專利名稱:訪問包含認(rèn)證私密鑰的集成電路的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及電子集成電路的領(lǐng)域���,并且更為特別地涉及訪問這樣的集成電路的方法和系統(tǒng)��。
背景技術(shù):
如今����,電子集成電路在許多電子裝置中使用����。已知地尤其是形成智能卡的電子芯片、存儲(chǔ)卡��、U盤等的集成電路��。集成電路制造通常在第一制造工場(chǎng)或單元(通常是工廠)中進(jìn)行���,其中電路在硅晶片(或wafer)上制作�。繼而當(dāng)電路需要進(jìn)行定制或預(yù)定制時(shí)�,該操作在第二定制工場(chǎng)或單元(或多個(gè)其它工場(chǎng))中實(shí)施���,其中��,鑒于其需要執(zhí)行的功能如此制作的集成電路通過數(shù)字?jǐn)?shù)據(jù)進(jìn)行(預(yù))定制�����。在本文獻(xiàn)的下文中���,術(shù)語(yǔ)“定制” 一般性地被理解為由微電路板工業(yè)領(lǐng)域中的技術(shù)人員通常所采用的術(shù)語(yǔ)�����,或如由W. Rankl和W. Effing在文獻(xiàn)“智能卡手冊(cè),第二版�����,Ed. John ffiley&Sons, Ltd”中以如下的方式定義的術(shù)語(yǔ)“術(shù)語(yǔ)定制�,在其廣義上意味著卡或個(gè)人所特定的數(shù)據(jù)被輸入卡中���。這些數(shù)據(jù)可以例如是姓名���、地址,也可以是與卡相關(guān)的密鑰���。唯一重要的事情是這些數(shù)據(jù)對(duì)于該卡是特定的?���!蓖贫鴱V之,集成電路的預(yù)定制在于一些相似操作,除了輸入這些集成電路中的數(shù)據(jù)對(duì)于一批次或一類型的裝置(例如智能卡)是共同的以外。這例如涉及包含在只讀存儲(chǔ)器ROM中的程序配置數(shù)據(jù)���,其旨在確定與相同批次或相同類型的裝置的所有集成電路所共有的性能或運(yùn)行�����。出于安全的原因,當(dāng)集成電路離開制造工場(chǎng)時(shí),集成電路應(yīng)當(dāng)包含每個(gè)集成電路所特有的稱為傳輸密鑰的密鑰�����,以預(yù)防各種不期望的對(duì)集成電路所包含的存儲(chǔ)器的訪問��, 存儲(chǔ)器通常是EEPROM(" Electrically-Erasable Programmable Read-Only Memory",也就是電可擦可編程只讀存儲(chǔ)器)����。該傳輸密鑰因而在通過訪問這些存儲(chǔ)器以進(jìn)行集成電路預(yù)定制或定制之前的認(rèn)證控制時(shí)被使用�。該傳輸密鑰因而可被視作是認(rèn)證密鑰。圖1示出在基于集成電路生產(chǎn)電子智能卡的生產(chǎn)過程中的不同參與對(duì)象���。如在圖2上示意性地示出的����,智能卡CP通常包括塑料材料制的卡體⑶,卡體接納基于CI集成電路10構(gòu)建的模塊����。該集成電路包括處理器或微控制器11�,以及可錄的非易失性存儲(chǔ)器12、RAM類型的易失性存儲(chǔ)器13、非可錄的非易失性存儲(chǔ)器ROM 14和通信接口 19,通信接口 19允許在處理器和智能卡外部之間交換數(shù)據(jù)和還允許對(duì)智能卡供電,例如根據(jù)IS0/IEC 7816標(biāo)準(zhǔn)的電觸點(diǎn)或符合IS0/IEC 14443標(biāo)準(zhǔn)的非接觸式接口�����。存儲(chǔ)器和通信接口通過微控制器進(jìn)行管理并且是微控制器可訪問的(根據(jù)情況��, 在讀取和/或?qū)懭霑r(shí))�����。回到圖1���,申請(qǐng)者100�、例如智能卡制造商,根據(jù)智能卡中的期望功能,求助于集成電路制造商200(或創(chuàng)建者)和集成電路的(預(yù))定制公司300�����。從如信息處理的物理觀點(diǎn)看�,制造工場(chǎng)200是高安全等級(jí)的環(huán)境���,以便保證基于硅晶片1或wafers的集成電路10的整合制造�。在申請(qǐng)者處�����,用于集成電路的硬件安全模塊HSM( “ Hardware Security Module" )110被設(shè)置用于生成制造商密鑰MSK(“Manufacturer SecretKey")��,下文中其被稱為根密鑰或主密鑰(root key)�。這些根密鑰因而通過加安全的訪問、例如經(jīng)加安全的因特網(wǎng)被傳輸給制造工場(chǎng)200和(預(yù))定制工場(chǎng)300�����。在創(chuàng)建者200處,也存在硬件安全模塊HSM 210�����,用于接收這些根密鑰MSK和安全地將其傳送給制造鏈的其余部分。所述制造鏈包括集成電路的控制和編程模塊220、和集成電路10的編程頭230�����。如在下文中將看見的,編程頭230還包括在初始測(cè)試時(shí)供電給集成電路10的供電部件(未顯示)°當(dāng)然,制造操作和(預(yù))定制操作可由同一家公司進(jìn)行,制造和(預(yù))定制單元可在同一工廠中����,但是在不同的兩個(gè)操作區(qū)域內(nèi)��。對(duì)于接下來的描述,將主要描述集成電路10的定制。但是本發(fā)明適用于其它操作,例如預(yù)定制操作。圖3示出智能卡CP的傳統(tǒng)生產(chǎn)步驟��。在初始步驟EO時(shí)�����,創(chuàng)建者200負(fù)責(zé)集成電路10的硬件制造�、因而參照?qǐng)D2在前文中列舉的不同器件的制造�����。特別地,集成電路不同層的圖紋(dessin)制作非可錄的非易失性存儲(chǔ)器(ROM) 14,以使得其包括代表用于集成電路運(yùn)行的基礎(chǔ)程序指令的數(shù)據(jù)����,基礎(chǔ)程序指令例如引導(dǎo)(boot)程序的數(shù)據(jù)和能夠處理APDU(英語(yǔ)術(shù)語(yǔ)“Application Protocol Data Unit (應(yīng)用協(xié)議數(shù)據(jù)單元)”)控制命令的操作系統(tǒng)OS的數(shù)據(jù),如在下文中所述�����。在第一步驟El時(shí)�,在智能卡制造商100處�����,通過HSM模塊110生成密鑰MSK���,例如 8字節(jié)或16字節(jié)。在步驟E2時(shí)���,通過加安全的因特網(wǎng),密鑰MSK被傳輸給創(chuàng)建者200和定制工場(chǎng) 300���,并且更為確切地被傳輸給HSM模塊210和310��。在制造工場(chǎng)200處����,電子集成電路10在晶片1(步驟E0)上制作���。每個(gè)晶片屬于一批次的編號(hào)IDltrt的晶片�����,并且包括識(shí)別號(hào)IDwafw����。在晶片上實(shí)現(xiàn)的每個(gè)集成電路此外可通過其在晶片上的位置(X。teuit�、Y��。teuit)進(jìn)行識(shí)別或者包括在該批次或晶片上的電路號(hào)ID�。teuit�����。在步驟E3����,對(duì)于實(shí)現(xiàn)的每個(gè)集成電路IOi,已接收密鑰MSK的HSM模塊210通過利用每個(gè)電子電路IOi的唯一一個(gè)識(shí)別數(shù)據(jù)或唯一一個(gè)序列號(hào)IDi的所接收密鑰MSK的分散化(diversification)�����,來生成傳輸或認(rèn)證私密鑰MSKDitl分散化的概念已充分地為本領(lǐng)域技術(shù)人員所熟知�����,并且不再進(jìn)行細(xì)述����。僅僅作為說明�,可通過借助對(duì)稱算法例如MSKDi =AESdDi, MSK)對(duì)唯一識(shí)別數(shù)據(jù)IDi和根密鑰MSK 應(yīng)用加密操作���,來生成傳輸或認(rèn)證私密鑰MSKDi。一旦集成電路IOi的晶片1被制出�����,編程模塊220在步驟E4控制編程頭230��,用以在每個(gè)集成電路IOi的例如EEPROM類型的可錄的非易失性存儲(chǔ)器12中寫入-可例如包括集成電路類型�����、制造工場(chǎng)識(shí)別碼IDsite和識(shí)別碼IDltrt�����、IDwafer和 IDcdrcuit (或Xctouit��、Yctouit)中所有或部分的集成電路唯一識(shí)別數(shù)據(jù)IDi,-該集成電路IOi特有的和在步驟E3時(shí)生成的傳輸/認(rèn)證密鑰MSKDitl圖2示出在該步驟后的集成電路的狀態(tài)���。
