本发明专利技术提供了生成安全装置密钥、用于对被嵌入装置中的秘密信息进行加密安全检索的方法、装置、系统和计算机程序产品。嵌入的秘密信息可包括随机数,该随机数不是针对秘密信息的任何特定请求者而定制设计的。在接收到对嵌入的秘密信息的请求后,将提供给请求者一个加密秘密,使得只能由该请求者恢复嵌入的秘密信息。此外,无需对嵌入的秘密信息和相关请求者的数据库进行维护。
【技术实现步骤摘要】
本专利文件涉及信息安全和装置安全,包括用于在不同实体间交换秘密信息并生成安全装置密钥(secret key)的技术。
技术介绍
在涉及安全信息和某些装置的各种应用中,不同装置间的安全交换和传递信息都很重要。为此,各种安全协议和算法可用于在各种实体间对包括声音、图像、视频和其他类型数据的信息进行安全交换。数据安全协议往往依靠加密技术,如加密、数字签名和散列函数,从而在所需的安全水平进行认证和信息交换。这些技术往往依赖于秘密值(例如,密钥、随机值等),该值由一个或多个参与方使用以建立安全通信信道,以实行认证协议等。
技术实现思路
(I)一种方法,包括从被嵌入装置的秘密信息的第一请求者接收第一消息,其中,所述消息包括与所述第一请求者相关的公钥,并且其中,嵌入的秘密信息包括不与任何特定请求者相关的随机信息;以及基于接收到的公钥和嵌入的秘密信息来生成第一加密秘LU O(2)根据(I)所述的方法,其中,所述第一请求者使用与所述装置相关的密钥对所述公钥进行签名。(3)根据(I)所述的方法,其中,在不维护嵌入的秘密信息的数据库的情况下执行所述第一加密秘密的生成。(4)根据(I)所述的方法,进一步包括验证接收到的公钥,其中,所述第一加密秘密只在接收到的公钥验证成功时生成。(5)根据(I)所述的方法,进一步包括对所述装置进行标记以表明所述第一加密秘密的生成。(6)根据(5)所述的方法,其中,对所述装置进行标记包括锁定一次性可编程(OTP)装置。(7)根据(I)所述的方法,其中,仅在所述装置未被标记有“所述第一加密秘密之前已被生成”的指示的情况下才生成所述第一加密秘密。(8)根据(I)所述的方法,其中,通过使用接收到的公钥对嵌入的秘密信息进行加密来生成所述第一加密秘密。(9)根据(I)所述的方法,其中,所述装置进一步包括嵌入在装置中的标识;以及所述装置的嵌入标识与所述第一加密秘密一起被提供给所述第一请求者。(10)根据(I)所述的方法,其中,第一消息包括表示所述第一请求者的身份的辅助信息;以及,通过使用嵌入的秘密信息对表示所述第一请求者的身份的辅助信息进行加密,然后使用所述第一请求者接收到的公钥对该结果进行加密,来生成所述第一加密秘密。(11)根据(10)所述的方法,进一步包括从嵌入的秘密信息的第二请求者接收第二消息,其中,所述第二消息包括表示所述第二请求者的身份的辅助信息;以及,通过使用嵌入的秘密信息对表示所述第二请求者的身份的辅助信息进行加密,然后使用所述第二请求者接收到的公钥对该结果进行加密,来生成第二加密秘密。( 12)根据(I)所述的方法,进一步包括对所述第一加密秘密进行数字签名。( 13)根据(I)所述的方法,其中,所述第一消息包括经签名的公钥以及经签名的与所述第一请求者相关的请求者标识这两者;以及,通过使用嵌入的秘密信息对接收到的与第一使用者相关的标识进行加密,然后使用所述第一请求者接收到的公钥对该结果进行加密,来生成所述第一加密秘密。(14)根据(13)所述的方法,进一步包括从嵌入的秘密信息的第二请求者接收第二消息,其中,所述第二消息包括经签名的公钥以及经签名的与所述第二请求者相关的请求者标识这两者;以及,通过使用嵌入的秘密信息对接收到的与所述第二使用者相关的标识进行加密,然后使用所述第二请求者接收到的公钥对该结果进行加密,来生成第二加密秘密。 (15)根据(I)所述的方法,其中,嵌入的秘密信息包括作为所述装置的制造过程的一部分而被嵌入所述装置的随机数。(16)根据(15)所述的方法,其中,所述随机数是在所述装置外部生成的加密安全随机数。(17)根据(I)所述的方法,其中,所述第一消息包括表示所述装置的一个或多个特定操作的一个或多个使用标签。(18)根据(17)所述的方法,进一步包括利用包含在所述第一消息中的一个或多个使用标签来对所述装置进行标记,其中,在所述装置内标记的一个或多个使用标签随后被用于控制对所述装置的访问。(19) 一种方法,包括接收对与装置相关的秘密信息的检索的请求,其中,所述秘密信息不与所述秘密信息的任何特定请求者相关;以及,生成加密安全应答,使得所述应答的接收者能够恢复嵌入的秘密信息,其中,嵌入的秘密信息仅能由所述请求的发送方恢复。