CN110059489B - 安全电子设备 - Google Patents
安全电子设备 Download PDFInfo
- Publication number
- CN110059489B CN110059489B CN201810054837.2A CN201810054837A CN110059489B CN 110059489 B CN110059489 B CN 110059489B CN 201810054837 A CN201810054837 A CN 201810054837A CN 110059489 B CN110059489 B CN 110059489B
- Authority
- CN
- China
- Prior art keywords
- secure
- code
- electronic device
- secure electronic
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3249—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using RSA or related signature schemes, e.g. Rabin scheme
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
本发明揭露一种安全电子设备。所述安全电子设备包含第一核心处理单元、安全启动只读存储器、第一永久性存储器、第一非永久性存储器与第一通讯界面。基于所述安全电子设备且具有内建安全机制的新架构能维护开发商的知识产权并进一步改进所述安全电子设备的安全性。从而,更多的开发者可以启动他们的程序或服务,而不会被一个未授权方窃取或篡改。
Description
技术领域
本发明关于一种安全电子设备,特别是关于一种实现安全区的安全电子设备。
背景技术
移动设备在我们的日常生活中被广泛使用,物联网也在迅速发展中,这激增了对安全的需求。为了适应这些安全需求,人们开发了许多安全方法。可信任平台模组(TrustedPlatform Module,TPM)是一安全加密处理器的实现,在x86平台上引入了可信任计算的概念。类似于可信任平台模组如何使个人电脑“值得信赖”,TrustZone是一种***单晶片(SoC)与CPU***的方法,以安全为标的,在基于ARM的平台上建立信任。
美国专利第7,305,534号揭露一种资料执行设备与方法,可用来控制对存储器的存取以分割所述资料执行设备为安全域及非安全域。美国专利第7,966,466号揭露一种存储器存取控制电路,用来控制存储器地址空间的存取。ARM的TrustZone技术应用这些方法将SoC分成安全域和非安全域。
然而,这些方法并没有在安全域内提供内容保护,不同的值得信赖的开发者在安全域内协同工作需要内容保护。内容保护可以在为高端SoC使用虚拟化技术的非安全域中提供,但是由于有限的计算能力和资源,例如存储器大小,它不适用于低成本产品。
当两个或更多不同的开发者将在安全领域内处理安全资料时,他们都需要有权进入安全领域分别地储存他们的代码。在这种情况下,值得信赖的开发者不得不在安全领域合作,但这并不意味着他们不得不放弃对知识产权的保护。因此,需要基于内建安全设备的新架构来为开发者提供对可执行代码(知识产权)的内容保护。
发明内容
本段文字提取和编译本发明的某些特点。其它特点将被揭露于后续段落中。其目的在涵盖附加的权利要求的精神和范围中,各式的修改和类似的排列。
本发明揭露一种安全电子设备。所述安全电子设备配置以实现具有多个安全可执行程序代码的安全环境,所述安全可执行程序代码具有内容保护功能。所述安全电子设备包含:第一核心处理单元,用以执行认证流程、管理安全可执行程序代码传送流程,及执行安全可执行程序代码与一般用途应用程序,其中所述认证流程包含所述安全电子设备与多个代码传输设备间的双向验证。所述第一核心处理单元能被配置到两个隔离环境中:使用硬件分切或时间分切方法的安全环境及普通环境,以便在所述安全环境中的任何指令与资料无法由所述普通环境或外部设备直接存取。安全启动只读存储器,连接至所述第一核心处理单元,具有第一私钥储存于其中,所述第一私钥为所述代码传输设备用来验证所述安全电子设备。第一永久性存储器,连接至所述第一核心处理单元,其中所述第一永久性存储器能被配置为两个隔离部分:第一保护永久性存储器,用于储存第一安全可执行程序代码条目与第二安全可执行程序代码条目。及一般用途永久性存储器,用于储存一般用途应用程序与一般用途相关的应用程序资料,其中所述第一安全可执行程序代码条目包含第一安全可执行程序代码与第二不对称密码的第二公钥。