本发明涉及电子组件或装置的安全制造及配置,特别是涉及用以控制电子组件或装置的配置的设备及方法。
背景技术:
1、最新进的电子设备(例如智能型手机、平板计算机,以及其他类型的消费电子产品或物联网(iot)设备)通常以分散的方式制造及组装,在上述方式中,包含消费性电子设备的电子芯片的多个电子组件或装置被制造、配置,或个性化,并最终在不同位置由不同主体组装。举例来说,用于电子设备的电子芯片可以由芯片制造商制造,并且在由电子设备的制造商组装为最终产品(例如原厂代工制造(original equipment manufacturing,oem))之前,由其他主体使用配置系统(也称为制造系统(production system))以安全敏感(security sensitive)的配置数据进行配置,例如以加密密钥(cryptographic key)和/或固件进行配置。相似的问题也可能发生在系统内编程(in-system programming,isp)(也称为电路中序列编程(in-circuit serial programming,icsp)),其中当电子组件已经安装在电子设备中时,电子组件可以被编程,亦即被提供安全敏感的配置数据及特定的组态(configuration)数据,而不需要电子组件(例如电子芯片)在被安装至电子设备中之前进行编程。
2、已知可以使用包含配置控制设备的制造系统,由第三方使用安全敏感的配置数据配置电子组件或装置,例如以安全硬件安全模块(hardware security module,hsm)的形式实现。安全敏感的配置数据通常可以包含或基于安全地储存于安全hsm中,和/或由安全hsm处理的oem密钥。
3、随着iot装置变得越来越离散(diverse)及复杂,iot装置的持续制造变得更困难。iot装置制造的问题通常是由于变得与单一制造系统绑定造成的,因为制造系统可能在产品制造完成前故障,而无法转移到不同的制造系统。随着装置越来越复杂,设计制造系统的成本也会上升,因为每个oem都开发自己的不同安全机制,使得每个oem都需要各自承担这些成本及相关的时间延迟。此外,随着制造量(volume)增加,初始制造系统可能不足以制造更大的制造量,但是因为害怕在不同制造系统上会导致错误的制造,以及没有能够验证装置的原本的开发人员,而无法移动制造。
4、图1示出了传统的配置系统13,用以配置电子装置17,例如使用配置数据配置物联网(iot)装置17。由组态工具产生并且为将被配置的特定电子装置17订制的制造组态可以识别一或多个装置图像18a(以下也简称为图像18a)、装置配置设置(例如用于电子装置17的一次可编程(otp)内存17b的设置18b,以及其他唯一装置配置组态信息18c(例如地址范围、批次的序列号、输入的密钥、装置特定安全凭证、个别的口令句。如果电子装置17具有装置安全指定地址空间的话,制造组态也可以包含如何使用上述安全指定地址空间的信息及指令。传统上,组态格式、脚本,以及(多个)组态工具18通常是专用于制造系统13,并且潜在地也专用于(多个)电子装置17的oem。
5、如图1所示,制造组态进入制造系统13中,制造系统13使用一些脚本13a和/或算法13a将组态的多个方面编程至特定的电子装置17,例如将安全敏感的配置数据写入至电子装置17的安全指定地址空间17a、一次可编程(otp)内存17b、非易失性内存17c,和/或随机存取内存(ram)17d(包含电池备份ram),和/或设置非挥发性组态,例如禁用测试及除错端口及设置篡改电路。
6、随着电子微处理器越来越精密及复杂,伴随着安全指定地址空间及其他安全功能的使用,由图1的制造系统13使用的组态、脚本,及算法,也越来越复杂。这使得为电子装置17或组态的任何变化准备制造系统13成为需要高度技术的工作。大部分的制造系统被设计为处理特定范围的产量,越大越贵的系统处理越大的数量。在等待衡量产品的成功时,最初的制造将不可避免地在较小的制造系统上初步进行。因此,最初的制造往往将在较小容量的制造系统上完成(通常在oem的地点,在上述地点安全最初可能并不重要,然而对于大量制造来说,安全就成为一个更重要的问题)。如果制造量增加,原本的制造系统的容量可能无法满足需求。因此,移动到更大的制造系统是理想的但是可能无法达成,因为用于实现原本制造系统的知识可能已经无法取得,以分辨产品是否已经正确的移动到较大的制造系统。这造成oem因为害怕产品意外故障且无法判断原因并修复,而无法受益于更便宜的大量制造。此外,移动到较大制造量的制造系统可能会有可观的额外成本及时间延迟。即使验证出产品的技术依然存在,重新验证的时间及潜在的重新认证的时间也相当可观。如果生产移动,特定的产业(例如汽车业)可能需要完整的重新认证。
