用于供應(yīng)用于固件受信任平臺(tái)模塊的認(rèn)可密鑰證書的裝置和方法
【專利說明】用于供應(yīng)用于固件受信任平臺(tái)模塊的認(rèn)可密鑰證書的裝置和方法
[0001]相關(guān)串請案的交叉參考
[0002]本申請案要求2013年6月7日申請的美國臨時(shí)申請案第61/832,678號(hào)的權(quán)益��,所述申請案以引用的方式并入本文中����。
技術(shù)領(lǐng)域
[0003]本發(fā)明大體上涉及供應(yīng)用于固件受信任平臺(tái)模塊(fTPM)的認(rèn)可初級(jí)種子(EPS)和認(rèn)可密鑰證書。
【背景技術(shù)】
[0004]EPS為固定/綁定到特定受信任平臺(tái)模塊(TPM)的固定大小的隨機(jī)值���。EPS值保密�����。認(rèn)可密鑰(EK)為使用EPS產(chǎn)生的非對稱密鑰對(例如���,RSA/ECC密鑰)。此不對稱密鑰的私有組件為秘密�。對應(yīng)的EK證書(EKCert)由擔(dān)保對應(yīng)的ΕΚ的認(rèn)證機(jī)構(gòu)產(chǎn)生且簽名。每一 ΤΡΜ(硬件模塊)的制造商將特有的EPS和對應(yīng)的EKCert供應(yīng)到每一 TPM中���。
[0005]對于固件TPM (fTPM)���,直到原始設(shè)備制造商(OEM)使用TPM啟動(dòng)裝置,非易失性(NV)存儲(chǔ)器才為可用的���。因此��,TPM制造商沒有辦法在工廠中供應(yīng)EPS和對應(yīng)的EKCert�����。融合地存儲(chǔ)fTPM的特有EPS和EKCert (簽名)將需要硬件的改變�����。
[0006]在裝置起動(dòng)期間(或在需要起動(dòng)時(shí))��,TPM使用EPS來產(chǎn)生ΕΚ�����。TPM可將對應(yīng)的所存儲(chǔ)的EKCert呈現(xiàn)給另一實(shí)體���,且所述實(shí)體可肯定地確定�����,其與特定的TPM連通����。EPS和私有EK為安全性敏感的�����,且不應(yīng)在供應(yīng)給TPM期間和之后泄漏��。
[0007]對于此基于硬件的TPM��,當(dāng)產(chǎn)生硬件時(shí),EK證書對在工廠地面上生成且在僅TPM可訪問的TPM的內(nèi)嵌式多媒體卡(emmc)/熔斷器/ROM內(nèi)部融合�����。按照設(shè)計(jì)�,TPM不應(yīng)該泄漏私有信息。
[0008]fTPM的問題為軟件在安全核(信任區(qū)(TrustZone)或其它此類環(huán)境)中運(yùn)行且其在標(biāo)準(zhǔn)CPU上加載和運(yùn)行���。由于其全部在軟件中���,因此無法在軟件中供應(yīng)裝置特有的密鑰���。并且�,歸因于EPS���、ΕΚ和EKCert耗時(shí)的安全生產(chǎn)���,因此在工廠中制得最終裝置(例如,移動(dòng)電話�����、平板電腦或其它此類裝置)時(shí)供應(yīng)這些尤其具有挑戰(zhàn)性。
[0009]因此�,供應(yīng)用于fTPM的EKCert存在技術(shù)需求。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的方面可存在于一種供應(yīng)用于固件受信任平臺(tái)模塊(fTPM)的認(rèn)可密鑰(EK)證書的方法�。在所述方法中,從硬件受信任平臺(tái)(HWTP)接收派生密鑰(DK)�����。fTPM在HWTP中實(shí)施�����,DK從安全地存儲(chǔ)于HWTP中的硬件密鑰(HWK)派生�����,HWK為HWTP所特有���,且HWK對于fTPM為不可用的�?���;贒K產(chǎn)生認(rèn)可初級(jí)種子(EPS),且基于EPS的散列產(chǎn)生散列的認(rèn)可初級(jí)種子(HEPS)���。