具有增强的安全性的系统技术方案

本发明专利技术公开了一种具有增强的安全性的系统，该系统可以包括被设置在该系统的安全域中的第一处理组件。该系统可以包括被设置在该系统的安全域外部的第二处理组件。该系统可以包括用于执行与为系统提供通信安全相关联的操作的一个或更多个硬件加速器。可由第一处理组件经由安全域中的通道访问一个或更多个硬件加速器。可由至少第二处理组件经由安全域外部的通道访问一个或更多个硬件加速器。的通道访问一个或更多个硬件加速器。的通道访问一个或更多个硬件加速器。

【技术实现步骤摘要】
具有增强的安全性的系统


[0001]本专利技术总体涉及具有增强的安全性的系统，具体涉及使得硬件加速器能够在不同安全级别上被共享的系统。

技术介绍

[0002]系统可以包括能够执行与为系统提供通信安全有关的操作的一个或更多个硬件加速器。这样的硬件加速器包括例如能够执行加密和/或解密以保护数据的密码加速器、用于执行与验证数据的真实性相关联的散列函数的散列加速器，以及其他示例。在一些情况下，硬件加速器是系统的协处理器，并且旨在通过提供用于执行与提供通信安全有关的操作的专用硬件(而不是通过软件和/或由系统的通用中央处理单元(CPU)执行这样的操作)来改善系统的性能。