因此�,編程頭230包括直接訪問存儲(chǔ)區(qū)域12的訪問部件�,用于寫入這些各種的數(shù)據(jù),例如通過在存儲(chǔ)器的物理端子上的直接接觸�����。這里“直接訪問”意指這樣的事實(shí)既不經(jīng)過集成電路的處理器也不經(jīng)過集成電路的正常通信接口來進(jìn)行訪問(通常根據(jù)IS0/IEC 7816標(biāo)準(zhǔn)的電觸點(diǎn))�。當(dāng)處理器11的操作系統(tǒng)包括探測(cè)與密鑰相關(guān)的異常情況或攻擊的探測(cè)部件時(shí), 該直接訪問顯得有效��,通常就是這種情形�。實(shí)際上,在此情形下�����,如果在其傳輸或認(rèn)證密鑰 MSKDi被存儲(chǔ)在非易失性存儲(chǔ)器上之前使處理器通電��,則由于缺少密鑰立即探測(cè)到異常情況/攻擊���,并且該探測(cè)引起集成電路運(yùn)行停止�����,而這不是所述情形���。需要注意的是����,當(dāng)編程模塊220期望執(zhí)行步驟E4的操作時(shí)����,正是該編程模塊220 來控制HSM模塊210以執(zhí)行步驟E3的生成。繼而在步驟E5�,創(chuàng)建者200在日志(數(shù)字文件或“l(fā)og”)中存儲(chǔ)所有使用的密鑰 MSKDi和相關(guān)電路的唯一識(shí)別數(shù)據(jù)IDi。該日志尤其以加密的方式被存儲(chǔ)在編程模塊220處�, 或作為變型�����,被存儲(chǔ)在HSM模塊210中�����。在集成電路的(預(yù))定制時(shí)出現(xiàn)問題的情況下,該日志尤其允許保存已被卸載的傳輸或認(rèn)證密鑰MSKDi的軌跡�����,用于如果定制時(shí)不能再找到密鑰MSKDi來排除故障或需要時(shí)避免需丟棄電路�����。在該步驟結(jié)束時(shí)�����,集成電路10的編程已經(jīng)實(shí)施�。然而已知進(jìn)行供電測(cè)試E6,以驗(yàn)證每個(gè)電路的良好的電力運(yùn)行�。該測(cè)試包括步驟E60,在該步驟的過程中����,帶饋電頭的控制模塊(這可以是與配有其編程頭230的編程模塊220相同的模塊)與通信接口的正常的外部電觸點(diǎn)相連接,并通過給其應(yīng)用第一供電模擬信號(hào)使集成電路IOi通電����。因而在步驟E65,根據(jù)標(biāo)準(zhǔn)IS0/IEC 7816���,電路IOi通過ATR消息("Answer To Reset (重置響應(yīng))”)響應(yīng)通電����。在IS0/IEC 14443標(biāo)準(zhǔn)(非接觸式卡)的范圍內(nèi),該響應(yīng)以ATS( "Answer To Select (選擇響應(yīng))”)消息的形式進(jìn)行����。如果集成電路返送符合ISO 7816標(biāo)準(zhǔn)的ATR消息并且如果其內(nèi)容是正確的,也就是控制模塊GIHiES)所期望的消息內(nèi)容���,那么該集成電路1(^被視作是相符的(步驟E9)��。否則(例如�����,在通常大約10到20微秒的時(shí)限內(nèi)沒有接收到任何響應(yīng))���,集成電路被視作是有缺陷的和被廢棄(步驟E10)。在此情況下��,集成電路可被標(biāo)注為有缺陷的(通過控制模塊記錄在儲(chǔ)存器中或在步驟E5設(shè)置的日志中的等同寫入)����。在該測(cè)試后,集成電路IOi離開制造工場(chǎng)���,同時(shí)在存儲(chǔ)器上具有唯一的識(shí)別數(shù)據(jù) IDi和每個(gè)集成電路特有的傳輸/認(rèn)證密鑰MSKDit5這些集成電路繼而或以完整晶片的形式或以通過晶片1切割已個(gè)體化形式�����,被交付給定制工場(chǎng)300(步驟Ell)�。在步驟E12�,所接收的集成電路如果需要從所接收的晶片中切割出,繼而例如被安裝在圖紋(vignette)上用以形成智能卡模塊����,最后插入符合ISO 7816標(biāo)準(zhǔn)的卡體CO中以便產(chǎn)生智能卡。當(dāng)然���,實(shí)施相同方法�,通過將集成電路安裝在非接觸式卡的模塊上用于生產(chǎn)非接觸式卡(“contactless”或“eCoveH易通維)”——商品名)����,或通過選擇需要接納集成電路的裝置主體,用以生產(chǎn)其它便攜式裝置或袖珍裝置如存儲(chǔ)卡(SD或Flash)或U盤���。繼而通過定制模塊/裝置320進(jìn)行對(duì)智能卡的定制和因而其所包含的集成電路的定制�����,以符合所期望的功能����。該定制在步驟E13包括智能卡CP與具有根密鑰MSK的訪問和定制裝置310/320 之間的認(rèn)證。該認(rèn)證的目的在于授權(quán)或不授權(quán)數(shù)據(jù)在集成電路IOi的EEPROM類型的非易失性存儲(chǔ)器中的寫入�����。該認(rèn)證尤其是經(jīng)通信接口 14�、例如經(jīng)根據(jù)ISO 7816標(biāo)準(zhǔn)的電觸點(diǎn)通過與集成電路IOi的通信實(shí)施。作為非限定性的說明�����,通過質(zhì)詢-響應(yīng)算法的認(rèn)證可被實(shí)施����,以通過訪問或定制裝置對(duì)智能卡CP進(jìn)行認(rèn)證。通過智能卡CP對(duì)訪問或定制裝置的相似認(rèn)證也被設(shè)置用于獲得這兩個(gè)裝置的交互認(rèn)證�����。通過訪問或定制裝置對(duì)智能卡CP的認(rèn)證可包括-由訪問或定制裝置向待定制卡發(fā)送APDU控制命令類型的第一數(shù)字認(rèn)證控制命令����,將合適規(guī)模的質(zhì)詢c (典型地隨機(jī)數(shù)字)傳輸給集成電路IOi (步驟E130)。在該階段�, 該APDU控制命令構(gòu)成所制造的智能卡通常接收的整個(gè)第一數(shù)字信號(hào);-由卡的集成電路IOi計(jì)算響應(yīng)resl���,該響應(yīng)對(duì)應(yīng)于通過其特有的傳輸或認(rèn)證密鑰MSKDi (步驟E134)對(duì)質(zhì)詢c的加密(例如通過應(yīng)用DES或AES類型的對(duì)稱算法)�����;-將伴有卡的唯一識(shí)別數(shù)據(jù)IDi的響應(yīng)resl發(fā)送給訪問或定制裝置(步驟E135)�����;-由訪問或定制裝置計(jì)算被認(rèn)為由其接收的響應(yīng)res2�,■借助于同樣被接收的對(duì)應(yīng)于該卡的唯一識(shí)別數(shù)據(jù)IDi,首先產(chǎn)生所持有的根密鑰MSK (從步驟E2)�����,用以獲得與該智能卡CP相關(guān)聯(lián)的(或更為特別地與該卡的集成電路相關(guān)聯(lián)的)傳輸/認(rèn)證密鑰=MSKDi-- = AESdDi, MSK)(步驟E136)�;然后■以與計(jì)算res 1相似的方式、但這次使用密鑰MSKDhaleul6e���,借助該密鑰計(jì)算 res2 �;禾口-在兩個(gè)值resl和res2之間進(jìn)行比較,以驗(yàn)證或不驗(yàn)證所述認(rèn)證(步驟E137)�����。