CN113821841B - 资源管理方法、计算装置、计算设备和可读存储介质 - Google Patents
资源管理方法、计算装置、计算设备和可读存储介质 Download PDFInfo
- Publication number
- CN113821841B CN113821841B CN202111398406.6A CN202111398406A CN113821841B CN 113821841 B CN113821841 B CN 113821841B CN 202111398406 A CN202111398406 A CN 202111398406A CN 113821841 B CN113821841 B CN 113821841B
- Authority
- CN
- China
- Prior art keywords
- resource
- chip
- state
- access
- lifecycle
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/77—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供一种资源管理方法、计算装置、计算设备和可读存储介质。该资源管理方法适用于包括安全元件子系统的安全架构系统,其中,安全架构系统设置有N个芯片生命周期状态,N为大于1的整数,安全元件子系统存储有资源,该资源的访问权限与N个芯片生命周期状态相关联,该方法包括:基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制,其中,安全架构系统当前所处的芯片生命周期状态属于上述N个芯片生命周期状态之一。
Description
技术领域
本公开的一些实施例涉及处理器技术领域,更具体地涉及一种资源管理方法、计算装置、计算设备和可读存储介质。
背景技术
随着对安全性要求的不断增加,越来越多的安全技术逐步应用到各种计算设备中,其中,安全芯片技术已成为计算设备中的安全架构系统的重要技术手段。一般地,计算设备的安全架构系统中包括安全元件(Secure Element,SE)子系统,用于构建安全的计算环境。一般地,SE中存储有重要资源,诸如根密钥等信息,需要在计算设备从生产到使用的各个阶段中均保证计算环境的安全性。
发明内容
本公开的一些实施例提供了一种资源管理方法、计算装置、计算设备和可读存储介质,用于基于针对安全架构系统设置的生命周期状态来保证SE中存储的重要资源的安全性。
根据本公开的一方面,提供了一种资源管理方法,方法适用于包括安全元件子系统的安全架构系统,安全架构系统设置有N个芯片生命周期状态,N为大于1的整数,安全元件子系统存储有资源,其中,资源的访问权限与N个芯片生命周期状态相关联,方法包括:基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制,其中,安全架构系统当前所处的芯片生命周期状态属于N个芯片生命周期状态之一。在根据本公开的资源管理方法中,通过上述基于芯片生命周期状态实现的访问控制,能够在正常实现应用程序功能的情况下,保证根密钥等资源的使用安全性,避免由于在根密钥使用(例如,基于根密钥进行支付校验等)期间发生资源泄露。
根据本公开的一些实施例,基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制包括:获得针对资源的访问指示,以及基于针对资源的访问指示的访问权限是否与安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问资源。以这种方式,通过访问权限与当前芯片生命周期状态进行匹配来实现访问控制,保证资源在各个阶段的安全性。
根据本公开的一些实施例,安全架构系统包括M个调试接口,每个调试接口用于访问安全元件子系统存储的资源,M为大于或等于1的整数,其中,获得针对资源的访问指示包括:从属于M个调试接口之一的调试接口获得针对资源的访问指示,其中,属于M个调试接口之一的调试接口表示为当前调试接口。以这种方式,将用于调试芯片功能的调试接口的资源访问过程也与芯片生命周期状态相关联,使得在满足芯片在不同阶段的调试需求的基础上保证芯片内部资源的安全。
根据本公开的一些实施例,对于N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有允许在该芯片生命周期状态进行资源访问的调试接口,基于针对资源的访问指示的访问权限是否与安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问资源包括:响应于当前调试接口是允许在安全架构系统当前所处的芯片生命周期状态进行资源访问的调试接口,允许通过当前调试接口来访问资源;以及响应于当前调试接口不是允许在安全架构系统当前所处的芯片生命周期状态进行资源访问的调试接口,拒绝通过当前调试接口来访问资源。以这种方式,通过芯片生命周期状态的验证,使得在满足芯片的调试需求的同时,保证了芯片内部资源的安全性,避免攻击者利用这些调试接口获取芯片运行过程种的一些内部信息,造成敏感信息泄露。
