專利名稱：一種具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及電子支付領(lǐng)域、信息安全領(lǐng)域、密碼學領(lǐng)域、計算機科學領(lǐng)域。
背景技術(shù)：
對支付類終端,PCI(Payment Card Industry)規(guī)范DTR B4對固件更新作了規(guī)定如果固件是可更新的，則必須使用加密算法對固件進行認證；如不能確認待更新固件的真實性，則不予更新和刪除。其中固件是指駐留在設備內(nèi)的，提供安全保護以符合PCI要求的任何代碼或數(shù)據(jù)。從這個意義上說，安全授權(quán)就是指給予固件更新的權(quán)力，或指擁有固件的所有權(quán)及控制權(quán)。對于支付終端，固件也一般分兩部分一部分起到初始化終端并引導系統(tǒng)軟件啟動，稱為Boot ;另一部分指包含特定終端應用的軟件，有時也包含系統(tǒng)軟件，在此統(tǒng)稱為應用固件。應用固件必須通過Boot來更新,而Boot —般是固化的,或者必須還廠才能 燒寫。對于加密算法，現(xiàn)在普遍被認可使用的方案是采用公鑰密碼體制，使用公私鑰證書簽名認證機制來實現(xiàn)的。公鑰是公開的密鑰，僅與私鑰配對使用，只要公鑰不被篡改或更新，那只有擁有私鑰的授權(quán)主體才能更新固件。因為私鑰是由授權(quán)主體自己保管，相對于產(chǎn)品本身，總假設其是安全的。因此，保護產(chǎn)品固件不被第三方隨意更新，確保固件安全，最重要的就是保證公鑰不被隨意篡改或更新。目前，Atmel S025芯片，片上沒有啟動代碼Boot，客戶要先編譯好一個Boot后，寄給芯片廠家?guī)兔龑懙叫酒?。這樣燒寫過Boot的芯片的控制權(quán)才轉(zhuǎn)移到客戶手中。這種方案的缺點是廠家必須為每個客戶燒寫B(tài)oot，這就增加了廠家芯片生產(chǎn)備貨和發(fā)貨的復雜性。另外,Atmel S0101芯片，片上增加了 Boot,這個Boot可以被用戶更新。用戶通過更新該Boot把安全轉(zhuǎn)移到自己手中。但一旦用戶更新Boot異常，此芯片將變?yōu)閺U片。因此，這種方案的缺點是雖然對芯片廠家來說提高了生產(chǎn)及備貨的靈活性，但卻增加了用戶的風險，將直接影響用戶產(chǎn)品的直通率。還有，Maxim ZA9L0和ZA9L1芯片，片上雖有Boot，但用戶需要把公鑰寄給廠家Maxim來燒寫到片上。該方案的缺點如同Atmel S025 —樣。再有，Maxim MAXQ1850芯片，片上有Boot，用戶可以通過該Boot下載自己的應用固件。用戶通過軟件配置安全鎖來鎖定Boot的下載功能。但在設計上該安全鎖是可以解鎖的，解鎖時將自動清除片上的敏感數(shù)據(jù)。因此，這種方案，可以保證片上敏感數(shù)據(jù)的安全，但沒辦法保證設備的安全。因為，當安全解鎖后，攻擊者(或第三方)亦可以更新應用固件，即可以下載一個假固件來欺騙使用者，盜取用戶安全信息。本專利采用全新的思路，提供用戶更新公鑰的方案，把安全控制權(quán)轉(zhuǎn)移到用戶手上；再通過電子保險絲鎖定公鑰機制(不可恢復)使得攻擊者(或第三方)無法通過篡改公鑰來達到更新應用固件的目的。