將HEPS轉(zhuǎn)發(fā)到供應(yīng)站��,且從所述供應(yīng)站接收對應(yīng)于HEPS的EK證書�����。[0011 ] 在本發(fā)明的更詳細(xì)方面中����,可產(chǎn)生構(gòu)成EK的公共密鑰和私有密鑰,且EK證書可具有公共密鑰�。并且,EK證書可存儲(chǔ)于僅fTPM可用的HWTP的安全非易失性存儲(chǔ)器中���。此外,供應(yīng)站可具有HEPS和對應(yīng)的EK證書的數(shù)據(jù)庫��。每一 HEPS和對應(yīng)的EK證書僅與一個(gè)特定fTPM相關(guān)聯(lián)�����。
[0012]本發(fā)明的另一方面可存在于一站點(diǎn)中���,所述站點(diǎn)包括:用于從硬件受信任平臺(tái)(HWTP)接收派生密鑰(DK)的裝置�,其中用于接收DK的裝置在HWTP中實(shí)施,DK從安全地存儲(chǔ)于HWTP中的硬件密鑰(HWK)派生���,HWK為HWTP所特有�����,且HWK對用于接收DK的裝置為不可用的���;用于基于DK產(chǎn)生認(rèn)可初級(jí)種子(EPS)的裝置;用于基于EPS的散列產(chǎn)生散列的認(rèn)可初級(jí)種子(HEPS)的裝置��;將HEPS轉(zhuǎn)發(fā)到供應(yīng)站的裝置��;和用于從供應(yīng)站接收對應(yīng)于HEPS的ΕΚ證書的裝置��。
[0013]本發(fā)明的另一方面可存在于一站點(diǎn)中����,所述站點(diǎn)包括一處理器,所述處理器經(jīng)配置以:從硬件受信任平臺(tái)(HWTP)接收派生密鑰(DK)�,其中DK從安全地存儲(chǔ)于HWTP中的硬件密鑰(HWK)派生,HWK為HWTP所特有���,且HWK對于固件受信任平臺(tái)模塊(fTPM)為不可用的��;基于DK產(chǎn)生認(rèn)可初級(jí)種子(EPS);基于EPS的散列產(chǎn)生散列的認(rèn)可初級(jí)種子(HEPS);將HEPS轉(zhuǎn)發(fā)到供應(yīng)站�����;且從供應(yīng)站接收對應(yīng)于HEPS的EK證書�。
[0014]本發(fā)明的另一方面可存在于計(jì)算機(jī)程序產(chǎn)品中,所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可讀媒體����,所述計(jì)算機(jī)可讀媒體包括:用于使得計(jì)算機(jī)從硬件受信任平臺(tái)(HWTP)接收派生密鑰(DK)的代碼,其中固件受信任平臺(tái)模塊(fTPM)在HWTP中實(shí)施��,DK從安全地存儲(chǔ)于HWTP中的硬件密鑰(HWK)派生��,HWK為HWTP所特有��,且HWK對于fTPM為不可用的����;用于使得計(jì)算機(jī)基于DK產(chǎn)生認(rèn)可初級(jí)種子(EPS)的代碼��;用于使得計(jì)算機(jī)基于EPS的散列產(chǎn)生散列的認(rèn)可初級(jí)種子(HEPS)的代碼���;用于使得計(jì)算機(jī)將HEPS轉(zhuǎn)發(fā)到供應(yīng)站的代碼���;和用于使得計(jì)算機(jī)從供應(yīng)站接收對應(yīng)于HEPS的EK證書的代碼��。
[0015]本發(fā)明的另一方面可存在于一種用于在安全設(shè)備處產(chǎn)生認(rèn)可密鑰(EK)證書和散列的認(rèn)可初級(jí)種子(HEPS)的方法��。在所述方法中�����,接收用于特定硬件受信任平臺(tái)(HWTP)的經(jīng)加密的派生密鑰E[DK]���。派生密鑰(DK)從為HWTP所特有的硬件密鑰HWK派生。使用用于安全設(shè)備的私有密鑰解密E[DK]以產(chǎn)生DK���?��;贒K產(chǎn)生認(rèn)可初級(jí)種子(EPS)?;贓PS的散列產(chǎn)生散列的認(rèn)可初級(jí)種子(HEPS)?���;贓PS產(chǎn)生認(rèn)可密鑰(EK)。對EK的公開部分簽名以產(chǎn)生EK證書��。HEPS和EK證書在數(shù)據(jù)庫中相關(guān)聯(lián)。
