用于远程器件注册的系统和方法技术方案

提供了用于远程器件注册的系统和方法，以监视和量测加密钥或其它保密信息到器件中的注入。利用一个或多个分离的制造者的生产者操作在前向和后向通道上与制造者的本地模块通信的远程模块。被加密的数据传输被生产者发送给制造者，并且被解密以获得在器件中使用的敏感数据。因为数据传输被解密，所以来自信用池的信用被耗尽，并且可以由生产者通过信用指示来补充。因为分发图像被解密，使用记录被创建并被最终连接，并且作为使用报告被发回给生产者，以使得生产者能够监视和量测在制造者处的生产。在可替代的布置中，过量生产可通过在制造过程中引入责任分离而被禁止。一般地，生产者将制造的各个阶段外包给多个承包者。一般而言，责任分离涉及有目的地分离硅芯片或其它器件的制造阶段，使得最终产品必须已经被各个转包者“接触过”，从而使得最终产品是完全起作用的。

【技术实现步骤摘要】

本专利技术一般地涉及其中含有敏感数据的器件的制造，具体地涉及远程控制和监视这种敏感数据到这种器件中的注入。
技术介绍
参与密码安全通信系统的器件，一般会具有在器件制造时被注入到器件中的某种类型的唯一且不变的信息。该信息可以是密码密钥、共享秘密或者可能被密码绑定到器件的固有唯一属性的某些其它数据。这种信息可能一般被称作“密钥”，信息的注入一般可以称作对器件“加密钥”或者“密钥注入”。注入密钥的目的是确保在器件已经被分发之后，在未来的某点该器件被接受为安全通信系统的可信的参与者。但是，器件的生产者常常会希望确保器件被合法制造，因而希望保护被注入到器件中的密钥。生产者一般企图保护密钥以保护未来的收入，因为密钥的认证可被用于提供对于安全系统及其内容等的有条件的访问。另外，被注入的密钥是很重要的，因为它使器件的顾客或使用者能够避免注册器件所需的冗长过程。基于密码认证密钥是被信任的，可授予器件对系统的这种有条件的访问。这种信任基于如下事实:在制造过程之外再现被信任的数据是异常困难的。提供有条件访问的系统包括，例如，卫星电视和无线电，这些系统持续地传播信息，但是希望控制对它们的内容的访问从而控制用于提供这种内容的收入。这些系统依赖制造过程和原始设备制造者(OEM)，具体地是密钥注入，以提供对设备以及最终对整个安全通信系统的信任的根源。被注入到器件中的密钥有时是标准格式并且从主管部门购买，例如，高清晰度内容保护(HDCP)密钥，当数据经由线缆被从你的计算机发送到你的显示器等时，该密钥被用于保护数据。主管部门因而也对确保被分发给器件生产者的密钥被保护而未丢失感兴趣。这对产生了生产者责任，因而增加了保护被注入密钥的重要性。在一些情况下，生产者可能因为丢失或复制密钥而被罚，并且如果他们获得了在处理密钥时疏忽的名声，那么主管部门可能限制或约束密钥的分发。维持这种关系对于生产者常常是重要的，尤其是当密钥是器件与其他器件和/或基础设施兼容所需的标准格式时。在这种情况下，如果不能使用特定的密钥，器件将不能如所预期地工作。在包括不断增加的器件复杂度和精细度的现代商业环境中，常见的是各个部件由一个制造者制造和加密钥，然后由另一个制造者组装。在这种情况下，当器件的生产者或通信系统的所有者不是器件的制造者时，就存在某些安全隐患。因而，对于器件生产者来说，确保对生产者的器件的真实性负责的制造系统的真实性是至关重要的。当考虑制造过程的真实性时，特别关心的是与被用于制造器件的秘密信息的机密性相关的问题，以及确保制造者将所制造的单元的身份和数量准确告知生产者的问题。理想地，器件的生产者应该尽量得到制造者没有创建和分发“灰市”或“黑市”部件或器件的保证。例如，将一定数量的加密钥产品送回给生产者、但是仍具有剩余密钥的制造者，然后可使用那些多余的密钥来制造和销售器件。生产者因而会损失收入，因为制造者是从销售中获利的人。如克隆或偷窃密钥的其它行为也可能出现，这在加密钥过程被外包时是难以检测和控制的。在一些情况下，密钥可能被公布在互联网上使得用户能够获得对有条件访问系统的访问而无需为这种服务付费。