CN103733204A

CN103733204A - 处理器中的状态之间的转移

Info

Publication number: CN103733204A
Application number: CN201280035506.5A
Authority: CN
Inventors: T.A.哈德利
Original assignee: Hewlett Packard Development Co LP
Current assignee: Hewlett Packard Development Co LP
Priority date: 2011-07-18
Filing date: 2012-02-08
Publication date: 2014-04-16
Also published as: US9418026B2; EP2734951A4; CN103688269A; US20140140512A1; EP2734903A4; EP2735000A4; US20130024716A1; WO2013012447A1; WO2012177295A1; WO2013012436A1; US9015516B2; US20140156961A1; US20140223113A1; US9418027B2; WO2013012449A1; US20140165206A1; EP2734903B1; US20130024143A1; US9483422B2; US20140189340A1

Abstract

在一种实现中，提供了包括用于启用从归零状态到清除状态的转移的逻辑的一种处理器。在另一种实现中，提供了一种处理器，所述处理器包括：用于启用测试安全状态的逻辑，该测试状态用于启用测试功能；用于启用清除状态的逻辑，该清除状态用于启用非安全处理功能并且禁用安全功能；用于启用从测试安全状态到清除状态的转移的逻辑；以及用于启用完全安全状态的逻辑，该完全安全状态用于启用处理功能。在另一种实现中，提供了包括用于禁用从清除状态到安全状态的转移的逻辑的一种处理器。

Description

处理器中的状态之间的转移

相关申请的交叉引用

本申请要求2011年7月18日提交的第61/509,078号美国临时专利申请的优先权，本文通过引用将其全部内容包含在内。

背景技术

集成电路被利用于许多电子设备和系统中。设计、测试和制造集成电路通常遵循设计流程。依赖于设计流程的阶段，集成电路可以启用（enable）多个模式之一。状态机可以被用来说明集成电路的行为、或状态。

附图说明

图1是根据一种或多种实现的处理器的示例性示意框图。

图2是根据一种实现的示例性状态机。

图3是根据一种实现的示例性清除（clear）状态和归零（zeroize）状态。

图4是根据一种实现的示例性清除状态、测试安全状态和完全安全状态。

图5是根据一种实现的示例性清除状态、测试安全状态、完全安全状态、和归零状态。

图6是根据一种实现的示例性暂时安全状态、非易失性安全状态和完全安全状态。

图7是根据一种实现的表示状态机的逻辑示图的示例性图示。

具体实施方式

例如微处理器的常见处理器不为存储在微处理器芯片外部的代码或数据提供安全。安全微处理器提供对外部总线上所有数据的加密。联邦信息处理标准（FIPS）140系列是美国政府计算机安全标准，其规定了对密码术模块的要求。

在安全微处理器中，当处于安全状态时，在微处理器失效或破坏时可以擦除安全数据并且微处理器归零。由于潜在的存储器印记（imprinting），微处理器可能被丢弃并且不被回收以供再使用。

然而，在安全处理器利用非印记过程以避免在存储器中印记安全数据的情况下，在失效或破坏时不必丢弃微处理器。

如本文所讨论的，提供了具有处理器的装置。处理器可以包括控制处理器的状态的状态机。处理器可以包括用于启用归零状态的逻辑，该归零状态是安全禁用故障状态；用于启用清除状态的逻辑，该清除状态用于启用非安全处理功能并且禁用安全功能；以及用于启用从归零状态到清除状态的转移的逻辑。通过提供从归零状态转移到清除状态的能力，处理器可以被回收和再使用。

如本文进一步讨论的，在安全状态内，可以实现测试安全状态和完全安全状态。通过提供测试安全状态和完全安全状态，相同的处理器可以被测试并且然后被转移到完全安全状态中，从而确保处理器的质量。另外地，其允许在测试状态中安全处理的完全操作，从而实现安全引导代码的发展以及解密和签名验证操作的发展。例如，处理器可以包括用于启用测试安全状态的逻辑，该测试状态用于启用测试功能；用于启用清除状态的逻辑，该清除状态用于启用非安全处理功能并且禁用安全功能；用于启用从清除状态到测试安全状态的转移的逻辑；用于启用从测试安全状态到清除状态的转移的逻辑；用于启用完全安全状态的逻辑，该完全安全状态用于启用处理功能；以及用于启用从清除状态到完全安全状态的转移的逻辑。

如本文进一步讨论的，可以利用例如集成熔丝控制配置的配置，这不允许或允许使安全特征对于用户是可访问的。这允许制造商建造一个芯片并且针对不同价格以多种方式来出售它。例如，处理器可以包括用于启用安全状态的逻辑，该状态用于启用安全处理功能；用于启用清除状态的逻辑，该清除状态用于启用非安全处理功能；以及禁用从清除状态到安全状态的转移的逻辑。

