本发明专利技术涉及一种其中提供了加速数据处理操作的电子装置(301),该装置包括控制访问的安全执行环境。本发明专利技术的基本思想是要提供一种用于加速数据处理操作的装置(311)(“加速器”)。尤其是,使用加速器加速加密数据操作,从而对通过第一逻辑接口(312)提供给加速器的数据执行加密操作。借助于通过第二安全逻辑接口(312)提供给加速器的加密/解密密钥,执行加密操作。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种提供了加速数据处理操作的电子装置,该装置包括控制访问的安全执行环境。本专利技术进一步涉及一种移动通信终端,该终端包括该电子装置和用于加速数据处理操作的装置。
技术介绍
多种电子装置,例如移动电信终端、便携计算机及PDA,需要访问安全相关组件,例如应用程序、密钥、密钥数据素材、中间加密计算结果、密码、外部下载数据的认证方式等。典型地,这些组件及其处理必需在电子装置内部保密。理想地,这些组件应尽可能不为人知,因为如果知道了装置的安全相关组件,可能会篡改装置。访问这类组件可能会帮助存有恶意企图操作终端的攻击者。因此,提出了一种安全执行环境,在这种环境下,电子装置中的处理器能访问安全相关组件。应谨慎地限制对安全执行环境的访问、处理及退出。现有技术中包括这种安全环境的硬件常常是封装在抗篡改的外壳中。由于不能在这类硬件上探查或执行测量和测试,从而可能导致安全相关组件及其处理的泄密。为了保护装置中的数据,应对驻留在永久的,即非易失性,存储器中的数据加密。由于一旦心存恶意的人访问到该装置,可能会企图访问装置中的敏感数据,例如通过盗取敏感数据,因此数据保护是非常必要的。另一种尝试访问敏感数据的情况是装置中包含一个数字权利管理(DRM)系统。这个DRM系统存储版权保护内容以及与确定用户采用何种访问形式访问内容的相关数字权利。这样,DRM系统被用来保护内容不被未授权用户访问、误用和/或错误地分配。由于内容和权利具有经济价值,所以用户可能企图绕过DRM控制功能来访问内容。加密驻留在永久存储器中的数据应该是安全、有效和低成本的。如上文提到的,在当前的装置结构中,可以安全地处理安全执行环境中的安全相关组件。然而,这可能是有问题的,并且由于执行加密操作时,必须保证安全进入和退出安全执行环境,因而导致在数据和控制信号传递方面出现相当高昂的开销。另一方面,通过在安全环境外部使用现有技术中的硬件加速器,可以非常有效地进行加密。然而,由于组件是不受阻碍的,窃听者可能控制了来自加速器的安全组件,例如加密/解密密钥,因而出现了另一个问题。这可以通过在装置中引入安全测量来解决,但很可能需要额外的硬件和软件,从而产生无法承受的装置成本的提高。专利技术概要因此,本专利技术的目的是以一种使加速装置中使用的保密密钥不被装置用户或未授权的第三方所知的方式,在装置中提供加速数据处理操作,但在安全执行环境的外部,从而减少数据处理所需要的时间。通过根据权利要求1所述的包括可以限制访问的安全执行环境的电子装置,在该装置中提供了加速数据处理操作,根据权利要求11所述的包括电子装置的移动通信终端,以及根据权利要求12所述的用于加速数据处理操作的装置,来实现该目的。本专利技术的基本思想是要提供一种用于加速数据处理操作的装置(“加速器”)。尤其是,将加速器用来加速加密数据操作。为了克服现有技术中加速器的不足之处,必须提供一种加速器,它被配置使得通过第一逻辑接口向它提供的数据执行加密操作。借助于通过第二安全逻辑接口提供给加速器的加密/解密密钥,执行加密操作。为了防止每次进入/退出安全执行环境都要加密/解密数据,将加速器安置在安全环境的外部。第二安全逻辑接口的使用,使得密钥不对装置用户或未授权的第三方公开。术语“逻辑”暗示加速器的第一和第二接口是隔离的,但不必进行物理隔离。它们逻辑上隔离就足够了,从而使在第二安全逻辑接口上进行传递时不可以访问第一逻辑接口。理想地,仅允许所谓的受保护应用程序处理保密密钥,这种受保护应用程序往往是用于执行安全执行环境内部安全关键操作的小规模应用程序。受保护应用程序是由可信赖的提供商发布的应用程序,在这种情况下,这些应用程序必须被认证,但也可以由任意第三方发布,无论该第三方是否可信赖。在后一种情况下,不需要认证。必须从特定上下文确定,受保护应用程序是否必须由可信赖的提供商发布。一般来说,被配置成具有或给予破坏装置安全性的能力的应用程序是可信赖的。受保护应用程序应认为是在安全环境外部执行的“普通”应用程序的一部分。受保护应用程序也可以包括用来实现装置中标准功能的应用程序。例如,利用受保护应用程序来引导装置并在其中加载操作系统。所期望的是,即使装置用户无法被看作是未授权第三方,装置用户也不能访问保密密钥。可能的话,在装置中实现DRM系统,因为依靠DRM系统提供的数字内容—以及相关的数字权利—具有经济价值,所以用户企图通过绕过DRM控制功能来访问内容。