7、随着电子芯片及微处理器越来越复杂的趋势,此问题变得更具挑战,因为故障的电子装置并没有提供有关于装置哪里错误的直接信息。因此,针对“首产品”的签署非常重要,这使得制造工厂能够以电子装置适当运作的方式重复配置相同电子装置。通常,将新的电子装置(即,产品)引入配置线包含以下阶段:(a)产生工程样本(用于开发);(b)产生(多个)第一原型(用于签署);(c)大量制造;以及(d)单一芯片处理。通常从阶段(c)到阶段(d)的演进可能不会发生,因为改造以及之后重新验证用于制造产品的不同制造系统所制造的产品彼此之间是相同是有难度的。通常制造中的任何改变会需要产生新的(多个)第一原型,这会造成额外的成本。
8、目前所有电子装置都需要自己的唯一脚本以正确地被配置。此外,每个制造系统可以具有不同的制造上需要的组态工具。整体的影响是,花费大量精力开发单独的脚本,并进行大量的单独测试。在已修改过包含新的或不同的程序设计师的生产在线重做首产品是困难的。
9、在未来可以成为区域规定的安全要求是能够对于在电子设备的使用期间发现的漏洞进行修补的能力。正确完成这件事需要制造包含新应用图像的新产品,上述新产品的安全补丁已经就绪,如果这没有在工厂中完成,产品在消费者执行软件更新之前会处于危险中,这可能使产品制造商面临法律诉讼的风险。理想上工厂可以升级其安装的图像。然而,要确保新产品即使改变了也能够运作。目前如果不在每个安全补丁中重做首产品,不可能确保新产品即使改变了也能够运作。这种情况因为制造处的设备中的底层操作系统和其他功能的安全漏洞随着时间推移越来越多(例如许多较旧的操作系统(os)不再获得安全补丁),而越来越严重。但是因为害怕环境中非预期的改变可能影响配置装置而无法升级软件。
10、因此,需要改进的设备及方法,以使用更有弹性的方式控制用于电子设备的电子组件或装置(例如芯片或微处理器)的安全配置。
技术实现思路
1、因此本发明的目的为提出一种改进的设备及方法,用以更有弹性的控制用于电子设备的电子组件或装置(例如芯片或微处理器)的安全配置。
2、上述目的及其他目的通过本发明独立权利要求的主题达成。从本发明的附属项、说明书,以及图式可以其他的实施形式变得清晰。
3、根据本发明的第一个方面,提供一种控制设备,例如为安全hsm、信赖平台模块(tpm)、全球用户识别卡(usim),其中上述配置控制设备用于耦接配置设备服务器。配置设备服务器可电性连接至少一个电子装置(例如至少一个电子组件),以使用安全敏感的配置数据配置上述至少一个电子组件。
4、电子组件可以包含芯片、微处理器或其他可编程电子组件,例如非易失性内存(例如闪存)、应用处理器、内存控制单元(mcu)、电可擦编程只读内存(eeprom)、可编辑逻辑器件(pld)、现场可编辑门阵列(fpga)、系统级芯片(soc),以及整合非易失性内存元件及以上任何的组合。
5、一种根据本发明的第一个方面的配置控制设备,包含通信接口,上述通信接口用于接收有关于配置设备服务器的至少一个配置能力的信息,以使用安全敏感的配置数据配置电子装置。此外,根据本发明第一个方面的配置控制设备包含处理电路,上述处理电路用于基于电子装置的产品组态,以及有关于配置设备服务器的至少一个配置能力的信息产生配置脚本,其中上述配置脚本定义用以使用安全敏感的配置数据配置电子装置的至少一个配置操作。
6、在一实施例中,配置脚本包含一个或多个配置指令,其中每个配置指令指示配置设备服务器执行配置操作。
7、在一实施例中,至少一个配置指令包含:用以将安全敏感的配置数据写入至电子装置的指令;用以执行电子装置上的应用程序的指令;用以重设电子装置的指令;用以从电子装置的内存进行读取的指令;用以确认电子装置的状态的指令;用以退出电子装置的指令。
8、在一实施例中,配置控制设备用于耦接至额外的配置设备服务器,其中上述额外的配置设备服务器可电性连接至至少一个电子装置以使用安全敏感的配置数据配置电子装置。通信接口用于接收有关于额外的配置设备服务器使用安全敏感的配置数据配置电子装置的一个或多个配置能力的额外的信息,处理电路用于基于电子装置的产品组态,以及有关于额外的配置设备服务器的一个或多个配置能力的额外的信息产生额外的配置脚本。
