[发明专利]具有可配置访问控制的安全处理单元

说明书

背景

安全处理器被用来借助于加密密钥执行各种操作，诸如加密或解密数据、生 成密钥等等。这些安全处理器常常被设计为用于将部署安全处理器的特定应用。例 如，游戏控制台的安全处理器可以包括以安全方式处理游戏内容的功能，而机顶盒 的安全处理器可以包括安全地流传播内容的硬件组件。由于这些安全处理器被设计 为用于特定应用，常常难以且有时不可能重新配置安全处理器以用于另一目的。进 一步，这些安全处理器可以要求大量时间来为特定应用进行设计。随着不断增加的 数量的设备寻求保护信息，存在对提供用于执行密码操作的安全环境的不断增加的 需求。

概述

本公开描述被配置为管理加密密钥的安全处理单元。在一些实例中，安全处 理单元可以包括协处理单元，其包括存储器、一个或多个处理器和其他组件，以便 在安全环境中执行操作。中央处理单元或外置于安全处理单元的另一组件可以与安 全处理单元通信以便引起安全处理单元执行各种操作。例如，安全处理单元可以生 成加密密钥、配置对加密密钥的访问权、给计算设备的组件提供对加密密钥的访问 权、借助于加密密钥加密/解密数据等等。加密密钥可以与指示谁可以使用加密密 钥、可如何使用加密密钥等等的访问权限相关联。可以由安全处理单元、中央处理 单元或计算设备的另一组件指定访问权限。安全处理单元可以提供安全环境以执行 由中央处理单元或其他组件请求的操作。

提供本概述以便以简化形式引入下面在详细描述中进一步描述的概念的选 集。本概述不旨在标识所要求保护的本主题的必要特征，也不预期用来限制所要求 保护的本主题的范围。

附图简述

参考附图陈述详细描述。附图中，标号的最左边的数字标识在其中首先出现 该标号的图。在不同的图中使用相同的标号指示相似的或相同的项或特征。

图1阐释其中可以实现在此描述的技术的示例环境。

图2阐释实现在此描述的技术的计算设备的示例细节。

图3阐释基于来自计算设备的组件的命令管理一个或多个加密密钥的示例过 程。

图4阐释创建加密密钥的示例过程。

详细描述

本公开内容描述被配置为管理加密密钥的安全处理单元。在一些实例中，安 全处理单元可以包括协处理单元，其包括存储器、一个或多个处理器和其他组件， 以便在安全环境中执行操作。外置于安全处理单元的组件(也被称为“外部组件”) 可以与安全处理单元通信以便生成加密密钥、访问加密密钥、借助于加密密钥加密 /解密数据或以另外方式利用加密密钥。外部组件可以包括中央处理单元、应用和/ 或位于安全处理单元之外的任何其他硬件或软件组件。

在各种实施例中，安全处理单元可以根据描述加密密钥的访问权限的密钥数 据管理加密密钥。密钥数据通常可以标识可以利用加密密钥的组件和/或可如何利 用加密密钥。例如，加密密钥可以包括仅可由中央处理单元访问的密钥、仅可由安 全处理单元访问的密钥等等。在未经授权的组件寻求访问或以另外方式利用根据密 钥数据该未经授权的组件没有获得授权访问的加密密钥时，安全处理单元可以限制 对加密密钥的访问。在一些实例中，密钥数据由外部组件指定，而在其他实例中密 钥数据可以由安全处理单元确定。

计算设备的外部组件通常可以根据一组命令与安全处理单元通信。外部组件 可以向安全处理单元发送命令，且安全处理单元可以执行所请求的操作。在多种实 例中，操作涉及加密密钥。例如，外部组件可以发起生成加密密钥以供存储在安全 处理单元内的命令。外部组件可以指定，例如，获得授权访问加密密钥的组件、存 储加密密钥的存储器中的目的地位置、用来生成加密密钥的另一加密密钥等等。在 另一示例中，外部组件可以发起配置对加密密钥的访问权或删除位于存储器中的特 定位置的加密密钥的命令。在又另一示例中，外部组件可以发起向外部组件提供加 密密钥的命令。在其他示例中，外部组件可以发起执行各种其他操作的命令。

在各种实施例中，安全处理单元可以提供维护加密密钥和其他信息的安全环 境。通过利用一组命令和/或密钥数据来管理加密密钥，安全处理单元可以提供其 中可以分发或以另外方式利用加密密钥而不会危及加密密钥的灵活的体系结构。进 一步，在一些实例中，安全处理单元可以被配置为管理加密密钥而无需在其中由外 部组件利用加密密钥的应用或上下文的知识。这种类型的配置可以允许把安全处理 单元部署在多种多样的实现中。