用于供应用于固件受信任平台模块的认可密钥证书的装置和方法

摘要

本发明揭示一种供应用于固件受信任平台模块fTPM的认可密钥EK证书的方法。在所述方法中，所述fTPM从硬件受信任平台HWTP接收派生密钥DK。所述fTPM在所述HWTP中实施，所述DK从安全地存储于所述HWTP中的硬件密钥HWK派生，所述HWK为所述HWTP所特有，且所述HWK对于所述fTPM为不可用的。所述fTPM基于所述DK产生认可初级种子EPS，且基于所述EPS的散列产生散列的认可初级种子HEPS。所述fTPM将所述HEPS转发到供应站，且从所述供应站接收对应于所述HEPS的EK证书。

说明书

相关申请案的交叉参考

本申请案要求2013年6月7日申请的美国临时申请案第61/832,678号的权益，所 述申请案以引用的方式并入本文中。

技术领域

本发明大体上涉及供应用于固件受信任平台模块(fTPM)的认可初级种子(EPS)和认 可密钥证书。

背景技术

EPS为固定/绑定到特定受信任平台模块(TPM)的固定大小的随机值。EPS值保密。 认可密钥(EK)为使用EPS产生的非对称密钥对(例如，RSA/ECC密钥)。此不对称密钥的 私有组件为秘密。对应的EK证书(EKCert)由担保对应的EK的认证机构产生且签名。每 一TPM(硬件模块)的制造商将特有的EPS和对应的EKCert供应到每一TPM中。

对于固件TPM(fTPM)，直到原始设备制造商(OEM)使用TPM启动装置，非易失性 (NV)存储器才为可用的。因此，TPM制造商没有办法在工厂中供应EPS和对应的 EKCert。融合地存储fTPM的特有EPS和EKCert(签名)将需要硬件的改变。

在装置起动期间(或在需要起动时)，TPM使用EPS来产生EK。TPM可将对应的所 存储的EKCert呈现给另一实体，且所述实体可肯定地确定，其与特定的TPM连通。EPS 和私有EK为安全性敏感的，且不应在供应给TPM期间和之后泄漏。

对于此基于硬件的TPM，当产生硬件时，EK证书对在工厂地面上生成且在仅TPM 可访问的TPM的内嵌式多媒体卡(emmc)/熔断器/ROM内部融合。按照设计，TPM不应 该泄漏私有信息。

fTPM的问题为软件在安全核(信任区(TrustZone)或其它此类环境)中运行且其在标 准CPU上加载和运行。由于其全部在软件中，因此无法在软件中供应装置特有的密钥。 并且，归因于EPS、EK和EKCert耗时的安全生产，因此在工厂中制得最终装置(例如， 移动电话、平板电脑或其它此类装置)时供应这些尤其具有挑战性。

因此，供应用于fTPM的EKCert存在技术需求。

发明内容

本发明的方面可存在于一种供应用于固件受信任平台模块(fTPM)的认可密钥(EK) 证书的方法。在所述方法中，从硬件受信任平台(HWTP)接收派生密钥(DK)。fTPM在 HWTP中实施，DK从安全地存储于HWTP中的硬件密钥(HWK)派生，HWK为HWTP 所特有，且HWK对于fTPM为不可用的。基于DK产生认可初级种子(EPS)，且基于 EPS的散列产生散列的认可初级种子(HEPS)。将HEPS转发到供应站，且从所述供应站 接收对应于HEPS的EK证书。

在本发明的更详细方面中，可产生构成EK的公共密钥和私有密钥，且EK证书可 具有公共密钥。并且，EK证书可存储于仅fTPM可用的HWTP的安全非易失性存储器 中。此外，供应站可具有HEPS和对应的EK证书的数据库。每一HEPS和对应的EK 证书仅与一个特定fTPM相关联。

本发明的另一方面可存在于一站点中，所述站点包括：用于从硬件受信任平台 (HWTP)接收派生密钥(DK)的装置，其中用于接收DK的装置在HWTP中实施，DK从 安全地存储于HWTP中的硬件密钥(HWK)派生，HWK为HWTP所特有，且HWK对用 于接收DK的装置为不可用的；用于基于DK产生认可初级种子(EPS)的装置；用于基于 EPS的散列产生散列的认可初级种子(HEPS)的装置；将HEPS转发到供应站的装置；和 用于从供应站接收对应于HEPS的EK证书的装置。

