數(shù)字簽名進行解密，以執(zhí)行數(shù)字簽名檢驗。
[0113]在實施例的示例中，評估模塊還配置成查詢在硬件設(shè)備上的物理不可克隆功能以找到兩個或更多個設(shè)備密鑰中的每一個。
[0114]一個或多個實施例可提供用于證明硬件設(shè)備的方法。該方法可包括:從硬件設(shè)備上的物理不可克隆功能接收兩個或更多個設(shè)備密鑰；根據(jù)兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符；基于設(shè)備標識符和私有密鑰產(chǎn)生數(shù)字簽名；基于設(shè)備標識符和數(shù)字簽名創(chuàng)建設(shè)備證書；以及將設(shè)備證書存儲在存儲器元件中。
[0115]一個或多個實施例可提供用于認證硬件設(shè)備的方法。該方法可包括:從硬件設(shè)備上的物理不可克隆功能接收兩個或更多個設(shè)備密鑰；根據(jù)兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符；從硬件設(shè)備得到設(shè)備證書；執(zhí)行對設(shè)備標識符的檢驗；以及提供設(shè)備標識符檢驗的結(jié)果。
[0116]一個特定的示例實施例可包括:用于從硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰的單元；用于根據(jù)兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符的單元；用于基于設(shè)備標識符和私有密鑰產(chǎn)生數(shù)字簽名的單元；用于基于設(shè)備標識符和數(shù)字簽名創(chuàng)建設(shè)備證書的單元；以及用于將設(shè)備證書存儲在存儲器元件中的單元。該實現(xiàn)還可包括物理不可克隆功能被配置在硬件設(shè)備上以產(chǎn)生兩個或更多個設(shè)備密鑰，其中密鑰唯一地識別硬件設(shè)備。此外，在該實現(xiàn)中，存儲器元件可以是被包括在具有物理不可克隆功能的硬件設(shè)備中的非易失性存儲器元件。此外在該實現(xiàn)中，兩個或更多個設(shè)備密鑰包括500-5000個密鑰。該實現(xiàn)還可包括用于查詢在硬件設(shè)備上的物理不可克隆功能以找到兩個或更多個設(shè)備密鑰中的每一個的單元。此外，用于產(chǎn)生設(shè)備標識符的單元包括用于將密碼散列算法應(yīng)用于兩個或更多個密鑰的單元。
[0117]另一特定的示例實現(xiàn)可包括:用于從硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰的單元；用于根據(jù)兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符的單元；用于從硬件設(shè)備得到設(shè)備證書的單元；用于執(zhí)行對設(shè)備標識符的檢驗的單元；以及用于提供設(shè)備標識符檢驗的結(jié)果的單元。在該實現(xiàn)中，如果結(jié)果指示設(shè)備標識符檢驗失敗，則硬件設(shè)備被拒絕。用于產(chǎn)生設(shè)備標識符的單元可包括將密碼散列算法應(yīng)用于兩個或更多個密鑰。用于執(zhí)行設(shè)備標識符檢驗的單元可包括比較設(shè)備標識符與以前產(chǎn)生的設(shè)備標識符。在該實現(xiàn)中，如果設(shè)備標識符和以前產(chǎn)生的設(shè)備標識符不匹配，則結(jié)果可指示設(shè)備標識符檢驗失敗。此外，該實現(xiàn)可包括:用于執(zhí)行對在設(shè)備證書中的數(shù)字簽名的檢驗的單元；以及用于提供數(shù)字簽名檢驗的結(jié)果的單元。在該實現(xiàn)中，如果結(jié)果指示數(shù)字簽名檢驗失敗，則硬件設(shè)備可被拒絕。用于執(zhí)行數(shù)字簽名檢驗的單元可包括使用密鑰對中的公開密鑰來對數(shù)字簽名進行解密。該實現(xiàn)還可包括查詢在硬件設(shè)備上的物理不可克隆功能以找到兩個或更多個設(shè)備密鑰中的每一個。
【主權(quán)項】
1.至少一個機器可訪問存儲介質(zhì)，其具有在其上存儲的用于證明硬件設(shè)備的指令，所述指令在由處理器執(zhí)行時使所述處理器: 從所述硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰； 根據(jù)所述兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符； 基于所述設(shè)備標識符和私有密鑰產(chǎn)生數(shù)字簽名； 基于所述設(shè)備標識符和所述數(shù)字簽名創(chuàng)建設(shè)備證書；以及 將所述設(shè)備證書存儲在存儲器元件中。
