專利名稱:用于基于硬件的安全的系統(tǒng)和方法
技術(shù)領(lǐng)域:
以下涉及用于管理電子資產(chǎn)的系統(tǒng)和方法。
背景技術(shù):
在可以產(chǎn)生被視為“浪費”的制造過程中存在著各種因素�。這些因素可以包括缺陷、庫存(過量���、冗余等等)�����、過量生產(chǎn)�����、過度加工��、移動��、運輸以及等待����。此外��,存在可能歸因于外部原因(例如��,克隆���、拷貝��、技術(shù)轉(zhuǎn)讓和失竊(物理失竊和IP失竊都有))的花費�。同樣地,如今位于各種消費和商業(yè)產(chǎn)品的中心的是系統(tǒng)級芯片(SoC)�,在SoC中,將很多特征集成在單一的硅片上�����。制造商可以在不同平臺中使用相同的SoC�,同時啟用或者禁用各種特征����,以區(qū)分市場上的最終產(chǎn)品。對特征的未授權(quán)的啟用代表了公司的重大收入損失���。傳統(tǒng)的特征編程方法包括通過不同的掩模(mask)組對SoC硅進行完全定制��;使用可以被選擇性“熔斷(blown)”以對特征進行控制的硅熔斷器(fuse);使用主板上的跳線����;以及根據(jù)產(chǎn)品加載不同的組件和固件��。特征的提供發(fā)生在各個制造位置處,該各個制造位置的設(shè)施執(zhí)行一系列生產(chǎn)步驟��,包括芯片的晶片制作�、裝配、封裝�、測試和系統(tǒng)集成,在系統(tǒng)集成中�,將組件和固件集成在最終的產(chǎn)品或組合裝置中。這些制造位置一般在國外�����,并處于將合同制造外包給這些設(shè)施的半導(dǎo)體公司的控制之外�。結(jié)果,對于半導(dǎo)體公司來說�,沒有理由相信所分發(fā)的制造設(shè)施對專有和敏感數(shù)據(jù)的分發(fā)和搜集的管理,該專有和敏感數(shù)據(jù)是例如特征提供命令�、內(nèi)容保護密鑰數(shù)據(jù)、軟件/固件代碼鏡像�����、測試結(jié)果和產(chǎn)量報告數(shù)據(jù)���。假定這種SoC所具有的價值�����,以及半導(dǎo)體公司將制造�、裝配和其產(chǎn)品分發(fā)外包的趨勢,由于缺少可信的制造過程�����,多個新的問題開始出現(xiàn)
發(fā)明內(nèi)容
現(xiàn)在將參照附圖���,描述僅作為示例的實施例���,其中圖I是資產(chǎn)管理系統(tǒng)(AMS)的框圖��。圖2是示出了由圖I的AMS所執(zhí)行的用于向設(shè)備提供資產(chǎn)的實例操作的序列圖�����。圖3是示出了圖I所示的控制器的一個實施例的細節(jié)的框圖�。圖4A是示出了圖I所示的裝置的一個實施例的細節(jié)的框圖。圖4B是示出了圖4A所示的裝置的狀態(tài)轉(zhuǎn)移的狀態(tài)圖���。
圖5是示出了圖I所示的測試器和代理的一個實施例的細節(jié)的框圖�����。圖6A是圖I所示的代理API的一個實施例的細節(jié)的框圖�����。圖6B是圖I所示的守護程序API的一個實施例的細節(jié)的框圖�。圖7A是示出了 AMS的配置的框圖,該AMS用于執(zhí)行順序化以及模式(schema)定義作業(yè)流程示例�����。圖7B是示出了用于執(zhí)行密鑰注入的AMS的配置的框圖��。圖7C是示出了用于執(zhí)行特征激活的AMS的配置的框圖����。圖8是示出了用于使用AMS來執(zhí)行順序化的示例操作集合的序列圖。圖9是示出了用于使用AMS來執(zhí)行密鑰注入的示例操作集合的序列圖�����。 圖IOA至IOB是示出了用于使用AMS來執(zhí)行特征激活的示例操作集合的序列圖���。圖11是示出了圖I所示的AMS圖形用戶界面(GUI)所提供的快速狀況視圖的示例屏幕截圖���。圖12是示出了由AMS⑶I提供的裝置視圖的示例屏幕截圖�����。圖13是示出了由AMS⑶I提供的具有警報欄的裝置視圖的示例屏幕截圖�。圖14是示出了由AMS⑶I提供的主狀況視圖的示例屏幕截圖���。圖15是示出了由AMS⑶I提供的警報視圖的示例屏幕截圖����。圖16是示出了 3行縮放模式下由AMS⑶I提供的作業(yè)視圖的示例屏幕截圖�。圖17是示出了 I行縮放模式下由AMS⑶I提供的作業(yè)視圖的示例屏幕截圖。圖18是示出了細節(jié)縮放模式下由AMS GUI提供的作業(yè)視圖的示例屏幕截圖�����。圖19是示出了由AMS⑶I提供的報告視圖的示例屏幕截圖��。圖20是示出了由AMS⑶I提供的產(chǎn)生報告視圖的示例屏幕截圖����。圖21是示出了由AMS⑶I提供的報告屏幕的示例屏幕截圖�����。圖22是示出了由AMS⑶I提供的控制器視圖的示例屏幕截圖。圖23是示出了由AMS⑶I提供的修改控制器視圖的示例屏幕截圖�。圖24是示出了 3行縮放模式下由AMS⑶I提供的裝置視圖的示例屏幕截圖。圖25是示出了 I行縮放模式下由AMS⑶I提供的裝置視圖的示例屏幕截圖�����。圖26是示出了細節(jié)縮放模式下由AMS⑶I提供的裝置視圖的示例屏幕截圖�����。圖27是示出了由AMS⑶I提供的ping裝置視圖的示例屏幕截圖����。圖28是示出了由AMS⑶I提供的同步裝置視圖的示例屏幕截圖。圖29是示出了由AMS⑶I提供的修改裝置視圖的示例屏幕截圖���。圖30是示出了由AMS⑶I提供的去激活裝置視圖的示例屏幕截圖��。圖31是示出了由AMS⑶I提供的移除裝置視圖的示例屏幕截圖����。圖32是示出了 3行縮放模式下由AMS⑶I提供的產(chǎn)品視圖的示例屏幕截圖。圖33是示出了 I行縮放模式下由AMS⑶I提供的產(chǎn)品視圖的示例屏幕截圖���。圖34是示出了細節(jié)縮放模式下由AMS GUI提供的產(chǎn)品視圖的示例屏幕截圖���。圖35是示出了由AMS GUI提供的添加產(chǎn)品視圖的示例屏幕截圖。圖36是示出了 3行縮放模式下由AMS GUI提供的順序化模式視圖的示例屏幕截圖�����。圖37是示出了 I行縮放模式下由AMS GUI提供的順序化模式視圖的示例屏幕截圖�。
圖38是示出了細節(jié)縮放模式下由AMS GUI提供的順序化模式視圖的示例屏幕截圖。圖39是示出了由AMS GUI提供的添加模式視圖的示例屏幕截圖��。圖40是示出了 3行縮放模式下由AMS GW提供的密鑰類型視圖的示例屏幕截圖��。圖41是示出了 I行縮放模式下由AMS GUI提供的密鑰類型視圖的示例屏幕截圖�。圖42是示出了細節(jié)縮放模式下由AMS GUI提供的密鑰類型視圖的示例屏幕截圖���。圖43是示出了由AMS GUI提供的添加密鑰類型視圖的示例屏幕截圖�。圖44是示出了 3行縮放模式下由AMS GUI提供的特征控制票據(jù)視圖的示例屏幕截圖�。圖45是示出了 I行縮放模式下由AMS GUI提供的特征控制票據(jù)視圖的示例屏幕截圖�。圖46是示出了細節(jié)縮放模式下由AMS GUI提供的特征控制票據(jù)視圖的示例屏幕截圖�。圖47是示出了由AMS⑶I提供的用戶視圖的示例屏幕截圖���。圖48是示出了由AMS GUI提供的添加用戶視圖的示例屏幕截圖。圖49是示出了由AMS GUI提供的添加用戶視圖的示例屏幕截圖���,該視圖示出了錯誤欄的一個不例�����。圖50是示出了由AMS GUI提供的添加用戶視圖的示例屏幕截圖�,該視圖示出了錯誤欄的另一個示例��。圖51是在用于利用ACC的一個配置下的AMS的框圖���。圖52是示出了圖51所示的設(shè)備和ACC的其他細節(jié)的框圖�����。圖53是示出了圖51和52所示的ACC的硬件組件的其他細節(jié)的框圖����。圖54是示出了由ACC中的固件在通過各種狀態(tài)進行轉(zhuǎn)移中所執(zhí)行的操作的序列的狀態(tài)圖�。圖55是示出了由ACC中的固件執(zhí)行的弓丨導(dǎo)序列的流程圖。圖56是示出了由ACC中的固件執(zhí)行的狀態(tài)轉(zhuǎn)移序列的流程圖�����。圖57a至57d是示出了針對圖54和55所示的四個生命周期狀態(tài)的子程序的流程圖。圖58是由ACC中的固件執(zhí)行的命令解釋器的流程圖�����。圖59是示出了由ACC中的固件執(zhí)行的錯誤處理器程序的流程圖�����。圖60是示出了由ACC中的固件執(zhí)行的休眠子程序的流程圖��。圖61是示出了在裝置和ACC之間的單一命令序列的流程圖����。圖62是示出了在后端�����、裝置和ACC之間的初始化協(xié)議的流程圖����。圖63是示出了在后端、裝置和ACC之間的密鑰協(xié)定協(xié)議的流程圖��。圖64是示出了在后端、裝置和ACC之間使用機密消息協(xié)議進行認證的流程圖�����。圖65是示出了 MMO散列函數(shù)的框圖��。圖66a至66f是示出了在虛擬庫存的特征激活程序中執(zhí)行的操作序列的流程圖��。特定實施方式
傳統(tǒng)的特征編程方案的問題在于其需要在可信環(huán)境中進行�����,對做出改變來說可能是耗費巨大的����,并且一般不能容易地進行取消。同樣地���,已經(jīng)認識到�����,在沒有辦法區(qū)分合法和非法的部分的情況下�,正在將偽造或丟棄的芯片作為新的產(chǎn)品對待。在一些情況下�����,被指明為要被銷毀的有缺陷的芯片不知何故被循環(huán)回到生產(chǎn)線上��,而好的器件被抽掉并為便宜的競爭者或者不兼容的芯片所替換�����。結(jié)果��,芯片供貨商開始看到其品牌正被日益稀釋��,而因為這些非官方的芯片由于不滿足規(guī)范而被返回��,質(zhì)量保證的成本增加了�����。當考慮到被設(shè)計來保護數(shù)字媒體所有者的商業(yè)權(quán)利的內(nèi)容保護方案的增殖(proliferation)時��,另一問題出現(xiàn)了��。這些內(nèi)容保護方案要求在制造過程中將每個設(shè)備唯一的密鑰數(shù)據(jù)編程到各個設(shè)備中�。作為這些內(nèi)容保護方案的被許可者,半導(dǎo)體制造商變得對內(nèi)容保護密鑰數(shù)據(jù)負有責任�����,并且當在其不可信的制造操作上分發(fā)內(nèi)容保護密鑰數(shù)據(jù)時�����,需要對該數(shù)據(jù)進行保護�。當半導(dǎo)體制造商開始調(diào)整分布式制造模型時,其失去了對分布式制造操作的專有 設(shè)備和制造數(shù)據(jù)的直接控制���。除了內(nèi)容保護密鑰數(shù)據(jù)之外�,專有數(shù)據(jù)的其他對外形式(例如���,特征提供命令���、軟件/固件指令/機器代碼以及設(shè)備個性化數(shù)據(jù))必須分布并存儲在整個不可信的制造操作中。還需要將專有制造數(shù)據(jù)存儲在半導(dǎo)體公司的不可信的分布式制造操作中�����,并從該不可信的分布式制造操作中搜集專有生產(chǎn)數(shù)據(jù)��。對內(nèi)專有制造數(shù)據(jù)可以作為測試報告/程序、過程數(shù)據(jù)以及產(chǎn)量管理數(shù)據(jù)而存在���。通過數(shù)字資產(chǎn)的安全管理來獲得競爭優(yōu)勢����,由此在給定的制造過程中可以存在提高底線的機會�。下面,描述了提供解決方案框架的系統(tǒng)���,該解決方案框架可以用于降低以上提到的浪費�����,并在各種應(yīng)用中獲得競爭優(yōu)勢����。要描述的系統(tǒng)包括被部署和集成在多個物理位置上的制造過程中的若干軟件和硬件組件����。這樣����,創(chuàng)建可以提供綜合性基礎(chǔ)結(jié)構(gòu)解決方案的制造平臺。資產(chǎn)管理系統(tǒng)(AMS)在本文中,可以將上述制造平臺稱為資產(chǎn)管理系統(tǒng)(AMS)����,并如圖I所示以數(shù)字10來表示。AMS 10是可以適于容納各種服務(wù)的定制解決方案�。例如,如下討論的��,可以將AMS 10配置為通過控制對對應(yīng)資產(chǎn)的提供(provision)來執(zhí)行以下一項或多項順序化(serialization)����、密鑰注入以及特征激活。因此����,資產(chǎn)可以指代要被添加到設(shè)備14、應(yīng)用到設(shè)備14����、與設(shè)備14相關(guān)聯(lián)或者以其他方式綁定到設(shè)備14的任何數(shù)字數(shù)據(jù)。設(shè)備14可以是能夠利用這種資產(chǎn)的任何組件或項��。例如���,設(shè)備14可以表示芯片�、電路板、電子消費設(shè)備�、計算機、處理器��、存儲器等�����。AMS 10創(chuàng)建對將資產(chǎn)提供或注入到設(shè)備14中進行控制的控制通道4��,以及執(zhí)行日志數(shù)據(jù)的收集以跟蹤資產(chǎn)的分發(fā)和使用的審計通道6��。以下將要描述的AMS 10的組件可以是全局分布的����、本地實現(xiàn)的或者包括遠程和本地組件的任何配置。AMS10使得公司可以管理和控制在全球外包制造環(huán)境上敏感的制造過程���。AMS 10包括一個或多個控制器22���,其作為主服務(wù)器操作,并可以位于電子設(shè)備制造商的總部�����,以遠程控制其在任何的全球位置的操作����。控制器22可以在互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)(未示出)上遠程通信�����,以控制一個或多個輔助的或者遠程的服務(wù)器(本文中稱之為裝置18)����。裝置18可以位于不同的制造、測試或分發(fā)地點���?�?刂破?2和裝置18包括硬件安全模塊(HSM) 19����,以執(zhí)行敏感并高信任度的計算���,存儲敏感信息(如����,私鑰),執(zhí)行其他加密操作并建立組件之間的安全連接��。使用HSM 19來創(chuàng)建控制器22和裝置18之間以及裝置18與嵌入到設(shè)備14中的資產(chǎn)控制核心(ACC) 12中的安全的信任點之間的安全終端點�����。HSM19可以是提供添加功能模塊(FM) 11的能力的標準現(xiàn)有組件����,功能模塊(FM) 11包括執(zhí)行附加安全操作的源代碼。例如���,如下面將要進一步解釋的��,AMS 10使得可以計量所消費的資產(chǎn)的信用�,HSM 19在利用FM 11時使得在HSM 19所創(chuàng)建的安全邊界內(nèi)安全地執(zhí)行這種計量����。使用FM 11提供了更大的靈活性,其中����,可以通過可信的和安全的方式來執(zhí)行操作,例如���,除了加密和簽名外的方式��。FM 11還提供更大的靈活性��,其中�����,可以利用協(xié)議���,例如,用來與ACC 12通信的ECMQV協(xié)議(稍后討論)控制器22還提供圖形用戶界面(⑶1)8�,以使得管理者、操作者和其他用戶可以與控制器22��、裝置18以及更寬的AMS 10進行接合�����。裝置18與一個或多個代理20通信����,其中,使用代理應(yīng)用編程接口(API) 21將各個代理20集成到測試腳本或者其他生產(chǎn)程序中�,并且在一些實施例中���,使用在測試器16及其應(yīng)用外部的單獨過程中起到代理作用的守護程序(daemon) API 23將各個代理20集成到測試腳本或者其他生產(chǎn)程序中。測試腳本或生產(chǎn)程序一般是在生產(chǎn)線上被加載到測試器16上的定制應(yīng)用��。應(yīng)該意識到��,術(shù)語“測試器”可以表示用于向設(shè)備14注入或者以其他方式提供電子資產(chǎn)的任何制造或生產(chǎn)設(shè)備��。裝置18 —般位于可以與測試器16處于相同物理位置的生產(chǎn)地點��,或者代之�����,可以遠離測試器16并在LAN��、WAN或者其他網(wǎng)絡(luò)(未示出)上連接���。如圖I所示����,可以用冗余架構(gòu)來部署裝置18 (即���,使用附加的裝置18’)���,以確保如果基本裝置18或主裝置18不能正常工作或者離線����,提供附加的裝置18’來進行接管并最小化生產(chǎn)停工期�����。在一些實施例中����,通過代理20��,AMS 10可以利用嵌入在設(shè)備14上的ACC 12來建立裝置18和設(shè)備14之間的安全通信�。使用AMS 10,可以創(chuàng)建并部署工廠提供系統(tǒng)��,這可以降低收入損失���,并可以開啟與合作方和下游客戶的新的收入共享機會�����。AMS 10還可以在整個制造過程中提高整體安全性和品牌保護�����,特別是當使用外包的承包人來生產(chǎn)高利潤的設(shè)備時����。可以通過以下方式來完成制造和分發(fā)過程中的這種收入損失降低使用AMS 10來幫助防止半導(dǎo)體和其他電子設(shè)備14中未授權(quán)的特征激活�,降低過量的生產(chǎn),降低庫存和供應(yīng)鏈成本�����,啟動強有力的內(nèi)置收入和品牌保護措施�,以及開啟從售后市場收入潛力中獲益的新機會。圖2示出了可以如何使用控制器22���、裝置18�����、代理20和ACC 12來向設(shè)備14定義�、分發(fā)和應(yīng)用資產(chǎn)�,以及出于審計目的在各種階段收集日志報告����。在控制器22處�,制造商(或者要提供的資產(chǎn)的擁有者)定義產(chǎn)品,即利用正在提供的特定類型的服務(wù)(例如順序化���、密鑰注入�、特征激活等)的對象�。控制器22還定義與產(chǎn)品和應(yīng)用于產(chǎn)品的服務(wù)相對應(yīng)的資產(chǎn)類型��。通過對資產(chǎn)和產(chǎn)品進行分別定義��,在一些實施例中����,唯一的產(chǎn)品名稱可以使得不同類型的多個資產(chǎn)在一起傳送��。例如�,可以傳送密鑰,同時激活一組特征�,或者可以同時傳送和注入密鑰和序列號。這節(jié)省了時間和帶寬���,因為兩個資產(chǎn)可以利用控制通道4的相同實例��,以逐個產(chǎn)品的優(yōu)化傳送���?��?刂破?2產(chǎn)生、獲取或者以其他方式導(dǎo)入多個資產(chǎn)�����,并且將該資產(chǎn)綁定到產(chǎn)品��,這在資產(chǎn)和產(chǎn)品之間創(chuàng)建了關(guān)聯(lián)���,以使得服務(wù)的應(yīng)用可以將資產(chǎn)注入或者添加到產(chǎn)品�,并最終針對該產(chǎn)品生產(chǎn)一個或多個設(shè)備14����。然后,將產(chǎn)品與裝置18綁定��。還可以將產(chǎn)品與一個以上的裝置18綁定�,以使得AMS 10可以被配置為跨裝置18分發(fā)產(chǎn)品的資產(chǎn)���。如果正在不同的設(shè)施處生產(chǎn)相同類型的設(shè)備14,可以創(chuàng)建不同的產(chǎn)品��,每個位置一種產(chǎn)品��。例如�,可以在若干地理位置中生產(chǎn)設(shè)備14,每個位置具有在不同生產(chǎn)設(shè)施處的裝置18���。然后���,可以針對各個設(shè)施創(chuàng)建產(chǎn)品,并將其綁定到對應(yīng)的裝置18���。可以注意到����,裝置18可以在一個以上的測試器16處為一個以上的代理20提供服務(wù),并因此可以針對相同的裝置18定義一個以上的產(chǎn)品���。然后����,控制器22向裝置18提供產(chǎn)品和對應(yīng)的資產(chǎn),存儲這些資產(chǎn)并從而在裝置18處提供該產(chǎn)品�����??刂破?2同時記錄發(fā)送產(chǎn)品和資產(chǎn)的事件,并等待來自裝置18的成功接收和存儲該資產(chǎn)的肯定應(yīng)答(ACK)��。裝置18被配置為與至少一個代理20通信�����。代理20被配置為在生產(chǎn)或分發(fā)階段利用資產(chǎn)�����。代理20從而請求其需要用來執(zhí)行該階段的資產(chǎn)����。裝置18計量并獲得適當數(shù)量的資產(chǎn),并記錄該事件�����,以記錄向特定代理20 (并從而特定的測試器16)的資產(chǎn)分配。然后���,向代理20提供資產(chǎn)��。然后�����,代理20可以開始循環(huán)��,包括應(yīng)用資產(chǎn)以及針對其所操作的各個設(shè)備14記錄該事件�����?���?梢钥闯?���,當使用ACC 12時�����,執(zhí)行與ACC12的交換,其細節(jié)在下面提供��。在某些點處�����,例如在達到日志閾值時����,代理20向裝置18提供代理日志組,代理18存儲該日志����。在其他實施例中,裝置18可以從代理20請求日志�����。然后���,控制器22在某個稍后的點處(例如�����,在同步操作期間)請求針對與裝置18相關(guān)聯(lián)的產(chǎn)品的日志�����,并且向控制器22提供都由裝置18存儲的裝置日志和代理日志�����。然后���,控制器22 可以存儲這些日志���,并使其可用于對其中包含的數(shù)據(jù)進行審計和其他后處理或者分析。通過在一個方向上控制分發(fā)�����,并在另一個方向上強制執(zhí)行事件記錄和事件收集��,AMS 10能夠提供對制造過程的控制�����。如上討論的��,可以將AMS 10配置為提供各種服務(wù),例如順序化�、密鑰注入和特征激活�����??梢允褂脠D2中示例說明的控制和審計通道來實現(xiàn)這些服務(wù)。為了針對這些各種服務(wù)配置AMS 10的組件��,控制器22���、裝置18��、代理20和ACC 12應(yīng)該具有特定的能力?����,F(xiàn)在將參照圖3至6描述這些組件的其它細節(jié)����。圖3中更詳細地示出了控制器22��?��?梢詫⒖刂破?2實現(xiàn)為安全強化的在機架上安裝的系統(tǒng)��,可以通過標準web瀏覽器100�、100’的web接口來訪問該系統(tǒng)。如圖3所示����,控制器22包括控制器22處的web瀏覽器可以訪問或者web瀏覽器100’可以遠程訪問的⑶I
