[发明专利]无需制造者和用户知道彼此的加密信息的安全处理器系统

说明书

技术领域

本发明涉及具有处理器的系统，更具体地，涉及能够阻止执行未经授权的代码的安全处理器系统，用于构成这样的系统的安全处理器，和控制安全处理器系统的方法。

背景技术

在使用处理器的系统中，可由程序来定义系统的操作，因此与其中所有组件都是由固定组成的系统相比较而言，该系统的设计和操作更灵活，并且可容易地实现各种功能。因为该优点，现在处理器被安装在诸如个人计算机等之类的各种计算机以及诸如PDA(个人数字助理)、移动电话、信息家电等之类的各种信息设备中。

图1A是示出使用传统处理器的系统的一般配置的示图。如图示意性示出的，系统具有处理器1和外部ROM 6。通常，处理器1具有执行命令处理的CPU核2，用于激活的内置ROM 4，用于与内部或外部存储器通信的存储器接口(IF)5，和将这些模块相互连接的内部总线3，并且处理器1被形成到单片半导体中。在某些情况下可以不设置内置ROM 4，在这样的情况下经由存储器接口从外部激活处理器。此外，还可以安装其他外围功能块。然而，在此不对这些情况进行说明，因为他们与本实施例的关系有限。外部ROM 6存储用于操作处理器1的控制程序7。

在此配置中，为了使处理器执行期望的操作，将程序存储在可重写的外部存储介质(例如闪存ROM)6中。然而，这样的配置很容易受到外部解密(deciphering)的攻击，例如，物理去除ROM 6，也就是说，如果内部处理程序高度敏感即对版权进行管理，则在该系统中将不能确保安全处理，结果不能实现这样的系统。

随着网络越来越发达，信息设备更可能被连接到一个网络或者多个网络，邮件和其他数据将更频繁地经由网络被发送和接收，并且程序将经由网络被更频繁地下载。在这样的环境中，经由网络等被计算机病毒感染的危险以及未经授权的访问近来不断增加，因此，随着网络被更广泛地使用，由计算机和移动信息终端执行的程序的安全性越来越重要。

为了确保包括处理器的鲁棒信息设备的安全性，使用了诸如加密数据、用户认证等之类的各种系统性措施。然而，近来，除了系统的安全性之外，为了应对计算机病毒和未经授权的访问的传播，软件和处理器的安全性也越来越重要。

例如，将各种包含处理器的设备(例如移动电话、信息家电等)连接到网络增大了使这些设备面临与个人计算机等相同的风险的可能性。未经授权的访问通过在其终端执行恶意的可执行代码而变得有效。因此，必需阻止在处理器中执行恶意代码和不期望的代码。然而，目前，在处理器一侧用于阻止执行恶意代码的对策尚不充足，并且存在这样的问题：没有提供安全的软件执行环境。

为了解决这个问题，最近，已经研究了安全处理器。安全处理器通过加密在处理器外部处理的数据并提供对内部的访问保护使得不可能直接地读取数据。例如，数据和命令代码被加密并被存储在主存储设备或次存储设备中，当处理器执行命令时，加密的命令代码被解密并被存储在高速缓冲存储器中，然后被执行。

本申请人已经在日本未经审查的专利公开(KoKai)No.2006-18528(JP2006-18528A)中公开了这样一种安全处理器。

图1B是示出在JP2006-18528A中公开的安全处理器的基本配置的示图。如图示意性示出的，安全处理器10具有包括执行单元和高速缓存的(CPU)核11，执行与外部接口的命令处理、对总线数据(程序代码或数据)的加密和解密等的加密处理块12，执行对命令代码的认证的代码认证处理块13，其中加密并存储了用于激活处理器的最基础的程序等的加密的ROM代码区域14，和保存用于解密存储在代码区域14中的程序等的CPU唯一密钥的CPU唯一密钥保存寄存器15。

然后，在核11和加密处理块12之间，交换命令和数据并执行对用于加密的密钥的控制，并且在核11和代码认证处理块13之间，提供认证接口。此外，加密处理块12和代码认证处理块13访问主存储器17并且代码认证处理块13访问次存储器18。

在JP2006-18528A中公开的安全处理器中，不能从外部访问CPU唯一密钥保存寄存器15。在确定CPU唯一密钥之后，安全处理器的用户(系统制造者)通知制造者该CPU唯一密钥，并且制造者在制造该处理器时将所通知的CPU唯一密钥设定到CPU唯一密钥保存寄存器15中。然后制造者和用户在严格监视下保存CPU唯一密钥以防止它向外部泄漏。安全处理器仅根据被利用CPU唯一密钥正确加密的程序来操作。因此，即使程序被不知道CPU唯一密钥的恶意第三方恶意改变，也不可能导致安全处理器以未经授权的方式操作。