• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    アップグレードまたは有効化/無効化プロセスに関与する実体間の信頼が構築され、これを遠隔かつ安全に促進するために、生産されるシステム内の高耐不正利用信頼点が、使用される。本信頼点は、より効率的流通システムの使用を有効化する。プロビジョニングプロセスを通じて、または後の段階において、すなわち、インストール、製造、アセンブリ、販売等に続いて、修正されるデバイスまたはシステム上の機能コントローラとして具現化される信頼点は、検証されると、全体的機能を有効化または無効化するために、あるいは機能の一部を活性化するために使用される、機能セット(すなわち、アップデートされた機能セット)が、与えられる。
    公开号:JP2011508997A
    申请号:JP2010537218
    申请日:2008-12-11
    公开日:2011-03-17
    发明作者:デイビッド ウォン,;ダニエル オログリン,;デイビッド;アール. セクイーノ,;マイケル ダスカロポーロス,;アショク バデカー,;ウィリアム ラティン,
    申请人:サーティコム コーポレーション;
    IPC主号:H04L9-08
    专利说明:

    [0001] 本発明は、デバイス上の機能の制御に関する。]
    背景技術

    [0002] 過去20年にわたって、電子機器製造業者は、数少ない高度に縦型の完全統合会社から、業務委託型事業モデルに依存するモジュラー的価値を伴う、数多くの専門会社へと移行した。半導体製造、操業、および調達の海外への業務委託は、その独自の操業および流通プロセスへの製造業者の可視性を低減させる。その結果、製造業者は、重要となる委託されたプロセスおよび情報の制御を喪失する。本業務委託の結果、これらの製造業者が、最大限の制御および低リクスによって操業を行なう能力に、直接的負の影響を及ぼす。]
    [0003] 業務委託は、偽造部品存在のリスク上昇のため、顧客のサプライチェーンにおけるその製品の品質を強化する製造業者の能力を低下させる。真正商品の納品を顧客に保証する製造業者の能力は、益々困難になりつつある。偽造および再利用部品は、元請製造業者に未知の業務委託接点において、随時、委託製造業者によって挿入され得る。偽造部品は、収益の損失だけではなく、製品の返品、負債の増加、およびブランドの弱体化にも影響する。可能性は低いが、偽造は、統合型デバイス製造業者(IDM)ならびにファブレス企業にも影響を及ぼし得る。]
    [0004] 業務委託によって導入される相互依存性もまた、製造業者が、そのサプライチェーンを最適に管理するのを困難にし、在庫負債およびリスクを増加させる。顧客のジャストインタイム生産戦略を支持するために必要とされる、一貫した期限通りの納品が、損なわれることになる。サプライチェーンの非効率性を補償するために、安全な備蓄レベルが上昇し、その結果、所与の総利益をもたらすために要求される資産の金額が増大する。リスクおよび損失の継続的増加に伴って、業務委託から見込まれる報酬は、それほど魅力的なものではなくなる。]
    [0005] 図1は、OEMが、1、2、および3として識別される3種類のデバイスまたはシステムを生成することを委託製造業者と契約している場合の可能性のあるシナリオを示す。これらのデバイスはそれぞれ、異なる機能または性能の組を実装する。委託製造業者は、各デバイス種の在庫を管理し、例えば、生産ピーク期の間、受注され得るOEM注文を充足させなければならない。IDMは、OEMが、エンド顧客に製品の差別化を提供可能なように、3つの別個の製品SKUを維持し、委託製造業者に3つの別個のデバイスを提供しなければならない。設計開発、マスクセット、ウエハ加工、試験、およびパッケージ化において繰り返し発生する資本コストが、3つのICデバイスにわたって償却される場合、非常に高くつき得る。さらに、長期間にわたる製造リードタイムおよび短製品寿命を考慮すると、繰り返し発生する資本費用は、デバイス製造業者にとって、さらに負担となる。] 図1
    [0006] 複数のデバイス種の在庫を維持することは、デバイス製造業者にリスクを招く。あるシナリオでは、デバイス製造業者は、複数の製品SKUを在庫として持ち、OEMを供給することを決定すると、デバイスを過剰備蓄するリスクを増大させ得る。例えば、図1では、委託製造業者は、種類1、2、および3の各デバイスを備蓄し得る。経時的に、デバイス種2のみ、予測数量で売れるとする。過度に楽観的数量予測は、デバイス種1および3の過剰備蓄をもたらし得る。余剰デバイスは、損金処理される、または大幅な割引で販売される必要があり得る。別のシナリオでは、デバイス製造業者は、サプライチェーンに追加時間を投入し、必要に応じて、各デバイス種を製造することによって、楽観的数量予測のリスクを低減させる。デバイスの納品遅延は、完成品の価値を低下させる、またはOEMは、製品投入の時期を逸することになり得る。] 図1
    [0007] また、デバイスが、パラメータ試験に基づいて、分割または分類される状況も存在する。一実施例は、コンピュータ中央処理ユニット(CPU)チップが、その最高クロック周波数に基づいて差別化される場合に生じる。CPUのクロック周波数が高いほど、処理性能の向上がもたらされる。したがって、CPUの価値は、最高クロック周波数にある程度比例して変動する。時として、全体的製造ロットの出来高が、低性能改良型デバイスの市場の数量要件を超え得る場合もある。デバイス製造業者は、低性能グレードデバイスを流通させ、デバイスのクロック周波数を増加させることによって、それらをアップグレードする権限選択肢を提供し得る。デバイス製造業者が、本アップグレードの権限を安全に付与不能である場合、デバイス製造業者の収益増強機構が奪取されることになる。デバイス製造業者にとっての別の収益の潜在的損失は、定格されたCPUデバイスよりも高いクロック周波数にアップグレードされた修正システム内の部品に対する保証クレームによって生じる。本不正アップグレードの結果、デバイスは、仕様外で動作し、その後、熱応力のため損傷を受け、またはタイミング違反によって生じる故障モードのため、予測不能に動作し得る。]
    [0008] ワイヤボンディング、レーザヒューズ、およびゼロオーム抵抗に基づく、従来の方法のデバイス特有機能プロビジョニングが存在する。これらの種類の接続は、委託製造業者による製造プロセスにおいて、再販業者による流通の間、またはエンドユーザによる市販後、追加あるいは除去され得る。これらの場合、デバイス製造業者は、典型的には、より価値の高い非認可機能に対して、支払を強制できない。また、これらの従来のプロビジョニング手法は、典型的には、製造環境外では生じ得ない。]
    発明が解決しようとする課題

    [0009] 製品を差別化する一方、在庫管理に及ぼす差別化の影響を最小限にするとともに、ベンダーまたは他の実体に、特定のデバイス、プラットフォーム、あるいはシステム内に追加もしくは有効化/無効化可能な機能の安全な制御を提供する競合する目的に対処し得る、機能プロビジョニングシステムの必要性が存在する。また、製造環境外における安全なプロビジョニングも有効化可能なシステムは、IDMおよび/またはOEMに付加的利益をももたらし得る。]
    課題を解決するための手段

    [0010] 一側面では、システム上の機能を制御するための方法であって、暗号化操作を実行可能なシステム内に少なくとも1つの機能コントローラを提供するステップと、機能コントローラと機能制御サーバとの間の接続を構築するステップと、機能制御サーバから機能セットを受信するステップであって、機能セットは、暗号化処理を受けている、ステップと、受信した機能セットに対し補完的暗号化処理を実行し、システム内における機能セットの実装を許可するステップと、機能セットを実装し、機能のうちの1つ以上を制御するステップとを含む方法が提供される。]
    [0011] 別の側面では、システム上の機能を制御するための機能コントローラであって、システムは、機能制御サーバとの接続を構築し、そこから機能セットを受信するために構成され、メモリへのアクセスと、暗号化ユニットであって、システムから機能セットを取得することであって、機能セットは、暗号化処理を受けている、ことと、メモリ内に格納されている情報を使用して、受信した機能セット上の補完的暗号化処理を実行し、システム内における機能セットの実装を許可することを行うように構成されている、暗号化ユニットとを備えている、機能コントローラが提供される。]
    [0012] さらに別の側面では、システム上の機能を制御するためのコンピュータで実行可能な命令を含むコンピュータで読み取り可能なトレージ媒体であって、該媒体は、暗号化操作を実行可能なシステム内に少なくとも1つの機能コントローラを提供することと、機能コントローラと機能制御サーバとの間の接続を構築することと、機能制御サーバから機能セットを受信することであって、機能セットは、暗号化処理を受けている、ことと、受信した機能セットに対し補完的暗号化処理を実行し、システム内における機能セットの実装を許可することと、機能セットを実装し、機能のうちの1つ以上を制御することとを行うための命令を含む、コンピュータで読み取り可能なストレージ媒体が提供される。]
    図面の簡単な説明

    [0013] 次に、本発明の実施形態が、添付の図面を参照して、単なる一例として、記載される。
    図1は、別個の在庫流動を有する複数の製品種を伴う、流通チャネルを示す、概略図である。
    図2は、単一在庫流動から生じる複数の製品種を伴う、流通チャネルを示す、概略図である。
    図3は、システム上の機能を制御するためのシステムの概略図である。
    図4は、デバイスまたはシステム上に機能制御を実装する際、講じられるステップを示す、フロー図である。
    図5は、機能レジスタを利用する、図3に示される機能コントローラの概略図である。
    図6は、図3に示されるシステムおよびサブシステムのためのメモリマップの概略図である。
    図7は、機能を有効化および無効化するための許可を含む、デバイス上のメモリ内に格納される禁止および許可マスクを示す、概略図である。
    図8は、図3のシステムをアップグレードするための手順を示す、フロー図である。
    図9は、製造の間および市販後、機能を有効化および無効化するためのシステムを示す、概略図である。
    図10は、機能の復号化の間のメッセージ認証手順を示す、フロー図である。
    図11は、機能コントローラの別の実施形態の概略図である。
    図12は、図3に示される機能制御サーバ(FCS)および機能コントローラ(FC)の別の実施形態の概略図である。
    図13は、認証を含む、機能制御を実装するための例示的プロトコルを示す、フロー図である。
    図14は、認証および機密性を含む、機能制御を実装するための別の例示的プロトコルを示す、フロー図である。] 図1 図10 図11 図12 図13 図14 図2 図3 図4 図5
    実施例

    [0014] 以下は、製造業者が、その事業の操業および流通機能を業務委託することによるプロセスの制御および情報損失を取り戻すための方法を記載する。制御を回復する結果、その製品の製造および流通サイクルにおけるリスクが低減し、コストが削減される一方、より高い品質が保証される。加えて、本方法は、部品の販売および流通を超えて、製造業者による製品の制御を拡張し、エンドユーザ会社および個人が、製造業者から直接アップグレード機能を購入可能となる市販後の収益機会を可能にする。]
    [0015] システムが使用され得る方法の一実施例は、デジタルテレビシステムオンチップデバイスにおけるものであって、単位当たりのロイヤルティの支払目的のために計上され、監査可能となる必要がある多くの異なる固有の知的財産機能例である。デジタルテレビシステムオンチップのある顧客は、そのデジタルテレビのチップ内において、特定の知的財産を有効化し、付随するロイヤルティを支払うことを所望する一方、他の顧客は、本コストを負担することを所望しない場合がある。さらに、当該知的財産の所有者は、契約上の理由から、デジタルテレビシステムオンチップ製造業者による本知的財産の使用の終了を所望する場合がある。そのような場合、システムオンチップ製造業者が、チップモデルに基づいて、知的財産を活性化または不活性化可能である一方、知的財産所有者の知的財産の使用上の権利主張能力および監査能力を両立させるシステムは、特に、有用であり得る。]
    [0016] 本明細書に記載のシステムは、デバイスの製造および流通の間ならびにその後、随時、遠隔かつ安全に、集積回路デバイスまたは信頼できるデバイスを識別、監査、およびプロビジョニングするための方法を提供する。本方法は、個々の半導体チップまたはデバイスの識別を生成、格納、および認証するための安全かつ機密性のある方法を提供し、権限が付与されて有効化されない限り、デバイスの操作を防止することによって、偽造を防止するために使用可能である。また、本概念は、プラットフォームの生産および流通の間ならびにその後、随時、製造業者によってのみ安全に提供され得る、共通デバイスまたはシステムプラットフォームを可能にする。]