8。⑶I 8基于web服務(wù)器104��,web服務(wù)器104利用控制器守護程序106與裝置18安全地進行通信(以S來表示)���,并且一般與數(shù)據(jù)庫110沒有安全措施(以U來表示)��。報告工具108也可以安全地訪問關(guān)系型數(shù)據(jù)庫110�����,以獲得日志記錄以及其他用于產(chǎn)生報告的數(shù)據(jù)����。可以使來自報告工具108或者任何類似應(yīng)用的服務(wù)請求能夠訪問數(shù)據(jù)庫110中的數(shù)據(jù)��。利用數(shù)據(jù)庫模式(schema)來用于日志的高效存儲�����、服務(wù)模塊所要求的數(shù)據(jù)的高效存儲,以及當由服務(wù)模塊要求時�����,對數(shù)據(jù)的高效查找�����?���?梢詮臄?shù)據(jù)庫110導(dǎo)出來自所有服務(wù)模塊的定制日志數(shù)據(jù)�。在刪除裝置18之前,控制器22應(yīng)該與裝置18同步��,以確保已經(jīng)收集了所有日志����。該示例中的控制器22還支持與控制器守護程序106 —起操作的命令行接口(CLI)工具102。如果使用該CLI工具102�����,CLI工具102應(yīng)該提供與⑶I 8類似的功能?����?刂破?2以指定的時間間隔自動同步裝置18����,以確保任何涉及服務(wù)的資產(chǎn)在其所指定的最大量,即�����,控制器確保裝置18具有其需要用來根據(jù)意圖進行操作的資產(chǎn)����。可以提供只讀同步模式來查詢當前信用等級�����,而無需將任何的信用加滿(top up)�����。還可以使用同步操作來發(fā)送裝置配置設(shè)置����,以及如圖2所示從裝置18取回日志�。這使得如果連接暫時丟失����,AMS 10可以在沒有中斷的情況下支持各個生產(chǎn)地點處的高速制造?�?刂破?2還可以向指定的電子郵件地址發(fā)布警告��,以告知操作者可能停止生產(chǎn)的條件���,理想地,在這些條件產(chǎn)生結(jié)果之前告知����。控制器22在若干環(huán)境下發(fā)布警告���,例如當控制器不能夠與裝置18聯(lián)系時��,如果當控制器22向裝置18發(fā)送數(shù)據(jù)時存在任何的錯誤(以及反之亦然)�����,當同步操作失敗時��,當裝置18中的資產(chǎn)數(shù)到達指定的告警等級時�,當關(guān)于裝置18的空閑磁盤空間到達最小時,以及當裝置18已經(jīng)阻擋了來自代理20的連接時(因為代理IP地址不在裝置18所管理的列表中)�。如下面更詳細描述的,可以通過GUI 8來執(zhí)行對這些警報的管理�。還使用控制器22來監(jiān)視在AMS 10中運行的所有作業(yè),例如同步操作以及其他長期運行的任務(wù)��,可以監(jiān)視其狀況����,并記錄其進度??梢允棺鳂I(yè)信息在⑶I 8中可用?���?刂破?2還使得操作者可以添加和移除用戶角色(role)?���?梢韵蛴脩艚巧概蓪MS 10的各個組件進行訪問的不同許可等級。將AMS 10產(chǎn)生的日志存儲在關(guān)系型數(shù)據(jù)庫110中����。本示例中的控制器22在服務(wù)器硬件上運行,例如使用2x Intel Xeon quad core5300 processor i 3GHz的Dell 2950 PowerEdge 2U在機架上安裝的服務(wù)器��?���?刂破?2還可以使用110/220伏特750瓦特的冗余功率模塊�、DVD ROM、雙吉比特NIC以及PCIe升降器(riser)����。控制器22要求例如針對HSM和SSL證書的導(dǎo)出PKCS10請求來進行初始提供���, 由設(shè)備認證授權(quán)機構(gòu)(CA)對證書簽名,以及將SSL和HSM證書導(dǎo)入到HSM 19中�����??梢砸庾R到,也可以使用對各個HSM 19唯一的任何身份證書�。控制器22應(yīng)該使得可以配置常規(guī)設(shè)置��,例如用于電子郵件警報的名稱和SMTP設(shè)置。應(yīng)該提供對多用戶賬戶的支持�����,并且可以使用每個用戶的許可矩陣來允許準許或者拒絕對AMS 10的各個部分的訪問���。這樣���,可以定義不同的用戶角色,并且以每個模塊為基礎(chǔ)向各個用戶角色給出不同許可�����。許可矩陣應(yīng)該是可配置的��,以使得客戶可以定義這種許可并定義用戶角色的數(shù)目���,以在用戶之間進行區(qū)分���。控制器22對服務(wù)模塊進行啟用和禁用�,以使得可以定義不同的服務(wù)產(chǎn)品,例如用于順序化、密鑰注入�����、特征激活等�。控制器22還可以配置針對裝置18的常規(guī)設(shè)置�����,設(shè)置是例如名稱�����、制造商��、位置�����、IP地址���、端□號、套接字重試�、套接字超時、發(fā)送/接收塊大小以及已針對該裝置22授權(quán)的代理20的列表?����?刂破?2以可配置的時間間隔與各個裝置18同步(例如����,每30分鐘)。然而����,如果在下一次所調(diào)度的同步之前需要進行同步,控制器22還使得操作者可以立刻強制進行同步����。控制器22提供對AMS 10的控制����,并從而可以在添加新裝置18之前對其授權(quán)。當從供應(yīng)商發(fā)貨時����,裝置18應(yīng)該處于在使用前要求這種授權(quán)的狀態(tài)。一旦授權(quán)已經(jīng)成功完成����,也可以執(zhí)行控制器22對裝置18的其他提供�?��?刂破?2還實現(xiàn)了信用系統(tǒng)��,在該信用系統(tǒng)中�����,控制器22向裝置18發(fā)布信用����。不管何時裝置18通過將資產(chǎn)提供給代理20 (如圖2中所示)來消耗資產(chǎn)��,信用都遞減���。操作者可以定義(最小和最大等級)告警����,并且如果關(guān)于裝置18的當前信用小于或等于告警等級����,控制器22發(fā)布警報。如果關(guān)于裝置18的當前信用小于最小等級�����,控制器22將信用加滿到最大等級�����。如果裝置18用完了信用����,其不再可以向代理20提供資產(chǎn)。一般應(yīng)該根據(jù)裝置18而不是根據(jù)服務(wù)模塊來分配信用����。如上提到的,控制器22監(jiān)視針對各個裝置18的作業(yè)列表��。這創(chuàng)建了允許與其他裝置18相獨立地為各個裝置18提供服務(wù)的多線程設(shè)計�。此外,可以并行并且獨立于其他作業(yè)來執(zhí)行各個裝置18上的作業(yè)����。這允許由分別的線程對多個Π請求進行處理,并允許由分別的線程對多個裝置18連接進行處理�����,以使得與一個實體的通信部不干擾與另一個實體的通信,從而添加了 AMS 10的并行性���。還監(jiān)視各個裝置18的健康度����,包括空閑的和已使用的硬盤空間����、空閑的和已使用的存儲器、諸如HSM19的其他硬件組件的健康度���、與控制器22的上一次通信的日期/時間���、以及與各個代理20的上一次通信的日期/時間?���?刂破?2提供ping工具以檢查裝置18的網(wǎng)絡(luò)活躍度,該ping工具使用了控制器22和裝置18之間的安全通信通道����。還提供了時間同步工具來將各個裝置18上的時間與控制器22同步�����,以確保控制器22和裝置18上的系統(tǒng)時間和HSM時間在UTC中指定并且相同����。控制器22還應(yīng)該提供禁止裝置18向代理提供服務(wù)的過程�����?�?梢蕴峁┻m當?shù)母婢痛_認��,這種動作可以干涉或者甚至停止生產(chǎn)線�。當被禁用時,裝置18應(yīng)該繼續(xù)為控制器22提供服務(wù)�����。例如�����,當禁用裝置18時,ping工具應(yīng)該仍然工作���。該功能使得操作者可以在檢測到異常并要求補救動作的情況下通過裝置18來控制其制造商����??梢援a(chǎn)生電子郵件警報來標記可能潛在地停止生產(chǎn)線的問題,并且可以指定多個電子郵件地址�����,以使得可以告知所有感興趣或者被影響到的各方�。控制器22還應(yīng)該能夠自動且手動觸發(fā)對其自身的備份���。在硬件故障或者其他事故的情況下�����,應(yīng)該能夠從備份將控制器22恢復(fù)到新的硬件或者現(xiàn)有的硬件��。由控制器22來啟用對裝置軟件的遠程更新(包括HSM代碼)以及控制器軟件的 本地更新(包括HSM代碼)�����??刂破?2管理被允許連接到各個應(yīng)用的代理IP地址和子網(wǎng)的列表,并使得來自⑶I 8和CLI工具102的服務(wù)請求成為可能�����。如圖I所示�����,一般以冗余對的方式來使用裝置18�,以用于故障檢測和故障恢復(fù)(failover)��。在冗余裝置18��、18’的情況下���,可以向各個裝置18����、18’給出類似的資產(chǎn)量����,每組具有不同的值��。因此�,如果一個裝置18發(fā)生故障�,代理20還可以從另一個裝置18’獲得資產(chǎn),而不冒具有重疊資產(chǎn)的危險��,特別是在資產(chǎn)必須是唯一的情況下�。裝置18還應(yīng)該是安全加強的在機架上安裝的系統(tǒng)。圖4A中示出了裝置18的示例配置的其他細節(jié)���。裝置18包括裝置守護程序112��,用于控制控制器22和代理20之間的通信�����,以提供安全通信通道�����;以及包括裝置關(guān)系型數(shù)據(jù)庫114����,用于存儲日志和其他數(shù)據(jù)。如上討論的����,裝置18可以位于測試位置處、第三方制造商處��、裝配工廠處�����,或者任何的生產(chǎn)或分發(fā)位置�����。一個裝置18為一個或多個代理20提供服務(wù)�,并且如果使用��,裝置18可以通過一個或多個代理20與ACC 12通信�。控制器至裝置的通信應(yīng)該是安全的��,例如��,使用SSL連接���、受到保護以及相互認證��。將從裝置18至代理20的所有資產(chǎn)發(fā)布記錄在活動日志中�。當控制器22收集這些日志時,將其保存在數(shù)據(jù)庫114中���,并且如稍后討論的����,可以在GUI的報告視圖中查看���。當將新裝置18添加到AMS 10時,其處于離線狀態(tài)�����。然后����,為了使用而激活裝置
18�����。一旦裝置18是活躍的�,在其可以開始產(chǎn)生服務(wù)之前�����,仍然需要對其進行同步�����。圖4B示出了裝置18的各種狀態(tài)���。裝置18可以在與控制器22類似的硬件上運行,并且所有高信任度的計算將發(fā)生在HSM 19內(nèi)部�����。裝置18具有至少一個HSM 19��,但是在一些實施例中,可以支持更多HSM19�����,以增強諸如ECMQV (稍后將討論ECMQV的使用)之類的加密操作的性能。為了冗余和高可用性����,應(yīng)該成對提供裝置18。冗余對中的裝置18�����、18’都應(yīng)該總是活躍的�,因為代理20可以連接到其中的任一個��。在控制器22上對裝置18��、18’分別進行配置���。應(yīng)該注意到�,操作者應(yīng)該確保在資產(chǎn)方面��,裝置18����、18’都具有類似的配置。從容量規(guī)劃的角度看�,應(yīng)該將每個對視為一個裝置18�,例如�����,你可以僅將該對的吞吐量預(yù)期為不超過單一裝置18的吞吐量��?���?梢葬槍SL、HSM和ACC證書進行來自HSM 19的導(dǎo)出PKCSlO請求���,并且證書應(yīng)該由設(shè)備CA簽名���。然后,將證書導(dǎo)入HSM 19中�����。當裝置18與測試器16互動時���,高性能對最小化測試時間是極為重要的。因此�,在可能之處應(yīng)該進行協(xié)議優(yōu)化��。例如�����,可以在HSM 19中預(yù)先產(chǎn)生短時的公鑰��,以在裝置-ACC協(xié)議中使用��。與控制器22的用于傳遞定制數(shù)據(jù)和日志數(shù)據(jù)的通信也應(yīng)該是高效的���,以使得在其與代理20的互動中不影響到裝置18的性能。裝置18使用裝置守護程序112處理來自控制器22和代理20的服務(wù)請求�,并使用多線程,以使得可以通過與控制器22可以使用多線程進行并行操作的相同方式����,彼此獨立地為控制器22和代理20提供服務(wù)。這樣���,為控制器22給出單獨的線程��,并且為各個代理20給出單獨的線程�����。應(yīng)該將針對數(shù)據(jù)庫114的模式設(shè)計為日志的高效存儲����、各個服務(wù)模塊所請求的數(shù)據(jù)的高效存儲、以及服務(wù)模塊所請求的數(shù)據(jù)的高效查找�����。如圖5所示��,代理20是軟件庫�����,并且每個代理20都集成到客戶的測試程序或腳本或者在生產(chǎn)線上被加載到測試器16 (被配置為對設(shè)備14進行測試的計算機)上的定制應(yīng)用中���,或者與之相集成�����。當可應(yīng)用的情況下�,代理20與ACC 12或軟ACC 12’通信�。當被配置為利用代理API21時�,代理API 21向裝置18請求資產(chǎn)���,并通過安全SSL連接發(fā)送回所使用的資產(chǎn)的日志。除了代理API 21之外�����,AMS 10支持守護程序API 23的使用���,守護程序API 23派生出從裝置18取回資產(chǎn)并向裝置18提供資產(chǎn)的單獨的過程(S卩�,守護程序25)��,減少了測試器應(yīng)用116所正在進行的一些工作����。圖6A示出了利用代理API 21的代理20的配置。代理API 21允許在測試器16上運行的測試應(yīng)用116a連接到裝置18�,以取回資產(chǎn)并向裝置18返回日志?�?梢钥闯?���,代理API 21直接集成在測試應(yīng)用116a中,這給出了對如何以及何時在測試器16和裝置18之間傳送資產(chǎn)和日志的完全控制����。如圖6A所示���,代理API 21從裝置18獲得資產(chǎn)數(shù)據(jù)分組120,以及任何的日志請求126����。代理API 21還向裝置18提供資產(chǎn)請求124,并提供所請求的日志報告122?�,F(xiàn)在轉(zhuǎn)到圖6B�����,可以使用守護程序API 23來替代代理API 21�,以卸下管理資產(chǎn)和日志的責任。如圖6B所示��,守護程序API 21集成在測試應(yīng)用116b中����,以使其可以與單獨的過程(守護程序25)通信,該單獨的過程擔當測試應(yīng)用116b和裝置18之間用于管理資產(chǎn)數(shù)據(jù)包120����、日志報告122����、資產(chǎn)請求124和日志請求126的交換的中介����。守護程序API 23提供更簡單的接口����,并且可以被配置為運行守護程序25來作為后臺過程。如圖6B中所示��,守護程序API 23提供與測試應(yīng)用116b的接口���,以在需要資產(chǎn)時獲得該資產(chǎn)����,并當在各個測試結(jié)束期間或結(jié)束時產(chǎn)生日志數(shù)據(jù)128的時候獲得該日志數(shù)據(jù)128�。為了獲得資產(chǎn)并向裝置18提供日志報告122,守護程序API 23運行單獨的守護程序25以提供代理API 21�����,以避免測試應(yīng)用116b必須在測試過程期間經(jīng)常連接到裝置18,從而節(jié)省了時間��。守護程序25可以在使用代理API 21的時候請求一批資產(chǎn)����,并在需要資產(chǎn)時通過守護程序API 23向測試器16傳送資產(chǎn),以使得資產(chǎn)總是對測試器16可用�����,而不必連接到裝置18��。這樣���,測試應(yīng)用116b僅需要與守護程序API 23進行接合����,并從而通信����,以獲得資產(chǎn)并提供其日志數(shù)據(jù)(然后,守護程序25上的代理API 23將其打包進日志報告中)����。守護程序25維持資產(chǎn)高速緩存130����,以存儲成批的資產(chǎn)來用于后續(xù)根據(jù)需要向測試器16分發(fā)��,以及維持日志高速 緩存132以在測試完成時存儲測試應(yīng)用116b輸出的日志數(shù)據(jù)128����,該日志數(shù)據(jù)要被組織進日志報告122中����。守護程序API 23還可以具有資源管理子系統(tǒng)(RMS) 27,被配置為獨立地實現(xiàn)并向守護程序25注冊資源管理過程���。這樣�,用戶可以實現(xiàn)其自己的資源管理過程(在其自己的指示下)��,以判定何時取回資產(chǎn)�、發(fā)送回日志等等,并且可以通過名稱將該過程與特定的產(chǎn)品簡檔相關(guān)聯(lián)�����。如圖6B中所示地使用守護程序25和守護程序API 23提供了若干優(yōu)勢���。通過使守護程序25維持或者高速緩存與裝置18的連接�����,測試應(yīng)用116b不需要重復(fù)地請求新的會話�,從而節(jié)省了在測試環(huán)境中至關(guān)重要的時間。以及�,守護程序25可以利用閾值來控制其在資產(chǎn)高速緩存130中存儲多少資產(chǎn)。例如��,當與低閾值交叉時�����,該低閾值可以使得守護程序23利用代理API 21來分別在不擾亂測試步驟的情況下從裝置18獲得新批次的資產(chǎn)以及同時繼續(xù)轉(zhuǎn)發(fā)仍然具有的資產(chǎn)���。以及�,已經(jīng)發(fā)現(xiàn)�,當裝置18向測試應(yīng)用116a直接提供多個資產(chǎn)時,例如���,當發(fā)送一批密鑰時����,如果當測試應(yīng)用116a終止時在其上還有剩余的資產(chǎn),這些資產(chǎn)可能丟失���,因為其可能被從測試器的存儲器擦去�����。在這種情況下��,AMS 10可能正在浪費資產(chǎn)�����,而一個或多個實體可能損失收入或者不得不承擔成本。通過如圖6B所示將守護程序25與測試應(yīng)用116b分離��,在像這樣的環(huán)境下��,守護程序25和資產(chǎn)高速緩存130可以比測試應(yīng)用116b存活得更長��,并從而將不在沒有恢復(fù)資產(chǎn)的機會的情況下浪費該資產(chǎn)�����。從而����,如果守護程序25關(guān)閉���,可以將剩余的資產(chǎn)標記為已浪費,并且可以產(chǎn)生日志報告并返回到裝置18���,以確保如果申請人允許�����,將剩余的量返還客戶�����。在其他實施例中�����,可以簡單 地針對測試應(yīng)用116b的下一個實例維持剩余資產(chǎn)����?��?梢允褂檬刈o程序API 23來創(chuàng)建如圖6B中所示的獨立應(yīng)用�,或者在其他實施例中可以將守護程序API 23與測試應(yīng)用116b—起嵌入。應(yīng)該使用守護程序API來卸下對測試應(yīng)用116b中的資產(chǎn)和日志報告122的管理���?��?梢栽诳蛻舳嘶蚍?wù)器模式下創(chuàng)建守護程序API 23。在服務(wù)器模式下����,其連接到裝置18并自動管理資產(chǎn)的取回和日志報告122的發(fā)送。在客戶端模式下���,其針對AMS資產(chǎn)和日志而連接到已經(jīng)在運行的服務(wù)器模式守護程序應(yīng)用�����。還可以存在自動模式,在自動模式中���,守護程序API 23取決于守護程序25的另一實例是否已經(jīng)在運行來使用客戶端或服務(wù)器模式����。守護程序API 23使用用于AMS產(chǎn)品(或資產(chǎn))和日志的管理的基于文本的配置指示����?�?梢栽诰幾g時從文件或者從存儲器讀取這些指示��。配置指示包括一個或多個產(chǎn)品簡檔��。產(chǎn)品簡檔包含=AMS產(chǎn)品的名稱����、用于登入裝置18的連接憑證�、資源管理過程以及過程設(shè)置。使用資源管理過程來管理與簡檔相關(guān)聯(lián)的產(chǎn)品的資產(chǎn)以及日志�。該過程包括針對資產(chǎn)加滿等級的可配置指示(最小資產(chǎn)和最大資產(chǎn))以及在其處自動向裝置發(fā)送日志的閾值等級(最大日志)。由于典型地成對傳送裝置18�,應(yīng)該使用裝置18、18’的IP地址和在裝置故障的情況下從裝置18到另一裝置18’的故障切換來配置代理20�。代理20應(yīng)該報告任何的錯誤,例如���,如果代理20不能夠連接到裝置18�����、18’中的一個���。在連接錯誤的情況下����,代理20在故障切換到另一裝置18之前等待的時間應(yīng)該是可配置的�����。ACC 12是集成在芯片的設(shè)計之中的小并且高效的加密安全引擎����。將ACC 12集成到正在制造的設(shè)備14中,并從而ACC 12可以與AMS 10并行但是分開地建立����。取決于應(yīng)用,可以在有ACC 12或者沒有ACC 12的情況下使用AMS 10�����。例如�����,順序化和密鑰注入可以不要求ACC 12����,但是特征激活服務(wù)模塊一般要求ACC 12。然而��,可以在涉及順序化和密鑰注入的應(yīng)用中使用ACC 12��。一般將ACC 12嵌入到SoC管芯中����,然后將SoC管芯封裝到芯片中,將芯片安裝在印刷電路板(PCB)上���,并最終裝配到電子設(shè)備14中�����??梢援斆總€具有ACC 12的芯片一通過晶片測試時���,就將其注冊并登入到控制器的數(shù)據(jù)庫110中��,這進而可以跟蹤經(jīng)歷了晶片測試的每個制造的芯片�����。ACC 12具有輸出端口組�����,并且對這些輸出的聚集進行的評估指示了要啟用哪些特征���,要禁用哪些特征����。一旦裝配了�����,ACC 12可以仍舊擔當最終設(shè)備14上信任的根(root) ο