所述第二安全可执行程序代码条目包含第二安全可执行程序代码与第三不对称密码的第三公钥,所述第二与第三公钥为所述安全电子设备用来验证所述些代码传输设备。至少一部分储存所述安全可执行程序代码的所述第一保护永久性存储器配置到只执行存储器(只执行memory,XOM)中。第一非永久性存储器,连接至所述第一核心处理单元,其中所述第一非永久性存储器能被配置为二隔离部分:第一保护非永久性存储器,用以为所述核心处理单元暂时性储存安全资料。及一般用途非永久性存储器,用以为所述核心处理单元暂时性储存与一般用途应用程序相关的资料。及第一通讯界面,用以与所述些代码传输设备通讯,其中如果认证流程成功,所述安全电子设备与所述些代码传输设备间交换的资料使用对称会话密钥加密/解密。其中储存于所述些代码传输设备中的第一公钥与所述第一私钥为第一不对称密码的一对密钥。所述第二公钥与储存于第一代码传输设备中的第二私钥为所述第二不对称密码的一对密钥。所述第三公钥与储存于第二代码传输设备中的第三私钥为所述第三不对称密码的一对密钥。
依照本发明,所述代码传输设备包含:第二核心处理单元,用以执行一认证流程与管理所述安全可执行程序代码传输流程。第二保护永久性存储器,用以储存所述第一不对称密码的所述第一公钥与私钥之一,至少一部分储存所述第一公钥与所述私钥的所述第二保护永久性存储器,由一保护机制保护,以防止储存的代码与资料由外部机构直接存取。第二保护非永久性存储器,用以为所述第二核心处理单元暂时性储存资料。及第二通讯界面,用以与所述安全电子设备通讯。
在其中一个实施例中,所述第二保护永久性存储器进一步储存所述安全可执行程序代码的副本。至少一部分储存所述安全可执行程序代码的第二保护永久性存储器,由所述保护机制保护,以防止储存的代码与资料由外部机构直接存取。
依照本发明,所述代码传输设备可进一步包含:文件加密密钥,储存于所述第二保护永久性存储器中。及可拆卸的外部存储器单元,用以储存所述些安全可执行程序代码的副本,其中所述些安全可执行程序代码使用所述文件加密密钥进行加密。
所述认证流程与使用于所述安全可执行程序代码传送流程中的加密/解密***是内建于所述第一核心处理单元中的硬体电路,或储存于所述安全启动只读存储器的指令,前述指令在启动序列之后由所述第一核心处理单元执行。
在其中一个实施例中,所述第一不对称密码可为ECC(Elliptic-CurveCryptography)或RSA,所述第二不对称密码可为ECC或RSA,所述安全电子设备可为SoC(System on Chip),所述代码传输设备可为SoC。
所述授权管理***可包含储存管理资讯的许可控制档案。所述管理资讯可包含许可次数及/或每次安装的配置资料。
附图说明
图1为本发明第一实施例的安全电子设备与二代码传输设备的方块图;
图2为本发明第二实施例的另一代码传输设备的方块图;
图3为本发明第三实施例的又一安全电子设备与三个代码传输设备的方块图;
图4为本发明的显示安全电子设备与代码传输设备间通讯的示例性流程;
图5为本发明的显示一示例性的双向验证流程;
图6为本发明的显示另一示例性的双向验证流程。
附图标记说明
100:安全电子设备
110:第一核心处理单元
111:第一安全环境
112:普通环境
120:安全启动只读存储器
130:第一永久性存储器
131:第一保护永久性存储器
1311:第一安全可执行程序代码条目
1312:第二安全可执行程序代码条目
132:一般用途永久性存储器
140:第一非永久性存储器
141:第一保护非永久性存储器
142:一般用途非永久性存储器
150:第一通讯界面
200:第一代码传输设备
210:第二核心处理单元
211:安全环境
230:第二保护永久性存储器
231:第一安全可执行程序代码
240:第二保护非永久性存储器
245:第二通讯界面
270:外部存储器单元
271:加密的安全可执行程序代码
300:第二代码传输设备
310:第三核心处理单元
311:安全环境
330:第三保护永久性存储器
331:第二安全可执行程序代码
340:第三保护非永久性
345:第三通讯界面
400:第三代码传输设备
430:第二保护永久性存储器
901:文件加密密钥
910:第一私钥
911:第一公钥
920:第二私钥
921:第二公钥
930:第三私钥
931:第三公钥
940:第四私钥
941:第四公钥
具体实施方式
本发明将通过参照下列的实施方式而更具体地描述。