本发明的另一方面可存在于一站点中，所述站点包括一处理器，所述处理器经配置 以：从硬件受信任平台(HWTP)接收派生密钥(DK)，其中DK从安全地存储于HWTP中 的硬件密钥(HWK)派生，HWK为HWTP所特有，且HWK对于固件受信任平台模块 (fTPM)为不可用的；基于DK产生认可初级种子(EPS)；基于EPS的散列产生散列的认 可初级种子(HEPS)；将HEPS转发到供应站；且从供应站接收对应于HEPS的EK证书。

本发明的另一方面可存在于计算机程序产品中，所述计算机程序产品包括计算机可 读媒体，所述计算机可读媒体包括：用于使得计算机从硬件受信任平台(HWTP)接收派 生密钥(DK)的代码，其中固件受信任平台模块(fTPM)在HWTP中实施，DK从安全地存 储于HWTP中的硬件密钥(HWK)派生，HWK为HWTP所特有，且HWK对于fTPM为 不可用的；用于使得计算机基于DK产生认可初级种子(EPS)的代码；用于使得计算机基 于EPS的散列产生散列的认可初级种子(HEPS)的代码；用于使得计算机将HEPS转发到 供应站的代码；和用于使得计算机从供应站接收对应于HEPS的EK证书的代码。

本发明的另一方面可存在于一种用于在安全设备处产生认可密钥(EK)证书和散列 的认可初级种子(HEPS)的方法。在所述方法中，接收用于特定硬件受信任平台(HWTP) 的经加密的派生密钥E[DK]。派生密钥(DK)从为HWTP所特有的硬件密钥HWK派生。 使用用于安全设备的私有密钥解密E[DK]以产生DK。基于DK产生认可初级种子(EPS)。 基于EPS的散列产生散列的认可初级种子(HEPS)。基于EPS产生认可密钥(EK)。对EK 的公开部分签名以产生EK证书。HEPS和EK证书在数据库中相关联。

在本发明的更详细方面中，EPS的大小可为固定的，且可取决于用于基于EPS产生 EK的算法。EK证书可用于与具有特有的HWK的HWTP相关联的固件受信任平台模块 (fTPM)。可将数据库发送到至少一个原始设备制造商(OEM)以向fTPM供应EK证书。 EK可包括公共密钥和私有密钥，且EK证书可包含公共密钥。

本发明的另一方面可存在于一站点中，所述站点包括：用于接收用于特定硬件受信 任平台(HWTP)的经加密派生密钥E[DK]的装置，其中派生密钥(DK)从为HWTP所特有 的硬件密钥HWK派生；用于使用用于安全设备的私有密钥解密E[DK]以产生DK的装 置；用于基于DK产生认可初级种子(EPS)的装置；用于基于EPS的散列产生散列的认 可初级种子(HEPS)的装置；用于基于EPS产生认可密钥(EK)的装置；用于对EK的公开 部分签名以产生EK证书的装置；和用于将HEPS与EK证书在数据库中相关联的装置。

本发明的另一方面可存在于一站点中，所述站点包括一处理器，所述处理器经配置 以：接收用于硬件受信任平台(HWTP)的经加密派生密钥E[DK]，其中派生密钥(DK)从 为HWTP所特有的硬件密钥HWK派生；使用用于安全设备的私有密钥解密E[DK]以产 生DK；基于DK产生认可初级种子(EPS)；基于EPS的散列产生散列的认可初级种子 (HEPS)；基于EPS产生认可密钥(EK)；对EK的公开部分签名以产生EK证书；且将 HEPS与EK证书在数据库中相关联。

本发明的另一方面可存在于计算机程序产品中，所述计算机程序产品包括计算机可 读媒体，所述计算机可读媒体包括：用于使得计算机接收用于硬件受信任平台(HWTP) 的经加密派生密钥E[DK]的代码，其中派生密钥(DK)从为HWTP所特有的硬件密钥 HWK派生；用于使得计算机使用用于安全设备的私有密钥解密E[DK]以产生DK的代 码；用于使得计算机基于DK产生认可初级种子(EPS)的代码；用于使得计算机基于EPS 的散列产生散列的认可初级种子(HEPS)的代码；用于使得计算机对EK的公开部分签名 以产生EK证书的代码；和用于使得计算机将HEPS与EK证书在数据库中相关联的代 码。