將ACC 12設(shè)計為管理對非易失性存儲器(NVM)的訪問并保護NVM的特定區(qū)域免受未授權(quán)代理20的訪問����。ACC 12可以提供自含式的唯一設(shè)備ID(UID)產(chǎn)生,UID被用來唯一地標識ACC 12��。ACC 12還可以提供自含式的密鑰產(chǎn)生��,該密鑰被用來開啟與可信服務(wù)器的安全通信通道�。ACC 12應(yīng)該確?�?尚旁词褂每尚叛b置進行特征的啟用和禁用,并且ACC12應(yīng)該能夠發(fā)起或者禁用設(shè)備自測和健康檢查��,以確保沒有對設(shè)備14進行篡改��。ACC 12還可以在不管何時發(fā)布了太多無效命令時�,使設(shè)備鎖定。使用ACC 12處理來自裝置18的命令�����,并且可以將ACC 12編程為如果檢測到指定數(shù)目的無效命令就關(guān)閉其自身�。應(yīng)該將ACC12設(shè)計為在任何電子制造測試環(huán)境中工作,因為AMS 10的安全特征不一定依賴于或能夠信任裝置18和ACC 12之間的數(shù)據(jù)鏈路�����。取而代之地����,將安全性內(nèi)置于使用加密的通信協(xié)議中。因此��,AMS 10提供允許以安全可審計的方式在任何地方進行提供的能力從晶片加工到ODM到OEM到用戶����。為了保護ACC至裝置通信通道�,ACC 12使用非對稱加密方案用于密鑰交換���,并且使用對稱密鑰加密來傳遞其與裝置18之間的消息�。非對稱加密方案使用從隱秘的私鑰產(chǎn)生的公鑰��。將私鑰保持隱秘�,而將公鑰曝光。以安全�����、高度防篡改的設(shè)置來保護私鑰是絕對必要的����。通過能夠內(nèi)部地并且自動地產(chǎn)生唯一的私鑰,以硬件和固件的組合來保護隱秘的密鑰免于被曝光����,所嵌入的ACC 12能夠滿足該要求。ACC 12為各個設(shè)備14產(chǎn)生唯一的標識符��,并通過與裝置18的加密通道參與到設(shè)備14的跟蹤和提供中����。一旦雙方對對稱密鑰取得一致�,裝置18就以安全的方式向ACC 12發(fā)布機密消息�,在本文中將該機密消息稱為特征控制票據(jù)(FCT)50。后面參照圖51至66對ACC 12進行更詳細的描述���。如上討論的為了實現(xiàn)AMS 10,應(yīng)該進行各種安全考慮�����。如上提到的����,控制器22和裝置18中的所有高信任度的計算都應(yīng)該發(fā)生在HSM 19內(nèi)部,特別是以在制造商和另一實體之間的各種信任級別在該實體處運行的裝置18上�����。當執(zhí)行順序化時�����,裝置18應(yīng)該僅能夠基于從控制器22接收到的序列號模式(這種模式在下面描述)產(chǎn)生序列號��。對于密鑰注入,裝置18應(yīng)該僅能夠?qū)目刂破?2直接接收到(即����,不是從另一裝置18接收到)的已排序的密鑰進行解密。對于特征激活�,裝置18應(yīng)該僅能夠?qū)目刂破?2直接接收到(即,不是從另一裝置18接收到)的FCT 50進行解密�����。應(yīng)該保護AMS 10所使用的信用或計量方案���,以使得裝置18可以僅使用從控制器22直接接收到的信用通知�。裝置18應(yīng)該僅使用來自控制器22的資產(chǎn)�,從控制器22對其進行提供,以確保不能使用被錯誤地發(fā)送到另一裝置18的資產(chǎn)��。對于裝置18���,應(yīng)該不可能使用來自另一裝置18的信用通知�,并且攻擊者應(yīng)該不可能添加�����、移除或者改變裝置18上的信用的數(shù)目。然而�,可以意識到,出于高可用性/故障切換的目的��,如果確保唯一的資產(chǎn)不被使用一次以上的機制存在��,可以將AMS 10配置為使得可以將一個裝置18上的資產(chǎn)復(fù)制到另一裝置18�。為了管理控制器22,web瀏覽器100應(yīng)該僅能夠在https上訪問web服務(wù)器104,并且應(yīng)該保護通信,例如����,相互認證、加密��、完整性檢查����、回放保護等。應(yīng)該如圖3中所示地保護web服務(wù)器104和控制器守護程序106以及CLI工具102和控制器守護程序106之間的通信���,例如�����,使用SSL�。類似地,應(yīng)該保護控制器22和裝置18以及裝置18和代理20之間的通信���,例如����,使用SSL�。應(yīng)該使用ACC協(xié)議來保護應(yīng)用HSM 19和ACC 12之間的通信,并且ACC 12應(yīng)該對裝置18進行認證���。裝置18不需要對ACC 12進行認證���,因為ACC 12被視為可信的根?��?梢詫拇?0到裝置18到控制器22的日志進行加密����,并且可以對該日志進行完整性保護�,以防止偷聽和篡改。只有控制器22應(yīng)該能夠?qū)θ罩具M行解密和驗證。這些日志可以包括定制數(shù)據(jù)���,例如�����,產(chǎn)量數(shù)據(jù)�。應(yīng)該加強控制器22和裝置18以對抗攻擊�����。將該加強應(yīng)用到包括在HSM 19上運行的OS和應(yīng)用在內(nèi)的OS和應(yīng)用(例如����,數(shù)據(jù)庫110)�����。優(yōu)選地��,所有的證書都是由可信設(shè)備CA發(fā)布的橢圓曲線加密(ECC)證書���,它們由每個客戶簽名���,且作為AMS子根證書�����。然后����,可以將ECC證書用于web服務(wù)器104�、控制器守護程序106、裝置18以及代理20 (針對HSM證書���、針對AMS 10中的每個HSM 19以及針對在與ACC 12的ECMQV協(xié)商中使用的ACC證書)中的各個之間的SSL����。應(yīng)該將客戶名稱嵌入到證書中���,并對其進行檢查�,以使得通信僅發(fā)生在具有相同客戶名稱的端點之間����。應(yīng)該保護存儲在數(shù)據(jù)庫中的數(shù)據(jù),以避免未授權(quán)的訪問和修改�。
針對AMS的產(chǎn)品和服務(wù)模塊在本文討論的示例中,產(chǎn)品是模型,其向AMS 10提供產(chǎn)品名稱����、其標識、其提供的服務(wù)���、哪些裝置18產(chǎn)生該產(chǎn)品以及資產(chǎn)列表���。例如,資產(chǎn)可以是順序化模式的聚集以及被應(yīng)用了該模式聚集的裝置18的列表��。類似地���,資產(chǎn)可以是密鑰類型的聚集以及被應(yīng)用了該密鑰類型聚集的裝置18的列表��。在又一個示例中��,資產(chǎn)可以是FCT 50的聚集以及對應(yīng)的裝置18的列表。本文中所討論的服務(wù)模塊確定各個AMS組件(控制器22�、裝置18、代理20和ACC 12)在生產(chǎn)過程中提供什么����。在下面的示例中,AMS 10可以定義用于順序化、密鑰注入和特征激活的服務(wù)模塊�����,然而�,將要意識到����,可以應(yīng)用其他服務(wù)模塊來傳送和提供其他類型的資產(chǎn)����。圖7A、7B和7C中分別示出了順序化、密鑰注入和特征激活模塊配置的示例�。順序化首先轉(zhuǎn)向圖7A����,順序化服務(wù)模塊是用于提供產(chǎn)生�����、向芯片(或者其他電子對象或設(shè)備)指派以及跟蹤唯一序列號的安全手段的AMS 10的配置���。為了提供該服務(wù),使用控制器22來定義產(chǎn)品模型�,然后定義要綁定到各個產(chǎn)品模型的一個或多個順序化模式134���。各個順序化模式134包含針對特定產(chǎn)品(例如,設(shè)備14)的序列號范圍�����。不管同步操作何時發(fā)生�����,在制造商位置處����,在安全、加密的連接上(例如����,在SSL上)向裝置18發(fā)送序列號模式134,一般是自動進行的�。然后,代理20可以使用代理API 21或者守護程序API 23,通過產(chǎn)品名稱請求序列號值����。序列號由裝置18產(chǎn)生,計量��,并向代理20提供�����。然后��,使用代理20在芯片制造過程中將序列號順序地注入到各個管芯中���?�?刂破?2跟蹤針對各個順序化產(chǎn)品���,已經(jīng)消耗了多少序列號,并在⑶I 8中使這些結(jié)果可用�����。順序化模式134是對與如何產(chǎn)生序列號有關(guān)的規(guī)則進行定義的對象����。例如�,其確定序列號數(shù)字是以十六進制還是十進制的形式呈現(xiàn)�,以及是否包括固定的字符串。雖然可以將一個或多個順序化模式134與順序化產(chǎn)品綁定�����,特定的模式134僅可以綁定到一個產(chǎn)品���。綁定到產(chǎn)品的順序化模式134不能重疊,并且一旦綁定�����,就不應(yīng)對模式134解綁���。針對其他改變�����,例如���,改變已經(jīng)插入的靜態(tài)字符串����,應(yīng)該創(chuàng)建新的順序化模式134���。如果將一個以上的模式134綁定到相同的產(chǎn)品���,應(yīng)該以優(yōu)先級順序?qū)@樣的多個模式134進行指派。當請求針對產(chǎn)品的序列號串時��,從具有最高優(yōu)先級的模式134給出序列號����。如果模式134耗盡(即,來自模式134的計數(shù)值已經(jīng)全部被指派)��,那么使用具有次最高優(yōu)先級的模式�。可以將順序化產(chǎn)品綁定到一個以上的裝置18�,各個綁定具有最小和最大的庫存等級??梢允褂每刂破?2來確保綁定到多個裝置18的產(chǎn)品具有不重疊的序列號范圍。當將產(chǎn)品綁定到裝置18時�����,控制器22將序列號的庫存保持在指定的最大等級。一旦已經(jīng)從控制器22向裝置18發(fā)送了該庫存��,就不應(yīng)該能夠召回或者撤銷這些序列號值��。序列號模式124可以描述如何將基本值變換為序列號串���。在本示例中����,術(shù)語“序列號基本值”指代任何正的64比特整數(shù)��,并且不應(yīng)該將其與底值屬性相混淆�。序列號模式134具有若干屬性開始、數(shù)目����、底值以及總字符�。開始和數(shù)目值限定了模式中允許的基本值的范圍。底值屬性確定了當基本值變換到序列號串時��,用以10為底還是以16為底的格式來表示基本值���?�?傋址麑傩韵薅水攲⒒局当硎緸樾蛄刑柎畷r���,要使用多少字符�����?��?梢栽谛蛄刑柎械娜魏挝恢锰幉迦肓銈€或者更多個靜態(tài)字符串?�?梢宰⒁獾?,應(yīng)該不能夠指定比用于表示模式134中的最大值所需的字符的最小數(shù)目更少的數(shù)目。例如��,如果模式134以O(shè)開始�,并且數(shù)目為1000,那么應(yīng)該有三個或者更多字符���,因為方案限定了范圍
并且需要3個字符來表示999��。給定序列號模式134和基本值�����,如下構(gòu)建序列號串a(chǎn))基本值必須在[開始值����,開始值+數(shù)目-I]的范圍內(nèi);b)然后�,以指定的格式表示基本值;c)然后����,取決于總字符屬性,或者從左邊(或者最高位端)截斷所產(chǎn)生的字符串�����,或者在左邊以零來填充����。d)然后在所產(chǎn)生的字符串中插入任何的靜態(tài)字符串。示例A :如果模式A=(開始=I,數(shù)目=100,字符=4,底值=16)并且基本值=55�,結(jié)果是序列號0037�����。這是因為55在范圍之內(nèi)����,55的十六進制格式是37�,并且需要4個字符���,從而填充兩個零�。如果基本值=3��,結(jié)果是序列號0003����。示例B:如果模式B=(開始=I,數(shù)目=100,字符=3,底值=10,靜態(tài)字符串I=(位置=3,字符串=X)����,靜態(tài)字符串2 =(位置=1,字符串=_))并且基本值=56�����,結(jié)果是序列號字符串0-56X����。這是因為56在范圍之內(nèi),56已經(jīng)是以10為底的格式,將X插入在位置3處(即���,最低位端的位置)并將破折號(_)插入在位置I處(即����,最高位端的位置)�。使用零來填充序列號字符串,因為56僅是兩個字符�。如果基本值=1,結(jié)果是序列號字符串0-0IX����,以兩個零來填充。當從控制器22向裝置18發(fā)送序列號模式時(記錄為控制器活動日志)�,當裝置18產(chǎn)生序列號并向代理20發(fā)送時(記錄為裝置活動日志),以及將由代理20使用序列號時(記錄為代理活動日志)�����,順序化服務(wù)模塊創(chuàng)建日志���。將所有日志保存在控制器22上(在收集之后)并且可以用于監(jiān)視和跟蹤序列號��。每次向代理20發(fā)布序列號時�,進行發(fā)布的裝置的信用遞減1�����,并且針對該產(chǎn)品的序列號庫存也遞減�����。在控制器22和裝置18之間的同步操作期間�����,對這兩個等級都進行補充���,并且它們都用于計量裝置18的序列號使用��。圖8示出了用于基于圖2所示的基本AMS序列圖來實現(xiàn)順序化服務(wù)模塊的序列 圖��。在圖8中可以看出���,控制器22產(chǎn)生順序化模式134,將其與產(chǎn)品綁定�����,然后將產(chǎn)品與裝置18綁定,并向裝置18發(fā)送該產(chǎn)品和模式����,由此產(chǎn)生和計量序列號。
轉(zhuǎn)回到圖7A��,示出了順序化產(chǎn)品工作流程���。在該示例中�����,通過對順序化模式進行文件編制�����,并向AMS管理者傳送所提出的模式�����,商業(yè)管理者可以定義順序化模式�。然后��,AMS管理者可以使用控制器⑶I 8來產(chǎn)生順序化模式134�����。商業(yè)管理者還可以定義順序化產(chǎn)品,對該產(chǎn)品定義編制文件并向AMS管理者傳遞該定義�����。然后��,AMS管理者可以使用控制器GUI8��,根據(jù)該定義創(chuàng)建順序化產(chǎn)品���。然后,AMS管理者將序列號模式與產(chǎn)品綁定���,將產(chǎn)品與裝置綁定�,并使用控制器22來與裝置18同步序列號模式��。裝置18然后使用代理20來注入序列號�����,例如�����,根據(jù)圖8中示出的序列進行注入。
當被定義時��,AMS 10為順序化產(chǎn)品指派唯一的產(chǎn)品ID��,并由操作者提供唯一的標識名稱��,以與其他產(chǎn)品加以區(qū)分�。針對各個順序化產(chǎn)品,裝置18可以直接向代理20傳送序列號或者可以經(jīng)由FCT 50傳送序列號��。如果經(jīng)由FCT 50傳送序列號�,那么操作者將(在下面提供的示例中)需要在要存儲序列號的ACC 12內(nèi)指定2字節(jié)的存儲器偏移(十六進制),并且還指定了 8字節(jié)的記錄標簽值(十六進制)���。裝置18從控制器22接收序列號產(chǎn)品/模式�����,響應(yīng)來自代理20的針對序列號的請求���,基于序列號模式134產(chǎn)生序列號,計量序列號����,從代理20接收回日志��,并將日志發(fā)送回控制器22���。針對向代理20傳送的每個序列號,裝置信用減少1�,且如果信用到達零(0)���,不應(yīng)再傳送序列號�����。當要經(jīng)由FCT 50傳送序列號時����,不應(yīng)該能夠直接進行傳送����,S卩,裝置18應(yīng)該拒絕任何這樣的請求���。同樣地��,當經(jīng)由FCT 50傳送時��,裝置18中的記錄應(yīng)該與直接傳送序列號時相同���,除非還應(yīng)該記錄ACCUID�����,�����。應(yīng)該對可配置的接收塊大小進行調(diào)節(jié)(在單個塊中從裝置18返回的日志數(shù))�。當經(jīng)由FCT 50傳送序列號時���,應(yīng)該保護ACC旗標��、記錄標簽和存儲器地址數(shù)據(jù)在裝置18上免受篡改����。代理20應(yīng)該能夠使用代理API 21或守護程序API 23�����,通過順序化產(chǎn)品名稱和數(shù)目從裝置18請求序列號。代理20還應(yīng)該支持用于傳送的兩種機制��,即直接或者經(jīng)由FCT50����。代理20應(yīng)該記錄各個序列號的使用,并向裝置18返回日志����。代理20還應(yīng)該將已丟棄的序列號記錄為已浪費。當經(jīng)由FCT 50傳送序列號時����,代理中的記錄應(yīng)該與直接傳送序列號時相同����,除非還應(yīng)該記錄ACC UID0如上討論的,代理20從測試應(yīng)用116b獲得日志數(shù)據(jù)128�����,例如�����,當使用守護程序API 23時。已經(jīng)發(fā)現(xiàn)�����,AMS 10提供的審計通道使得在制造過程期間能夠進行各種相關(guān)�����。例如�����,當在測試器16中向芯片添加序列號時���,測試器16 —般知道特定芯片在晶片上的位置���。可以將該位置信息與所添加的序列號一起加以記錄�����,并最終由控制器將該信息存儲到關(guān)系型數(shù)據(jù)庫HO中����。這樣����,在稍后的時間����,如果在制造過程中芯片測試不成功,可以使用該關(guān)系型數(shù)據(jù)庫110��,將失敗的芯片的序列號與其在管芯上的位置相關(guān)����,以確定是否在機器內(nèi)的過程或者位置的特定部分中發(fā)生故障。在另一示例中�,可以使用與序列號的添加相關(guān)聯(lián)的時間戳來跟蹤特定機器在特定時間的故障,或者甚至在所謂的芯片盜竊中識別特定的雇員���。因此,審計通道6和關(guān)系型數(shù)據(jù)庫110可以用于各種數(shù)據(jù)挖掘和分析���,以提高責任承擔以及識別和矯正制造過程中的故障的根本原因�。密鑰注入現(xiàn)在轉(zhuǎn)回到圖7B����,密鑰注入服務(wù)模塊是對將密鑰注入到產(chǎn)品中的安全手段(例如����,設(shè)備14)進行提供的AMS 10的配置����。為了提供該服務(wù),使用控制器22來定義一個或多個密鑰類型138��。密鑰類型138定義了密鑰在文件中的格式�����。然后����,如圖7B中僅以示例的方式示出的,使用控制器22來定義產(chǎn)品模型140���,然后將一個或多個密鑰類型138與各個產(chǎn)品模型140綁定����。已經(jīng)發(fā)現(xiàn)����,通過將密鑰直接添加到產(chǎn)品定義而不將密鑰類型與產(chǎn)品分開�,根據(jù)客戶在不同的應(yīng)用中定義項目名稱和產(chǎn)品類型的不同方式�,可能發(fā)生混淆。例如��,如果將多個密鑰類型添加到“產(chǎn)品桶(product bucket) ”中��,則在產(chǎn)品信用低的時候���,就可能難以確定哪個密鑰低��,并從而難以知道加滿哪個密鑰�。通過如圖7B所示將密鑰類型138與產(chǎn)品140分開���,提供了附加的抽象等級�,以更接近地反映客戶一般如何利用資產(chǎn)�。這樣,可以使用控制器22來定義產(chǎn)品類型140��,該產(chǎn)品類型140可以形成一個或多個密鑰類型138以及其他資產(chǎn)的“二進制數(shù)據(jù)塊(blobs) ”�����,以避免不注意地載入不正確的密鑰�����,并更好地對各個密鑰類型138的實際庫存等級進行跟蹤����。由此,當導(dǎo)入密鑰時(例如在如圖7B中所示的DVD 136上)�����,根據(jù)密鑰類型將密鑰分隔在截然不同的“桶”中����,而不是試圖向特定產(chǎn)品直接分配密鑰,然后在沒有必要地將針對該產(chǎn)品類型140使用的密鑰的數(shù)目和類型進行邏輯相關(guān)的情況下����,由不同的名稱來指代該特定的產(chǎn)品。取而代之地�,通過密鑰類型138來對密鑰進行簡單分隔,然后通過產(chǎn)品類型140抽象的方式來定義客戶定義的關(guān)聯(lián)��。同樣地��,當定義產(chǎn)品140時,可以建立特定的許可��,以使得產(chǎn)品140僅使用特定的密鑰類型���,例如���,來自于特定的分銷商。由于可以根據(jù)各種合同約束提供特定的密鑰類型138��,對密鑰類型138的分隔 和分配進行的更好控制確保了遵守這種合同約束���。圖7B中還示出了密鑰轉(zhuǎn)換139��,可以通過客戶特定的方式來使用密鑰轉(zhuǎn)換139��,以修改特定的密鑰類型138����。如圖7B所示����,可以在導(dǎo)入密鑰時應(yīng)用密鑰轉(zhuǎn)換139,例如��,是否該密鑰類型138的密鑰總是要以該種方式轉(zhuǎn)換��,以使得可以對所變換的密鑰類型138進行定義���。備選地�����,可以在進行傳送之前或者傳送時應(yīng)用密鑰轉(zhuǎn)換139�����,其中����,在產(chǎn)品特定的基礎(chǔ)上或者在應(yīng)用特定的基礎(chǔ)上對密鑰進行轉(zhuǎn)換����。在又一個備選中,可以在向代理20傳送密鑰之前在裝置18處應(yīng)用密鑰轉(zhuǎn)換139����。當確定在何處應(yīng)用密鑰轉(zhuǎn)換139時,應(yīng)該基于密鑰轉(zhuǎn)換139位于何處來進行安全考慮����,例如�,當由于裝置18位置處的較低可信度���,導(dǎo)致在裝置18處要求較高安全性�?����?梢宰⒁獾?,通過如圖所示分隔密鑰類型138和產(chǎn)品類型140,可以將轉(zhuǎn)換139與產(chǎn)品140而不是密鑰類型138相關(guān)聯(lián)����,以最小化所要求的密鑰類型138的數(shù)目。換言之����,當導(dǎo)入時,可以將密鑰類型138分隔地存儲�,并且根據(jù)產(chǎn)品類型140執(zhí)行密鑰轉(zhuǎn)換139,以避免添加又一個密鑰類型138以及這可能導(dǎo)致的潛在混淆���。一旦定義了密鑰類型138���,可以使用⑶I 8將該類型的密鑰從密鑰文件(例如����,經(jīng)由DVD 136)導(dǎo)入到控制器22上�。然后���,操作人員可以使用⑶I 8來指定要向裝置18發(fā)送的密鑰的數(shù)目��。如果已經(jīng)定義了散列�,那么AMS 10驗證該散列值���。不管同步操作何時發(fā)生���,在安全、加密的連接上(例如��,SSL)向在制造商位置處的裝置18發(fā)送密鑰���,在本示例中���,自動地發(fā)送���。然后,可以使用代理API 21或守護程序API 23����,通過產(chǎn)品名稱請求密鑰。當代理20取回密鑰時����,其請求產(chǎn)品或者該產(chǎn)品的單位數(shù)目。裝置18查詢與該產(chǎn)品綁定的所有密鑰類型�����,并返回針對各個密鑰類型的指定數(shù)目的密鑰��。然后����,代理20將密鑰注入到裝配線上的每個管芯中?�?梢詫⒚荑€注入產(chǎn)品綁定到一個或多個裝置18���,各個綁定具有最小和最大的庫存等級��。當將產(chǎn)品綁定到裝置18時���,控制器22將其密鑰的庫存保持在指定的最大等級��。一旦已經(jīng)從控制器22向裝置18發(fā)送了庫存�,便不能召回或者撤銷密鑰���。控制器22跟蹤針對各個密鑰類型138已經(jīng)注入了多少密鑰����,并使得這些結(jié)果在⑶I 8上可獲得。圖9示出了用于執(zhí)行密鑰注入服務(wù)的示例序列圖��?�?梢钥闯?�,當與順序化相比較時�����,密鑰注入也具有將密鑰從文件導(dǎo)入的步驟,然而��,可以意識到�����,也可以由控制器22產(chǎn)生密鑰���,并且是在定義密鑰類型的時候進行�����。因此���,圖9中示出的序列僅用于示出的目的。當實現(xiàn)針對密鑰注入的AMS 10時��,在將密鑰數(shù)據(jù)導(dǎo)入到控制器22上后�����,不應(yīng)該以明文方式存儲密鑰數(shù)據(jù)����。解密僅應(yīng)該發(fā)生在裝置18向代理20傳送密鑰時���,除非使用了 ACC12,在使用ACC 12的這種情況下��,不對數(shù)據(jù)解密�����,直到ACC 12對該數(shù)據(jù)進行了處理(S卩���,通過處理FCT 50內(nèi)的密鑰)�����。密鑰類型138具有定義了文件中的密鑰格式的若干屬性。針對HDCP_TX密鑰�����,下面在表I中提供了一般的密鑰類型定義���。
