电子芯片及配置此类电子芯片的方法与流程

1.本发明涉及电子设备的电子芯片。更具体而言，本发明涉及一种电子设备的电子芯片以及以安全敏感型配置数据配置此类电子芯片的方法。


背景技术：

2.智能手机、平板电脑以及其他类型的消费电子设备或物联网(iot)设备之类的现有技术电子设备的生产与组装通常以分散的方式进行，其中，包括消费电子设备的电子芯片在内，各种电子部件的制造、配置或个性化设置以及最终组装在不同地点由不同方完成。例如，电子设备的电子芯片最初可由芯片制造商制造，然后由另一方配置加密密钥和/或固件之类的安全敏感型配置数据，之后由电子设备制造商(如oem)组装于终端产品内。类似问题也可发生于系统内编程(isp)，也称电路内串行编程(icsp)情形，其中，电子部件可在已安装于电子设备内的状态下进行编程，即向其配置安全敏感型配置数据，而非要求电子部件(如电子芯片)在安装于电子设备内之前进行编程。
3.对于非安全敏感型配置数据，配置装置(也称“编程器”)可通过通信接口与电子芯片的非易失性存储器(尤其闪存)通信(无需与电子芯片的cpu或微控制器交互)，并将数据直接写入电子芯片的闪存。
4.然而，对于安全敏感型数据的配置，此类数据一般必须以加密形式从配置装置(即编程器)传递至电子芯片。该加密配置数据必须先在电子芯片内解密，才能以可执行形式保存于电子芯片的非易失性存储器内。极其普遍地，安全敏感型数据利用基于区块的加密方案加密和解密。相应地，该数据在电子芯片内的处理一般包括如下基于区块的步骤：(a)将加密区块传递至电子芯片内的本地易失性存储器内；(b)(例如，由电子芯片的主cpu)对加密区块在本地易失性存储器内进行解密；以及(c)将解密区块以可执行形式写入电子芯片的永久性存储器。所有的这些均要求电子芯片的主cpu在配置过程中一直处于操作状态(要么直接进行区块的解密，要么对电子芯片通用硬件加速器之间的信息流动进行控制)。因此，现有电子芯片配置过程较为耗时，进而导致生产成本增大。


技术实现要素：

5.因此，本发明的目的在于提供一种能够实现电子芯片的安全高效配置的电子芯片以及此类电子芯片的配置系统和方法。
6.以上及其他目的由以下技术方案实现，其他实施形式根据说明书及附图变得显而易见。
7.根据第一方面，提供一种用于以安全敏感型配置数据配置的电子芯片。该电子芯片包括通信接口，该通信接口用于以加密形式从配置装置接收所述安全敏感型配置数据的多个区块。该电子芯片还包括非易失性存储器，该非易失性存储器用于例如以可执行的解密形式存储所述安全敏感型配置数据的所述多个区块。此外，该电子芯片还包括处理电路，该处理电路用于基本并行地执行多项操作。所述多项操作包括将所述安全敏感型配置数据
的所述多个区块中的第一加密区块解密的第一操作以及将所述安全敏感型配置数据的所述多个区块中的第二解密区块写入所述非易失性存储器中的第二操作。
8.在一种实施方式中，所述多项操作还包括通过自所述通信接口向所述处理电路提供所述安全敏感型配置数据的所述多个区块中的第三加密区块而将所述安全敏感型配置数据的所述多个区块中的该第三加密区块解密的第三操作。
9.在一种实施方式中，所述电子芯片还包括用于在所述通信接口、所述处理电路以及所述非易失性存储器之间传递所述安全敏感型配置数据的所述多个区块的通信总线。
10.在一种实施方式中，所述电子芯片还包括易失性存储器，其中，该易失性存储器包括多个缓冲器，如至少四个缓冲器，每一缓冲器用于暂时性地存储所述安全敏感型配置数据的所述多个区块中的所述第一加密区块、所述安全敏感型配置数据的所述多个区块中的所述第二解密区块以及所述安全敏感型配置数据的所述多个区块中的所述第三加密区块当中的一者。
11.在一种实施方式中，所述电子芯片还包括缓冲多路复用器，该缓冲多路复用器用于在该电子芯片的所述多个缓冲器、所述通信接口、所述处理电路以及的所述非易失性存储器之间分配所述安全敏感型配置数据的所述多个区块。