传统地，关心在制造场所对信息注入阶段进行保密的生产者几乎没有其它选择，只能绝对信任制造者正在以适当考虑了生产者器件和系统安全性的方式操作。保护机制一般是幼稚的，因为加密钥信息一般被成批加密钥并被发送给制造者，在制造者那里，信息一旦到达，所有的加密钥信息就被立刻解密，制造者被信任不会危害成批的信息。限制对加密钥信息访问的一个方法是使用在线客户机服务器机制。有这种机制就位，在制造者设备处的客户机将被连接到网络，并且将在生产者的控制下向远程密钥提供服务器请求基于每个器件的加密钥信息。实现这种依赖场外、远程联网的服务器且实时地提供加密钥信息的制造系统存在很多问题。最首要的问题是，场外服务器如果使用公共的共享分组交换网络，就不能保证对制造线的最低服务水平或响应时间。为了防止制造线线上的问题，就延时和吞吐量而言的某一服务水平是最优的。给定了现代生产现状，即制造线存在于相对于生产者的远程管辖区域，这种被保证的网络可用性可能是非常昂贵的。在包括数据材料的所有必要的材料没有都准备好之前，制造设备一般不会开始生产运行。否则，生产线延迟的危险将会很高。制造者使用的任何加密钥系统都应该能够基本上保证服务可用性并且提供适当的响应。这要求在生产运行之前所有数据源和加密钥信息都本地可用。假定所有数据源必须对可能存在于计算机系统上的生产线以及不在生产者直接控制下的介质本地可用，生产者必须考虑如何确保任何秘密加密钥信息的机密性。为了开始和完成生产运行，足够的数据应该对制造者本地可用。在生产者发现制造者的未授权和违反合约的行为的情况下，生产者还应该考虑如何防止这样的无赖制造者在合约终止后生产灰市或黑市产品。与克隆相关的另一个问题源于过量生产，这是一种特定类型的克隆操作，该操作是硅芯片的生产者特别关心的。当集成电路(IC)的生产者将他们的IC设计外包给一家或多家第三方制造公司制造时，可能发生过量生产。外包某些或所有制造步骤的目的是通过选择可以对制造过程中具体阶段提供最优价格的第三方来降低生产成本。例如，无工厂设计室(例如生产者)可能希望与海外制造厂家签约来生产他们已经设计的芯片。这样的海外制造厂家经常被选择，因为他们能够相对便宜地生产电子元件。但是，外包一般会增加特定的合约方可能会过量生产他们已经签约要生产的产品以供应灰市的风险。例如，如果签约的制造者不守信用并且根据生产者提供的设计过量生产1C，而没有通知生产者发生了这种过量生产，那么额外的产品就会在灰市渠道中作为“伪造”或“克隆”IC被销售。这就允许第三方制造者实现了额外的获利和收入，而这是以他们的客户即生产者/设计者的收入和未来的产品需求为代价的。上述情况可能发生是因为在这些情况下，常常生产者除了在生产阶段开始时接收工程样品之外就不再处理产品。因此，在设计之后的制造过程的各个阶段，都有机会盗取部件和产品。在一些情况下，有着良好信用的合约制造者的雇员可能是盗贼。当雇员直接从制造线上盗取产品时，“产量缩水(yield shrinkage)”可能出现。这不仅由于收入对生产者和合约制造者有害，而且对进行未来生意的生产者和制造者之间关系也有害。因此，本专利技术的目的是消除或减少上述缺点。
技术实现思路
本专利技术提供了使得希望对制造过程的至少一部分使用分离的实体的生产者能够从远程位置监视和保护器件生产的系统和方法。本专利技术还提供了用于使敏感数据到产品的添加在分离的实体之间分离以禁止由于过量生产和产量缩水弓I起的灰市产品的装置。在一个方面，本专利技术提供了一种用于在器件生产过程中远程控制敏感数据到器件中的注入的方法。该方法包括如下步骤:控制器准备并且密码保护在数据传输中的敏感数据；控制器将数据传输发送给服务器，服务器具有用于执行密码操作的安全模块；安全模块从数据传输中提取敏感数据；以及服务器将敏感数据提供给设备用于注入到器件中；其中，控制器相对于服务器被远程地放置。在另一个方面，本专利技术提供了一种用于在器件生产过程中远程控制敏感数据到器件中的注入的系统。该系统包括:具有用于执行密码操作的第一安全模块的控制器；服务器相对于服务器被远程地放置并且通过前向通道和后向通道被本文档来自技高网...