名稱HDCP—TX 最小長度為I個字符并且最大長度 為256個字符的字符串��,其唯一地標
___識密鑰類型��。_
總長度308__密鑰字節(jié)流的總長度�。_
密鑰唯一 id偏I OI密鑰字節(jié)流中基于O的偏移,在其中___可以發(fā)現(xiàn)密鑰標識符����。_
密鑰唯一id長8密鑰標識符的長度。
___
密鑰數(shù)據(jù)偏移8密鑰字節(jié)流中基于O的偏移���,在其中
__可以發(fā)現(xiàn)密鑰數(shù)據(jù)_
密鑰數(shù)據(jù)長度280__密鑰數(shù)據(jù)的長度�����。_
散列算法 SHA-I用來檢查密鑰數(shù)據(jù)的完整性的散列
__算法��。_ 散列數(shù)據(jù)偏移288密鑰字節(jié)流中基于O的偏移���,在其中
___可以發(fā)現(xiàn)散列。_
散列數(shù)據(jù)長度20散列的長度�����。散列用于檢驗密鑰的完
___整性���。_
散列保護偏移O密鑰字節(jié)流中基于O的偏移��,在其中
___可以計算散列�����。_
散列保護長度288_用于計算散列的數(shù)據(jù)長度���。_
密鑰文件報頭8密鑰文件報頭的長度���。
長度___表I :樣本密鑰類型定義將密鑰注入服務(wù)模塊配置為當向裝置18發(fā)送密鑰時,當向代理20發(fā)送密鑰時以及當由代理20消耗密鑰時�,創(chuàng)建日志(分別是控制器活動日志、裝置活動日志��、代理活動日志)����,而不管其是成功、失敗還是被浪費掉���。圖9中示出了這種記錄事件。在由裝置18在同步操作期間返回之后���,所有的日志都被存儲在控制器22上�,并且可以被用來監(jiān)視和跟蹤密鑰使用。每次向代理20發(fā)布密鑰時���,裝置的信用遞減1���,并且針對該產(chǎn)品的密鑰庫存也遞減。在控制器22和裝置18之間的同步操作期間��,對這兩個等級都進行補充�����,并且都使用其來計量在裝置18上的使用�����。類似于順序化��,AMS 10向各個密鑰注入產(chǎn)品指派唯一的產(chǎn)品ID以及由操作者提供的唯一的標識名稱�����。針對各個密鑰注入產(chǎn)品��,應(yīng)該允許以上討論的兩個機制��,即直接向代理20提供密鑰,以及使用FCT 50來進行傳送����。如果經(jīng)由FCT 50傳送密鑰,操作者也可以指定ACC 12內(nèi)的2字節(jié)的存儲器偏移以及8字節(jié)的記錄標簽值����。AMS 10向各個密鑰類型138指派唯一的密鑰類型ID以及由操作者提供的唯一的標識名稱。在本示例中�����,將密鑰視為字節(jié)流�����??梢詮脑诳刂破?2本地的文件(例如,DVD 136)導(dǎo)入一批明文的已排序的密鑰�。AMS 10向各個密鑰指派唯一的密鑰ID??梢宰⒁獾剑撐ㄒ坏拿荑€ID與密鑰中的密鑰標識符不是同一個�����。還可以從⑶I 8運行所在的遠程計算機導(dǎo)入密鑰文件�����。特別的情況是允許對被PGP加密的HDCP密鑰進行PGP解密�,然后導(dǎo)入。存在著支持這些HDCP密鑰的特定文件格式�����。針對PGP解密����,可以使用GNU GPG。在這種情況下��,假定所要求的證書和私鑰都已經(jīng)導(dǎo)入到GNU GPG中�����。
在特定的密鑰類型138的導(dǎo)入期間����,如果使用了密鑰標識符,那么密鑰的密鑰標識符將與針對該密鑰類型138的所有之前導(dǎo)入的密鑰標識符相比較��。可以注意到�����,這種機制不能保護密鑰文件免于為另一密鑰類型所再次使用����,并因而應(yīng)該使用操作規(guī)則進行避免。在特定密鑰類型的導(dǎo)入期間����,如果使用了散列,那么針對所有的密鑰計算散列并進行檢驗��。不使用HSM 19來執(zhí)行這種散列計算�����。如果已經(jīng)有導(dǎo)入特定密鑰類型的密鑰的作業(yè)正在運行中�,應(yīng)該防止操作者導(dǎo)入該相同密鑰類型的密鑰。應(yīng)該允許ー個或多個密鑰與密鑰注入產(chǎn)品綁定��?��?梢詫⒏鱾€密鑰類型指派給多個產(chǎn)品���。針對各個產(chǎn)品中的各個密鑰類型,應(yīng)該對要求這些密鑰類型中的多少密鑰類型進行指定���。應(yīng)該能夠?qū)⒚荑€類型從產(chǎn)品解除綁定����,但這僅在該產(chǎn)品沒有綁定到任何裝置18的情況下進行��。應(yīng)該允許各個密鑰注入產(chǎn)品綁定到ー個或多個裝置18�����。各個裝置18可以具有多個為其指派的密鑰產(chǎn)品����,并且應(yīng)該能夠?qū)⒚荑€注入產(chǎn)品從裝置18解除綁定?�?刂破?2不應(yīng)向裝置18發(fā)送復(fù)制的密鑰�����。一旦已經(jīng)向裝置傳送了密鑰,就應(yīng)該將其從控制器22刪除�����。類似于順序化����,應(yīng)該使用計量系統(tǒng),并且一旦向裝置18發(fā)布密鑰�����,就不應(yīng)該能夠?qū)⑵浞祷?��、召回或者撤銷���。當經(jīng)由FCT 50傳送密鑰時,裝置18和代理20中的記錄應(yīng)該與直接傳送密鑰的時候相同�,只是還包括了 ACC UID0密鑰注入服務(wù)模塊還可以支持在導(dǎo)入密鑰之前在控制器22處處理密鑰,使得可以對密鑰進行任何轉(zhuǎn)換��,在本文中將其稱為密鑰導(dǎo)入簽名對象���。應(yīng)該能夠?qū)γ荑€導(dǎo)入簽名對象進行定義����,其中,AMS 10向各個簽名對象指派唯一的簽名對象ID����,并且向各個簽名對象指派由操作者提供的唯一的標識名稱。簽名對象是駐留在控制器22上的共享對象�,并且使用簽名來進行加密保護���。然后�,在將其導(dǎo)入以允許操作者對密鑰進行轉(zhuǎn)換之前����,針對每個密鑰,調(diào)用共享對象中的功能一次��?�?梢宰⒁獾?�,可以對密鑰標識符(例如����,在HDCP的情況下�,KSV)進行拷貝�����,以使得即使在簽名對象已經(jīng)潛在地將其弄亂(obfuscate)的情況下�,控制器22也總是可以對其進行訪問。應(yīng)該能夠?qū)⒚荑€導(dǎo)入簽名對象指派給ー個或多個密鑰類型138�����,并且各個密鑰類型138應(yīng)該能夠具有最多一個所指派的密鑰導(dǎo)入簽名對象�。也應(yīng)該能夠?qū)⒚荑€導(dǎo)入簽名對象從密鑰類型138解除指派?���?刂破?2當被配置用于密鑰注入?yún)迹€可以支持密鑰轉(zhuǎn)換插件139���,密鑰轉(zhuǎn)換插件139使得在對密鑰解密之后但在將其發(fā)送至裝置18之前��,可以在控制器22處對該密鑰進行處理�?��?梢詫⑵浞Q為密鑰至裝置轉(zhuǎn)換�。密鑰轉(zhuǎn)換插件139允許例如基于每個客戶或者每個產(chǎn)品來進行對密鑰的硬件特定或者端對端協(xié)議特定的修改。這使得可以進行諸如用于糾錯的比特分配之類的修改����,并且可以在導(dǎo)入密鑰時或者在向裝置18傳送之前執(zhí)行該轉(zhuǎn)換。應(yīng)該能夠?qū)@種密鑰至應(yīng)用轉(zhuǎn)換139進行定義��,并且AMSlO應(yīng)該為各個轉(zhuǎn)換指派唯一的簽名對象ID���,應(yīng)該為各個轉(zhuǎn)換指派操作者所提供的唯一的標識名稱����。轉(zhuǎn)換是駐留在控制器22上的共享對象����,并且應(yīng)該使用簽名來進行加密保護�。在將其向裝置18發(fā)送以對密鑰進行轉(zhuǎn)換之前,針對每個密鑰����,調(diào)用共享對象中的功能一次?����?梢宰⒁獾剑瑧?yīng)該對密鑰標識符進行拷貝�����,以使得即使在轉(zhuǎn)換已經(jīng)發(fā)生的情況下�����,控制器22也總是可以對其進行訪問����。當綁定到產(chǎn)品時,應(yīng)該能夠向密鑰至裝置轉(zhuǎn)換指派ー個或多個密鑰類型138�。各個綁定的密鑰類型138應(yīng)該具有最多一個所指派的密鑰至裝置轉(zhuǎn)換。也應(yīng)該能夠?qū)⒚荑€至裝置轉(zhuǎn)換與產(chǎn)品中的密鑰類型解除指派��。密鑰注入服務(wù)模塊還可以支持裝置簽名對象����,這允許在對密鑰解密之后但在將其向代理20發(fā)送之前,在裝置18處對該密鑰進行后處理��。關(guān)于裝置簽名對象����,還應(yīng)該支持密鑰通過(pass-through)�。取決于是啟用密鑰通過還是禁用密鑰通過���,強制在裝置18將向代理20發(fā)送密鑰之前���,是否應(yīng)該呈現(xiàn)裝置簽名對象。在本文中將其稱為密鑰至代理簽名對象���。應(yīng)該能夠?qū)γ荑€至代理簽名對象進行定義�,并且���,AMS 10向各個簽名對象指派唯一的簽名對象ID���,并且向各個簽名對象指派由操作者提供的唯一的標識名稱����。簽名對象是駐留在控制器22上的共享對象,并且由簽名來進行加密保護���。在將其向裝置18發(fā)送以對 密鑰進行轉(zhuǎn)換之前�����,針對每個密鑰����,可以調(diào)用共享對象中的功能?�?梢宰⒁獾?����,還應(yīng)該對密鑰標識符進行拷貝��,以使得即使在轉(zhuǎn)換發(fā)生的情況下�,控制器22也可以對其進行訪問。應(yīng)該能夠向密鑰至代理簽名對象指派ー個或多個密鑰類型��。各個密鑰類型應(yīng)該具有最多ー個所指派的密鑰至代理簽名對象�����,并且也應(yīng)該能夠?qū)⒚荑€至代理簽名對象與密鑰類型解除指派����。密鑰注入服務(wù)模塊還可以支持只讀同步模式,其中,控制器僅查詢當前密鑰等級�,并在不傳送新密鑰的情況下從裝置取回日志。裝置18不應(yīng)該向代理20發(fā)送復(fù)制的密鑰���,并且一旦密鑰已經(jīng)傳送��,應(yīng)該將其從裝置18刪除��。當經(jīng)由FCT 50傳送密鑰時�,不應(yīng)該能夠?qū)⑵渲苯觽魉?�,并且當將密鑰注入產(chǎn)品與裝置18解除綁定時���,應(yīng)該將屬于該產(chǎn)品的所有密鑰從裝置18刪除�。代理20應(yīng)該能夠通過產(chǎn)品名稱和數(shù)目從裝置18請求密鑰ニ進制數(shù)據(jù)塊�����,并且取決于將多少密鑰類型綁定到該產(chǎn)品�����,各個密鑰ニ進制數(shù)據(jù)塊應(yīng)該包含ー個或多個密鑰���。例如�,如果產(chǎn)品利用3個密鑰類型���,密鑰ニ進制數(shù)據(jù)塊將包括3個密鑰�。代理20不應(yīng)該向測試器16發(fā)送復(fù)制的密鑰���。一旦向測試器16傳送了密鑰���,就應(yīng)該將其從代理20刪除。代理20還應(yīng)該分別記錄密鑰ニ進制數(shù)據(jù)塊中的各個密鑰的使用��,并且應(yīng)該記錄預(yù)期丟棄的任何密鑰��。特征激活如圖7C所示�,當配置為提供特征激活服務(wù)模塊吋,AMS 10使用ACC 12提供在加工之后動態(tài)激活或去激活產(chǎn)品的特征組的安全手段�����。如上提到的����,還可以將ACC 12與順序化和密鑰注入服務(wù)模塊一起使用,但是對于與特征激活服務(wù)模塊一起使用來說,特別地有利��。為了提供該服務(wù)���,使用控制器22來定義ー個或多個FCT 50�,然后定義產(chǎn)品模型。然后,將FCT 50綁定到各個產(chǎn)品模型�����,在這種情況下���,還將所有的FCT50綁定到生產(chǎn)該產(chǎn)品的裝置18。然后使用ACC 12將FCT 50應(yīng)用到裝配線上的各個管芯��?��?梢詫a(chǎn)品綁定到一個或多個裝置18�,各個綁定具有最小和最大的庫存等級�����。當將產(chǎn)品綁定到裝置18時�,控制器22將其FCT 50的庫存保持在指定的最大等級。一旦已經(jīng)從控制器22向裝置18發(fā)送了庫存等級�����,就不應(yīng)該能夠召回或者撤銷FCT 50��?���?刂破?2跟蹤已經(jīng)有多少FCT 50應(yīng)用到各個產(chǎn)品,并使得這些結(jié)果在⑶I 8上可獲得�。在本文描述的示例中,ACC 12包含256比特(32字節(jié))特征寄存器120���、標簽寄存器和NVRAM��。特征寄存器120意在用于控制(開啟或關(guān)閉���,或者部分開啟或部分關(guān)閉)設(shè)備14上的特征。確切地如何開啟�、關(guān)閉特征等取決于設(shè)備。使用通過FCT 50的提供的ACC命令來從特征寄存器120��、標簽寄存器和NVRAM讀取數(shù)據(jù)����,或者將數(shù)據(jù)寫入到特征寄存器120���、標簽寄存器和NVRAM中。FCT 50包含特征數(shù)據(jù)和記錄標簽���。特征數(shù)據(jù)確定激活或者去激活哪些產(chǎn)品特征�����。記錄標簽提供對ACC 12將要使用特征數(shù)據(jù)來激活哪些特征的記錄����。將特征數(shù)據(jù)編程進ACC特征寄存器120中��,將記錄標簽編程進ACC標簽寄存器中����。記錄標簽的值也取決于客戶。寫入特征寄存器的兩個命令(下面更詳細地進行描述)是SETFEAT和SETFEAT_TEMP��。當使用后者時���,特征數(shù)據(jù)不存儲在NVRAM中�����,并且可以在掉電時丟失���。在本示例中,ACC 12還包含64比特(8字節(jié))記錄標簽(寄存器)�。記錄標簽意在用于記錄將什么編程到ACC 12上。當使用寫到ACC 12的任何命令(除了 SETFEAT_TEMP)時���,對記錄標簽進行設(shè)置�����。如何對記錄標簽進行解釋取決于應(yīng)用����。ACC 12還包含NVRAM���,其數(shù)量取決于實現(xiàn)��。寫到NVRAM的命令是WRACCESS���?����?梢詫懙臄?shù)據(jù)的最大量通常是強制的���,例如,500字節(jié)�����。將什么寫到NVRAM以及寫到何處取決于實現(xiàn)���。不管同步操作何時發(fā)生��,在安全�����、加密的連接(例如�,SSL)上自動向在制造商位置處的裝置18發(fā)送FCT 50���。然后���,代理20可以使用代理API 21或守護程序API 23來通過產(chǎn)品名稱請求FCT 50��。當代理20請求特征激活產(chǎn)品時�����,其可以獲得與該產(chǎn)品単獨綁定的所有FCT 50����。當代理20從裝置18取回FCT 50時���,其查詢所有的服務(wù)模塊,尋找具有該名稱的支持ACC的產(chǎn)品�,在這種情況下,可以向代理20傳送多個FCT50�����,然后向ACC 12單獨發(fā)送����。代理API 21可以不與ACC 12直接接合,在這種情況下���,要求與實現(xiàn)相關(guān)的接ロ���。當使用特征激活服務(wù)模塊時�����,在特征數(shù)據(jù)離開控制器22之后以及在進入ACC 12之前����,該特征數(shù)據(jù)絕不應(yīng)該是明文形式�。從圖IOA中可以看出,在向裝置發(fā)送特征數(shù)據(jù)時�����、在向代理20發(fā)送特征數(shù)據(jù)時以及在向ACC 12發(fā)送特征數(shù)據(jù)吋�����,特征激活服務(wù)模塊創(chuàng)建日志(分別是控制器日志�、裝置日志和代理日志)。當在同步操作期間由裝置18返回之后�����,將所有的日志存儲在控制器上,并且可以使用該日志來監(jiān)視和跟蹤特征使用��。毎次在裝置18上使用特征數(shù)據(jù)時��,裝置信用遞減1�����,并且各個裝置18還維持特征數(shù)據(jù)產(chǎn)品等級�,毎次使用特征數(shù)據(jù)時,該特征數(shù)據(jù)產(chǎn)品等級遞減I�����。當控制器22與裝置18同步時����,對特征數(shù)據(jù)等級和信用等級進行補充�����。這兩種機制都被用來計量裝置18上的特征數(shù)據(jù)使用���。在圖IOA中�����,對產(chǎn)品和特征數(shù)據(jù)的定義�����、以及FCT 50的傳送和日志報告與在順序化和密鑰注入中使用的機制類似����。然而,可以觀察到�,當利用ACC 12吋,將資產(chǎn)的注入或應(yīng)用的正常循環(huán)分隔為循環(huán)對����,循環(huán)I涉及密鑰產(chǎn)生,循環(huán)2在循環(huán)I內(nèi)�,涉及特征編程。通過提供下面會詳細描述的命令cmd[STARTACC]來發(fā)起循環(huán)I��。通過提供命令cmd[ST0PACC]來終止循環(huán)��。圖IOB中更詳細地示出了循環(huán)�。一旦提供cmd[STARTACC],ACC 12就產(chǎn)生公鑰�����,并且在一些時間后,代理20通過發(fā)送命令cmd[REQRESP]來請求響應(yīng)�,以獲得ACC公鑰。代理20繼而向裝置18提供這些公鑰�,裝置18使用這些密鑰來產(chǎn)生共享密鑰,例如�����,使用稍后作為示例的ECMQV協(xié)議�。裝置18現(xiàn)在已打開了與ACC 12的安全連接,并且可以計量和加密特征并記錄該事件�����。然后���,向代理20提供裝置公鑰和加密的特征。代理20然后通過包 括FCT 50的命令cmd[INITIAL FCT | FCT]來發(fā)起特征編程循環(huán)��。然后�,ACC 12將特征編程在特征寄存器120中,并且代理使用cmd[REQRESP]來再次請求響應(yīng)��。作為響應(yīng),ACC 12提供與特征編程步驟有關(guān)的已加密的響應(yīng)�,以及代理20記錄該事件。由于建立了安全連接�,如上提到的,可以在循環(huán)終止之前應(yīng)用附加的特征編程步驟����。因此,可以看出��,當實現(xiàn)具有ACC 12的AMS 10時�,資產(chǎn)的一般性提供和傳送與不要求ACC 12的那些服務(wù)類似,同時還要求建立與ACC 12的安全連接所需的附加考慮和命令���??梢砸庾R到��,還適于在順序化和密鑰注入服務(wù)模塊中使用這些操作��,以利用FCT 50來攜帯序列號和密鑰���。由此�,使用由AMS 10提供的公共應(yīng)用框架��,各種實現(xiàn)都是可用的。關(guān)于在本文中作為示例的其他服務(wù)模塊�,針對特征激活,AMS 10應(yīng)該向各個產(chǎn)品指派唯一的產(chǎn)品ID以及由操作者提供的唯一的標識名稱���。AMS 10可以向各個所定義的特征指派唯一的特征ID以及由操作者提供的唯一的標識名稱�����。各個特征對命令類型進行定義���,在本示例中,是32字節(jié)的數(shù)據(jù)值�����。應(yīng)該允許將ー個或多個特征綁定到特征激活產(chǎn)品����,并 且將各個特征綁定到多個產(chǎn)品。應(yīng)該能夠?qū)⑻卣鲝漠a(chǎn)品解除綁定����,但僅在產(chǎn)品沒有綁定到任何裝置18的情況下進行����?��?梢詫⒏鱾€特征激活產(chǎn)品綁定到ー個或多個裝置18,并且各個裝置18可以具有多個向其指派的特征激活產(chǎn)品���?���?梢詫崿F(xiàn)計量過程�,在該過程中,控制器22將在同步操作期間加滿裝置18上的特征激活產(chǎn)品等級�����。操作者將定義告警��,最小和最大等級����,與本文中作為示例的其他服務(wù)模塊相類似。如果特征激活產(chǎn)品沒有綁定到任何裝置18���,可以在控制器22上對其進行修改/刪除����,并且如果沒有對特征指派任何特征激活產(chǎn)品,可以在控制器22上對其進行修改/刪除���。如果沒有產(chǎn)品綁定到裝置18����,可以在控制器22上刪除該裝置18����。應(yīng)該保護特征命令、記錄標簽和數(shù)據(jù)在裝置18上免受篡改�����,并且應(yīng)該支持只讀同步模式����,以使得在不提供更多FCT50的情況下進行查詢以及獲得日志。裝置18支持使用以下在圖51至66中定義的協(xié)議�,經(jīng)由代理20向ACC 12傳送特征。這包括從控制器22接收特征激活產(chǎn)品�����、響應(yīng)來自代理20的對特征激活產(chǎn)品的請求���、計量該產(chǎn)品����、從代理20接收回日志以及向控制器22發(fā)送回日志����。裝置18針對各個傳送的FCT 50對裝置信用進行遞減,并且當將特征激活產(chǎn)品從裝置18解除綁定時�����,應(yīng)該從裝置18中刪除屬于該產(chǎn)品的所有特征�。代理20可以通過特征激活產(chǎn)品名稱來從裝置18請求特征;可以使用上述協(xié)議與ACC 12進行接合�����;以及可以將產(chǎn)品中的各個特征分別向ACC 12傳送�����,記錄特征����,井向裝置18返回日志�。特征激活特征使用日志應(yīng)該包括正確地格式化的用于客戶日志數(shù)據(jù)的單字符串字段��。AMS ⑶I圖11至50示出了圖I和圖3中示出的⑶I 8的示例屏幕截圖����。在該示例中,⑶I8是基于web的應(yīng)用��,為AMS 10提供圖形界面�。如將要解釋的,⑶I 8被設(shè)計為由AMS操作者作為預(yù)期用戶�,并從而提供連接到AMS控制器22的能力,例如�,通過使用用戶名和密碼來登入。GUI8使得操作者可以通過產(chǎn)品14�、服務(wù)或者通過制造商來查看狀況信息;復(fù)核當前的警報���,管理和跟蹤當前在控制器22上活躍的作業(yè)����;查看和產(chǎn)生報告;查看關(guān)于控制器22的信息和統(tǒng)計數(shù)據(jù)�;管理裝置18和執(zhí)行與裝置18相關(guān)聯(lián)的操作;管理系統(tǒng)中的產(chǎn)品14并執(zhí)行與這些產(chǎn)品14相關(guān)聯(lián)的操作���;管理順序化模式����、密鑰類型和FCT 50 ;管理使得可以訪問控制器22和裝置18的用戶����、密碼和角色����;訪問針對特定應(yīng)用的在線幫助;以及確定與該應(yīng)用有關(guān)的信息(例如�����,編譯日期�、版本等)。
