專利名稱:用于安全系統(tǒng)的雙處理器結(jié)構(gòu)的制作方法
用于安全系統(tǒng)的雙處理器結(jié)構(gòu)
背景技術(shù):
本發(fā)明涉及用以防止對存儲(chǔ)于電子電路中的信息的存取的保護(hù)方案����。
安全集成電路卡(通常被稱為智能卡)可為足夠小以配合于用戶的口袋中的嵌入式 集成電路硬件裝置的形式。智能卡可用于許多必須存儲(chǔ)及共享敏感信息的情形中。舉例 而言�����,促進(jìn)計(jì)次付費(fèi)(pay-per-view)或視頻點(diǎn)播(video-on-demand)特征的機(jī)頂盒可 使用智能卡來將用戶賬戶信息連同對這些特征的存取請求一起供應(yīng)給提供商����,并隨后解 密響應(yīng)于所述請求而提供的加密數(shù)字視頻流。作為另一實(shí)例�����,全球移動(dòng)通信系統(tǒng)(GSM) 電話中的用戶身份模塊(SIM)卡可用于存儲(chǔ)用戶的個(gè)人信息���,例如��,其電話簿���、裝置 偏好、首選網(wǎng)絡(luò)����、已保存的文本或語音消息,及服務(wù)提供商信息���。SIM卡允許用戶(例 如)更換手持機(jī)�,同時(shí)保留其在SIM卡上的所有信息。智能卡可用于許多應(yīng)用(例如�, 包括專用自動(dòng)借記裝置的電子付費(fèi)系統(tǒng)(例如,公共交通卡)��,及個(gè)人識(shí)別證件(例如����, 護(hù)照���、駕駛執(zhí)照及醫(yī)療識(shí)別卡))中���。
由于安全上的考慮,可使用加密標(biāo)準(zhǔn)或算法來保護(hù)智能卡上的敏感信息�。舉例而言, 數(shù)字加密標(biāo)準(zhǔn)(DES)可用于通過56位的密鑰對信息加密�����。對私人數(shù)據(jù)的存取僅密鑰的 持有者可獲得��。此標(biāo)準(zhǔn)的新近更新(例如���,三重ES (Triple-DES)及高級加密標(biāo)準(zhǔn)(AES)) 可提供甚至更為復(fù)雜(并安全)的加密密鑰算法���。另一實(shí)例標(biāo)準(zhǔn)為RSA (源自其三個(gè)創(chuàng) 造者的姓氏Rivest (芮韋斯特)�、Shamir (莎米爾)及Adleman (艾德曼)的首字母縮寫)��, 其為通過私用密鑰解密的公用密鑰加密標(biāo)準(zhǔn)���。由于存儲(chǔ)于智能卡上并由所述智能卡保護(hù) 的信息的價(jià)值�,黑客可能會(huì)采用各種技術(shù)以毀壞或繞過用于保護(hù)智能卡上的敏感信息的 各種加密算法�����。這些技術(shù)通常被分為入侵攻擊及非入侵攻擊���。
舉例而言����,黑客可磨掉智能卡封裝的一部分以便于存取內(nèi)部信號(hào)并繞過可能已采用
的安全措施�����。作為另一實(shí)例�,黑客可使智能卡經(jīng)受各種輻射(例如���,射向暴露的內(nèi)部電 路的激光或射向并穿過封裝的x射線或伽馬(gamma)輻射)以試圖破壞受保護(hù)數(shù)據(jù)。 在某些實(shí)施方案中����,裝置中某些位置處的受保護(hù)數(shù)據(jù)受到破壞可導(dǎo)致裝置繞過安全措施 (例如,加密算法)或?qū)㈥P(guān)于裝置結(jié)構(gòu)或受保護(hù)數(shù)據(jù)本身的信息產(chǎn)生給黑客����。
智能卡也可能經(jīng)受例如代碼還原工程的攻擊。在還原工程攻擊中�,黑客的目標(biāo)是研 究智能卡存儲(chǔ)器中的嵌入式指令及數(shù)據(jù)(或"代碼"),以便于在容易得到的編程裝置上仿制智能卡功能性�����。通常將例如存儲(chǔ)器加密及植入式只讀存儲(chǔ)器(ROM)的硬件防范措 施實(shí)施于安全微控制器上以防止此代碼還原工程���。然而,智能卡的中央處理單元(CPU) 通常對全部程序存儲(chǔ)器內(nèi)容進(jìn)行未加密存取����,且可經(jīng)操縱以輸出存儲(chǔ)器的全部內(nèi)容。一 旦從裝置中提取敏感信息����,便可將所述信息用于各種邪惡目的��。舉例而言��,黑客可使用 另一用戶的賬戶來獲得計(jì)次付費(fèi)或視頻點(diǎn)播服務(wù)����;黑客可存取向另一用戶收帳的電信服 務(wù)���;黑客可偷取另一用戶的銀行賬戶資金���;黑客可偷取另一個(gè)人的身份;等等�����。