    [0017] 安全なプロビジョニングは、チップ、デバイス、またはプラットフォームの寿命の間、随時、製造業者によって利用され、単一プラットフォームに基づいて、固有の製品を安全に供給およびアップグレード可能である。単一プラットフォームは、維持、追跡、および保管される必要がある、最小在庫管理単位(SKU)数を減少させる。単一プラットフォームを生産および流通させるコストは、本安全なプロビジョニングプロセスから生じる複数の製品にわたって償却され得る。加えて、本プロビジョニングは、プラットフォームが出荷される間際に実行され、したがって、特定のSKUのジャストインタイム製造に対応可能である。本発明によって提供されるこれらの性能は、在庫管理の多くの側面を根本的に簡素化し、業務委託事業モデルにおけるより効率的サプライチェーンを可能にする。]
    [0018] 以下の方法において最も重要なことは、安全性である。機密性および認証機構は、偽造を防止し、機能有効化/無効化の安全な制御を提供するために使用可能である。加えて、製造および流通の間ならびにその後、随時、安全かつ一意のデバイス識別子を通じて、各デバイスの監査証跡を作成する能力は、偽造検出を提供する。安全なプロビジョニングによって提供される付加的柔軟性は、「低性能」デバイスから「高性能」デバイスへの不正アップグレードの可能性を防止する。本方法の安全特性は、業務委託環境における半導体デバイスまたはシステムプラットフォームの識別、知的財産、および価値の制御を再構築し、その所有権を行使するために、製造業者によって使用され得る。]
    [0019] 上述のような柔軟なデバイスプラットフォームを使用することによって、製造業者またはベンダーは、製品SKUを削減し、在庫を減少させ、製造コストを最小限にすることが可能である。異なる数の機能が、同一デバイスプラットフォーム上に提供され得るが、デバイス製造業者の知的財産および各機能に付随する対応する収益金を保護する根底にある必要性が存在する。デバイス機能の不正有効化を防止する一方、同時に、複数の製品に単一デバイスプラットフォームを提供する能力は、デバイス製造業者にとって望ましい。]
    [0020] (例えば、異なるグレードまたは精巧度の)別個の製品を最終的に生産する単一在庫流動を有する柔軟性を提供し、有効化、無効化(部分的または完全に)、または再有効化する能力を提供するために、アップグレードまたは有効化/無効化プロセスに関与する実体間の信頼を構築する必要があることが認識されている。これを遠隔かつ安全に促進するために、生産されるシステム内に高い耐不正利用信頼点が、存在することを必要とする。その結果、信頼点が、数字12によって示される、図2に示されるより効率的流通システムが使用され得る。プロビジョニングプロセスを通じて、または後の段階において、すなわち、インストール、製造、アセンブリ、販売等に続いて、以降、機能コントローラ(FC)12と称される信頼点が、検証されると、全体的機能を有効化または無効化するために、あるいは機能の一部を活性化する(例えば、50%電力または速度)ために使用される機能セット(すなわち、アップデートされた機能セット)に提供される。以降、用語「機能セット」とは、無効化、有効化、活性化、不活性化、アップグレード、デグレード、部分的活性化、部分的不活性化、一時的制御等のための任意のデータ、情報、または命令セットを指す。この場合、「部分的」とは、機能が、その完全性能への/からのアップグレード/ダウングレードされることを意味する。] 図2
    [0021] 次に、図3を参照すると、FC12を使用する機能の制御を促進する際に関与し得るいくつかの実体を含む、機能制御システム10が提供される。図3に示されるように、FC12は、サブシステム13も含む、システム11の一部である。したがって、FC12は、任意の構成および任意の場所における任意のシステムまたはシステムの階層に対応得る。システム11内に示されるが、FC12は、別個の部品または機能であり得、制御される機能14とともに常駐する必要はない。システム11は、任意のデバイス、部品、製品、モジュール、またはハードウェア、ソフトウェア、および他の部品を組み合わせた真正システムを指すことを理解されたい。示される実施例では、システム11は、機能Nまでの機能1、2、および3を含み、機能N−1は、サブシステム13内に常駐する。実際には、システム11は、同一基板上の補助機能であるが、メインプロセッサによって制御されるか、またはそれと協働するサブシステムを伴う、メインプロセッサであり得る。機能1−Nの制御(例えば、どの機能を活性化するか)は、どの1つ以上の機能が、アップグレード/デグレード(完全または部分的に)、活性化/不活性化されるべきか等を示す情報を含む、機能セット(FEAT)40によって指示される。] 図3
    [0022] FC12は、システム11およびサブシステム13(該当する場合)と機能制御サーバ(FCS)16との間の信頼点である。FCS16は、典型的には、FC12から遠隔であって、製造または試験施設、システム11の販売および/またはサービス点、あるいは機能セットFEAT40を生成および送信することによって、機能を活性化または不活性化するための許可を計測する責任を担うとみなされる任意のベンダーに配置され得る。FCS16は、機密情報の配信およびデバイスへの投入を制御可能な任意のシステムであり得る。特に好適な種類のシステムは、2006年6月12日出願の同時係属米国特許出願第11/450,418号(その内容は、参照することによって、本明細書に組み込まれる)に記載のようなキー投入システムである。そのようなキー投入システムは、デバイス登録を遠隔から監視し、デバイスへの固有かつ不変の情報の投入を計測するために使用可能である。また、FCS16は、キー生成、キー一致、署名生成、署名照合、暗号化、復号化等の任意の必要暗号化操作を実行するように構成される、暗号化ユニットまたはプロセッサを含む。]
    [0023] 図3に示されるような1つのFCS16、またはFC12へのコマンドがそれを通って流れるFCSユニット16の階層が存在し得る。図3に示されるように、FCS16は、中間システム18、例えば、試験台、製造ライン、小売業者、ウェブサイト、売店、無線システム等を通じて、FC12と通信および接続し得る。FCS16は、一意の識別子(UID)、ならびに暗号化キーおよび機能14を制御するためにFC12によって使用されるメッセージまたはコードのコピー等、各システム11に関連する情報を格納する、バックエンドデータベース22と通信する。また、バックエンドデータベース22は、多くのシステム11をプロビジョニングまたはアップグレードすることを所望する正規ベンダーに対するクレジットを計測するために、FCS16によって使用される情報を含み得る。] 図3
    [0024] バックエンドデータベース22は、示されるような別個の実体であり得、または代わりに、FCS16と統合され得、オンライン、オフライン、または両方の組み合わせで動作し得る。また、課金システム24は、典型的には、異なるベンダーおよびユーザに、アップグレードを購入させ、あるいは必要に応じて、ある機能を不活性化またはデグレードさせるために存在し、また、オンライン、オフライン、または両方の組み合わせであり得る。そのようなアップグレードおよびアップグレードは、機能14のオン/オフを起動させること、機能の性能の割合を変更すること、性能の一部を追加または除去すること等が可能である。各メッセージまたはコードは、絶対的である、または例えば、試用期間、繁閑期等、一時的であり得る。課金システム24によって、ベンダーまたはOEMは、活性化および不活性化から収益を収集可能となり、ユーザまたは他のベンダーは、必要に応じて、システム11を購入、アップグレード、およびカスタマイズ可能となる。FC12によって提供される信頼点は、料金またはクレジットと引き換えに機能制御を促進する。また、図3には、ユーザ26も示される。システム11(および、サブシステム13)を所有、操作、または責任を担う、ユーザ26は、システム11内にFC12を有することによって、アップグレードを事後購入可能であって、任意に、課金システム24を通じて、アップグレードの代価を支払うことが可能である。バックエンドインフラストラクチャ、特に、バックエンドデータベース22は、典型的には、スキーム内での使用のためのデジタル証明書を発行する信頼できるCA101と通信するか、またはそれを有する。] 図3
    [0025] ユーザ26による市販後購入は、例えば、課金システム24、FCS16、バックエンドデータベース22、またはこれらの実体の任意の組み合わせを通じて、ユーザインターフェース(UI)25からバックエンドシステムへと行なわれ得る。UI25は、ウェブベース、電話回線ベースであり得、さらに、売店または第三者ベンダーを利用し得る。ほとんどの用途に対して好まれるウェブベースUI25は、ユーザ26がアップグレードを所望するデバイスまたはシステム11の製造業者、あるいは製造業者の代わりに行なう別の実体によって、ホスティングされ得る。]
    [0026] 必要に応じて、特に、複数の製造段階が使用される場合、あるベンダーが、その責任を担う段階において、どの機能を(および、いつ)プログラムするかを規定可能であるように、実体間に他のユーザインターフェースが存在し得る。例えば、FCSユニット16の階層が使用され、その場合、独立ホストが、CA101、バックエンドデータベース22、および課金システム24をホスティングする。ファブレス半導体ベンダーは、FCSユニット16のうちの1つおよび必要とされる任意の試験機器を有するであろう。本ベンダーは、独立ホストに、特定の機能メッセージを作成し、支払と引き換えに、ベンダーにそれを送信するための命令を提供可能である。これは、ベンダーが、命令および支払を発行し、独立ホストが、支払を処理し、ベンダーのFCS16に機能を作成および発行するための方法を提供する。バックエンドシステム(FCS16、データベース22、課金システム24、およびUI25)は、独立ホストまたはサービスによってホスティングされるか、あるいは生産チェーン内のベンダーのうちの1つによって、業務委託もしくは集合的に運営され得ることを理解されたい。]
    [0027] FC12は、システム11内における信頼点を提供するため、システム11内へのFC12の組み込みは、プロビジョニング、アップグレード、デグレード、活性化、不活性化、ログレポート、一時的活性化等を可能にする。信頼点を構築するために、FC12およびFCS16は、暗号化的に安全な交信をする。いくつかの実施形態では、FC12が、システム11内から内部キー生成を実行可能であって、これらの種類の操作は、遠隔から、生産/製造後に、安全に行なわれ得る。これによって、ベンダー、小売業者、およびユーザは、料金と引き換えに、システム12への付加価値を促進および実行するか、または無料サービスを提供することが可能となる。また、これによって、購読型サービスまたは一時的ベースのアップグレードが制御可能となることに留意されたい。これは、試用期間、単回支払、または別の所定の取り決めを供給するために使用され得る。図4は、機能または機能セットのバックエンド処理が生じた後のFCS16とFC12との間の基本的交信におけるステップを表す、フローチャートを示す。そのようなバックエンド処理は、機能コマンドの作成、署名、および/または暗号化、ならびに図4に示されるステップを促進するために必要とされる任意の他の処理を含み得る。] 図4
    [0028] ステップ50では、接続が、FC12とFCS16との間に構築される。製造の間は、これは、試験のための機構、例えば、シリコンまたはシステムあるいは用途特定のカスタムハードウェアのためのハードウェア試験機を通じて行なわれ得る。システム11の販売後は、これは、事実上、任意の場所において、任意の通信機構を使用して、例えば、インターネットを通じて、売店または小売業者において行なわれ得る。好ましくは、ステップ51において実行される、ある形態の暗号化処理が存在する。本暗号化処理は、キー一致、機密性のための暗号化、メッセージ認証コード、および認証のための署名生成プロセスを含み得る。例えば、対称キーまたは非対称キー等、どの種類の暗号化処理を実行するかの選択は、用途に依存する。]
    [0029] ステップ52では、機能または機能セットFEAT40は、暗号化的に処理されると、次いで、FCS16からFC12へと送信される。後述のように、これは、FCS16およびFC12が、任意に、互いに照合され、任意のキーが、復号化を許可するために構築された後等に行なわれるであろう。次いで、FC12では、復号化、メッセージ認証、署名照合、および他の関連操作のために、さらなる暗号化処理が、ステップ53において、要求される。交信が照合され、機能セットが取得されると、機能セットは、ステップ54において、実装される。これは、典型的には、機能を設定すること、機能をオフにすること、機能をオンにすること、または新時限を構築すること、あるいはある機能を活性化するためのクレジットを使用することを伴う。任意に、ステップ55では、機能セットの実装の成功を確認するためのレポートが、FCS16に送信され、監査、入金、および他の目的のために、FCS16によって記録され得る(所望に応じて)。]
