[发明专利]生成加密密钥的方法、集成电路和计算机可读介质

说明书

软件不可访问的秘密密钥值根据由一次性可编程(OTP)位组成的寄存器被加扰。第一OTP寄存器被用于在生命周期事件发生时改变秘密密钥值的加扰。第二OTP寄存器被用于取消秘密密钥的加扰的改变。第三OTP寄存器被用于影响对秘密密钥的加扰的永久改变。秘密密钥的加扰的值(无论是改变的还是未改变的)被用作种子以产生用于由设备进行的加密操作的密钥。

相关申请的交叉引用

本申请要求于2015年12月6日提交的、名称为“CRYPTOGRAPHIC MANAGEMENT OFLIFECYCLE STATES”的美国临时专利申请序列号62/268,018的权益，其出于所有目的通过引用并入本文。

技术领域

本公开的实施例一般地涉及计算机技术领域，并且更特别地涉及一种生成加密密钥的方法、集成电路和计算机可读介质。

背景技术

很多电子设备(例如，蜂窝电话、平板计算机、机顶盒等)使用安全加密密钥。例如，这些密钥可以被用于保护设备上的数据，保护通信，和/或验证设备。当设备经历各种生命周期事件时，希望保护由设备使用的密钥免于泄露(从而保护设备上的数据，防止未经授权的使用，等等)。

例如，最终用户在使用设备一段时间并且在其中存储敏感数据之后可能会遇到需要将设备送回制造方以用于修理的问题。在这种情况中，最终用户不希望制造方或维修中心访问被存储在设备上的敏感数据。但是，最终用户还希望在设备被返回时这些数据对于他们可访问。

发明内容

在第一方面，提供了一种生成加密密钥的方法。该方法包括：向具有电路的半导体设备配置秘密密钥值，秘密密钥值对于在设备上运行的软件不可访问；向一次性电可编程半导体存储器位配置初始值，每个一次性电可编程半导体存储器位被限制为值从相应初始值的一次改变；从由一次性电可编程半导体存储器位的第一子集存储的生命周期提前位接收第一生命周期提前值；从由一次性电可编程半导体存储器位的第二子集存储的生命周期回滚位接收第一生命周期回滚值；使用生命周期状态生成过程从第一生命周期提前值和第一生命周期回滚值生成第一生命周期状态值；从由一次性电可编程半导体存储器位的第三子集存储的个性位接收第一个性值；使用单向处理函数，基于秘密密钥值、第一个性值和第一生命周期状态值来生成第一密钥分割值；以及从第一密钥分割值生成第一加密密钥。

在第二方面，提供了一种集成电路。该集成电路包括：用来提供秘密密钥值的电路，秘密密钥值对于控制集成电路的软件不可访问；一次性可编程存储器位，每个一次性可编程存储器位被限制为值从相应初始值的一次改变，一次性可编程存储器位包括由一次性可编程存储器位的第一子集存储的生命周期提前位、由一次性可编程存储器位的第二子集存储的生命周期回滚位以及由一次性可编程存储器位的第三子集存储的个性位；生命周期值生成电路，其被配置为使用生命周期值生成过程从由生命周期提前位存储的生命周期提前值和由生命周期回滚位存储的生命周期回滚值生成生命周期值；单向函数电路，其用来使用单向处理函数基于个性位值、生命周期值和秘密密钥值来生成密钥分割值；以及，密钥融合电路，其用来基于密钥分割值来生成多个加密密钥值。