12.在一种实施方式中，所述电子芯片还包括易失性存储器，其中，该易失性存储器包括两个fifo缓冲器，每一fifo缓冲器用于暂时性地存储所述安全敏感型配置数据的所述多个区块中的所述第一加密区块、所述安全敏感型配置数据的所述多个区块中的所述第二解密区块以及所述安全敏感型配置数据的所述多个区块中的所述第三加密区块当中的至少二者。
13.在一种实施方式中，所述电子芯片还包括用于在该电子芯片配置后使该电子芯片失去配置能力的熔丝装置。
14.在一种实施方式中，如上所述，所述处理电路用于将所述安全敏感型配置数据的所述多个区块中的所述第二解密区块以解密形式存储于所述非易失性存储器内。在另一实施方式中，所述处理电路用于(例如通过针对具体芯片的特定密钥)对所述安全敏感型配置数据的所述多个区块中的所述第二解密区块重新加密，并将所述安全敏感型配置数据的所述多个区块中的所述第二解密区块以重新加密形式存于所述非易失性存储器内。
15.根据第二方面，提供一种以来自配置装置的安全敏感型配置数据配置电子芯片的方法。该方法包括如下步骤：
16.由所述电子芯片的通信接口以加密形式从配置装置接收所述安全敏感型配置数据的多个区块；
17.基本并行地执行多项操作，其中，所述多项操作包括由所述电子芯片的处理电路将所述安全敏感型配置数据的所述多个区块中的第一加密区块解密的第一操作以及将所述安全敏感型配置数据的所述多个区块中的第二解密区块写入所述电子芯片的所述非易失性存储器中的第二操作。
18.在一种实施方式中，所述多项操作还包括通过自所述通信接口向所述处理电路提供所述安全敏感型配置数据的所述多个区块中的第三加密区块而将所述安全敏感型配置数据的所述多个区块中的该第三加密区块解密的第三操作。
19.在一种实施方式中，所述方法还包括在所述电子芯片与所述配置装置之间建立安
全会话。
20.本发明的实施方式可实施为硬件和/或软件。
附图说明
21.以下结合附图，对本发明其他实施方式进行描述。附图中：
22.图1为根据本发明一种实施方式包括配置控制装置及用于配置电子芯片的配置装置的配置系统示意图；
23.图2a所示为以安全敏感型配置区块对现有电子芯片进行的配置；
24.图2b所示为以安全敏感型配置区块对根据一种实施方式的电子芯片进行的配置；
25.图3为根据一种实施方式的电子芯片结构示意图；
26.图4为根据另一实施方式的电子芯片结构示意图；
27.图5为根据一种实施方式以安全敏感型配置区块对根据一种实施方式的电子芯片进行配置的配置方法流程图。
28.附图中，以相同的附图标记标注相同或至少在功能上同等的构件。
具体实施方式
29.以下详细描述将参考附图，这些附图构成本公开的一部分，而且以说明方式示出了可供本发明实施的各个具体方面。应该理解的是，在不脱离本发明范围的前提下，还可采用其他方面，并且可以在结构或逻辑上做出变化。因此，以下具体描述不应视为构成限制，本发明的范围由下附权利要求书限定。
30.举例而言，应该理解的是，结合某一方法描述的公开内容还可适用于用于实施该方法的相应装置或系统，反之亦然。例如，假如以下描述了某一具体方法步骤，则即使文中未明确叙述或者附图中未明确示出，相应装置也可包括用于执行所描述的方法步骤的单元。此外，应该理解的是，除非另外特别指出，否则本文所述的各种例示方面的特征可彼此组合。
31.图1为本发明实施方式的用于配置多个电子芯片170的配置系统100的示意图。配置系统100可包括配置控制装置140，远程服务器110，安全服务器120以及用于以安全敏感型配置数据150(如电子密钥、证书和/或配置数据，尤其寄存器设置内容)对电子芯片或微处理器170进行配置或个性化设置的配置装置160(也称“编程器”160)，以下将对此进行进一步详细描述。
32.如图1所示，配置控制装置140，远程服务器110以及安全服务器120可用于经互联网之类的通信网络彼此通信。因此，配置控制装置140，远程服务器110以及安全服务器120可设于不同地点，并且处于不同方或不同实体的控制之下。如图1所示，配置控制装置140和配置装置160可位于个性化设置工厂130之类的生产环境130内。在一种实施方式中，远程服务器110可处于电子设备制造商(如oem)的控制之下，或者与其相关联，其中，电子设备制造商利用由配置装置160以安全敏感型配置数据配置的电子芯片或微处理器170，对智能手机、平板电脑或其他类型的物联网或消费电子设备之类的电子设备进行组装。