當實現(xiàn)為基于web的系統(tǒng)時���,可以通過啟動標準的web瀏覽器并將該瀏覽器指向適當?shù)腢RL來訪問⑶I 8�����。如圖11中所示���,⑶I 8可以包括快速狀況視圖200�,可以將其配置為當用戶登出或者控制器22鎖定時出現(xiàn)���。例如可以將快速狀況視圖200配置為在以下情況下出現(xiàn)=GUI 8在所登入的用戶的部分上不活躍超時后����,或者如果用戶點擊了鎖定按鈕或者從菜單選擇了類似的選項(未示出)����。快速狀況視圖200還使得可以甚至在沒有用戶登入時進行查看�。這樣,觀察者可以在不必登入的情況下查看狀況信息����、警報和其他關(guān)鍵消息。例如�����,當裝置18變成離線或者故障時,操作者或者甚至附近的另ー個人可以在不必首先登入的情況下立即意識到該情況�����?����?焖贍顩r視圖200還起到GUI 8的屏幕保護器的作用��,以使得如果預(yù)設(shè)的時間段過去而GUI 8中沒有動作��,則顯示200快速狀況視圖并且操作者可能需要再次登入以繼續(xù)�。這保護了 AMS 10免于無意的或者惡意的篡改��,同時仍然基于“只讀”提供重要的狀況信息��?����?焖贍顩r視圖200包括頂部202和底部204���。在頂部202中�����,針對AMS 10提供的服務(wù)顯示服務(wù)圖標206���。各個圖標通過顏色(例如��,紅或藍)指示是否存在與特定服務(wù)相關(guān) 聯(lián)的裝置18中任何裝置的問題或警報�。在底部204���,針對⑶I 8中定義的任何產(chǎn)品14顯示產(chǎn)品圖標208����。與頂部202相似���,各個圖標通過顏色指示在支持特定產(chǎn)品的系統(tǒng)或應(yīng)用中��,是否存在裝置18中任何裝置的問題或警報���。正常操作對問題狀態(tài)的不同顔色使得操作者可以快速識別問題,井深入該裝置18以及應(yīng)用來確定問題的來源�,并且如果需要,采取任何的補救動作�。如果需要���,底部204可以提供多行(未示出),例如當存在很多產(chǎn)品14吋���。在一些實施例中�,可以向操作者給出用于定義哪些產(chǎn)品14應(yīng)該出現(xiàn)在快速狀況視圖200中的選項�。通過點擊快速狀況視圖200上的圖標中的任何圖標,可以啟動用戶登入屏幕(未示出)�。一旦登入,可以向操作者呈現(xiàn)根據(jù)所選擇的圖標過濾的狀況視圖����。因此,在確定快速狀況視圖200中的特定服務(wù)的問題時�,操作者可以點擊該服務(wù)圖標206�����,并且在登入后����,可以將下ー視圖過濾到該服務(wù),例如�����,順序化。一旦在狀況視圖中���,操作者可以觀察哪個(些)裝置有警報���,并且雙擊(或者其他輸入)可以將操作者帶向與裝置18有關(guān)的信息的更詳細的視圖,使得其可以確定警報的來源�����。當?shù)侨霑r����,可以向登入屏幕給出與快速狀況視圖200以及其他屏幕相似的格式,并在字段之間進行區(qū)分����,可以使用不同的顔色突出顯示各個字段,并提供狀況欄來指示正在執(zhí)行什么��。如果存在錯誤登入��,可以在該表格的頂部以紅色背景來顯示非字段專用的消息��。一旦操作者已經(jīng)成功連接并登入到特定的控制器22,主應(yīng)用210出現(xiàn)����,如果用戶已經(jīng)選擇了特定的圖標206、208�,可以對主應(yīng)用210進行過濾。圖12中示出了提供裝置視圖的ー個示例�。為了方便導(dǎo)航,GUI 8提供一致的面板形式以及用干與該應(yīng)用交互的方法��。該示例中的主應(yīng)用210的主導(dǎo)航和信息區(qū)域包括應(yīng)用菜單欄212����、視圖面板214、主信息面板216���、狀況欄218和版本欄220�����。圖12中的應(yīng)用菜單欄212包括五個菜単,SP����,控制器(Controller)菜單�、服務(wù)(Services)菜單�、視圖(View)菜單、動作(Actions)菜單以及幫助(Help)菜単�����?���?刂破鞑藛问沟貌僮髡呖梢孕薷目刂破?2以及GUI 8的登出。服務(wù)菜單包括針對各個服務(wù)的項����,在本示例中,該各個服務(wù)包括順序化���、密鑰注入和特征激活����。視圖菜單使得操作者可以從各種視圖中選擇����,例如狀況、警報、作業(yè)��、報告����、控制器、裝置���、產(chǎn)品����、順序化模式�����、密鑰類型�����、特征控制票據(jù)(ticket)�����、用戶等�����。動作菜單根據(jù)所選擇的視圖而改變���。幫助菜單可以提供對各種幫助資源的訪問����,例如系統(tǒng)幫助���、管理員指南���、開發(fā)者指南、產(chǎn)品概述�、系統(tǒng)概述、用戶指南等��。
視圖面板214提供對⑶I 8中的不同視圖的快速訪問�。這種視圖可以包括狀況視圖、警報視圖�、作業(yè)視圖、報告視圖����、、控制器視圖、裝置視圖�、產(chǎn)品視圖、順序化模式視圖�、密鑰類型視圖、FCT視圖以及用戶視圖����。可以注意到��,在本示例中��,視圖面板214是對使用視圖菜單的備選��。在可應(yīng)用的情況下����,各個視圖項旁邊的數(shù)字指示了在AMS 10中活躍的相關(guān)項的數(shù)目(例如,警報視圖的警報數(shù)目�、作業(yè)視圖的作業(yè)數(shù)目等)。很多視圖還可以顯示允許操作者根據(jù)所選擇的服務(wù)來對數(shù)據(jù)中的項進行快速過濾的服務(wù)菜単�����。例如���,如果裝置視圖是活躍的����,并且在服務(wù)菜單中選擇了順序化項����,則裝置視圖可以顯示順序化服務(wù)活躍的所有裝置。當使用服務(wù)菜單來進行過濾時���,可以禁用并隱藏標準過濾器欄���。可以針對信息面板216中的各個項顯示附加的服務(wù)特定信息����,并且當在服務(wù)菜單中選擇服務(wù)時,額外的服務(wù)特定動作可以出現(xiàn)���。主信息面板216根據(jù)所選擇的視圖來顯示與系統(tǒng)中的對象有關(guān)的信息���。例如,對于作業(yè)視圖�����,數(shù)據(jù)區(qū)域中的各個項是系統(tǒng)中的作業(yè)。主信息面板216包括若干特征�。視圖標題欄222顯示活躍視圖的標題以及(如果當前顯示了表格)表格的標題。例如“ ModifyAppliance”的視圖標題欄222可以示出'APPLIANCES .MODIFY APPLIANCE”�����。對于當前屏幕�,視圖標題欄222還可以包含至上下文敏感的在線幫助的鏈接。服務(wù)欄223向操作者提供與其感興趣的服務(wù)相關(guān)的快速訓(xùn)練(hone in)�。圖12所示示例中的服務(wù)欄223在水平的格子中顯示圖標,并且可以包括以下項所有��、順序化�����、密鑰注入����、以及特征激活。選擇“所有”移除了所有的過濾器,并在沒有過濾的情況下顯示活躍視圖的結(jié)果。對剩余服務(wù)中的任意服務(wù)的選擇將顯示根據(jù)所選擇的服務(wù)過濾的活躍視圖。例如����,使用所選擇的服務(wù)的裝置����、涉及所選擇的服務(wù)的作業(yè)等。這樣�,操作者可以更容易地在由單個控制器22提供的多個服務(wù)以及裝置之間導(dǎo)航。可以針對數(shù)據(jù)區(qū)域中的各個項顯示附加的服務(wù)特定的信息�����,并且當在服務(wù)欄中選擇服務(wù)時��,額外的服務(wù)特定的動作可以出現(xiàn)�����。動作欄224在其左側(cè)包含各種具有下拉菜單的按鈕���,下拉菜單包含針對當前視圖有效的任何的附加動作��。在動作欄224的右側(cè)是搜索字段�����。取決于視圖���,在搜索字段中鍵入的文本對數(shù)據(jù)區(qū)域226中數(shù)據(jù)的內(nèi)容進行過濾����。例如����,對于裝置視圖,用戶可以通過裝置名稱���、制造商、位置或產(chǎn)品來進行搜索。取決于數(shù)據(jù)區(qū)域中所選擇的項或者是否存在任何所選擇的東西�,動作欄224中的動作可以是有效的或者是無效的���。如果動作是無效的����,其可以變灰�??偟膩碚f�,針對各個視圖的動作列表一致是且動作變得有效或者無效是有利的�。數(shù)據(jù)區(qū)域226呈現(xiàn)對于視圖適當?shù)男畔?�,如果需要,進行過濾���。在該示例中�����,各個視圖可以支持多達三個縮放等級�����,以使得當需要尋找故障或者識別各種設(shè)置時����,用戶可以方便地深入到進ー步的細節(jié)����。縮放級別可以是每頁ー項�、每三行ー項以及每行ー項�。這些縮放等級的簡寫是1行、3行����、以及詳細。動作欄224中的下拉菜單225允許操作者選擇縮放等級���。分頁欄228使得操作者可以在有太多項要放在一頁上時�,將很多項分頁。如果縮放等級是“詳細”����,可以是每個項ー頁���?��?梢詫⒎猪摍?28配置為當需要時自動出現(xiàn)。如果要顯示的信息適合單頁�,則分頁欄228不需要出現(xiàn)。在分頁欄228的左側(cè)是對數(shù)據(jù)區(qū)域226中呈現(xiàn)的信息的文本描述���,具有選擇每頁顯示項數(shù)以及應(yīng)該如何對其排序的下拉菜単��。例如�����,“按服務(wù)來查看10個項”�����,其中����,項數(shù)和排序字段是下拉菜単�����。還存在按鈕來在上升排序和下降排序之間進行切換。在分頁欄228的右側(cè)是分頁小工具230�,其可以包括描述顯示哪些項的文本(例如,“46個報告中的11-20”)��;去往第一頁的按鈕���;去往之前頁的按鈕����;文本“YY頁之XX”���,其中XX是允許用戶直接去往特定頁面的文本字段����,YY是總的頁數(shù)��;去往下ー頁的按鈕����;以及去往最后ー頁的按鈕。狀況欄218位于窗ロ的底部,并顯示關(guān)于控制器22的基本信息�����,以例如指示進行了連接以及與哪個操作者連接�����。如所有視圖所示的����,可以包括鎖定和刷新按鈕���。為了吸引操作者的注意�,如圖13所示�,可以修改數(shù)據(jù)區(qū)226以包括警報欄232,在所示示例中��,警報欄232指示所選擇的產(chǎn)品(數(shù)據(jù)區(qū)域226中示出的)在被稱為“TestApp” 的特定裝置18上具有低的庫存����。可以向警報欄232給出獨特并且加粗的顔色����,例如紅色�����,與其他警報一致�,以將注意力立即吸引到該警報����。在該示例中,警報欄232在數(shù)據(jù)區(qū)域226的寬度上延伸����,并包括涉及緊急情況的圖標,以進一歩像這樣識別該警報���。如圖14所示�,可以使用主應(yīng)用210來運行主狀況視圖234���,其以3種方式顯示裝置18 :按產(chǎn)品分組��,按制造商分組或者按位置分組����。如果通過點擊產(chǎn)品圖標208之ー來從快速狀態(tài)屏幕200訪問該視圖,如果按產(chǎn)品14來過濾該視圖���,或者如果選擇“按產(chǎn)品(ByProduct)”動作�,那么將按產(chǎn)品來對裝置分組��。否則�,按制造商對裝置18分組。圖14中示出的屏幕截圖按產(chǎn)品示出了視圖��。如果如圖14所示����,顯示按產(chǎn)品分組的裝置18����,顯示各個產(chǎn)品,示出與該產(chǎn)品相關(guān)聯(lián)的各個裝置18�����。如果顯示按制造商分組的裝置18�����,則顯示各個制造商,示出與該制造商相關(guān)聯(lián)的各個裝置18�����。如果顯示按位置分組的裝置18����,則顯示各個位置,示出與該位置相關(guān)聯(lián)的各個裝置18�。裝置圖標236包括服務(wù)指示器237,該服務(wù)指示器237指示哪個服務(wù)在特定的裝置上是活躍的����,并提供對裝置18當前有任何活躍的警報(通過將圖標上色為紅色)或者裝置18在正確地操作(通過將圖標上色為藍色)的指示。服務(wù)指示器237可以利用顏色編碼方案來指示各種狀態(tài)�����。例如��,橙色圖標可以指示該裝置18上的服務(wù)在資產(chǎn)上很低��,紅色圖標可以指示該服務(wù)有問題���,暗淡的或者“變灰”的圖標可以指示沒有將該服務(wù)指派給裝置18��,以及可以使用緑色圖標來指示沒有問題�����。在本示例中���,狀況視圖234使用単一的縮放等級����。視圖動作(或者雙擊特定的裝置)將操作者帶到裝置視圖的每頁ー項的縮放等級�,同時顯示所選擇的裝置18。與主狀況視圖234相關(guān)聯(lián)的動作是查看(View)����、按產(chǎn)品(Byproduct)、按制造商(By manufacturer)��、以及按位置(By location)����。操作者可以訪問圖15中示出的警報視圖238��,以檢查AMS 10中存在的任何警報����。圖15中示出的縮放等級是I行縮放等級����。在警報視圖238中�����,操作者可以查看告警��,ping被影響到的裝置18����,同步被影響到的裝置18,以及移除警報���??梢詫⒖刂破?2配置為在若干不同的環(huán)境下發(fā)布警報���,例如當控制器22不能夠聯(lián)系到裝置18時��,如果當控制器22向應(yīng)用發(fā)送數(shù)據(jù)時(或者反之)存在任何錯誤���,當同步操作失敗時�,當裝置18的資產(chǎn)的數(shù)目到達資產(chǎn)告警等級時��,當裝置18上的空閑磁盤空間到達告警等級時�����,當控制器22 (或者任何的裝置18)上的HSM 19對自身進行去激活時�,或者當裝置18阻擋了來自代理20的連接時(因為代理IP地址不在裝置18所管理的列表中)。如果發(fā)布了警報�,被影響到的裝置18出現(xiàn)在數(shù)據(jù)區(qū)域226中的警報視圖238中。警報視圖238提供對警報的描述�、識別發(fā)布警報所針對的服務(wù),并提供發(fā)布警報的時間���。對警報的正確響應(yīng)取決于警報的原因���。
操作者可以訪問圖16至18中示出的作業(yè)視圖240,以執(zhí)行與AMSlO中的作業(yè)相關(guān)聯(lián)的各種動作��,例如取消進行中的作業(yè)和移除完成的作業(yè)�。該示例中的作業(yè)視圖240支持圖16中示出的3行縮放模式240a����、圖17中示出的I行縮放模式240b以及圖18中示出的詳細縮放模式240c��。詳細縮放模式240c所給出的每個作業(yè)的完整信息集合是名稱�、作業(yè)ID���、系統(tǒng)(裝置18或控制器22)�、作業(yè)類型��、作業(yè)狀況����、開始時間、結(jié)束時間或者估計結(jié)束時間(如果可用)����、持續(xù)時間以及進度。在各個縮放模式240a-c中提供進度欄242��,以提供對作業(yè)的狀況的圖形概述��。在作業(yè)視圖240內(nèi)����,操作者可以暫停作業(yè)、在縮放模式之間縮放�、恢復(fù)作業(yè)��、取消作業(yè)�、查看作業(yè)日志����、移除作業(yè)、示出完成的作業(yè)以及移除完成的作業(yè)操作者可以訪問圖19中示出的報告視圖244����,以產(chǎn)生AMS 10所支持的報告。圖19示出了針對報告視圖244的I行縮放模式�。報告視圖244提供報告的服務(wù)圖標和名稱。還可以通過在服務(wù)欄223上選擇服務(wù)來過濾報告視圖244��,以將報告的列表限制到特定的服務(wù)�����。產(chǎn)生報告動作顯不了圖20中不出的產(chǎn)生報告表格246,用于操作者輸入產(chǎn)生報告所需的信息�����。一旦操作者已經(jīng)完成表格246���,可以在查看報告屏幕248中如圖21所示地查看報告����。在本示例中���,查看報告屏幕248還使得操作者可以下載PDF或CSV格式�����?����?梢援a(chǎn)生各種報告類型���,例如按產(chǎn)品或者按模式(用于順序化),控制器22發(fā)布的資產(chǎn)的總數(shù)���;針對特定的范圍��,按天發(fā)布的資產(chǎn)數(shù)����;按裝置18的資產(chǎn)數(shù)(總的,按天的等)�;代理接收到的資產(chǎn)數(shù)(總的,按天的等)��;丟失的日志數(shù)��,復(fù)制的日志數(shù)���,按資產(chǎn)ID或編號的日志數(shù)�,針對所指定的產(chǎn)品/數(shù)據(jù)范圍的日志數(shù)��;等等�。圖22中示出的控制器視圖250在數(shù)據(jù)區(qū)域226中提供了操作者所連接到的控制器22的細節(jié)。在本示例中�����,控制器視圖250提供以下信息控制器名稱�、控制器正在提供的服務(wù)、控制器22的IP地址�����、控制器22的端ロ��、SMTP IP地址、SMTP端ロ�、SMTP域、“From”地址����、“TO”地址��、磁盤健康度�、控制器HSM狀況、HSM軟件版本��、控制器軟件版本�、系統(tǒng)10中的警報數(shù)、系統(tǒng)10中活躍的作業(yè)數(shù)�����、作業(yè)刪除時間���、系統(tǒng)檢查間隔�����、控制器的磁盤空間以及在控制器22上可用的存儲器���。在控制器視圖250中�����,操作者可以修改控制器22�����,測試電子郵件�����,以及登出��。為了修改控制器22�,選擇控制器視圖250中的修改按鈕���,啟動圖23中示出的修改控制器表格252����。從圖23可以意識到�����,修改控制器表格252使得操作者可以對控制器22的設(shè)置和細節(jié)作出改變,并應(yīng)用這些設(shè)置�����。操作者可以訪問圖24至26中示出的裝置視圖254����,以執(zhí)行與裝置18相關(guān)聯(lián)的各種動作,例如添加�����、修改�����、移除和同步裝置18�����。裝置視圖254可以支持詳細的�、3行和I行縮放模式�。圖24示出了“所有服務(wù)”模式下的裝置視圖。在“所有服務(wù)”模式下����,各個裝置18顯示關(guān)于服務(wù)中的一個服務(wù)的服務(wù)特定信息����。如果在裝置18上僅有ー個服務(wù)活躍����,則顯示該服務(wù)。如果有ー個以上的服務(wù)活躍�,則可以根據(jù)限定的優(yōu)先級順序來選擇顯示的服務(wù)。如果在服務(wù)欄223中選擇服務(wù)��,則在裝置視圖254中針對所有裝置18顯示該服務(wù)��。圖24中示出了 3行模式254a�,圖25中示出了 I行模式254b,以及圖26中示出了詳細模式254c�����。從圖26中可以看出�,在本示例中每個裝置18的可用信息包括裝置名稱、裝置18提供的服務(wù)����、制造商�����、位置����、IP地址和端ロ�����、狀況(例如�����,在線����、離線���、不活躍�����、未提供)��、HSM軟件版本�、可用磁盤空間、可用存儲器����、可用信用、信用的最小量�����、信用的最大量�����、信用告警等級�、裝置軟件版本、警報的數(shù)目�、作業(yè)的數(shù)目、連接重試的數(shù)目��、連接超時周期�、自動同步間隔、只讀同步�、資產(chǎn)塊大小、上一次更新、可允許代理IP子網(wǎng)的列表�����、與控制器22的上一次通信的日期/時間�����、與各個代理20的上一次通信的日期/時間����、以及服務(wù)特定的信息(例如,序列號�����、密鑰����、FCT 50)??梢酝ㄟ^如圖24和25中所示出的特定縮放等級來顯示這些細節(jié)中的特定細節(jié)�����。在裝置視圖254中���,操作者可以在縮放模式之間執(zhí)行縮放�、ping裝置18、同步裝置18��、添加裝置18�����、修改裝置18�、移除裝置18、激活裝置18以及去激活裝置18�。如圖27所示,ping裝置動作啟動ping屏幕256�����,其使得操作者可以在安全通道上Ping所選擇的裝置18��,以確保其活著并確定其網(wǎng)絡(luò)延遲�����。使用ping動作來測試特定的主機(裝置18)在IP網(wǎng)絡(luò)上是否可達以及測試SSL連接����,對正在使用的計算機的網(wǎng)絡(luò)接ロ卡(NIC)進行自測或者作為速度測試���。