一种计算系统,可实现分裂随机数生成器,该分裂随机数生成器可使用随机数生成器来生成种子值并将这些种子值存储在存储器中以供一个或多个核心处理器检索和使用,从而为每个核心处理器内的安全过程生成随机数。核心处理器内的安全过程生成随机数。核心处理器内的安全过程生成随机数。
【技术实现步骤摘要】
【国外来华专利技术】分裂随机数生成器
技术介绍
[0001]许多现代计算系统将随机数生成器用于各种应用,包括但不限于游戏、信号和图像处理、金融和科学系统建模、方程求解以及计算机安全和密码学。在计算系统内操作的随机数生成器可生成一系列随机数,作为落在给定值范围内且在该范围内具有指定分布的独立数序列。理想的随机数生成器提供具有高熵的均匀分布的、非确定性的、独立的位流。
[0002]在一些计算系统中,随机数生成器可以在软件中实现。此类软件随机数生成器通常生成最终确定性的数字序列,并且因此更好地表征为伪随机数生成器;然而,这些解决方案可利用各种技术来降低所生成的数字的可预测性。例如,随机数生成器可利用来自高熵源的动态种子值,诸如来自系统时钟、键击时序、鼠标移动等的数据,并结合该数据来对随机数生成器的计算设定种子,以减少或消除相关性和可预测性。
附图说明
[0003]在附图的各图中以示例而非限制的方式示出了本公开。
[0004]图1示出了其中实现分裂随机数生成器的计算机系统的实施方案。
[0005]图2是示出分裂随机数生成器的实施方案的计算机系统部件的框图。
[0006]图3示出了可由计算机系统的各种部件执行的分裂随机数过程的实施方案。
具体实施方式
[0007]以下描述阐述了众多具体细节诸如特定系统、部件、方法等的示例,以便提供对实施方案的良好理解。然而,对于本领域技术人员将显而易见的是,可在没有这些具体细节的情况下实践至少一些实施方案。在其他情况下,未详细描述众所周知的部件或方法,或者以简单的框图格式呈现众所周知的部件或方法,以便避免不必要地混淆实施方案。因此,所阐述的具体细节仅是示例性的。特定具体实施可因这些示例性细节而异,并且仍设想在实施方案的实质和范围内。
[0008]高质量随机数生成是许多安全应用的关键部分,包括密钥生成、椭圆曲线密码学(ECC)、高带宽数字内容保护(HDCP)、加密以及其他应用。具有低熵、高相关性且可预测的低质量随机数可能导致安全漏洞和系统受损。
[0009]一些应用(包括但不限于访问控制、识别、加密、音频噪声生成等)可能受益于包括至少一个单随机数生成器作为熵源的分裂随机数生成器,该熵源为每个中央处理单元(CPU)核心提供唯一的种子值,而不是每个CPU为其自己的随机数生成器生成种子值。例如,分裂设计的实施方案的一个益处是在通过在可并行使用的各个随机数生成器中实现的固件实现良好性能与不消耗物理管芯面积来在每个处理器核心中复制独立硬件随机数生成器之间实现权衡。
[0010]图1示出了其中实现分裂随机数生成器的计算系统100的实施方案。一般来讲,计算系统100被体现为多种不同类型的设备中的任一设备,包括但不限于膝上型计算机或台式计算机、移动设备、服务器等。计算系统100包括通过数据编织/总线101彼此通信的多个
部件102
‑
108。在计算系统100中,部件102
‑
108中的每个部件可配置为能够直接通过数据编织/总线101或者经由其他部件102
‑
108中的一个或多个部件与其他部件102
‑
108中的任一部件进行通信。在各种实施方案中,计算系统100中的部件102
‑
108中的一些或全部可包含在单个物理外壳(诸如膝上型电脑或台式机机箱或移动电话壳)内,而其他设备可位于外壳外部,诸如显示器110或外围设备108。在其他实施方案中,这些部件中的一些部件(例如,CPU复合体104A
‑
104N和平台安全复合体105)可驻留在同一硅基板上或作为计算系统100内的同一封装内的单独硅。
[0011]在一个实施方案中,每个CPU复合体104A
‑
104N包括位于共同集成电路基板上的处理部件(诸如一个或多个处理器核心),这些处理部件可包括其他专用处理和可编程部件和逻辑以例如实现确定性随机位生成器(DRBG)。在一些实施方案中,一个或多个CPU复合体104A
‑
104N还可包括具有高度并行架构的数据并行处理器,诸如图形处理单元(GPU)、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)等中的一者或多者。
[0012]在各种实施方案中,平台安全复合体105可包括各种部件,诸如处理器或微控制器、密码协处理器、随机数生成器、本地存储器、存储器管理单元以及用于与平台安全复合体105外部的其他部件(诸如CPU复合体104A
‑
104N)通信的各种接口。平台安全复合体105的功能包括但不限于创建、监视和维护安全环境、管理启动过程、初始化各种安全相关机制以及监视计算系统100的任何可疑活动或事件并相应地作出响应。在一个实施方案中,平台安全复合体105为在CPU复合体104A
‑
104N中实现的随机数生成器提供熵或随机数生成器种子值以实现安全处理,并符合国际安全标准(例如,美国国家标准技术研究所(NIST)安全性框架)。
[0013]计算系统100还可包括存储器子系统106,该存储器子系统包括由计算系统100的一个或多个部件使用的存储器设备。例如,存储器设备诸如随机存取存储器(RAM)模块、动态随机存取存储器(DRAM)模块、只读存储器(ROM)模块、位寄存器、硬盘和其他非暂态计算机可读介质。为了方便起见,在本文存储器设备已被分组到存储器子系统106中,然而存储器设备(诸如例如寄存器或ROM)可位于整个计算系统100中,并且在一些情况下位于计算系统100外部,诸如外部驱动器或其他计算机系统。
[0014]计算系统100包括用于从用户接收信息或向用户提供信息的用户接口设备。具体地,计算系统100包括输入设备102,诸如键盘、鼠标、触摸屏或用于从用户接收信息的其他设备。计算系统100可经由显示器110(诸如监视器、发光二极管(LED)显示器、液晶显示器或其他输出设备)向用户显示某些信息。计算系统100附加包括用于通过有线或无线网络传输和接收数据的网络适配器107,并且还包括一个或多个外围设备108。外围设备108可包括海量存储设备、位置检测设备、传感器、输入设备或计算系统100所使用的其他类型的设备。
[0015]计算系统100的一些实施方案可包括比图1中示出的实施方案更少或更多的部件。例如,某些实施方案在没有任何显示器110或输入设备102的情况下实现。其他实施方案可具有多于一个特定部件。例如,计算系统100的实施方案可具有除数据编织/总线101之外的附加网络适配器或存储器部件或通信路径,以将设备通信地耦合在一起。
[0016]分裂随机数生成器的一个实施方案包括主随机数生成器以生成种子值以存储在每个CPU核心内的每个核心随机数生成器可访问的存储器中。图2示出了包括密码协处理器202、私有存储器214和核心处理器220A
‑
220N的分裂随机数生成器200的实施方案。在一个
实施方案中,密码协处理器202驻留在平台安全复合体(例如,图1本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种计算机系统,所述计算机系统包括:主随机位生成器,所述主随机位生成器被配置为生成种子值,所述种子值对应于耦合到所述主随机位生成器的核心处理器,其中所述核心处理器被配置为检索由所述主随机位生成器生成的所述种子值。2.根据权利要求1所述的计算机系统,所述计算机系统还包括耦合到存储器的平台安全复合体,其中所述平台安全复合体包括所述主随机位生成器并且被配置为:将所生成的种子值和标志的第一值存储在所述存储器中,其中所述标志唯一地对应于所述种子值和所述核心处理器,并且所述第一值指示所述存储器中的新种子值。3.根据权利要求2所述的计算机系统,其中用以检索所述种子值的所述核心处理器被进一步配置为:检查对应于所述核心处理器的所述标志的值;当所述标志的所述值为所述第一值时,从所述存储器中检索对应于所述标志和所述核心处理器的所述种子值;以及将所述标志从所述第一值设定为第二值,以指示所述核心处理器检索到所述新种子值。4.根据权利要求3所述的计算机系统,其中所述平台安全复合体被进一步配置为:检查对应于所述核心处理器的所述标志的所述值;当所述标志的所述值为所述第二值时,生成新种子值并将所述新种子值写入所述存储器中;以及将所述标志的所述值从所述第二值设定为所述第一值。5.根据权利要求4所述的计算机系统,所述计算机系统还包括计数器,所述计数器被配置为生成触发事件,以发起对应于所述核心处理器的所述标志的所述检查。6.根据权利要求1所述的计算机系统,其中所述核心处理器为位于一个或多个CPU复合体中的多个核心处理器中的一个核心处理器。7.根据权利要求1所述的计算机系统,其中对于每个核心处理器,所述核心随机位生成器被配置为基于触发事件来检查存储器中对应于所述核心处理器的所述种子值。8.根据权利要求7所述的计算机系统,其中每个核心处理器包括计数器,所述计数器被配置为当所述计数器的值达到阈值时生成所述触发事件。9.一种方法,所述方法包括:生成种子值;将所述种子值存储在存储器中,每个种子值对应于核心处理器;由所述核心处理器从所述存储器中检索对应的种子值;以及基于所检索的对应种...
【专利技术属性】
技术研发人员:戴维,
申请(专利权)人:超威半导体公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。