当然,还有其它不让用户访问密钥的理由;例如必须把通用安全方面纳入考虑范围之内。在普通装置操作模式下,装置处理器不访问位于安全环境中的安全相关数据。安全数据包括加密密钥和算法、用于引导电路的软件,诸如用作加密密钥素材的随机数之类的保密数据、应用程序等。对这些安全数据进行的访问和处理是受限制的。当测试和/或调试通常位于移动通信终端中的装置时,不允许访问安全相关数据。为此原因,将处理器设置成普通、或“不安全”操作模式,在这种模式下,处理器不再访问安全环境中的受保护数据。从而,在普通模式下,处理器及其执行的相应应用程序不访问加速器的密钥。本专利技术是有利的,因为可以安全地控制加密/解密密钥的提供,而加密操作的初始化可以由在安全执行环境外部执行的普通应用软件执行。实际上,普通应用程序把加速器看成按需解密和/或加密数据的普通硬件外围设备。然而,普通应用程序无法获取与加速器相关联的敏感安全组件,例如正在使用的密钥。此外,根据本专利技术的实施方案,受保护应用程序可以防止普通应用程序在任何时候以任何被视为必需的理由来访问加速器。例如,如果发现普通应用程序已被篡改时。根据本专利技术的实施方案,装置处理器可以设置成至少两种不同操作模式中的一种。在所述装置中,存储电路配置成至少一个存储区,涉及装置安全的受保护数据位于所述存储区。当安全处理器操作模式被设置时,处理器访问存储区;当普通处理器操作模式被设置时,拒绝处理器访问所述存储区。根据处理器及其执行的应用程序访问或不访问存储区的事实来定义实际操作模式。当安全处理器操作模式被设置时,处理器能够进一步访问加速器的第二安全逻辑接口。存储电路中存储区的访问定义了处理器的安全操作模式。在安全执行模式下操作时,处理器可以访问的存储区被视为安全执行环境。如前面所提及的,这些存储区包括安全相关组件,例如应用程序、密钥、密钥数据素材、中间加密计算结果、密码、用于外部下载数据的认证方式等。在安全执行模式下,处理器能够访问加速器的安全接口,通过该接口提供密钥。这样,处理器能够把密钥加入加速器,或者更改加速器中的密钥。因为施加在普通、不安全处理模式下的装置上的安全限制是很严格的,因此这是重要的,也是非常有利的。根据本专利技术的另一个实施方案,加速器的第一接口可被任意应用程序访问,而加速器的第二安全接口仅能被受保护应用程序访问。典型地,装置处理器中执行的普通应用程序、装置的数字信号处理器或者装置中的一些其它处理设备,不受阻碍地把数据发送到加速器,加速器用从安全环境接收的保密密钥加密数据,并将加密后的数据返回给普通应用程序。因此,这意味着处理器在普通操作模式下。在普通操作模式下,普通应用程序可以使用涉及数据加密/解密的加速器服务。也可能是受保护应用程序想使用这些服务。这些受保护应用程序有这么做的权利,并本文档来自技高网...
【技术保护点】
一种电子装置(301),其中提供了数据处理操作的加速,该装置包括限制访问的安全执行环境(304),并所述装置进一步包括:用于加速数据处理操作的加速器(311),该加速器配置有:第一逻辑接口(312),其上提供了待处理的数据, 以及第二安全逻辑接口(312),其上提供了处理所述数据操作中使用的密钥。
【技术特征摘要】
【国外来华专利技术】US 2004-3-19 10/804,8521.一种电子装置(301),其中提供了数据处理操作的加速,该装置包括限制访问的安全执行环境(304),并所述装置进一步包括用于加速数据处理操作的加速器(311),该加速器配置有第一逻辑接口(312),其上提供了待处理的数据,以及第二安全逻辑接口(312),其上提供了处理所述数据操作中使用的密钥。2.根据权利要求1所述的装置(301),其中,将加速器(311)配置使得第一逻辑接口和第二安全逻辑接口共享相同的物理接口(312)。3.根据权利要求2所述的装置(301),其中,加速器(311)进一步包括配置寄存器(313),配置成用来向加速器指示在所述装置中设置的处理器(303)设置了安全模式还是普通模式。4.根据权利要求3所述的装置(301),其中,进一步设置配置寄存器(313),使得可将其设置成多个可能的加密模式中的一种,加速器(311)在寄存器中设置的加密模式下进行操作。5.根据权利要求1所述的装置(401),其中,将加速器(411)配置使得通过各个物理接口提供第一逻辑接口(412)和第二安全逻辑接口(414)。6.根据权利要求1所述的装置(301),其中,将加速器的第一逻辑接口(312)配置使得可被任一应用程序访问,而将加速器的第二安全逻辑接口(312)配置成仅能被受保护应用程序访问。7.根据权利要求6所述的装置(301),进一步把该装置设置使得受保护应用程...
【专利技术属性】
技术研发人员:L帕特罗,
申请(专利权)人:诺基亚有限公司,
类型:发明
国别省市:FI[芬兰]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。