(20) —种方法,包括向装置发送消息以请求被嵌入在所述装置中的秘密信息,其中,所发送的消息包括公钥,并且其中,嵌入的秘密信息包括不与嵌入的秘密信息的任何特定请求者相关的随机信息;响应于发送的消息接收加密秘密;以及,从加密秘密恢复嵌入的秘密。附图说明图I为示例性系统的框图,该系统中可实施各种示例性实施方式。图2示出一组操作,可执行这些操作以用于根据示例性实施方式在装置中嵌入随机数。图3示出一组操作,可执行这些操作以用于根据示例性实施方式安全地提供与装置相关的秘密信息。图4示出一组操作,可执行这些操作以用于根据另一示例性实施方式安全地提供与装置相关的秘密信息。图5示出一组操作,可执行这些操作以用于根据另一示例性实施方式安全地提供与装置相关的秘密信息。图6示出一组操作,可执行这些操作以用于根据另一示例性实施方式安全地提供与装置相关的秘密信息。图7为示例性装置的框图,该装置可包纳所公开的示例性实施方式。具体实施例方式本专利技术提供了一些方法、装置、系统和计算机程序产品,以便对嵌入在装置中的秘密信息进行加密安全检索。嵌入的秘密信息可包括随机数,该随机数不针对秘密信息的任何特定请求者而定制设计。接收到对嵌入的秘密信息的请求后,将提供给请求者经加密的秘密,使得只能由该请求者恢复嵌入的秘密信息。所述技术可用于消除维护嵌入的秘密信息和相关请求者的数据库的需要。诸如数字版权管理(DRM)系统的一些信息安全系统要求唯一密钥例如被嵌入在芯 片组中,这作为该芯片组的制造过程的一部分。通常该密钥(key)用于去往/来自片上系统(SoC)的信息的安全传递。因此,期望建立这样的信道的一方必须知道该密钥。同时,该密钥必须在装置外部任意方式下不可见,且不能由未被认证方访问。为了恰当地使用和分配这些密钥,一些系统使用密钥管理和交换协议,而这需要密钥数据库的存在和维护。这种数据库的维护会增加这样的系统的成本和复杂度,且还会增加数据库维护方的责任。所述技术无需上文提到的数据库维护即可实施。本公开实施方式提供了有利于存在于装置中的秘密信息交换的实施方法、装置、系统和计算机程序产品的示例,例如,该装置可为芯片、芯片组、片上系统等。这种秘密信息通常在制造时便嵌入系统。这种秘密信息(或密钥)可能需要只被特定的被认证方访问。在一些系统中,这可以通过在SoC制造时向SoC中嵌入特定秘密值和与请求方相关的标识来实现。为了避免随后操纵秘密值和/或标识,SoC可配备锁定能力,从而防止密钥和标识一旦被写入装置而将来遭遇破坏。因此,这样的系统需要为请求方特别制造各装置,从而增加了库存管理、订购和制造工艺的复杂度。例如,装置制造商必须知道负责提供秘密值的安全提供商,且一旦装置被制造,要实施具体库存维护并跟踪进程。此外,在这种系统中,密钥和/或标识被存储在数据库中,该数据库必须由装置制造商、请求方和/或可信第三方来维护和管理。所以,装置制造商会因与这样的数据库进行安全通信,以及可能会对与数据库相关的至少一部分操作进本文档来自技高网...
【技术保护点】
一种方法,包括:从被嵌入装置的秘密信息的第一请求者接收第一消息,其中,所述消息包括与所述第一请求者相关的公钥,并且其中,嵌入的秘密信息包括不与任何特定请求者相关的随机信息;以及基于接收到的公钥和嵌入的秘密信息来生成第一加密秘密。
【技术特征摘要】
2011.06.24 US 13/168,9111.ー种方法,包括 从被嵌入装置的秘密信息的第一请求者接收第一消息,其中,所述消息包括与所述第ー请求者相关的公钥,并且其中,嵌入的秘密信息包括不与任何特定请求者相关的随机信息;以及 基于接收到的公钥和嵌入的秘密信息来生成第一加密秘密。2.根据权利要求I所述的方法,其中,所述第一请求者使用与所述装置相关的密钥对所述公钥进行签名。3.根据权利要求I所述的方法,进ー步包括验证接收到的公钥,其中,所述第一加密秘密只在接收到的公钥验证成功时生成。4.根据权利要求I所述的方法,进ー步包括 对所述装置进行标记以表明所述第一加密秘密的生成。5.根据权利要求I所述的方法,其中,仅在所述装置未被标记有“所述第一加密秘密之前已被生成”的指示的情况下才生成所述第一加密秘密。6.根据权利要求I所述的方法,其中, 所述装置进ー步包括嵌入在装置中的标识;以及 所述装置的嵌入标识与所述第一加密秘密一起被提供给所述第一请求者。7.根据权利要求I所述的方法,其中, ...
【专利技术属性】
技术研发人员:安德鲁·德洛,
申请(专利权)人:美国博通公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。