[发明专利]安全控制的多处理器系统

说明书

相关申请的交叉参考

本申请要求于2012年4月27日提出申请的美国临时专利申请号61/639,394的权益和于2012年6月7日提出申请的美国专利申请号13/491,309的权益，其全部内容结合于此以作参考。

技术领域

本发明涉及计算机安全，更具体地，涉及安全处理系统。

背景技术

安全性是现代计算机系统的关键部分。计算机安全系统和技术确保有价值的信息和系统不会被黑客或恶意软件危害。为此，许多组织公开了安全标准，供应商可以使用这些安全标准作为硬件和/或软件安全性的准则。信息技术安全评估的通用标准（“通用标准（Common Criteria）”或“CC”）是目前用作开发、评估、和/或采购具有安全功能的IT产品的准则。

CC提供一组公共需求用于IT产品的安全功能和在安全评估期间应用于这些IT产品的保证措施。这些IT产品可以以硬件、固件或软件实施。在CC下的评估过程创建应用于IT产品的IT产品的安全功能和保证措施满足预定义的需求的置信水平。可以证明遵守CC是国家批准授权的，例如美国的国家标准与技术研究院（NIST）国家自愿实验室认证程序（NVLAP）。

用户要求的一个公共安全需求是，只有通过认证（或信任的）代码可以在系统的安全域（例如，安全处理器）中执行。先前用于实现该需求的方法使用硬件机制允许单个处理器作为两个处理器在逻辑上工作。然而，从安全的角度来看，该结构要求设备的安全部分不能与应用处理器同时工作。对于高安全性应用来说，该结构进一步不允许经过认证的处理器响应篡改系统的攻击。

而且，在实现该需求的过程出现的困难在多应用环境中逐渐增加。例如，安全（经过认证的）应用（例如，经过认证的金融应用程序）必须与用户编写的小应用程序共存。因此，一旦将用户编写（不受信任的）的小应用程序增加至环境中，任何认证要求会变得无效。

因此，需要保持系统的安全部件的认证同时允许在系统中执行不受信任代码的系统和方法。

发明内容

为了解决上述问题，本发明提供了以下系统和方法：

（1）一种系统，包括：

安全处理系统，包括：

硬件存储保护单元（HMPU），被构造为限制对所述安全处理系统的访问，

安全存储器被构造为存储安全策略，以及

安全处理器被构造为执行安全代码，其中，所述安全处理器被构造为基于所述安全策略确定是否准许访问所述安全处理系统的安全服务的请求；以及

第一处理器，与所述安全处理系统和一组系统外围设隔离，其中，所述第一处理器被构造为：

在所述安全处理器的指示下执行代码，以及

将访问所述安全服务的所述请求放入所述共享内存中。

（2）根据（1）所述的系统，其中，所述安全处理系统进一步包括隔离桥，所述隔离桥被构造为将所述安全处理系统耦接至非安全外围设备，

其中，所述安全处理器进一步被构造为基于所述安全策略确定是否指示所述隔离桥将所述安全处理器耦接至所述非安全外围设备。

（3）根据（2）所述的系统，进一步包括耦接至所述第一处理器的内存，其中，所述内存与所述安全处理系统和所述一组系统外围设备隔离。

（4）根据（3）所述的系统，其中，所述安全处理器进一步被构造为指示所述隔离桥将所述内存耦接至非安全外围设备以使所述代码能够加载到所述内存中。

（5）根据（3）所述的系统，其中，所述HMPU通过执行沙盒限制访问所述安全处理系统，其中，所述沙盒包括所述内存、所述第一处理器和所述共享内存。

（6）根据（1）所述的系统，其中，所述安全处理器被认证为只执行安全代码。

（7）根据（1）所述的系统，其中，所述安全处理系统进一步包括加密总线。

（8）根据（1）所述的系统，其中，所述安全处理器被构造为执行安全操作系统代码。

（9）根据（1）所述的系统，其中，所述安全处理系统包括安全监控模块，所述安全监控模块被构造为检测篡改所述安全处理系统的攻击。

（10）一种系统，包括：

第一处理器，

安全处理系统，包括：

安全内存，存储安全策略，

隔离桥，被构造为将系统外围设备耦接至所述安全处理系统，以及

安全处理器，其中，所述安全处理器被构造为基于所述安全策略确定是否指示所示隔离桥将所述系统外围设备耦接至所述安全处理系统；以及