發(fā)明內(nèi)容
一般而言�,本說明書中所描述的標(biāo)的物的一方面可以一種包括經(jīng)配置以執(zhí)行無需操 縱敏感信息的任務(wù)的第一中央處理單元(CPU)的系統(tǒng)來實(shí)施。第二CPU經(jīng)配置以代表 所述第一CPU執(zhí)行操縱敏感信息的任務(wù)��。第一CPU及第二CPU可經(jīng)由安全接口而通信�����。 且第一 CPU不能存取第二 CPU內(nèi)的敏感信息。
這些及其它實(shí)施例可任選地包括以下特征中的一者或一者以上���。第二 CPU包括以
下各者中的一者或一者以上相對于第一CPU的單獨(dú)電源����、相對于第一CPU的單獨(dú)時(shí)
鐘系統(tǒng)���、相對于第一 CPU的單獨(dú)程序及數(shù)據(jù)存儲(chǔ)器�、專用模擬傳感器或硬件屏蔽��。敏
感信息是一個(gè)或一個(gè)以上密碼密鑰�。經(jīng)由安全通信接口而發(fā)送的數(shù)據(jù)經(jīng)過加密或數(shù)字簽
名(digitally signed)。第一 CPU不能通過安全通信接口而直接控制第二 CPU��。
大體而言�,本說明書所描述的標(biāo)的物的另一方面可以一種包括第一中央處理單元 (CPU)及第二 CPU的系統(tǒng)來實(shí)施��。第二 CPU包括相對于第一 CPU的單獨(dú)電源及單獨(dú) 存儲(chǔ)器���。第一CPU及第二 CPU可通過安全通信接口而通信��,其中第一CPU不能通過所 述安全通信接口而直接控制第二CPU����。另外,第一CPU不能存取單獨(dú)存儲(chǔ)器中的信息�����。 這些及其它實(shí)施例可任選地包括以下特征中的一者或一者以上����。第二 CPU包括相 對于第一CPU的單獨(dú)時(shí)鐘系統(tǒng)。經(jīng)由安全通信接口而發(fā)送的數(shù)據(jù)經(jīng)過加密或數(shù)字簽名�����。 單獨(dú)存儲(chǔ)器含有一個(gè)或一個(gè)以上密碼密鑰���。第一CPU可向第二CPU提供加密信息����,第 二 CPU可使用所述一個(gè)或一個(gè)以上密碼密鑰來解密所述加密信息����。
大體而言,本說明書中所描述的標(biāo)的物的另一方面可以一種方法及程序產(chǎn)品來實(shí)
施,所述方法及程序產(chǎn)品包括在第一中央處理單元(CPU)處接收外部通信�。第一CPU 確定外部通信需要操縱敏感信息。由第一 CPU經(jīng)由安全通信接口而采用安全CPU以處 理外部通信�。安全CPU經(jīng)配置以執(zhí)行操縱敏感信息的任務(wù)。
這些及其它實(shí)施例可任選地包括以下特征中的一者或一者以上��。安全CPU包括以
下各者中的一者或一者以上相對于第一CPU的單獨(dú)電源���、相對于第一CPU的單獨(dú)時(shí)鐘系統(tǒng)���、相對于第一 CPU的單獨(dú)程序及數(shù)據(jù)存儲(chǔ)器、專用模擬傳感器或硬件屏蔽�����。敏 感信息是一個(gè)或一個(gè)以上密碼密鑰�。經(jīng)由安全通信接口而發(fā)送的數(shù)據(jù)經(jīng)過加密或數(shù)字簽 名。第一 CPU不能通過安全通信接口而直接控制安全CPU���。
可實(shí)施本說明書中所描述的標(biāo)的物的特定實(shí)施例以實(shí)現(xiàn)以下優(yōu)點(diǎn)中的一者或一者 以上����?���?稍谥骺谻PU上實(shí)施非安全應(yīng)用,且可在安全從屬CPU上實(shí)施安全應(yīng)用����。以此 方式,嵌入于主控CPU中的各種應(yīng)用不需要實(shí)施從屬功能性��。對抗黑客攻擊的硬件措 施無需在主控CPU中實(shí)施���。除非通過安全接口���,否則可能經(jīng)受黑客攻擊的主控CPU無 法直接存取從屬CPU。主控CPU將不能存取從屬CPU上的數(shù)據(jù)�、處理方法或軟件算法。 從屬CPU包括硬件屏蔽以防受到黑客攻擊���。經(jīng)由安全接口而管理主控CPU與從屬CPU
