使用硬件安全等级的安全计算的体系结构、系统及其方法技术方案

片上系统(SoC)设计为包括保护护城河(protective moat)，从而允许SoC的外部接口充当安全执行者。防止将数据传送到不受信任的设备。数据可能只留给能够以其各自的安全等级保护该数据的友好设备。防止代码访问数据或跳转到代码无权处理或跳转到的地址。根据一个实施例，数据和代码都以相应的等级被加密存储，每个等级具有不同的加密密钥。n

【技术实现步骤摘要】
使用硬件安全等级的安全计算的体系结构、系统及其方法
[0001]相关申请的交叉引用
[0002]本申请要求于2020年12月28日提交的美国临时申请第63/131,077号的优先权，其内容通过引用并入本文。


[0003]本公开涉及计算环境，并且更具体地涉及安全计算环境，其与外部系统交互，该外部系统与该安全计算环境通信连接。

技术介绍

[0004]如今，保护系统中的数据和代码对于几乎任何规模的企业来说都是一项日益严峻的挑战。恶意攻击是常见的，由于旨在窃取数据的恶意软件和例如旨在破坏数据的勒索软件，导致系统损坏。随着时间的推移，已经开发出了各种解决方案，但实际上每天都可以清楚地看到，犯罪者会找到进入系统的漏洞，并造成重大损害需要支付大量赎金以释放捕获的数据，或者花费时间和资源从此类攻击后留下的损坏中恢复系统的情况并不少见。还经常看到数据泄露报告，导致数据泄露或以其他方式被称为被盗的实体的声誉受损。
[0005]有多种解决方案来处理破坏数据和代码的企图，最常见的一种是使用防火墙。防火墙试图阻止大多数已知攻击方式的访问，并且在某些情况下还能够检测此类尝试的常见模式。其他保护手段包括监控系统活动和寻找异常，无论是实时还是离线。但是，每个系统都有其漏洞，黑客非常乐意找到并利用它们。在大多数情况下，只有在进行检测后漏洞才会被关闭，并且在许多情况下至少发生了一些损坏之后。
[0006]保留在系统存储器中的敏感数据或代码是易受攻击的，因此现有技术解决方案试图在系统执行不同操作的同时持续保护该数据。虽然这些解决方案有其优点，但也有其弱点。最大的弱点在于其完全或部分基于软件，并且几乎所有攻击都攻击软件漏洞。当然，一旦安全被破坏，无论出于何种原因，损害都会发生。这可能是因为保护系统在进入时没有识别恶意渗透者，或者没有检测到攻击，因为执行的操作看起来是合法的。因此，提供一种为系统提供与渗透情况独立的安全级别的解决方案将是有利的。
[0007]对每条指令和事务强制实施零信任将更加有利。例如，Evan Gilman和Doug Barth在 Zero Trust Networks中描述了零信任。允许可信执行环境(TEE)的轻松定义和迁移，这是机密计算计划背后的目标，这将更为有利。