    [0030] 本明細書に記載される好ましい実施形態それぞれに対して、実施形態の実際の実装は、非動作状態にある場合、FC12を探査し得る試験回路または方法によって、FC12内に格納される秘密データへの不正アクセスを防止するように設計されるべきであることに留意されたい。この場合の例は、FCダイが、走査チェーンを使用して、初期試験を受けている場合であるだろう。これらの走査チェーンは、FC12の安全なメモリ領域にアクセスするために使用可能である。本明細書に記載される好ましい実施形態はそれぞれ、秘密データとともにプログラミングされると、安全なメモリへのアクセスを防止するための特定の論理回路およびプログラミング状態を含むべきである。]
    [0031] 機能セットFEAT40を実装するステップ、すなわち、図4に示されるステップ54は、多くの方法で行なわれ得る。一実施例は、図5に示される。次に、図5を参照すると、FCS16から取得された機能セットFEAT40は、RAM、ハードディスク等のFC12のメモリMx142の任意の部分内に格納され得る。FC12は、機能セットが実装されるべき場合、Mx142からFEAT40を取得し、別のメモリMx244からの任意の必要とされる暗号化データ42にアクセスし得る。次いで、暗号化処理53は、FEAT40に適用され、機能セットを回復および/または認証し得る。機能セットは、本実施例では、レジスタ46に書き込み、活性化、不活性化、あるいはどれくらい機能を有効化または無効化するかを決定することによって実装される。本レジスタ46は、任意に、FC12の一部でなくてもよい。単純な例では、機能は、単に、オンまたはオフにされ、レジスタは、対応する機能14を活性化および不活性化するためにトグルされる、図5に示されるようなビット配列または列48を含み得る。システム11が使用されると、レジスタ46から特定の機能14への制御ラインは、レジスタ46内の対応する要素に書き込まれたものを有する機能14を活性化するであろう。代替として、システム11のCPUは、レジスタ46を読み出し、どの機能を活性化または不活性化するかを決定し得る。] 図4 図5
    [0032] 機能セットFEAT40を実装するための別の方法は、メモリマップ164に従って、機能セットマスクを実行することによるものである。]
    [0033] 次に、図6を参照すると、システム11内のメモリマップ164が、示される。本メモリマップ164は、単一連続メモリを記述する表現であり得、あるいは統一かつ論理的に表現される、システム内(例えば、チップ内および/またはチップパッケージ内)の異なる物理的および/または論理的場所における異なる種類のメモリの集塊の表現であり得る。図6では、任意のメモリ部分M1、M2、M3、およびM4が、例証目的のためだけに示される。実施例内のメモリマップ164は、任意の物理的種類のメモリであり得る。これは、読み出し専用メモリ(ROM)、1回限りプログラム可能メモリ(OTP)、不揮発性ランダムアクセスメモリ(NVRAM)、または揮発性ランダムアクセスメモリ(RAM)を含み得るが、これらに制限されない。例えば、図6では、特定の実施例は、第1の種類(M1)であるOTP、第2の種類(M2およびM3)であるNVRAM、および第3の種類(M4)であるRAMを伴う、3種類のメモリを含み得る。しかしながら、実際には、最低、1種類のメモリ、最大、当該チップ112内に適合する任意の用途によって必要とされる数が存在し得る。] 図6
    [0034] メモリマップ164は、FC12によって、アクセスされる。FC12は、メモリマップ164からの読み出しおよび/またはそこへの書き込みとともに、システム11の製造および使用における各関与者の要件に従って、かつチェーン内の上流および/または下流点からの階層的要件に関して、メモリマップ164のコンテンツを解釈可能である。また、FC12は、メモリおよび論理BIST試験モード、JTAG境界走査試験モード、ATPG走査チェーン試験、クロッキング、およびリセット機構等を含むが、それらに制限されない、デバイス内外の動作および試験モードを通じて、他の論理関数によって、メモリマッププログラミングへのアクセスを制御するであろう。また、FC12は、乱数発生、ハッシング、対称および非対称暗号化、デジタル署名および照合、ならびにメッセージ認証等、任意の暗号化関数を実行し得る。]
    [0035] メモリマップ164のコンテンツは、以下の要素のうちの1つ以上を含み得る。メモリマップのコンテンツの処理方法(明示的に、または含まれる情報の構造を通じて)に関するコントローラのための情報、システム11の製造プロセスおよび/または使用中の異なる点において実行される、挿入時あるいはその後のアップデート操作時、特定の操作を許可もしくは禁止するかどうかを示す、図7に示されるような機能セット「マスク」情報、ならびに暗号化および認証情報。プログラミング後、メモリマップ情報は、FC12によって、読み出しおよび解釈され、デバイスがブートされる度、デバイス内に含まれる禁止および許可マスクを解釈可能である。FC12は、デバイスが、既存メモリマップ164によって許可される動作状態に置かれ、必要な時に必要な場所において、アップデートを促進するように、これを行なう。
    次に、図7を参照すると、機能セットマスクの使用が示される。図7内の各ボックスは、特定のマスクがシステム11本体上に格納されるメモリ空間を表す。許可マスク204および禁止マスク202は、機能有効化および/または無効化のための要件に基づいて、生成され得る。メモリブロックM1の場合、許可マスク212は、オンにされ得る機能を含み、禁止マスク206は、オンにされ得ない機能を含むことが分かる。図7に示される実施例では、M2/M3は、許可マスク214および禁止マスク208を有し、M4は、許可マスク216および禁止マスク210を有する。許可マスク212、214、216の場合、コンテンツは、機能に対応する論理の関数ブロックに対する有効化ビットを制御するような単純な単一バイナリビットであるか、または機能に対応する論理の関数ブロックに読み出される数的オフセットに対応するより複雑な形式の2進数であるか、あるいは許可される機能に対応する論理の関数ブロックのファームウェアまたは論理構成のように複雑であり得る。禁止マスク206、208、210の場合、コンテンツは、機能に対応する論理の関数ブロックに対する無効化ビットを制御するような単純な単一バイナリビットであるか、または機能に対応する論理の関数ブロックに読み出される数的オフセットに対応するより複雑な形式の2進数であるか、あるいは許可される機能に対応する論理の関数ブロックのファームウェアまたは論理構成のように複雑であり得る。] 図7
    [0036] システム11内の各FC12に対する禁止マスクおよび許可マスクの優先順位は、各機能に対する禁止または許可が優先されるべきであるかどうかに関して論理的に優先順位を付けるような、許可および/または禁止マスク内の一連の情報であるべきである。情報が、許可マスクまたは禁止マスクの一部に付加されるかどうか、異なるメモリブロックが、他のメモリブロックよりも優先され得るかどうか(例えば、M2は、M1よりも優先される、またはM1は、他のすべてよりも優先される)に関する特定の選択は、FC12の各実装に対して特定のままであり得るが、システム内のFC12を扱う全部品によって、一貫して認識されるべきである。さらに、制御情報は、禁止および許可機能の両方が、任意の特定の機能または複数の機能に関係する場合、許可マスク204および禁止マスク202が、ブール論理および/またはブール演算方式において、互いに調和されるように、論理的文脈の情報を含み、最初に、M1によって許可され、その後、他のメモリブロックの任意の選択内において許可されるように、所与のメモリブロック内ならびに他のメモリブロックに対して、優先順位を提供し得る。]
    [0037] 一典型的実施例では、メモリブロックM1は、OTPメモリ(すなわち、「1回限り」プログラム可能)であって、本マスクは、製造時に設定されるであろうが、実際には、M1は、システム11(および、該当する場合、サブシステム13)を製造する実体の要件に特定の任意の種類のメモリであるだろう。メモリブロックM1に関連するFC12は、特定のFC12の所有者の制御下に保有されるため、M1は、禁止マスクまたは許可マスクに付加される制御ビットに基づいて、他に対して優先制御を保有するように設定され得る。M2およびM3は、NVメモリである場合、許可マスク214は、ベンダーのドメイン外で有効化され得る機能を指定し、禁止マスク208は、ベンダーのドメイン外で有効化され得ない機能を指定し、その制御は、各メモリブロック内に付加された制御情報によって、定義される。同様に、M4が、RAMである場合、許可マスク216は、ユーザが有効化可能な機能を指定し、禁止マスク210は、ユーザが有効化不可能な機能を指定するであろう。機能セットは、許可マスクと禁止マスクとの論理的共通部分である(概念的には、許可マスクの和−禁止マスクの和)。本構成によって、各メモリ種に付随する関与者は、どの機能が、生産プロセスのどの段階において、オンまたはオフ(あるいは、部分的オンもしくは部分的オフ)され得るかを定義するマスクを提供することが可能となる。]
    [0038] FC12によって提供される信頼点は、製造時の機能のプロビジョニングならびに、例えば、ユーザ26が、アップグレードを購入する場合、または特定の時間の間、無料試用が購入され、次いで、その後、不活性化される場合等、市販後の機能の活性化および不活性化の両方を可能にすることが分かる。次に、図8を参照すると、市販後購入を示す実施例が、提供される。] 図8
    [0039] 図3に示される全体的システム10によって、ユーザ26は、そのシステム11のアップグレードを有効化する新しい機能セットFEAT40を要求し、その代価を支払い、取得可能となる。例示的シナリオは、図8に示される。ステップ180では、ユーザ26は、システム11をユーザ26に販売した実体であり得る、ベンダー3と通信することによって、デバイスIDQの任意の機能ABCの活性化を要求する。デバイスIDQは、アップデートが要求される、実際のデバイスまたはシステム11を識別する。上述のように、Qは、一意の識別子(UID)として、バックエンドデータベース22内に格納されるであろう。本要求の受信の後、ベンダー3は、ステップ182において、ABCのコストを$Xとすることを決定するであろう。これは、ユーザ26に通信される。ユーザ26が、本価格を受諾する場合、ステップ184において、機能ABCの活性化に対して、ベンダー3に$Xを支払うことに合意する。ユーザ144が、$Xを支払うであろうという確信の後(または、ユーザ144からの$Xの受領の後)、ベンダー3は、ステップ186において、機能ABCを提供することに合意する。次いで、ベンダー3は、ステップ188において、本実施例では、バックエンドデータベース22およびFCS16を制御またはホスティングする、ベンダー1からデバイスQのABCを要求する。したがってベンダー3は、FCS16を通じて、機能ABCを取得する目的のために、ベンダー1と通信するであろう。図8の破線によって示されるように、ベンダー1が、機能セットFEAT40をユーザ26に直接提供する代わりに、ベンダー3が、ユーザ26のために行動し得ることを理解されたい。] 図3 図8
    [0040] 次いで、ベンダー1は、ステップ190において、典型的には、$Xよりも低いある固定価格である$Yに対して、機能ABCの活性化を提供することに合意するであろう。次いで、この時点で、ベンダー1は、ステップ192において、課金システムを使用して、またはステップ194において、ベンダー3から直接支払を取得することによって、ベンダー3が、$Yを支払うであろう保証を得ることになり、その時点で、ABCのためのFEAT40が、提供されるであろう。これが、未だ手配されていない場合、ベンダー3は、ステップ196において、ユーザ26から$Xを取得し、次いで、ユーザ26に機能コードを送信する。上述のように、FEAT40は、代わりに、ベンダー1によって、ユーザ26に直接送信され、課金が、後に分割され得る。]
    [0041] ステップ198では、ユーザ44は、機能コードを受信し、ステップ200では、ユーザのシステム11(および、該当する場合、サブシステム13)内のFC12が、上述のように、活性化される。図8に示されるものと類似する交信は、任意の段階における生産プロセスの間、当事者のいずれかとの間で実行され得るが、市販後の活性化/不活性化のみに制限されるものとみなされるべきではないことを理解されたい。また、機能の不活性化は、以下の2つの場合において、デバイス内で促進され得る。1)(ユーザではなく)アクチベータの裁量によって、不活性化が、他の機能と連動してのみ生じる場合、および、2)上流の実体が、下流のアップグレードを防止する場合。] 図8
    [0042] 図3に示されるシステム10の特定の実装は、図9に提供され、別のデバイスまたはデバイスの階層内に内蔵されるシリコンチップ上の機能の有効化/無効化を示す。また、システム100は、対称または非対称キー暗号化を使用するように構成され得ることを理解されたい。] 図3 図9