33.在一种实施方式中，配置控制装置140、远程服务器110及安全服务器120用于通过公钥基础设施和/或混合密码方案之类的一个或多个密码方案彼此安全通信。在一种实施
方式中，配置控制装置140可处于安全服务器120的远程控制之下。
34.配置控制装置140用于与配置装置160连接(例如，通过有线或无线连接)。在一种实施方式中，配置装置160可实施为个人计算机(pc)，而配置控制装置140可实施为插于配置装置160内的pc卡。配置装置160可包括用于与电子芯片170直接交互或经配置设备间接交互的电气和/或机械接口。例如，配置装置160可包括个性化设置盘，用于对插入其中的一批电子芯片170进行个性化设置。
35.在图1所示实施方式中，配置控制装置140可包括处理器141，通信接口143以及非易失性存储器145。配置控制装置140的通信接口143用于以安全方式向配置装置160提供配置数据150，以供配置数据150存储于电子芯片170内。以下，将进一步结合图2，对此进行进一步详细描述。
36.在一种实施方式中，配置控制装置140的通信接口143用于从远程oem服务器110或安全服务器120接收配置数据150。在一种实施方式中，配置控制装置140的通信接口143还用于以加密形式接收配置数据150的至少一部分。在一种实施方式中，配置控制装置140的处理器141用于生成配置数据150的至少一部分。在一种实施方式中，安全敏感型配置数据150包括电子密钥、电子密钥证书以及/或者配置数据，尤其电子芯片170的一个或多个寄存器的设置内容。
37.图2a所示为以安全敏感型配置区块对现有电子芯片进行配置。如上所述，安全敏感型数据可通过基于区块的加密方案加密及解密。相应地，该数据在电子芯片内的处理一般包括如下基于区块的配置步骤(在会话建立201a之后进行，该会话建立可能涉及安全密钥的建立)：(a)将加密区块传递至电子芯片内的本地易失性存储器内(例如，在处理阶段1a内传递区块1，在处理阶段2a内传递区块2，依此类推)；(b)由现有电子芯片的主cpu对加密区块在本地易失性存储器内进行解密(例如，在处理阶段1b内解密区块1，在处理阶段2b内解密区块2，依此类推)；以及(c)将解密区块以可执行形式写入现有电子芯片的永久性存储器(例如，在处理阶段1c内写入区块1，在处理阶段2c内写入区块2，依此类推)。这些配置步骤(a)、(b)及(c)重复进行，并可在会话终止阶段203a完成。所有的这些均要求现有电子芯片的主cpu在整个配置过程中一直处于操作状态(要么直接进行区块的解密，要么对电子芯片通用硬件加速器之间的信息流动进行控制)。从图2a可以看出，现有电子芯片配置过程较为耗时，进而导致生产成本增大。
38.图2b所示为以安全敏感型配置数据150的区块对一种实施方式的电子芯片170进行配置的过程。图3和图4更加详细地示出两种实施方式中用于实施图2b所示配置过程的电子芯片170的结构。电子芯片170的通信接口173用于从配置装置160以加密形式接收(在会话建立201b后接收，该会话建立可能涉及安全密钥的建立)所述安全敏感型配置数据150的所述多个区块，电子芯片170的非易失性存储器175用于例如以可执行的解密形式存储所述安全敏感型配置数据150的所述多个区块，以下将在图2b、图3及图4背景下，对此进行进一步详细描述。
39.如图2b所示，电子芯片170的处理电路171用于基本并行地执行多项操作，这些操作包括对所述安全敏感型配置数据150的所述多个区块中的第一加密区块进行解密的第一操作(例如，在处理阶段1b内解密区块1，在处理阶段2b内解密区块2，依此类推)，以及将所述安全敏感型配置数据150的所述多个区块中的第二解密区块写入电子芯片的非易失性存