訪問或定制裝置通過智能卡CP進(jìn)行的認(rèn)證是相類似的�����,只是顛倒角色第一控制命令A(yù)PDU允許智能卡CP生成一隨機(jī)數(shù)c��,隨機(jī)數(shù)c因而被傳輸給訪問或定制裝置�����。在有效交互認(rèn)證的情況下�,智能卡CP的集成電路的定制E14因而通過定制裝置實(shí)施。否則定制不被允許�����。這種定制可在于在集成電路的非易失性存儲(chǔ)器12中存儲(chǔ)軟件指令��,以使得智能卡提供“服務(wù)”(電子錢包��、客票、護(hù)照等)�����。該定制還是如在文獻(xiàn)US 2007/095927中所描述的�,在其中設(shè)置要定制加密的且無認(rèn)證的密鑰�,用于保證在智能卡的發(fā)送器和包括該智能卡的裝置之間通信安全。該密鑰的定制尤其包括兩個(gè)分散化子步驟���,分散化子步驟之一產(chǎn)生主密鑰和另一個(gè)分散化子步驟產(chǎn)生電路密鑰����。在如上所述的過程中��,需要訪問集成電路的產(chǎn)品工場(chǎng)因而知曉根密鑰MSK����,根密鑰通過智能卡100的申請(qǐng)人或制造商通知。自該相同的根密鑰MSK被使用于訪問大量的其它集成電路/智能卡的定制數(shù)據(jù)時(shí)起����,這種知曉會(huì)尤其是就安全性而言形成一弊端。此外�,在文獻(xiàn)US 2007/095927中的密鑰管理要求一附加的傳輸密鑰(transfer key)的通知,以及發(fā)送器的起始值(issuer seed)��,這使管理過程變得復(fù)雜。
發(fā)明內(nèi)容
本發(fā)明旨在改進(jìn)對(duì)集成電路進(jìn)行訪問的安全性����,尤其是關(guān)于根密鑰MSK的管理, 所述根密鑰MSK對(duì)地大批量制造的集成電路的是共同的�����,且被使用于生成這些集成電路特有的傳輸/認(rèn)證私密鑰�。 在該規(guī)劃中,本發(fā)明尤其涉及訪問集成電路的訪問方法���,所述訪問包括一認(rèn)證步驟利用訪問裝置�,通過使用所述集成電路特有的并存儲(chǔ)在該集成電路中的認(rèn)證私密鑰�,對(duì)所述集成電路進(jìn)行認(rèn)證,所述認(rèn)證私密鑰通過分散化根密鑰生成�,其特征在于-通過分散化所述根密鑰的生成方法實(shí)施至少兩個(gè)分散化密鑰的步驟,并且-所述訪問裝置從中央工場(chǎng)接收一中間密鑰���,所述中間密鑰產(chǎn)生于分散化所述根密鑰的第一步分散化驟��。根據(jù)本發(fā)明��,訪問裝置�,在上述示例中尤其是代表智能卡的定制工場(chǎng),不再接收根密鑰���,不過接收在集成電路特有的認(rèn)證私密鑰的生成中產(chǎn)生的中間密鑰���。這通過使分散化根密鑰的分解——分解為至少兩個(gè)分散化密鑰的步驟——變得可能,尤其在一意義上是這些連續(xù)的步驟的組成部分�����,該意義是通過這些步驟之一產(chǎn)生的中間密鑰被使用作為輸入的���,用于下述的步驟。與知曉根密鑰相關(guān)的不安全性因而被消除��。特別是���,用于每個(gè)分散化步驟的應(yīng)用標(biāo)準(zhǔn)的合適選擇允許����,對(duì)于一定數(shù)量上或多或少有限制的集成電路����,獲得可操作的中間密鑰���,如在下文中將可以看到的。此外��,這種對(duì)集成電路的訪問可嵌入進(jìn)該集成電路的定制過程中�����,甚至嵌入進(jìn)包括初始定制的該集成電路的生產(chǎn)過程中�����。特別地�����,所述訪問裝置對(duì)所述接收的中間密鑰實(shí)施第二分散化步驟�����,以獲得用于對(duì)所述集成電路進(jìn)行認(rèn)證的所述認(rèn)證私密鑰����。因而知曉認(rèn)證私密鑰���,訪問裝置可進(jìn)行認(rèn)證, 以例如訪問集成電路的非易失性存儲(chǔ)器���,來對(duì)其進(jìn)行定制�。在一實(shí)施方式中��,所述認(rèn)證私密鑰通過基于所述集成電路的唯一序列號(hào)(或唯一識(shí)別數(shù)據(jù))分散化所述根密鑰的方式獲得��。根據(jù)一特征�,所述第一分散化步驟包括基于所述集成電路的唯一序列號(hào)的第一子部分分散化所述根密鑰的操作。根據(jù)第一子部分的選擇��,對(duì)于制造的集成電路的子集����,該布置允許獲得可操作的中間密鑰�����。因此可將一中間密鑰與對(duì)制造的集成電路的一子集進(jìn)行操作的第三方進(jìn)行對(duì)應(yīng)�。該第三方因而不知曉根密鑰和/或其它中間密鑰,所述密鑰對(duì)于集成電路是可操作的���,該第三方并不操控集成電路�。特別地,所述序列號(hào)的所述第一子部分對(duì)于多個(gè)集成電路是共同的��。其可例如包含在之上建立集成電路的晶片的批次號(hào)或晶片號(hào)的信息�。因而其涉及共同制造的集成電路的批次。生成的中間密鑰因而對(duì)應(yīng)該批次晶片或該特定的晶片�����。根據(jù)另一特征����,第二分散化步驟包括基于所述集成電路的唯一序列號(hào)的第二子部分分散化所述中間密鑰的操作。特別地����,所述唯一序列號(hào)的所述第二子部分包含從所述第一子部分識(shí)別的所述多個(gè)集成電路內(nèi)識(shí)別所述集成電路的識(shí)別信息。其可例如涉及集成電路在晶片上或在晶片批次中的位置�����。因而對(duì)于制造的每個(gè)集成電路����,個(gè)體化認(rèn)證密鑰���。
特別是,序列號(hào)的所述第一和第二子部分在所述唯一序列號(hào)中是補(bǔ)充的��。在一實(shí)施方式中��,所述方法包括在制造工場(chǎng)制造所述集成電路的制造步驟��,和通過所述制造工場(chǎng)���,接收來自所述中央工場(chǎng)的所述根密鑰或所述中間密鑰的接收步驟��,和所述制造包括借助于所述分散化步驟����,通過所述根密鑰或中間密鑰的分散化生成所述認(rèn)證私密鑰的生成步驟����,和所述認(rèn)證私密鑰在所述集成電路的非易失性存儲(chǔ)器中的記錄步驟�����。因此�,在離開制造工場(chǎng)時(shí)�����,所有集成電路包含其特有的認(rèn)證密鑰�。在一變型中���,所述方法包括在制造工場(chǎng)制造所述集成電路的制造步驟���,和通過所述制造工場(chǎng),接收來自所述中央工場(chǎng)的所述根密鑰或所述中間密鑰的接收步驟����,和所述制造包括將所述根密鑰或所述中間密鑰記錄在所述集成電路的非易失性存儲(chǔ)器中的記錄步驟。該布置允許簡(jiǎn)化與通過集成電路的創(chuàng)建者/制造商實(shí)施的密鑰相關(guān)聯(lián)的操作��,這是因?yàn)閯?chuàng)建者/制造商不再管理每個(gè)電路特有的認(rèn)證私密鑰�,和對(duì)于同時(shí)制造的或多或少而言大量的集成電路,今后僅操作單一密鑰���,根密鑰�。因此對(duì)于創(chuàng)建者而言�,操作成本和與密鑰操作相關(guān)聯(lián)的風(fēng)險(xiǎn)都得到降低。此外����,步驟E5的日志管理明顯地得到簡(jiǎn)化����。根據(jù)一特征����,所述方法包括一生成步驟,其在于在所述集成電路內(nèi)并在響應(yīng)通過所述集成電路接收的第一信號(hào)時(shí)�,通過分散化所述記錄的密鑰生成所述認(rèn)證私密鑰。當(dāng)然�,該分散化實(shí)施兩個(gè)分散化步驟。