之間的數(shù)據(jù)交換��。經(jīng)由安全接口而發(fā)送的數(shù)據(jù)可經(jīng)加密�����、簽名或既經(jīng)加密又經(jīng)簽名�。
在下文的隨附圖式及實(shí)施方式中闡述一個(gè)或一個(gè)以上實(shí)施例的細(xì)節(jié)。通過實(shí)施方 式�、圖式及權(quán)利要求書,其它特征����、方面及優(yōu)點(diǎn)將變得顯而易見。
圖l展示用于智能卡的現(xiàn)有技術(shù)單處理器系統(tǒng)的實(shí)例�。
圖2展示用于智能卡或其它裝置的安全雙處理器系統(tǒng)的實(shí)例。 圖3A及圖3B為可與雙處理器系統(tǒng)一起使用的實(shí)例智能卡的方框圖��。 圖4為用于與從屬CPU通信的過程的流程圖�����。 各種圖式中的類似參考符號(hào)指示類似元件�。
具體實(shí)施例方式
圖1展示用于智能卡的現(xiàn)有技術(shù)單處理器系統(tǒng)100的實(shí)例。這些系統(tǒng)會(huì)經(jīng)受如上所
述的旨在獲得敏感信息的攻擊�����。敏感信息可包括數(shù)據(jù)(例如���,密碼密鑰)�、程序指令或
這些的組合���。單處理器系統(tǒng)100通常包括一可包括存儲(chǔ)器保護(hù)單元(MPU)的微處理器 核心102����、程序及數(shù)據(jù)存儲(chǔ)器104 (例如�,隨機(jī)存取存儲(chǔ)器、非易失性存儲(chǔ)器及只讀存 儲(chǔ)器)及密碼處理器或加速器106����。模擬區(qū)塊108可包括一般模擬黑客安全設(shè)備,例如���, 頻率監(jiān)視器�、電源監(jiān)視器���、溫度傳感器及電壓調(diào)節(jié)器�����。通信區(qū)塊IIO負(fù)責(zé)在單處理器系 統(tǒng)100與外界(例如�,機(jī)頂盒及蜂窩電話)之間進(jìn)行數(shù)據(jù)傳送�����。單處理器系統(tǒng)100也可 包括入侵防御系統(tǒng)(IP) 112以檢測各種黑客技術(shù),以使得單處理器系統(tǒng)IOO可采取防 范措施�����。
在單處理器系統(tǒng)100中�����,處理器核心102執(zhí)行操縱敏感信息(例如��,用于數(shù)據(jù)加密 及解密的密碼密鑰)的任務(wù)以及不涉及使用敏感信息的任務(wù)(例如��,與外界的數(shù)據(jù)交換)�����。此產(chǎn)生如下弱點(diǎn)可使用(例如)改變單處理器系統(tǒng)100的行為的錯(cuò)誤注入技術(shù)從所述 單處理器系統(tǒng)100獲得敏感信息����。然而,此弱點(diǎn)可經(jīng)由使用兩個(gè)CPU的"雙處理器" 系統(tǒng)而消除��,所述系統(tǒng)在受硬件屏蔽保護(hù)的安全從屬CPU上保持敏感信息���。
圖2展示用于智能卡或其它裝置的雙處理器系統(tǒng)200的實(shí)例����。系統(tǒng)200包括主控 CPU 202及安全從屬CPU 204。主控CPU 202用于執(zhí)行例如經(jīng)由通信區(qū)塊206與外部系 統(tǒng)進(jìn)行數(shù)據(jù)傳送的無需敏感信息的任務(wù)�����,而從屬CPU 204用于執(zhí)行操縱敏感信息的任 務(wù)�。在某些實(shí)施方案中�,主控CPU 202負(fù)責(zé)處理經(jīng)由通信區(qū)塊206接收的外部請求,并 經(jīng)由安全通信接口 208將涉及敏感信息的操縱的所得任務(wù)指派給從屬CPU 204���。在某些 實(shí)施方案中��,主控CPU 202����、安全從屬CPU204或此兩者包括可依據(jù)特定應(yīng)用而定制的 入侵防御系統(tǒng)210����。模擬區(qū)塊212可包括一般模擬黑客安全設(shè)備,例如��,頻率監(jiān)視器��、 電源監(jiān)視器、溫度傳感器及電壓調(diào)節(jié)器����。每一 CPU還包括一個(gè)或一個(gè)以上微處理器核 心(例如,224�、 222)以及程序及數(shù)據(jù)存儲(chǔ)器(例如,226����、 214)。
處理敏感信息的從屬CPU204受硬件屏蔽保護(hù)�����,所述硬件屏蔽包括將從屬CPU 204 與主控CPU 202或與外界隔離的保護(hù)�����。硬件保護(hù)可包括(但不限于)下表1中所列舉的 硬件保護(hù)�。