【技术保护点】
一种用于控制将敏感数据插入到器件中的方法，所述方法包括如下步骤：将服务器配置为能够通信连接至负责分发所述敏感数据的控制器和负责将所述敏感数据注入到所述器件中的设备，所述服务器相对于所述控制器被远程地放置，所述服务器包括用于执行密码操作的安全模块；从所述控制器接收密码保护的数据传输，所述数据传输包括多种类型的敏感数据中的每一种类型的一些敏感数据；从所述设备接收针对产品类型的对敏感数据的请求；根据所述产品类型，从所述密码保护的数据传输中提取所述多种类型的敏感数据中的一种或多种；以及将所述多种类型的敏感数据中的所述一种或多种提供给所述设备。

【技术特征摘要】
2005.06.21 CA 2,510,366;2006.02.28 CA 2,538,087;21.一种用于控制将敏感数据插入到器件中的方法，所述方法包括如下步骤: 将服务器配置为能够通信连接至负责分发所述敏感数据的控制器和负责将所述敏感数据注入到所述器件中的设备，所述服务器相对于所述控制器被远程地放置，所述服务器包括用于执行密码操作的安全模块； 从所述控制器接收密码保护的数据传输，所述数据传输包括多种类型的敏感数据中的每一种类型的一些敏感数据； 从所述设备接收针对产品类型的对敏感数据的请求； 根据所述产品类型，从所述密码保护的数据传输中提取所述多种类型的敏感数据中的一种或多种；以及 将所述多种类型的敏感数据中的所述一种或多种提供给所述设备。2.根据权利要求1所述的方法，还包括:接收设备日志报告，所述设备日志报告指示所述多种类型的敏感数据中的所述一种或多种插入到所述产品类型中。3.根据权利要求1或2所述的方法，其中，所述设备具有获得针对比使用所述多种类型的敏感数据能够生产的所有产品类型少的产品类型的敏感数据的许可。4.根据权利要求1至3中任一项所述的方法，还包括: 存储所述控制器提供的信用值，所述信用值指示在从所述控制器请求更多所述敏感数据之前被许可的敏感数据插入的数目； 参照所述信用值并根据所述信用值向所述设备提供一定数量的所述敏感数据用于注入到所述一个或多个器件 ；以及 如果所述数量少于所述信用值，则根据所述数量来更新所述信用值。5.根据权利要求1至4中任一项所述的方法，还包括:向所述控制器发送所述设备日志 艮告。6.根据权利要求1至5中任一项所述的方法，还包括:准备与从所述控制器获得所述敏感数据相关的服务器日志报告；以及所述服务器向所述控制器发送所述服务器日志报生口 ο7.根据权利要求1至6中任一项所述的方法，其中，所述提取包括:对所述数据传输中包括的头部进行解密以获得密钥，并使用所述密钥来解密所述传输并从中提取所述敏感数据。8.根据权利要求1至7中任一项所述的方法，还包括:在从所述控制器接收所述敏感数据之前，执行预备过程，所述预备过程用于初始化所述服务器和所述安全模块。9.根据权利要求1至8中任一项所述的方法，包括多个服务器，其中所述数据传输被发送至所述多个服务器。10.根据权利要求4至9中任一项所述的方法，还包括:从所述控制器接收指示所述信用值的更新的信用指示。11.根据权利要求1至10中任一项所述的方法，还包括:所述服务器从所述控制器接收用于实现现有数据注入解决方案的对象，所述现有解决方案修改所述数据；所述对象被签名，并且将被签名的对象提供给所述安全模块；所述安全模块存储所述被签名的对象，验证所述被签名的对象，并且如果所述被签名的对象被验证，则根据所述现有解决方案修改所述敏感数据；以及所述服务器将被修改的数据发送给所述设备用于注入到所述一个或多个器件中。12.根据权利要求1至11中任一项所述的方法，还包括:向所述控制器提供关于所述安全模块已经向所述设备提供了所述多种类型的敏感数据中的哪一种或哪些种的指示。13.根据权利要求1至12中任一项所述的方法，还包括:从所述控制器接收配置消息，所述配置消息用于修改所述安全模块中的设置。14.根据权利要求1至13中任一项所述的方法，还包括:向所述控制器提供服务器日志 艮告。15.根据权利要求14所述的方法，其中，所述服务器日志报告是响应于所述服务器和所述控制器之一发起的轮询而提供给所述控制器的。16.根据权利要求14或15所述的方法，其中，所述服务器日志报告被提供给所述控制器以获得另外的敏感数据，如果所述日志报告是有利的并且另外的敏感数据被要求，则接收进一步的数据传输17.根据权利要求16所述的方法，其中，所述服务器从所述控制器接收以下指示:如果所述日志报告是不利的，则禁止进一步提取所述多种类型的敏感数据中的一种或多种。18.根据权利要求1至17中任一项所述的方法，其中，每种类型的所述敏感数据包括对应的多个密钥，所述数据传输包括多种密钥类型中的每一种的一些密钥；所述提取包括:按照事先由所述控制器提供的指示所表明的，对所述类型的密钥中的一种或多种进行解LU O19.