此外�����,該內(nèi)部生成增強(qiáng)認(rèn)證私密鑰的秘密性�����,這是因?yàn)槠渲挡皇峭獠繖C(jī)構(gòu)已知的 (日志��、創(chuàng)建者等)����。所述方法此外包括以下步驟-刪除非易失性的存儲(chǔ)器的所述根密鑰;和-在集成電路的非易失性存儲(chǔ)器中記錄所述認(rèn)證私密鑰�����。特別地�����,所述刪除通過在存儲(chǔ)器中粉碎由生成的認(rèn)證私密鑰記錄的根密鑰來實(shí)施�����。認(rèn)證密鑰的存儲(chǔ)允許在例如用于定制訪問集成電路時(shí)實(shí)施認(rèn)證��。至于粉碎����,其保證在擁有該集成電路時(shí),懷有惡意目的的人不能恢復(fù)需要時(shí)可被重新使用的根密鑰�。在一實(shí)施方式中,認(rèn)證私密鑰基于存儲(chǔ)在集成電路的所述非易失性存儲(chǔ)器中的集成電路的唯一序列號(hào)��,通過分散化根密鑰獲得�。需要注意的是,該序列號(hào)的記錄可在制造工場(chǎng)與根密鑰的記錄同時(shí)進(jìn)行。因此��,認(rèn)證私密鑰的生成可獨(dú)立地通過集成電路本身進(jìn)行����,而不需要來自集成電路外部的信息。集成電路的唯一序列號(hào)可尤其包括所述集成電路在其上制作的一批次硅晶片或一硅晶片的識(shí)別碼�����,并包括在所述批次或晶片內(nèi)的所述集成電路的識(shí)別碼(識(shí)別碼或空間坐標(biāo))����。在本發(fā)明的一實(shí)施方式中,所述第一信號(hào)是集成電路通電的第一模擬信號(hào)��。其通常涉及在將付給定制工場(chǎng)前����,通過在制造工場(chǎng)上由測(cè)試設(shè)備進(jìn)行的首次測(cè)試通電,以了解是否集成電路是可運(yùn)行的還是要被丟棄的�����。該布置允許在對(duì)集成電路進(jìn)行各種干預(yù)前生成認(rèn)證私密鑰��。由于在制造工場(chǎng)上存在測(cè)試,因而該布置使得當(dāng)集成電路被交付以便定制時(shí)��,集成電路已經(jīng)包含其傳輸私密鑰����,傳輸私密鑰對(duì)于每個(gè)集成電路是不同的�����。因此避免了僅知道根密鑰就能夠訪問具有公共根密鑰的所有卡����。作為變型,所述第一信號(hào)是第一數(shù)字信號(hào)�,即包含數(shù)字信息的信號(hào)。這允許僅僅當(dāng)集成電路的數(shù)字處理部件(處理器或微控制器)被請(qǐng)求時(shí)生成認(rèn)證私密鑰��。一般性地����,通過數(shù)字信號(hào)進(jìn)行的該首次訪問在集成電路的首次定制嘗試時(shí)實(shí)施。因此���,在該配置中�����,用于獲得認(rèn)證私密鑰的對(duì)應(yīng)根密鑰的(子)分散化的等待時(shí)長(zhǎng)被移到制造工場(chǎng)之外�����。這允許避免在制造工場(chǎng)的各種等待����。此外,考慮到模擬信號(hào)的處理(制造工場(chǎng))比數(shù)字信號(hào)的處理(通常在定制工場(chǎng)) 更加簡(jiǎn)短�����,因而由于這種數(shù)字信號(hào)的處理時(shí)限��,該布置使認(rèn)證密鑰的生成是準(zhǔn)透明的�。特別地,第一數(shù)字信號(hào)是第一控制指令�����,例如由訪問裝置發(fā)送的APDU類型的和例如在為集成電路定制的首次訪問嘗試時(shí)�����。控制指令的功能尤其在于通過請(qǐng)求已經(jīng)存儲(chǔ)在集成電路中的一程序(例如操作系統(tǒng))來在集成電路上執(zhí)行一行動(dòng)��。根據(jù)一特定特征�����,本方法包括在集成電路接收到所述第一信號(hào)時(shí)在一次性可編程的非易失性存儲(chǔ)器(PR0M即“Programmable Read Only Memory”(可編程只讀存儲(chǔ)器)類型��,或OTP即One Time Programmable ( 一次性可編程))中寫入指示第一信號(hào)已經(jīng)接收的信息的步驟��。借助于該信息(例如通過特征位或各種其它二進(jìn)制指示標(biāo))�,集成電路以更小代價(jià)了解已經(jīng)實(shí)現(xiàn)了所述已記錄的密鑰的分散化���,以獲得其認(rèn)證私密鑰���。該信息在一次性可編程的存儲(chǔ)器中的寫入還保證了 沒有任何惡意行動(dòng)能夠引起集成電路重新實(shí)施所述已記錄的密鑰的分散化。因此�����,在此情形下���,所述方法可包括這樣的步驟在接收到信號(hào)(與所述第一信號(hào)具有相同的屬性)時(shí)和在所述認(rèn)證私密鑰的生成的啟動(dòng)之前����,確定指示第一信號(hào)已經(jīng)接收的信息在一次性可編程的非易失性存儲(chǔ)器中的存在。因此�,如果傳輸從證私密鑰已經(jīng)被實(shí)現(xiàn),則集成電路能夠有效地阻止認(rèn)證私密鑰的新的生成�����。根據(jù)一特別的特征��,第一信號(hào)已經(jīng)接收的信息的所述寫入在認(rèn)證私密鑰記錄在集成電路的非易失性存儲(chǔ)器中的記錄步驟之后�。該布置保護(hù)集成電路避免可能在通過分散化進(jìn)行的內(nèi)部生成結(jié)束前集成電路供電斷開所產(chǎn)生的某些問題。實(shí)際上���,首次訪問已經(jīng)實(shí)施的信息因而僅僅當(dāng)認(rèn)證私密鑰良好地被生成時(shí)才被寫入存儲(chǔ)器中��。當(dāng)然��,可考慮一些變型����,如該信息的寫入在通過分散化進(jìn)行的生成之前進(jìn)行���。根據(jù)另一特征�����,所述集成電路將對(duì)所述第一信號(hào)的響應(yīng)傳輸?shù)酵獠垦b置�����,并且這在認(rèn)證私密鑰在集成電路的非易失性存儲(chǔ)器中的記錄步驟之后進(jìn)行����。當(dāng)然,該外部裝置尤其是已經(jīng)生成集成電路的所述第一注意信號(hào)的裝置�����。當(dāng)集成電路被使用時(shí)——例如用于執(zhí)行集成電路的第一次定制時(shí)����,特別地可涉及所述訪問裝置����。該布置允許根據(jù)通過分散化進(jìn)行生成的步驟的成功與否來調(diào)整響應(yīng)。因此����,可能的錯(cuò)誤可在外部裝置中回溯����,以便例如使集成電路作廢��。特別地�,所述外部裝置在生成錯(cuò)誤前的至少50ms (微秒)內(nèi)、尤其至少10ms����、優(yōu)選至少250ms內(nèi)等待對(duì)所述第一信號(hào)的響應(yīng)。通過分散化的生成導(dǎo)致相對(duì)于第一信號(hào)處理的附加處理時(shí)限���。該布置因而保證這些生成時(shí)限在集成電路的測(cè)試和/或定制裝置處得以考