發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題，在于為安全芯片提供一種安全控制權(quán)的轉(zhuǎn)移及不可轉(zhuǎn)移機制(即鎖定)。所謂轉(zhuǎn)移是指把安全控制權(quán)從芯片廠家轉(zhuǎn)移到芯片使用客戶，達到授權(quán)之目的；所謂不可轉(zhuǎn)移是指客戶在取得授權(quán)后，可以通過這種不可轉(zhuǎn)移機制(即鎖定)把控制權(quán)握在自己手上，任何其它方再也不能取得授權(quán)。本發(fā)明的目的是保證這種安全芯片的安全是只能由被授權(quán)主體來完全控制的，其具有操作簡單、實施便利、安全度極高等特點。本發(fā)明所述的具體技術(shù)方案為一種具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片，其特征在于所述安全芯片上整合一個ROM存儲區(qū)，用于用戶固化安全Boot，安全Boot內(nèi)固化一條芯片公鑰；安全芯片上還有一個片內(nèi)公鑰存儲單元，用于燒寫用戶的廠家公鑰；安全芯片上還集成至少一個電子保險絲eFuse,當eFuse未燒斷時,安全Boot使用芯片公鑰進行數(shù)據(jù)驗簽，片內(nèi)公鑰存儲單元可以通過下載廠家公鑰進行改寫；當eFuse燒斷后，安全Boot使用廠家公鑰進行數(shù)據(jù)驗簽，片內(nèi)公鑰存儲單元只能讀取，不可改寫。
本發(fā)明還可以進一步具體為
所述安全芯片上集成有兩個電子保險絲eFuseO和eFusel ；
其中，eFuseO用于驗簽公鑰的選擇，安全Boot根據(jù)eFuseO狀態(tài)選擇使用芯片公鑰或者廠家公鑰進行數(shù)據(jù)驗簽；當eFuseO未燒斷時，安全Boot使用芯片公鑰進行數(shù)據(jù)驗簽；當eFuseO燒斷后，安全Boot使用廠家公鑰進行數(shù)據(jù)驗簽；
其中，eFusel用于控制片內(nèi)公鑰存儲單元的可改寫特性；當eFusel未燒斷時,該片內(nèi)公鑰存儲單元可以通過下載廠家公鑰進行改寫；當eFusel燒斷后，該片內(nèi)公鑰存儲單元只能讀取，不可改寫。所述電子保險絲技術(shù)可以采用熔絲、或反熔絲技術(shù)。本發(fā)明具有以下特點
一方面，本發(fā)明通過公鑰更新機制，把安全控制權(quán)從一個授權(quán)主體(芯片廠家)轉(zhuǎn)移到另一個授權(quán)主體(客戶)。公鑰更新采用證書簽名機制，只有擁有現(xiàn)存公鑰對應私鑰的主體才可以更新公鑰；一旦更新完公鑰，則對應的簽名私鑰也被同步更新。另一面，本發(fā)明通過公鑰鎖定技術(shù)，又使得安全控制權(quán)無法繼續(xù)轉(zhuǎn)移，保證安全由單一授權(quán)主體完全控制。根據(jù)前面公鑰更新機制，公鑰一旦鎖定后將無法更新，因此，只有最后更新公鑰的主體才擁有最終的安全控制權(quán)，成為最終的授權(quán)主體。上述公鑰更新機制，是根據(jù)公鑰基礎(chǔ)設施(PKI)標準，利用證書簽名機制來更新公鑰。利用PKI體系，保證了只有授權(quán)主體才可以更新公鑰；授權(quán)主體即指擁有現(xiàn)有公鑰所對應私鑰的主體。同樣，其它有涉及到安全相關(guān)操作的，主體都必須通過證書簽名機制來實現(xiàn)。上述公鑰鎖定技術(shù)，是通過電子保險絲原理(eFuse)來燒斷公鑰更新通道，使得公鑰無法進一步更新，達到鎖定目的。其中，所謂電子保險絲技術(shù)可以是熔絲、反熔絲或其它類似技術(shù)。并且上述公鑰鎖定，是指其功能一旦鎖定，將不可解鎖，即功能鎖定后將不可復原。


圖I是本發(fā)明具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片之功能框圖。