ping可以估計往返時間(一般以毫秒計),記錄分組丟失并當完成時打印統(tǒng)計數(shù)據(jù)摘要���。圖28所示��,同步裝置動作啟動同步屏幕258���,并使得操作者可以確保加滿任何服務(wù)相關(guān)的對象(例如,如序列號����、密鑰、FCT 50等的資產(chǎn))��,推動任何裝置配置改變�����,并從裝置18取回服務(wù)日志�。同步動作確保任何服務(wù)相關(guān)對象或資產(chǎn)(例如,序列號��、密鑰�����、FCT 50)可以在其最大量處�。同步動作還將裝置的時鐘與控制器的時鐘同步,并從裝置18取回服務(wù)日志�����。此外���,對裝置18做出的任何配置改變可以在對裝置18進行同步后起效���。還可以執(zhí)行只讀同步,只讀同步將收集裝置18的狀況和資產(chǎn)信息���,以看其是否在同步中���,但是不進行任何改變。還可以使用同步從裝置18獲得服務(wù)日志����。如圖29所示��,修改裝置動作啟動修改裝置屏幕260�����。修改裝置屏幕260使得操作者可以編輯裝置18的細節(jié)�����。沒有在圖29中示出的是使得操作者可以為向裝置18給出的信用設(shè)置閾值的最小信用�����、最大信用以及信用告警字段���,以及何時發(fā)布低等級告警?���?刂破?2和裝置18應(yīng)該規(guī)律地自動進行同歩,以及當裝置18同步時�����,控制器22進行檢查�����,以查看裝置18上有多少資產(chǎn)�����。如果資產(chǎn)的數(shù)目等于或者低于最小值����,則控制器22將裝置的資產(chǎn)填到最大等級。如果資產(chǎn)的數(shù)目等于或者低于告警等級�����,則控制器22可以發(fā)布警報��。當首次將裝置18添加到控制器22時��,其是以不活躍狀況添加的(參見以上描述的圖4B)��。激活裝置動作將所選擇的裝置18帶上線(如果需要�,自動發(fā)起提供)。如果將裝置18帶下線就停止相關(guān)的生產(chǎn)線����,則去激活裝置動作將使用適當?shù)母婢瘉韺⑺x擇的裝置18帶下線��。圖30示出了去激活裝置屏幕262�����,去激活裝置屏幕262示出了在使操作者確認該選擇之前�,要去激活所選擇的裝置�����。移除裝置動作僅在所選擇的裝置沒有在線的情況下可用���,否則應(yīng)該禁用該動作�����。圖31示出了移除裝置屏幕264���,其與去激活裝置屏幕262的相似之處在于由操作者確認選擇之前,示出所選擇的裝置18�。可以注意到���,當被去激活時����,裝置18應(yīng)該例如如上例示地通過將顏色改變?yōu)榧t色來對此進行指示,以向操作者提供與裝置18的狀況有關(guān)的進一步視覺提不�����。⑶I 8中的產(chǎn)品是對ー個或多個資產(chǎn)類型的已命名分組��,其向AMSlO提供產(chǎn)品的名稱�����、產(chǎn)品的標識符��、資產(chǎn)列表(取決于服務(wù)����,例如順序化模式�、密鑰類型或者FCT 50)、資產(chǎn)應(yīng)該應(yīng)用于的裝置的列表以及產(chǎn)品所提供的服務(wù)�����。在圖32至34中示出的產(chǎn)品視圖266中���,操作者可以在AMS 10中管理產(chǎn)品并執(zhí)行與產(chǎn)品相關(guān)聯(lián)的各種動作��,例如添加��、修改或者移除產(chǎn)品����。在圖32中以3行縮放模式266a示出產(chǎn)品視圖266,在圖33中以I行縮放模式266b示出產(chǎn)品視圖266���,以及在圖34中以詳細縮放模式266c示出產(chǎn)品視圖266�����。在圖 34中可以看出�����,產(chǎn)品視圖266可以包括與產(chǎn)品有關(guān)的各種信息���,例如產(chǎn)品名稱、服務(wù)��、ID、可用資產(chǎn)(顯示為計量表(meter)�����,以詳細縮放等級266c來對各個計量表進行單獨顯示)�����、資產(chǎn)列表(模式�、密鑰類型或者FCT 50)、裝置18的列表����、以及針對順序化和密鑰注入的注入方法(ACC或正常)��、ACC記錄字段和ACC偏移字段�����。在產(chǎn)品視圖266中����,操作者可以在縮放模式之間執(zhí)行縮放,添加產(chǎn)品�、修改產(chǎn)品以及移除產(chǎn)品。圖35中示出了添加產(chǎn)品表格268,該添加產(chǎn)品表格268是針對順序化進行例示的����。對于密鑰注入,可以將順序化模式列表替換為密鑰類型列表��,而對于特征控制��,可以將順序化模式替換為FCT列表��。AMS 10中的順序化模式是對與如何產(chǎn)生序列號有關(guān)的規(guī)則進行定義的對象��。例如��,序列號數(shù)字是以十六進制還是十進制的形式呈現(xiàn)��,以及是否包括固定的字符串����。圖36至38中示出了序列模式視圖270。在這些視圖中����,操作者可以在AMS 10中管理順序化模式并執(zhí)行與模式相關(guān)聯(lián)的各種動作,例如添加���、修改或者移除模式�����。圖36中示出了 3行縮放模式270a�,圖37中示出了 I行縮放模式270b,圖38中示出了詳細縮放模式270c�����。如在圖38中最好地看出的�,在本示例中對序列模式進行定義的信息包括模式名稱、模式ID�、總池中剰余的序列號(還未向裝置18發(fā)送的)、開始值��、要產(chǎn)生的序列號的總數(shù)目��、是使用以 10為底還是使用以16為底��、序列號中的字符總數(shù)(以進行填充或截斷)�、要包括的靜態(tài)字符串和在序列號中的位置的列表���、以及說明模式的樣本�����。在順序化模式視圖270中�,操作者可以在縮放模式之間執(zhí)行縮放,添加模式�����,修改模式���,移除模式�,以及復(fù)制模式(修改當前選擇但是以新的名稱來保存)��。為了添加/修改/復(fù)制順序化模式�,如圖39中所示地啟動添加/修改/復(fù)制模式表格272。AMS 10中的密鑰類型是對與應(yīng)該針對特定的產(chǎn)品注入何種類型的加密密鑰有關(guān)的規(guī)則進行定義的對象�。圖40至42中示出了密鑰類型視圖274。在密鑰類型視圖274中���,操作者可以在AMS 10中管理密鑰類型并執(zhí)行與密鑰類型相關(guān)聯(lián)的各種動作���,例如添加、修改或者移除密鑰類型�����。圖40中示出了 3行縮放模式274a,圖41中示出了 I行縮放模式274b�����,圖42中示出了詳細縮放模式274c�。如圖42中最好地示出的,密鑰類型視圖274可以提供的信息可以包括密鑰類型名稱���、ID�、從上次導(dǎo)入起可用的密鑰�����、密鑰長度�����、密鑰標識符長度和偏移���、密鑰數(shù)據(jù)長度和偏移、文件報頭長度���、散列輸出(長度和偏移)���、散列算法以及散列輸入��。還示出了密鑰類型圖276���,其提供對密鑰的結(jié)構(gòu)進行描述的畫面,并且在改變參數(shù)時進行更新���,以示出結(jié)構(gòu)改變的方式���。在密鑰類型視圖274中,操作者可以縮放����、導(dǎo)入密鑰、添加密鑰類型�、修改密鑰類型、移除密鑰類型以及復(fù)制密鑰類型(修改當前選擇�����,但是以新的名稱來保存)����。圖43中示出了添加/修改/復(fù)制密鑰類型表格278�����,可以看出��,該表格278與詳細縮放模式274c類似���,除了使得可以對參數(shù)進行編輯之外。AMS 10中的FCT 50是對可以針對特定的產(chǎn)品指定的特定特征或多個特征進行定義的對象���。FCT 50包括被稱為特征寄存器282的比特陣列����?��?梢詫⑻囟ū忍卦谔卣骷拇嫫?82中的狀態(tài)映射到設(shè)備14的特征���,控制這些特征是活躍的還是被禁止的。FCT視圖280在圖44至46中示出�,并在通過在對應(yīng)的表元(cell)中填入不同的顔色來將活躍特征與未激活特征區(qū)分開的情況下,對特征寄存器282的視覺描述進行示出���。圖44中示出了 3行縮放模式280a�,圖45中示出了 I行縮放模式280b���,圖46中示出了詳細縮放模式280c���。在FCT視圖280中,操作者可以管理FCT 50����,并在AMS 10中執(zhí)行與FCT 50相關(guān)聯(lián)的各種動作,例如添加�、修改或者移除票據(jù)。如圖46中最好地示出的��,在針對特定的FCT 50的FCT視圖280中提供的信息可以包括FCT名稱���、ID����、特征包含值���、所實現(xiàn)的命令�����、標簽(對在ACC 12上編程的特征或者特征的集合進行指示的記錄標簽)�、以及注入的總數(shù)。在FCT視圖280中�,操作者可以在縮放模式之間導(dǎo)航,添加FCT 50�,修改FCT 50,移除FCT 50以及復(fù)制FCT 50����。管理者可以訪問圖47中示出的用戶視圖284,以執(zhí)行與系統(tǒng)中的用戶相關(guān)聯(lián)的各種動作���,例如添加用戶��、移除用戶以及改變用戶的密碼��。在本示例中���,用戶視圖284是I行縮放等級。在圖47中可以看出��,用戶視圖284列出了如下的信息用戶名、控制器許可�����、裝置許可�����、用戶許可��、順序化許可����、密鑰注入許可���、特征控制許可以及上次的登入時間����。各種許可對用戶可以執(zhí)行的操作進行了規(guī)定���,例如�,添加或移除裝置�����,產(chǎn)生順序化模式等。在用戶視圖284中����,管理者可以添加用戶、復(fù)制用戶���、修改用戶���、改變密碼以及移除用戶。添加用戶表格286在圖48中示出�,并使得AMS 10可以根據(jù)所定義的用戶角色,向其用戶派定安全許可����。這樣,管理者可以定義用戶角色����,以允許或者拒絕對系統(tǒng)的特定部分的不同等級的訪問。通過使用不同的許可創(chuàng)建若干用戶�����,可以在⑶I 8內(nèi)劃分職責,以允許更加有效地操作GUI 8����。例如,可以如下建立三個用戶角色安全官員(S0)�����、管理者(AD)以及操作者 (OP)�。針對各個用戶角色����,可以根據(jù)以上來設(shè)置各種許可,例如���,僅查看���,查看并保存,查看并操作�,完全訪問等。圖49示出了具有錯誤欄288的添加用戶表格286�����,錯誤欄288以紅色示出,以吸引管理者的注意��。圖50使用字段特定的指示器欄290來對類似的錯誤進行示出�����,以突出顯示錯誤的原因����,在本示例中,由于在密碼與確認密碼字段之間缺乏一致性而出錯��??梢詥悠渌砀?未示出),以改變用戶的密碼和移除用戶����。還可以向⑶I 8提供在線幫助服務(wù),⑶I 8可以包括鏈接到AMS在線幫助指南的菜單項或幫助圖標或者都有(例如���,如圖11至50中所示出的)�����,例如,具有HTML格式以使得可以被web瀏覽器所支持����。菜單項可以將用戶引導(dǎo)到標題頁(目錄),幫助按鈕可以將用戶引導(dǎo)到根據(jù)數(shù)據(jù)區(qū)域226中的當前視圖確定的幫助文章(即���,對上下文敏感的幫助)��。資產(chǎn)控制核心現(xiàn)在轉(zhuǎn)向圖51��,現(xiàn)在示出被配置為提供特征激活服務(wù)模塊的AMSlO的實施例的進一歩細節(jié)���。在圖51中示出的示例中,系統(tǒng)10被配置為提供嵌入在電子設(shè)備14中的ACC12��,與該ACC 12通信�,向該ACC 12提供數(shù)據(jù)�����,從該ACC 12收集數(shù)據(jù)以及激活該ACC 12中的特征���。如上討論的���,將設(shè)備14以及繼而ACC 12連接到在加工/制造/裝配過程中使用的測試器16�。測試器16使用代理20�����,代理20是在測試器16上運行的軟件模塊���。測試器16繼而連接到裝置18��,裝置18包括保護敏感性數(shù)據(jù)并在裝置18內(nèi)提供安全區(qū)域的HSM 19�����。如圖I中示出的�����,代理20利用HSM 19和ACC 12之間的安全通信通道29對其間的通信進行加密保護���。在通道29上,可以從裝置18向ACC 12發(fā)送FCT 50���??梢詫⒀b置18連接到后端基礎(chǔ)設(shè)施11�����,后端基礎(chǔ)設(shè)施11可以提供認證授權(quán)(CA)、數(shù)據(jù)庫和用于控制ー個或多個裝置18的控制器22���,下面將對其進行詳細解釋�����。除了正連接到測試器16之外�,ACC 12還可以在同時或者在稍后一些的時候(或者在處理期間的其它時間)在廣域網(wǎng)(WAN) 24上連接到用戶界面(UI)或者設(shè)備編程器26��。如圖所示��,設(shè)備編程器26還可以經(jīng)由WAN 24連接到ACC 12����。設(shè)備編程器26和/或WAN24可以使用任何適合的連接連接到設(shè)備14和ACC 12��,例如�,串聯(lián)、并聯(lián)����、有線���、無線、紅外�����、RFID等�。在本示例中,ACC 12通過標準測試協(xié)議/連接28連接到測試器16���,例如JTAG(聯(lián)合測試動作組)IEEE-1149測試接ロ����。取決于測試器16和裝置18的相對位置�����,測試器16和裝置18在適當?shù)倪B接30上相連����。在下面提供的示例中,裝置18位干與測試器相同的物理設(shè)施中���,并因此連接30可以是局域網(wǎng)(LAN)�。如將要示出的,ACC 12可以包括各種類型的存儲器��,在圖51中以標號34對其一般性并且總體示出�。ACC 12使用一部分存儲器來存儲(持久性地或者暫時性地)各種密鑰和證書。圖51示出了在以下示例中使用的各種密鑰和證書�。在圖51中示出了靜態(tài)私鑰dsi、靜態(tài)公鑰Qsi (也稱為ACC的MD)�����、短時的私鑰dei����、短時的公鑰Qei、CA的證書CERT[CA]�����、以及裝置j的證書CERT[APPj]�。在一個實施例中,將靜態(tài)密鑰存儲在非易失性存儲器(NVM)中�,雖然可以將其掩模編程(mask program)到ROM存儲器中�。在另ー實施例中,不需要NVM���,并且可以將密鑰離線存儲在硬盤上或者閃存上或者ACC 12外部的其他一些非易失性的批量數(shù)據(jù)存儲介質(zhì)中��。在圖52中可以看出�����,ACC 12是嵌入到目標系統(tǒng)級芯片(SoC)中的小的硬件核心���,其在硅管芯上建立基于硬件的信任點(point of trust) 0可以將ACC 12視為消費設(shè)備14上的信任的根����,因為其包括向敏感數(shù)據(jù)提供物理保護的防篡改特征以及提供遠程證明和檢驗的方法���。如下將要更詳細地解釋的�����,ACC 12能夠產(chǎn)生針對ー個集成電路(IC)40的唯一的標識符(UID)����,并通過與裝置18的安全和已認證的通信通道29參與到IC 40的跟蹤和提供中��。在圖52中示出的示例中,將IC 40安裝在印刷電路板(PCB)44上�,然后可以將PCB 44裝配到消費設(shè)備14中。雖然像這樣進行了嵌入�����,ACC 12還可以繼續(xù)擔當PCB 44和/或最終的設(shè)備14上的信任的根����。IC 40還可以包括分離的微控制單元(MCU) 42,可以使用微控制単元(MCU) 42通過經(jīng)由通信接ロ 48將連接32連接到IC 40來建立與非測試器(例如��,設(shè)備編程器26)的連接���,針對適當?shù)膮f(xié)議對通信接ロ 48進行配置�,這是本領(lǐng)域公知的����。將意識到,如圖52中示出的��,還可以使用通過PCB 44至WAN 24的直接連接來將通信接ロ 48集成到IC 40中���。圖52所示的外部MCU 42的角色將是通過以下步驟來方便在網(wǎng)絡(luò)(例如�����,WAN 24)上在裝置和ACC 12之間的FCT 50的通信通過通信接ロ 48接收FCT 50命令消息�,并將聯(lián)網(wǎng)數(shù)據(jù)(在這種情況下�,可能是字節(jié)流)重新格式化為可以通過ACC 12并行接ロ 66 (同樣參見圖53)在其(MCU的)存儲器映射接口上傳遞的由ACC 12進行處理的格式。相對地�����,ACC 12可以在其并行接ロ 66上向外部MCU 42返回響應(yīng)消息���,讓MCU 42解釋為字節(jié)流�����,并在通信接ロ48上發(fā)送回裝置18�����。ACC 12可以連接到代理20�,并從而經(jīng)由測試接ロ 72(例如���,JTAG)連接到裝置18 (同樣參見圖53)�����,裝置18繼而對連接28進行橋接��。裝置18是使用來對提供數(shù)據(jù)或者去柱/來自ー個或多個代理20的響應(yīng)進行高速緩存��、分發(fā)和搜集的安全模塊��。例如����,當ACC 12變?yōu)樵诰€,裝置18可以跟蹤其使用ACC的唯一的ID(UID)連接到的部分����。然后,裝置18和ACC 12可以進行到交換密鑰信息和打開抗篡改通信通道29��,這使得可以通過以下方式來傳遞數(shù)據(jù)ACC 12可以確定其正在與已授權(quán)的裝置18通話��,并且可以向裝置18確保僅有ー個唯一的ACC 12可以對其已經(jīng)發(fā)送的消息進行解密和響應(yīng)����。最終,可以向ACC 12發(fā)布FCT50�����,且ACC 12可以提供FCT響應(yīng),F(xiàn)CT響應(yīng)包含提供命令�、安全數(shù)據(jù)、密鑰信息�����、順序化信息以及裝置18希望向ACC 12或者通常設(shè) 備14提供�����、推送����、上載�、注入或者收集的其他任何數(shù)據(jù)??梢詫⒋?0視為對裝置18和ACC 12之間的較低層的數(shù)據(jù)傳輸進行管理的一些軟件。各個代理20耦合到測試器16或設(shè)備編程器26����,并負責在裝置18和代理20之間透明地傳遞數(shù)據(jù)。代理20包括傳輸層API��,使用傳輸層API,可以使用裝置18來分布命令和接收去往/來自ACC 12的響應(yīng)�。將要意識到,除非指定���,否則優(yōu)選地在HSM 19內(nèi)執(zhí)行裝置18所執(zhí)行的安全操作����。取決于應(yīng)用�,可以通過標準的JTAP IEEE 1149測試端ロ(例如,測試接ロ 46和連接28)或者另ー編程接ロ將測試器16或者設(shè)備編程器26物理連接到芯片�。在任一配置中,使用代理20來將傳輸層和物理層橋接�����。還可以將代理20視為不安全的�����,并且在本文描述的示例中���,代理20不執(zhí)行除了簡單提供消息高速緩存機制并在裝置18和ACC 12之間傳遞消息之外的任何加密功能����。當然,如果想要�,也可以為代理20裝備上加密能力,該加密能力的改變度取決于應(yīng)用的要求����。后端基礎(chǔ)設(shè)施11是指被用來在制造商和其客戶/最終用戶之間進行接合的整個 后端基礎(chǔ)設(shè)施的概括性術(shù)語。在概念上����,可以將曾經(jīng)由系統(tǒng)10處理的每個設(shè)備和所有的編程記錄保持在后端數(shù)據(jù)庫中�����,制造商可以使用該數(shù)據(jù)庫來查詢各個制造部件的歷史���。該基礎(chǔ)設(shè)施可以包括CA����、數(shù)據(jù)庫引擎���、ERP應(yīng)用和子模塊�、特征控制服務(wù)器(FCS)以及如果需要����,電子商務(wù)前端服務(wù)器�����。系統(tǒng)10還可以包括連接器邏輯����,以將其連接到ERP或者電子商務(wù)前端服務(wù)器�。典型的系統(tǒng)環(huán)境可以具有后端服務(wù)器,后端服務(wù)器位于在客戶的制造地點經(jīng)由互聯(lián)網(wǎng)上的安全協(xié)議與裝置18通話的中心位置�����,該安全協(xié)議是例如加密套接字協(xié)議層(SSL)�、傳輸層安全(TLS)或者第2層安全(MACSec)。圖53示出了關(guān)于ACC 12的更多細節(jié)���。圖53中的黒色的外邊界表示安全邊界�����,以使得可以假定在該邊界內(nèi)執(zhí)行的任何操作都是可信的�����。ACC 12—般是相對小的硬件核心��,在只讀存儲器(R0M)52中存儲了可定制的固件���。在圖53中示出的示例中�,ACC 12還包含小型微控制器54���、橢圓曲線加密(ECC)算術(shù)単元56�、基于硬件的隨機數(shù)產(chǎn)生器(RNG) 58�、數(shù)據(jù)讀/寫存儲器(RAM) 60和非易失性存儲器(NVM) 62。ACC 12具有參與到Menezes-Qu-Vanstone(ECMQV)協(xié)議的橢圓曲線實現(xiàn)�����、橢圓曲線數(shù)字簽名算法(ECDSA)以及使用基于高級加密標準(AES)的算法的消息加密和認證中的能力��。如上提到的�,將ACC 12設(shè)計為與連接到測試器16或者類似于設(shè)備編程器26的東西的裝置18通信��。為了保護該通信通道29����,ACC 12可以使用非対稱加密方案用于密鑰交換�����,以及可以使用對稱密鑰加密���,以在其與裝置18之間傳遞消息。對于非對稱加密�����,基于隱秘的私鑰(例如����,dsi)產(chǎn)生公鑰(例如,Qsi)���。以安全����、高度抗篡改的設(shè)置來保護私鑰是很重要的���。通過能夠內(nèi)部地并且自動地產(chǎn)生唯一的私鑰��,以硬件和固件的組合來保護私鑰免于曝光��,嵌入式ACC 12能夠滿足該要求����。對于特定的設(shè)備14,私鑰在統(tǒng)計意義上是唯一的��,并與該設(shè)備14持久地關(guān)聯(lián)��。將私鑰保持隱秘��,反之將公鑰共享����。對于ACC 12,如上討論的�����,可以將公鑰或者該公鑰的ー些數(shù)字推導(dǎo)視為IC的唯一的設(shè)備ID(UID)�。由于私鑰與公鑰具有一対一的映射�����,對于特定的設(shè)備14,UID也是統(tǒng)計意義上唯一的����,并且與該設(shè)備14持久性關(guān)聯(lián)(當該公鑰是從靜態(tài)私鑰推導(dǎo)出的吋)。