根据本公开的一些实施例,对于N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有该芯片生命周期状态下允许访问的资源的地址范围,基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制包括:响应于资源的地址位于安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,允许对资源进行访问;以及响应于资源的地址不位于安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,拒绝对资源进行访问。以这种方式,通过记录每个芯片生命周期状态下允许访问的资源的地址范围,基于所访问的资源的地址与当前芯片生命周期状态进行验证,从而实现访问资源与当前芯片生命周期状态的验证,提升所访问的资源的安全性,避免无权访问。
根据本公开的一些实施例,资源设置有N个资源生命周期状态,N个资源生命周期状态对应于N个芯片生命周期状态,其中,资源设置有对应的至少一个资源生命周期状态,基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制包括:响应于资源对应的至少一个资源生命周期状态与安全架构系统当前所处的芯片生命周期状态匹配,允许对资源进行访问;以及响应于资源对应的至少一个资源生命周期状态与安全架构系统当前所处的芯片生命周期状态不匹配,拒绝对资源进行访问。以这种方式,如果所请求使用的资源所属的资源生命周期状态与当前芯片所处的芯片生命周期状态不匹配,则能够限制该资源的使用,从而保证资源的安全性。
根据本公开的一些实施例,资源包括多个根密钥,安全架构系统还包括普通执行环境子系统和可信执行环境子系统,其中,基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制包括:获得来自普通执行环境子系统或者可信执行环境子系统的密钥派生请求,密钥派生请求包括密钥标识信息,并且用于请求安全元件子系统利用多个根密钥中的与密钥标识信息对应的根密钥进行密钥派生;响应于针对与密钥标识信息对应的根密钥的访问权限与安全架构系统当前所处的芯片生命周期状态匹配,允许利用与密钥标识信息对应的根密钥进行密钥派生;以及响应于针对与密钥标识信息对应的根密钥的访问权限与安全架构系统当前所处的芯片生命周期状态不匹配,拒绝利用与密钥标识信息对应的根密钥进行密钥派生。以这种方式,在安全架构系统中的子系统请求基于安全元件子系统中的某一根密钥进行密钥派生 的过程中,通过验证该根密钥的使用是否满足当前芯片生命周期状态所对应的使用权限,来保证所访问的根密钥的安全性。
根据本公开的一些实施例,通过一次性烧写存储器来记录安全架构系统当前所处的芯片生命周期状态,使得在芯片使用过程中,安全架构系统当前所处的芯片生命周期状态按照芯片制造状态、设备制造状态、用户使用状态、设备制造返厂状态和芯片制造返厂状态的顺序逐个地进行切换。通过一次性烧写存储器按照以上方式来记录芯片生命周期状态,能够保证设置的生命周期状态逐个、顺序地的切换过程,保证设置的芯片生命周期状态的稳定性。
根据本公开的一些实施例,该方法还包括:获得对安全架构系统当前所处的芯片生命周期状态进行状态切换的切换指示;针对切换指示进行切换权限校验,基于切换权限校验的结果来确定是否执行状态切换。以这种方式,通过对于切换状态的指示进行权限校验,能够保证芯片生命周期状态的稳定性,避免对于切换状态的无权操作,保证资源安全。
根据本公开的另一方面,还提供了一种计算装置,该计算装置配置有安全架构系统,安全架构系统包括安全元件子系统,安全架构系统设置有N个芯片生命周期状态,N为大于1的整数,安全元件子系统存储有资源,其中,资源的访问权限与N个芯片生命周期状态相关联,计算装置包括处理单元,处理单元配置成:基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制,其中,安全架构系统当前所处的芯片生命周期状态属于N个芯片生命周期状态之一。在根据本公开的计算装置中,通过上述基于芯片生命周期状态实现的访问控制,能够在正常实现应用程序功能的情况下,保证根密钥等资源的使用安全性,避免由于在根密钥使用(例如,基于根密钥进行支付校验等)期间发生资源泄露。
根据本公开的一些实施例,计算装置还包括接收单元,接收单元配置成:获得针对资源的访问指示;为了对资源进行访问控制,处理单元配置成:基于针对资源的访问指示的访问权限是否与安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问资源。以这种方式,通过访问权限与当前芯片生命周期状态进行匹配来实现访问控制,保证资源在各个阶段的安全性。