    [0043] 次に、図9を参照すると、本実施例における全体的システムが、数字100によって表される。システム100によって、設計/製造/アセンブリプロセス(以降、集合的に、生産プロセス111と称する)に関与する任意の実体は、部品、デバイス、またはシステム、本実施例では、チップ112上の機能の有効化および無効化を制御ならびに保護可能となる。また、システム100によって、ユーザ26は、例えば、デバイス118を販売するベンダーによって提供される、UI25またはインターフェースハードウェア126を通じて、市販後の有効化/無効化を実行可能となる。本実施例では、FC12が、チップ112内に含まれることが分かる。] 図9
    [0044] 例示的生産プロセス111では、シリコンのウエハ114が製造され、ウエハ114のそれぞれが、いくつかのチップ112を生産する。ウエハ114は、1つの実体またはベンダーにおいて生産され、同一施設において、チップ112を切断するか、またはウエハ114を別のベンダーに納品し、次いで、ウエハ114を個々のチップ112に切断し得る。生産チャネル111内の段階のいずれかは、類似/共通実体またはベンダーにおいて実行可能であって、本明細書に示される実施例は、例証目的のためだけのものであることを理解されたい。]
    [0045] 次いで、本実施例におけるチップ112は、集積回路パッケージ内にパッケージ化され、その後、基板116上に搭載され、本実施例では、次いで、パーソナルコンピュータまたは他の電子デバイス等、より大型のデバイス118内に搭載される。チップ112は、生産プロセス111の間の任意の1つ以上の段階において、ある機能を有効化および/または無効化させるようにプログラム可能である。数例の実施例が、図9に示される。チップ112は、生産されると、試験プロセスを受け、その時点にいて、典型的には、試験機120に接続される。この時点におけるチップ112との試験機の接続性は、プロセスに対する制御を有する実体と知的財産および機能に付随する潜在的収益の所有権との間の関係に依存して、機能を活性化または不活性化するために利用され得る。同様に、別の段階では、チップ112が、基板116内に搭載されると、さらなる試験が、生じてもよい。試験機または他のインターフェースハードウェア122は、チップ112が実装されると、基板のある機能を試験または評価するために使用され得る。本ハードウェア122は、例えば、Ethernet(登録商標)、USB、IEEE1394、Bluetooth等と互換性があるポート124を通じて、基板に接続され得る。いくつかの製造プロセスでは、最小数の「タッチ」、すなわち、基板116との接触が、望ましいか、または必須である場合があることに留意されたい。そのような状況では、ハードウェア122と基板116との間の接続のために、Bluetooth等の非接触接続が、理想的であるだろう。] 図9
    [0046] 生産におけるさらに別の段階では、基板116は、より大型かつより高度なデバイス118内に搭載される。実施例は、エンドユーザのパーソナルコンピュータ(デバイス118)内に含まれるプロセッサ(チップ112)を利用する、グラフィックまたはマルチメディアカード(基板116)であるだろう。本実施例では、デバイス118は、その独自のポート128を有し、順に、ポート124または基板116上の他の接続部に接続し、専用ハードウェア機器126に、FC12と接続させ、それを通じて、チップ112上の機能を有効化/無効化するか、または図9に示されるように、FCS16に、デバイス118と直接通信させる。] 図9
    [0047] 試験機120、ハードウェア122、および機器126は、機能が有効されるべきデバイス、製品、またはシステム(例えば、チップ112)に接続し、通信可能な任意のハードウェアまたはソフトウェアが、プロセス111内の任意の段階において、使用可能であることを例証するためだけに示される。このように、関係ベンダーは、任意の段階またはさらに複数の段階において、プロセスに関与し、活性化/不活性化を制御可能である。例えば、関係ベンダーは、ある特定の生産段階において、基板116の操作に付随するチップ112上の機能を有効化することのみ所望し、次いで、別の段階におい、エンドベンダーに付随する、またはそれによって支払われる機能を有効化し、製品あるいはデバイス118の不正クローニングもしくは偽造を防止し得る。]
    [0048] デバイス118が、アセンブルされ、必要機能が有効化および/または無効化されると、デバイス118は、ユーザ26に販売され得る。上述のように、システム100によって、ユーザ26は、付加的機能(図8参照)を購入し、システム100にそれらを活性化させることによって、そのデバイス118を後にアップグレード可能となる。機器120、122、および126のうちの任意の1つ以上によって提供される接続性は、FCS16またはFCSユニット16の階層(図示せず)を使用して、関係ベンダーによって、最終的に制御される。] 図8
    [0049] 図3に示される実施例と同様に、FCS16は、本実施例では、制御され得るデバイスに対応するか、または事前にプログラムされている、デバイスID136(UID等)のリスト、類似デバイスのグループ全体を活性化または不活性化するために使用可能なグループID138のリスト、ステップ51および53において、暗号化操作を実行するためのキーまたは他の暗号化情報140のリポジトリ、ならびに上述のように、対応する機能セットFEAT40にバンドルされる機能142を格納する、バックエンドデータベース22を使用する。また、FCS16は、所望の機能セットFEAT40と引き換えに支払を確保するために使用される、課金システム24と通信するか、またはそれを含む。また、FCS16は、例えば、UI25を通じて、ユーザ26によって起動される、上述の機能アップグレードのために、ユーザ26と直接通信し得る。] 図3
    [0050] 上述のように、暗号化処理ステップ51および53は、用途に好適な任意の暗号化操作を含み得る。一実施形態では、対称キー暗号化および認証スキームが使用可能であって、機能セットFEAT40は、FCS16によって、暗号化および認証され、次いで、FC12によって、復号化、認証、ならびに実装される。FCSユニット16の階層が使用される場合、バックエンドインフラストラクチャに付随するFCS16は、典型的には、暗号化処理を実行し、次いで、システム100の実際の構成によって要求されるように、結果として得られる暗号化されたデータを遠隔FCSユニット16に送信するであろうことに留意されたい。また、非対称キー実施形態は、認証および機密性を提供するために使用され得る。次に、そのような実施形態の実施例が、記載される。以下の実施例では、添字iは、特定のFC12(すなわち、FCi)を指し、添字jは、特定のFCS16(すなわち、FCSj)を指す。]
    [0051] FCS16は、それぞれ、機能を有効化および無効化するための活性化ならびに不活性化コードの配信を制御し、本実施例では、FCSjである。対称キー実装では、機能セットは、対称キーKEYi140によって暗号化されており、ここでも、iは、特定のFC、すなわち、FCiを指す。対称キー暗号化スキームでは、FCiに対する機能セットFEAT40は、暗号化され、したがって、ENC(FEATn)、すなわち、n番目の機能セットFEATによって表される。図3および9に示される一般的実施例と同様に、FCSj16は、本実施例では、対応する機能セットにバンドルされ、ENC(FEATn)を提供するように暗号化された機能142を暗号化するために、デバイスID136(UID等)、グループID138のリスト(必要に応じて)、および暗号ストレージ部140内の対称キーKEYiのリポジトリを格納する、バックエンドデータベース22を使用する。暗号化された機能セットENC(FEATn)は、FCS16によってFC12内に投入された対称キーKEYiのそのコピーを使用して、例えば、チップ112内のFCi12によって、デバイス上で最終的に復号化され得る。] 図3
    [0052] FC12は、対称キー実装では、図10に詳細に示される、すなわち、FCi12である。本実施例では、FCi12は、ENC(FEATn)を復号化し、受信した復号化された機能セットFEATnのメッセージ認証を実行するように構成される。メッセージ認証は、暗号化された機能メッセージが、(故意または偶発的に)改変されていないことを保証するために重要である。具体的には、本実施例では、FCi12は、暗号化された機能セットENC(FEATn)を受信し、メモリからその復号化キーKEYiを取得する。これらは、プレーンテキストバージョンのFEATnを取得するために、復号化関数220に入力される。次いで、本復号化された機能セットFEATnは、メッセージ認証のために、メッセージ認証モジュール224に入力され、メッセージ認証コード(MAC’)226を生成し得る。MACアルゴリズムの実施例は、暗号ベースのメッセージ認証コード(CMAC)認証スキームを備えているAESであろう。別個のキー(KEYj’)は、実装に応じて、本計算のために使用され得る。次いで、MAC’226は、受信した機能セットFEATn内に格納されるか、または保持されるMAC228と比較される。一致する場合、FCi12によって回復されたプレーンテキスト機能セットFEATnが、照合される。] 図10
    [0053] メッセージ認証プロセスは、典型的には、制限されるわけではないが、3つの方法のうちの1つにおいて、実行される。一実装では、FEATnは、MAC228とともに、プレーンテキストで送信される。データグラムは、MACによって決定される認証強度を伴う、プレーンテキストメッセージのMACに連結される公開可読プレーンテキストメッセージを含むように構築されるであろう。回復プロセスでは、MAC228は、検証され、検証結果に依存して、有効化され、プレーンテキストメッセージ(すなわち、FEATn)は、デバイス内で使用されるか、または破棄されるであろう。]
    [0054] 第2の実装では、機能セットは、MAC228とともに、暗号テキストENC(FEATn)として送信される。データグラムは、プレーンテキストメッセージのMACとプレーンテキストメッセージの暗号化との連結を使用して、またはプレーンテキストメッセージのMACとプレーンテキストメッセージとの連結を暗号化することによって、あるいはプレーンテキストメッセージの暗号化のMACとプレーンテキストメッセージの暗号化とを連結することによって、構築されるであろう。本第2の実装のすべての場合において、プレーンテキストは、その対応する暗号テキストを生成することによって、平面ビュー上では非表示となるべきである。認証メッセージは、メッセージの長さと同等の強度を有する。プレーンテキストメッセージは、全暗号テキストの復号化操作およびその後のMAC228の検証を使用して、回復され、復号化およびMAC検証結果に依存して、プレーンテキストメッセージ(すなわち、FEATn)は、使用または破棄されるであろう。]
    [0055] 第3の実装では、暗号テキストのみが使用され、データグラムは、メッセージと任意の冗長性との連結の暗号化を使用して、構築される。プレーンテキストメッセージは、データグラムの復号化操作を使用して回復され、次いで、それが期待値と一致するような冗長性についての検証が実行されるであろう。これによって、付随プレーンテキストメッセージ(すなわち、FEATn)は、検証結果に依存して、使用または破棄されるであろう。]
    [0056] 図11に示されるように、そのような対称キー実施形態の場合、機能14のうちの任意の1つ以上(図11に示される任意の機能X)は、図10においてFCi12が取得するのと同一の機能セットENC(FEATn)を取得し、上述のように、対称キーKEYi140を使用して、ENC(FEATn)からFEATnを復号化する、その独自のFCix12を含み得る。機能Xの状態/実装(例えば、機能Xをオンまたはオフにするか)は、復号化された機能セットFEATnから決定され得る。このように、チップ112の供給業者のみではなく、機能の供給業者は、機能有効化または無効化(あるいは、部分的有効化もしくは無効化)を制御する。] 図10 図11
    [0057] また、図11に示される構成は、非対称キー実施形態において使用可能であって、非対称暗号化を使用して、FEATnの完全性を保護し、代替として、キー管理機能を実行し、FEATnが、FCS16からFC12に送信されると、暗号化され得るように、FCS16jとFC12iとの間の共有キーを構築することを理解されたい。次いで、FC12は、機能を機能Xに転送し、それを復号化するであろう。機能セットを暗号化するための対称暗号化の使用は、効率性のため、好ましいが、非対称暗号化もまた、用途に対して好ましいかまたはより好適である場合に使用可能であることを理解されたい。] 図11