2.如權(quán)利要求1所述的至少一個機器可訪問存儲介質(zhì)，其中所述物理不可克隆功能被配置在所述硬件設(shè)備上以產(chǎn)生所述兩個或更多個設(shè)備密鑰，且其中所述密鑰唯一地識別所述硬件設(shè)備。
3.如權(quán)利要求1所述的至少一個機器可訪問存儲介質(zhì)，其中所述存儲器元件是被包括在具有所述物理不可克隆功能的所述硬件設(shè)備中的非易失性存儲器元件。
4.如權(quán)利要求1所述的至少一個機器可訪問存儲介質(zhì)，其中所述兩個或更多個設(shè)備密鑰包括500-5000個密鑰。
5.如權(quán)利要求1-4中的任一項所述的至少一個機器可訪問存儲介質(zhì)，還包括指令，所述指令在由所述處理器執(zhí)行時使所述處理器: 查詢在所述硬件設(shè)備上的所述物理不可克隆功能以找到所述兩個或更多個設(shè)備密鑰中的每一個。
6.如權(quán)利要求1-4中的任一項所述的至少一個機器可訪問存儲介質(zhì)，其中產(chǎn)生所述設(shè)備標識符包括將密碼散列算法應(yīng)用于所述兩個或更多個密鑰。
7.一種用于證明硬件設(shè)備的裝置，所述裝置包括: 處理器；以及 在所述處理器上執(zhí)行的登記模塊，所述登記模塊配置成: 從所述硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰； 根據(jù)所述兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符； 基于所述設(shè)備標識符和私有密鑰產(chǎn)生數(shù)字簽名； 基于所述設(shè)備標識符和所述數(shù)字簽名創(chuàng)建設(shè)備證書；以及 將所述設(shè)備證書存儲在存儲器元件中。
8.如權(quán)利要求7所述的裝置，其中所述登記模塊還配置成: 將密碼散列算法應(yīng)用于所述兩個或更多個密鑰以產(chǎn)生所述設(shè)備標識符。
9.一種用于證明硬件設(shè)備的方法，所述方法包括: 從所述硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰； 根據(jù)所述兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符； 基于所述設(shè)備標識符和私有密鑰產(chǎn)生數(shù)字簽名； 基于所述設(shè)備標識符和所述數(shù)字簽名創(chuàng)建設(shè)備證書；以及 將所述設(shè)備證書存儲在存儲器元件中。
10.如權(quán)利要求9所述的方法，其中所述物理不可克隆功能被配置在所述硬件設(shè)備上以產(chǎn)生所述兩個或更多個設(shè)備密鑰，且其中所述密鑰唯一地識別所述硬件設(shè)備。
11.一種用于證明硬件設(shè)備的裝置，所述裝置包括: 用于從所述硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰的單元; 用于根據(jù)所述兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符的單元； 用于基于所述設(shè)備標識符和私有密鑰產(chǎn)生數(shù)字簽名的單元； 用于基于所述設(shè)備標識符和所述數(shù)字簽名創(chuàng)建設(shè)備證書的單元；以及 用于將所述設(shè)備證書存儲在存儲器元件中的單元。
12.如權(quán)利要求11所述的裝置，還包括: 用于查詢在所述硬件設(shè)備上的所述物理不可克隆功能以找到所述兩個或更多個設(shè)備密鑰中的每一個的單元。
13.至少一個機器可訪問存儲介質(zhì)，其具有在其上存儲的用于認證硬件設(shè)備的指令，所述指令在由處理器執(zhí)行時使所述處理器: 從所述硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰； 根據(jù)所述兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符； 從所述硬件設(shè)備得到設(shè)備證書； 執(zhí)行對所述設(shè)備標識符的檢驗；以及 提供設(shè)備標識符檢驗的結(jié)果。
14.如權(quán)利要求13所述的至少一個機器可訪問存儲介質(zhì)，其中如果所述結(jié)果指示所述設(shè)備標識符檢驗失敗，則所述硬件設(shè)備被拒絕。
15.如權(quán)利要求13所述的至少一個機器可訪問存儲介質(zhì)，還包括指令，所述指令在由所述處理器執(zhí)行時使所述處理器: 將密碼散列算法應(yīng)用于所述兩個或更多個密鑰以產(chǎn)生所述設(shè)備標識符。