根据本公开的一些实施例,安全架构系统包括M个调试接口,每个调试接口用于访问安全元件子系统存储的资源,M为大于或等于1的整数,其中,接收单元配置成:从属于M个调试接口之一的调试接口获得针对资源的访问指示,其中,属于M个调试接口之一的调试接口表示为当前调试接口。以这种方式,将用于调试芯片功能的调试接口的资源访问过程也与芯片生命周期状态相关联,使得在满足芯片在不同阶段的调试需求的基础上保证芯片内部资源的安全。
根据本公开的一些实施例,对于N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有允许在该芯片生命周期状态进行资源访问的调试接口,为了对资源进行访问控制,处理单元配置成:响应于当前调试接口是允许在安全架构系统当前所处的芯片生命周期状态进行资源访问的调试接口,允许通过当前调试接口来访问资源;响应于当前调试接口不是允许在安全架构系统当前所处的芯片生命周期状态进行资源访问的调试接口,拒绝通过当前调试接口来访问资源。以这种方式,通过芯片生命周期状态的验证,使得在满足芯片的调试需求的同时,保证了芯片内部资源的安全性,避免攻击者利用这些调试接口获取芯片运行过程种的一些内部信息,造成敏感信息泄露。
根据本公开的一些实施例,对于N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有该芯片生命周期状态下允许访问的资源的地址范围,为了对资源进行访问控制,处理单元配置成:响应于资源的地址位于安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,允许对资源进行访问;响应于资源的地址不位于安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,拒绝对资源进行访问。以这种方式,通过记录每个芯片生命周期状态下允许访问的资源的地址范围,基于所访问的资源的地址与当前芯片生命周期状态进行验证,从而实现访问资源与当前芯片生命周期状态的验证,提升所访问的资源的安全性,避免无权访问。
根据本公开的一些实施例,资源设置有N个资源生命周期状态,N个资源生命周期状态对应于N个芯片生命周期状态,其中,资源设置有对应的至少一个资源生命周期状态,为了对资源进行访问控制,处理单元配置成:响应于资源对应的至少一个资源生命周期状态与安全架构系统当前所处的芯片生命周期状态匹配,允许对资源进行访问;响应于资源对应的至少一个资源生命周期状态与安全架构系统当前所处的芯片生命周期状态不匹配,拒绝对资源进行访问。以这种方式,如果所请求使用的资源所属的资源生命周期状态与当前芯片所处的芯片生命周期状态不匹配,则能够限制该资源的使用,从而保证资源的安全性。
根据本公开的一些实施例,资源包括多个根密钥,安全架构系统还包括普通执行环境子系统和可信执行环境子系统,计算装置还包括接收单元,接收单元配置成:获得来自普通执行环境子系统或者可信执行环境子系统的密钥派生请求,密钥派生请求包括密钥标识信息,并且用于请求安全元件子系统利用多个根密钥中的与密钥标识信息对应的根密钥进行密钥派生;处理单元还配置成:响应于针对与密钥标识信息对应的根密钥的访问权限与安全架构系统当前所处的芯片生命周期状态匹配,允许利用与密钥标识信息对应的根密钥进行密钥派生;以及响应于针对与密钥标识信息对应的根密钥的访问权限与安全架构系统当前所处的芯片生命周期状态不匹配,拒绝利用与密钥标识信息对应的根密钥进行密钥派生。以这种方式,在安全架构系统中的子系统请求基于安全元件子系统中的某一根密钥进行密钥派生 的过程中,通过验证该根密钥的使用是否满足当前芯片生命周期状态所对应的使用权限,来保证所访问的根密钥的安全性。
根据本公开的一些实施例,通过一次性烧写存储器来记录安全架构系统当前所处的芯片生命周期状态,使得在芯片使用过程中,安全架构系统当前所处的芯片生命周期状态按照芯片制造状态、设备制造状态、用户使用状态、设备制造返厂状态和芯片制造返厂状态的顺序逐个地进行切换。通过一次性烧写存储器按照以上方式来记录芯片生命周期状态,能够保证设置的生命周期状态逐个、顺序地的切换过程,保证设置的芯片生命周期状态的稳定性。
根据本公开的一些实施例,计算装置还包括接收单元,接收单元配置成:获得对安全架构系统当前所处的芯片生命周期状态进行状态切换的切换指示;处理单元还配置成:针对切换指示进行切换权限校验,基于切换权限校验的结果来确定是否执行状态切换。以这种方式,通过对于切换状态的指示进行权限校验,能够保证芯片生命周期状态的稳定性,避免对于切换状态的无权操作,保证资源安全。