请参阅图1,该图为依照本发明的一个安全电子设备100与第一代码传输设备200和第二代码传输设备300的方块图。安全电子设备100包含第一核心处理单元110、安全启动只读存储器120、第一永久性存储器130、第一非永久性存储器140,及第一通讯界面150。所述安全启动只读存储器120、第一永久性存储器130、第一非永久性存储器140,与第一通讯界面150连接至所述第一核心处理单元110,且它们可形成一个***单晶片(SoC)来改善所述安全电子设备100的安全性。所述安全电子设备100用来实现一种安全执行环境,其与普通执行环境隔离。关于敏感性资料的指令,例如个人资讯或安全功能,都是在安全执行环境中执行以防止其秘密遭窃。要完成两个环境的隔离,需要将第一核心处理单元110、第一永久性存储器130与第一非永久性存储器140配置到两个隔离部分。第一核心处理单元110被分成第一安全环境111与普通环境112。第一核心处理单元110利用硬件分切或时间分切方法以便任何指令与第一安全环境111内的资料无法被普通环境112或外部设备直接存取。第一核心处理单元110也执行认证流程、管理安全可执行程序代码传送流程,以及在第一安全环境111中执行安全可执行程序代码,并在普通环境112中执行一途应用程序。认证流程包含安全电子设备100与第一代码传输设备200(或第二代码传输设备300,取决于安全电子设备100和哪个设备通讯)间的双向验证。第一永久性存储器130,例如快闪存储器,配置到第一保护永久性存储器131与一般用途永久性存储器132。敏感性资料与关于敏感性资料的指令储存于第一保护永久性存储器131中,其它资料及/或指令,例如一般用途应用程序,储存于一般用途永久性存储器132中。关于敏感性资料的指令以可执行代码形式储存且于之后提及为安全可执行程序代码。至少第一安全可执行程序代码条目1311与第二安全可执行程序代码条目1312储存于第一保护永久性存储器131中。第一安全可执行程序代码条目1311包含第一安全可执行程序代码231与第二不对称密码的第二公钥921。第二安全可执行程序代码条目1312包含第二安全可执行程序代码331与第三不对称密码的第三公钥931。非对称密码被用于双向验证并将在后面的说明书中说明。第一非永久性存储器140,例如SRAM,配置为第一保护非永久性存储器141与一般用途非永久性存储器142,用以各自暂时性储存安全资料以及储存用于第一核心处理单元100关于一般用途应用程序的资料。安全启动只读存储器120中存储有安全启动指令及第一私钥910。安全启动只读存储器120可以是嵌入于晶片中的光罩式只读存储器或者写入保护快闪存储器。第一私钥910由设备制造商提供并用于其他设备,例如,单片机编程器或烧录器,以验证安全电子设备100。第一通讯界面150用以供安全电子设备100与其它设备沟通。安全电子设备100可以是一个基于ARM公司的TrustZone技术,具有内容保护功能的SoC。
安全可执行程序代码可以由非晶片制造商的开发者提供。图1中第一代码传输设备200用来供开发者传输安全可执行程序代码至安全电子设备100。如果开发者传输一般用途应用程序,安全电子设备100可能不需要。第一代码传输设备200包含第二核心处理单元210、第二保护永久性存储器230、第二保护非永久性存储器240,及第二通讯界面245。第二保护永久性存储器230、第二保护非永久性存储器240,与第二通讯界面245连接至第二核心处理单元210,它们可形成一个SoC来改进第一代码传输设备200的安全性。第一代码传输设备200用来实现安全执行环境:第一代码传输设备200与其它设备间的所有通讯都由认证流程监督。第二核心处理单元210包含安全环境211,所述认证流程的指令与安全可执行程序代码传输流程是在所述安全环境211中执行。第二保护永久性存储器230具有第一公钥911、第二私钥920,及储存于其中的第一安全可执行程序代码231。至少一部分储存第一公钥911、第二私钥920,及第一安全可执行程序代码231的第二保护永久性存储器230由保护机制保护,以防止储存的代码与资料由任何外部机构直接存取。保护机制可以是“带有AES的FlashLockTM”,其由Sergei Skorobogatov与Christopher Woods mentioned提出于Breakthrough Silicon Scanning Discovers Backdoor in Military Chip,Cryptographic Hardware and Embedded Systems--CHES2012:p23-40。第二保护非永久性存储器240用来为第二核心处理单元210暂时性储存资料。第二通讯界面245用以供第一代码传输设备200与其它设备通讯。第二代码传输设备300是与第一代码传输设备220相识的设备,所述第二代码传输设备300具有第三核心处理单元310、第三保护永久性存储器330、第三保护非永久性存储器340,及第三通讯界面345。第三核心处理单元310包含安全环境311,认证流程的指令与安全可执行程序代码传输流程于所述安全环境311中执行。第一代码传输设备200中的第二私钥920与第一安全可执行程序代码231分别由第三私钥930与第二安全可执行程序代码331取代。第二代码传输设备300用来供另一个开发者传输第二安全可执行程序代码到安全电子设备100。