圖2是本發(fā)明具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片之另一簡化實現(xiàn)框圖。
具體實施例方式有關(guān)本發(fā)明的特征及技術(shù)內(nèi)容，請參考以下的詳細說明與附圖，附圖僅提供參考與說明，并非用來對本發(fā)明加以限制。請參考圖I所示，本發(fā)明一種具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片的功能示例框圖。所述安全芯片上整合一個ROM存儲區(qū)，用戶固化安全Boot，安全Boot內(nèi)固化一條驗簽公鑰(稱芯片公鑰)；安全芯片上還有一個片內(nèi)公鑰存儲單元，用于燒寫用戶的驗簽公鑰(稱廠家公鑰)；安全芯片上還集成兩個電子保險絲(eFuseO、eFusel)。其中，eFuseO用于驗簽公鑰的選擇；安全Boot根據(jù)eFuseO狀態(tài)選擇使用芯片公鑰或者廠家公鑰進行數(shù)據(jù)驗簽。當eFuseO未燒斷時，安全Boot使用芯片公鑰進行數(shù)據(jù)驗簽；當eFuseO燒斷后，安全Boot使用廠家公鑰進行數(shù)據(jù)驗簽。其中，eFusel用于控制片內(nèi)公鑰存儲單元的可改寫特性。當eFusel未燒斷時,該存儲單元可以通過下載廠家公鑰進行改寫(即可更新)；當eFusel燒斷后，該存儲單元只能讀取，不可改寫。依上述對功能框圖說明可知，在默認情況下，安全芯片在出廠時是使用芯片公鑰進行數(shù)據(jù)驗簽。芯片公鑰對應的驗簽私鑰是由芯片公司提供，對所有用戶(或主體)開放；擁有該私鑰的主體，就可以操控安全芯片，進行廠家公鑰更新下載。一旦用戶更新了廠家公鑰，并燒斷eFuseO，則后續(xù)操控該安全芯片就必須使用廠家公鑰對應的私鑰來進行數(shù)據(jù)驗簽。因此，整個芯片的安全控制權(quán)就轉(zhuǎn)移到用戶手上。這樣即實現(xiàn)的安全授權(quán)的轉(zhuǎn)移。 同時，依上述對功能框圖說明還可知，安全芯片在出廠時，在eFusel未燒斷前，廠家公鑰是可以隨意更新的。當用戶更新完公鑰，并燒斷eFusel后，其它用戶就無法更新廠家公鑰。這樣就實現(xiàn)廠家公鑰鎖定。如果這時，用戶已經(jīng)燒斷eFuseO，即實現(xiàn)安全授權(quán)轉(zhuǎn)移，則用戶燒斷eFusel也就同時實現(xiàn)安全的鎖定。綜上所述，安全芯片在未執(zhí)行安全授權(quán)轉(zhuǎn)移前，默認是對所有主體公開授權(quán)；當用戶更新完廠家公鑰，并切換使用廠家公鑰時，即實現(xiàn)安全授權(quán)轉(zhuǎn)移；在安全未鎖定前，可重復執(zhí)行安全授權(quán)轉(zhuǎn)移。為增加系統(tǒng)安全性，用戶可以通過鎖定公鑰來實現(xiàn)安全鎖定；一旦安全鎖定后就無法再執(zhí)行安全授權(quán)轉(zhuǎn)移。參考圖2，是本發(fā)明一種具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片的另一個實現(xiàn)框圖。它簡化了電子保險絲的設計方案，通過一個電子保險絲eFuse—起控制兩個功能SP當eFuse未燒斷時，安全Boot使用芯片公鑰進行數(shù)據(jù)驗簽，廠家公鑰存儲單元可以通過下載廠家公鑰進行改寫(即可更新);當eFuse燒斷后，安全Boot使用廠家公鑰進行數(shù)據(jù)驗簽，廠家公鑰存儲單元只能讀取，不可改寫。相對于圖I的實現(xiàn)方案，進行了功能的簡化；而圖I實現(xiàn)方案的優(yōu)點是，可以為用戶提供一個允許多級安全授權(quán)轉(zhuǎn)移機制。即用戶可以不進行安全鎖定，因為安全轉(zhuǎn)移完后，要進行下一輪的安全轉(zhuǎn)移，第三方必須擁有當前授權(quán)用戶所設定公鑰對應的私鑰，可以認為未執(zhí)行安全鎖定前的系統(tǒng)已經(jīng)是一個安全系統(tǒng)。
