[发明专利]具有可配置访问控制的安全处理单元

权利要求书

1.一种安全处理单元，包括：

一个或多个处理器；

接口，其通信上耦合到所述一个或多个处理器，且被配置为从外置于所述安 全处理单元的组件接收命令，所述命令请求所述安全处理单元借助于密钥创建参数 推导新加密密钥；

处理模块，其能由所述一个或多个处理器执行以便：

从存储器读取加密密钥；

至少部分地基于所述密钥创建参数和从所述存储器读取的所述加密密钥 借助于密钥推导函数或其他单向函数推导所述新加密密钥；以及

引起把所述新加密密钥存储在所述安全处理单元的存储器中或发送给外 置于所述安全处理单元的所述组件或外置于所述安全处理单元的另一组件中 的至少一者。

2.如权利要求1所述的安全处理单元，其特征在于：

所述处理模块还被配置为确定外置于所述安全处理单元的所述组件获得授权 利用所述加密密钥推导所述新加密密钥；以及

所述处理模块被配置成响应于确定所述组件获得授权利用所述加密密钥而推 导所述新加密密钥。

3.如权利要求1-2中的任一项所述的安全处理单元，其特征在于：

所述安全处理单元的所述存储器包括所述存储器，所述存储器包括一组熔断 器或一组寄存器中的至少一者；

所述命令标识在其中存储所述新加密密钥的所述一组熔断器或所述一组寄存 器中的一个寄存器中的至少一者；以及

所述处理模块被配置成把所述新加密密钥存储在所述命令中标识的所述一组 熔断器或所述寄存器中的至少一者中。

4.如权利要求1-3中的任一项所述的安全处理单元，其特征在于：

所述接口还被配置为接收请求配置所述新加密密钥或所述加密密钥中的至少 一者的密钥数据的命令；以及

所述处理模块还被配置为通过限制或允许访问所述新加密密钥或所述加密密 钥来配置所述新加密密钥或所述加密密钥中的至少一者的所述密钥数据。

5.如权利要求1-4中的任一项所述的安全处理单元，其特征在于：

所述接口还被配置为接收请求借助于所述新加密密钥或所述加密密钥中的至 少一者加密或解密数据的命令；以及

所述处理模块还被配置为借助于所述新加密密钥或所述加密密钥中的至少一 者加密或解密所述数据且提供经加密或解密的数据。

6.如权利要求1-5中的任一项所述的安全处理单元，其特征在于：

所述接口还被配置为接收请求删除所述加密密钥的命令；以及

所述处理模块还被配置为从所述存储器删除所述加密密钥。

7.一种或多种存储计算机可执行指令的计算机可读介质，所述计算机可执行 指令在执行时指示安全处理单元执行操作，所述操作包括：

从合并所述安全处理单元的计算设备的组件接收创建加密密钥的命令，所述 命令包括密钥创建参数；

至少部分地基于所述密钥创建参数创建所述加密密钥；

基于所述密钥创建参数的至少一部分创建所述加密密钥的密钥数据，所述密 钥数据描述对所述加密密钥的访问权限；

把所述加密密钥存储在所述安全处理单元内；以及

至少部分地基于所述加密密钥的所述密钥数据，允许所述计算设备的特定组 件访问所述加密密钥且限制所述计算设备的另一组件访问所述加密密钥。

8.如权利要求7所述的一种或多种计算机可读介质，其特征在于，从其接收 到所述命令的所述组件包括所述计算设备的中央处理单元或在所述计算设备上执 行的应用中的至少一者。

9.如权利要求7-8中的任一项所述的一种或多种计算机可读介质，其特征在 于，被允许访问的所述特定组件包括从其接收到所述命令的所述组件、所述安全处 理单元或所述计算设备的进一步组件中的至少一者。

10.如权利要求7-9中的任一项所述的一种或多种计算机可读介质，其特征在 于，所述加密密钥的所述密钥数据包括标识所述加密密钥的所有者的所有者控制参 数、指示所述加密密钥是否能从所述安全处理单元导出的导出控制参数或指定所述 加密密钥的使用的密钥使用控制参数中的至少一者。