硬件保 護(hù)描述
單獨(dú)電 源單獨(dú)電源216提供與外部電源的電流隔離以及與主控CPU 202及芯片電源的 其余部分的電流隔離。單獨(dú)電源216防止施加于外部引腳上的功率閃信號(hào) (power glitch)傳播至從屬CPU 204��。
單獨(dú)時(shí) 鐘系統(tǒng)單獨(dú)時(shí)鐘系統(tǒng)218防止時(shí)鐘閃信號(hào)傳播至從屬CPU 204并允許從屬CPU 204 參與反差動(dòng)功率分析防范措施�����。
單獨(dú)程 序及數(shù) 據(jù)存儲(chǔ) 器從屬CPU 204中的單獨(dú)程序及數(shù)據(jù)存儲(chǔ)器214防止主控CPU 202直接地或在 受攻擊時(shí)讀取或修改從屬CPU 204上的信息。在某些實(shí)施方案中�,存儲(chǔ)器214 可包括允許檢測存儲(chǔ)器上的錯(cuò)誤注入攻擊的奇偶校驗(yàn)位。
專用模 擬傳感 器專用模擬傳感器220監(jiān)視從屬CPU 204的環(huán)境條件以尋找攻擊跡象���。
物理硬 件屏蔽封閉從屬CPU 204并任選地封閉主控CPU 202的物理屏蔽(例如�,金屬蓋) 可減少黑客將得以存取內(nèi)部信號(hào)或使從屬CPU 204經(jīng)受試圖破壞敏感信息的 各種輻射的可能性���。
表1
經(jīng)由安全接口 208而管理在主控CPU 202與從屬CPU 204之間的數(shù)據(jù)交換����。主控
8CPU 202可經(jīng)由安全接口 208而對從屬CPU 204做出處理請求�����。這些請求可"按原樣" 從外界接收�,且主控CPU 202在此種情況下可用作簡單的郵箱�����。在某些實(shí)施方案中�����,主 控CPU 202不能存取安全從屬CPU 204中的處理方法或信息。從屬CPU 204處理請求 并經(jīng)由安全接口 208將結(jié)果(如果存在的話)傳送至主控CPU 202����。
在某些實(shí)施方案中,安全接口也可具備處理狀態(tài)寄存器���、控制寄存器或這些的組合��。 為了防止安全從屬CPU 204易受到黑客經(jīng)由這些寄存器的攻擊���,在某些實(shí)施方案中定義 對這些寄存器的讀取/寫入存取,以使得在兩個(gè)處理器之間的任何鏈接僅用于交換輸入數(shù) 據(jù)及輸出結(jié)果的用途�����。在這些實(shí)施方案中�����,主控CPU202不能經(jīng)由寄存器控制從屬CPU 204��。在某些實(shí)施方案中�,處理器之間互動(dòng)嚴(yán)格地限于傳輸待處理的信息及取回結(jié)果。
在某些實(shí)施方案中,實(shí)施安全通信協(xié)議以保證主控CPU 202與從屬CPU 204之間經(jīng) 由安全接口 208的安全數(shù)字對話��。在其它實(shí)施方案中�,由主控CPU 202經(jīng)由安全接口 208發(fā)送至從屬CPU 204的數(shù)據(jù)經(jīng)數(shù)字簽名以允許從屬CPU 204在處理數(shù)據(jù)之前驗(yàn)證所 述數(shù)據(jù)的完整性。而且�,由從屬CPU 204發(fā)送至主控CPU 202的數(shù)據(jù)可同樣地經(jīng)數(shù)字簽 名。在某些實(shí)施方案中�,用從屬CPU 204已知的密鑰來加密從主控CPU 202對從屬CPU 204的請求。類似地���,對請求的響應(yīng)可經(jīng)數(shù)字簽名���、加密或既經(jīng)數(shù)字簽名又經(jīng)加密,并 被返回至主控CPU以傳輸至外界����,以使得主控CPU 202充當(dāng)從屬CPU 204與外界之間 的被動(dòng)管道�。