根据权利要求18所述的方法，其中，所述安全模块在接收到密钥时对密钥进行解密，并分别对每个密 钥重新加密；其中，根据所述设备做出的请求，对所述密钥中的某些密钥进行解密，以由所述设备使用。20.根据权利要求1至19中任一项所述的方法，其中，所述安全模块包含用于在所述服务器和所述控制器之间的前向和后向通信通道上通信的对称密钥。21.一种用于控制将敏感数据插入到器件中的服务器系统，所述系统包括: 服务器，能够通信连接至负责分发所述敏感数据的控制器和负责将所述敏感数据注入到所述器件中的设备，所述服务器相对于所述控制器被远程地放置，所述服务器包括用于执行密码操作的安全模块并被配置为: 从所述控制器接收密码保护的数据传输，所述数据传输包括多种类型的敏感数据中的每一种类型的一些敏感数据； 从所述设备接收针对产品类型的对敏感数据的请求； 根据所述产品类型，从所述密码保护的数据传输中提取所述多种类型的敏感数据中的一种或多种；以及 将所述多种类型的敏感数据中的所述一种或多种提供给所述设备。22.根据权利要求21所述的系统，还被配置为:接收设备日志报告，所述设备日志报告指示所述多种类型的敏感数据中的所述一种或多种插入到所述产品类型中。23.根据权利要求21或22所述的系统，其中，所述设备具有获得针对比使用所述多种类型的敏感数据能够生产的所有产品类型少的产品类型的敏感数据的许可。24.根据权利要求21至23中任一项所述的系统，还被配置为: 存储所述控制器提供的信用值，所述信用值指示在从所述控制器请求更多所述敏感数据之前被许可的敏感数据插入的数目； 参照所述信用值并根据所述信用值向所述设备提供一定数量的所述敏感数据用于注入到所述一个或多个器件；以及 如果所述数量少于所述信用值，则根据所述数量来更新所述信用值。25.根据权利要求21至24中任一项所述的系统，还被配置为:向所述控制器发送所述设备日志报告。26.根据权利要求21至25中任一项所述的系统，还被配置为:准备与从所述控制器获得所述敏感数据相关的服务器日志报告；以及所述服务器向所述控制器发送所述服务器日志 艮告。27.根据权利要求21至26中任一项所述的系统，其中，所述提取包括:对所述数据传输中包括的头部进行解密以获得密钥，并使用所述密钥来解密所述传输并从中提取所述敏感数据。28.根据权利要求21至27中任一项所述的系统，还被配置为:在从所述控制器接收所述敏感数据之前，执行预备过程，所述预备过程用于初始化所述服务器和所述安全模块。29.根据权利要求21至28中任一项所述的系统，包括多个服务器，其中所述数据传输被发送至所述多个服务器。30.根据权利要求24至29中任一项所述的系统，还被配置为:从所述控制器接收指示所述信用值的更新的信用指示。31.根据权利要求21至30中任一项所述的系统，还被配置为:所述服务器从所述控制器接收用于实现现有数据注入解决方案的对象，所述现有解决方案修改所述数据；所述对象被签名，并且将被签名的对象提供给所述安全模块；所述安全模块存储所述被签名的对象，验证所述被签名的对象，并且如果所述被签名的对象被验证，则根据所述现有解决方案修改所述敏感数据；以及所述服务器将被修改的数据发送给所述设备用于注入到所述一个或多个器件中。32.根据权利要求21至31中任一项所述的系统，还被配置为:向所述控器提供关于所述安全模块已经向所述设备提供了所述多种类型的敏感数据中的哪一种或哪些种的指示。33.根据权利要求21至32中任一项所述的系统，还被配置为:从所述控制器接收配置消息，所述配置消息用于修改所述安全模块中的设置。34.根据权利要求21至33中任一项所述的系统，还被配置为:向所述控制器提供服务器曰；艮告。35.根据权利要求34所述的系统，其中，所述服务器日志报告是响应于所述服务器和所述控制器之一发起的轮询而提供给所述控制器的。36.根据权利要求34或35所述的系统，其中，所述服务器日志报告被提供给所述控制器以获得另外的敏感数据，如果所述日志报告是有利的并且另外的敏感数据被要求，则接收进一步的数据传输37.根据权利要求36所述的系统，其中，所述服务器从所述控制器接收以下指示:如果所述日志报告是不利的，则禁止进一步提取所述多种类型的敏感数据中的一种或多种。38.根据权利要求21至37中任一项所述的系统，其中，每种类型的所述敏感数据包括对应的多个密钥，所述数据传输包括多种密钥类型中的每一种的一些密钥；所述提取包括:按照事先由所述控制器提供的指示所表明的，对所述类型的密钥中的一种或多种进行解LU O39.根据权利要求38所述的系统，其中，所述安全模块在接收到密钥时对密钥进行解密，并分别对每个密钥重新加密；其中，根据所述设备做出的请求，对所述密钥中...

【专利技术属性】
技术研发人员：布赖恩·尼尔，阿肖克·瓦德卡尔，徐大鹏，安东尼·J·沃尔特斯，托尼·罗萨蒂，
申请(专利权)人：塞尔蒂卡姆公司，
类型：发明
国别省市：