请参阅图2。图2为第一代码传输设备200的另一个实施例。本实施例与前一个实施例间的差异在于安全可执行程序代码不储存于所述第二保护永久性存储器230中,但是使用文件加密密钥901加密且可在可拆卸的外部存储器单元270中储存为加密档案。加密档案显示为图2中加密的安全可执行程序代码271。储存于第二保护永久性存储器230中的文件加密密钥901用来解码所述加密的安全可执行程序代码271。可拆卸的外部存储器单元270可以是安全数位记忆卡(SD卡),使用安全数位输入输出(Secure Digital Input Output,SDIO)界面连接至第二核心处理单元210。文件加密密钥901可以是用于对称密钥密码,例如Advance Encryption Standard(AES),的密钥。
在本段中,由安全电子设备100提供的内容保护功能的架构将于以下详述。基本上,内容保护功能架构将分为三部分:安全电子设备100、代码传输设备,及其间的通讯。在安全电子设备100中,两大要素共同打造内容保护功能。第一要素为自普通执行环境隔离的安全执行环境促使安全执行环境内容受到保护,第二要素为一部分储存安全可执行程序代码的第一保护永久性存储器131配置到只执行存储器(XOM)。美国专利第7,895,404揭露一种方法来提供存储器的一个或多个保护区只执行存取权。使用XOM可以只允许指令获取,而不允许读写存取。因此,储存安全可执行程序代码到只执行存储器中可以防止另一开发者读取所述代码,所述安全可执行程序代码由开发者提供。安全执行环境提供安全执行环境与普通执行环境间的第一层内容保护,而XOM提供安全执行环境中每一安全可执行程序代码间的第二层内容保护。在普通环境112中不能由一般用途应用程序存取的敏感性资料,现在可以在来自不同开发者的不同安全可执行程序代码间共享,而不损害每个安全可执行程序代码的保密性。使用XOM也可以为安全电子设备100提供额外的防篡改。在代码传输设备200中,安全可执行程序代码由具有文件加密密钥901或保护机制,例如FlashLockTM,的安全执行环境211保护。
关于安全电子设备100与代码传输设备200间的通讯,双向验证用来供两设备彼此验证对方。请参阅图3,该图为依照本发明第三实施例的一个安全电子设备与三个代码传输设备的方块图。其它元件与双向验证无显著关系,在这里忽略不计。第一公钥911与第一私钥910为第一不对称密码的一对密钥,用来供第一代码传输设备200验证安全电子设备100。第二公钥921与第二私钥920为第二不对称密码的一对密钥,用来供安全电子设备100验证第一代码传输设备200。第三公钥931与第三私钥930为第三不对称密码的一对密钥,用来供安全电子设备100验证第二代码传输设备300。第四公钥941与第四私钥940为第四不对称密码的一对密钥,用来供安全电子设备100验证第三代码传输设备400。类似其它的代码传输设备,第四私钥940与第一公钥911储存于第三代码传输设备400的第四保护永久性存储器430中。一但安全可执行程序代码条目存在于安全电子设备100中,如果双向验证成功,所述安全可执行程序代码才能够被读取及/或修改。在安全可执行程序代码储存于可拆卸的外部存储器单元270中的状况时,安全可执行程序代码进一步由文件加密密钥901保护。从而,内容(即安全可执行程序代码)在这个框架下受到良好保护。如果没有安全可执行程序代码条目存在于安全电子设备100中的状况时,当第一安全电子设备100的验证成功后(通过代码传输设备200),安全可执行程序代码可以被写入一个预定存储器区域。
请参阅图4,该图显示安全电子设备100与所述些代码传输设备间通讯的一个示例性流程。所述示例性流程包含前述认证流程与安全可执行程序代码传送流程。在这个例子中,安全可执行程序代码的一个新版本将被写入相应的存储器区域来替换旧版本。由双向验证流程决定哪一个安全可执行程序代码将被替换流程。如果安全电子设备100连接到第二代码传输设备300,所述双向验证将给出一个结果:因为第三公钥931与第三私钥930为一对密钥,第二安全可执行程序代码将会被修改。整个流程由使用通讯界面连接安全电子设备100到代码传输设备200开始(S01)。所述程序包含决定是否双向验证成功(S02)。如果双向验证成功,那么两个设备都将识别到彼此是有效的设备。在传输安全可执行程序代码之前,检查第一保护永久性存储器113的可用存储器大小和位置(S03)。一种简单的方式是安全可执行程序代码在第一保护永久性存储器113中具有预定的代码大小和位置,在第一保护永久性存储器113中可能有一个表或列表用于储存存储器使用的信息。如果步骤S03的结果为是,那么储存相关的安全可执行程序代码的部分第一保护永久性存储器113区域配置以停用只执行属性(S04),即,变得可读可写。新的安全可执行程序代码将被传输到安全电子设备100并写入所述存储器区域(S05)。最后一个步骤,存储器区域将再次被配置到XOM以保护所述安全可执行程序代码(S06)。当步骤S02或S03失败,整个流程停止并返回验证失败的消息。