圖3A及圖3B為可用于實(shí)施雙處理器系統(tǒng)200的實(shí)例智能卡301A及301B的方框 圖。如圖所示����,每一實(shí)例智能卡301A或301B包括一主控CPU 202、 一從屬CPU 204 及一在兩者之間的安全通信接口 208�����。每一 CPU具有其自身的存儲(chǔ)器。主控CPU 202 具有存儲(chǔ)器308��,且從屬CPU 204具有存儲(chǔ)器313����。主控CPU 202不能存取從屬CPU 204 的存儲(chǔ)器313。存儲(chǔ)器308及存儲(chǔ)器313可表示多種不同種類的存儲(chǔ)器��,比如(例如) ROM或RAM�、快閃存儲(chǔ)器、DRAM���、 SRAM等等��。舉例而言����,在某些實(shí)施方案中����,用 于主控CPU 202的程序指令存儲(chǔ)于ROM上,且主控CPU 202使用某一形式的RAM以 在程序化指令被執(zhí)行時(shí)存儲(chǔ)中間數(shù)據(jù)���。
接口 311提供用于使智能卡301A或301B與比如(例如)智能卡讀取器314A或314B 的外部系統(tǒng)互動(dòng)的裝置��。在某些實(shí)施方案中�,接口 311結(jié)合包括(例如)RF (射頻)信 號(hào)的無線通信信道317A而工作,所述RF信號(hào)適用于特定通信協(xié)議(例如�,以ISO/IEC 14443或ISO 15693為特征的協(xié)議(ISO指國際標(biāo)準(zhǔn)化組織;IEC指國際電工技術(shù)委員 會(huì)))���。在某些實(shí)施方案中�����,接口 311結(jié)合有線通信信道317B而工作����,所述有線通信信 道317B適用于特定通信協(xié)議(例如���,以ISO/IEC 7816或ISO/IEC 7810為特征的協(xié)議)�����。智能卡301A或301B由電源來供電。舉例而言�,智能卡301A可由集成功率存儲(chǔ)裝 置320 (例如�����,電池或低損耗電容器)來供電��。作為另一實(shí)例��,智能卡301A可由天線 及轉(zhuǎn)換電路323來供電�����,所述天線及轉(zhuǎn)換電路323接收RF信號(hào)并將RF信號(hào)中的能量 轉(zhuǎn)換成可用于對智能卡301A的組件進(jìn)行供電的電能���。作為另一實(shí)例,智能卡301B可由 處于智能卡自身的外部的源來供電�,例如,由集成在對應(yīng)智能卡讀取器314B中的電源 326來供電���。
在操作中���,智能卡讀取器314A或314B可分別從智能卡301A或301B請求受保護(hù) 信息。在某些實(shí)施方案中�,智能卡讀取器314A或314B向智能卡301A或301B提供加 密密鑰,以在將受保護(hù)信息傳輸至讀取器314A或314B之前使用加密密鑰對受保護(hù)信息 進(jìn)行加密��。在某些實(shí)施方案中,受保護(hù)信息已經(jīng)以加密形式存儲(chǔ)��,且智能卡讀取器314A 或314B提供解密密鑰以在將受保護(hù)信息提供至讀取器314A或314B之前對受保護(hù)信息 進(jìn)行解密��。在某些實(shí)施方案中�����,智能卡301A或301B對受保護(hù)信息執(zhí)行其它操作�����。智能 卡也可包括其它侵入防御系統(tǒng)�,例如,定時(shí)器��、密碼處理器�、密碼加速器等等。
圖4是用于與從屬CPU通信的過程400的流程圖���。主控CPU (例如�,202)從通信 區(qū)塊(例如��,206)接收外部通信(步驟402)�����。例如當(dāng)必須操縱敏感信息時(shí)�����,主控CPU 確定所述外部通信是否需要使用安全CPU (例如�,204)(步驟404)。舉例而言�,如果 外部通信經(jīng)過加密,則主控CPU可假定安全CPU可解密并處理通信�����。如果通信不需要 安全CPU�����,則主控CPU處理通信(步驟406)�����。否則��,經(jīng)由安全接口 (例如�����,208)將請 求提供至安全CPU以請求安全CPU處理外部通信或基于所述外部通信執(zhí)行某任務(wù)(步 驟408)。從安全CPU接收任選響應(yīng)(步驟410)��,所述響應(yīng)可由主控CPU進(jìn)一步處理或 通過通信區(qū)塊以某一形式提供至外界��。
