础设施通信的加密通信中与外部客户端联系。安全芯片可向应用处理器提供与公钥基础设施通信相关的装置密钥对中的装置公钥，从应用处理器接收请求以在包括装置公钥的证书形式上生成数字签名，向应用处理器提供基于使用证书授权私钥的加密操作生成的数字签名，并从应用处理器接收且储存包括数字签名的证书。

【技术实现步骤摘要】
安全芯片和应用处理器及其操作方法相关申请的交叉引用本申请要求于2016年1月21日向韩国知识产权局提交的第10-2016-0007545号韩国专利申请的权益，其全部内容通过引用并入本文。
本专利技术概念涉及安全芯片，更具体地涉及安全芯片、应用处理器、包括该安全芯片的装置、以及安全芯片的操作方法。
技术介绍
关于公钥基础设施(PKI)，通过使用公钥(publickey)加密在装置之间传送的数据，并且通过使用私钥(privatekey)或秘密密钥(secretkey)解密在装置之间传送的数据。此外，通过证书交换过程传送公钥，由独立的证书授权机构(CA)生成证书。然而，CA的介入会导致成本增加，并且还存在将可储存在装置上的私钥暴露的风险。
技术实现思路
本专利技术概念的一些示例性实施方式包括安全芯片、应用处理器、包括安全芯片的装置、安全芯片的操作方法，由此可降低用于构建基于公钥的系统的成本以及暴露重要信息例如私钥的可能性。根据一些示例性实施方式，安全芯片的操作方法可包括：在安全芯片处执行：向应用处理器(AP)传送装置密钥对(keypair)的装置公钥，装置密钥对与公钥基础设施通信相关联；从AP接收请求，以在证书形式(certificateform)上生成数字签名，证书形式包括装置公钥；基于所接收的请求以生成数字签名，向AP传送数字签名，数字签名基于使用证书授权(CA)私钥的加密操作生成；从AP接收证书形式，证书包括数字签名；以及在安全芯片处储存证书。根据一些示例性实施方式，一种应用处理器(AP)的操作方法，其中AP被配置为与安全芯片通信，安全芯片储存与公钥基础设施(PKI)通信相关联的一个或多个密钥，操作方法可包括：在AP处执行：基于从安全芯片接收装置公钥生成证书形式，证书形式包括装置公钥；传送请求至安全芯片，以在所生成的证书形式上生成数字签名；从安全芯片接收数字签名，数字签名根据储存在安全芯片中的证书授权(CA)私钥生成；以及生成包括从安全芯片接收的数字签名的证书。根据一些示例性实施方式，一种安全芯片的操作方法，其中，安全芯片被配置为与位于共同装置中的应用处理器(AP)通信，安全芯片还被配置为储存证书，证书包括装置公钥和装置私钥，操作方法可包括：在安全芯片处执行：根据与外部客户端相关联的握手过程传送第一随机数据和证书至AP；通过AP从外部客户端接收第一信息，第一信息根据装置公钥加密；根据装置私钥解密第一信息；以及基于根据第一信息执行密钥协商操作，传送第二信息至AP，第二信息与AP处的会话密钥生成相关联。根据一些示例性实施方式，被配置为与应用处理器(AP)通信的安全芯片，AP被配置为执行公钥基础设施(PKI)通信，安全芯片可包括：储存计算机可读指令的存储器以及处理器。处理器被配置为执行计算机可读指令的，以根据从AP接收的请求将数字签名应用于证书形式，证书形式包括装置公钥，从AP接收证书，证书包括数字签名，储存所接收的证书，传送证书至在握手过程中与外部装置相关联的AP，以及基于由AP委托至安全芯片的至少一个处理操作，处理与安全协议相关联的多个处理操作中的至少一个处理操作。根据一些示例性实施方式，一种方法，可包括：基于从半导体芯片接收的装置公钥生成证书形式；传送请求至半导体芯片以生成与证书形式相关联的数字签名；以及基于从所述半导体芯片接收请求的数字签名，生成包括所请求的数字签名的证书，数字签名根据证书授权(CA)私钥在半导体芯片处生成。