储器175内的第二操作(例如，在处理阶段1c内写入区块1，在处理阶段2c内写入区块2，依此类推)。在一种实施方式中，处理电路171可用于将所述安全敏感型配置数据150的所述多个区块中的第二解密区块重新加密，并将所述安全敏感型配置数据150的所述多个区块中的第二解密区块以重新加密形式存储于非易失性存储器175内。
40.在图2b所示实施方式中，所述多项操作还包括自通信接口173向处理电路171提供所述安全敏感型配置数据150的所述多个区块中的第三加密区块的相应第三操作(例如，在处理阶段1a内提供区块1，在处理阶段2a内提供区块2，依此类推)，以供所述安全敏感型配置数据150的所述多个区块中的第三加密区块进行解密。从图2b可以看出，此类处理阶段/操作基本并行执行，从而使得整个配置过程所花费的时间远短于图2a所示现有电子芯片配置过程所花费的时间。
41.如上所述，图3和图4更加详细地示出两种实施方式中用于实施图2b所示更有优势的配置过程的电子芯片170的结构。在图3和图4所示实施方式中，电子芯片170包括流水线处理单元180(或“流水线处理器”180)，该单元可实施为硬件和/或软件，并且包括流水线处理控制器181。在一种实施方式中，流水线处理控制器181可由作为电子芯片170处理电路171一部分的cpu 171a实施为状态机。在一种实施方式中，流水线处理控制器181用于经通信接口173和编程器控制器174接收和处理来自配置装置(即编程器160)的请求(如指令)。如图3和图4所示，流水线处理控制器181用于控制分别执行相应电子芯片170配置阶段的三个逻辑单元或处理级，即接收单元186，解密单元187以及写入单元188。以下，将进一步详细描述这些单元的功能。在一种实施方式中，接收单元186、解密单元187及/或写入单元188可至少部分由电子芯片170的cpu 171a实现。
42.接收单元186用于经通信接口173(本文中也称调试接口173)，并还可能经编程器控制器174，从编程器160接收第一加密区块。在一种实施方式中，编程器控制器174可以为独立的硬件部件或至少部分由电子芯片170的cpu 171a实现，并且可用于检验所述区块的完整性(即检验其是否正确传递至电子芯片170)，并经通信接口173向编程器160反馈报告其中的状态。
43.在图3所示实施方式中，解密单元187用于以共享会话密钥189或利用共享会话密钥189传递至电子芯片170的密钥对(接收单元186成功接收的)加密配置区块进行解密。解密后所得的解密配置数据(即“明文”配置数据)(由流水线处理控制器181)传递至写入单元188。
44.在图3所示实施方式中，写入单元188用于在流水线处理控制器181的控制下，将解密单元187提供的解密配置数据(即“明文”配置数据)传递至电子芯片170的非易失性存储器175，并将该数据以能够被电子芯片170的处理器171执行的方式存入其中。在一种实施方式中，这一过程可包括对非易失性存储器175的写入限制(例如，需满足的访问条件和访问时机)进行处理，如上所述，在另一实施方式中，解密单元187提供的“明文”配置数据可以以重新加密形式存入非易失性存储器175。
45.为了实现正确的操作，必须将配置数据150在编程器160、流水线处理单元180的三个主要处理级(即接收处理级/单元186、解密处理级/单元187以及写入处理级/单元188)以及电子芯片170的非易失性存储器175之间传递。如上所述，根据本发明实施方式，这一传递的方式不阻碍流水线处理单元180的三个独立处理级的操作，因此也不会减慢此类操作，从
而使得其能够实现真正的并行操作。此外，本文公开的各实施方式能够最大程度地减小电子芯片170内数据拷贝导致的开销。