请参阅图5,该图显示双向验证示例性流程。双向验证流程利用一个公钥密码***,例如,RSA或Elliptic-curve cryptography(ECC),以建立一个值得信赖的沟通。第一验证用于代码传输设备200以验证安全电子设备100,第二验证用于安全电子设备100以验证代码传输设备200。首先,安全电子设备100产生第一讯息(S11),使用第一私钥910签署第一讯息(S12),并接着发出所述签署的讯息到代码传输设备200(S13)。当代码传输设备200接收到所述签署的讯息,代码传输设备200使用第一公钥911验证所述签署的讯息(S14)。如果验证成功,代码传输设备200产生会话密钥(S15),使用第二私钥920签署所述会话密钥(作为第二讯息)(S16),使用第一公钥911加密所述签署的会话密钥(S17),并接着发出所述加密与签署的会话密钥给安全电子设备100(S18)。安全电子设备100使用第一私钥910解密所述加密与签署的会话密钥(S19)并使用第二公钥921验证会话密钥(S20)。如果验证成功,安全电子设备100获得会话密钥(S21)并使用所述会话密钥加密传输流程(S22)。如果多个安全可执行程序代码条目存在于安全电子设备100中,安全可执行程序代码条目中的每一公钥将被用于步骤S20中来找出对应的安全可执行程序代码条目。
请参阅图6,所述图显示双向验证的另一个示例性流程。在这个例子中,使用Diffie-Hellm密钥交换协议产生会话密钥,所述协议是ECC密钥交换常用方式。Elliptic-curve Diffie-Hellm(ECDH)是一种匿名密钥协议,允许两方,其每一方具有一个椭圆曲线公私钥对,通过不安全的渠道建立共享秘密。因此,在本例中无须加密步骤S17及解密步骤S19。本流程包含步骤:安全电子设备100产生第一讯息(S31),使用第一私钥910签署第一讯息(S32),并发出签署的讯息给代码传输设备200(S33)。当代码传输设备200接收签署的第一讯息,代码传输设备200使用第一公钥911验证所述签署的第一讯息(S34)。如果验证成功,代码传输设备200使用第一讯息产生一共享秘密(S35)及第二讯息(S36),使用第二私钥920签署第二讯息(S37),并发出签署的第二讯息给安全电子设备100(S38)。安全电子设备100使用第二公钥921验证签署的第二讯息(S39)。如果验证成功,安全电子设备100使用第二讯息产生共享秘密(S40)并使用所述共享秘密作为一会话密钥以加密传输流程(S41)。第一讯息与第二讯息包含产生ECDH交换协议的共享秘密的资讯。
可拆卸的外部存储器单元270可进一步包括授权管理***。所述授权管理***包含加密许可控制档案及与安全可执行程序代码传输流程互动的指令。加密许可控制档案可使用文件加密密钥901或另一个对称密钥(未绘示)而被加密。许可控制档案储存管理资讯,诸如许可次数(允许的副本数量)、每次安装配置资料等等。在其中一个实施例中,当每一次安全可执行程序代码传送程序完成时,许可次数扣减一点。许可次数可以被开发者更新。在另一个实施例中,安全可执行程序代码可以有不同的配置,每种配置值不同的扣减量。例如,安全可执行程序代码的全功能配置可能值10点,安全可执行程序代码的有限功能配置可能值得7点。那么,许可次数可以用配额或点数的形式实现。许可次数依照每个副本的完成而递减。例如,如果安全可执行程序代码的有限功能配置被传输到安全电子设备100,许可次数就减7点。
以上所述实施例的各技术特征可以进行任意组合,为使描述整洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (11)
1.一种安全电子设备,其特征在于,所述安全电子设备包含:
第一核心处理单元,用以执行认证流程、管理安全可执行程序代码传送流程,及执行安全可执行程序代码与一般用途应用程序,其中所述认证流程包含所述安全电子设备与多个代码传输设备间的双向验证;所述第一核心处理单元能被配置到两个隔离环境中:使用硬件分切或时间分切方法形成的安全环境及普通环境,以便在所述安全环境中的任何指令与资料无法由所述普通环境或外部设备直接存取;安全启动只读存储器,连接至所述第一核心处理单元,具有第一私钥储存于其中,所述第一私钥为所述代码传输设备用来验证所述安全电子设备;