本說明書中所描述的標(biāo)的物及功能操作的實(shí)施例可以數(shù)字電子電路來實(shí)施��,或以計(jì) 算機(jī)軟件��、固件或硬件(包括本說明書中所揭示的結(jié)構(gòu)及其結(jié)構(gòu)等效物)來實(shí)施���,或以 其中的一者或一者以上的組合來實(shí)施����。本說明書中所描述的標(biāo)的物的實(shí)施例可被實(shí)施為 一個(gè)或一個(gè)以上計(jì)算機(jī)程序產(chǎn)品��,亦即���,編碼于計(jì)算機(jī)可讀媒體上的用于由數(shù)據(jù)處理設(shè) 備執(zhí)行或用以控制數(shù)據(jù)處理設(shè)備的操作的計(jì)算機(jī)程序指令的一個(gè)或一個(gè)以上模塊���。計(jì)算 機(jī)可讀媒體可為機(jī)器可讀存儲(chǔ)裝置、機(jī)器可讀存儲(chǔ)襯底、存儲(chǔ)器裝置���、實(shí)現(xiàn)機(jī)器可讀傳 播信號(hào)的物質(zhì)組成����,或其中的一者或一者以上的組合�。
計(jì)算機(jī)程序(也稱為程序����、軟件、軟件應(yīng)用程序�����、腳本或代碼)可以包括編譯語言 或解譯語言在內(nèi)的任何形式的編程語言來編寫�����,且其可以任何形式來部署��,包括作為獨(dú) 立程序或作為模塊�、組件、子例行程序�����,或適合用于計(jì)算環(huán)境中的其它單元。計(jì)算機(jī)程序未必對應(yīng)于文件系統(tǒng)中的文件����。程序可被存儲(chǔ)于保持其它程序或數(shù)據(jù)的文件的部分 (例如,存儲(chǔ)于標(biāo)記語言文檔中的一個(gè)或一個(gè)以上腳本)中��,存儲(chǔ)于專用于所關(guān)注的程 序的單個(gè)文件中,或存儲(chǔ)于多個(gè)協(xié)調(diào)文件(例如,存儲(chǔ)一個(gè)或一個(gè)以上模塊����、子程序或 代碼的部分的文件)中��。計(jì)算機(jī)程序可經(jīng)部署以在一個(gè)計(jì)算機(jī)上或在位于一個(gè)場所或分 布于多個(gè)場所中且由通信網(wǎng)絡(luò)互連的多個(gè)計(jì)算機(jī)上加以執(zhí)行��。
本說明書中所描述的過程及邏輯流程可通過一個(gè)或一個(gè)以上可編程處理器來執(zhí)行����, 所述一個(gè)或一個(gè)以上處理器執(zhí)行一個(gè)或一個(gè)以上計(jì)算機(jī)程序以通過對輸入數(shù)據(jù)進(jìn)行操 作且產(chǎn)生輸出來執(zhí)行功能���。過程及邏輯流程也可通過專用邏輯電路(例如���,F(xiàn)PGA (現(xiàn) 場可編程門陣列)或ASIC (專用集成電路))來執(zhí)行����,且設(shè)備也可被實(shí)施為所述專用邏 輯電路���。
適合于執(zhí)行計(jì)算機(jī)程序的處理器包括(例如)通用微處理器與專用微處理器兩者����, 及任何種類的數(shù)字計(jì)算機(jī)的任何一個(gè)或一個(gè)以上處理器��。通常����,處理器將從只讀存儲(chǔ)器 或隨機(jī)存取存儲(chǔ)器或此兩者接收指令及數(shù)據(jù)��。計(jì)算機(jī)的基本元件為用于執(zhí)行指令的處理 器�,及用于存儲(chǔ)指令及數(shù)據(jù)的一個(gè)或一個(gè)以上存儲(chǔ)器裝置。通常�,計(jì)算機(jī)還將包括用于 存儲(chǔ)數(shù)據(jù)的一個(gè)或一個(gè)以上大容量存儲(chǔ)裝置(例如,磁盤��、磁光盤或光盤)�,或以操作 方式耦合以從所述一個(gè)或一個(gè)以上大容量存儲(chǔ)裝置接收數(shù)據(jù)或?qū)?shù)據(jù)傳送至所述一個(gè) 或一個(gè)以上大容量存儲(chǔ)裝置,或既從所述一個(gè)或一個(gè)以上大容量存儲(chǔ)裝置接收數(shù)據(jù)又將 數(shù)據(jù)傳送至所述或所述大容量存儲(chǔ)裝置�����。然而,計(jì)算機(jī)無需具有此類裝置��。此外����,計(jì)算 機(jī)可嵌入于另一裝置中,例如���,移動(dòng)電話���、個(gè)人數(shù)字助理(PDA)、移動(dòng)音頻播放器�、 全球定位系統(tǒng)(GPS)接收器(僅舉幾例)中。
