根据本发明专利技术的示例方面,提供了一种密码处理器,其包括物理不可克隆函数电路和至少一个处理核,物理不可克隆函数电路包括至少一个物理不可克隆函数,至少一个处理核被配置为至少通过将从密码处理器外部接收到的挑战作为输入提供给物理不可克隆函数电路来获得对挑战的响应来处理挑战,使用响应作为加密密钥来加密第二加密密钥,以及使加密后的第二加密密钥提供给发出挑战的一方。提供给发出挑战的一方。提供给发出挑战的一方。
【技术实现步骤摘要】
【国外来华专利技术】安全密码处理器
[0001]本专利技术涉及数据处理硬件中的安全密码处理。
技术介绍
[0002]密码方法用于认证通信方并保护这些通信方之间的通信。虽然现代密码算法本身被认为是发展良好的,并且对密码分析具有抵抗力,但攻击者危害通信端点中的一个或两个通常相对而言更容易。通信端点指的是通信方用来参与通信的设备。这样的端点设备可以包括例如计算机、智能手机或蜂窝电话。因此,提高这类设备的安全性是所关心的问题。
技术实现思路
[0003]根据一些方面,提供了独立权利要求的主题。在从属权利要求中定义了一些实施例。
[0004]根据本专利技术的第一方面,提供了一种密码处理器,其包括物理不可克隆函数电路和至少一个处理核,所述物理不可克隆函数电路包括至少一个物理不可克隆函数,所述至少一个处理核被配置为至少通过将从所述密码处理器外部接收到的挑战作为输入提供给物理不可克隆函数电路来得到对所述挑战的响应来处理所述挑战,使用所述响应作为加密密钥来加密第二加密密钥,以及使加密后的第二加密密钥被提供给发出所述挑战的一方。
[0005]根据本专利技术的第二方面,提供了一种在密码处理器中的方法,包括通过将从所述密码处理器外部接收到的挑战作为输入提供给密码处理器的物理不可克隆函数电路来得到对所述挑战的响应,使用所述响应作为加密密钥来加密第二加密密钥,以及使加密后的第二加密密钥被提供给发出所述挑战的一方。
[0006]根据本专利技术的第三方面,提供了一种密码处理器,包括:用于通过将从所述密码处理器外部接收到的挑战作为输入提供给密码处理器的物理不可克隆函数电路来获得对所述挑战的响应的部件,用于使用所述响应作为加密密钥来加密第二加密密钥的部件,以及用于使加密后的第二加密密钥被提供给发出所述挑战的一方的部件。
[0007]根据本专利技术的第四方面,提供了一种非瞬态计算机可读介质,其上存储有计算机可读指令集,所述计算机可读指令集在由密码处理器的至少一个处理核执行时使所述密码处理器至少:通过将从所述密码处理器外部接收到的挑战作为输入提供给密码处理器的物理不可克隆函数电路来得到对所述挑战的响应,使用所述响应作为加密密钥来加密第二加密密钥,以及使加密后的第二加密密钥被提供给发出所述挑战的一方。
[0008]根据本专利技术的第五方面,提供了一种计算机程序,其被配置为在由密码处理器的处理核运行时使至少以下操作被执行:通过将从所述密码处理器外部接收到的挑战作为输入提供给密码处理器的物理不可克隆函数电路来得到对所述挑战的响应;使用所述响应作为加密密钥来加密第二加密密钥,以及使加密后的第二加密密钥被提供给发出所述挑战的一方。
[0009]根据本专利技术的第六方面,提供了一种系统,包括服务器和通信节点,所述通信节点
包括密码处理器,所述密码处理器包括物理不可克隆函数电路和至少一个处理核,所述物理不可克隆函数电路包括至少一个物理不可克隆函数,所述至少一个处理核被配置为通过至少将挑战作为输入提供给所述物理不可克隆函数电路来得到对所述挑战的响应,使用所述响应作为加密密钥来加密第二加密密钥,以及通过使加密后的第二加密密钥提供给所述服务器。
附图说明
[0010]图1示出了根据至少一些实施例的示例密码处理器;
[0011]图2示出了示例PUF电路;
[0012]图3示出了能够支持至少一些实施例的示例装置;
[0013]图4示出了根据至少一些实施例的信令;
[0014]图5示出了根据至少一些实施例的信令;
[0015]图6示出了根据至少一些实施例的信令,以及
[0016]图7是根据至少一些实施例的方法的流程图。
具体实施方式
[0017]可以通过使用物理不可克隆函数(PUF)来简化密码处理器设计,以使用针对非对称加密操作而设计的电路(例如,公钥密码系统)来执行在早期密码处理器中执行的至少一些(以及在一些实施例中为全部)功能。可以通过利用内置于密码处理器中的PUF来执行任务(包括与应用和处理器的安全协议连接的密钥生成和建立)来获得密码处理器中的硬件减少。这种减少硬件足迹的密码处理器可以在例如物联网(IoT)设备中找到应用。