慮在一實(shí)施方式中��,同一根密鑰或中間密鑰在制造工場(chǎng)處被記錄在于同一硅晶片上制作的多個(gè)集成電路中�����。該布置允許創(chuàng)建者即集成電路制造者對(duì)于同一硅晶片(wafer)或同一批次的所有電路��,都只能操作較少數(shù)量的根密鑰/中間密鑰����,甚至僅一個(gè)密鑰��。需要注意的是,同一根密鑰/中間密鑰可被使用于整一個(gè)硅晶片批次����。。此外���,根密鑰或中間密鑰在非易失性存儲(chǔ)器中的記錄步驟可包括對(duì)所述非易失性存儲(chǔ)器的直接訪問的訪問步驟��,即不需要經(jīng)過集成電路的傳統(tǒng)的通信接口或處理器��;和在該直接訪問時(shí)將所述根密鑰寫入在存儲(chǔ)器中的寫入步驟����。該直接訪問允許在如果集成電路被通電而未持有根密鑰和關(guān)于密鑰的異常情況的探測(cè)部配備在該電路上時(shí)�����,避免對(duì)異常情況的探測(cè)���。根據(jù)其它的方面,認(rèn)證步驟可包括-集成電路通過訪問裝置的認(rèn)證����;-訪問裝置通過集成電路的認(rèn)證�;或-集合兩種前述認(rèn)證的交互認(rèn)證��。每個(gè)認(rèn)證可是質(zhì)詢-響應(yīng)類型的��。特別是�,所述方法可包括在與預(yù)定制和定制的工場(chǎng)相區(qū)別的工場(chǎng)處對(duì)多個(gè)集成電路進(jìn)行定制的步驟。這些定制步驟先于認(rèn)證步驟����,在認(rèn)證過程中通過向該集成電路發(fā)送控制命令獲得對(duì)應(yīng)的集成電路的序列號(hào),基于所述獲得的序列號(hào)對(duì)所述根密鑰進(jìn)行分散化����,并且基于此根密鑰在集成電路和定制裝置之間實(shí)施認(rèn)證,優(yōu)選地是交互的認(rèn)證�����。根據(jù)本發(fā)明的一特征����,所述方法包括將所述集成電路安裝在符合標(biāo)準(zhǔn)ISO 7816 的卡體中。當(dāng)然��,集成電路還可安裝在符合標(biāo)準(zhǔn)ISO 14443的非接觸式裝置的模塊上。符合這些標(biāo)準(zhǔn)之一的裝置可尤其具有格式卡片ID1�����、生物統(tǒng)計(jì)學(xué)通行證�、U盤、 micro SD類型的存儲(chǔ)器等的形式����。根據(jù)本發(fā)明的另一特征,根密鑰的所述分散化使用哈希函數(shù)����,例如SHA_256(“安全哈希算法”產(chǎn)生256比特的結(jié)果或哈希)。根據(jù)本發(fā)明的另一特征����,所述集成電路在存儲(chǔ)器上包括所述認(rèn)證私密鑰,并且所述認(rèn)證步驟使用對(duì)稱密鑰的加密算法���。當(dāng)然,可設(shè)計(jì)使用不對(duì)稱密鑰的加密算法����。根據(jù)本發(fā)明的另一特征,所述方法在所述集成電路的定制操作的過程中實(shí)施。相應(yīng)地����,本發(fā)明涉及訪問集成電路的訪問系統(tǒng),其包括訪問裝置�,所述訪問裝置配有認(rèn)證模塊,所述認(rèn)證模塊使用所述集成電路特有的并存儲(chǔ)在所述集成電路中的認(rèn)證私密鑰認(rèn)證所述集成電路���,所述認(rèn)證私密鑰通過分散化根密鑰生成����,其特征在于-通過分散化所述根密鑰的生成方法實(shí)施至少兩個(gè)分散化密鑰的步驟���,和-所述訪問系統(tǒng)包括一中央工場(chǎng)��,所述中央工場(chǎng)能夠生成中間密鑰�,所述中間密鑰產(chǎn)生于所述分散化根密鑰的分散化第一步驟���,并且所述中央工場(chǎng)能夠?qū)⑺鲋虚g密鑰傳輸?shù)剿鲈L問裝置���。所述系統(tǒng)具有與在上文展示的方法相似的優(yōu)點(diǎn)。
特別地����,所述訪問裝置被配置用于通過對(duì)所述接收的中間密鑰應(yīng)用第二分散化步驟�����,來生成所述認(rèn)證私密鑰��??蛇x擇地��,所述系統(tǒng)可包括參照在前文展示的方法的特征的部件�����,并且尤其是一制造單元�����、一定制和認(rèn)證單元�����。特別地�,制造單元可被配置以制造集成電路、接收來自中間工場(chǎng)的所述根密鑰或中間密鑰�,并且在所述集成電路的非易失性存儲(chǔ)器中記錄所述根密鑰或中間密鑰。因此���,集成電路可包括一模塊���,其能夠響應(yīng)接收的第一信號(hào),來通過所述記錄的根密鑰或中間密鑰的分散化生成所述認(rèn)證私密鑰�。在此情形下,集成電路還可包括能夠記錄指示第一信號(hào)已經(jīng)接收的信息的部件��, 并且該部件可包括一次性可編程的非易失性存儲(chǔ)器�����,并且被配置以在一次性可編程的非易失性存儲(chǔ)器中寫入所述信息����。此外,所述集成電路可包括記錄部件�,所述記錄部件通過在非易失性存儲(chǔ)器中粉碎所述記錄的根密鑰或中間密鑰的方式,記錄所述認(rèn)證私密鑰�。認(rèn)證模塊例如在集成電路的非易失性存儲(chǔ)器的定制之前的認(rèn)證期間是可運(yùn)作的。
本發(fā)明的其它特征和優(yōu)點(diǎn)還將在接下來的參照附圖示意表示的描述中進(jìn)行展示��, 附圖中-圖1示出根據(jù)現(xiàn)有技術(shù)的生產(chǎn)系統(tǒng)�;-圖2示意性地示出根據(jù)現(xiàn)有技術(shù)的包含傳輸從證密鑰的智能卡中的集成電路��;-圖3以邏輯圖的形式示出根據(jù)現(xiàn)有技術(shù)的智能卡或集成電路的生產(chǎn)步驟����;-圖4示出根據(jù)第一實(shí)施方式實(shí)施本發(fā)明的生產(chǎn)系統(tǒng)���;-圖5以邏輯圖的形式示出根據(jù)圖4的第一實(shí)施方式的智能卡或集成電路的生產(chǎn)步驟���;-圖6和7示意性地示出在根據(jù)圖4的第一實(shí)施方式的集成電路生產(chǎn)中在兩個(gè)不同時(shí)刻的集成電路存儲(chǔ)器的狀態(tài),分別在集成電路內(nèi)部生成傳輸或認(rèn)證私密鑰之前和之后���,-圖8示出根據(jù)第二實(shí)施方式實(shí)施本發(fā)明的生產(chǎn)系統(tǒng)�;和-圖9以邏輯圖的形式示出根據(jù)圖8的第二實(shí)施方式生產(chǎn)智能卡或集成電路的生
產(chǎn)步驟�。
具體實(shí)施例方式圖4和圖5示出本發(fā)明的第一實(shí)施方式,其仍采用與前文所述的與圖1和圖3相同的標(biāo)記來表示相同的元件或相同步驟���。在第一實(shí)施方式中�����,步驟El后跟隨步驟El'�,在步驟El'的過程中��,HSM模塊110 例如通過基于正在制造工場(chǎng)200構(gòu)建的批次號(hào)IDlrt或晶片號(hào)IDwafw的根密鑰MSK分散化的第一步驟Si,同樣生成中間密鑰MSKL��。如前文所述的����,該批次號(hào)或晶片號(hào)構(gòu)成集成電路IOi 的唯一識(shí)別數(shù)據(jù)或唯一序列號(hào)IDi的第一子部分�。該子部分尤其是所有集成電路(相同批次或者相同晶片的集成電路)所共有的,并且為此�����,中間密鑰MSKL是該同一組集成電路所公共的����。作為說明,該第一分散化步驟Sl可使用哈希加密函數(shù)�,例如SHA-256,其具有快速執(zhí)行和難以探測(cè)的優(yōu)點(diǎn)���。因此��,基于簡(jiǎn)單地級(jí)聯(lián)輸入哈希函數(shù)的16字節(jié)的根密鑰MSK和4 到8字節(jié)之間的批次號(hào)IDlot��,獲得32字節(jié)的中間密鑰MSKL =MSKL = SHA-256 (IDlot | |MSK)��。在步驟ΕΓ之后��,步驟E2僅僅在于將根密鑰MSK傳輸給創(chuàng)建者200��,繼而步驟 E2 ‘在于將中間密鑰MSKL傳輸給定制工場(chǎng)300��。在該階段���,因而可觀察到����,定制工場(chǎng)300不知曉根密鑰MSK���,這提高了對(duì)集成電路進(jìn)行保護(hù)的安全性���。步驟E2'后緊隨有步驟E4',步驟E4'與圖3的步驟E4相似��,不同之處僅在于記錄在集成電路IOi中的密鑰是所接收的根密鑰MSK����。此外可以注意到,傳輸/認(rèn)證私密鑰MSKDi的自動(dòng)生成程序也被存儲(chǔ)在ROM存儲(chǔ)器14中�,其在集成電路的物理設(shè)計(jì)EO時(shí)被設(shè)置����。然而�����,需要注意的是�,某些程序可通過部件220和230被輸入和存儲(chǔ)在非易失性存儲(chǔ)器12中��。因此產(chǎn)生一些集成電路�,其中的每個(gè)集成電路包括-其唯一的序列號(hào)IDi,例如其由子部分IDltrt(或IDwafJ和IDctouit組成;-根密鑰MSK��。