【技术实现步骤摘要】
安全数据处理设备
本申请涉及安全数据处理设备。
技术介绍
硬件安全模块(HSM)通常用于将软件代码和加密密钥安全地部署到可编程设备上(供消费设备使用)。硬件安全模块是一种可以安全地创建和保存私人密钥和秘密密钥使得它们不会被提取的设备。HSM还提供了使用密钥执行一些所选择的加密操作的能力。一般来说,HSM用于保存和使用私人密钥,并响应简单的请求以递送例如单个密钥。
技术实现思路
原始设备制造商(OEM)形式的制造方创建最终要出售给其终端客户的消费产品,其包含可编程设备(例如,安全元件、微处理器、微控制器等)。OEM想要向可编程设备供应OEM特定的信息、X.509证书以及安全密钥和其他凭证。这允许OEM生产可以在互联网上被唯一且安全地认证的消费产品,从而允许OEM完全信任可编程设备供应的数据。每个可编程设备必须被供应为使得它可以与每个其他可编程设备安全地区分开:例如,通过使用现有的密码技术(例如,非对称加密,其中每个可编程设备具有唯一的私人密钥以及关联的X.509证书)来完成这一点。工...
【技术保护点】
1.一种安全数据处理设备,包括处理器和耦合到所述处理器的存储器,所述处理器被配置为:/n接收脚本,脚本包括用于供应一种类型的可编程设备的至少一个指令集,至少一个指令集中的每个指令集定义要由安全数据处理设备执行的一个或多个密码操作,一个或多个密码操作中的每个密码操作都引用参数;/n将所述脚本存储在所述存储器中;/n从所述存储器中取回第一授权密钥,并使用第一授权密钥来验证与所述脚本相关联的签名,其中,所述脚本由所述脚本的产生者签名;/n从与所述处理器通信的编程机的编程模块接收编程请求,所述编程请求请求对可编程设备进行编程并标识所述脚本中的至少一个指令集中的指令集;/n针对所标识...
【技术特征摘要】 【专利技术属性】
20190222 GB 1902470.2;20190621 GB 1908939.01.一种安全数据处理设备,包括处理器和耦合到所述处理器的存储器,所述处理器被配置为:
接收脚本,脚本包括用于供应一种类型的可编程设备的至少一个指令集,至少一个指令集中的每个指令集定义要由安全数据处理设备执行的一个或多个密码操作,一个或多个密码操作中的每个密码操作都引用参数;
将所述脚本存储在所述存储器中;
从所述存储器中取回第一授权密钥,并使用第一授权密钥来验证与所述脚本相关联的签名,其中,所述脚本由所述脚本的产生者签名;
从与所述处理器通信的编程机的编程模块接收编程请求,所述编程请求请求对可编程设备进行编程并标识所述脚本中的至少一个指令集中的指令集;
针对所标识的指令集中的所述一个或多个密码操作中的每个密码操作,确定所述密码操作中所引用的所述参数的值,并使用所述值来执行所述密码操作;以及
响应于执行所述一个或多个密码操作中的每个密码操作,将编程信息输出到所述编程模块以对所述可编程设备进行编程。
2.根据权利要求1所述的安全数据处理设备,其中,针对所标识的指令集中的所述密码操作中的一个或多个密码操作,所述处理器被配置为通过从所述编程请求中提取所述值来确定所述密码操作中定义的所述参数的值。
3.根据权利要求1或2所述的安全数据处理设备,其中,针对所标识的指令集中的所述密码操作中的一个或多个密码操作,所述处理器被配置为通过从所述脚本中读取所述值来确定所述密码操作中定义的所述参数的值。
4.根据前述权利要求中任一项所述的安全数据处理设备,其中,所述处理器被配置为接收所述脚本和在配置文件中并且用于所标识的指令集中的密码操作中的一个或多个密码操作的元数据,所述处理器还被配置为通过查询所述元数据来确定在所述密码操作中定义的所述参数的值。
5.根据权利要求4所述的安全数据处理设备,其中,所述元数据被签名,并且所述处理器被配置为使用所述第一授权密钥或第二授权密钥来验证所述元数据的签名。
6.根据权利要求5所述的安全数据处理设备,其中,所述元数据由所述脚本的产生者签名。
7.根据权利要求4所述的安全数据处理设备,其中,所述签名还与所述元数据相关联。
8.根据权利要求4至7中任一项所述的安全数据处理设备,其中,所述脚本包括唯一标识符,并且所述元数据包括对所述脚本的所述唯一标识符的引用。
9.根据权利要求4至8中任一项所述的安全数据处理设备,其中,所述元数据定义所述参数的值。
10.根据权利要求4至8中任一项所述的安全数据处理设备,其中,所述元数据定义所述值是要由所述安全数据处理设备来生成,所述处理器还被配置为通过生成所述值来确定所述参数的值。
11.根据权利要求4至8中任一项所述的安全数据处理设备,其中,所述元数据定义所述值是要从数据文件访问的,所述处理器被配置为:
访问至少包括所述参数的值的所述数据文件;
从所述存储器取回第三授权密钥,并使用所述第三授权密钥来验证与所述数据文件相关联的签名,其中,所述数据文件由制造方签名;
其中,所述处理器还被配置为基于查询所述数据文件来确定所述参数的值。
12.根据权利要求11所述的安全数据处理设备,其中,所述处理器被配置为接收所述数据文件并将所述数据文件存储在所述存储器中。
13.根据权利要求12所述的安全数据处理设备,其中,所述元数据包括唯一标识符,并且所述数据文件包括对所述元数据的所述唯一标识符的引用。
14.根据权利要求12或13所述的安全数据处理设备,其中,所述参数的值被加密,并且所述处理器被配置为利用存储在所述存储器中的封包密钥对所述值进行解密。
15.根据权利要求4至14中任一项所述的安全数据处理设备,其中,所述元数据被加密,并且所述处理器被配置为利用存储在所述存储器中的加密密钥对所述脚本进行解密。
16.根据前述权利要求中任一项所述的安全数据处理设备,其中,所述编程模块根据程序员脚本来对所述可编程设备进行编程,所述程序员脚本包括唯一标识符,并且所述脚本包括对所述程序员脚本的所述唯一标识符的引用。
17.根据前述权利要求中任一项所述的安全数据处理设备,其中,所述脚本被加密,并且所述处理器被配置为利用存储在所述存储器中的加密密钥来对所述脚本进行解密。
18.根据前述权利要求中任一项所述的安全数据处理设备,其中,所述安全数据处理设备包括硬件安全模块。
19.根据权利要求1至18中任一项所述的安全数据处理设备,其中,所述处理器被配置为:
接收记录,所述记录包括:产品标识符;序列元素;和加密信息,其中,所述序列元素与所述产品标识符相关联;
使用所述产品标识符查询所述存储器,以确定与所述产品标识符相关联的存储在所述存储器中的序列元素参数的值,其中,所述序列元素和所述序列元素参数的值是序列的元素;
使用所述序列元素和所述序列元素参数的值来证实所述序列元素,并响应于所述证实:
将所述记录存储在存储器中;以及
技术研发人员:安德鲁·博特,蒂莫西·胡尔,
申请(专利权)人:安全物品有限公司,
类型:发明
国别省市:英国;GB
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。