根据本公开的又一方面,还提供了一种计算设备,该计算设备配置有安全架构系统,安全架构系统包括安全元件子系统,安全架构系统设置有N个芯片生命周期状态,N为大于1的整数,安全元件子系统存储有资源,其中,资源的访问权限与N个芯片生命周期状态相关联,计算设备包括处理器和存储器,存储器包括计算机可读程序指令,指令在被处理器执行时使得处理器实现如上所述的资源管理方法。在根据本公开的计算设备中,通过上述基于芯片生命周期状态实现的访问控制,能够在正常实现应用程序功能的情况下,保证根密钥等资源的使用安全性,避免由于在根密钥使用(例如,基于根密钥进行支付校验等)期间发生资源泄露。
根据本公开的又一方面,还提供了一种非暂时性计算机可读存储介质,其上存储有指令,所述指令在被处理器执行时,使得所述处理器执行如上所述的资源管理方法。
利用本公开实施例提供的资源管理方法,通过将资源的访问权限与设置的芯片生命周期状态相关联,从而能够基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制。这使得能够保证SE中存储的诸如根密钥等的重要资源在诸如产品的各个生命阶段均具有较高的安全级别,避免重要信息泄露等安全隐患。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了安全架构系统的示意性框图;
图2A示出了应用根据本公开实施例的资源管理方法的终端设备的示意图;
图2B示出了实施根据本公开一些实施例的资源管理方法的应用系统示意图;
图3示出了根据本公开实施例的资源管理方法的示意性流程图;
图4示出了根据本公开实施例的生命周期状态切换过程示意图;
图5示出了基于根据本公开实施例的资源管理方法进行访问控制的应用示意图;
图6示出了根据本公开实施例的计算装置的示意性框图;
图7示出了根据本公开实施例的计算设备的示意性框图;
图8示出了根据本公开实施例的示例性计算设备的架构的示意图;
图9示出了根据本公开实施例的非暂时性计算机可读存储介质的示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本公开一部分的实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在无需创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
此外,如本公开和权利要求书中所示,除非上下文明确提示例外情形,“一”、“一个”、“一种”和/或“该”等词并非特指单数,也可包括复数。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。同样,“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。
随着计算设备对安全需求的增加,越来越多的安全技术逐步应用到各种计算设备中,其中,密码技术成为安全架构系统的重要组成部分。密码学有多种用途,其是许多安全架构系统的关键部分。安全架构系统例如可以使用密码技术来阻止攻击者获得重要数据、伪造身份或者篡改文件。诸如密钥等资源的安全管理在任何安全架构系统中都至关重要,如果资源的安全管理存在漏洞,将使得设备的安全环境变得非常脆弱,容易由于外部攻击等因素而导致重要资源泄露,例如,与支付相关联的重要数据等。
一般地,计算设备的安全架构系统可以具有三类子系统,分别为普通执行环境(Rich Execution Environment,REE)子系统、可信执行环境(Trusted ExecutionEnvironment,TEE)子系统以及安全元件(Secure Element,SE)子系统。作为示例,图1示出了安全架构系统100的示意性框图。其中,REE中运行的应用可以称为客户端应用(ClientApplication,CA),其安全性较低,容易受到攻击。TEE中运行的应用可以称为可信应用(TEEApplication,TA),其安全性高于REE,例如用于支持支付业务中校验支付环境等功能。SE中运行的应用可以称为安全元件应用(Applet),其安全性在这三类子系统中最高。通过这三类子系统之间的相互配合来保证系统安全。
由于SE相较于REE和TEE的安全性最高,SE中一般存储有重要资源,诸如根密钥等信息,需要在计算设备从生产到使用的各个阶段均保证SE中存储的重要资源的安全性。
基于此,本公开的一些实施例提供一种资源管理方法,用于提升SE中存储的资源的安全性,降低诸如根密钥等重要信息被泄露的风险。具体地,根据本公开一些实施例的资源管理方法中,通过将SE中存储的资源的访问权限与设置的芯片生命周期状态相关联,从而能够基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制。这使得能够保证SE中存储的诸如根密钥等的重要资源在诸如产品的各个生命阶段均具有较高的安全级别,避免重要信息泄露等安全隐患。