第一永久性存储器,连接至所述第一核心处理单元,其中所述第一永久性存储器能被配置为两个隔离部分:
第一保护永久性存储器,所述第一保护永久性存储器至少一部分配置为只执行存储器(eXecute-Only-Memory,XOM),以储存所述安全可执行程序代码及第一安全可执行程序代码条目与第二安全可执行程序代码条目,其中所述第一安全可执行程序代码条目包含第一安全可执行程序代码与第二不对称密码的第二公钥;所述第二安全可执行程序代码条目包含第二安全可执行程序代码与第三不对称密码的第三公钥,所述第二与第三公钥为所述安全电子设备用来验证所述代码传输设备;及
一般用途永久性存储器,用于储存一般用途应用程序与一般用途相关的应用程序资料;
第一非永久性存储器,连接至所述第一核心处理单元,其中所述第一非永久性存储器能被配置为两个隔离部分:
第一保护非永久性存储器,用以为所述第一核心处理单元暂时性储存安全资料;及
一般用途非永久性存储器,用以为所述第一核心处理单元暂时性储存与一般用途应用程序相关的资料;及
第一通讯界面,用以与所述代码传输设备通讯,其中如果认证流程成功,所述安全电子设备与所述代码传输设备间交换的资料使用对称会话密钥加密/解密,
其中储存于所述代码传输设备中的第一公钥与所述第一私钥为第一不对称密码的一对密钥;所述第二公钥与储存于第一代码传输设备中的第二私钥为所述第二不对称密码的一对密钥;所述第三公钥与储存于第二代码传输设备中的第三私钥为所述第三不对称密码的一对密钥。
2.如权利要求第1项所述的安全电子设备,其特征在于,所述代码传输设备包含:
第二核心处理单元,用以执行认证流程与管理所述安全可执行程序代码传输流程;
第二保护永久性存储器,用以储存所述第一不对称密码的所述第一公钥与第二私钥,其特征在于,至少一部分储存所述第一公钥与第二所述私钥的所述第二保护永久性存储器由一保护机制保护,以防止储存的代码与资料由一外部机构直接存取;
第二保护非永久性存储器,用以为所述第二核心处理单元暂时性储存资料;及
第二通讯界面,用以与所述安全电子设备通讯。
3.如权利要求第2项所述的安全电子设备,其特征在于,所述第二保护永久性存储器进一步储存所述安全可执行程序代码的副本;至少一部分储存所述安全可执行程序代码的第二保护永久性存储器,由所述保护机制保护,以防止储存的代码与资料由一外部机构直接存取。
4.如权利要求第2项所述的安全电子设备,其特征在于,所述代码传输设备进一步包含:
文件加密密钥,储存于所述第二保护永久性存储器中;及
可拆卸的外部存储器单元,用以储存所述安全可执行程序代码的副本,其中所述安全可执行程序代码使用所述文件加密密钥进行加密。
5.如权利要求第1项所述的安全电子设备,其特在于,使用于所述认证流程与所述安全可执行程序代码传送流程中的加密/解密***是内建于所述第一核心处理单元中的硬体电路或是储存于所述安全启动只读存储器在启动序列之后由所述第一核心处理单元执行的指令。
6.如权利要求第1项所述的安全电子设备,其特征在于,所述第一不对称密码为ECC(Elliptic-Curve Cryptography)或RSA。
7.如权利要求第1项所述的安全电子设备,其特征在于,所述第二不对称密码为ECC或RSA。
8.如权利要求第1项所述的安全电子设备,其特征在于,所述安全电子设备为***单晶片。
9.如权利要求第1项所述的安全电子设备,其特征在于,所述代码传输设备为***单晶片。
10.如权利要求第2项所述的安全电子设备,其特征在于,所述代码传输设备进一步包含授权管理***,所述授权管理***包含储存管理资讯的许可控制档案。
11.如权利要求第10项所述的安全电子设备,其特征在于,所述管理资讯包含许可次数及/或每次安装的配置资料。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810054837.2A CN110059489B (zh) | 2018-01-19 | 2018-01-19 | 安全电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810054837.2A CN110059489B (zh) | 2018-01-19 | 2018-01-19 | 安全电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110059489A CN110059489A (zh) | 2019-07-26 |