附图说明通过参照附图的下文详细描述可以更清楚地理解本专利技术概念的示例性实施方式，在附图中：图1是根据一些示例性实施方式的装置的框图；图2是根据一些示例性实施方式的图1的安全元件(SE)的框图；图3是根据一些示例性实施方式的图1的微控制器(MCU)的框图；图4是根据一些示例性实施方式的使用传送层安全(TLS)协议的装置中包括的SE的框图；图5是用于描述根据一些示例性实施方式的执行装置中公钥基础设施通信的过程的框图；图6是根据一些示例性实施方式的SE的框图；图7是根据一些示例性实施方式的SE和应用处理器(AP)的框图；图8和图9是根据一些示例性实施方式的装置的操作方法的流程图；图10是在图8和图9中示出的一些示例性实施方式中的装置中生成并使用证书的过程的流程图；图11、图12、图13和图14是根据一些示例性实施方式的装置的操作方法的流程图；图15是用于描述图11至图14示出的一些示例性实施方式中的装置中执行的握手过程的示意图；图16是根据一些示例性实施方式的在SE与AP之间执行的交互认证过程的流程图；图17A至图17D是根据一些示例性实施方式的框图，示出将消息认证码(MAC)分配至装置中的一个或多个信息实例的示例；图18是根据一些示例性实施方式的AP的框图；以及图19是根据一些示例性实施方式的包括装置的智能家居系统的框图。具体实施方式在下文中，将参照附图对示例性实施方式进行详细描述。图1是根据一些示例性实施方式的装置10的框图。如图1所示，装置10可以是被配置为处理数据的电子装置，例如移动设备、智能电话、个人数字助理(PDA)、个人电脑(PC)、平板PC、笔记本电脑、网络笔记本或家用电器。装置10可包括安全元件(SE)100和微控制器(MCU)200。MCU200可例如为应用处理器(AP)。MCU(或AP)200可以是片上系统(SoC)。SE100可以是与MCU200分离的半导体芯片，或可例如为集成电路(IC)。因此，SE100还可被称为安全芯片。MCU200可处理储存在装置10中的多种类型的程序和/或数据，并可控制装置10的整体操作。根据一些示例性实施方式，多种类型的程序，例如应用，可安装在装置10上，而且一些程序可以是利用安全性的程序，例如利用密码通信的程序。当在MCU200的控制下执行利用安全性的程序时，可对传送至外部服务器或客户端的数据或从外部服务器或客户端接收的数据执行加密和解密操作。根据一些示例性实施方式，装置10可通过公钥基础设施(PKI)30与外部装置20通信。在一些示例性实施方式中，在公钥基础设施(PKI)30通信过程中，如果装置10作为服务器操作，和/或当装置10作为服务器操作时，装置10可向外部客户端(例如外部装置20)提供包括包含公钥(PK)和私钥(SK)的密钥对中的公钥(PK)的证书。此外，装置10可从外部客户端接收通过使用公钥(PK)加密的数据，装置10可通过使用私钥(SK)对加密的数据执行解密操作来获得原始数据。装置10储存的公钥(PK)和私钥(SK)还可分别被称为装置公钥(DEV-PK)和装置私钥(DEV-SK)。此外，由服务器生成的装置公钥(DEV-PK)和装置私钥(DEV-SK)还可分别被称为服务器公钥和服务器私钥。如果装置10作为服务器操作，和/或当装置10作为服务器操作时，装置10可接收包括外部装置20(例如外部服务器)的密钥对中的公钥(PK)的证书，通过使用公钥(PK)加密数据，将加密的数据传送至外部服务器。然而，该操作仅为示例，装置10可通过使用多种方案加密或解密数据。根据一些示例性实施方式，装置10可在不存在证书授权(CA)的环境中执行PKI通信。例如，装置10可基于安全协议例如安全套接字层(SSL)和传送层安全性(TLS)生成证书并通过本文档来自技高网...