为了更清楚地描述根据本公开一些实施例的资源管理方法的技术方案,首先结合图1先对安全架构系统进行简单介绍。如图1所示为相关技术中一种包含多个子系统的安全架构系统的示意图。其中,子系统包括REE、TEE和SE,其中,上述三个子系统也可以称为三种应用环境。可以理解的是,上述资源管理方法的应用场景并不限于图1所示出的场景,例如,安全架构系统可以仅包括REE和TEE中的其中一种,或者在其他可能的实现方式中,REE和TEE可以实现成一个整体以作为子系统,在此不作限制。
具体的,REE可以包括运行在通用的嵌入式处理器上的一般操作系统,其中安装有应用程序,图1中示出了应用程序1至应用程序n,其中,n是正整数。作为示例,应用程序可以是涉及支付场景的程序,其中实现诸如浏览商品、选择商品、提交订单等基本业务。尽管在REE中采取了很多诸如设备访问控制、设备数据加密机制、应用运行时的隔离机制、基于权限校验的访问控制等安全措施,但仍无法保证应用中重要数据的安全性。
接着,TEE可以是运行于一般操作系统之外的独立运行环境,其可以向诸如REE提供可信服务并且与REE相隔离,即REE及其上的应用程序无法直接访问TEE的硬件和软件资源。在上述涉及支付场景的示例中,可以由REE向TEE发送可信服务请求,使得业务流程跳转到TEE中,以实现诸如校验支付环境、显示支付信息,用户输入支付密钥或验证指纹等过程。例如,TEE中可以执行可信应用,诸如图1中示出的可信应用1至可信应用p,其中,p是正整数,通过可信应用来对REE提供可信赖的运行环境,再通过对机密性、完整性的保护和数据访问权限的控制,确保端到端的安全性。此外,TEE可以与REE并行运行,并且例如TEE通过安全的应用程序编程接口(Application Programming Interface,API)与REE进行交互。
TEE提供了比REE更高安全级别的运行环境,但无法提供硬件隔离级别的安全的密钥存储和密钥运行环境。一般地,TEE可以为REE提供很多的API,供REE调用TEE的资源,TEE提供的用于进行服务的API越多,TEE面临的风险将越大,很难保证API本身不存在安全隐患,诸如安全漏洞,进而导致TEE内的密钥等资源存在安全风险。进一步地,TEE内将会运行多种TA,TA之间完全依赖于TEE操作系统提供的隔离机制,没有硬件级别的隔离,这使得如果TA本身存在安全漏洞或者TA自己主动访问对应于其他TA的密钥或根密钥,也会导致密钥等敏感资源存在很大安全风险。
接着,提出基于SE来构建可信安全的资源存储和运算环境。可以由TEE可以向SE发送安全服务请求,以使得SE来实现所请求的安全服务。在上述涉及支付场景的示例中,该安全服务请求可以用于请求SE中存储的根密钥对交易信息进行校验,例如,请求由SE中存储的支付根密钥来对用户输入的支付密钥进行校验。一般地,SE中的软件系统相对简单,包括较少的硬件元器件,因此容易建立物理防护和实施安全保障,从而提高SE的安全强度,以服务于安全性要求更高的安全系统。其中,可以将SE中的应用安全应用,诸如图1中示出的安全应用1至安全应用m,其中,m是正整数。
需要说明的是,根据本公开实施例的资源管理方法可以适用于安全性要求较高的应用环境,例如,对SE中存储的重要资源进行管理。作为示例,与SE中存储的重要资源相关的应用例如可以是银行卡、公交卡、U盾等传统智能卡(Smart Card)。实施上述资源管理方法的安全架构系统能够为用户提供更高安全性的服务。
可以理解的是,根据本公开的一些实施例提供的资源管理方法还可以应用其他需要对数据进行安全管理的应用场景,本公开并不对此进行限制。
接下来,将对实施根据本公开实施例的资源管理方法的示例性电子设备进行描述。
具体的,电子设备可以是能够安装应用程序并实现相应应用功能的移动终端、台式计算机、平板电脑、个人计算机(Personal Computer,PC)、个人数字助理(personaldigital assistant,PDA)、智能手表、上网本、可穿戴电子设备、增强现实(AugmentedReality,AR)设备等,本公开不对该电子设备的具体形式作特殊限制。
在至少一些实施例中,根据本公开实施例的资源管理方法可以在诸如图2A示出的移动终端200中实现。
如图2A所示,移动终端200具体可以包括:处理器201、射频(Radio Frequency,RF)电路202、存储器203、触摸显示屏204、蓝牙装置205、一个或多个传感器206、无线保真(Wireless Fidelity,WI-FI)装置207、定位装置208、音频电路209、外设接口210以及电源装置211等部件。这些部件可以通过一根或多根通信总线或信号线进行通信。本领域技术人员可以理解,图2A中示出的硬件结构并不构成对移动终端的限定,移动终端200可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图2A对移动终端200的各个部件进行具体的介绍。
首先,处理器201是移动终端200的控制中心,利用各种接口和线路连接移动终端200的各个部分,通过运行或执行存储在存储器203内的应用程序,以及调用存储在存储器203内的数据,执行移动终端200的各种功能和处理数据。在一些实施例中,处理器201可包括一个或多个处理单元。举例来说,处理器201可以是各类处理器芯片。