| CN110059489B true CN110059489B (zh) | 2021-08-17 |
Family
ID=67315151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810054837.2A Active CN110059489B (zh) | 2018-01-19 | 2018-01-19 | 安全电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110059489B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101006407A (zh) * | 2004-03-19 | 2007-07-25 | 诺基亚有限公司 | 安全模式控制的存储器 |
| WO2010135551A3 (en) * | 2009-05-20 | 2011-02-24 | Redcliff Investments, L.L.C. | Secure workflow and data management facility |
| CN102184360A (zh) * | 2011-05-13 | 2011-09-14 | 华中科技大学 | 一种适用于嵌入式处理器的信息流安全监控方法 |
| CN103514414A (zh) * | 2012-06-26 | 2014-01-15 | 上海盛轩网络科技有限公司 | 一种基于ARM TrustZone的加密方法及加密*** |
| CN103797488A (zh) * | 2011-07-12 | 2014-05-14 | 三星电子株式会社 | 使用非易失性存储设备的方法和装置 |
| CN104636681A (zh) * | 2014-12-19 | 2015-05-20 | 中国印钞造币总公司 | 一种用于钞票存储数据的安全传输方法及装置 |
| CN105825128A (zh) * | 2016-03-15 | 2016-08-03 | 华为技术有限公司 | 一种数据输入方法、装置及用户设备 |
| CN106384042A (zh) * | 2016-09-13 | 2017-02-08 | 北京豆荚科技有限公司 | 一种电子设备以及安全*** |
| CN106557708A (zh) * | 2016-11-21 | 2017-04-05 | 武汉斗鱼网络科技有限公司 | 一种安全保护方法和*** |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7024555B2 (en) * | 2001-11-01 | 2006-04-04 | Intel Corporation | Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment |
| WO2004070587A1 (en) * | 2003-02-03 | 2004-08-19 | Nokia Corporation | Architecture for encrypted application installation |
| US9489316B2 (en) * | 2013-03-15 | 2016-11-08 | Freescale Semiconductor, Inc. | Method and device implementing execute-only memory protection |
-
2018
- 2018-01-19 CN CN201810054837.2A patent/CN110059489B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101006407A (zh) * | 2004-03-19 | 2007-07-25 | 诺基亚有限公司 | 安全模式控制的存储器 |
| WO2010135551A3 (en) * | 2009-05-20 | 2011-02-24 | Redcliff Investments, L.L.C. | Secure workflow and data management facility |
| CN102184360A (zh) * | 2011-05-13 | 2011-09-14 | 华中科技大学 | 一种适用于嵌入式处理器的信息流安全监控方法 |
| CN103797488A (zh) * | 2011-07-12 | 2014-05-14 | 三星电子株式会社 | 使用非易失性存储设备的方法和装置 |