技术实现思路

[0008]本公开的若干示例实施例的概述如下。提供该概述是为了方便读者以提供对此类实施例的基本理解，并不完全限定本公开的范围。该概述不是所有预期实施例的广泛概述，并且既不旨在识别所有实施例的关键或关键要素，也不旨在描绘任何或所有方面的范围。其唯一目的是以简化形式呈现一个或多个实施例的一些概念，作为稍后呈现的更详细描述的前奏。为方便起见，本文可以使用术语“一些实施例”或“某些实施例”来指代本公开的单
个实施例或多个实施例。
[0009]本文公开的某些实施例包括一种安全系统，其包括：多个第一存储器单元，适于包含多个第一安全等级，其中每个第一安全等级被分配给该安全系统中的多个数据部分的相应数据部分，多个数据部分包括第一数据部分、第二数据部分和第三数据部分；多个第二存储单元，适于包含多个第二安全等级，其中每个第二安全等级被分配给安全系统中的多个代码部分的相应代码部分，该多个代码部分包括第一部分代码、第二部分代码和第三部分代码；处理电路；以及存储器，该存储器包含指令，当由处理电路执行时，该指令将安全系统配置为：基于至少一个许可规则、以及分配给第一数据部分和第二数据部分的相应第一安全等级，确定第一数据部分和第二数据部分之间的第一交互是否被允许；当确定第一交互被允许时，基于分配给第一数据部分和第二数据部分的相应安全等级生成第一结果安全等级；当确定第一交互不被允许时，阻止第一交互；基于至少一个许可规则、和分配给第一数据部分和第二数据部分的各自的第一安全等级，确定是否允许第一数据部分和第二数据部分之间的第二交互，当确定第二交互被允许时，基于分配给第一代码部分和第二代码部分的各自的安全等级生成第二结果安全等级；当确定第二交互不被允许时，阻止第二交互；基于至少一个许可规则和分配给第一数据部分和第二数据部分的各自的第一安全等级，确定是否允许第一数据部分和第二数据部分之间的第三交互，当确定第三交互被允许时，基于分配给第三数据部分和第三代码部分的相应安全等级生成第三结果安全等级，当确定第三交互不被允许时，阻止第三交互。
[0010]本文公开的某些实施例还包括一种用于安全计算的系统，包括：处理元件，其被配置为处理矩阵，该矩阵定义由处理元件处理的数据的安全等级和代码之间的交互。
[0011]本文公开的某些实施例还包括一种用于安全计算的系统，该系统包括：被配置为处理矩阵的子系统，该矩阵定义由处理元件处理的数据的安全等级和代码之间的交互。
附图说明
[0012]通过结合附图进行的以下详细描述，前述和其他目的、特征和优点将变得明显并且更容易理解，其中：
[0013]图1是根据一个实施例的用于在对存储块进行写入时确定存储块的安全等级的系统的示意框图；
[0014]图2是系统和在其中移动的数据及其安全等级的示意框图；
[0015]图3是根据一个实施例计算安全上下文的流程图；
[0016]图4是根据一个实施例计算操作的安全等级的流程图；
[0017]图5A是根据一个实施例的具有第一配置的加速器的框图；
[0018]图5B是根据一个实施例的具有第二配置的加速器的框图；
[0019]图6是根据一个实施例的写入存储时加密安全等级的框图；
[0020]图7是根据一个实施例的从存储读取时加密安全等级的框图；
[0021]图8是根据一个实施例的包括在SoC逻辑周围提供安全护城河的接口的片上系统的框图；
[0022]图9是示出根据一个实施例从合格服务器接收安全令牌以证明其身份和安全能力的可信执行环境(TEE)的通信图；
[0023]图10是根据一个实施例实施的网络接口的流程；
[0024]图11是根据实施例的在其中包含封装的安全等级的数据包的格式；
[0025]图12是根据一个实施例的用于检测连接打开的传出数据包的修改网络接口框图；
[0026]图13是根据一个实施例的用于传入分组的修改的网络接口框图；
[0027]图14是根据一个实施例的对数据读取的代码
‑
数据和代码
‑
代码兼容性执行的检查的框图；
[0028]图15是根据一个实施例的其中在数据
‑
数据或数据
‑
代码不兼容的情况下结果无效的安全执行流程的示意图；
[0029]图16是根据一个实施例的通过入口功能汇集调用的框图；
[0030]图17是根据一个实施例的比较具有和不具有汇集的通信流的通信图，其中不具有汇集的情况是用户功能不能调用工作者功能，更具体地说是工作者功能中的地址；