因而在該階段注意到���,所有集成電路在存儲(chǔ)器上具有相同的根密鑰MSK���。因此, 創(chuàng)建者100僅操控該根密鑰�����,而不需要生成每個(gè)集成電路的私密鑰也不需要生成中間密鑰 MSKL0對(duì)于創(chuàng)建者���,較難處理的步驟E3因而被消除����。其處理因而得到加速,尤其降低了與密鑰操控相關(guān)聯(lián)的錯(cuò)誤風(fēng)險(xiǎn)����。圖6示出在該階段非易失性存儲(chǔ)器12的狀態(tài)。接下來的步驟E5此外被簡(jiǎn)化���,因?yàn)椴襟EE5不再需要寫入私密鑰MSKDi,僅僅序列號(hào)IDi被存儲(chǔ)���。然后在基本對(duì)應(yīng)步驟E6的步驟E6',當(dāng)集成電路首次被通電(E60)時(shí)�����,其自動(dòng)地啟動(dòng)通過處理器11運(yùn)行(E61 ‘)傳輸/認(rèn)證私密鑰MSKDi的自動(dòng)生成程序����。該生成計(jì)算例如在于在基于唯一序列號(hào)IDi的相繼兩個(gè)分散化步驟Sl和S2使根密鑰MSK分散化,這兩個(gè)信息(根密鑰和序列號(hào))被記錄在處理器11訪問的非易失性存儲(chǔ)器12中��。如前文所述,第一步驟Sl在于基于存儲(chǔ)器上的根密鑰MSK獲得中間密鑰MSKL���, 例如MSKL = SHAjSeaDlrt I | MSK)����。然后第二步驟S2在于基于在該批次中或該晶片上(或坐標(biāo)X�。_it、Ycircuit)的集成電路號(hào)ID��。ircuit(4到8字節(jié)之間)使中間密鑰MSKL分散化�。作為說明,可簡(jiǎn)單地將IDcdrcuit與中間密鑰MSKL進(jìn)行級(jí)聯(lián)�����,并對(duì)所獲得的數(shù)值應(yīng)用哈希函數(shù) SHA-256 =MSKDi = SHA-256 (IDcircuit MSKL)���。可以注意到���,哈希函數(shù)如SHA-256的使用的優(yōu)點(diǎn)在于簡(jiǎn)化用于形成這些函數(shù)的輸入字的處理沒有截取�,單一級(jí)聯(lián)(這里由符號(hào)“I I”表示)是有效的�����,因?yàn)楣:瘮?shù)可接收可變長(zhǎng)度的輸入數(shù)據(jù)。此外�����,哈希函數(shù)SHA-256的優(yōu)點(diǎn)在于生成32字節(jié)的傳輸/認(rèn)證私密鑰��,這對(duì)應(yīng)于可使用于認(rèn)證E13的算法AES用的密鑰的尺寸�。特別是,根據(jù)認(rèn)證算法�����,將使用這樣生成的私密鑰的字節(jié)的全部或部分對(duì)于3DES或AES-U8類型的算法���,私密鑰MSKDi的僅僅前16 個(gè)字節(jié)將被使用�����;對(duì)于AES-192類型的算法���,私密鑰MSKDi的僅僅前M個(gè)字節(jié)將被使用;和對(duì)于AES-256類型的算法�����,私密鑰MSKDi的32個(gè)字節(jié)將被使用。在步驟E61'之后���,處理器在非易失性存儲(chǔ)器12中記錄(E62')這樣生成的私密鑰MSKDi,來替代根密鑰MSK���。為避免懷有惡意目的的人可訪問到根密鑰,該操作通過利用新的私密鑰MSKDi覆蓋根密鑰MSK來實(shí)施���。繼而����,處理器在一次性可編程的非易失性存儲(chǔ)器15(圖6)中寫入指示私密鑰 MSKDi的生成已經(jīng)發(fā)生的特征位150(flag���,例如比特)(步驟E63'),存儲(chǔ)器15還已知為術(shù)語(yǔ)“PR0M存儲(chǔ)器”即!Programmable Read Only Memory (可編程只讀存儲(chǔ)器)�、或“OTP存儲(chǔ)器”即One Time Programmable ( 一次性可編程)。但是�����,OTP存儲(chǔ)器15可以是非可錄的非易失性存儲(chǔ)器ROM 14的一部分���。這種OTP存儲(chǔ)器15�,例如通過熔絲的不可逆的焙燒,避免對(duì)信息150的各種修改����, 因此對(duì)于知曉是否私密鑰MSKDi已被良好生成而言保證了安全性。尤其是在集成電路的每次通電時(shí)(例如在私密鑰的自動(dòng)生成程序運(yùn)行開始時(shí))驗(yàn)證該信息在OTP存儲(chǔ)器15中的存在與否���,以確定是否涉及電路的首次通電���,在電路首次通電的情況下,私密鑰MSKDi的生成需要如前所述那樣實(shí)現(xiàn)��,或者以確定是否涉及以后的通電����,在這種情況下,該私密鑰的生成程序的運(yùn)行被阻止����。因此,特征位150指示第一通電信號(hào)已被接收���。在該實(shí)施方式中���,步驟E63'在生成步驟E61'之后����,因而使集成電路安全防護(hù)于在分散化生成E61'結(jié)束之前可能斷電會(huì)導(dǎo)致的一些問題���。實(shí)際上���,在此情形下,沒有適當(dāng)?shù)卦诖鎯?chǔ)器15中指示私密鑰MSKDi已經(jīng)生成��。下一次通電E61因而將重新啟動(dòng)該生成�����。但是作為變型�,步驟63'可在步驟E61'之前或同時(shí)發(fā)生。在這些步驟之后�����,實(shí)施步驟E65�,步驟E65和與參照?qǐng)D3描述的步驟相似��。如果需要,該步驟順序允許在對(duì)通電的響應(yīng)(在設(shè)置用于符合IS0/IEC 7816標(biāo)準(zhǔn)的接觸式裝置的集成電路的情形中是ATR�����,在設(shè)置用于符合IS0/IEC 14443標(biāo)準(zhǔn)的非接觸式裝置的集成電路的情形中是ATQ中指示在通過分散化生成私密鑰時(shí)產(chǎn)生錯(cuò)誤或異常���。探測(cè)智能卡程序運(yùn)行中的錯(cuò)誤的探測(cè)部件因而被設(shè)置在集成電路IOi中���。因此在測(cè)試E8時(shí)探測(cè)到錯(cuò)誤或異常的指示,以廢棄集成電路IOit5但是作為變型����,步驟E61'、E62'和E63'的全部或部分可在步驟E65后實(shí)施��。由于在集成電路IOi中生成私密鑰MSKDi所需的時(shí)間(取50ms到500ms之間���,通常在100ms到200ms之間)�,控制模塊220被配置成在測(cè)試E8時(shí)等待足夠長(zhǎng)的時(shí)間以允許私密鑰的完全生成��。因此����,該控制模塊被配置成在生成錯(cuò)誤前等待對(duì)通電的響應(yīng)ATR/ATS至少 50ms (微秒)��,尤其至少100ms���,優(yōu)選至少250ms甚至500ms。在大多數(shù)情況中�����,等待將不大于1秒����、甚至500ms。因而可以觀察到�����,該等待明顯大于用于常見的對(duì)通電響應(yīng)的等待�。步驟E9、E10�����、E11和E12與前文所描述的那些步驟相同���。圖7示出在交付Ell時(shí)集成電路IOi的狀態(tài)存儲(chǔ)器12包括私密鑰MKSDi,但不再有根密鑰MSK��,并且OTP存儲(chǔ)器15包括特征位150�����。認(rèn)證步驟E13'與前文所述的步驟E13相似��,不同之處只在于包括通過定制裝置計(jì)算私密鑰的MSKDiL16e的子步驟E136'是不同的�。實(shí)際上��,定制工場(chǎng)300已經(jīng)僅接收了中間密鑰MSKL (步驟El')�����,該計(jì)算操作包括基于針對(duì)智能卡CP所獲得的電路號(hào)IDctouit對(duì)所接收的中間密鑰MSKL實(shí)施如前所述的第二分散化步驟 S2�����,以獲得所述私密鑰 MSKDhaleuwe =MSKDi^calcuwe = SHA-256 (IDcircuit MSKL)����。