用于存储所要保护的数据记录的系统和方法技术方案

用于存储所要保护的数据记录的系统和方法。描述了一种用于控制对所要保护的数据记录（111、112）的访问的系统（100）。该系统（100）包括安全运行时环境（103），该安全运行时环境被设立为实施解密软件（103），其中解密软件（103）被构造为对经加密的所要保护的数据记录（111）进行解密并且将其经解密地存储在安全存储单元（106）上。安全存储单元（106）被构造为使得仅可能通过安全运行时环境（103）来访问安全存储单元（106）。安全运行时环境（103）还被构造为阻止对解密软件（103）的再次实施。

【技术实现步骤摘要】
用于存储所要保护的数据记录的系统和方法
本专利技术涉及用于存储所要保护的数据记录并且用于提供对所要保护的数据记录、尤其是用于对数据进行加密的密钥的安全的访问可能性的系统和相对应的方法。
技术介绍
在联网设备上、尤其是在家用设备上，可以存储一个或多个所要保护的数据记录，所述一个或多个所要保护的数据记录应受保护以防不容许的访问。所要保护的数据记录的示例是：WIFI密码，设备可以利用该WIFI密码来建立与WLAN接入点（WLANAccessPoint）的WLAN连接；和/或私有TLS（TransportLayerSecurity（传输层安全））密钥，该私有TLS密钥可以被用于在后台服务器上对该设备进行认证和/或被用于在与后台服务器通信时对数据进行加密。
技术实现思路
本文献致力于如下技术任务：提供一种系统和一种相对应的方法，利用该系统和该方法可以高效地安全地保护所要保护的数据记录以防未经授权的访问。该任务分别通过专利独立权利要求的主题来解决。有利的实施方式尤其是在专利从属权利要求中被限定、在随后的描述中被描述或者在随附的附图中被示出。按照本专利技术的一个方面，描述了一种用于控制对（至少一个）所要保护的数据记录的访问的系统。在此，所要保护的数据记录例如可以包括加密密钥和/或认证密钥（例如TLS密钥）和/或密码（例如WLAN密码）。所要保护的数据记录可以构造为：能够实现（包括该系统的）设备与其它单元（例如与服务器）的安全通信。该系统可以在一个或多个微处理器上实现。该系统包括安全运行时环境，该安全运行时环境被设立为实施解密软件。安全运行时环境尤其可以是所谓的可信执行环境（TrustedExecutionEnvironment，TEE）。示例性的安全运行时环境是：ARM公司的TrustZone（信任区）；AMD公司的平台安全处理器（PlatformSecurityProcessor）；AMD公司的安全扩展模式（SecureExtensionMode）；和/或Intel公司的可信执行技术（TrustedExecutionTechnology）和/或软件保护扩展（SoftwareGuardExtension）。解密软件被构造为：对经加密的所要保护的数据记录进行解密并且将其经解密地存储在安全存储单元上。解密软件尤其可以构造为：从其它（第一）存储单元中读取经加密的所要保护的数据记录；对所要保护的数据记录进行解密；并且将经解密的所要保护的数据记录存储在安全的（第二）存储单元上。在此，该其它（第一）存储单元可以是非易失性存储器（使得经加密的所要保护的数据记录也在该系统开始运转之前和/或在该系统运行结束之后被存储在该其它（第一）存储单元中）。优选地，对经加密的所要保护的数据记录的解密在该系统开始运转时才进行，尤其是使得所要保护的数据记录在该系统开始运转之前和/或在该系统运行结束之后不以未经加密的形式存在。安全存储单元是该系统的一部分。优选地，安全存储单元是安全运行时环境的一部分。优选地，安全存储单元是RAM（随机存取存储器（RandomAccessMemory）），该RAM基本上和/或固定地（尤其是不能在没有破坏的情况下取出）建造在该系统中或建造在安全运行时环境中。安全存储单元被构造为使得仅和/或只可能通过安全运行时环境来访问安全存储单元。优选地，安全存储单元包括RAM存储器。替选地或补充地，安全存储单元可包括易失性存储器。安全运行时环境还被构造为：阻止（在该系统运行期间）对解密软件的再次实施。安全运行时环境尤其可以构造为使得在该系统的运行未被中断期间解密软件只能正好被实施一次（尤其是在该系统开始运转时）并且接着（对于该系统的余下的、未被中断的运行来说）被阻止。该系统能够高效地实现对所要保护的数据记录的受监视的访问。尤其可以可靠地避免：攻击者访问经解密的所要保护的数据记录；以及攻击者可以对经加密的所要保护的数据记录进行解密（因为攻击者不可能在技术上可支配解密密钥）。解密软件可以被构造为：为了对经加密的所要保护的数据记录进行解密，使用数据记录密钥。在此，数据记录密钥可以被构造为硬件密钥（例如加密狗（Dongel））。硬件密钥例如可以集成在密码加速器中。替选地或补充地，硬件密钥可以在可通过安全运行时环境被分隔开的组件中被提取、尤其是在只有安全运行时环境知道（因为安全运行时环境是这样来配置的）的硬件（HW）中被提取。必要时，这可以通过USB控制器来实现。替选地或补充地，该系统可以构造为使得仅可能通过解密软件来访问数据记录密钥。这样可以可靠地确保：攻击者没有获得对数据记录密钥的访问从而对经加密的所要保护的数据记录进行解密。安全运行时环境可以被构造为：存储用于解密软件的可实施性的标志（Flag）。在此，该标志可以可靠地被存储在安全存储单元中。安全运行时环境可以被设立为：改变该标志的状态，以便阻止对解密软件的再次实施和/或以便阻止解密软件。例如，该标志可以（在该系统开始运转时）在首次调用解密软件时（例如在首次调用解密软件之前或者在首次调用解密软件之后）被设置（或复位），以便阻止解密软件。安全运行时环境可以被设立为：在实施解密软件之前（总是首先）检查该标志的状态，并且根据该标志的状态来实现或阻止对解密软件的实施。这样，可以高效且可靠地引起：解密软件（在该系统运行期间）只被实施正好一次。该系统可包括引导加载程序（Bootloader），该引导加载程序被设立为在该系统开始运转时首先启动安全运行时环境，以便借助于解密软件来对经加密的所要保护的数据记录进行解密并且将经解密的所要保护的数据记录存储在安全存储单元中。该引导加载程序还可以被设立为：然后才（也就是说在对所要保护的数据记录一次性解密之后才）启动操作系统（例如Linux）来实施使用所要保护的数据记录的软件应用。这样，可以可靠地避免：攻击者在该系统开始运转的范围中访问所要保护的数据记录。尤其是，这样可以可靠地避免：由攻击者来引起对解密软件的一次性实施。该系统的操作系统可以被构造为：在该系统运行期间执行一个或多个软件应用。安全运行时环境可以被构造为：检查软件应用对所要保护的数据记录的询问；并且（必要时仅仅）作为对正面检查结果的反应从安全存储单元中读取经解密的所要保护的数据记录；并且必要时将该经解密的所要保护的数据记录移交给软件应用和/或结合软件应用来使用该经解密的所要保护的数据记录（尤其是在密码的情况下）。替选地或补充地，经解密的所要保护的数据记录（尤其是在密钥的情况下）可以在安全运行时环境之内受保护来在挑战-应答（Challenge-Response）方法的范围中执行计算。接着，经解密的所要保护的数据记录可以留在安全运行时环境之内，并且软件应用会只获得在安全运行时环境中所确定的应答。这样，可以确保对所要保护的数据记录的可靠的访问。该系统可以被构造为使得被存储在安全存储单元中的、经解密的所要保护的数据记录在该系统运行结束时被删除，尤其是使得在该系统运行结束之后所要保护的数据记录仍只以经加密的方式存在。例如，该系统可以是反复被本文档来自技高网...

