In an embodiment, an on-chip system comprises a single core, the single core for performing traditional instruction set, the single core is configured to enter the system management mode (SMM) to provide a trusted execution environment to perform at least one safe operation; and a memory controller coupled to the memory controller the single core, the memory controller is used to interface with the system memory, the system memory includes secure memory for the SMM, and the single core for certification and implementation of the guidance, and will control the firmware to the SMM in order to get the key and the key to stored in the secure memory from protected storage device. Other embodiments are described and claimed to be protected.
【技术实现步骤摘要】
【国外来华专利技术】
实施例涉及向计算设备提供安全性。
技术介绍
随着便携式计算设备(如智能电话、平板计算机等)变得更加流行,当用户试图使用可以很容易被探听的不可信设备执行金融或其他商业交易时,就会出现安全问题。此外,一些用户期望使用便携式计算设备访问安全数字内容(如受保护的媒体内容)。然而,某些内容在允许访问所述内容之前要求安全环境。同样,不可信设备可能无法访问这种内容。附图说明图1是根据本专利技术实施例的处理器的框图。图2是根据本专利技术的实施例的方法的流程图。图3是用于处理实施例中的受保护数字内容的安排的框图。图4是根据本专利技术的一个实施例的系统安排的框图。图5是可以与实施例一起使用的另一个示例系统的框图。图6是可以与实施例一起使用的另一个示例系统的框图。具体实施方式在各种实施例中,可以为便携式计算设备提供可信执行环境(TEE),即使在这种平台的中央处理器或片上系统(SoC)采用固有地不具备用于安全环境的硬件能力(如通过安全协处理器、硬件可信平台模块(TPM)等)的低功率、单核设计的情况下。这种TEE可以由提供用于将TEE实例化的基于硬件和软件的技术组合的硬件/软件协同设计处理器来实现。因此,使用本专利技术的实施例,可以在移动平台中创建TEE以便执行数字权限管理(DRM)、固件TPM(fTPM)操作、一次性密码(OTP)以及其他高保证用法。尽管本专利技术的范围不限于这个方面,但是安全操作的相关和附加示例包括:创建和维护可信路径如以便提供受保护的音频视频路径(PAVP);以及创建和维护安全输入/输出路径等。使用本专利技术的实施例,可以为具有处理器的平台提供TEE,所述处 ...
【技术保护点】
一种片上系统(SoC),包括:单核,所述单核用于执行传统指令集,其中,所述单核被配置成用于进入系统管理模式(SMM)以便提供可信执行环境(TEE)来执行至少一个安全操作;以及存储器控制器,所述存储器控制器耦合至所述单核,所述存储器控制器用于与系统存储器进行接口连接,其中,所述系统存储器的一部分包括用于所述SMM的安全存储器,并且其中,所述单核用于:认证引导固件;执行所述引导固件;以及将控制转到所述SMM以便从受保护存储设备中获得密钥对,并且将所述密钥对存储在所述安全存储器中。
【技术特征摘要】
【国外来华专利技术】2014.09.10 US 14/482,1361.一种片上系统(SoC),包括:单核,所述单核用于执行传统指令集,其中,所述单核被配置成用于进入系统管理模式(SMM)以便提供可信执行环境(TEE)来执行至少一个安全操作;以及存储器控制器,所述存储器控制器耦合至所述单核,所述存储器控制器用于与系统存储器进行接口连接,其中,所述系统存储器的一部分包括用于所述SMM的安全存储器,并且其中,所述单核用于:认证引导固件;执行所述引导固件;以及将控制转到所述SMM以便从受保护存储设备中获得密钥对,并且将所述密钥对存储在所述安全存储器中。2.如权利要求1所述的SoC,其中,所述单核用于在所述SMM中进行操作以便从包括非易失性存储设备的所述受保护存储设备中获得所述密钥对,所述非易失性存储设备包括用于存储所述密钥对的隔离密钥储存库,其中,在生产包括所述SoC的系统期间,所述密钥对将被生成并存储在所述非易失性存储设备中。3.如权利要求2所述的SoC,其中,在重置所述SoC时,所述安全存储器将被重置,使得所述密钥对被删除,所述安全存储器将与在所述SMM外部的访问隔离。4.如权利要求1所述的SoC,其中,在所述TEE中,所述单核用于对指令集中不受所述单核支持的至少一条安全指令进行仿真。5.如权利要求1所述的SoC,其中,在所述TEE中,所述单核用于:接收已加密内容;使用存储在耦合至所述SoC的未受保护存储设备中的一个或多个导出密钥来解密所述已加密内容;以及经由可信信道将所述已解密内容输出至输出设备。6.如权利要求1所述的SoC,其中,在所述TEE中,所述单核用于:对存储在所述安全存储器中的信息页面进行加密;以及将所述已加密页面存储在所述系统存储器的未受保护部分中。7.如权利要求1所述的SoC,其中,所述单核包括所述SoC的唯一核,所述SoC进一步包括引导只读存储器(ROM),所述引导只读存储器用于将所述密钥对存储在所述引导ROM的受保护部分中。8.如权利要求1所述的SoC,其中,所述单核用于将执行从所述SMM转到操作系统,所述操作系统将在所述密钥对被存储在所述安全存储器中之后被引导。9.一种方法,包括:在处理器的单核中执行预引导环境的固件的至少一部分,以便创建系统存储器的可信部分;以及将执行转移到与所述可信部分相关联的可信代理,从非易失性存储设备的受保护部分中请求密钥对,将所述密钥对存储在所述系统存储器的所述可信部分中,并且之后将执行从所述可信代理转移到操作系统。10.如权利要求9所述的方法,进一步包括:从不可信代理处接收可信动作请求;以及如果所述可信代理支持所述可信动作请求,则经由所述可信代理进入可信执行环境,以便在所述可信执行环境中执行与所述可信动作请求相对应的安全操作。11.如权利要求9所述的方法,进一步包括:当在可信执行环境中时,响应于由所...
【专利技术属性】
技术研发人员:V·J·齐默,P·J·巴里,R·普尔纳查得兰,A·凡德万,P·A·戴斯,G·塞尔弗拉杰,J·卡雷诺,L·G·罗森鲍姆,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。