    [0058] 非対称キー実施形態のためのFCS16およびFC12は、図12にさらに詳細に示される。任意のFCiおよびFCSjが、示される。FCSj16は、キー生成、キー承諾、署名生成、署名照合、暗号化、復号化等の任意の必要暗号化操作を実行するように構成される、暗号化ユニット30を含む。また、FCSj16は、認証機関(CA)101として作用するか、またはそれと通信し得る。また、FCSj16は、FC12と通信の際に使用される情報およびデータを格納するためのメモリ36を含む。示されるように、FCSj16は、証明書CERT(FCSj)を格納する。また、FCSjは、その独自のFCi12を有し、したがって、信頼点を含む、各システムiに対応する証明書(すなわち、CERT(FCi))を格納し得る。また、メモリ36は、バックエンドデータベース22が現場にある場合、バックエンドデータベース22またはその一部を含み得る。FCSj16は、安全、非安全、有線、無線、ローカルエリア、FCSj16とFCi12との間のデータの転送を可能にする任意の他の種類の通信リンクであり得る通信チャネル20を介して、FCi12と通信する。] 図12
    [0059] FCi12は、システム11側において、アップグレード/デグレード手順の必要暗号化操作を実行するように構成される、暗号化ユニット30を有する。例えば、ユニット30は、乱数発生器(RNG)32だけではなく、CPU、楕円曲線(EC)算術演算ユニット、米国新暗号化規格(AES)コア、ROM、SRAM、および他の種類のメモリユニットを含み得る。後述の一実施例では、ユニット30は、ECDSA、ECMQVプロトコル、または両方を実行可能なECCモジュールである。また、FCi12は、データおよび情報を格納するためのメモリ34を有する。FCi12は、実際のシステム11を、類似種類、ブランド、またはバージョンの他のシステムと区別する、対応するUIDiを格納する。本UIDiは、FCi12内でローカルに生成されるか、またはFCSj16等の外部機器を使用して挿入される、一意または統計的に一意の数であり得る。また、FCi12は、以下に記述および例示されるように、典型的には、製造時に生成され、通常、UIDiにリンクされる、持続的、すなわち、「静的」秘密キーdFCisおよび公開キーQFCisを格納する。具体的には、QFCisまたはその一部は、UIDiとして使用され得る。また、FCi12は、CA101の公開キーQCAを格納する。メモリ34は、任意の種類または種類の組み合わせであって、意図されるように、FC12が動作することを許可するために必要な任意の情報を格納するように構成され得ることを理解されたい。]
    [0060] 非対称実施形態において、FCi12に送信される機能セットは、認証を含み、偽変造、リプレーアタック、および置換等の攻撃から保護されるべきである。認証を提供するための一例示的プロトコルは、図13に示される。「プログラミングを開始」するためのFCSjからFCiへの初期コマンドが、最初に生成され得る。FCiのためのUIDiは、典型的には、製造プロセスの間等のある早期の時点である、ステップ60において、FCiによって生成されるか、またはFCSjによって投入される。これは、FCiに、UIDiを生成させるためのFCSjからFCiへのコマンドを含み得る。典型的には、UIDiは、FCiの寿命の間、変更されないであろう。ステップ61では、FCiが、新しい機能セットを取得するために、FCSjと通信することを所望する場合、ノンスNi’が、最初に生成される(「’」は、セッション毎の値を示す)。次いで、機能プログラミングコマンド毎に一意である、本ノンスNi’は、例えば、連結によって、UIDiと組み合わせられ(Ni’||UIDi)、FCSjに送信される。次いで、FCSjは、ステップ63における(Ni’||UIDi)の受信の後、プログラミングメッセージMn(すなわち、n番目のメッセージM)の準備を開始し、そのために、要求された機能または機能セットFEATn、あるいは適切な機能または機能セットFEATnと、FCSjのための証明書、すなわち、CERT(FCSi)を読み出す。] 図13
    [0061] 次いで、ステップ64では、FCS16は、FCiによって提供される情報および機能セットを使用して、署名、例えば、SIGFCSj(Ni’||UIDi||FEATn)を生成する。好ましくは、署名は、本スキーム内の使用のためのデジタル証明書を発行するバックエンドインフラストラクチャのCA101によって証明されたECCキー対を使用する、ECDSA、ECNR、またはECPVS署名であるが、それらに制限されない。次いで、プログラミングメッセージは、ステップ65において、FCjの署名、機能セット、および証明書を使用して、アセンブルされ得る。例えば、以下となる。]
    [0062] Mn=[FEATn||SIGFCSj(Ni’||UIDi||FEATn)||CERT(FCSj)]。]
    [0063] 対称キー(KEYi)が、事前に投入されており、上述のように利用可能である場合、FEATnは、機密メッセージのために暗号化され得る。本メッセージMnから、FCiは、暗号化されたFEATn(本選択肢が使用される場合)を復号化し、機能セット、署名(それを照合するために)、および証明書を抽出可能であることが分かる。次いで、メッセージMnは、FCiに送信される。]
    [0064] Mnの受信の後、ステップ66において、FCiは、例えば、不揮発性にプログラムされ、FCi12にアクセス可能なバックエンドインフラストラクチャのCA101の公開キーを使用して、証明書CERT(FCSj)を検証する。また、不揮発性にプログラムされ、また、本ステップにおいて、チェックされ得る顧客IDが存在し得る。次いで、本実施例では、FCiは、SIGFCSjを照合し、その際、NiおよびUIDiが、その独自の値と一致すかどうか照合する。チェックのいずれかが、ステップ66において失敗する場合、FCiは、操作を中断するであろう。]
    [0065] ステップ66におけるチェックが、有効である場合、FCiは、ステップ68において、機能セットFEATn内に含まれる機能または複数の機能を実装する。FEATnを実装後、ステップ69において、FCiは、成功または失敗メッセージを含むことによって、レポートまたは確認通知を準備するはずである。次いで、本確認通知またはフィードバックは、FCSjに送信される。フィードバックメッセージが、実際には成功しているにもかかわらず、システム11がプログラムを失敗したと、FCSjに信じ込ませるようにリプレーされる、リプレーアタックを回避するために、応答は、暗号的に安全であるべきであることに留意されたい。次いで、ステップ70では、フィードバックの受信の後、FCSjは、グレーマーケットの監査またはエラー追跡等の後の分析のために、フィードバックの記録を開始し得る。任意の追加プログラミングが要求される場合、FCiは、新しいノンスを生成し、図6のステップ71として集合的に示される、上述のステップが繰り返され得る。] 図6
    [0066] 本例示的プロトコルは、コマンドを特定のFC12にリンクさせ、コマンドが、実施される。悪意のある製造業者が、FCを傍受する他のシステム11を有する場合、コマンドが単一FC12にリンクされるため、受信したコマンドで作動しないであろう。これは、特定の標的との通信をロックまたは固定するためのUIDiおよびNiの使用を通じて達成される。また、FCS16からFC12(例えば、FCSjおよびFCi)へのコマンドは、完全性が保護され、認証され、リプレーアタックおよびなりすましから保護される。コマンドは、特定のUIDiにリンクされるため、FCSjは、特定のUIDiがプログラムされていること、およびプログラムされた場所を示す監査ログを維持可能である。本ログは、図3のインフラストラクチャ(または、ある他のインフラストラクチャ)を通じて、元の製造業者に報告され得る。これらのログファイルのレビューにおいて、同一UIDiの複数のインスタンスが検出される場合、クローニング/偽造状況が発見されるであろう。] 図3
    [0067] 別のより暗号的に安全な実施形態では、認証および機密性の両方を提供するプロトコルが、図14に示されるように、使用され得る。本プロトコルは、データを復号化するために、FCi内に投入される秘密対称キーを必要としない。上述と同様に、「プログラミングを開始」するためのFCSjからFCiへの初期コマンドが、最初に生成され得る。本プロトコルの場合、次いで、FCiは、ステップ80において、静的キー対(dFCs、QFCs)、好ましくは、静的ECCキー対を生成し、QFCsは、ステップ81において、UIDiを生成するために使用される。ECC実装では、静的公開キーQFCsの座標のうちの1つ(好ましくは、x座標)は、必要に応じて、切り捨てを伴って、UIDiとして使用され得る。キー対は、好ましくは、製造時であるが、用途に基づいて、別の時に、作成および格納される。静的キー対およびUIDは、プログラムされると、改変不可能であるように、作成および格納されるべきであることに留意されたい。] 図14
    [0068] FCiプログラミングが、FCSjによって開始されると、FCiは、ステップ82において、最初に、一時的キー対(dFCie、QFCie)、好ましくは、ECCキー対を生成し、FCSjとのキー承諾、例えば、ECC実装の場合、ECMQVキー承諾に関与する。本プロセスの一部として、FCiが、その静的キーのための証明書、すなわち、CERT(FCi)を有する場合、これをFCSjに送信するであろう。また、ステップ83では、FCS16は、一時的キー対(dFCSje、QFCSje)を生成するであろう。キー承諾の一部として、FCSjは、一時的公開キーQFCSjeおよび証明書CERT(FCSj)をFCiに送信する。CERT(FCi)が存在する場合、証明書検証も、FCSjによって、実行されなければならない。ステップ84では、FCiは、証明書CERT(FCSj)を検証し、キー承諾の結果は、ステップ85および86における、FCSjとFCiとの間の共有キーKEYij’である。上述のように、顧客IDが、マスクプログラムされる場合、その値は、FCiによって、チェックされる。チェックのいずれかが失敗する場合、FCiは、操作を中断するであろう。本値が使用される場合、本値は、FCiがプログラムされるべき照合のために、FCiによって、FCSjに送信される。]
    [0069] 次いで、FCSjは、プログラミングメッセージMnの準備を開始し、そのために、ステップ87において、要求された機能または機能セットFEATn、あるいは適切な機能または機能セットFEATnを読み出す。次いで、ステップ88では、FCSjは、キー承諾の間にFCiによって提供される情報および機能セットを使用して、署名、例えば、SIGFCSj(QFCie||UIDi||FEATn)を生成する。好ましくは、署名は、ECDSA、ECNR、またはECPVS等のECCキー対を使用するECC署名である。署名では、QFCieは、所望に応じて切り捨てられてもよい。次いで、機能または機能セットFEATnは、ステップ89において暗号化され、対称暗号およびキー承諾の間に構築されるキーKEYij’を使用して、機密性を提供する。]
    [0070] 次いで、プログラミングメッセージMnは、ステップ90において、署名および暗号化された機能セットを使用して、アセンブルされ得る。例えば、以下となる。]
    [0071] Mn=[ENC(FEATn)||SIGFCSj(QFCie||UIDi||FEATn)]。]
    [0072] 次いで、メッセージMnは、FCiに送信される。Mnの受信の後、ステップ91では、FCiは、KEYij’を使用して、機能セットFEATnを復号化し、署名を照合する。署名検証の一部として、FCiは、QFCieおよびUIDiが、その独自の値と一致するかどうかを検証する。ステップ91において、チェックのいずれかが失敗する場合、FCiは、操作を中断するであろう。]
    [0073] ステップ91において、チェックが有効である場合、FCiは、ステップ93において、機能セットFEATn内に含まれる機能または複数の機能を実装する。FEATnに付随するアクションを実行後、FCiは、成功または失敗メッセージをFCSjに返す。本メッセージは、暗号化された確認通知メッセージ、例えば、ステップ94において生成されるMSTATn=ENC(ACKn)であり得る。ACKnは、成功または失敗を示す、2つの非常に冗長なメッセージのうちの1つである。冗長性は、メッセージの完全性が存在しない場合、要求されるであろう。また、本メッセージは、リプレーアタックから保護される必要があり、任意の好適なソリューションを使用して、行なわれ得る。次いで、メッセージMSTATnは、FCSjに送信される。任意のさらなるプログラミングが要求される場合、ステップ95において、FCSjは、例えば、ステップ95において、メッセージMCMDnを生成することによって、コマンドCMDnに署名し得る。例えば、以下となる。]
    [0074] MCMDn=[ENC(CMDn)||SIGFCSj(QFCie||UIDi||CMDn)]。本メッセージは、リプレーアタックから保護されるべきである。]
    [0075] さらなるプログラミングが、FCiがオフにされた後、生じる場合、および/または一時的キーが削除されている場合、FCiは、新しい一時的キー対を生成し、図14に示されるプロセスを繰り返し得る。メッセージMCMDnは、FCiに送信され、ステップ96において、メッセージMCMDnが、復号化され、署名が、照合され、メッセージMCMDn内に含まれる追加プログラミングが、実行される。] 図14