46.在图3所示实施方式中，流水线处理单元180包括缓冲多路复用器185以及多个便笺式存储器182a～182d(在图3和下文中，也称为ram缓冲器182a～182d)。在一种实施方式中，流水线处理单元180可包括至少四个便笺式存储器182a～182d。每一便笺式存储器182a～182d可由流水线处理单元180实现的三个主要处理级(即接收处理级186、解密处理级187及写入处理级188)单独使用或者成对使用。在操作过程中的任何时间点上，接收处理级186可使用一个ram缓冲器182a～182d，解密处理级187可使用两个ram缓冲器182a～182d，写入处理级188可使用一个ram缓冲器182a～182d。
47.缓冲多路复用器185用于确保，在某个时间点上，至少四个ram缓冲器182a～182d当中的每一个仅可由流水线处理单元180实现的三个主要处理级(即接收处理级186、解密处理级187及写入处理级188)当中的一个访问。这一过程由流水线处理单元180控制，以确定哪一处理级能够访问哪一缓冲器182a～182d，从而不但确保同一时间点上没有多个处理级访问同一缓冲器，而且确保数据在各个处理级之间按照正确顺序移动。
48.图4所示为图3所示流水线处理单元180实施方式的一种变形实施方式，其中，在流水线处理单元180的三个主要处理级186，187，188之间，以两个专用本地先进先出(fifo)缓冲器184a，184b代替图3所示实施方式中的至少四个ram缓冲器182a～182d。在一种实施方式中，为了防止对用于配置的流水线处理造成阻碍，每一本地fifo缓冲器184a，184b的大小至少为配置区块的两倍。
49.下文中，将进一步详细描述图3和图4所示实施方式中电子芯片170的配置方式。
50.配置装置160建立与电子芯片170的安全通信通道。可以理解的是，此类安全通信通道建立方面的细节可取决于电子芯片170的具体类型，但可包括如下处理步骤。
51.配置装置160(即编程器160)经通信接口173向电子芯片170内的编程器控制器174发送建立安全会话的请求。
52.编程器控制器174令cpu 171a实现并启动安全会话。为此目的，电子芯片170的cpu 171a对用于实现安全会话的程序代码进行处理。在一种实施方式中，如图3所示，安全会话程序代码可以为可由加载器177处理的安全会话加载器可执行图像。在一种实施方式中，由加载器177处理的安全会话加载器可执行图像可存于非易失性存储器175内。电子芯片170可进一步包括用于在通信接口173、cpu 171a及非易失性存储器175之间传递所述安全敏感型配置数据150的所述多个区块的通信总线172。
53.另外，电子芯片170的处理电路171的cpu 171a与配置装置160可进行相互验证，并建立共享会话密钥189。这一点可通过令cpu 171a和配置装置160之间经通信接口173和编程器控制器174交换命令和应答的方式完成。
54.进一步地，配置装置160及电子芯片170的cpu 171a可在安全会话过程中商定配置参数，如待由配置装置160提供的安全敏感型配置数据150的所述区块的数量和/或大小。
55.在一种实施方式中，配置数据150可最初以配置数据150的图像的形式提供给配置装置160。在一种实施方式中，配置装置160可进一步用于确保待传递给电子芯片170的图像或配置数据150被分割成配置数据150的所述多个区块，以使得每一区块不超出电子芯片170的加载器177所要求的最大尺寸。这一最大区块尺寸可作为电子芯片170规格的一部分，
或者在配置装置160与电子芯片170之间建立的会话过程中确定。在一种实施方式中，配置装置160可用于将所述图像本身分割为多个图像块，或者以预先分割的形式(即多个图像块的形式)接收所述图像。
56.电子芯片170的处理电路171的cpu 171a可对流水线处理单元180的各部件进行启动和重置。例如，在图3所示实施方式中，电子芯片170的cpu 171a可将至少一个ram缓冲器182a～182d设置为用于接收安全敏感型配置数据150中的第一加密区块且对接收单元186进行启用。
57.此外，cpu 171a可向流水线处理单元180传递配置信息176。在一种实施方式中，该配置信息176可包括会话密钥189以及配置参数信息，如与提供给流水线处理控制器181的安全敏感型配置数据150的所述区块的数量和/或大小相关的信息。