技术实现思路

[0003]在一些实施方式中，系统包括：第一处理组件，其被设置在系统的安全域中；第二处理组件，其被设置在系统的安全域外部；以及一个或更多个硬件加速器，其用于执行与为系统提供通信安全相关联的操作，其中，可由第一处理组件经由安全域中的通道访问一个或更多个硬件加速器，并且其中，可由至少第二处理组件经由安全域外部的通道访问一个或更多个硬件加速器。
[0004]在一些实施方式中，系统包括：一个或更多个硬件加速器，其用于执行与提供通信安全相关联的密码操作或散列操作；安全域中的安全处理组件；安全域外部的一组非安全处理组件；向安全处理组件提供对所述一个或更多个硬件加速器的访问的通道；以及向所述一组非安全处理组件提供对所述一个或更多个硬件加速器的访问的一个或更多个通道，所述一个或更多个通道在安全域外部。
[0005]在一些实施方式中，系统包括：第一处理组件，其被设置在系统的安全域中；第二处理组件，其被设置在系统的安全域外部；硬件加速器，其用于执行与为系统提供通信安全相关联的操作，其中，可由第一处理组件经由安全域访问硬件加速器，并且其中，安全域外部的第二处理组件可以访问硬件加速器并且不与第一处理组件通信；以及用于增强系统的安全性的一组安全组件。
附图说明
[0006]图1是示出根据本公开内容的各个方面的系统的一部分的示例架构的图，所述系统包括可由安全域中的处理组件访问并且可由安全域外部的处理组件访问的硬件加速器。
[0007]图2是示出包括结合图1描述的硬件加速器的系统的示例的图，所述硬件加速器可由安全域中的处理组件和安全域外部的处理组件访问。
具体实施方式
[0008]以下参照附图对示例实施方式进行详细描述。不同附图中的相同附图标记可以标识相同或相似的元素。
[0009]系统可以包括设置在该系统的安全域中的处理组件，例如CPU。系统的安全域可以由例如硬件安全模块(HSM)来提供，该HSM包括用于管理密码密钥、执行加密和解密功能、执行认证功能等的组件。该系统还可以包括设置在安全域外部的处理部件(例如，未包括在HSM中的CPU)。通常，系统的硬件加速器(例如，密码加速器、散列加速器等)被包括在安全域中。因此，如果设置在安全域外部的处理组件(在本文中称为非安全处理组件)需要请求硬件加速器的操作，则非安全处理组件需要与设置在安全域中的处理组件(在本文中称为安全处理组件)通信，以便请求硬件加速器的动作。也就是说，非安全处理组件不能直接访问硬件加速器，而是必须通过安全处理组件访问硬件加速器。
[0010]这样的配置增加了在请求非安全处理组件时与执行密码操作相关联的所需的数据传送的数量，并且还由于安全处理组件在促进非安全处理组件对硬件加速器的访问时的参与所需的多处理器交互而浪费了安全处理组件的资源。此外，由于需要在安全处理组件和非安全处理组件之间进行软件拆分，所以增加了系统的复杂度。
[0011]用于克服这个问题的一种技术是包括一组附加硬件加速器。此处，该组附加硬件加速器可由非安全处理组件直接访问并且不被安全处理组件使用。然而，由于需要附加的硬件加速器，这种技术增加了系统的成本和大小，并且因此是不期望的。
[0012]本文描述的一些实施方式提供一种包括一组硬件加速器的系统，该组硬件加速器可由系统的非安全处理组件和安全处理组件两者访问。也就是说，本文描述的实施方式提供了一种使得硬件加速器能够在不同安全级别上被共享的系统。
[0013]在一些实施方式中，系统可以包括安全处理组件、非安全处理组件以及用于执行与为系统提供通信安全相关联的操作的一个或更多个硬件加速器。此处，所述一个或更多个硬件加速器可由安全处理组件经由安全域中的通道来访问，并且所述一个或更多个硬件加速器可由非安全处理组件经由安全域外部的通道访问。也就是说，所述一个或更多个硬件加速器可由非安全处理组件访问而无需经过安全处理组件。在一些实施方式中，系统可以包括与对系统中的安全进行维护相关联的一个或更多个附加安全组件，由于所述一个或更多个硬件加速器在安全域和非安全域之间被共享，因此可能需要所述一个或更多个附加安全组件。以下提供了附加细节。
[0014]在一些实施方式中，本文描述的系统消除了用于非安全处理组件所需的密码操作的多处理器交互，这意味着减少了数据传送的数量并且安全处理组件所浪费的资源被节省下来。此外，由于在安全处理组件和非安全处理组件之间进行软件拆分的需要被消除，因此降低了系统的复杂度。
[0015]图1是示出根据本公开内容的各个方面的系统的一部分的示例架构100的图，所述系统包括可由安全域中的处理组件访问并且可由安全域外部的处理组件访问的硬件加速器。如图1所示，架构100包括安全处理组件102、一个或更多个非安全处理组件104、一个或更多个硬件加速器106、访问限制组件108、一组通道110以及映射组件112。
[0016]安全处理组件102包括被设置在系统的安全域中的处理组件。例如，安全处理组件102可以是被设置在安全域中的CPU、被设置在安全域中的直接存储器访问(DMA)组件或被
设置在安全域中的另一类型的处理组件。在一些实施方式中，安全域是访问受限的域。例如，在一些实施方式中，安全处理组件102是访问受限的HSM中的组件。在一些实施方式中，如图1所示，安全处理组件102可以经由一个或更多个通道110s(即，安全域中的一个或更多个通道110)访问系统的一个或更多个硬件加速器106。
[0017]非安全处理组件104包括被设置在系统的安全域外部的处理组件。也就是说，非安全处理组件104包括被被设置在系统的非安全域中的组件(例如，未被包括在HSM中的处理组件)。例如，非安全处理组件104可以是被设置在安全域外部的CPU、被设置在安全域外部的DMA组件或被设置在安全域外部的另一类型的处理组件。在一些实施方式中，如图1所示，非安全处理组件104可以经由一个或更多个通道110os(即，安全域外部的一个或更多个通道110，在图1被示出为通道110os)访问系统的一个或更多个硬件加速器106。也就是说，在一些实施方式中，非安全处理组件104可以访问一个或更多个硬件加速器106，而无需与安全处理组件102通信。在一些实施方式中，系统包括一个或更多个非安全处理组件104。
[0018]硬件加速器106是执行与提本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种具有增强的安全性的系统，包括：第一处理组件，其被设置在所述系统的安全域中；第二处理组件，其被设置在所述系统的安全域外部；以及一个或更多个硬件加速器，其用于执行与为所述系统提供通信安全相关联的操作，其中，所述第一处理组件经由所述安全域中的通道能够访问所述一个或更多个硬件加速器，并且其中，至少所述第二处理组件经由所述安全域外部的通道能够访问所述一个或更多个硬件加速器。2.根据权利要求1所述的系统，还包括映射组件，所述映射组件用于提供所述一个或更多个硬件加速器到所述安全域中的通道或到所述安全域外部的通道的映射。3.根据权利要求1所述的系统，还包括访问限制组件，所述访问限制组件用于管理经由所述安全域外部的通道对所述一个或更多个硬件加速器的访问。4.根据权利要求3所述的系统，其中，所述访问限制组件能够由设置在所述安全域中的所述第一处理组件配置。5.根据权利要求1所述的系统，还包括掩蔽组件，所述掩蔽组件用于在所述一个或更多个硬件加速器中的任何硬件加速器使用与所述第一处理组件相关联的密钥期间为所述密钥提供密钥掩蔽。6.根据权利要求1所述的系统，还包括：第一存储器，其用于存储与所述第一处理组件相关联的密钥，以及第二存储器，其用于存储与所述第二处理组件相关联的密钥，所述第二存储器与所述第一存储器是分开的。7.根据权利要求1所述的系统，还包括数据清除组件，所述数据清除组件用于在完成所述第一处理组件所请求的操作之后从所述一个或更多个硬件加速器清除数据。8.根据权利要求1所述的系统，其中，所述第一处理组件是硬件安全模块HSM的组件，所述HSM是访问受限的。9.根据权利要求1所述的系统，其中，所述一个或更多个硬件加速器包括密码加速器或散列加速器中的至少一个。10.一种具有增强的安全性的系统，包括：一个或更多个硬件加速器，其用于执行与提供通信安全相关联的密码操作或散列操作；安全域中的安全处理组件；所述安全域外部的一组非安全处理组件；为所述安全处理组件提供对所述一个或更多个硬件加速器的访问的通道；以及为所述一组非安全处理组件提供对所述一个或更多个硬件加速器的访问的一个或更多个通道，所述一个或更多个通道在所述安全域外部。11.根据权利要求10所述的系统，还包括映射组件，所述映射组件用于提供所述一个或更多个硬件加速器到以...

【专利技术属性】
技术研发人员：曼努埃拉，
申请(专利权)人：英飞凌科技股份有限公司，
类型：发明
国别省市：