图1是根据一种或多种实现的包括状态机和存储器的处理器的示意性框图。处理器100可以包括状态机102、存储器104、和密钥（key）106。处理器100是各种处理器中的任何一种。例如，处理器100可以是被实现为硬件模块和/或托管在硬件模块处的软件模块的通用处理器或专用处理器。硬件模块可以是例如微处理器、微控制器、专用集成电路（“ASIC”）、诸如现场可编程门阵列（“FPGA”）的可编程逻辑设备（“PLD”）、和/或执行操作的其他电子电路。软件模块可以是例如在存储器处被存储并且在另一个处理器处被运行的指令、命令、和/或代码。使用诸如Java^TM、C++、C、汇编语言、硬件描述语言、和/或其他合适的编程语言之类的一种或多种编程语言可以定义此类软件模块。

在一些实现中，处理器100可以包括多个处理器。例如，处理器100可以是包括多个处理引擎（例如，计算、算法或线程核心）的微处理器。作为另一个示例，处理器100可以在包括具有共享时钟、存储器总线、输入/输出总线、和/或其他共享资源的多个处理器的计算设备处。此外，处理器100可以是分布式处理器。例如，处理器100可以包括其中每个都包括处理器的多个计算设备，所述多个计算设备中的一个与另一个经由诸如计算机网络之类的通信链路进行通信。

状态机102可以被实现为以硬件来实现的有限状态机，并且可以根据一个或多个状态来启用处理器100中的功能。状态机可以是非易失性的，以使得利用关机循环来维护安全。状态机可以使得处理器能够以下面的状态之一来操作：清除状态，其中禁用所有安全特征；安全状态，其中安全特征是活动的；以及归零状态，这是安全禁用故障状态。该过程通过允许状态在某些情况之下从安全状态恢复到清除状态而允许容易地开发安全软件，并且通过允许状态在某些情况之下从归零状态移动到清除状态而允许失效的单元被修复和重新部署。软件开发、测试、制造、和初始化是简单的。结果所得的结构可以由安全标准主体来验证并且是服从FIPS-140的。

存储器104可以存储密钥106。密钥106可以被实现为例如安全密钥。虽然描绘了仅一个密钥，但是存储器104可以存储多个密钥。处理器100可以向安全密钥106提供功能，例如在存储器104中不印记密钥106、例如快速归零的归零、防止非预期的读取和写入的安全访问等。在一种实现中，存储器104是非易失性（或非暂时性）存储器。存储器可以由促进对存储在存储器中的密钥进行管理的存储器控制模块（未示出）来控制。存储器控制模块可以位于处理器100上。存储器控制模块可以包括电路、托管在该电路处的软件、或其组合，以便写入和擦除存储在存储器中的密钥。

密钥106是诸如密码密钥的数据集，其被处理器100访问以供在诸如托管在计算设备处的密码服务之类的一个或多个应用内使用。换句话说，处理器100在存储器控制模块240处请求密钥106、使用密钥106以基于存储在存储器230处的指令或代码来执行密码术过程。

图2描绘根据一种实现的状态机的示例。如图2中所示出的，状态机被描绘成具有三个状态：清除状态202、安全状态204、和归零状态206。

状态机可以使得处理器能够以下面的状态之一来操作：清除状态202，这是其中所有安全特征都被禁用的默认状态；安全状态204，其中安全特征是活动的；以及归零状态206，这是安全禁用故障状态。

清除状态202允许处理器作为常规的、非安全处理器来操作。当处理器处于清除状态时，密钥可以被加载到存储器中。

在使安全特征可供处理功能访问的情况下，使得该常规处理器能够从清除状态202转移到安全状态204的逻辑可以被提供。该逻辑可以被实现为例如熔丝、反熔丝、物理不可克隆功能（PUF）、或其他类似技术，以启用或禁用有限次数的转移。