    [0076] 図14に示されるプロトコルは、図13におけるプロトコルの利点を含むが、また、特定のFC12および特定のFCS16にリンクされる、暗号化されたトンネルを提供する。したがって、他のFC12は、本プロトコルに関与不可能であるか、または暗号化されたプログラミングセッションの間に送信されたコマンドを復号化することが不可能であるだろう。また、プレーンテキストFCプログラミングコマンドを発見することは不可能であり、FC12への攻撃をより複雑にするであろう。] 図13 図14
    [0077] 図13および14から分かるように、FCS16とFC12との間の2つのバージョンの交信が、例示される(すなわち、認証のみのバージョン(任意に、機密性のために投入される秘密対称キーを使用し得る)と、機密性および認証の両方を利用し、秘密対称キーの投入を必要としないバージョン)。バージョンの選択は、用途に依存する。例えば、認証のみのバージョンは、チップコストおよび/または試験時間を最小限にするために、ゲートを節約するか、またはプログラミング機能回数を改善するために、使用され得る。] 図13
    [0078] したがって、図3に示される機能制御システム10は、それが提供する機能を通じて、製品またはサービスの差別化を可能にする、任意の種類のシステム11に適合され得ることが分かる。図9に例示されるように、システムまたはシステムの階層内にFC12を含めることを通じて構築される信頼点は、シリコンチップ製造環境における在庫流動の数を減少させるために、特に好適であり得る。さらに、システム11(例えば、デバイス118)は、ある機能セットとともにプロビジョニングされるだけではなく、後のアップグレード、ダウングレード、時間ベースの試用、および本明細書に記載されるような機能制御に対する暗号化制御を有さない場合、そうでなければ不可能である(または、少なくとも、信頼されない)多くの他の下流性能も可能にする。] 図3 図9
    [0079] システム10、100は、付加的性能を含み得る。例えば、FC12は、攻撃者が、FC12内にハッキングしようと試みているかどうかを判断するように構成可能である。その場合、FC12は、本体を遮断し、可能性として、それに付随するチップ112またはシステム11も停止させ得る。別の実施例は、システム11を遮断するように遠隔から命令可能であるように、FC12を構成するものである。別の実施例として、製造業者が、暗号化されたプログラムをシステム11のメモリ内に格納し、次いで、FC12が、キー(機能として)を受信し、それを復号化するまで、プログラムが実行不可能であるように、後に、FCS16からFC12にメモリ復号化キーをダウンロードするものを含む。]
    [0080] FC12は、システム11内の信頼される操作点として作用することを理解されたい。デバイスまたはシステムが、類似信頼操作を提供可能なデバイスを既に有する場合、バックエンドシステムおよびFCS16操作ならびにプロトコルは、FC12のこれらの他のバージョンを使用して、本書に記載される機能制御機能を提供するように修正され得る。そのような信頼される操作デバイスの実施例として、Trusted Computing Group(TCG)の信頼プラットフォームモジュール(TPM)、およびTCGのストレージ仕様に準拠して構築されるストレージデバイスを含むが、これらに制限されない。]
    [0081] また、FC12、FCS16、または中間システム18は、介入者攻撃を防止する補助となるようにプロビジョニングされ得る。そのような方法の一実施例は、FC12、FCS16、および中間システム18のうちの1つ以上の組み合わせを伴い、実際の測定された交信待ち時間に対して、FC12、FCS16、および中間システム18の特定の実装における情報の交信に付随する待ち時間の決定論的評価に基づいて、時間測定値の比較を行なう。FC12、FCS16、および中間システム18のうちの1つ以上は、既知または有界遅延特性を伴う、抵抗容量ネットワークあるいはリング発振器等の物理的に内蔵されたアナログ遅延を有するか、もしくは介入者攻撃防止によって、不正使用が発生しているかを判断するための精密安全時間参照サーバを参照し得る。そのような攻撃は、FC12、FCS16、または中間システム18の要素間の不正仲介業者を使用して、もしくはFC12、FCS16、または中間システム18へのデジタル入力クロックあるいはデジタル入力クロックのデューティサイクルを減速することによって、実施され得る。]
    [0082] 本発明は、ある特有の実施形態を参照して記載されたが、その種々の修正例は、本明細書に付属の請求項に概略される本発明の精神および範囲から逸脱することなく、当業者には明白となるであろう。]
    权利要求:

    請求項1
    システム上の機能を制御するための方法であって、暗号化操作を実行可能な該システム内に少なくとも1つの機能コントローラを提供するステップと、該機能コントローラと機能制御サーバとの間の接続を構築するステップと、該機能制御サーバから機能セットを受信するステップであって、該機能セットは、暗号化処理を受けている、ステップと、該受信した機能セットに対し補完的暗号化処理を実行し、該システム内における該機能セットの実装を許可するステップと、該機能セットを実装し、該機能のうちの1つ以上を制御するステップとを含む方法。
    請求項2
    前記機能セットは、活性化または不活性化されるべき前記システム内の1つ以上の機能を識別し、前記機能セットを実装するステップは、該1つ以上の機能を活性化することまたは不活性化することを含む、請求項1に記載の方法。
    請求項3
    前記1つ以上の機能は、ビット配列のうちの選択されたビットを設定することによって、活性化または不活性化され、各ビットは、該機能のうちの1つに対応する、請求項2に記載の方法。
    請求項4
    前記1つ以上の機能は、前記機能コントローラをメモリマップにアクセスさせることによって、活性化される、請求項2に記載の方法。
    請求項5
    前記メモリマップは、前記機能を制御するための操作に関係する1つ以上の許可マスクおよび1つ以上の禁止マスクを備えている、請求項4に記載の方法。
    請求項6
    前記システムは、複数の機能を制御するための1つの機能コントローラを備えている、請求項1に記載の方法。
    請求項7
    前記システムは、複数のそれぞれの機能を制御するための複数の機能コントローラを備えている、請求項1に記載の方法。
    請求項8
    前記補完的暗号化処理は、前記機能コントローラによってアクセスされる対称キーを利用することを含み、該対称キーは、前記暗号化処理を実行する際、前記機能セットを暗号化するために使用されており、該補完的暗号化処理は、該機能セットを復号化することを含む、請求項1に記載の方法。
    請求項9
    前記補完的暗号化処理は、前記機能セットの復号化されたバージョンを使用して、メッセージ認証コード(MAC)を生成し、前記機能セットの実装に先立って、該MACを使用して該機能セットを照合することをさらに含む、請求項8に記載の方法。
    請求項10
    前記暗号化処理は、前記機能コントローラに対して一意の識別子を使用して、前記機能セットに署名することを含み、前記補完的暗号化処理は、該機能セット上の署名を照合し、該署名の照合の後、該機能セットを実装することを含む、請求項1に記載の方法。
    請求項11
    前記補完的暗号化処理は、前記機能制御サーバによって提供される証明書を検証するステップをさらに含む、請求項10に記載の方法。
    請求項12
    前記機能コントローラと前記機能制御サーバとの間の前記接続を構築するステップは、ノンスを生成することと、該ノンスを前記一意の識別子と組み合わせることと、前記署名を生成する際に使用するために、該機能制御サーバに前記組み合わせを提供することとを含む、請求項10に記載の方法。
    請求項13
    前記補完的暗号化処理は、前記機能制御サーバによって構築されるセッションキーを利用して、前記機能セットの暗号化されたバージョンを復号化することを含み、該暗号化されたバージョンは、前記暗号化処理の間に、該機能制御サーバによって生成されており、該補完的暗号化処理は、該機能セット上の署名を照合することをさらに含み、該署名は、前記機能コントローラの公開キーを使用して生成されている、請求項1に記載の方法。
    請求項14
    前記公開キーは、一時的公開キーであって、前記署名もまた、前記機能コントローラによって生成される一意の識別子を用いて生成されており、該一意の識別子は、該機能コントローラの静的公開キーを使用して生成され、該一時的公開キーおよび該一意の識別子は、キー一致プロトコルの間、前記機能制御サーバに提供される、請求項13に記載の方法。
    請求項15
    前記署名の照合の後、前記機能コントローラは、前記セッションキーを用いて前記機能制御サーバによって暗号化されたさらなるコマンドまたはプログラミング命令を受信する、請求項13に記載の方法。
    請求項16
    前記セッションキーは、Menezes−Qu−Vanstone(MQV)キー一致プロトコルを使用して構築される、請求項13に記載の方法。
    請求項17
    前記機能セットの実装の後、前記機能制御サーバにフィードバックを提供することをさらに含む、請求項1に記載の方法。
    請求項18
    システム上の機能を制御するための機能コントローラであって、該システムは、機能制御サーバとの接続を構築し、該機能制御サーバから機能セットを受信するように構成され、該機能コントローラは、メモリへのアクセスと、暗号化ユニットであって、該システムから該機能セットを取得することであって、該機能セットは、暗号化処理を受けている、ことと、該メモリ内に格納されている情報を用いて、該受信した機能セットに対し補完的暗号化処理を実行し、該システム内における該機能セットの実装を許可することとを行うように構成されている、暗号化ユニットとを備えている、機能コントローラ。
    請求項19
    システム上の機能を制御するためのコンピュータで実行可能な命令を含むコンピュータ読み取り可能なストレージ媒体であって、該媒体は、暗号化操作を実行可能な該システム内に少なくとも1つの機能コントローラを提供することと、該機能コントローラと機能制御サーバとの間の接続を構築することと、該機能制御サーバから機能セットを受信することであって、該機能セットは、暗号化処理を受けている、ことと、該受信した機能セットに対し補完的暗号化処理を実行し、該システム内における該機能セットの実装を許可することと、該機能セットを実装し、該機能のうちの1つ以上を制御することとを行うための命令を含む、コンピュータ読み取り可能なストレージ媒体。
    类似技术:
    公开号 | 公开日 | 专利标题
    US10102510B2|2018-10-16|Method and system of conducting a cryptocurrency payment via a mobile device using a contactless token to store and protect a user's secret key
    TWI662434B|2019-06-11|Method for adding a ticket system, appliance device, and service device
    US10007960B2|2018-06-26|Electronic license management
    US10489562B2|2019-11-26|Modular software protection
    US20200175490A1|2020-06-04|System and method for secure communication in a retail environment
    CN104813634B|2017-10-20|用于管理访问控制的基于策略的方法和系统
    EP3146747B1|2020-07-01|Offline authentication
    Anati et al.2013|Innovative technology for CPU based attestation and sealing
    US10102500B2|2018-10-16|System and method for performing serialization of devices
    US9678896B2|2017-06-13|System and method for hardware based security
    US20190370159A1|2019-12-05|System and method for managing electronic assets
    JP5766199B2|2015-08-19|安全なモバイル決済処理
    US9602282B2|2017-03-21|Secure software and hardware association technique
    US9881348B2|2018-01-30|Activation system architecture
    ES2599985T3|2017-02-06|Validación en cualquier momento para los tokens de verificación