16.如權(quán)利要求13所述的至少一個機器可訪問存儲介質(zhì)，還包括指令，所述指令在由所述處理器執(zhí)行時使所述處理器: 對所述設(shè)備標識符與以前產(chǎn)生的設(shè)備標識符進行比較，以執(zhí)行所述設(shè)備標識符檢驗。
17.如權(quán)利要求16所述的至少一個機器可訪問存儲介質(zhì)，其中如果所述設(shè)備標識符和所述以前產(chǎn)生的設(shè)備標識符不匹配，則所述結(jié)果指示所述設(shè)備標識符檢驗失敗。
18.如權(quán)利要求13-17中的任一項所述的至少一個機器可訪問存儲介質(zhì)，還包括指令，所述指令在由所述處理器執(zhí)行時使所述處理器: 執(zhí)行對在所述設(shè)備證書中的數(shù)字簽名的檢驗；以及 提供數(shù)字簽名檢驗的結(jié)果。
19.如權(quán)利要求18所述的至少一個機器可訪問存儲介質(zhì)，其中如果所述結(jié)果指示所述數(shù)字簽名檢驗失敗，則所述硬件設(shè)備被拒絕。
20.如權(quán)利要求18所述的至少一個機器可訪問存儲介質(zhì)，還包括指令，所述指令在由所述處理器執(zhí)行時使所述處理器: 使用密鑰對中的公開密鑰來對所述數(shù)字簽名進行解密，以執(zhí)行所述數(shù)字簽名檢驗。
21.如權(quán)利要求13-17中的任一項所述的至少一個機器可訪問存儲介質(zhì)，還包括指令，所述指令在由所述處理器執(zhí)行時使所述處理器: 查詢在所述硬件設(shè)備上的所述物理不可克隆功能以找到所述兩個或更多個設(shè)備密鑰中的每一個。
22.一種用于認證硬件設(shè)備的裝置，所述裝置包括: 處理器；以及 在所述處理器上執(zhí)行的評估模塊，所述評估模塊配置成: 從所述硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰； 根據(jù)所述兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符； 從所述硬件設(shè)備得到設(shè)備證書； 執(zhí)行對所述設(shè)備標識符的檢驗；以及 提供設(shè)備標識符檢驗的結(jié)果。
23.一種用于認證硬件設(shè)備的方法，所述方法包括: 從所述硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰； 根據(jù)所述兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符； 從所述硬件設(shè)備得到設(shè)備證書； 執(zhí)行對所述設(shè)備標識符的檢驗；以及 提供設(shè)備標識符檢驗的結(jié)果。
24.一種用于認證硬件設(shè)備的裝置，所述裝置包括: 用于從所述硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰的單元; 用于根據(jù)所述兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符的單元； 用于從所述硬件設(shè)備得到設(shè)備證書的單元； 用于執(zhí)行對所述設(shè)備標識符的檢驗的單元；以及 用于提供設(shè)備標識符檢驗的結(jié)果的單元。
25.如權(quán)利要求24所述的裝置，還包括: 用于對所述設(shè)備標識符與以前產(chǎn)生的設(shè)備標識符進行比較，以執(zhí)行所述設(shè)備標識符檢驗的單元。
【專利摘要】提供了至少一個機器可訪問介質(zhì)，其具有在其上存儲的用于認證硬件設(shè)備的指令。在由處理器執(zhí)行時，指令使處理器：從硬件設(shè)備上的物理不可克隆功能(PUF)接收兩個或更多個設(shè)備密鑰，根據(jù)兩個或更多個設(shè)備密鑰產(chǎn)生設(shè)備標識符，從硬件設(shè)備得到設(shè)備證書，執(zhí)行對設(shè)備標識符的檢驗，以及提供設(shè)備標識符檢驗的結(jié)果。在更特定的實施例中，指令使處理器執(zhí)行對在設(shè)備證書中的數(shù)字簽名的檢驗并提供數(shù)字簽名檢驗的結(jié)果。如果設(shè)備標識符檢驗和數(shù)字簽名檢驗中的至少一個失敗，則硬件設(shè)備可被拒絕。
【IPC分類】G06F21-30
【公開號】CN104838385
【申請?zhí)枴緾N201380062282
【發(fā)明人】P·克貝勒, J·李
【申請人】英特爾公司
【公開日】2015年8月12日
【申請日】2013年11月21日
【公告號】US8938792, US20140189890, WO2014105310A1