適合于存儲(chǔ)計(jì)算機(jī)程序指令及數(shù)據(jù)的計(jì)算機(jī)可讀媒體包括所有形式的非易失性存 儲(chǔ)器���、媒體及存儲(chǔ)器裝置���,包括(例如)半導(dǎo)體存儲(chǔ)器裝置,例如�,EPROM、 EEPROM 及快閃存儲(chǔ)器裝置�����;磁盤,例如����,內(nèi)部硬盤或抽取式盤;磁光盤����;及CD-ROM及DVD-ROM 盤。處理器及存儲(chǔ)器可通過專用邏輯電路來補(bǔ)充或并入于專用邏輯電路中��。
盡管本說明書含有許多細(xì)節(jié)�,但是不應(yīng)將這些細(xì)節(jié)理解為對本發(fā)明的范疇或可主張 的內(nèi)容的限制��,而應(yīng)理解為對特定實(shí)施例特有的特征的描述�����。本說明書中在單獨(dú)實(shí)施例 的情形中所描述的某些特征也可在單個(gè)實(shí)施例中以組合方式實(shí)施���。相反�����,在單個(gè)實(shí)施例 的情形中所描述的各種特征也可在多個(gè)實(shí)施例中單獨(dú)地或以任何適當(dāng)子組合方式實(shí)施��。 此外�����,盡管上文中可將特征描述為以某些組合方式起作用且甚至最初被如此主張���,但來 自所主張的組合的一個(gè)或一個(gè)以上特征在一些情況下可從組合中被刪去���,且所主張的組 合可針對子組合或子組合的變化形式。
11類似地��,盡管在圖式中以特定次序來描繪操作����,但不應(yīng)將此理解為要求以所示的特 定次序或以順序次序來執(zhí)行這些操作,或要求執(zhí)行所有所說明的操作����,以實(shí)現(xiàn)所需結(jié)果。 在某些情形下����,多任務(wù)化及并行處理可為有利的����。此外����,不應(yīng)將上文所描述的實(shí)施例中 各種系統(tǒng)組件的分離理解為在所有實(shí)施例中需要此分離,且應(yīng)理解���,所描述的程序組件 及系統(tǒng)通??杀还餐捎趩蝹€(gè)軟件產(chǎn)品中或封裝成多個(gè)軟件產(chǎn)品���。
因此�,已描述了特定實(shí)施例����。其它實(shí)施例屬于隨附權(quán)利要求書的范圍�����。舉例而言����, 權(quán)利要求書中所述的動(dòng)作可以不同次序來執(zhí)行且仍實(shí)現(xiàn)所要的結(jié)果���。
權(quán)利要求
1. 一種系統(tǒng),其包含第一中央處理單元(CPU)����,其經(jīng)配置以執(zhí)行無需操縱敏感信息的任務(wù);第二CPU�����,其經(jīng)配置以代表所述第一CPU執(zhí)行操縱所述敏感信息的任務(wù)�����;安全通信接口����,所述第一CPU及所述第二CPU通過所述安全通信接口進(jìn)行通信;且其中所述第一CPU不能存取所述第二CPU內(nèi)的所述敏感信息�����。
2. 根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中所述第二 CPU包括以下各者中的一者或一者以上相對于所述第一 CPU的單獨(dú)電源、相對于所述第一 CPU的單獨(dú)時(shí)鐘系統(tǒng)����、 相對于所述第一 CPU的單獨(dú)程序及數(shù)據(jù)存儲(chǔ)器、專用模擬傳感器或硬件屏蔽��。
3. 根據(jù)權(quán)利要求1所述的系統(tǒng)��,其中所述敏感信息是一個(gè)或一個(gè)以上密碼密鑰����。
4. 根據(jù)權(quán)利要求l所述的系統(tǒng),其中經(jīng)由所述安全通信接口發(fā)送的數(shù)據(jù)經(jīng)過加密或數(shù)字簽名���。
5. 根據(jù)權(quán)利要求1所述的系統(tǒng)�����,其中所述第一 CPU不能通過所述安全通信接口直接控制所述第二 CPU����。
6. —種系統(tǒng)�����,其包含第一中央處理單元(CPU);第二 CPU,其中所述第二 CPU包括相對于所述第一 CPU的單獨(dú)電源及單獨(dú) 存儲(chǔ)器����;安全通信接口 ,所述第一 CPU及所述第二 CPU通過所述安全通信接口進(jìn)行 通信�����,其中所述第一CPU不能通過所述安全通信接口直接控制所述第二CPU; 及其中所述第一 CPU不能存取所述單獨(dú)存儲(chǔ)器中的信息��。
7. 根據(jù)權(quán)利要求6所述的系統(tǒng)�����,其中所述第二CPU包括相對于所述第一 CPU的單獨(dú)時(shí)鐘系統(tǒng)�。