【技术保护点】
一种安全芯片的操作方法，所述操作方法包括：在所述安全芯片处执行：向应用处理器(AP)传送装置密钥对中的装置公钥，所述装置密钥对与公钥基础设施通信相关联；从所述AP接收请求以在证书形式上生成数字签名，所述证书形式包括所述装置公钥；基于所接收的请求以生成所述数字签名，向所述AP传送所述数字签名，所述数字签名是基于使用证书授权(CA)私钥的加密操作生成的；从所述AP接收证书，所述证书包括所述数字签名；以及在所述安全芯片处储存所述证书。

【技术特征摘要】
2016.01.21 KR 10-2016-00075451.一种安全芯片的操作方法，所述操作方法包括：在所述安全芯片处执行：向应用处理器(AP)传送装置密钥对中的装置公钥，所述装置密钥对与公钥基础设施通信相关联；从所述AP接收请求以在证书形式上生成数字签名，所述证书形式包括所述装置公钥；基于所接收的请求以生成所述数字签名，向所述AP传送所述数字签名，所述数字签名是基于使用证书授权(CA)私钥的加密操作生成的；从所述AP接收证书，所述证书包括所述数字签名；以及在所述安全芯片处储存所述证书。2.如权利要求1所述的操作方法，其中，所述安全芯片为半导体芯片，所述安全芯片和所述AP被包括在共同的装置中；以及所述半导体芯片与所述AP分离。3.如权利要求1所述的操作方法，还包括：在所述安全芯片处执行：执行与所述AP的交互认证；生成与所述安全芯片和所述AP之间的通信相关联的对称密钥；根据所生成的对称密钥，加密被传送至所述AP的数据；以及根据所生成的对称密钥，解密从所述AP接收的数据。4.如权利要求1所述的操作方法，其中，所述装置公钥、装置私钥和CA私钥在所述安全芯片的制造过程中通过硬件安全模块安装在所述安全芯片处。5.如权利要求1所述的操作方法，还包括：在所述安全芯片处执行：基于接收到对于待传送至外部客户端的证书的请求，传送证书；接收预对称密钥信息，所述预对称密钥信息由所述外部客户端生成并根据所述装置公钥被加密；以及根据装置私钥解密所述预对称密钥信息。6.如权利要求5所述的操作方法，还包括：在所述安全芯片处执行：传送所解密的预对称密钥信息至所述AP作为与会话密钥生成相关的信息。7.如权利要求5所述的操作方法，还包括：在所述安全芯片处执行：根据所解密的预对称密钥信息生成会话密钥；以及传送所述会话密钥至所述AP。8.如权利要求1所述的操作方法，还包括：在所述安全芯片处执行：从外部服务器接收证书，所述证书包括服务器公钥；根据第一随机数据和第二随机数据生成预对称密钥信息，所述第一随机数据在所述安全芯片内部生成，所述第二随机数据从所述外部服务器接收；以及基于根据所述服务器公钥加密所述预对称密钥信息，生成加密的预对称密钥信息以传送至所述外部服务器。9.如权利要求8所述的操作方法，还包括：在所述安全芯片处执行：传送所述预对称密钥信息至所述AP作为与会话密钥生成相关的信息。10.如权利要求1所述的操作方法，还包括：在所述安全芯片处执行：根据与外部装置的连接，执行握手过程；基于所述握手过程的完成，执行会话过程；其中执行所述会话过程包括根据装置私钥选择性地执行加密和解密操作。11.一种应用处理器(AP)的操作方法，其中所述AP被配置为与安全芯片通信，所述安全芯片储存与公钥基础设施(PKI)通信相关联的一个或多个密钥，所述操作方法包括：在所述AP处执行：基于从所述安全芯片接收的装置公钥来生成证书形式，所述证书形式包括所述装置公钥；传送请求至所述安全芯片，以在所生成的证书形式上生成数字签名；从所述安全芯片接收所述数字签名，所述数字签名是根据储存在所述安全芯片中的证书授权(CA)私钥生成的；以及生成包括从所述安全芯片接收的数字签名的证书。12.如权利要求11所述的操作方法，还包括：在所述AP处执行：根据与外部客户端的连接，传送所述证书至所述外部客户端；从所述外部客户端接收加密的预对称密钥信息，所述加密的预对称密钥信息是由所述外部客户端根据包括在所述证书中的装置公钥来加密的；以及传送请求至所述安全芯片，以解密所述加密的预对称密钥信息。13.如权利要求12所述的操作方法，还包括：在所述AP处执行：从所述安全芯片接收解密的预对称密钥信息，所述解密的预对称密钥信息是在所述安全芯片处从所述加密的预对称密钥信息解密的；根据所述解密的预对称密钥信息生成会话密钥；以及根据所述会话密钥，通过加密操作与所述外部客户端通信。14.如权利要求12所述的操作方法，其中，包括所述数字签名的所述证书被储存在所述安全芯片中，以及传送所述证书至所述外部客户端还包括：将传送所述证书至所述AP的请求传送至所述安全芯片；以及将从所述安全芯片接收的所述证书传送至所述外部客户端。15.如权利要求11所述的操作方法，还包括：在所述AP处执行：根据与外部服务器的连接，从所述外部服务器接收另一证书，所述另一证书包括服务器公钥；根据证书公钥解密所述另一证书，以生成解密的证书；传送包括在所述解密的证书中的所述服务器公钥至所述安全...

【专利技术属性】
技术研发人员：秋渊成，韩珉子，李景珍，
申请(专利权)人：三星电子株式会社，
类型：发明
国别省市：韩国,KR