| CN103514414A (zh) * | 2012-06-26 | 2014-01-15 | 上海盛轩网络科技有限公司 | 一种基于ARM TrustZone的加密方法及加密*** |
| CN104636681A (zh) * | 2014-12-19 | 2015-05-20 | 中国印钞造币总公司 | 一种用于钞票存储数据的安全传输方法及装置 |
| CN105825128A (zh) * | 2016-03-15 | 2016-08-03 | 华为技术有限公司 | 一种数据输入方法、装置及用户设备 |
| CN106384042A (zh) * | 2016-09-13 | 2017-02-08 | 北京豆荚科技有限公司 | 一种电子设备以及安全*** |
| CN106557708A (zh) * | 2016-11-21 | 2017-04-05 | 武汉斗鱼网络科技有限公司 | 一种安全保护方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110059489A (zh) | 2019-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Shepherd et al. | Secure and trusted execution: Past, present, and future-a critical review in the context of the internet of things and cyber-physical systems | |
| KR101712784B1 (ko) | 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법 | |
| JP5060652B2 (ja) | 呼び出しプログラムについての秘密の封印解除方法 | |
| JP4689945B2 (ja) | リソースアクセス方法 | |
| KR101795457B1 (ko) | 보안 기능이 강화된 디바이스의 초기화 방법 및 디바이스의 펌웨어 업데이트 방법 | |
| US8670568B2 (en) | Methods and systems for utilizing cryptographic functions of a cryptographic co-processor | |
| US8751818B2 (en) | Method and apparatus for a trust processor | |
| US10498712B2 (en) | Balancing public and personal security needs | |
| AU2020244511B2 (en) | Balancing public and personal security needs | |
| JP2007512787A (ja) | トラステッド・モバイル・プラットフォーム・アーキテクチャ | |
| CN116566613A (zh) | 使用平台密钥保护与安全处理器的通信 | |
| US10452565B2 (en) | Secure electronic device | |
| US10771249B2 (en) | Apparatus and method for providing secure execution environment for mobile cloud | |
| US11405201B2 (en) | Secure transfer of protected application storage keys with change of trusted computing base | |
| CN110059489B (zh) | 安全电子设备 | |
| Arthur et al. | Quick tutorial on TPM 2.0 | |
| EP4254855A1 (en) | A device and a method for controlling use of a cryptographic key | |
| CA3042984C (en) | Balancing public and personal security needs | |
| Ju et al. | The Issue of Data Transfer for the Embedded SE on Mobile Devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |