用于对片上系统进行认证的方法及相关产品技术方案

本公开涉及一种用于对片上系统进行认证的方法和相关产品，该相关产品包括片上系统、认证设备、计算机程序产品和认证系统。该产品可以包括在组合处理装置的计算处理装置中，该计算处理装置可以包括一个或多个数据处理装置。前述的组合处理装置还可以包括接口装置和其他处理装置。所述计算处理装置与其他处理装置进行交互，共同完成用户指定的计算操作。组合处理装置还可以包括存储装置，该存储装置分别与设备和其他处理装置连接，用于存储该设备和其他处理装置的数据。通过本公开的方案，可以认证运行阶段的片上系统是否可信。以认证运行阶段的片上系统是否可信。以认证运行阶段的片上系统是否可信。

【技术实现步骤摘要】
用于对片上系统进行认证的方法及相关产品


[0001]本公开一般地涉及认证
更具体地，本公开涉及一种用于对片上系统进行认证的方法、用于执行前述方法的片上系统、认证设备和计算机程序产品以及包括前述片上系统和认证设备的认证系统。

技术介绍

[0002]随着片上系统技术的不断提升，其被广泛应用于多个
通常所说的片上系统(System on Chip，简写“SoC”)是指在单个芯片上集成微电子应用产品所需全部功能的系统。目前对于片上系统的研究多偏向于片上系统的算力方面，而涉及对片上系统(特别是运行阶段的片上系统)的安全性的研究还并不充分。特别地，在现有相关技术中，即便存在对片上系统的安全性进行认证的操作，该操作也需要搭建额外的专用硬件(例如可信任平台模块TPM(Trusted Platform Module))来实现。鉴于此，可以看出当前对片上系统的认证过程不仅繁琐和低效，并且还增加了认证的成本。

技术实现思路

[0003]鉴于上述
技术介绍
部分所提及的技术问题，本公开提出一种用于对片上系统进行认证的方案。利用本公开的方案，无需增加额外的专用硬件即可实现对片上系统的认证。特别地，对于运行阶段的片上系统，本公开的认证方案不仅降低对片上系统的认证成本，同时还确保了片上系统的安全性，并进而提升了片上系统的安全认证等级。为此，本公开在如下的多个方面中提供用于对片上系统进行认证的方案。
[0004]在第一方面中，本公开提供了一种用于对片上系统进行认证的方法，包括：从认证设备接收对片上系统进行认证的认证请求，其中所述认证请求包括第一认证信息；根据所述第一认证信息和第二认证信息确定认证证据；以及向所述认证设备发送所述认证证据，以便所述认证设备利用所述认证证据对运行阶段的所述片上系统是否可信进行认证。
[0005]在第二方面中，本公开提供了一种用于对片上系统进行认证的方法，包括：生成用于发起对所述片上系统进行认证的认证请求，其中所述认证请求包括第一认证信息；向所述片上系统处发送所述认证请求，以便在所述片上系统处接收到所述认证请求时，基于第二认证信息和所述第一认证信息确定认证证据；从所述片上系统处接收所述认证证据；以及根据所述认证证据对运行阶段的所述片上系统是否可信进行认证。
[0006]在第三方面中，本公开提供了一种用于对片上系统进行认证的方法，包括：在认证设备处执行：用于发起对所述片上系统进行认证的认证请求，其中所述认证请求包括第一认证信息；向所述片上系统处发送所述认证请求；在处于运行阶段的片上系统处执行：接收来自于所述认证设备的所述认证请求；根据所述第一认证信息和第二认证信息确定认证证据；以及向所述认证设备发送所述认证证据；在所述认证设备处执行：接收所述认证证据；以及根据所述认证证据对处于运行阶段的所述片上系统是否可信进行认证。
[0007]在第四方面中，本公开提供了一种片上系统，包括：处理器；以及存储器，其存储有
程序，当所述程序由处理器执行时，使得所述片上系统执行本公开的第一方面提供的方法以及在下文多个实施例中的方法。
[0008]在第五方面中，本公开提供了一种用于对片上系统进行认证的认证设备，包括：处理器；以及存储器，其存储有程序，当所述程序由处理器执行时，使得所述认证设备执行本公开的第二方面提供的方法以及在下文多个实施例中的方法。
[0009]在第六方面中，本公开提供了一种计算机程序产品，包括用于对片上系统进行认证的计算机程序，所述计算机程序在被处理器执行时，实现本公开的第一方面提供的方法及其将在下文描述的多个实施例的方法，或者实现本公开的第二方面提供的方法及其将在下文描述的多个实施例中的方法。
[0010]在第七方面中，本公开提供了一种用于对片上系统进行认证的认证系统，包括：至少一个如前述的片上系统，其配置成执行本公开的第一方面提供的方法及其将在下文描述的多个实施例中的方法，以便生成所述认证证据；以及如前述的认证设备，其配置成执行本公开的第二方面提供的方法及其将在下文描述的多个实施例中的方法，以便根据所述认证证据来认证运行阶段的所述片上系统是否可信。
[0011]通过如上多个方面中所提供的方案，本公开可以实现对片上系统的有效安全认证，特别是运行阶段时的片上系统的有效认证。具体地，本公开的方案通过认证设备侧的第一认证信息和片上系统侧的第二认证信息来确定认证证据，以便认证设备利用认证证据对运行阶段的片上系统是否可信进行认证。通过本公开的认证方案，整个认证过程无需增加额外的专用硬件，从而有效降低了认证成本。由此，可以使得片上系统应用到低成本的
(例如低成本的物联网领域)中，从而拓宽了片上系统的应用市场。进一步，在一些实施场景中，本公开的认证证据中可以包括关于片上系统的敏感信息，该敏感信息例如可以包含经加密的系统配置参数和系统内存填充值。基于这样的设置，通过对前述这些敏感信息的认证，本公开的方案不仅能够确认启动阶段的片上系统是否可信，还能够及时确认运行阶段的片上系统是否可信。由此，本公开的方案确保了片上系统的安全性，并进而增强了片上系统的安全认证等级。
附图说明
[0012]通过参考附图阅读下文的详细描述，本公开示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本公开的若干实施方式，并且相同或对应的标号表示相同或对应的部分，其中：
[0013]图1是示出根据本公开实施例的板卡的结构图；
[0014]图2是示出根据本公开实施例的组合处理装置的结构图；
[0015]图3是示出根据本公开实施例的计算装置的内部结构示意图；
[0016]图4是示出根据本公开实施例的处理器核的内部结构示意图；
[0017]图5是示出根据本公开实施例的不同集群的处理核间的数据写入过程的示意图；
[0018]图6A是示出根据本公开的一个实施例的用于对片上系统进行认证的方法的流程图；
[0019]图6B是示出根据本公开一个实施例的生成认证证据的方法的流程图；
[0020]图7A是示出根据本公开另一个实施例的用于对片上系统进行认证的方法的流程
图；
[0021]图7B是示出根据本公开另一个实施例的根据认证证据对片上系统进行认证的方法的流程图；
[0022]图8是示出根据本公开的一个实施例的认证系统中设备之间的认证交互过程的示意图；以及
[0023]图9是示出根据本公开的另一个实施例的认证系统中设备之间的认证交互过程的示意图。
具体实施方式
[0024]下面将结合本公开实施方式中的附图，对本公开实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本公开一部分实施方式，而不是全部的实施方式。基于本公开中的实施方式，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式，都属于本公开保护的范围。
[0025]应当理解，本公开的权利要求、说明书及附图中的术语“第一”、“第二”、“第三”和“第四”等是本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于对片上系统进行认证的方法，包括：从认证设备接收对片上系统进行认证的认证请求，其中所述认证请求包括第一认证信息；根据所述第一认证信息和第二认证信息确定认证证据；以及向所述认证设备发送所述认证证据，以便所述认证设备利用所述认证证据对运行阶段的所述片上系统是否可信进行认证。2.根据权利要求1所述的方法，其中所述第一认证信息由所述认证设备动态生成，并且所述第二认证信息包括所述片上系统的敏感信息和基于设备标识组合引擎动态生成的密钥，所述方法还包括:在所述片上系统处获取所述第二认证信息。3.根据权利要求2所述的方法，其中所述密钥是基于设备标识组合引擎动态生成的，所述方法还包括：获取所述片上系统的唯一标识信息；令所述设备标识组合引擎执行以下操作：使用所述唯一标识信息来生成唯一设备秘密；以及基于所述唯一设备秘密来生成非对称加密的所述密钥。4.根据权利要求3所述的方法，其中在使用所述唯一标识信息来生成唯一设备秘密中，所述设备标识组合引擎执行：动态生成随机数；以及对所述随机数和所述唯一标识信息进行单向运算，得到所述唯一设备秘密。5.根据权利要求3所述的方法，其中在基于所述唯一设备秘密来生成非对称加密的所述密钥中，所述设备标识组合引擎执行：基于所述唯一设备秘密分别对所述片上系统中各个软件层的镜像加载的完整性进行度量，得到每个所述软件层的度量值；对所有所述软件层的度量值和所述唯一设备秘密进行单向运算，以得到密钥初始值；以及对所述密钥初始值进行密钥派生运算，以得到所述密钥。6.根据权利要求2至5中任一项所述的方法，其中所述密钥包括公钥和私钥，其中根据所述第一认证信息和所述第二认证信息确定认证证据包括在所述片上系统的运行阶段，执行以下操作：根据所述私钥对所述敏感信息和所述第一认证信息进行加密签名；以及根据所述公钥、经加密签名后的敏感信息和第一认证信息生成所述认证证据。7.根据权利要求6所述的方法，其中所述敏感信息包括经加密的系统配置参数和系统内存填充值。8.一种用于对片上系统进行认证的方法，包括：生成用于发起对所述片上系统进行认证的认证请求，其中所述认证请求包括第一认证信息；向所述片上系统处发送所述认证请求，以便在所述片上系统处接收到所述认证请求时，基于第二认证信息和所述第一认证信息确定认证证据；
从所述片上系统处接收所述认证证据；以及根据所述认证证据对运行阶段的所述片上系统是否可信进行认证。9.根据权利要求8所述的方法，其中所述第一认证信息包括随机数，所述方法包括：在每次生成所述认证请求的过程中，动态地生成所述随机数。10.根据权利要求8所述的方法，其中根据所述认证证据对运行阶段的所述片上系统是否可信进行认证...

【专利技术属性】
技术研发人员：ꢀ七四专利代理机构，
申请(专利权)人：寒武纪行歌南京科技有限公司，
类型：发明
国别省市：