安全状态204允许处理器以安全状态来操作。当处理器处于安全状态时，密钥可以被加载到存储器中。

归零状态206是其中存储器中的密钥由于例如安全违反、致命故障等而被归零的状态。

归零可以是快速写过程，例如其首先在存储器中的密钥之上写入全“1”，然后用全“0”来重写存储器。可替代地，可以利用其它重写过程，以使得在存储器中擦除密钥。

以下表示图2中所述的初始状态、最终状态、和每个转移的原因。与本文所讨论的其他转移一起，这些转移可以由硬件、软件、或者硬件或软件的组合来控制。

转移号	初始状态	最终状态	原因
				1.1.	清除	清除	清除状态中的引导/重新引导。这是处理器的默认操作。
1.2.	清除	安全	工厂初始化
				1.3.	安全	清除	工程和可能制造返工。该转移将存储器中的密钥归零。
1.4.	安全	安全	当以安全状态向顾客部署时这在重新引导。
				1.5.	安全	归零	当例如发生了安全违反时这是故障转移。该转移使得存储器中的密钥能够被归零。
1.6.	归零	归零	当处于归零状态时这在重新引导。这将发生在顾客站点、技术支持、制造、工程等处。该转移使得存储器中的密钥能够被归零。
				1.7.	归零	清除	当对被返回的单元进行返工/修复时这处于制造中。该转移使得存储器中的密钥能够被归零。这是所有电源都被移除的情况。

转移1.1.、1.3.、1.5.、1.6.、和1.7.可以包括擦除存储器中的密钥。

图3是根据一种实现的示例性清除状态和归零状态。如图3中所示出的，清除状态302和归零状态304被描绘成具有它们之间的转移。在处理器被归零之后，代替要求对处理器进行处置（disposal）的是，提供从归零状态到清除状态的转移，其中能够对处理器进行返工和/或修复以使得可以再次使用处理器。在存储在存储器中的密钥可以受到存储器非印记过程时可以启用该转移以避免存储器中密钥的印记。

安全状态可以由测试安全状态和完全安全状态来实现。例如，图4描绘示例性清除状态402、测试安全状态404和完全安全状态406。测试安全状态404可以是启用对处理器的功能进行测试的状态，其中一个或多个安全特征被启用。可以从清除状态402经由转移410来启用测试安全状态404。在重置或关机时，启用到清除状态402的转移412。测试安全状态404可以经由416转移到完全安全状态406。

完全安全状态406可以是启用处理的功能的状态，其中一个或多个安全特征被启用。可以从清除状态402经由转移414来启用完全安全状态406。完全安全状态406不可以转移到清除状态402。通过不提供从完全安全状态406到清除状态402的转移，存储在存储器中的密钥可以被保持安全。

图5描绘包括清除状态502、归零状态504、测试安全状态506和完全安全状态508的示例性状态机。清除状态502、测试安全状态506和完全安全状态508如参考图4所讨论地操作。如能够在图5中看出的，测试安全状态506可以转移到清除状态502、完全安全状态508、或归零状态504。可以通过从测试安全状态506或完全安全状态508转移来启用归零状态504。归零状态504可以转移到清除状态502。然而，完全安全状态506不可以转移到清除状态502。

测试安全状态可以由暂时安全状态和非易失性安全状态来实现。图6是根据一种实现的示例性暂时安全状态602、非易失性安全状态604和完全安全状态606。

以下是暂时安全状态602、非易失性安全状态604和完全安全状态606的描述。

状态	描述
		1.B.a.：暂时安全状态	在该状态中，处理器被置于安全状态中，但是每当存在重置或完整电源失去（包括备用电源）时安全状态被清除并且重置到清除（默认）状态。该状态可以仅被用于工程和制造（仅开发）中。
1.B.b.：非易失性（NV）安全状态	在该状态中，处理器被置于安全状态中，仅当发生全部电源失去（包括备用电源）时安全状态被清除并且重置到清除（默认）状态。该状态可以被用于工程和制造（例如，将产品初始化到安全状态）中。
		1.B.c.：完全安全	在该状态中，处理器被半永久地置于安全状态中。从该状态的仅有出口是到归零状态。这可以用于产品的标准顾客配置。

以下表示图6中所述的初始状态、最终状态、和每个转移的原因。转移可以由硬件、软件或者硬件或软件的组合来控制。

转移号	初始状态	最终状态	原因
				1.2.1	清除	完全安全	这是将从清除状态开始的设备置于完全安全状态中的过程。
1.2.2.	清除	NV安全	这是将设备置于非易失性安全状态中的过程。该转移可以被用于工厂中的正常启动操作。这也是最终工程测试和软件质量保证中的标准操作。
				1.2.3.	清除	暂时安全	这是将设备置于暂时安全状态中的过程。这可以是用于软件开发的标准操作。
1.3.1.	暂时安全	清除	重置或全部电源失去。
				1.3.2.	NV安全	清除	全部电源失去。
1.B.1.	暂时安全	NV安全	操作期间的配置改变；仅在工程中。
				1.B.2.	NV安全	暂时安全	操作期间的配置改变；仅在工程中。
1.B.3.	暂时安全	完全安全	配置改变到完全安全
				1.B.4.	NV安全	完全安全	配置改变到完全安全
1.4.1.	完全安全	完全安全	当在完全安全状态中时重新引导（通过重置）。这可以发生在顾客站点处。
				1.4.2.	NV安全	NV安全	当在非易失性安全状态中时重新引导（通过重置）。这可以作为单元配置的一部分而发生在制造中。
1.5.1.	完全安全	归零	当在完全安全状态中时发生了安全故障。
				1.5.2.	NV安全	归零	当在非易失性安全状态中时发生了安全故障。
1.5.3.	暂时安全	归零	当在暂时安全状态中时发生了安全故障。