優(yōu)選地,在定制裝置和集成電路之間進(jìn)行交互認(rèn)證���。因而可以觀察到�����,認(rèn)證可被實(shí)施�����,而定制裝置320并不知道產(chǎn)生不同集成電路的私密鑰MSKDi的根密鑰MSK���。與了解根密鑰相關(guān)的不安全性因而被消除���。此外,應(yīng)用于每個(gè)分散化步驟Sl或S2的標(biāo)準(zhǔn)的適當(dāng)選擇��,允許對(duì)于或多或少有限數(shù)量的集成電路而言獲得可操作的中間密鑰�����。尤其是�����,提供給300的中間密鑰MSKL可僅僅涉及300所處理的集成電路�����,例如僅僅交付其識(shí)別碼IDltrt或IDwafe用于該告知的中間密鑰 MSKL的生成El'的批次或晶片。接下來的定制E14仍是傳統(tǒng)的�。圖8和9示出本發(fā)明的第二實(shí)施方式,其中與前文所述標(biāo)記相同的標(biāo)記涉及相同的元件或相同的步驟�。該實(shí)施方式與第一實(shí)施方式的不同之處在于集成電路IOi內(nèi)部的私密鑰MSKDiW 生成是在集成電路IOi接收E130到第一有效控制命令��、即接收到數(shù)字信號(hào)——在本例中是 APDU控制命令時(shí)實(shí)施�����。編程模塊220仍在集成電路IOi的非易失性存儲(chǔ)器12中寫入(E4')根密鑰MSK 和序列號(hào)IDi�。繼而,供電測(cè)試E6與圖3的測(cè)試相似�����。在交付Ell時(shí)����,存儲(chǔ)器12因而包含根密鑰MSK但沒有私密鑰MSKDi,并且在OPT存儲(chǔ)器15中沒有特征位150 (圖6)。認(rèn)證E13"的不同之處在于在接收E130整個(gè)第一控制命令A(yù)PDU時(shí)����,傳輸/認(rèn)證私密鑰MSKDi的自動(dòng)生成程序的運(yùn)行在集成電路IOi內(nèi)部啟動(dòng)(E131")。當(dāng)然,可應(yīng)用在接收到“第一”控制命令時(shí)就啟動(dòng)的其它啟動(dòng)標(biāo)準(zhǔn)��,例如接收能引起處理器11執(zhí)行一動(dòng)作的第一有效控制命令����,或接收在控制命令類別中或在預(yù)定的控制命令列表中的第一控制命令。步驟E132"和E133"分別地與前文所述的步驟E62 ‘和E63'相似��,它們?cè)诮邮盏娇刂泼顣r(shí)引起在啟動(dòng)私密鑰MSKDi生成的運(yùn)行E131"之前����,對(duì)存儲(chǔ)器15上是否存在特征位150進(jìn)行驗(yàn)證。后序步驟E134�、E135、E136'�、E137和E14保持不變,允許集成電路IOi的認(rèn)證和定制�����。該集成電路在定制步驟E14前的狀態(tài)與圖7上所示的狀態(tài)相同���。與第一實(shí)施方式相類似地�,步驟E131"���、E132〃����、E133"的順序可以更改,當(dāng)然步驟E135在響應(yīng)中提供基于在步驟E131 “生成的私密鑰MSKDi計(jì)算出的值resl�����。此外�����,在認(rèn)證E13"時(shí)�,定制裝置320被配置成在生成錯(cuò)誤消息或發(fā)送新的控制命令A(yù)PDU之前�����,等待集成電路IOi能生成私密鑰MSKDi所必需的時(shí)間�����,即通常為至少50ms����,甚至 100ms��、250ms 或 500ms�。但是可以注意到��,這類裝置320的等待控制命令的時(shí)間通常大于如前文所述的控制模塊220的等待時(shí)間��。作為示例�,常見的是,智能卡讀卡器在考慮請(qǐng)求操作失敗之前等待一秒����。因此,該實(shí)施方式特別地適合于集成電路或智能卡的讀取裝置的實(shí)際等待時(shí)間���。 考慮到數(shù)字控制命令的處理時(shí)限�,私密鑰MSKDi的生成因此顯示出是準(zhǔn)透明的����。同樣,響應(yīng)E135可對(duì)在生成E131"或記錄E132"和E133"中產(chǎn)生的各種錯(cuò)誤或異常提供情況�。此外,盡管在這些實(shí)施例中����,用于在兩個(gè)相繼的分散化步驟中生成私密鑰的序列號(hào)第一部分IDltrt(或IDwafJ及同一序列號(hào)第二部分IDcdrcuit是唯一序列號(hào)的互補(bǔ)部分=IDi = IDlot (或IDwafJ I I IDcdrcuit��,可考慮不是這種情況�,例如這兩部分是不同的但具有共同的一子部分(作為示例����,一方IDltrt和IDwafCT,另一方面
IDwafer 禾口 ^-^circuit^ °在這兩個(gè)實(shí)施方式的一變型中��,步驟Ε2和Ε2'在于將在步驟El'時(shí)生成的中間密鑰MSKL同樣發(fā)送給制造工場(chǎng)200和定制工場(chǎng)300�����。在此情形下����,步驟Ε4'在于在集成電路IOi的存儲(chǔ)器中記錄MSKL�,步驟Ε6Γ和 Ε131'在于僅僅實(shí)施第二分散化步驟,在本文示例中MSKDi = SHA-256 (IDcircuit MSKL)���。圖6和圖7也適用于該第二實(shí)施方式�,不同之處只在于在圖6的狀態(tài)中����,存儲(chǔ)器 12包括中間密鑰MSKL�,來替代根密鑰MSK�����。本發(fā)明的另一變型在于創(chuàng)建者100本身根據(jù)其所接收的密鑰MSK或中間密鑰 MSKL的一個(gè)或另一個(gè)��,通過密鑰MSK或中間密鑰MSKL的分散化�����,計(jì)算私密鑰MSKDi (步驟 Ε3)���。在此情形下�,考慮到步驟Ε3的特性和使用步驟Ε136'��,而不是步驟Ε136�,應(yīng)用圖3 的步驟Ε3到Ε14 序列號(hào)IDi和私密鑰MSKDi在步驟Ε4記錄在集成電路中;在這些集成電路內(nèi)沒有生成私密鑰MSKDi�����。前述的示例只是本發(fā)明的一些非限定性的實(shí)施方式����。例如��,盡管提到根密鑰MSK分散化的兩個(gè)組成步驟Sl和S2���,但可設(shè)置更多數(shù)目的步驟,從而生成多個(gè)中間密鑰�。這樣的情形可以例如用于對(duì)于將一批次晶片所交付給的公司(允許生成針對(duì)該公司的一中間密鑰的借助IDlrt的第一分散化步驟,)��,這些晶片分布在多個(gè)定制工場(chǎng)(允許對(duì)于每個(gè)工場(chǎng)生成一個(gè)中間密鑰的借助于IDwafe的第二分散化步驟)����。 每個(gè)工場(chǎng)因而借助于所接收的中間密鑰實(shí)施認(rèn)證Ε13'或Ε13"。特別是����,第一分散化可在集成電路中在接收到第一通電信號(hào)時(shí)實(shí)施(步驟Ε6'), 并且第二分散化也在集成電路中��、但在接收到第一數(shù)字信號(hào)時(shí)實(shí)施(步驟Ε13")���。此外,本發(fā)明可在與如上所述的集成電路的制造和(預(yù))定制背景不同的使用背景中實(shí)施����。作為示例����,根密鑰可在智能卡CP的定制操作時(shí)被存儲(chǔ)在易失性存儲(chǔ)器中���。繼而自在使用者處的首次使用起(來自使用者的讀取/寫入裝置的第一信號(hào)的探測(cè))�,將根密鑰分散化為認(rèn)證私密鑰�����。此外����,盡管如前所述的分散化示例實(shí)施SHA-256類型的哈希操作,但這些分散化可實(shí)施對(duì)稱密鑰式或非對(duì)稱密鑰式的加密操作(AES��、DES)�,或者直接地在整個(gè)或部分的序列號(hào)IDi上實(shí)施,或者在哈希操作的結(jié)果上實(shí)施(在此情形下���,合并哈希和加密操作)�。
權(quán)利要求