射频电路202可用于在收发信息或通话过程中,无线信号的接收和发送。特别地,射频电路202可以将基站的下行数据接收后,给处理器201处理,另外,将涉及上行的数据发送给基站。通常,射频电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频电路202还可以通过无线通信和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统、通用分组无线服务、码分多址、宽带码分多址、长期演进、电子邮件、短消息服务等。
存储器203用于存储应用程序以及相关的数据,处理器201通过运行存储在存储器203的应用程序以及数据,执行移动终端200的各种功能以及数据处理。存储器203主要包括存储程序区以及存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(例如,实现网络购物功能的应用程序等);存储数据区可以存储根据使用移动终端200时所创建的数据(例如,商品浏览数据、订单数据等)。此外,存储器203可以包括高速随机存取存储器(Random Access Memory,RAM),还可以包括非易失存储器,例如磁盘存储器件、闪存器件或其他易失性固态存储器件等。存储器203可以存储各类操作系统。上述存储器203可以是独立的,通过上述通信总线与处理器201相连接,此外,存储器203也可以和处理器201集成在一起。
触摸显示屏204具体可以包括触控板204-1和显示器204-2。
其中,触控板204-1可采集移动终端200的用户在其上或附近的触摸操作(或者称为触摸事件),例如用户使用手指、触控笔等任何适合的物体在触控板204-1之上或在触控板204-1附近的操作,并将采集到的触摸信息发送给其他器件(例如,处理器201)。用户在触控板204-1附近的触摸事件可以称之为悬浮触控。悬浮触控可以是指用户无需为了选择、移动或拖动目标(例如图标等)而直接地接触该触控板204-1,而只需用户位于设备附近以便执行所想要的功能。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型来实现触控板204-1。
显示器(或称为显示屏)204-2可以用于显示由用户输入的信息或提供给用户的信息以及移动终端200的各种菜单。可以采用液晶显示器、有机发光二极管等形式来配置显示器204-2。触控板204-1可以覆盖在显示器204-2之上,当触控板204-1检测到在其上或附近的触摸事件后,递送给处理器201以确定触摸事件的参数,随后处理器201可以根据触摸事件的参数在显示器204-2上提供对应的输出数据,例如,产品列表等。尽管在图2A中,触控板204-1与显示屏204-2是作为两个独立的部件来实现移动终端200的输入和输出功能,但是在一些实施例中,可以将触控板204-1与显示屏204-2集成以实现移动终端200的输入和输出功能。可以理解的是,触摸显示屏204是由多层的材料堆叠而成,图2A中只展示出了触控板(层)和显示屏(层),其他层在图2A中未予描述。另外,触控板204-1可以以全面板的形式配置在移动终端200的正面,显示屏204-2也可以以全面板的形式配置在移动终端200的正面,这样使得在终端设备的正面实现无边框的结构。
进一步地,移动终端200还可以具有指纹识别功能。例如,可以在移动终端200的背面(例如后置摄像头的下方)配置指纹采集器件212,或者在移动终端200的正面(例如触摸显示屏204的下方)配置指纹采集器件212。又例如,可以在触摸显示屏204中配置指纹采集器件212来实现指纹识别功能,即指纹采集器件212可以与触摸显示屏204集成在一起来实现移动终端200的指纹识别功能。在这种情况下,该指纹采集器件212配置在触摸显示屏204中,可以是触摸显示屏204的一部分,也可以以其他方式配置在触摸显示屏204中。指纹采集器件212的主要部件可以是指纹传感器,该指纹传感器可以采用任何类型的感测技术,包括但不限于光学式、电容式、压电式或超声波传感技术等。
移动终端200还可以包括蓝牙装置205,用于实现移动终端200与其他短距离的设备(例如手机、智能手表等)之间的数据交换。具体的,蓝牙装置205可以是集成电路或者蓝牙芯片等。
移动终端200还可以包括至少一种传感器206,例如光学传感器、运动传感器以及其他传感器。具体的,光学传感器可包括环境光传感器及接近传感器,其中,环境光传感器可以根据环境光线的明暗来调节触摸显示屏204的显示器的亮度,接近传感器可以在移动终端200移动到耳边时,关闭显示器的电源。作为运动传感器的一种,加速计传感器可以检测各个方向上(一般为三轴)加速度的大小,静止时可以检测出重力的大小及方向,以用于识别手机姿态的应用(例如,横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(例如,计步器、敲击)等。移动终端200还可以配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