58.此外，电子芯片170的cpu 171可以告知配置装置160：安全会话已经建立；可以开始配置数据150的区块的传递。配置装置160可从所述图像获取配置数据150的第一区块，将该第一区块提供给电子芯片170，并且一直重复这一过程，直至整个图像均已提供给电子芯片170。
59.更具体而言，在已经建立安全会话，而且已经开始从配置装置160向电子芯片170传递安全敏感型配置数据150的区块后，如图2b所示，流水线处理单元180的每一处于操作状态下的主要处理级均用于独立且并行地每次处理安全敏感型配置数据150的一个区块。
60.在一种实施方式中，流水线处理单元180的每一处理级(即接收处理级186、解密处理级187及写入处理级188)用于向流水线处理控制器180反馈报告状态信息。该状态信息可包含与每一处理级186，187，188所处理和传递的配置数据150的区块数目相关的信息，配置数据150的区块已完全处理的确认信息以及/或者错误指示信息。
61.对于图3所示实施方式，各操作由流水线处理控制器181控制，并以“完成后打勾确认”的方式运行。当流水线处理单元180的所有三个处于工作状态的主要处理级(即接收处理级186、解密处理级187及写入处理级188)已分别完成其对当前处理的安全敏感型配置数据150的区块的相应操作后，即视为实现“完成后打勾确认”。“打勾确认”后，流水线处理控制器180对ram缓冲多路复用器185进行重新配置，并随后触发流水线处理单元180的三个主要处理级(即接收处理级186、解密处理级187及写入处理级188)分别对流水线内安全敏感型配置数据150的相应的下一区块进行处理(假设流水线内仍有足够的配置数据150，也就是说上述部件仍未处理完所有的区块)。在一种实施方式中，对于接收处理级186，该过程可包括：告知已接收到最后一个区块。
62.在图4所示(使用两个ram fifo缓冲器184a，184b的)实施方式中，流水线处理单元180的三个主要处理级(即接收处理级186、解密处理级187及写入处理级188)当中的每一处理级可比图3所示实施方式更为独立地操作，也就是说，更少要求受流水线处理控制器181的控制。通常情况下，在图4所示实施方式中，流水线处理单元180的三个主要处理级仅在当输入缓冲器中存在待处理的完整区块且输出缓冲器中存在能够存储完整结果的空间时才执行操作。
63.更具体而言，在一种实施方式中，在流水线处理单元180按照上述方式启动以及接收单元186也相应启动后，其输出缓冲器(即第一ram fifo缓冲器184a)为空。因此，接收单元186能够经通信接口173(并可能经编程器控制器174)从配置装置160接收配置数据150。
三词仅旨在举例，并不表示最佳或最优。以上可能使用了“连接”和“相连”两词及其派生词。应该理解的是，这些词旨在表示，两个元件彼此协作或相互作用，与其是否直接物理接触或电学接触无关，也与其是否未直接接触无关。
73.虽然本文图示且描述了特定方面，但是本领域普通技术人员可以理解的是，在不脱离本公开内容范围的情况下，图示和本文描述的特定方面能够以各种替代实施方案和/或等同实施方案代替。本技术旨在涵盖本文所述具体方面的任何修饰或变化形式。
74.虽然下附权利要求中的元素以相应标记和特定顺序描述，但是除非权利要求文中暗示这些元素中的部分或全部须以特定顺序实施，否则这些元素旨在并非必须限制为按照所描述的特定顺序实施。
75.根据以上说明内容，许多替代方案、修改方案以及变更方案对于本领域技术人员而言是显而易见的。当然，本领域技术人员将易于认识到，除了本文所述之外，本发明还有众多其他应用。虽然本发明已在上文中参考一种或多种具体实施方式进行了描述，但是本领域技术人员可意识到的是，在不脱离本发明范围的前提下，还可对其做出多种变化。因此，需要理解的是，在下附各权利要求及其等同之物的范围内，本发明还能够以本文具体描述之外的其他方式实施。