該IC識別技術(shù)以及通過提供下面描述的協(xié)議所提供的機密性和認證����,向芯片或設(shè)備供貨商給出了以下能力將每個可信的部件注冊到數(shù)據(jù)庫中,制定強制措施以檢測和防止設(shè)備14的生產(chǎn)和分發(fā)中的不適當行為�,例如克隆和對過量生產(chǎn)的部件的重新銷售??梢詫D使用為安全協(xié)議的一部分,以通過相互的密鑰協(xié)定在裝置18和ACC 12之間建立隱秘�����。在密鑰協(xié)定期間����,在雙方之間交換公鑰,姆一方獨立于另一方產(chǎn)生共享密鑰�����,僅使用公開交換的公鑰以及他/她自己保持隱秘的私鑰�。密鑰協(xié)定的結(jié)果是雙方達成僅在其雙方之間共享的隱秘�����,而任何試圖偷聽的第三方不能完成該協(xié)定���,除非其具有私鑰的拷貝。裝置18和ACC 12還可以參與到ECMQV密鑰協(xié)定方案中���,該方案產(chǎn)生僅為涉及到的雙方所知的密鑰����。所產(chǎn)生的共享隱秘(例如�����,kij)是對稱密鑰加密的基礎(chǔ)和先決條件�,亦即,使用其來建立雙方之間的高度抗篡改的已加密和已認證的通信通道29�。一旦雙方協(xié)定對稱密鑰,裝置18可以通過安全和已認證的方式開始向ACC 12發(fā)布以及從ACC 12接收簽名的機密消息(也稱為FCT 50) 0 FCT 50命令是包含以下內(nèi)容的消息特征提供��、對受保護的NVM 62存儲器區(qū)域的讀/寫訪問�、或者要以受控的安全和可跟蹤方式向ACC 12提供的任何其他命令或消息。FCT 50響應(yīng)是包含以下內(nèi)容的消息狀況�、審計數(shù)據(jù)、或者要向裝置18提供以建立�、維持或遵守安全提供協(xié)議的其他任何命令或消息?�?梢允褂锰貦?quán)來在測試和制造時間對特征進行正向啟用�,或者在售后市場中在重新連接到服務(wù)器或設(shè)備編程器26時對特征進行啟用?�?梢允褂锰貦?quán)的缺少來反向地對嫌疑設(shè)備中的未授權(quán)特征進行禁用�,不管其是克隆、偽造品還是被盜的設(shè)備�����。通過各種加密技術(shù)的組合����,可以獲得完全的安全特征提供,其示例如下�����。每個ACC 12可以具有存儲在其ROM 25或NVM 62中的根CA公鑰�。然后,各個裝置j可以具有其自身的由根CA(未示出)所產(chǎn)生的唯一的證書CERT [APP J�����。證書可以相對小,并且對證書字段進行比特映射以易于解析����。作為協(xié)議的一部分,裝置18通過向ACC 12發(fā)送證書將其自身向ACC 12進行認證(下面將更詳細地進行討論)���。ACC 12使用CA根證書對裝置18的身份進行驗證���。各個裝置18可以具有向其指派的客戶ID(CID),CID是與證書一起發(fā)送的�����。證書中的CID應(yīng)該與ACC 12中存儲的CID之一相匹配����,以確保特定的裝置18屬于特定設(shè)備14的正確的所有者/生產(chǎn)者,并被授權(quán)與所嵌入的ACC 12通信��。ACC 12上的多個CID允許向分層(tiered)制造過程上的不同供貨商提供其所有擁有的特征�����。例如,專用集成電路(ASIC)供貨商可以為特定的原始設(shè)備制造商(OEM)配置SoC��,然后����,該原始設(shè)備制造商配置設(shè)備以將特定的設(shè)備銷售商或者服務(wù)提供商作為目標��,并在最后�,可以允許最終客戶基于他/她的服務(wù)計劃來激活配置的又一子集。根據(jù)參與的供貨商的安全身份數(shù)據(jù)(CID)���,可以使得ACC 12將訪問控制強加到第三方供貨商所擁有的特征��。SoC的原始擁有者可以潛在地載入CID/特征集合配置表�,作為其提供的一部分�����。在本實施例中��,對從裝置18至ACC 12的各個FCT 50進行加密�、完整性保護、認證和保護免受重放和欺騙��。可以將各個FCT 50鎖(keyed)到特定ACC 12的WD��,并且在使用設(shè)備的私鑰對FCT 50成功解鎖后��,僅在每個設(shè)備的基礎(chǔ)上授予特征特權(quán)(featureprivilege)����。從而,試圖截獲被鎖定到另ーUID的FCT 50的欺騙設(shè)備將不能解密該FCT 50�����。還可以向各個FCT 50提供與其相關(guān)聯(lián)的序列號����,以使得僅可以使用FCT 50—次,以防止其被拷貝或者被重放��?��?梢杂砂l(fā)布各個FCT 50的裝置18對該各個FCT 50簽名���,以使得FCT50不能以不可檢測到的方式改變。可以將從ACC 12回到裝置18的響應(yīng)配置為具有序列號和消息認證碼(MAC)以使�����、得甚至不能改變或者重放該響應(yīng)���。由于將FCT 50與特定的UID相聯(lián)系��,裝置18可以保持審計日志,該審計日志示出了在何處編程特定的WD����,以及將特定的UID編程為什么??梢酝ㄟ^后端11將審計日志報告回SoC制造商/供貨商。如果在這些日志文件的復(fù)查中檢測到相同UID的多個實例����,這將是對芯片已經(jīng)被克隆或者被偽造的指示。ECMQV的使用提供了將特定的裝置18鏈接到特定的ACC 12的加密隧道29����。沒有其他方可以參與到該協(xié)議或者在已加密的編程會話期間發(fā)送的解密命令中。特別地�����,可以選擇ECMQV來作為創(chuàng)建通道29的技木,因為已知其更不容易遭受中間人攻擊�,這是所示環(huán)境中的可信的威脅?��?梢酝ㄟ^各種方式來對ACC 12和裝置18進行配置���,以適于特定的環(huán)境。以下討論啟用這種可配置性的各種特征�����。ACC 12應(yīng)該利用非常小的總的硅區(qū)域�����,并且應(yīng)該支持WD的片上產(chǎn)生(自包含于ACC 12中)���,以及ECC公-私密鑰對的片上產(chǎn)生和存儲�����。ACC 12的掃描鏈測試的啟用/禁用應(yīng)該在ACC ECC密鑰對產(chǎn)生之前可用�����,以防止私鑰暴露��。應(yīng)該提 供對從裝置18至ACC 12的命令的認證/完整性保護��,并且對于特定的ACC 12����,關(guān)鍵安全(security-critical)命令應(yīng)該是唯一的。裝置18和ACC 12之間的FCT 50應(yīng)該為了機密性而加密����,并且經(jīng)由向ACC 12提供的FCT 50來啟用和禁用特征����。ACC 12可以起到協(xié)議強制執(zhí)行器的功能如果接收到的命令是無效的,ACC 12可以拒絕該命令�,并且如果嘗試了無效命令的閾值,可選地進行關(guān)閉����。還應(yīng)該有確保一旦ACC12鎖定(如在當設(shè)備永久退休時的情況下,或者如果系統(tǒng)12檢測到已經(jīng)對設(shè)備進行了篡改)��,就不能重新啟用ACC 12的能力。當沒有在使用中吋���,ACC 12應(yīng)該能夠降低功率到非常低的電流消耗��,并且ACC 12操作不應(yīng)該依賴于外部(核心外)的固件或者外部CPU來執(zhí)行其基本功能���。代理20和/或任何適合的接ロ(例如,46�����、48)可以提供靈活性來允許客戶將其定制編程接ロ添加到ACC 12��,這最終允許客戶使用各種設(shè)備編程器26 (例如���,USB端ロ����、I2C串行接ロ�����、以太網(wǎng)等)與ACC 12通信���。類似地����,如果其能夠開啟與可信裝置29的安全通信通道29,ACC 12編程應(yīng)該能夠發(fā)生在多個位置����,在多個時間。這樣���,可以推遲編程��,直到制造周期中花費最小的階段��??梢允褂醚b置18和ACC 12來安全地編程和存儲附加的信息����,例如����,唯一的設(shè)備標識號(例如,移動電話的IMEI/EIN)�����。硬件細節(jié)現(xiàn)在將要提供在圖53中示出的硬件實現(xiàn)的進ー步細節(jié)。本示例中的ACC硬件包括微控制器54�、訪問暫存(scratch)數(shù)據(jù)隨機存取存儲器60和NVM 62的存儲器總線控制器64、以及若干存儲器映射的外設(shè)�����,該外設(shè)包括算術(shù)單元56 (被配置為用于EC操作)�����、通過外設(shè)控制器59可訪問的RNG 58�����、以及雖然未示出�����,但可選的AES和SHA核心(如果面積/性能折衷是可行的)���。此外����,ACC 12可以具有可選的通用并行總線接ロ 66和外部接入NVM接ロ 68來為SoC設(shè)計者添加靈活性。在ACC 12的中心處是微控制器54��,其在ACC 12完成的所有任務(wù)中扮演著必不可少的部分�,包括認證和執(zhí)行提供命令以及強制執(zhí)行提供;執(zhí)行高等級的安全協(xié)議����;在排序低等級硬件加密加速器功能中進行協(xié)助;執(zhí)行管理任務(wù)��,例如初始化�、配置、功率管理���;以及在晶片測試期間的維護內(nèi)建自測(maintenance built in self test, MBIST)和RNGBIST中進行協(xié)助�����。首要地�,應(yīng)該針對其尺寸來選擇微處理器�,然后增強微處理器以滿足被認為是必需的速度性能?��,F(xiàn)場算術(shù)單元56提供對低等級加密計算的硬件加速��。特別地����,應(yīng)該將現(xiàn)場算術(shù)單元56配置為高效地執(zhí)行ニ進制場乘法?���?梢詫F(xiàn)場算術(shù)単元56視為ACC 12的重要部分,因為其使得可以相對快地完成EC點乘?�,F(xiàn)場算術(shù)單元56可以用于加速ECDSA和ECMQV公鑰協(xié)議����,這兩個協(xié)議分別用于提供認證和相互認證。下面將解釋這些協(xié)議的細節(jié)���。硬件和固件一般在面積��、代碼存儲器��、復(fù)雜度和性能度量方面進行折衷���。一般地,基于對將在硬件中實現(xiàn)什么的判決主要是門數(shù)目���,并且是性能驅(qū)動的����。ACC 12的性能在測試器時間方面具有已測量到的直接成本暗示,并且等效的門數(shù)目驅(qū)動通過硅區(qū)域所測量到的實現(xiàn)的成本�。在軟件調(diào)節(jié)器(未示出)的幫助下,可以使用RNG 58來產(chǎn)生統(tǒng)計意義上的隨機數(shù)����,該統(tǒng)計意義上的隨機數(shù)被用來作為加密密鑰和WD。在橢圓曲線公鑰加密方案中�����,使用隨機數(shù)來作為私鑰�����,并且當使用橢圓曲線標量點乘來將其與之前協(xié)定的曲線參數(shù)的產(chǎn)生點 相乘時�����,乘積可以是公鑰��。當ACC 12產(chǎn)生其靜態(tài)私鑰對時,可以使用RNG 58���,在該ACC 12的整個生命中,該統(tǒng)計私鑰對是靜態(tài)的��。此外�,針對ACC 12和裝置18之間的每個安全會話,創(chuàng)建新的短時的密鑰���。不管何時ACC要求產(chǎn)生新的靜態(tài)或者短時的密鑰�����,都要求RNG 58提供要作為產(chǎn)生靜態(tài)或者短時的私鑰的種子使用的隨機比特流���。隨機比特流饋入到AES分組密碼中,以調(diào)節(jié)RNG產(chǎn)生的原始熵����,產(chǎn)生被用作靜態(tài)私鑰的均勻分布的隨機數(shù)。在一些實施例中�,在饋入到AES分組密碼之前,可以將隨機比特流饋入到基于軟件的線性反饋移位寄存器(LFSR)中��,以調(diào)節(jié)RNG數(shù)據(jù)。作為可測性設(shè)計(DFT)測試的一部分�����,應(yīng)該要求ACC 12執(zhí)行RNG 58的健康檢查��。該示例中的ACC 12可以具有16比特地址(范圍從OOOOh-FFFFh)字節(jié)可尋址存儲器空間�。下面的表2列出了在本實施例中可以將存儲器空間如何劃分成不同的區(qū)域。
I所分配的開始地址丨結(jié)束地址丨字節(jié)數(shù)I名稱丨描述_
0x0000IOxOFFF I4K IXRAMI承用擦除數(shù)據(jù)隨機存取存儲器
0x1000 IOxIFFF [4K ]-\]呆留
0x2000 T0x21FF 1512 [nVPRIV Iを VM 的私有空間 0x2200 0x23FF 512 NVPROT NVM 的受保護的空間0x2400 JOx2FFF I3K [NVSHARE I^VM的共享空間
0x3000 IOx3FFF [4K ]ACCREG I=ACC寄存器
0x4000
可以將ACC 12配置為具有至NVM存儲單元62(例如���,0TP���、MTP、EPR0M�����、閃存等)的通用接ロ�。NVM 62取決于IC技術(shù),因此�����,這種NVM 62的NVM接ロ 70很有可能根據(jù)特定的應(yīng)用而定義�����。NVM接ロ 70提供抽象,并且應(yīng)該具有以安全的方式寫�����、重寫和擦除WD的能力���,這可以輕易地適于專有NVM接ロ協(xié)議。特定類型的NVM 62是一次性可編程(OTP)的�����;這意味著一旦將其“燒入”��,就不可能對其進行擦除或者重寫到存儲器位置中�����。如果使用了OTP存儲器��,則需要固件來確定其保持跟蹤哪些存儲器位置已經(jīng)被寫入����,并維持用于發(fā)現(xiàn)最新的數(shù)據(jù)內(nèi)容以及何處有可用的空間的機制����。在本實施例中���,有三個不同的NVM許可等級�����,各個許可等級具有加諸其上的不同限制����。首先��,私有空間許可等級�,其中,保留NVM 62來專用于ACC的使用����。ACC 12可以讀并且可以寫,但是其他代理被禁止訪問該區(qū)域��。存儲在該區(qū)域中的數(shù)據(jù)可以包括隱秘的靜態(tài)密鑰��、WD以及ACC 12的非易失性狀態(tài)����。其次���,受保護的公共空間許可等級,其中����,外部代理可以僅使用FCT 50和具有下面將要描述的具有認證的安全消息協(xié)議,將數(shù)據(jù)寫入到該區(qū)域中��。使用RDACCESS類型的FCT 50�����,該區(qū)域從JTAG端ロ 72是可讀的����。使用正常存儲器訪問以及使用RDACCESS類型的FCT 50����,該區(qū)域從并行命令接ロ 66是可讀的。典型地��,該區(qū)域包含客戶可能想要存儲在僅允許通過片上邏輯可訪問的NVM 62中的隱秘數(shù)據(jù)�,假設(shè)片上邏輯沒有將該數(shù)據(jù)泄露到芯片以外����。第三����,共享存儲器空間許可等級,包含要存儲在NVM 62中的ACC 12不需要保護的其他數(shù)據(jù)�。外部代理可以使用cmd[SHARENVMWR]或cmd[SHARENVMRD],或者通過使用從并行命令接ロ 66的直接存儲器訪問�,在該區(qū)域中進行讀和寫。下面將更詳細地解釋“cmd”命令��。最小程度上����,ACC 12應(yīng)該具有足夠的具有“私有”許可等級的NVM 62空間以存儲片上隱秘。ACC 12的多個應(yīng)用之ー是基于客戶要求提供啟用和禁用特征的方式��。雖然對可以啟用/禁用什么進行定義的準確的特征設(shè)置由客戶提供��,下面描述了如何可以使用提供接ロ 74以使得可以根據(jù)特定的客戶要求進行調(diào)整��。簡而言之���,如上提到的�����,ACC 12包括輸出端ロ的集合(在圖53中表示為啟用控制器及接ロ 74)�,并且對這些輸出的聚集進行的評估指示了要啟用哪些特征,要禁用哪些特征��。在一個實施例中���,根據(jù)可能需要啟用/禁用的特征項����,在啟用控制器和接ロ 74上檢測到一個啟用信號��。對向啟用控制器和接ロ 74輸出的值進行確定的原始數(shù)據(jù)可以來自于NVM 62�。對啟用信號進行編碼或擾碼以使得沒有特定的特征與単一的啟用信號的一対一映射�,這是可能的。在這種情況下����,可能代之以需要評估信號的多個比持,以確定是否已經(jīng)啟用了特定的特征�����。可以意識到�,可以由單個的客戶應(yīng)用來確定這是必需的還是可行的。這樣�����,以ー些附加的邏輯作為代價�,未授權(quán)的特征啟用可以進行得更加困難。然而��,加擾是否正是所必需的取決于來自客戶的實際特征列表��,以及正在考慮哪個威脅模型����。如果已經(jīng)威脅到ACC 12,如下將要解釋的�,變換到鎖定狀態(tài),其中��,將特征啟用自動設(shè)置為某個非?;镜闹担渲?��,僅啟用剛好充足的最小集合的特征來用于調(diào)試和事后調(diào)查分析���。取決于客戶要求����,在鎖定狀態(tài)時的特征啟用值與新設(shè)備14的初始特征啟用可以不同�。典型地,ACC 12活躍的時間量相對短��,并因此應(yīng)該將其不活躍時的功耗視為比其活躍時更重要���。ACC 12可以包括由底層的硅技術(shù)提供為在其不活躍時降低功率的功率管理電路��。例如�����,可以使用可被使用來在ACC 12不活躍時節(jié)省功率的技術(shù),包括時鐘門控���,且可以使用功率門控�����。圖53中示出的ACC 12還提供了如IEEE 1149 (JTAG)規(guī)范中所定義的至JTAG測試接入端ロ(TAP)控制器72的雙向通用串行命令接ロ��?���?刂破?2是簡單的狀態(tài)機,并實現(xiàn)特征提供命令來作為JTAG用戶定義命令��。JTAG規(guī)范提供了很好地定義的測試器接ロ���,測試器可以使用該測試器接ロ��,將來自提供服務(wù)器的高等級的命令解釋為通過測試器接ロ傳送到被測設(shè)計(DUT)的測試器命令�����?���?梢詫崿F(xiàn)的ACC DFT特征包括以下I) RAM 60和NVM 62的軟件MBIST可以由測試器16發(fā)布的命令所發(fā)起�����。針對RAM60和NVRAM的MBIST涉及在存儲器的行和列上的固定的模式�,然后將這些MBIST讀回以確保其包含所期望的內(nèi)容。然而,如果使用了 OTP NVM 62����,測試每個地址位置是不切實際的,因此��,可以將該模式僅施加到一個地址位置���。2)針對ACC 12內(nèi)部的寄存器插入由測試器16發(fā)起和控制的部分掃描鏈測試�����。將確信包含敏感信息的寄存器(可以是ACC 12中的控制和配置寄存器75的子集)從掃描鏈中排除��?��?梢詫⒁韵碌募拇嫫鲝膾呙桄溨信懦齃ife_Cycle_State和System_Ready寄存器、特征啟用寄存器�����、重置啟用寄存器����、跨時鐘域同步鎖存器以及DFT啟用/禁用寄存器。3)使用JTAG邊界掃描來測試IC 40的主I/O�����。這是用于確保ACC 12不被斷開(這可能是對攻擊的指示)的附加安全措施�。ACC自身的TAP控制器72對所有ACC 12 DFT特征進行控制,并且由此����,應(yīng)該對硬件進行設(shè)計,以使得可以基于ACC 12的狀態(tài)來啟用和禁用DFT特征��。未初始化的ACC 12上電�����,進入測試狀態(tài)�����,并具有默認啟用的DFT特征���。當ACC 12接收cmd[EXITTEST]時�,軟件從而導(dǎo)致了從測試狀態(tài)到初始化狀態(tài)的變換��。作為該變換的結(jié)果,硬件可以確定其不再處于測試狀態(tài)���,并且對DFT特征進行禁用�,直到其被再次啟用�����。在本實施例中�,如上所述,通過JTAG接ロ向ACC的TAP控制器72順序發(fā)送裝置18命令����。很可能在一些應(yīng)用中,可能想要具有除TAP控制器72之外的向ACC 12發(fā)布命令的備選方式��,并從而可以提供針對要發(fā)送的命令的第二接ロ���,稱之為通用編程接ロ����?���?梢詫⑦@種通用編程接ロ簡單地視為16或32比特的處理器接ロ�。應(yīng)該將來自兩個命令源的并行化輸出復(fù)用(MUXED)在一起��,并且在任何時候���,應(yīng)該僅有ー個命令接ロ是活躍的。所選擇的命令接ロ 76是發(fā)布第一命令的命令接ロ(在存在著平手的情況下���,可以選擇TAP控制器72作為默認)�����。所選擇的接ロ是活躍的接ロ�����,直到完成cmd[REQRESP]����,或者發(fā)布顯式的cmd[ST0PACC]或者如果設(shè)備14重置�。在MCU 54上運行的受保護的固件中實現(xiàn)的命令處理狀態(tài)機的目的是執(zhí)行對裝置18所發(fā)布的命令的初步解碼和過濾,以確定如何對其進行處理�����。針對ACC的操作的順序
圖54是對用于從ー個生命周期狀態(tài)變換到下ー個生命周期狀態(tài)的操作序列進行示出的高等級狀態(tài)圖。在其整個生命時間內(nèi)�,ACC 12可以基于過去發(fā)生過什么在四個狀態(tài)中的ー個中操作,從而���,將其稱為ACC的生命周期狀態(tài)����。優(yōu)選地�,特定的動作僅在特定的生命周期狀態(tài)中是許可的,這由硬件控制邏輯和固件代碼的組合來強制執(zhí)行�。