WI-FI装置207用于为移动终端200提供遵循WI-FI相关标准协议的网络接入,移动终端200可以通过WI-FI装置207接入到WI-FI接入点,进而帮助用户接收或发送数据,例如,收发电子邮件、浏览网页和访问流媒体等,其为用户提供了无线的宽带互联网访问。在其他一些示例中,该WI-FI装置207也可以作为WI-FI无线接入点,可以为其他设备提供WI-FI网络接入。
定位装置208用于为移动终端200提供地理位置信息。可以理解的是,该定位装置208具体可以是全球定位系统(Global Positioning System,GPS)或北斗卫星导航系统、俄罗斯GLONASS等定位系统的接收器。定位装置208在接收到上述定位系统发送的地理位置信息后,例如可以将该信息发送给处理器201进行处理,或者发送给存储器203进行保存。在另外的一些示例中,该定位装置208还可以是辅助全球卫星定位系统(Assisted GlobalPositioning System,AGPS)的接收器,AGPS系统通过作为辅助服务器来协助定位装置208完成测距和定位服务。在这种情况下,辅助定位服务器通过无线通信网络与设备例如移动终端200的定位装置208(例如GPS接收器)通信而提供定位协助。在另外的一些示例中,该定位装置208也可以是基于WI-FI接入点的定位技术。由于每一个WI-FI接入点都有一个全球唯一的(Media Access Control,MAC)地址,终端设备在开启WI-FI的情况下即可扫描并收集周围的WI-FI接入点的广播信号,因此可以获取到WI-FI接入点广播出来的MAC地址。终端设备将这些能够标示WI-FI接入点的数据(例如MAC地址)通过无线通信网络发送给位置服务器,由位置服务器检索出每一个WI-FI接入点的地理位置,并结合WI-FI广播信号的强弱程度,计算出该终端设备的地理位置并发送到该终端设备的定位装置208中。
音频电路209例如可以包括扬声器和麦克风,以用于提供用户与移动终端200之间的音频接口。音频电路209可以将接收到的音频数据转换成电信号,并将电信号传输到扬声器,由扬声器转换为声音信号输出。另一方面,麦克风将收集的声音信号转换为电信号,由音频电路209接收后将其转换为音频数据,再将音频数据输出至射频电路202以发送给例如另一设备,或者将音频数据输出至存储器203以便进一步处理。
外设接口210用于为外部的输入/输出设备(例如键盘、鼠标、外接显示器、外部存储器、用户识别模块卡等)提供各种接口。例如,通过通用串行总线(Universal SerialBus,USB)接口与鼠标连接,通过用户识别模块卡的卡槽上的金属触点与电信运营商提供的用户识别模块卡(Subscriber Identification Module,SIM)进行连接。外设接口210可以被用来将上述外部的输入/输出外围设备耦接到处理器201和存储器203。
移动终端200还可以包括给各个部件供电的电源装置211(例如电池和电源管理芯片),电池可以通过电源管理芯片与处理器201逻辑相连,从而通过电源装置211实现管理充电、放电、以及功耗管理等功能。
尽管图2A未示出,移动终端200还可以包括摄像头(前置摄像头和/或后置摄像头)、闪光灯、微型投影装置、近场通信(Near Field Communication,NFC)装置等,在此不再赘述。
以下各个实施例中描述的资源管理方法均可以在具有上述硬件结构的移动终端200中实现。尽管如此,可以理解的是,本文中描述的资源管理方法也可以应用于其他合适的电子设备中,而非仅限于结合图2A描述的移动终端。
图2B示出了实施根据本公开一些实施例的资源管理方法的应用系统示意图。如图2B所示,应用系统例如可以包括终端设备221、网络222以及服务器223。
终端设备221可以是示出的移动终端,也可是固定终端,其通过网络222与服务器223进行数据传输。终端设备221上可以安装有各类应用程序,例如购物类应用、网页浏览器应用、视频播放类应用、新闻资讯类应用等。此外,终端设备221可以包括输入/输出装置,从而还可以接收用户操作,例如通过触摸显示屏来接收用户的触控、手势操作等,又或者通过麦克风来接收用户的语音操作。然后,终端设备221可以基于接收的操作来生成请求消息。经由网络222,终端设备221可以将上述请求消息发送至服务器223,并接收服务器223响应于该请求消息返回的数据。终端设备221可以根据服务器223返回的数据来进行显示,例如,在终端设备221的显示屏上显示接收的显示数据,诸如视频或者图像。此外,接收的数据还可以包括其他信息,例如该视频的显示时间点、显示时长等信息。可替代地,服务器223也可以无需接收到该请求消息而直接地将数据发送给终端设备221,以在终端设备221上进行相应地处理过程。