8. 根據(jù)權(quán)利要求6所述的系統(tǒng),其中通過所述安全通信接口發(fā)送的數(shù)據(jù)經(jīng)過加密或數(shù)字簽名��。
9. 根據(jù)權(quán)利要求6所述的系統(tǒng)����,其中所述單獨(dú)存儲(chǔ)器含有一個(gè)或一個(gè)以上密碼密鑰。
10. 根據(jù)權(quán)利要求9所述的系統(tǒng)���,其中所述第一 CPU可向所述第二 CPU提供加密信息���,所述第二 CPU可使用所 述一個(gè)或一個(gè)以上密碼密鑰來解密所述加密信息�。
11. 一種方法����,其包含在第一中央處理單元(CPU)處接收外部通信; 由所述第一 CPU確定所述外部通信需要操縱敏感信息��;及 由所述第一 CPU經(jīng)由安全通信接口而采用安全CPU來處理所述外部通信����, 所述安全CPU經(jīng)配置以執(zhí)行操縱所述敏感信息的任務(wù)。
12. 根據(jù)權(quán)利要求ll所述的方法�,其中所述安全CPU包括以下各者中的一者或一 者以上相對于所述第一 CPU的單獨(dú)電源、相對于所述第一 CPU的單獨(dú)時(shí)鐘系統(tǒng)���、 相對于所述第一 CPU的單獨(dú)程序及數(shù)據(jù)存儲(chǔ)器����、專用模擬傳感器或硬件屏蔽�。
13. 根據(jù)權(quán)利要求ll所述的方法,其中所述敏感信息是一個(gè)或一個(gè)以上密碼密鑰����。
14. 根據(jù)權(quán)利要求11所述的方法,其中通過所述安全通信接口發(fā)送的數(shù)據(jù)經(jīng)過加密或數(shù)字簽名���。
15. 根據(jù)權(quán)利要求11所述的方法���,其中所述第一 CPU不能通過所述安全通信接口直接控制所述安全CPU。
16. —種計(jì)算機(jī)程序產(chǎn)品���,其編碼于計(jì)算機(jī)可讀媒體上且可操作以致使數(shù)據(jù)處理設(shè)備執(zhí)行包含以下各者的操作在第一中央處理單元(CPU)處接收外部通信�����; 由所述第一CPU確定所述外部通信需要操縱敏感信息�����;及 由所述第一 CPU經(jīng)由安全通信接口而采用安全CPU以處理所述外部通信���, 所述安全CPU經(jīng)配置以執(zhí)行操縱所述敏感信息的任務(wù)。
17. 根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品�����,其中所述安全CPU包括以下各者中 的一者或一者以上相對于所述第一 CPU的單獨(dú)電源、相對于所述第一 CPU的單獨(dú)時(shí)鐘系統(tǒng)����、 相對于所述第一 CPU的單獨(dú)程序及數(shù)據(jù)存儲(chǔ)器、專用模擬傳感器或硬件屏蔽�。
18. 根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品,其中所述敏感信息是一個(gè)或一個(gè)以上密碼密鑰��。
19. 根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品����,其中通過所述安全通信接口發(fā)送的數(shù)據(jù)經(jīng)過加密或數(shù)字簽名。
20. 根據(jù)權(quán)利要求16所述的計(jì)算機(jī)程序產(chǎn)品����,其中所述第一 CPU不能通過所述安全通信接口控制所述安全CPU。
全文摘要
本發(fā)明提供用于經(jīng)配置以執(zhí)行無需操縱敏感信息的任務(wù)的第一中央處理單元(CPU)及經(jīng)配置以代表所述第一CPU執(zhí)行操縱所述敏感信息的任務(wù)的第二CPU的系統(tǒng)�、方法及程序產(chǎn)品。所述第一CPU及所述第二CPU可通過安全接口進(jìn)行通信���。所述第一CPU不能存取所述第二CPU內(nèi)的敏感信息����。
文檔編號(hào)G06F21/00GK101506815SQ200780030561
公開日2009年8月12日 申請日期2007年8月14日 優(yōu)先權(quán)日2006年8月17日
發(fā)明者埃里克·勒科克恩, 馬希德·卡布沙 申請人:愛特梅爾公司