【技术保护点】
1.用于控制对所要保护的数据记录（111、112）的访问的系统（100），其中/n- 所述系统（100）包括安全运行时环境（103），所述安全运行时环境被设立为实施解密软件（103）；/n- 所述解密软件（103）被构造为：对经加密的所要保护的数据记录（111）进行解密并且将其经解密地存储在安全存储单元（106）上；/n- 所述系统（100）包括所述安全存储单元（106），所述安全存储单元被构造为使得仅可能通过所述安全运行时环境（103）来访问所述安全存储单元（106）；并且/n- 所述安全运行时环境（103）被构造为阻止对所述解密软件（103）的再次实施。/n

【技术特征摘要】
20190704 DE 102019209887.81.用于控制对所要保护的数据记录（111、112）的访问的系统（100），其中
-所述系统（100）包括安全运行时环境（103），所述安全运行时环境被设立为实施解密软件（103）；
-所述解密软件（103）被构造为：对经加密的所要保护的数据记录（111）进行解密并且将其经解密地存储在安全存储单元（106）上；
-所述系统（100）包括所述安全存储单元（106），所述安全存储单元被构造为使得仅可能通过所述安全运行时环境（103）来访问所述安全存储单元（106）；并且
-所述安全运行时环境（103）被构造为阻止对所述解密软件（103）的再次实施。


2.根据权利要求1所述的系统（100），其中所述安全运行时环境（103）被构造为：为了对所要保护的数据记录（111、112）进行解密和/或加密，使用硬件密钥。


3.根据上述权利要求中任一项所述的系统（100），其中
-所述系统（100）包括其它非易失性存储单元（107）；并且
-所述解密软件（103）被构造为：从其它存储单元（107）中读取经加密的所要保护的数据记录（112）。


4.根据上述权利要求中任一项所述的系统（100），其中
-所述安全存储单元（106）包括RAM存储器；和/或
-所述安全存储单元（106）包括易失性存储器；和/或
-所述安全存储单元（106）是所述安全运行时环境（103）的一部分。


5.根据上述权利要求中任一项所述的系统（100），其中
-所述安全运行时环境（103）被构造为：存储用于所述解密软件（103）的可实施性的标志；
-所述安全运行时环境（103）被设立为：改变所述标志的状态，以便阻止对所述解密软件（103）的再次实施；并且
-所述安全运行时环境（103）被设立为：在实施所述解密软件（103）之前检查所述标志的状态，并且根据所述标志的状态来实现或阻止对所述解密软件（103）的实施。


6.根据权利要求5所述的系统（100），其中所述标志被存储在所述安全存储单元（106）中。


7.根据上述权利要求中任一项所述的系统（100），其中所述系统（100）包括引导加载程序（101），所述引导加载程序被设立为：在所述系统（100）开始运转时，
-首先启动所述安全运行时环境（103），以便将经解密的所要保护的数据记录（112）存储在所述安全存储单元（106）中；并且
-然后才启动用于实施软件应用（105）的操作系统（104），所述软件应用使用所述所要保护的数据记录（111、112）。


8.根据上述权利要求中任一项所述的系统（100），其中
-...

【专利技术属性】
技术研发人员：R戈特沙尔克，
申请(专利权)人：BSH家用电器有限公司，
类型：发明
国别省市：德国;DE