固件應(yīng)該基于從裝置18接收到的命令,對狀態(tài)變換進行單獨控制���。變換到新狀態(tài)的第一步是將新的狀態(tài)值寫到私有NVM空間的固定位置��。然后����,可以將確定的狀態(tài)值保持在NVM 62中���,以使得如果在保存該狀態(tài)之前電源被切斷����,ACC 12在上電后不回復(fù)到其已經(jīng)變換通過的狀態(tài)。換言之�,應(yīng)該將生命周期狀態(tài)變換和至生命周期狀態(tài)寄存器的更新作為原子操作來執(zhí)行。現(xiàn)在將提供對圖54中示出的四個生命周期狀態(tài)的概述�����。測試狀態(tài)80:當ACC 12是全新的尚未通過測試和分類的未初始化設(shè)備時�,ACC 12處于測試狀態(tài)80��。如果ACC 12仍在該狀態(tài)下����,這暗示ACC 12沒有完成BIST、掃描或者其他的測試操作��,并從而被假定為沒有為初始化狀態(tài)82做好準備�。在測試狀態(tài)80期間,ACC12可以執(zhí)行任何數(shù)目的芯片有效性測試���,如果需要����,重復(fù)進行�����。這些測試中的ー些可能破壞內(nèi)部寄存器和存儲器內(nèi)容,從而可以預(yù)見����,測試程序在完成之前要求多個重置循環(huán)。應(yīng)該對 ACC 12進行設(shè)計�����,以使得通過多個重置循環(huán)��,其仍然在測試狀態(tài)80下���,直到測試器發(fā)布ー個特別的命令�,即命令cmd[EXITTEST](下面進行描述)��,可以將其指明為退出測試狀態(tài)80的方式����。cmd[EXITTEST]使得ACC 12在發(fā)布軟重置之前,禁用所有DFT特征��,以及變換至初始化狀態(tài)80。禁用DFT特征防止了對手使用這些特征����,在沒有授權(quán)的情況下篡改SoC。DFT特征保持禁用�����,直到稍后在工作狀態(tài)84下使用已認證的裝置18發(fā)布的FCT 50對其進行明確啟用�。可以保留特征寄存器的最低有效位�����,以允許工作狀態(tài)84下得DFT����。DFT特征不應(yīng)該能夠改變生命周期狀態(tài)����,并且重新啟用DFT不應(yīng)該使得狀態(tài)改變。軟重置可以有助于確保ACC 12中沒有殘留的DFT數(shù)據(jù)留下��。在發(fā)布軟重置之前���,應(yīng)該使用ACC的固件來更新NVM62中的生命周期狀態(tài)值����,以確保當ACC 12重啟時,其直接進行到執(zhí)行初始化過程����。初始化狀態(tài)82 :在該狀態(tài)下,ACC 12產(chǎn)生其靜態(tài)密鑰對(例如�,dsi、Qsi)�。從而可以使用公共靜態(tài)密鑰的X坐標作為ACC的nD。當對此已經(jīng)完成吋���,ACC 12可以更新非易失性生命周期狀態(tài)�����,以使得下一次引導(dǎo)將進行到工作狀態(tài)84�。在本示例中�,對cmd[EXITTEST]的響應(yīng)包含MD。工作狀態(tài)84 :在該狀態(tài)下���,ACC 12執(zhí)行基本健康檢查�����、更新特征寄存器��,然后進入休眠��,等待來自裝置18的cmd[STARTACC]和后續(xù)的命令�。ACC 12可以檢驗來自裝置18的命令是有效的,并參與到已保護的通信中��。如果不管任何原因�����,在以上狀態(tài)中的任意狀態(tài)中����,ACC 12接收到有限數(shù)目的被確信是無效的命令���,ACC 12可以自動變換到鎖定狀態(tài)86�。特征寄存器的最小有效位允許工作狀態(tài)84下的DFT����。DFT特征不應(yīng)該能夠改變生命周期狀態(tài),并且重新啟用DFT不應(yīng)該使得狀態(tài)改變?���?梢砸驠CT 50設(shè)置DFT特征比特(特征的第零比持),以使得僅在安全條件下����,才可以重新啟用DFT?��?梢宰⒁獾?��,重新啟用一般發(fā)生在易失性FCT啟用操作中,其中���,當設(shè)備掉電時����,DFT能力丟失���。DFT啟用的易失性特性允許在設(shè)備的生命周期上的多個啟用����,即使當考慮到使用非易失性存儲器來存儲啟用比持。鎖定狀態(tài)86:如果ACC 12遇到以下條件之一�,可以到達該狀態(tài)i)被發(fā)布了cmd [LOCKOUT], ii)檢測到并超過最大允許的錯誤數(shù)目,iii)檢測到不可恢復(fù)錯誤��。鎖定機制預(yù)期總體上作為對重復(fù)嘗試攻擊ACC 12和整個系統(tǒng)10的威懾手段���。一旦ACC 12處于鎖定狀態(tài)86����,ACC 12停止處理附加命令����。從而,之后的任何使用ACC命令通信的嘗試將導(dǎo)致作為響應(yīng)的鎖定狀況��。此外����,固件可以恢復(fù)到預(yù)先指定的特征集合�����,或者簡單地維持當前特征集合��,防止對特征集合或NVM 62的受保護空間的進一步改變,然后�����,關(guān)閉并進入休眠��。
生命周期狀態(tài)變換一般是漸進的�,并且是非易失性的,也就是說��,一旦ACC 12已經(jīng)變換到新的狀態(tài)��,即使通過電源和重置循環(huán)��,其也不可回到之前的狀態(tài)�。對此的例外可以是至鎖定狀態(tài)86的變換,這將是易失性的�。存儲在NVM 62中的生命周期狀態(tài)86不應(yīng)通過去往鎖定狀態(tài)86來受到修改,使得如果ACC 12經(jīng)歷了電源和重置循環(huán)����,該ACC 12將被解鎖。通過防止命令和協(xié)議錯誤導(dǎo)致ACC 12的持久性鎖定��,該方案可以防止SoC被無意間永久性地禁用����。然而�,存在著可能阻止ACC 12正常操作的特定錯誤(大多數(shù)是由于硬件缺陷)����。如果ACC 12遇到這些不可恢復(fù)錯誤中的任何錯誤,則ACC 12可能持久地陷入到鎖定狀態(tài)86中��?����?梢允褂迷赗AM 60中分配的計數(shù)器來保持對從重置開始����,ACC12已經(jīng)觀察到多少錯誤條件的跟蹤。毎次ACC 12遇到錯誤條件�,則其將遞增錯誤數(shù)目。當ACC 12到達最大允許錯誤數(shù)目吋���,ACC 12變換到易失性的鎖定狀態(tài)86中��。錯誤計數(shù)器可以允許在對ACC 12鎖定之前�,任何指定數(shù)目的可允許錯誤����。固件引導(dǎo)序列、狀態(tài)變換以及生命周期狀態(tài)一般可以將固件組織為以下的組加密基元的集合�,包括各種底層算木基元;BIST基元的集合���;引導(dǎo)和啟動定序器�����;生命周期狀態(tài)功能�;以及解釋和處理進入的命令和消息的功能集合��。稍后將在對通信協(xié)議的討論之后���,描述加密基元����,并且將與對命令處理的討論一起對BIST基元進行討論����。從而,以下將關(guān)注于引導(dǎo)和啟動序列���、生命周期狀態(tài)功能以及對進入的命令和消息進行解釋和處理的功能集合�。引導(dǎo)/啟動如圖55中所示的,在每一次ACC 12重啟處��,嵌入到ACC 12中的微控制器54在上電或者完成重置吋�,自動開始執(zhí)行固件引導(dǎo)代碼。固件程序應(yīng)該總是以下面的順序開始執(zhí)行引導(dǎo)序列1)執(zhí)行ー些必需的低等級寄存器初始化和配置�;2)讀取存儲在NVM 62中的特征啟用列表,并確定哪些特征需要被啟用或者禁用���,然后����,驅(qū)動適當?shù)奶卣鲉⒂眯盘枺?)讀取NVM 62以得到ACC 12在關(guān)閉或重置之前的上ー個狀態(tài)���;以及4)通過寫入到生命周期循環(huán)狀態(tài)寄存器并跳到對在該特定狀態(tài)下所需要的任何東西進行處理的子程序����,變換到適當?shù)纳芷跔顟B(tài)����。圖56中提供了對狀態(tài)變換序列進行示出的圖。可以使用以下序列開始每個狀態(tài)變換首先�����,狀態(tài)變換子程序具有對其正在變換往的新狀態(tài)進行指示的輸入?yún)?shù)���,并在然后如下操作1)針對當前狀態(tài),檢查新狀態(tài)�����,以確保狀態(tài)變換是有效的���;2)如果新狀態(tài)與NVM62中存儲的上一個狀態(tài)不同����,使用新的狀態(tài)值來更新NVM 62 ���;3)將新的狀態(tài)值寫到生命周期循環(huán)寄存器��;4)確定該狀態(tài)變換是否是上電或者硬重置之后的第一個狀態(tài)變換�����。如果是�����,則默認自動進入到休眠模式�;以及5)否則,調(diào)用對應(yīng)的狀態(tài)功能�����,以在該特定的狀態(tài)下開始執(zhí)行所要求的操作����。可以注意到��,對于步驟5�,每個狀態(tài)可以具有其自身的子程序,以處理在該狀態(tài)下所必需的操作�����。圖57a至57d中示出了狀態(tài)子程序中每個的子程序�����。圖57a中不出了測試狀態(tài)子程序,圖57b中不出了初始化狀態(tài)子程序����,圖57c中不出了工作狀態(tài)程序,以及圖57d中示出了鎖定狀態(tài)子程序�。可以看出����,子程序一般遵循在圖 54的生命周期循環(huán)圖中示出的高級框圖�����?���?梢宰⒁獾剑灰紤]到固件�����,則對特征進行啟用和禁用涉及將適當?shù)闹祵懙接布拇嫫鞯募?���,并將該值存儲在NVM 62中的已知位置中����。還可以注意到����,在特定的應(yīng)用中,ACC 12可以使用OTP存儲器來存儲非易失性數(shù)據(jù)���。OTP存儲器不允許固件擦除之前所寫的數(shù)據(jù)����。一般可以將OTP存儲器視為保險絲(fuse)電路一開始每個比特具有為“O”的值����,并且在將“I”寫到特定的比特位置后,保險絲永久燒毀���,并且不可能再被恢復(fù)�����。針對這種情況要發(fā)生���,固件應(yīng)該考慮到數(shù)據(jù)段是是有效����,在何處尋找最新的數(shù)據(jù)�����,何處存在空閑空間可用以及當沒有更多空閑空間時會發(fā)生什么�����,以及分配足夠的額外冗余空間以允許多次寫入�。如果NVM 62不是0ΤΡ����,固件可以將其作為RAM對待,并且可以任意覆寫已存在的內(nèi)容����。然而,應(yīng)該意識到�����,NVM 62—般慢于SRAM��。固件應(yīng)該嘗試以脈沖方式來訪問NVM 62以最小化對性能的影響。當ACC 12掉電或者突然與裝置18斷開連接吋����,固件應(yīng)該盡可能快地將重要的信息存儲至NVM 62。使用特定的NVM 62技術(shù)�,應(yīng)該讀回寫入到NVM 62中的數(shù)據(jù),以確保寫是成功的��,因為ー些NVM 62寫操作可能不是100%可靠�。此外,固件應(yīng)該維持運行對觀察到多少失敗/無效命令的計數(shù)�����,并且如果該計數(shù)到達閾值��,固件應(yīng)該將ACC 12置于鎖定狀態(tài)86中����。同樣地,如果在合理的時間量內(nèi)���,命令沒有成功地提供適當?shù)捻憫?yīng)�,這可以是對ACC 12內(nèi)部出錯或者ACC 12已經(jīng)被過早地斷開的指示���。在這種情況下����,裝置18可以嘗試重置,或者其將需要將該斷開記錄到數(shù)據(jù)庫中�����;并在該ACC 12再次重新連接的情況下恢復(fù)上次的操作��。為了阻止旁路攻擊(由于基本探測算法的實現(xiàn)細節(jié)�����,對手通過檢查無意間泄露的信息來提取隱秘信息),ACC的固件可以包括特定的固件反擊措施以減輕這些攻擊�。將在固件實現(xiàn)規(guī)范中對反擊措施(如果有反擊措施的話)進行指定?�?梢宰⒁獾?,特定的反擊措施在系統(tǒng)10中產(chǎn)生了復(fù)雜性�,這繼而増加了執(zhí)行時間和能量消耗。圖58提供了對命令解釋器子程序進行示出的圖����,其勾畫出固件針對接收到的命令做了什么�。固件負責處理下面的表3中示出的以下命令
權(quán)利要求
1.一種對設(shè)備上的特征進行編程的方法��,所述方法包括 在所述設(shè)備上提供硬件模塊���,所述硬件模塊包括用于存儲特征激活信息的非易失性存儲器(NVM)�����,所述NVM的至少一部分是受保護的�����,所述硬件模塊還包括用于執(zhí)行加密操作的加密控制器���; 所述硬件模塊接收第一命令,所述第一命令用于建立與連接到所述硬件模塊的代理的安全會話�����; 所述硬件模塊使用所述加密控制器����,產(chǎn)生一個或多個公鑰,并向所述代理提供所述一個或多個公鑰,以使得所述代理能夠向裝置提供所述公鑰���,以產(chǎn)生共享的密鑰���; 所述硬件模塊從所述代理獲得已加密的特征集合; 所述硬件模塊使用所述共享的密鑰對所述特征集合解密����;以及 所述硬件模塊根據(jù)所述特征集合,對所述設(shè)備的所述NVM上的一個或多個特征進行編程��。
2.根據(jù)權(quán)利要求I所述的方法���,其中����,使用橢圓曲線Menezes-Qu-Vanstone協(xié)議產(chǎn)生所述共享的密鑰�����。
3.根據(jù)權(quán)利要求I或2所述的方法��,其中�,所述NVM包括用于允許在所述硬件模塊上運行測試的測試狀態(tài)�����、用于產(chǎn)生靜態(tài)密鑰和唯一標識符的初始化狀態(tài)、以及用于參與所述安全會話的工作狀態(tài)�。
4.根據(jù)權(quán)利要求3所述的方法,其中����,在檢測到預(yù)定數(shù)目的無效命令時,所述硬件模塊變換到鎖定狀態(tài)�����,以保護對所述NVM的進一步訪問��。
5.根據(jù)權(quán)利要求I至4中任一項所述的方法�����,其中��,將所述硬件模塊并入到晶片�、芯片、印刷電路板或電子設(shè)備中��。
6.—種包括計算機可執(zhí)行指令的計算機可讀介質(zhì),所述計算機可執(zhí)行指令包括用于執(zhí)行根據(jù)權(quán)利要求I至5中任一項所述的方法的指令��。
7.一種對設(shè)備上的特征進行編程的方法�,所述方法包括 通過與所述設(shè)備上的硬件模塊通信的代理,提供到所述硬件模塊的連接�,所述硬件模塊包括用于存儲特征激活信息的非易失性存儲器; 從所述代理獲得由所述硬件模塊使用加密控制器產(chǎn)生的一個或多個公鑰�; 使用所述一個或多個公鑰,產(chǎn)生共享的密鑰�����; 使用所述共享的密鑰�,對特征集合加密; 通過所述代理�,向所述硬件模塊提供已加密的特征集合;以及 計量信用池����,所述信用池指示要被編程的硬件模塊的數(shù)量。
8.根據(jù)權(quán)利要求7所述的方法,其中�,使用橢圓曲線Menezes-Qu-Vanstone協(xié)議產(chǎn)生所述共享的密鑰。
9.根據(jù)權(quán)利要求7或8所述的方法�����,其中�����,使用硬件安全模塊來執(zhí)行所述共享的密鑰和所述計量����。
10.根據(jù)權(quán)利要求7至9中任一項所述的方法,還包括記錄與所述信用池的所述計量相關(guān)的事件�����。
11.根據(jù)權(quán)利要求10所述的方法�,還包括從所述代理獲得一個或多個日志,并且在從控制器接收到請求時�,向所述控制器提供來自所述代理的所述日志和針對所述計量產(chǎn)生的日志。
12.一種包括計算機可執(zhí)行指令的計算機可讀介質(zhì)�,所述計算機可執(zhí)行指令包括用于執(zhí)行根據(jù)權(quán)利要求7至11中任一項所述的方法的指令。
13.一種服務(wù)器裝置���,包括處理器���、存儲器和至代理的連接,所述服務(wù)器裝置被配置為執(zhí)行根據(jù)權(quán)利要求7至11中任一項所述的方法���。
14.一種對設(shè)備上的特征進行編程的方法���,所述方法包括 提供至所述設(shè)備上的硬件模塊的第一連接和至裝置的第二連接����,所述裝置包括要在所述設(shè)備上被編程的特征集合���,所述硬件模塊包括用于存儲特征激活信息的非易失性存儲器�����; 向所述硬件模塊發(fā)送命令���,以發(fā)起與所述硬件模塊的安全會話; 從所述硬件模塊獲得由所述硬件模塊產(chǎn)生的一個或多個公鑰��; 向所述裝置提供所述公鑰����; 從所述裝置獲得已加密的特征集合; 通過建立與所述硬件模塊的特征編程會話��,來提供所述已加密的特征集合����;以及 從所述硬件模塊獲得與所述特征集合的應(yīng)用相關(guān)的響應(yīng)�。
15.根據(jù)權(quán)利要求14所述的方法,其中��,使用橢圓曲線Menezes-Qu-Vanstone協(xié)議產(chǎn)生所述共享密鑰��。
16.根據(jù)權(quán)利要求14或15的方法�,其中���,由包括軟件庫的代理來執(zhí)行所述方法��。
17.根據(jù)權(quán)利要求14至16中任一項所述的方法�����,還包括在傳送所述已加密的特征集合時�����,產(chǎn)生日志���,并向所述裝置提供所述日志。
18.—種包括計算機可執(zhí)行指令的計算機可讀介質(zhì)���,所述計算機可執(zhí)行指令包括用于執(zhí)行根據(jù)權(quán)利要求14至17中任一項所述的方法的指令�����。
19.一種用于控制要應(yīng)用到設(shè)備的資產(chǎn)的硬件模塊���,所述硬件模塊被配置為被并入所述設(shè)備中��,所述硬件模塊包括 加密控制器��,用于執(zhí)行加密操作���; 隨機數(shù)產(chǎn)生器,用于產(chǎn)生唯一的標識符��; 非易失性存儲器(NVM)����,其至少一部分受保護,以存儲特征激活信息����;以及 提供接口,向所述設(shè)備提供一個或多個輸出����,所述一個或多個輸出指示特征集合中哪些特征被啟用���,哪些特征被禁用。
20.根據(jù)權(quán)利要求19所述的硬件模塊�����,其中��,通過所述提供接口����,將所述硬件模塊集成到晶片�����、芯片���、印刷電路板或者電子設(shè)備中��。
21.根據(jù)權(quán)利要求19或20所述的硬件模塊����,其中,所述加密控制器被配置為使用橢圓曲線 Menezes-Qu-Vanstone 協(xié)議��。
22.根據(jù)權(quán)利要求19至21中任一項所述的硬件模塊�,其中,所述NVM包括用于允許在所述硬件模塊上運行測試的測試狀態(tài)��、用于產(chǎn)生靜態(tài)密鑰和唯一的標識符的初始化狀態(tài)�、以及用于參與所述安全會話的工作狀態(tài)。
23.根據(jù)權(quán)利要求22所述的硬件模塊����,其中,在檢測到預(yù)定數(shù)目的無效命令時����,所述加密控制器被配置為變換到鎖定狀態(tài),以保護對所述NVM的進一步訪問�。
24.一種對設(shè)備上的特征進行編程的方法,所述方法包括確定在所述設(shè)備上要啟用的特征集合�; 根據(jù)要啟用哪些特征來填充特征寄存器; 使用所述特征寄存器來準備特征控制票據(jù)����; 加密所述特征控制票據(jù);以及 向裝置提供一個或多個特征控制票據(jù),以傳送到能夠使用所述特征被編程的一個或多個設(shè)備�����。
25.根據(jù)權(quán)利要求24所述的方法��,其中���,在硬件安全模塊內(nèi)執(zhí)行所述準備�。
26.根據(jù)權(quán)利要求24或25所述的方法��,還包括在提供所述特征控制票據(jù)時���,記錄事件,并從所述裝置獲得日志�。
27.根據(jù)權(quán)利要求26所述的方法,還包括在數(shù)據(jù)庫中存儲所述日志���。
28.—種包括計算機可執(zhí)行指令的計算機可讀介質(zhì)���,所述計算機可執(zhí)行指令包括用于執(zhí)行根據(jù)權(quán)利要求24至27中任一項所述的方法的指令。
29.一種控制器服務(wù)器���,包括處理器��、存儲器和至裝置服務(wù)器的連接�,所述控制器服務(wù)器被配置為執(zhí)行根據(jù)權(quán)利要求24至27中任一項所述的方法。
30.一種與設(shè)備交換信息的方法���,所述方法包括 在所述設(shè)備上提供硬件模塊���; 提供與所述硬件模塊通信的裝置; 在所述裝置和所述硬件模塊之間建立安全通信通道�����;以及 利用在所述安全通信通道上在所述裝置和所述硬件模塊之間發(fā)送的消息�,在所述裝置和所述硬件模塊之間交換信息。
31.根據(jù)權(quán)利要求30所述的方法�,還包括在所述裝置和所述硬件模塊之間提供代理,以代表所述裝置分發(fā)所述消息��。
32.根據(jù)權(quán)利要求30或31所述的方法���,其中��,所述消息包括要與所述設(shè)備相關(guān)聯(lián)的一個或多個資產(chǎn)����。
33.根據(jù)權(quán)利要求32所述的方法,其中���,所述資產(chǎn)是以下一項或多項序列號��、密鑰或特征集合�。
34.一種包括計算機可執(zhí)行指令的計算機可讀介質(zhì)�,所述計算機可執(zhí)行指令用于與設(shè)備交換信息,所述計算機可執(zhí)行指令包括用于以下步驟的指令 在所述設(shè)備上提供硬件模塊���; 提供與所述硬件模塊通信的裝置�����; 在所述裝置和所述硬件模塊之間建立安全通信通道����;以及 利用在所述安全通信通道上在所述裝置和所述硬件模塊之間發(fā)送的消息�,在所述裝置和所述硬件模塊之間交換信息����。
35.一種用于與設(shè)備交換信息的系統(tǒng),所述系統(tǒng)包括 要嵌入到所述設(shè)備上的硬件模塊, 其中�����,所述硬件模塊被配置為建立與裝置的安全通信通道����, 其中,所述硬件模塊還被配置為交換在所述裝置和所述硬件模塊之間發(fā)送的消息�;以及 其中,所述硬件模塊還被配置為利用所述消息來獲得或提供信息��。
全文摘要
本發(fā)明提供了資產(chǎn)管理系統(tǒng)���,其包括作為資產(chǎn)控制核心操作的硬件模塊���。資產(chǎn)控制核心一般包括嵌入到目標系統(tǒng)級芯片中的小的硬件核心,該硬件核心在硅管芯上建立基于硬件的信任點��。通過具有難以被篡改的特征���,可以使用資產(chǎn)控制核心作為客戶設(shè)備上的信任的根�。資產(chǎn)控制核心能夠針對一個設(shè)備產(chǎn)生唯一的標識符���,并通過與裝置的安全通信通道參與到設(shè)備的跟蹤和提供中����。裝置一般包括安全模塊,該安全模塊對提供數(shù)據(jù)進行高速緩存����,并將其分發(fā)到連接到資產(chǎn)控制核心的很多代理中的一個代理處,例如�,在生產(chǎn)線上或者在售后市場編程會話中。
文檔編號H04L9/30GK102648471SQ200980155208
公開日2012年8月22日 申請日期2009年11月24日 優(yōu)先權(quán)日2008年11月24日
發(fā)明者丹尼爾·歐洛夫林, 基爾安·史密斯, 威廉·拉汀, 尤里·珀爾厄, 托馬斯·施蒂默林, 杰伊·史考特·富勒, 約瑟夫·庫, 馬修·J·坎帕尼亞, 馬瑞內(nèi)斯·斯特林克 申請人:塞爾蒂卡姆公司