    US7272858B2|2007-09-18|Digital rights management | encryption and data-protection for content on a relatively simple device
    US20140351146A1|2014-11-27|Authentication for a commercial transaction using a mobile module
    US8966657B2|2015-02-24|Provisioning, upgrading, and/or changing of hardware
    US7380275B2|2008-05-27|Secure and backward-compatible processor and secure software execution thereon
    US8261073B2|2012-09-04|Digital rights management method and apparatus
    US7110985B2|2006-09-19|Content revocation and license modification in a digital rights management | system on a computing device
    AU2001238056B2|2005-06-02|System and method for installing an auditable secure network
    CN100421102C|2008-09-24|便携式存储装置和使用该便携式存储装置的内容管理方法
    US9100174B2|2015-08-04|Secure provisioning in an untrusted environment
    US8117128B2|2012-02-14|Content usage management system method, and program providing medium therefor
    同族专利:
    公开号 | 公开日
    EP2562956A2|2013-02-27|
    EP2562956B1|2017-09-27|
    EP2220807A1|2010-08-25|
    US9485223B2|2016-11-01|
    US20090292926A1|2009-11-26|
    EP2220807B1|2013-02-13|
    US10003580B2|2018-06-19|
    US10419407B2|2019-09-17|
    US20180278587A1|2018-09-27|
    CA2709327A1|2009-06-18|
    US20130003970A1|2013-01-03|
    EP2562956A3|2013-11-27|
    CA2709327C|2015-11-24|
    CN101946452A|2011-01-12|
    WO2009073969A1|2009-06-18|
    EP2220807A4|2011-07-13|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    US5822434A|1996-06-19|1998-10-13|Sun Microsystems, Inc.|Scheme to allow two computers on a network to upgrade from a non-secured to a secured session|
    US6704871B1|1997-09-16|2004-03-09|Safenet, Inc.|Cryptographic co-processor|
    US6640238B1|1999-08-31|2003-10-28|Accenture Llp|Activity component in a presentation services patterns environment|
    US20060071981A1|2002-12-02|2006-04-06|Silverbrook Research Pty Ltd|Data rate supply proportional to the ratio of different printhead lengths|
    JP2006060779A|2004-07-20|2006-03-02|Ricoh Co Ltd|証明書送信装置、通信システム、証明書送信方法、プログラム及び記録媒体|
    WO2006127949A1|2005-05-23|2006-11-30|Intel Corporation|In-system reconfiguring of hardware resources|
    JP2008542882A|2005-05-23|2008-11-27|インテル・コーポレーション|ハードウェア資源のシステム内再構成|
    WO2007123893A2|2006-04-19|2007-11-01|Tellabs-Operations, Inc.|Secure keys for software activation|US10685095B2|2015-03-19|2020-06-16|Ntt Electronics Corporation|Processing equipment and remote management system|US5737426A|1994-12-13|1998-04-07|Pitney Bowes Inc.|Remote and secure feature enabling for an electronic postage meter|
    US5761305A|1995-04-21|1998-06-02|Certicom Corporation|Key agreement and transport protocol with implicit signatures|
    US5771287A|1996-08-01|1998-06-23|Transcrypt International, Inc.|Apparatus and method for secured control of feature set of a programmable device|
    US6061439A|1997-03-27|2000-05-09|Nortel Networks Corporation|Method and apparatus for providing subscriber services to a telephone|
    US6681017B1|1997-09-03|2004-01-20|Lucent Technologies Inc.|Simplified secure shared key establishment and data delivery protocols for electronic commerce|
    US6571094B1|1998-01-22|2003-05-27|At&T Wireless Services, Inc.|Method and system for remote call forwarding of telephone calls from an IP connection|
    US6397333B1|1998-10-07|2002-05-28|Infineon Technologies Ag|Copy protection system and method|
    US20050246549A1|1999-06-09|2005-11-03|Andres Torrubia-Saez|Methods and apparatus for secure distribution of software|
    US6966002B1|1999-04-30|2005-11-15|Trymedia Systems, Inc.|Methods and apparatus for secure distribution of software|
    US7707420B1|1999-06-23|2010-04-27|Research In Motion Limited|Public key encryption with digital signature scheme|
    US6513121B1|1999-07-20|2003-01-28|Avaya Technology Corp.|Securing feature activation in a telecommunication system|
    CA2329590C|2000-12-27|2012-06-26|Certicom Corp.|Method of public key generation|
    CA2369540C|2001-12-31|2013-10-01|Certicom Corp.|Method and apparatus for computing a shared secret key|
    US7702910B2|2002-10-24|2010-04-20|Telefonaktiebolaget L M Ericsson |Message authentication|
    US7461260B2|2002-12-31|2008-12-02|Intel Corporation|Methods and apparatus for finding a shared secret without compromising non-shared secrets|
    US20060173981A1|2004-03-11|2006-08-03|Junbiao Zhang|Secure web browser based system administration for embedded platforms|
    US20040187011A1|2003-03-18|2004-09-23|Lee Long K.|Prevention of unauthorized software distribution|
    US7546470B2|2003-08-13|2009-06-09|International Business Machines Corporation|Selective computer component activation apparatus method and system|
    KR100568233B1|2003-10-17|2006-04-07|삼성전자주식회사|인증서를 이용한 기기 인증 방법 및 상기 방법을 이용하여기기 인증을 수행하는 디지털 컨텐츠 처리 기기|
    CA2555322C|2004-02-13|2014-01-14|Certicom Corp.|One way authentication|
    US7409561B1|2004-06-09|2008-08-05|Lsi Corporation|Piracy protection for combined hardware/software products|
    US7716638B2|2005-03-04|2010-05-11|Microsoft Corporation|Methods for describing processor features|
    CA2550362C|2005-06-14|2015-12-01|Certicom Corp.|Enhanced key agreement and transport protocol|
    EP1768408B1|2005-07-29|2010-07-07|STMicroelectronics Limited|Method of restricting use of decryption keys using encrypted digital signatures|
    US8769295B2|2005-08-01|2014-07-01|Intel Corporation|Computing system feature activation mechanism|
    JP2007096746A|2005-09-29|2007-04-12|Fujitsu Ltd|携帯電話機能付き端末及びその使用可能化設定方法|
    WO2007056712A2|2005-11-04|2007-05-18|Kestrel Wireless Inc.|System and method for authenticating products|
    US10361864B2|2007-09-29|2019-07-23|Intel Corporation|Enabling a secure OEM platform feature in a computing environment|