附图说明

图1为无线通信系统的实例的方框图。

图2为根据本发明的用于供应用于固件受信任平台模块的认可密钥证书的方法的流 程图。

图3为用于从硬件密钥产生派生密钥和加密派生密钥的方法的流程图。

图4为用于在安全设备处产生存储在数据库中的散列认可初级种子和对应的认可密 钥证书的方法的流程图。

图5为用于获取和转发对应于所接收的散列认可初级种子的认可密钥证书的方法的 流程图。

图6为用于产生散列的认可初级种子和对应的认可密钥证书的数据库的方法的密钥 和种子的层级示意图。

图7为用于供应用于固件受信任平台模块的认可初级种子和对应的认可密钥证书的 方法的密钥和种子的层级的示意图。

图8为包含存储器和具有受信任平台的处理器的计算机的方框图。

图9为包含处理器和存储器的安全设备计算机的方框图。

具体实施方式

本文中使用词“示例性”意指“充当实例、例子或说明”。本文中被描述为“示例 性”的任何实施例未必应解释为比其它实施例优选或有利。

参考图2和3，本发明的方面可存在于用于供应用于固件受信任平台模块(fTPM)的 认可密钥(EK)证书的方法200中。在所述方法中，fTPM从硬件受信任平台(HWTP)820 接收派生密钥(DK)(步骤210)。fTPM在HWTP中实施，DK从安全地存储于HWTP中 的硬件密钥(HWK)派生，HWK为HWTP所特有，且HWK对于fTPM为不可用的。fTPM 基于DK产生认可初级种子(EPS)(步骤220)，且基于EPS的散列产生散列的认可初级种 子(HEPS)(步骤230)。fTPM将HEPS转发到供应站(步骤240)，且从供应站接收对应于 HEPS的EK证书(步骤250)。

在本发明的更详细方面中，fTPM可产生构成EK的公共密钥和私有密钥，且EK证 书可具有公共密钥。并且，fTPM可在仅对fTPM为可用的HWTP的安全非易失性(NV) 存储器中存储EK证书。此外，供应站可具有HEPS和对应的EK证书的数据库(DB)。 每一HEPS和对应的EK证书仅与一个特定fTPM相关联。

进一步参看图8，本发明的另一方面可存在于一站点(例如，计算机800)中，所述站 点包括：用于从硬件受信任平台(HWTP)820接收派生密钥(DK)的装置810，其中用于接 收DK的装置810在HWTP中实施，DK从安全地存储于HWTP中的硬件密钥(HWK) 派生，HWK为HWTP所特有，且HWK对于用于接收DK的装置为不可用的；用于基 于DK产生认可初级种子(EPS)的装置810；用于基于EPS的散列产生散列的认可初级种 子(HEPS)的装置810；用于将HEPS转发到供应站的装置810；和用于从供应站接收对 应于HEPS的EK证书的装置810。

本发明的另一方面可存在于一站点中，所述站点包括具有硬件受信任平台(HWTP) 820的处理器810，处理器810经配置以实施固件受信任平台模块(fTPM)，其中：fTPM 从硬件受信任平台(HWTP)接收派生密钥(DK)，其中DK从安全地存储于HWTP中的硬 件密钥(HWK)派生，HWK为HWTP所特有，且HWK对于fTPM为不可用的；fTPM基 于DK产生认可初级种子(EPS)；fTPM基于EPS的散列产生散列的认可初级种子(HEPS)； fTPM将HEPS转发到供应站；且fTPM从供应站接收对应于HEPS的EK证书。

本发明的另一方面可存在于计算机程序产品中，所述计算机程序产品包括计算机可 读媒体830，计算机可读媒体830包括：用于使得计算机800从硬件受信任平台(HWTP) 820接收派生密钥(DK)的代码，其中固件受信任平台模块(fTPM)在HWTP中实施，DK 从安全地存储于HWTP中的硬件密钥(HWK)派生，HWK为HWTP所特有，且HWK对 于fTPM为不可用的；用于使得计算机基于DK产生认可初级种子(EPS)的代码；用于使 得计算机基于EPS的散列产生散列的认可初级种子(HEPS)的代码；用于使得计算机将 HEPS转发到供应站的代码；和用于使得计算机从供应站接收对应于HEPS的EK证书 的代码。

fTPM在安全环境中运行，诸如ARM体系结构的信任区。fTPM在器件正在操作时 可以访问安全/经加密NV存储器(例如，其内容经加密的信任区NV存储器)。在芯片制 造期间，特有的硬件密钥(HWK)融合到仅硬件块可访问的每一芯片。

参看图3，TPM(芯片)制造商从随机值产生HWK(步骤310)。使用TPM的硬件密 钥派生函数(KDF)的模拟基于HWK产生DK(步骤320)。使用安全设备的公共密钥加密 DK以产生经加密的DK(E[DK])(步骤330)。将E[DK]发送到安全设备以供稍后访问(步 骤340)。可通过将HWK融合到芯片而将HWK存储于所述芯片中(步骤350)。TPM(芯 片)制造商接着销毁HWK和DK(步骤360)。