1.訪問集成電路(IOi)的方法��,所述方法包括一認(rèn)證步驟(E13',E13〃)利用訪問裝置(320)����,通過使用所述集成電路特有的并存儲(chǔ)在該集成電路中的認(rèn)證私密鑰(MSKDi), 對(duì)所述集成電路進(jìn)行認(rèn)證,所述認(rèn)證私密鑰通過分散化根密鑰(MSK)生成����,其特征在于-通過分散化所述根密鑰(MSK)的生成方法實(shí)施至少兩個(gè)分散化密鑰的步驟(S1,S2)�����,并且-所述訪問裝置(320)從中央工場(chǎng)(100)接收一中間密鑰(MSKL)��,所述中間密鑰 (MSKL)產(chǎn)生于分散化所述根密鑰(MSK)的第一步分散化驟(Si)���。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述訪問裝置(320)對(duì)所述接收的中間密鑰(MSKL)實(shí)施(E136')第二分散化步驟(S2)����,以獲得用于對(duì)所述集成電路(IOi)進(jìn)行認(rèn)證(E13'���,E13")的所述認(rèn)證私密鑰(MSKDi)���。
3.根據(jù)前述權(quán)利要求任一項(xiàng)所述的方法,其特征在于��,所述認(rèn)證私密鑰(MSKDi)通過基于所述集成電路(IOi)的唯一序列號(hào)(IDi)分散化所述根密鑰(MiiK)的方式獲得�����。
4.根據(jù)權(quán)利要求3所述的方法�,其特征在于,所述第一分散化步驟(Si)包括基于所述集成電路的唯一序列號(hào)(IDi)的第一子部分(IDlrt�����,IDwafer)分散化所述根密鑰(MiiK)的操作����。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�,所述序列號(hào)(IDi)的所述第一子部分 (IDlot, IDwafer)對(duì)于多個(gè)集成電路是共同的。
6.根據(jù)權(quán)利要求4或5所述的方法���,其特征在于��,第二分散化步驟(S》包括基于所述集成電路的唯一序列號(hào)(IDi)的第二子部分(IDctouit)分散化所述中間密鑰(MSKL)的操作�。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于��,所述唯一序列號(hào)的所述第二子部分包含從所述第一子部分(IDlrt��,IDwafJ識(shí)別的所述多個(gè)集成電路內(nèi)識(shí)別所述集成電路(IOi)的識(shí)別信息(ID���。_it)�����。
8.根據(jù)權(quán)利要求3到7任一項(xiàng)所述的方法�,其特征在于�����,所述集成電路的唯一序列號(hào)存儲(chǔ)在所述集成電路的非易失性存儲(chǔ)器上�����。
9.根據(jù)權(quán)利要求1到8任一項(xiàng)所述的方法��,其特征在于�����,所述方法包括在制造工場(chǎng) (200)制造所述集成電路(IOi)的制造步驟�,和通過所述制造工場(chǎng),接收來自所述中央工場(chǎng) (100)的所述根密鑰(MSK)或所述中間密鑰(MSKL)的接收步驟(E2)�����,和所述制造包括將所述根密鑰(MSK)或所述中間密鑰(MSKL)記錄在所述集成電路的非易失性存儲(chǔ)器(12)中的記錄步驟(E4')���。
10.根據(jù)權(quán)利要求9所述的方法��,其特征在于����,所述方法包括一生成步驟��,其在于在所述集成電路(IOi)內(nèi)并在響應(yīng)通過所述集成電路接收的第一信號(hào)(E61��,E131)時(shí)�����,通過分散化所述記錄的密鑰(MSK, MSKL)生成(E62'����,E132")所述認(rèn)證私密鑰(MSKDi)�。
11.根據(jù)權(quán)利要求10所述的方法�,其特征在于,所述方法包括一寫入步驟(E64'�, E134"):在通過所述集成電路(IOi)接收所述第一信號(hào)(E61,E131)時(shí)����,在一次性可編程的非易失性存儲(chǔ)器(1 中寫入一指示第一信號(hào)已經(jīng)被接收的信息(150)。
12.根據(jù)權(quán)利要求11所述的方法��,其特征在于�����,所述方法在接收(E61��,E131)信號(hào)時(shí)和在所述認(rèn)證私密鑰(MSKDi)的生成(E62'�,E132")啟動(dòng)之前包括一確定步驟確定在一次性可編程的非易失性存儲(chǔ)器(1 中存在所述的指示第一信號(hào)已經(jīng)接收的信息(150)。
13.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法�,其特征在于,所述根密鑰(MSK)的分散化使用哈希函數(shù)�����。
14.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其特征在于����,所述根密鑰(MSK)的分散化使用加密函數(shù)。
15.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法�,其特征在于�,所述集成電路(IOi)在存儲(chǔ)器上包括所述認(rèn)證私密鑰(MSKDi),并且所述認(rèn)證步驟(E13',E13")使用對(duì)稱密鑰的加密算法�。
16.訪問集成電路(IOi)的訪問系統(tǒng),其包括訪問裝置(300����,320),所述訪問裝置(300��, 320)配有認(rèn)證模塊����,所述認(rèn)證模塊使用所述集成電路特有的并存儲(chǔ)在所述集成電路中的認(rèn)證私密鑰(MSKDi)認(rèn)證所述集成電路,所述認(rèn)證私密鑰通過分散化根密鑰(MSK)生成���,其特征在于-通過分散化所述根密鑰(MSK)的生成方法實(shí)施至少兩個(gè)分散化密鑰的步驟(S1����,S2),和-所述訪問系統(tǒng)包括一中央工場(chǎng)(100)�����,所述中央工場(chǎng)能夠生成中間密鑰(MSKL)����,所述中間密鑰產(chǎn)生于所述分散化根密鑰(MSK)的分散化第一步驟(Si),并且所述中央工場(chǎng)能夠?qū)⑺鲋虚g密鑰(MSKL)傳輸?shù)剿鲈L問裝置(300��,320)�����。
17.根據(jù)前述權(quán)利要求所述的系統(tǒng)��,其特征在于���,所述訪問裝置(300����,320)被配置用于通過對(duì)所述接收的中間密鑰(MSKL)應(yīng)用第二分散化步驟(S2)�����,來生成所述認(rèn)證私密鑰 (MSKDi)。
全文摘要
本發(fā)明涉及電子集成電路(10i)的領(lǐng)域�����,并且更為特別地涉及訪問這類集成電路的方法和系統(tǒng)��。所述方法包括一認(rèn)證步驟(E13′�,E13″)利用訪問裝置(320),通過使用所述集成電路特有的并存儲(chǔ)在該集成電路中的認(rèn)證私密鑰(MSKDi)��,對(duì)所述集成電路進(jìn)行認(rèn)證�����,所述認(rèn)證私密鑰通過分散化根密鑰(MSK)生成����。此外����,通過分散化所述根密鑰(MSK)的生成方法實(shí)施至少兩個(gè)分散化密鑰的步驟(S1,S2)���。所述訪問裝置(320)從中央工場(chǎng)(100)接收一中間密鑰(MSKL)�����,所述中間密鑰(MSKL)產(chǎn)生于分散化所述根密鑰(MSK)的第一分散化步驟(S1)����。
文檔編號(hào)G07F7/10GK102354413SQ201110132298
公開日2012年2月15日 申請(qǐng)日期2011年5月20日 優(yōu)先權(quán)日2010年5月20日
發(fā)明者B·科利耶, R·西米瓊莫 申請(qǐng)人:歐貝特技術(shù)公司