[发明专利]用于对受限装置进行符号执行的方法

说明书

一种对装置进行信任供应的方法，包括：由硬件安全模块(HSM)接收指令表，所述指令表被配置成产生信任供应信息；由所述HSM对所述指令表执行约束检查，所述约束检查包括执行所述指令表的符号执行；接收机密输入；在所述指令表通过所述约束检查时，由所述HSM对所述机密输入执行所述指令表；由所述HSM输出信任供应信息。

技术领域

本文中所描述的各个示例性实施例大体上涉及一种用于对受限装置进行符号执行的方法。

背景技术

在信任供应过程期间，制造商在交货前在所制造的装置与客户之间建立秘密。这个过程通常取决于来自客户和装置制造商的用于获得待置于装置上的秘密的长期秘密输入，即，存在处理这些长期秘密输入并提供装置秘密作为输出的部件。这个部件通常是硬件安全模块(HSM)。

这一情境中的主要威胁在于，HSM通过其输出泄露关于长期秘密的信息。这可能以各种方式发生，包括意外地(编程错误)或恶意地(恶意制作的程序)。因此，在多种情况下，对HSM代码的彻底检查(用最终认证)必须在其可被制造商用于信任供应之前完成。在认证的情况下，HSM的编程是固定的。然而，所需编程对于每位客户而言通常是不同的，这需要大量的评估和认证精力。

发明内容

下文中呈现了各个示例性实施例的简要总结。可以在以下总结中做一些简化和省略，这旨在突出和介绍各个示例性实施例的一些方面，而并非限制本发明的范围。足以允许本领域普通技术人员制造和使用本发明概念的示例性实施例的详细说明将在后面的章节中。

各个示例性实施例涉及一种对装置进行信任供应的方法，包括：由硬件安全模块(HSM)接收指令表，所述指令表被配置成产生信任供应信息；由所述HSM对所述指令表执行约束检查，所述约束检查包括执行所述指令表的符号执行；接收机密输入；在所述指令表通过所述约束检查时，由所述HSM对所述机密输入执行所述指令表；由所述HSM输出信任供应信息。

进一步地，各个示例性实施例涉及一种对装置进行信任供应的方法，包括：由第一硬件安全模块(HSM)接收指令表，所述指令表被配置成产生信任供应信息；接收机密输入；由所述第一HSM对所述指令表执行约束检查，所述约束检查包括执行所述指令表的符号执行；在所述指令表通过所述约束检查时，由所述第一HSM对所述指令表进行加密和签名；由所述第一HSM将所述经加密和签名的指令表发送到第二HSM；由所述第二HSM对所述经加密和签名的指令表进行解密和认证；在所述指令表通过约束检查时，由所述第二HSM对所述机密输入执行所述经解密的指令表；由所述第二HSM输出信任供应信息。

进一步地，各个示例性实施例涉及一种非暂态机器可读存储介质，用指令进行编码以由硬件安全模块(HSM)执行，所述非暂态机器可读存储介质包括：用于由所述HSM对所述指令表执行约束检查的指令，所述约束检查包括执行所述指令表的符号执行；用于接收机密输入的指令；用于在所述指令表通过所述约束检查时由所述HSM对所述机密输入执行所述指令表的指令；用于由所述HSM输出信任供应信息的指令。

描述了各个实施例，进一步包括接收对所述指令表进行的所述约束检查所使用的指令定义和约束。

描述了各个实施例，其中所述接收到的指令定义和约束已使用形式模型进行验证以验证所述接收到的指令定义和约束满足规定的安全要求，其中所述形式模型由自动化定理证明器来验证。

描述了各个实施例，其中所述机密输入包括待信任供应的产品的制造商的机密信息和接收所述待信任供应的产品的客户的机密信息。

描述了各个实施例，其中所述HSM是计算受限装置。

描述了各个实施例，其中所述指令表的所述符号执行跟踪所述指令表所使用的任何参数的机密等级。

描述了各个实施例，其中指令的输出的机密等级与到所述指令的输入的机密等级以及所述指令的定义相对应。