参看图4，安全设备接收用于所制造的每一TPM(即，HWTP)的E[DK]：安全设备 使用安全设备的私有密钥解密DK(步骤410)。安全设备使用软件KDF以从DK产生EPS (通常32字节)(步骤420)。EPS的大小为固定的且取决于用于执行实际不对称EK密钥 产生的算法。安全设备基于EPS产生EK(步骤430)，且对EK的公开部分签名以产生 EKCert(步骤440)。安全设备对EPS进行散列以产生散列的EPS(HEPS)(步骤450)。安 全设备在数据库中存储HEPS和对应的EKCert(步骤460)。针对每一TPM重复此过程 以产生HEPS和EKCert的特有配对。将来自安全设备的数据库发送给客户/OEM。

参看图5，OEM将在其生产线上制造将芯片与TPM在内部合并的器件。每一OEM 从芯片制造商接收所存储的HEPS和对应的EKCert的数据库(步骤510)。在第一启动/ 供应步骤期间，fTPM将在DK上使用KDF以派生特有的EPS。fTPM将对EPS进行散 列，且将在由OEM操作的计算机站点处将HEPS提供到供应软件(步骤520)。供应软件 /应用程序将查询匹配HEPS的EKcert(步骤530)，且将其转发到fTPM(步骤540)。fTPM 可在仅对fTPM可用的TPM的NV存储器的公开部分中供应证书。

参看图6，TPM制造商针对每一TPM产生经加密的DK。安全设备(通常由TPM制 造商远离工厂地面操作)产生HEPS和EKCert的数据库。OEM接收不包含以下机密要素 的数据库：HWK、DK、EPS，和私有EK。数据库可涵盖数以万计或百万计的芯片。在 无HEPS的情况下，将EKCert匹配特定芯片将引起随机猜测。

参看图7，展示HEPS与特定HWTP的HWK和DK的关系。HEPS不揭示所存储 的秘密，且充当允许识别数据库中的对应的EKCert的一类型的指标。

因此，产生EK的耗时部分可不论何时在现场需要其且其不是制造过程的部分时进 行。此消除在OEM工厂地面处执行产生EK(非对称密钥对，例如，RSA密钥对)的耗时 步骤的需求。并且，OEM不需要维持/操作服务以对EK证书签名。此外，OEM不需要 具有安全设备以向其器件进行供应。

远程站102可包括包含以下各者的计算机800：处理器810(其具有TPM820)、存 储媒体830(诸如存储器和/或磁盘驱动器)、显示器840，以及输入端(诸如小键盘850) 和无线连接860。

参看图9，安全设备可包含计算机900，计算机900包含处理器910、存储媒体920 (诸如存储器和/或磁盘驱动器)、显示器930，以及输入端940(诸如小键盘)和网络/因特 网连接950。

本发明的另一方面可存在于一站点(例如，计算机900)中，所述站点包括：用于接 收用于特定硬件受信任平台(HWTP)的经加密的派生密钥E[DK]的装置910，其中派生密 钥(DK)从为HWTP所特有的硬件密钥HWK派生；用于使用用于安全设备的私有密钥解 密E[DK]以产生DK的装置910；用于基于DK产生认可初级种子(EPS)的装置910；用 于基于EPS的散列产生散列的认可初级种子(HEPS)的装置910；用于基于EPS产生认可 密钥(EK)的装置910；用于对EK的公开部分签名以产生EK证书的装置910；和用于将 HEPS与EK证书在数据库中相关联的装置910。

本发明的另一方面可存在于一站点(例如，计算机900)中，所述站点包括处理器910， 处理器910经配置以：接收用于硬件受信任平台(HWTP)的经加密的派生密钥E[DK]， 其中派生密钥(DK)从为HWTP所特有的硬件密钥HWK派生；使用用于安全设备的私有 密钥解密E[DK]以产生DK；基于DK产生认可初级种子(EPS)；基于EPS的散列产生散 列的认可初级种子(HEPS)；基于EPS产生认可密钥(EK)；对EK的公开部分签名以产生 EK证书；且将HEPS与EK证书在数据库中相关联。

本发明的另一方面可存在于计算机程序产品中，所述计算机程序产品包括计算机可 读媒体920，计算机可读媒体920包括：用于使得计算机900接收用于硬件受信任平台 (HWTP)的经加密的派生密钥E[DK]的代码，其中派生密钥(DK)从为HWTP所特有的硬 件密钥HWK派生；用于使得计算机900使用用于安全设备的私有密钥解密E[DK]以产 生DK的代码；用于使得计算机900基于DK产生认可初级种子(EPS)的代码；使得计算 机900基于EPS的散列产生散列的认可初级种子(HEPS)的代码；用于使得计算机900 对EK的公开部分签名以产生EK证书的代码；和用于使得计算机900将HEPS与EK 证书在数据库中相关联的代码。