离开暂时安全状态602、非易失性安全状态604和完全安全状态606之一的所有转移可以通过归零状态，其中存储器中的密钥被擦除。

因为将引起重新引导的任何事件也将把该状态重置到清除（默认状态），所以暂时安全状态不可以具有自循环（loop-to-self）转移，例如1.4.1.和1.4.2.。

在顾客安装中有效的状态仅是清除（即，不是安全模块）、完全安全（即，正常操作中的安全模块）、和归零（即，跟随安全故障的安全模块）。

暂时安全状态602和非易失性安全状态604允许容易地开发、测试、和制造。

例如，在代码开发阶段期间，暂时安全状态602可以被用来允许容易地将处理器重置到清除状态以供进一步测试和发展。

另外地，可以开发包括安全引导代码的安全代码。任何重置允许快速地返回到清除状态。

在最终化代码开发的期间，因为相比简单的重置而言需要更多的努力来恢复到默认清除状态，所以非易失性安全可以被用来例如完全地测试安全引导代码。

在制造中，利用该状态机模型的产品可以在清除状态中初始地引导。最终测试程序可以测试并诊断最终硬件。最终测试程序（或其他初始化程序）可以将系统密钥和其他数据加载到安全密钥存储器中，并且将状态推进到非易失性安全状态。重置可以引起安全产品应用来引导。如果其被正确地解密并且运行，那么其将检查状态机，并且由于状态是非易失性安全状态，可以将状态推进到完全安全。这是产品可交付状态。因而，当在完全安全状态中时，处理器可能在安全状中被测试、初始化、加载、和重新测试。如果在安全产品应用运行之前的任何时间发生失效的话，因为状态机仍然在非易失性安全状态中，所以需要做的只是完全地移除电源来引起所有状态信息丢失。当重启时，其将处于清除状态中并且能够重新初始化。

图7描绘实现如图5中所描绘的状态机的逻辑的示例性逻辑图。电路的组件可以被非易失性地供电，以使得当电源被循环时维护状态和安全。

状态机中的状态可以是通过硬件和通过软件这二者而可改变。这允许硬件信号来改变状态，例如攻击强制归零，并且还允许软件来改变状态，例如制造组织执行初始化并且将单元置于安全状态中（从清除状态）。

状态机可以能够拒绝不合适的转移。一个示例是从归零转移到安全状态。

可以为每个状态提供一位。在图7中的示例中，提供四个状态，因而状态变量具有4位：清除状态：0001、测试安全状态：0010、完全安全状态：0100和归零：1000。

当软件或硬件发起状态改变时，用于期望状态的位被设置成1。如果允许该转移的话，状态变量将改变成其中仅1位被置“1”的新值。若不允许该转移的话，状态变量将保持不变。

如图7中所示出的，提供多个输入。可以例如在工厂中使用一次出厂重置702（低电平有效（active LOW））来初始化状态机。可替代地，可以利用固有初始化。断言（assert）清除704对清除状态进行断言。断言测试安全706对测试安全状态进行断言。断言完全安全708对完全安全状态进行断言。断言归零710对归零状态进行断言。状态机时钟712表示每当值被写到状态机时所进行的转移。状态机时钟可以是连续时钟、不连续时钟、存储器读或写启用信号、或其中对于要被状态机硬件所识别的任何状态转移而言发生低至高转移的任何其他信号源。

可以利用与状态机时钟712结合的多个输入来改变状态机的值。多个输入可以由软件、硬件、或这二者来控制。

在一种或多种实现中，可以不给予软件引起到归零状态的转移的能力。例如，采用软件能够写到处理器的此类方式，断言归零信号可以不被连接到该处理器。在其中软件和硬件都被允许改变状态的情况中，在连接到状态机的输入之前，将硬件信号与软件信号简单地进行OR（或）可能就足够了。

输入信号断言清除504、断言测试安全706、断言完全安全708和断言归零710被提供到相应的反相器并且被提供到AND（与）门714、716、718和720。AND门714、716、718和720通过确保断言四个输入信号中的仅一个来确保没有不合适的输入被提供到电路。如果多于一个输入信号被断言或者没有输入信号被断言，那么NOR（或非）门722输出HIGH（高电平）以使得被断言的输入信号中没有一个被传到电路中。