[0016]在本發(fā)明的更詳細(xì)方面中��,EPS的大小可為固定的���,且可取決于用于基于EPS產(chǎn)生EK的算法���。EK證書可用于與具有特有的HWK的HWTP相關(guān)聯(lián)的固件受信任平臺(tái)模塊(fTPM)??蓪?shù)據(jù)庫發(fā)送到至少一個(gè)原始設(shè)備制造商(OEM)以向fTPM供應(yīng)ΕΚ證書。ΕΚ可包括公共密鑰和私有密鑰���,且ΕΚ證書可包含公共密鑰�。
[0017]本發(fā)明的另一方面可存在于一站點(diǎn)中�,所述站點(diǎn)包括:用于接收用于特定硬件受信任平臺(tái)(HWTP)的經(jīng)加密派生密鑰E[DK]的裝置,其中派生密鑰(DK)從為HWTP所特有的硬件密鑰HWK派生�����;用于使用用于安全設(shè)備的私有密鑰解密E[DK]以產(chǎn)生DK的裝置�����;用于基于DK產(chǎn)生認(rèn)可初級(jí)種子(EPS)的裝置���;用于基于EPS的散列產(chǎn)生散列的認(rèn)可初級(jí)種子(HEPS)的裝置����;用于基于EPS產(chǎn)生認(rèn)可密鑰(EK)的裝置�����;用于對EK的公開部分簽名以產(chǎn)生EK證書的裝置��;和用于將HEPS與EK證書在數(shù)據(jù)庫中相關(guān)聯(lián)的裝置�。
[0018]本發(fā)明的另一方面可存在于一站點(diǎn)中,所述站點(diǎn)包括一處理器�,所述處理器經(jīng)配置以:接收用于硬件受信任平臺(tái)(HWTP)的經(jīng)加密派生密鑰E[DK],其中派生密鑰(DK)從為HWTP所特有的硬件密鑰HWK派生��;使用用于安全設(shè)備的私有密鑰解密E[DK]以產(chǎn)生DK ;基于DK產(chǎn)生認(rèn)可初級(jí)種子(EPS);基于EPS的散列產(chǎn)生散列的認(rèn)可初級(jí)種子(HEPS);基于EPS產(chǎn)生認(rèn)可密鑰(EK);對EK的公開部分簽名以產(chǎn)生EK證書��;且將HEPS與EK證書在數(shù)據(jù)庫中相關(guān)聯(lián)����。
[0019]本發(fā)明的另一方面可存在于計(jì)算機(jī)程序產(chǎn)品中,所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可讀媒體��,所述計(jì)算機(jī)可讀媒體包括:用于使得計(jì)算機(jī)接收用于硬件受信任平臺(tái)(HWTP)的經(jīng)加密派生密鑰E[DK]的代碼,其中派生密鑰(DK)從為HWTP所特有的硬件密鑰HWK派生�����;用于使得計(jì)算機(jī)使用用于安全設(shè)備的私有密鑰解密E[DK]以產(chǎn)生DK的代碼�;用于使得計(jì)算機(jī)基于DK產(chǎn)生認(rèn)可初級(jí)種子(EPS)的代碼;用于使得計(jì)算機(jī)基于EPS的散列產(chǎn)生散列的認(rèn)可初級(jí)種子(HEPS)的代碼��;用于使得計(jì)算機(jī)對EK的公開部分簽名以產(chǎn)生EK證書的代碼��;和用于使得計(jì)算機(jī)將HEPS與EK證書在數(shù)據(jù)庫中相關(guān)聯(lián)的代碼��。
【附圖說明】
[0020]圖1為無線通信系統(tǒng)的實(shí)例的方框圖��。
[0021]圖2為根據(jù)本發(fā)明的用于供應(yīng)用于固件受信任平臺(tái)模塊的認(rèn)可密鑰證書的方法的流程圖�。
[