[0031]图18是根据一个实施例的使用针对传感器数据和驱动元件命令的硬件识别的用于车辆的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于安全计算的系统，包括：处理元件，被配置为处理矩阵，所述矩阵定义由所述处理元件处理的数据和代码的安全等级之间的交互。2.根据权利要求1所述的系统，还包括：通信地连接到所述处理元件的互连，其中所述互连上的数据附有所述数据各自的安全等级。3.根据权利要求1所述的系统，还包括：通信地连接到所述处理元件的互连，其中所述互连上的代码附随有所述代码各自的安全等级。4.根据权利要求1所述的系统，还包括：通信地连接到所述处理元件的内存控制器，其中所述内存控制器被配置为处理以下中的至少一个：基于与所述数据相关联的安全等级的关于读取操作和写入操作的数据，以及与所述代码相关联的安全等级。5.根据权利要求1所述的系统，其中所述处理元件是以下任一者：加速器、处理器、控制器、组合逻辑、数据路径和直接存储器存取(DMA)控制器。6.根据权利要求1所述的系统，其中安全等级之间的交互包括第一数据部分和第二数据部分之间的交互，所述第一数据部分和所述第二数据部分中的每一个均具有相应的安全等级。7.根据权利要求1所述的系统，其中安全等级之间的交互包括第一代码部分和第二代码部分之间的交互，所述第一代码部分和所述第二代码部分中的每一个均具有相应的安全等级。8.根据权利要求1所述的系统，其中安全等级之间的交互包括数据部分和代码部分之间的交互，所述数据部分和所述代码部分中的每一个均具有对应的安全等级。9.根据权利要求1所述的系统，其中，所述处理元件还被配置为确定安全等级之间的不兼容性。10.根据权利要求9所述的系统，其中，当确定安全等级之间不兼容时，所述处理元件还被适配成生成异常通知。11.根据权利要求9所述的系统，其中，当确定安全等级之间不兼容时，所述处理元件还被适配成组织所述处理元件的动作。12.根据权利要求4所述的系统，其中，所述内存控制器还被配置成在接收到写指令时确定是否进行写动作，所述写指令包括对应的安全等级和要写入内存页中的数据部分，所述数据部分和所述内存页中的每一个均具有相应的安全等级。13.根据权利要求12所述的系统，其中，所述内存控制器还被配置为当确定要执行写动作时将所述数据部分和对应的安全等级写入所述内存页。14.根据权利要求13所述的系统，其中，所述系统还被配置为当确定不执行写动作时生成异常通知。15.根据权利要求13所述的系统，其中，所述系统还被配置为当确定不执行写动作时丢弃所述写指令。16.根据权利要求1所述的系统，其中，所述系统是片上系统。17.一种安全系统，包括：多个第一存储单元，被适配成包含多个第一安全等级，其中每个第一安全等级被分配给所述安全系统中的多个数据部分的相应数据部分，所述多个数据部分包括第一数据部
分、第二数据部分和第三数据部分；多个第二存储单元，被适配成包含多个第二安全等级，其中每个第二安全等级被分配给所述安全系统中的多个代码部分的相应代码部分，所述多个代码部分包括第一代码部分、第二代码部分和第三代码部分；处理电路；和存储器，所述存储器包含指令，当所述指令由所述处理电路执行时，将所述安全系统配置为，基于至少一个许可规则和分配给第一数据部分和第二数据部分的相应第一安全等级，确定是否允许第一数据部分和第二数据部分之间的第一交互；当确定所述第一交互被允许时，基于分配给第一数据部分和第二数据部分的相应安全等级生成第一结果安全等级；当确定所述第一交互不被允许时，阻止所述第一交互；基于至少一个许可规则和分配给第一数据部分和第二数据部分的各自的第一安全等级，确定是否允许第一数据部分和第二数据部分之间的第二交互；当确定所述第二交互被允许时，基于分配给第一代码部分和第二代码部分各自的安全等级生成第二结果安全等级；当确定所述第二交互不被允许时，阻止所述第二交互；基于至少一个许可规则和分配给第一数据部分和第二数据部分各自的第一安全等级，确定是否允许第一数据部分和第二数据部分之间的第三交互；当确定所述第三交互被允许时，基于分配给第三数据部分和第三代码部分的相应安全等级生成第三结果安全等级；并当确定所述第三交互不被允许时，阻止所述第三交互。18.根据权利要求17所述的安全系统，其中在尝试交互时，每个被阻...

【专利技术属性】
技术研发人员：M，
申请(专利权)人：M，
类型：发明
国别省市：