    CN101946452A|2007-12-13|2011-01-12|塞尔蒂卡姆公司|用于控制器件上的特征的系统和方法|US8483616B1|2005-11-01|2013-07-09|At&T Intellectual Property Ii, L.P.|Non-interference technique for spatially aware mobile ad hoc networking|
    US8355410B2|2007-08-17|2013-01-15|At&T Intellectual Property I, L.P.|Location-based mobile gaming application and method for implementing the same using a scalable tiered geocast protocol|
    DE602006019011D1|2006-10-06|2011-01-27|Agere Systems Inc|Schutz von geheiminformationen in einem programmierten elektronischen gerät|
    CN101946452A|2007-12-13|2011-01-12|塞尔蒂卡姆公司|用于控制器件上的特征的系统和方法|
    JP5179861B2|2007-12-27|2013-04-10|株式会社日立製作所|半導体装置|
    US9047494B1|2008-09-08|2015-06-02|United Services Automobile Association|System and method for disabling and/or enabling a device|
    US9544922B2|2008-09-16|2017-01-10|At&T Intellectual Property I, L.P.|Quality of service scheme for collision-based wireless networks|
    US8631247B2|2008-11-24|2014-01-14|Certicom Corp.|System and method for hardware based security|
    US20100169650A1|2008-12-31|2010-07-01|Brickell Ernest F|Storage minimization technique for direct anonymous attestation keys|
    JP5572705B2|2009-07-10|2014-08-13|サーティコムコーポレーション|電子資産を管理するためのシステムおよび方法|
    US9208459B2|2009-07-10|2015-12-08|Certicom Corp.|System and method for performing serialization of devices|
    US20110010770A1|2009-07-10|2011-01-13|Certicom Corp.|System and method for performing key injection to devices|
    US9118428B2|2009-11-04|2015-08-25|At&T Intellectual Property I, L.P.|Geographic advertising using a scalable wireless geocast protocol|
    BR112013006560A2|2010-09-21|2016-06-07|Gen Instrument Corp|sistema de fornecimento de licença de recurso de grande volume seguro|
    WO2012049630A1|2010-10-15|2012-04-19|Certicom Corp.|Authenticated encryption for digital signatures with message recovery|
    CN103155481A|2010-10-15|2013-06-12|塞尔蒂卡姆公司|具有消息恢复的数字签名的认证加密|
    US10016684B2|2010-10-28|2018-07-10|At&T Intellectual Property I, L.P.|Secure geographic based gaming|
    US20120124374A1|2010-11-12|2012-05-17|Nxp B.V.|Secured acknowledge protocol for automotive remote keyless entry systems and for networked sensor devices|
    EP2458522A1|2010-11-30|2012-05-30|Nxp B.V.|Electronic component with configurable functionality|
    US20120204269A1|2011-02-03|2012-08-09|General Instrument Corporation|Secure automated feature license update system and methods|
    US8811620B2|2011-02-14|2014-08-19|Sap Ag|Secure sharing of item level data in the cloud|
    CA2830283C|2011-03-25|2016-11-01|Certicom Corp.|Interrogating an authentication device|
    CN103503366B|2011-05-06|2016-10-12|塞尔蒂卡姆公司|管理针对认证设备的数据|
    US9161158B2|2011-06-27|2015-10-13|At&T Intellectual Property I, L.P.|Information acquisition using a scalable wireless geocast protocol|
    US9319842B2|2011-06-27|2016-04-19|At&T Intellectual Property I, L.P.|Mobile device configured point and shoot type weapon|
    JPWO2013002258A1|2011-06-29|2015-02-23|日本電気株式会社|ライセンス管理装置及びライセンス管理方法|
    BR112014001019A2|2011-07-19|2017-02-14|Nec Corp|dispositivo de gerenciamento de licença, sistema de gerenciamento de licença, método de gerenciamento de licença e programa|
    US9495870B2|2011-10-20|2016-11-15|At&T Intellectual Property I, L.P.|Vehicular communications using a scalable ad hoc geographic routing protocol|
    CN102404706B|2011-11-24|2014-08-13|中兴通讯股份有限公司|一种管理资费安全的方法及移动终端|
    US8744419B2|2011-12-15|2014-06-03|At&T Intellectual Property, I, L.P.|Media distribution via a scalable ad hoc geographic protocol|
    US20130173469A1|2012-01-03|2013-07-04|Intel Mobile Communications GmbH|Chip customization techniques|
    WO2013119065A1|2012-02-10|2013-08-15|Samsung Electronics Co., Ltd.|Securely upgrading or downgrading platform components|
    US8667270B2|2012-02-10|2014-03-04|Samsung Electronics Co., Ltd.|Securely upgrading or downgrading platform components|
    US20140006781A1|2012-06-23|2014-01-02|Pomian & Corella, Llc|Encapsulating the complexity of cryptographic authentication in black-boxes|
    US9071451B2|2012-07-31|2015-06-30|At&T Intellectual Property I, L.P.|Geocast-based situation awareness|
    US9210589B2|2012-10-09|2015-12-08|At&T Intellectual Property I, L.P.|Geocast protocol for wireless sensor network|
    US9727720B2|2012-11-30|2017-08-08|Certicom Corp.|Challenge-response authentication using a masked response value|
    US9369290B2|2012-11-30|2016-06-14|Certicom Corp.|Challenge-response authentication using a masked response value|
    US9660745B2|2012-12-12|2017-05-23|At&T Intellectual Property I, L.P.|Geocast-based file transfer|
    US20150381368A1|2014-06-27|2015-12-31|William A. Stevens, Jr.|Technologies for secure offline activation of hardware features|
    US9626531B2|2014-11-18|2017-04-18|Intel Corporation|Secure control of self-encrypting storage devices|
    US10581620B2|2016-11-14|2020-03-03|Integrity Security Services Llc|Scalable certificate management system architectures|
    JP2019537179A|2016-11-14|2019-12-19|インテグリティ セキュリティ サービシーズ エルエルシー|Secure provisioning and management of equipment|
    US10657239B2|2017-05-25|2020-05-19|Oracle International Corporation|Limiting access to application features in cloud applications|
    US20190227876A1|2019-03-30|2019-07-25|Sean Dardis|Methods and apparatus for in-field mitigation of firmware failures|
    法律状态:
    2012-10-23| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121022 |
    2013-01-19| A601| Written request for extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130118 |
    2013-01-28| A602| Written permission of extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130125 |
    2013-02-09| A521| Written amendment|Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130208 |
    2013-05-27| A02| Decision of refusal|Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130524 |
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]