9、在一实施例中,如果额外的配置设备服务器的一个或多个配置能力与额外的配置设备服务器的一个或多个配置能力不同,上述额外的配置脚本与上述配置脚本不同。
10、在一实施例中,处理电路更用于产生由配置脚本定义的一个或多个配置操作的数字指纹。
11、在一实施例中,数字指纹包含由配置脚本定义的指令序列、一序列的指令响应、有关指令序列的时间信息,和/或有关电子装置的功率消耗的信息。
12、在一实施例中,处理电路更用于加密保护指纹。
13、在一实施例中,配置控制设备用于耦接至额外的配置设备服务器,其中额外的配置设备服务器可电性连接至至少一个电子装置以使用安全敏感的配置数据配置上述电子装置。处理电路用于产生由配置脚本定义的一个或多个配置操作的额外的指纹,并比较指纹及额外的指纹。
14、在一实施例中,配置控制设备的处理电路用于实现机器学习,例如神经网络,以用于将上述指纹与额外的指纹进行比较。
15、根据本发明的第二个方面提供一种配置系统,其中根据本发明的第二个方面的配置系统包含根据本发明的第一个方面的配置控制设备,以及配置设备服务器。
16、本发明实施例可以使用硬件和/或软件实现。
1.一种配置控制设备(140),用于耦接至配置设备服务器(160a),所述配置设备服务器(160a)能够电性连接至少一个电子装置(170),以使用安全敏感的配置数据(150)配置所述电子装置(170),其特征在于,所述配置控制设备(140)包括:
2.如权利要求1所述的配置控制设备(140),其特征在于,所述配置脚本包括一个或多个配置指令,其中每个所述配置指令指示所述配置设备服务器(160a)执行配置操作。
3.如权利要求2所述的配置控制设备(140),其特征在于,所述一个或多个配置指令包括:用以将所述安全敏感的配置数据(150)写入至所述电子装置(170)的指令;用以执行所述电子装置(170)上应用程序的指令;用以重设所述电子装置(170)的指令;用以从所述电子装置(170)的内存进行读取的指令;用以检查所述电子装置(170)的状态的指令;以及用以退出所述电子装置(170)的指令。
4.如前述权利要求中任一项所述的配置控制设备(140),其特征在于,所述配置控制设备(140)用于耦接至额外的配置设备服务器(160b),其中所述额外的配置设备服务器(160b)能够电性连接至所述至少一个电子装置(170),以使用所述安全敏感的配置数据(150)配置所述电子装置(170),其中所述通信接口(143)用于接收有关于所述额外的配置设备服务器(160b)使用所述安全敏感的配置数据(150)配置所述电子装置(170)的一个或多个配置能力的额外的信息,其中所述处理电路(141)用于基于所述电子装置(170)的所述产品组态,以及有关于所述额外的配置设备服务器(160b)的所述一个或多个配置能力的所述额外的信息产生使用所述安全敏感的配置数据(150)配置所述电子装置(170)的额外的配置脚本。
5.如权利要求4所述的配置控制设备(140),其特征在于,如果所述额外的配置设备服务器(160b)的所述一个或多个配置能力与所述额外的配置设备服务器(160a)的所述一个或多个配置能力不同,所述额外的配置脚本与所述配置脚本不同。
6.如前述权利要求中任一项所述的配置控制设备(140),其特征在于,所述处理电路(141)还用于产生由所述配置脚本定义的所述一个或多个配置操作的指纹。
7.如权利要求6所述的配置控制设备(140),其特征在于,所述指纹包括由所述配置脚本定义的指令序列、指令响应序列、有关所述指令序列的时间信息,和/或有关所述电子装置(170)的功率消耗的信息。
8.如权利要求6或7所述的配置控制设备(140),其特征在于,所述处理电路(141)还用于加密保护所述指纹。
9.如权利要求6-8中任一项所述的配置控制设备(140),其特征在于,所述配置控制设备(140)用于耦接至额外的配置设备服务器(160b),其中所述额外的配置设备服务器(160b)能够电性连接至所述至少一个所述电子装置(170),以使用所述安全敏感的配置数据(150)配置所述电子装置(170),其中所述处理电路(141)用于产生由所述配置脚本定义的所述一个或多个配置操作的额外的指纹,并比较所述指纹和所述额外的指纹。
10.如权利要求9所述的配置控制设备(140),其特征在于,所述处理电路用于实现机器学习,以比较所述指纹和所述额外的指纹。
11.一种配置系统(130),其特征在于,包括:
