使用处理器提供可信执行环境制造技术

在实施例中，一种片上系统包括：单核，所述单核用于执行传统指令集，所述单核被配置成用于进入系统管理模式(SMM)以便提供可信执行环境来执行至少一个安全操作；以及存储器控制器，所述存储器控制器耦合至所述单核，所述存储器控制器用于与系统存储器进行接口连接，其中，所述系统存储器的一部分包括用于所述SMM的安全存储器，并且所述单核用于认证并执行引导固件、并且将控制转到所述SMM以便从受保护存储设备中获得密钥对并将所述密钥对存储在所述安全存储器中。对其他实施例进行了描述并要求保护。

Using the processor to provide a trusted execution environment

In an embodiment, an on-chip system comprises a single core, the single core for performing traditional instruction set, the single core is configured to enter the system management mode (SMM) to provide a trusted execution environment to perform at least one safe operation; and a memory controller coupled to the memory controller the single core, the memory controller is used to interface with the system memory, the system memory includes secure memory for the SMM, and the single core for certification and implementation of the guidance, and will control the firmware to the SMM in order to get the key and the key to stored in the secure memory from protected storage device. Other embodiments are described and claimed to be protected.

【技术实现步骤摘要】
【国外来华专利技术】
实施例涉及向计算设备提供安全性。
技术介绍
随着便携式计算设备(如智能电话、平板计算机等)变得更加流行，当用户试图使用可以很容易被探听的不可信设备执行金融或其他商业交易时，就会出现安全问题。此外，一些用户期望使用便携式计算设备访问安全数字内容(如受保护的媒体内容)。然而，某些内容在允许访问所述内容之前要求安全环境。同样，不可信设备可能无法访问这种内容。附图说明图1是根据本专利技术实施例的处理器的框图。图2是根据本专利技术的实施例的方法的流程图。图3是用于处理实施例中的受保护数字内容的安排的框图。图4是根据本专利技术的一个实施例的系统安排的框图。图5是可以与实施例一起使用的另一个示例系统的框图。图6是可以与实施例一起使用的另一个示例系统的框图。具体实施方式在各种实施例中，可以为便携式计算设备提供可信执行环境(TEE)，即使在这种平台的中央处理器或片上系统(SoC)采用固有地不具备用于安全环境的硬件能力(如通过安全协处理器、硬件可信平台模块(TPM)等)的低功率、单核设计的情况下。这种TEE可以由提供用于将TEE实例化的基于硬件和软件的技术组合的硬件/软件协同设计处理器来实现。因此，使用本专利技术的实施例，可以在移动平台中创建TEE以便执行数字权限管理(DRM)、固件TPM(fTPM)操作、一次性密码(OTP)以及其他高保证用法。尽管本专利技术的范围不限于这个方面，但是安全操作的相关和附加示例包括：创建和维护可信路径如以便提供受保护的音频视频路径(PAVP)；以及创建和维护安全输入/输出路径等。使用本专利技术的实施例，可以为具有处理器的平台提供TEE，所述处理器不具有以下两者中的任一者：固有安全能力，如软件防护扩展(SGX)能力(通过处理器内部硬件和经由基于微代码的隔离机制对给定指令集(例如，架构(IA)32或64指令集)进行扩展以便在用户环境中提供容器)；或专用安全硬件资源，如融合式安全管理引擎(CSME)，所述专用安全硬件资源自身可以是根据给定处理器设计的协处理器，如微小IA设计。因为增加另一个微小IA核(在单核自身是微小IA核的情况下)将增加管芯尺寸、功率损耗和成本，所以这种协处理器可能不适合给定实施例，这可能规定不能用于智能电话、平板计算机、可穿戴、嵌入式设备等范围内的各种便携式计算设备。当然，实施例不限于基于的处理器，并且同样地适用于其他厂商或许可方的处理器，如具有ARM架构的处理器(如基于Cortex的处理器或SoC)、或可向AMD公司或其他公司购买的处理器。注意，如在此所使用的，TEE由此包括基于硬件的隔离机制和在此硬件保护域内的软件环境两者。在实施例中，TEE可以被提供在处理器的系统管理模式(SMM)中。更具体地，引导只读存储器(ROM)的特征结合SMM一起工作，以便在SoC或具有最小计算能力的其他处理器中提供TEE(从而使得专用核、协处理器或其他安全逻辑不可用于执行TEE创建和安全环境操作)。为此，可以通过以下方式向这种处理器提供TEE：使用引导ROM的用于至少执行密钥存储的代码或逻辑与用于经由在此描述的机制使有资格访问这些引导ROM能力从而使得非SMM代码不能访问引导ROM的访问控制逻辑的组合。对TEE内部的软件机制来说，虚拟机(如像JavaTM虚拟机和/或仿真的SGX或‘eSGX’)可以存在，以便提供一些程度的可信软件应用兼容性。在实施例中，可以经由全球平台(GP)类型应用程序接口(API)进入TEE。通常，SMM是在环0/监督模式(或IAVMX根)下运行的最高特权执行模式。在实施例中，可以由系统管理中断(SMI)来触发进入SMM。这种触发可以由硬件隔离机制(如系统管理模式范围寄存器)验证，所述硬件隔离机制可以被配置成用于确认对系统存储器的受保护部分的有效访问。作为整体视角，可以经由引导ROM代码(和安全密钥存储设备)和此代码与SMM操作之间的交互来影响TEE。在制造时间期间，背书密钥(EK)密钥对被生成并存储在引导ROM私有资源(如私有隔离密钥储存库(store))中。然后，在引导时间期间，所述引导ROM首先保证统一可扩展固件接口(UEFI)固件是真实的，然后将控制转到UEFISMM。在实施例中，此固件可以被标记或加密验证，如在安全引导中执行的。类似地，来自隔离存储设备(例如，在引导ROM中)的EK可以被访问并提供给SMM。进而，SMM将密钥和/或任何衍生物存储在存储器的受保护部分中，如系统管理随机存取存储器(SMRAM)。此存储器可以通过重新引导被重置(例如，经由置零)，并且进一步可以被隔离免于主机访问。以此方式，每个引导从引导ROM及其相关联的密钥储存库中将密钥材料配设到SMMTEE中。在其他实施例中，密钥储存库可以位于SoC的另一个部分中，如SoC的现场可编程熔丝。注意，在各种实施例中，可以在制造商授权(例如，处理器制造商或原始设备制造商(OEM)制造商的授权)下在工厂中配设密钥储存库及其组成密钥。在一些实施例中，可以通过用户或信息技术(IT)人员在制造商处或者现场对如用于DRM用途的附加密钥(例如，GoogleWidevine密钥箱)进行配设。在TPM之外，SMM固件驱动器(driver)可以暴露一条或多条SGX指令，以便进入SMM模式并提供软件PAVP或安全输入/输出(IO)能力。例如，在这种模式下，SoC可以在操作系统(OS)重置时通过使SMM代码禁用外围设备(例如，PCI设备)的设备ID来确保只有SMMTEE可以与此图型设备的图形处理器通信，从而使得设备仅对SMMTEE可见，并且由此，主机/OS没有意识到此可信视频路径。在实施例中，SMM范围寄存器(例如，一个或多个SMRR)可以保护固件的至少某些部分，并提供隔离的执行。在实施例中，SMM端口陷阱允许主机与SMM驱动器通信以便进入/退出SMM模式。综上所述，通过这种配设和I/O陷阱机制，多种基于TEE的应用(如TPM、DRM黑箱和仿真或软件SGX)可以在低功率低功能处理器或其他SoC上实施。现在参照图1，所示的是根据本专利技术实施例的处理器的框图。如图1中所见，处理器100是包括单核110的SoC。在此描述的各种实施例中，核110可以是低功率和相对简单的处理器核，如按次序处理器。如一个这种示例，核110可以是QuarkTM处理器核。在实施例中，这种处理器是被配置成用于执行传统指令集架构(如兼容式ISA)的指令的单线程核。这样，在更高级处理器(如基于核TM架构的处理器)上可用的某些指令(例如，高级向量指令或如在SGX环境中可用的高级安全指令)不可用于在核110自身中执行。仍参照图1，核110耦合至主机桥115，所述主机桥可以是连接到SoC的不同部件的接口。如看到的，主机桥115耦合至管芯上引导只读存储器(ROM)120，在实施例中，所述管芯上引导只读存储器可以存储在此描述的代码和密钥材料。主机桥115进一步耦合至高速缓存存储器130，在实施例中，所述高速缓存存储器可以是嵌入式静态随机存取存储器(eSRAM)。主机桥115进一步耦合至存储器控制器140，所述存储器控制器被配置成用于与如给定系统存储器(例如，DRAM)等片外存储器进行接口连接。注意，此DRAM可以包括用于进行在此描述的安全操作的受保护或安全部分(如本文档来自技高网...