[0018]图1示出了根据至少一些实施例的示例密码处理器。例如,密码处理器100可以包括安全密码处理器,诸如防篡改密码处理器。例如,密码处理器可以对应于根据ISO/IEC 11889的可信平台模块。例如,密码处理器可以在个人计算机(PC)、移动通信设备、嵌入式计算设备或虚拟化平台中使用。密码处理器的各方面可以涉及由可信计算组(TCG)定义的技术。密码处理器100包括安全输入/输出端口101,密码处理器可以通过该端口与密码处理器外部的应用进行通信。例如,这样的应用可以驻留在与密码处理器相同的集成芯片上、在不同的集成芯片上或者甚至在远程服务器上。在内部,密码处理器100包括密码模块110。密码模块110包括PUF模块112、对称加密引擎块114、散列引擎116和密钥生成模块118。PUF模块112包括,或被包括为,PUF电路112。
[0019]PUF模块112包括至少一个PUF。除了至少一个PUF之外,PUF模块可以包括伴随一个或多个PUF的错误纠正编码(ECC)。例如,一般而言,PUF是硬件电路,其通常嵌入或隐藏在更大的芯片中,诸如密码处理器。因此,找到PUF的精确物理位置可能并不简单直接,并且对芯片的物理篡改将改变PUF的物理特性,因此将破坏其功能。这导致了一种简单直接的攻击检测和预防机制。PUF提供了一种用于安全密钥存储和设备认证的手段,而无需额外的密码硬件。
[0020]PUF模块112可以在制造期间嵌入到密码处理器110中。密码处理器100可以被视为专用集成电路(ASIC)。制造商或任何其他可信机构可以持有附加的挑战
‑
响应对以支持密码处理器的外部通信。PUF可以利用输入信号进行挑战,并且由于ASIC技术制造中的变化,
所生成的响应对于每个挑战都将是唯一的,并且对于每个PUF也是唯一的。假设单个机构可以持有PUF的完整模型是安全的,因为存在几种用于安全认证、授权和访问数据库的方法[12]、[13]、[14]、[15]。
[0021]物理不可克隆函数或PUF是用作诸如微处理器的半导体器件的唯一身份标识的“数字指纹”。PUF基于半导体制造过程中自然发生并且可以与其他相同半导体进行区分的物理变化。通常,PUF作为集成电路实施在物理结构中。一般而言,没有两个PUF共享完全相同的物理特性,因为芯片制造过程中不可避免的变化,PUF在制造过程中被故意暴露在这些变化中的方式使得这些变化影响PUF将从给定输入产生的输出。这意味着PUF充当针对每个芯片的类似指纹的唯一标识符,并且可用于得到有用的密码属性。例如,由于制造变化,图2的仲裁器PUF中的两条路径具有不同的延迟。因此,每个PUF将基于相应的挑战信号以不同的模式(响应)触发锁存到值1或0,从而在包含相同PUF的芯片之间产生不同的响应。因此,PUF的构建方式使得制造变化的效果不会被消除,本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种密码处理器,包括:
‑
物理不可克隆函数电路,其包括至少一个物理不可克隆函数,以及
‑
至少一个处理核,其被配置为通过至少以下项来处理从所述密码处理器外部接收到的挑战:
·
通过将所述挑战作为输入提供给所述物理不可克隆函数电路来得到对所述挑战的响应,
·
使用所述响应作为加密密钥来加密第二加密密钥,以及通过
·
使加密后的所述第二加密密钥被提供给发出所述挑战的一方。2.根据权利要求1所述的密码处理器,其中所述密码处理器被配置为在与通信方建立安全的端到端连接时使用所述第二加密密钥。3.根据权利要求2所述的密码处理器,其中所述密码处理器被配置为通过使用第二响应作为密钥来解密所述通信方的加密密钥,从而获得所述通信方的所述加密密钥,所述第二响应是使用第二挑战作为输入从所述物理不可克隆函数电路获得的。4.根据权利要求1
‑
3中任一项所述的密码处理器,其被配置为通过以下方式来处理针对对象标识的请求:将基于散列的消息认证码应用于所述第二加密密钥和至少一个对象标识符,以及使所产生的散列值被提供作为针对对象标识的所述请求的响应。5.根据权利要求4所述的密码处理器,其中所述密码处理器被配置为从所述密码处理器被安装在其中的装置获得所述至少一个对象标识符。6.根据权利要求1
‑
5中任一项所述的密码处理器,其被配置为:通过向所述物理不可克隆函数电路提供证明挑战作为输入来得到证明响应,将基于散列的消息认证应用于所述证明响应和应用的可执行文件,以及将所述基于散列的消息认证的输出作为证书提供给所述应用。7.根据权利要求7所述的密码处理器,还被配置为从服务器请求所述证明挑战。8.根据权利要求6或7所述的密码处理器,还被配置为从所述应用接收所述应用的公钥。9.一种密码处理器中的方法,包括:
‑
通过将从所述密码处理器外部接收到的挑战作为输入提供给所述密码处理器的物理不可克隆函数电路来得到对所述挑战的响应;
‑
使用所述响应作为加密密钥来加密第二加密密钥,以及
‑
使加密后的所述第二加密密钥被提供给发出所述挑战的一方。10.根据权利要求9所述的方法,还包括:在与通信方建立安全的端到端连接时使用所述第二加密密钥。11.根据权利要求10所述的方法,还包括:通过使用第二响...
【专利技术属性】
技术研发人员:D,
申请(专利权)人:诺基亚通信公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。