参看图1，无线远程站(RS)102(例如，移动站MS)可与无线通信系统100的一或多 个基站(BS)104通信。无线通信系统100可进一步包含一或多个基站控制器(BSC)106， 和核心网络108。核心网络可以经由合适的回程连接到因特网110以及公共交换电话网 络(PSTN)112。典型的无线移动站可以包含手持式电话或膝上型计算机。无线通信系统 100可以采用多个多址接入技术中的任一者(诸如码分多址接入CDMA)、时分多址接入 (TDMA)、频分多址接入(FDMA)、空分多址接入(SDMA)、极化分多址接入(PDMA))或 所属领域中已知的其它调制技术。

所属领域的技术人员将理解，可使用多种不同技术及技艺中的任一者来表示信息及 信号。举例来说，可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组 合来表示可在整个以上描述中参考的数据、指令、命令、信息、信号、位、符号及芯片。

技术人员将进一步了解，结合本文所揭示的实施例描述的各种说明性逻辑块、模块、 电路和算法步骤可实施为电子硬件、计算机软件或两者的组合。为清晰地说明硬件与软 件的此可互换性，以上已大体就其功能性来描述了各种说明性组件、块、模块、电路和 步骤。此种功能性是实施为硬件还是软件取决于特定应用和施加于整个系统的设计约 束。熟练的技术人员可针对每一特定应用以不同方式来实施所描述的功能性，但此类实 施决策不应被解释为导致脱离本发明的范围。

可使用经设计以执行本文所描述的功能的通用处理器、数字信号处理器(DSP)、专 用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、离散门或晶体管 逻辑、离散硬件组件或其任何组合来实施或执行结合本文中所揭示的实施例而描述的各 种说明性逻辑块、模块及电路。通用处理器可为微处理器，但在替代方案中，处理器可 为任何常规处理器、控制器、微控制器或状态机。处理器还可实施为计算装置的组合， 例如，DSP与微处理器的组合、多个微处理器、结合DSP核心的一或多个微处理器，或 任何其它此类配置。

结合本文所揭示的实施例而描述的方法或算法的步骤可直接体现在硬件、由处理器 执行的软件模块或所述两者的组合中。软件模块可存在于RAM存储器、快闪存储器、 ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM， 或此项技术中已知的任何其它形式的存储媒体中。示例性存储媒体耦接到处理器，使得 处理器可从存储媒体读取信息和将信息写入到存储媒体。在替代方案中，存储媒体可与 处理器成一体式。处理器和存储媒体可存在于ASIC中。ASIC可存在于用户终端中。在 替代方案中，处理器和存储媒体可作为离散组件存在于用户终端中。

在一或多个示例性实施例中，所描述的功能可在硬件、软件、固件或其任何组合中 实施。如果在软件中实施为计算机程序产品，那么可以将功能作为一或多个指令或代码 存储于计算机可读媒体上或经由计算机可读媒体传输。计算机可读媒体包含非暂时性计 算机可读存储媒体与通信媒体两者，所述通信媒体包含促进将计算机程序从一处传送到 另一处的任何媒体。存储媒体可为可由计算机访问的任何可用媒体。举例来说而非限制， 此类计算机可读媒体可包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储装置、 磁盘存储装置或其它磁性存储装置，或可用于载送或存储呈指令或数据结构的形式的所 要程序码且可由计算机存取的任何其它媒体。并且，任何连接被恰当地称为计算机可读 媒体。举例来说，如果使用同轴电缆、光缆、双绞线、数字订户线(DSL)或无线技术(诸 如红外线、无线电及微波)从网站、服务器或其它远程源传输软件，那么同轴电缆、光缆、 双绞线、DSL或无线技术(诸如红外线、无线电及微波)包含在媒体的定义中。如本文所 使用，磁盘及光盘包含压缩光盘(CD)、激光光盘、光学光盘、数字多功能光盘(DVD)、 软性磁盘及蓝光光盘，其中磁盘通常以磁性方式复制数据，而光盘使用激光以光学方式 复制数据。上述各者的组合也应包含在计算机可读媒体的范围内。

提供对所揭示的实施例的先前描述以使所属领域的技术人员能够制作或使用本发 明。这些实施例的各种修改对于所属领域的技术人员将容易地显而易见，且可在不脱离 本发明的精神或范围的情况下将本文中定义的一般原理应用到其它实施例。因此，本发 明不意欲限于本文中所展示的实施例，而应符合与本文中所揭示的原理及新颖特征相一 致的最广泛范围。