【技术保护点】
一种片上系统(SoC)，包括：单核，所述单核用于执行传统指令集，其中，所述单核被配置成用于进入系统管理模式(SMM)以便提供可信执行环境(TEE)来执行至少一个安全操作；以及存储器控制器，所述存储器控制器耦合至所述单核，所述存储器控制器用于与系统存储器进行接口连接，其中，所述系统存储器的一部分包括用于所述SMM的安全存储器，并且其中，所述单核用于：认证引导固件；执行所述引导固件；以及将控制转到所述SMM以便从受保护存储设备中获得密钥对，并且将所述密钥对存储在所述安全存储器中。

【技术特征摘要】
【国外来华专利技术】2014.09.10 US 14/482,1361.一种片上系统(SoC)，包括：单核，所述单核用于执行传统指令集，其中，所述单核被配置成用于进入系统管理模式(SMM)以便提供可信执行环境(TEE)来执行至少一个安全操作；以及存储器控制器，所述存储器控制器耦合至所述单核，所述存储器控制器用于与系统存储器进行接口连接，其中，所述系统存储器的一部分包括用于所述SMM的安全存储器，并且其中，所述单核用于：认证引导固件；执行所述引导固件；以及将控制转到所述SMM以便从受保护存储设备中获得密钥对，并且将所述密钥对存储在所述安全存储器中。2.如权利要求1所述的SoC，其中，所述单核用于在所述SMM中进行操作以便从包括非易失性存储设备的所述受保护存储设备中获得所述密钥对，所述非易失性存储设备包括用于存储所述密钥对的隔离密钥储存库，其中，在生产包括所述SoC的系统期间，所述密钥对将被生成并存储在所述非易失性存储设备中。3.如权利要求2所述的SoC，其中，在重置所述SoC时，所述安全存储器将被重置，使得所述密钥对被删除，所述安全存储器将与在所述SMM外部的访问隔离。4.如权利要求1所述的SoC，其中，在所述TEE中，所述单核用于对指令集中不受所述单核支持的至少一条安全指令进行仿真。5.如权利要求1所述的SoC，其中，在所述TEE中，所述单核用于：接收已加密内容；使用存储在耦合至所述SoC的未受保护存储设备中的一个或多个导出密钥来解密所述已加密内容；以及经由可信信道将所述已解密内容输出至输出设备。6.如权利要求1所述的SoC，其中，在所述TEE中，所述单核用于：对存储在所述安全存储器中的信息页面进行加密；以及将所述已加密页面存储在所述系统存储器的未受保护部分中。7.如权利要求1所述的SoC，其中，所述单核包括所述SoC的唯一核，所述SoC进一步包括引导只读存储器(ROM)，所述引导只读存储器用于将所述密钥对存储在所述引导ROM的受保护部分中。8.如权利要求1所述的SoC，其中，所述单核用于将执行从所述SMM转到操作系统，所述操作系统将在所述密钥对被存储在所述安全存储器中之后被引导。9.一种方法，包括：在处理器的单核中执行预引导环境的固件的至少一部分，以便创建系统存储器的可信部分；以及将执行转移到与所述可信部分相关联的可信代理，从非易失性存储设备的受保护部分中请求密钥对，将所述密钥对存储在所述系统存储器的所述可信部分中，并且之后将执行从所述可信代理转移到操作系统。10.如权利要求9所述的方法，进一步包括：从不可信代理处接收可信动作请求；以及如果所述可信代理支持所述可信动作请求，则经由所述可信代理进入可信执行环境，以便在所述可信执行环境中执行与所述可信动作请求相对应的安全操作。11.如权利要求9所述的方法，进一步包括：当在可信执行环境中时，响应于由所...

【专利技术属性】
技术研发人员：V·J·齐默，P·J·巴里，R·普尔纳查得兰，A·凡德万，P·A·戴斯，G·塞尔弗拉杰，J·卡雷诺，L·G·罗森鲍姆，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US