權(quán)利要求
1.一種具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片，其特征在于所述安全芯片上整合一個ROM存儲區(qū)，用于用戶固化安全Boot，安全Boot內(nèi)固化一條芯片公鑰；安全芯片上還有一個片內(nèi)公鑰存儲單元，用于燒寫用戶的廠家公鑰；安全芯片上還集成至少一個電子保險絲eFuse，當eFuse未燒斷時，安全Boot使用芯片公鑰進行數(shù)據(jù)驗簽，片內(nèi)公鑰存儲單元可以通過下載廠家公鑰進行改寫；當eFuse燒斷后，安全Boot使用廠家公鑰進行數(shù)據(jù)驗簽，片內(nèi)公鑰存儲單元只能讀取，不可改寫。
2.根據(jù)權(quán)利要求I所述的具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片，其特征在于所述安全芯片上集成有兩個電子保險絲eFuseO和eFusel ； 其中，eFuseO用于驗簽公鑰的選擇，安全Boot根據(jù)eFuseO狀態(tài)選擇使用芯片公鑰或者廠家公鑰進行數(shù)據(jù)驗簽；當eFuseO未燒斷時，安全Boot使用芯片公鑰進行數(shù)據(jù)驗簽；當eFuseO燒斷后，安全Boot使用廠家公鑰進行數(shù)據(jù)驗簽； 其中，eFusel用于控制片內(nèi)公鑰存儲單元的可改寫特性；當eFusel未燒斷時,該片內(nèi)公鑰存儲單元可以通過下載廠家公鑰進行改寫；當eFusel燒斷后，該片內(nèi)公鑰存儲單元只能讀取，不可改寫。
3.根據(jù)權(quán)利要求I或2所述的具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片，其特征在于所述電子保險絲技術(shù)可以采用熔絲、或反熔絲技術(shù)。
全文摘要
本發(fā)明涉及一種具備安全授權(quán)轉(zhuǎn)移及鎖定技術(shù)的安全芯片，所述安全芯片上整合一個ROM存儲區(qū)，用于用戶固化安全Boot，安全Boot內(nèi)固化一條芯片公鑰；安全芯片上還有一個片內(nèi)公鑰存儲單元，用于燒寫用戶的廠家公鑰；安全芯片上還集成至少一個電子保險絲eFuse，當eFuse未燒斷時，安全Boot使用芯片公鑰進行數(shù)據(jù)驗簽，片內(nèi)公鑰存儲單元可以通過下載廠家公鑰進行改寫；當eFuse燒斷后，安全Boot使用廠家公鑰進行數(shù)據(jù)驗簽，片內(nèi)公鑰存儲單元只能讀取，不可改寫。本發(fā)明為安全芯片提供一種安全控制權(quán)的轉(zhuǎn)移及不可轉(zhuǎn)移機制，其目的是保證這種安全芯片的安全是可以由被授權(quán)主體來完全控制的，最終確保安全芯片上的信息的完整性和真實性。該技術(shù)具有操作簡單、實施便利、安全度極高等特點。
文檔編號G06F21/00GK102750478SQ20121019232
公開日2012年10月24日 申請日期2012年6月12日 優(yōu)先權(quán)日2012年6月12日
發(fā)明者葉明統(tǒng), 宋慰云, 林峰, 汪孝晃, 陳挺立 申請人:福建睿矽微電子科技有限公司