当从一个状态转移到另一个状态时，11个NAND（与非）门724与要被应用的规则相对应。11个NAND门中的每一个用于启用下表中所述的转移之一。NAND门724经由AND门714、716、718和720以及NOR门722来接收所请求的（输入）状态。如以下讨论的，NAND门724从触发器734、736、738和740接收当前状态值。NAND门724启用根据下面规则的转移，以便确定状态机将转移到的新状态。

下表包括请求输入状态、当前状态、和状态机转移到的新状态。

来自NAND门724的输出被输入到NAND门726、728、730和732并且被输入到触发器734、736、738和740。触发器734、736、738和740可以与清除状态、测试安全状态、完全安全状态、和归零状态相对应。触发器734、736、738和740可以被实现为例如实现状态变量锁存器的、保持状态值的D-型触发器。

触发器734、736、738和740可以经由清除输出742、测试安全输出744、完全安全输出746和归零输出748来输出状态值。输出表示原始状态机值并且通过总线缓冲器或锁存器可以被提供到处理器，或者可以被利用以控制其他硬件功能。

Claims

1.一种装置，包括：

处理器包括

用于启用归零状态的逻辑，所述归零状态是安全禁用故障状态；

用于启用清除状态的逻辑，所述清除状态用于启用非安全处理功能并且禁用安全功能；以及

用于启用从所述归零状态到所述清除状态的转移的逻辑。

2.权利要求1的装置，所述处理器进一步包括：

用于启用安全状态的逻辑，所述安全状态用于启用安全处理功能；

用于启用从所述安全状态到所述归零状态的转移的逻辑；以及

用于启用从所述清除状态到所述安全状态的转移的逻辑。

3.权利要求2的装置，其中所述安全状态包括：

用于启用测试安全状态的逻辑，所述测试状态用于启用测试功能；

用于启用从测试安全状态到所述清除状态的转移的逻辑；以及

用于启用完全安全状态的逻辑，所述完全安全状态用于启用安全处理功能。

4.权利要求3的装置，其中所述测试安全状态包括：

用于启用暂时安全状态的逻辑，所述暂时安全状态用于启用所述测试功能；

用于从所述暂时安全状态转移到所述清除状态的逻辑；其中基于重置脉冲来启用从所述暂时安全状态到所述清除状态的转移；

用于启用非易失性安全状态的逻辑，所述非易失性安全状态用于启用所述测试功能；以及

用于从所述非易失性安全状态转移到所述清除状态的逻辑；其中基于电源失去来启用从所述非易失性安全状态到所述清除状态的转移。

5.一种装置，包括：

处理器包括

用于启用清除状态的逻辑，所述清除状态用于启用非安全处理功能并且禁用安全功能；

用于启用从清除状态到所述测试安全状态的转移的逻辑；

用于启用从测试安全状态到清除状态的转移的逻辑；

用于启用完全安全状态的逻辑，所述完全安全状态用于启用所述处理功能；以及

用于启用从清除状态到完全安全状态的转移的逻辑。

6.权利要求5的装置，进一步包括：

用于启用从所述完全安全状态到所述归零状态的转移的逻辑。

7.权利要求5的装置，其中所述测试状态包括

用于从所述非易失性安全状态转移到所述清除状态的逻辑，其中基于电源失去来启用从所述非易失性安全状态到所述清除状态的转移。

8.权利要求7的装置，进一步包括：

用于在接收到重置脉冲时将处理器保持的逻辑。

9.权利要求5的装置，进一步包括：

用于启用从所述测试安全状态到所述完全安全状态的转移的逻辑。

10.权利要求5的装置，进一步包括：

用于启用从所述清除状态到所述完全安全状态的转移的逻辑。

11.一种装置，包括：

处理器包括：

用于启用安全状态的逻辑，所述状态用于启用安全处理功能；

用于启用清除状态的逻辑，所述清除状态用于启用非安全处理功能；以及

用于禁用从清除状态到安全状态的转移的逻辑。

12.权利要求11的装置，进一步包括：

用于启用从所述清除状态到所述安全状态的被禁用转移的逻辑。

13.权利要求11的装置，所述安全状态包括

用于启用测试安全状态的逻辑，所述测试状态用于启用测试功能；以及

14.权利要求13的装置，其中所述测试安全状态包括：

用于启用非易失性安全状态的逻辑，所述非易失性安全状态用于启用所述测试功能。

15.权利要求14的装置，进一步包括：