终端设备221可以是硬件形式,也可以是软件形式。当终端设备221为硬件形式时,可以是具有显示屏并且支持程序运行的各种设备。如上所述,终端设备221可以是示出的移动终端,例如该移动终端具有以上结合图2A描述的组件。作为其他示例,终端设备221也可以是智能电视、平板电脑、电子书阅读器、MP4(Moving Picture Experts Group AudioLayer IV)播放器、膝上型便携计算机和台式计算机等等。当终端设备221为软件形式时,可以安装在上述所列举的电子设备中,其可以实现成多个软件或软件模块(例如用来提供分布式服务的软件或软件模块),也可以实现成单个软件或软件模块,在此不作具体限定。
网络222可以是有线网络也可以是无线网络,在此不作限制。服务器223可以是提供各种服务的服务器,例如接收终端设备221发送的数据流,并进行缓存。此外,服务器223还可以接收终端设备221发送的请求消息,对该请求消息进行分析,并将分析结果(例如,与请求信息对应的数据流)发送给终端设备221。可以根据不同的应用类型布置不同的服务器,例如,服务器223可以是即时通信服务器、支付应用服务器、信息展示应用服务器、资源管理服务器等。可以理解的是,图2B中示出的终端设备221、网络222和服务器223的数目仅仅是示意性的。根据实际的应用场景,可以具有任意数目的终端设备、网络和服务器。
下文中,将以在包括以上三类子系统的安全架构系统(如图1所示)中实现资源管理为例来详细描述根据本公开一些提供的资源管理方法。可以理解的是,根据本公开实施例的资源管理方法的应用场景并不限于此。
根据本公开的一些实施例的资源管理方法可以适用于包括安全元件子系统的安全架构系统。根据本公开的一些实施例,针对该安全架构系统设置有N个芯片生命周期状态,其中,N为大于1的整数,关于上述N个芯片生命周期状态的具体形式将在下文详细描述。此外,安全元件子系统中存储有资源,作为示例,该资源可以是诸如对应于芯片厂商的根密钥、对应于整机厂商的根密钥以及对应于用户的根密钥等重要信息。为了保证上述资源的安全性,将资源的访问权限与针对安全架构系统设置的N个芯片生命周期状态相关联。当然,在此根密钥仅是重要信息的一个示例,实际上也在安全元件子系统中也可以存储其他重要信息。另外,“根密钥”的术语也并非是唯一的,只要是可以作为派生其他密钥的这类比较重要的密钥或与之相关的术语都是可行的。
图3示出了根据本公开实施例的资源管理方法300的示意性流程图,如图3所示,该方法包括步骤S301,基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制,其中,安全架构系统当前所处的芯片生命周期状态属于上述N个芯片生命周期状态之一。对资源进行访问控制例如可以包括响应于系统当前所处的芯片生命周期状态来确定是允许访问还是拒绝访问SE中的资源,从而提高SE中存储的资源在芯片各个阶段的安全性。
进一步地,通过上述访问控制的方式,能够使得诸如上述根密钥的资源与REE、TEE等其他安全性较低的子系统隔离开,在保证正常实现应用程序功能的情况下,控制根密钥等资源的使用,避免由于在根密钥使用(例如,基于根密钥进行支付校验等)期间发生资源泄露。
根据本公开的一些实施例,基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制包括:获得针对资源的访问指示,以及基于该资源的访问指示的访问权限是否与安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问资源。也就是说,对于SE中存储的资源,在有需要对其进行使用的情况下,可以向SE发送针对待使用的资源的访问指示,例如由SE中的固件程序基于针对该资源的访问指示的访问权限是否与安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问该资源。如果确定不匹配则拒绝访问。对于是否与安全架构系统当前所处的芯片生命周期状态匹配的确定步骤,将在下文结合针对上述N个芯片生命周期状态的具体形式一并进行描述。
作为示例,在一些涉及支付的应用场景中,业务的基本逻辑是在REE中实现,例如,浏览商品、选择商品、提交订单等基本业务,在确定需要支付时,业务流程将跳转到TEE中,如校验支付环境、显示支付信息,用户输入支付密钥或验证指纹等,接着,由TEE将交易信息发送至SE,由SE对交易进行签名,并将签名发给TEE,由TEE直接转发给REE,最后由REE完成与支付中心的交互。在以上支付的应用场景中,SE对交易进行签名例如需要使用SE中存储的与用户支付相关联的根密钥,由此,在进行签名之前,可以基于针对该根密钥的访问权限是否与安全架构系统当前所处的芯片生命周期状态相匹配来确定是否允许访问该根密钥,如果确定匹配,则允许访问,如果确定不匹配则拒绝访问,例如,拒绝对该交易进行签名,由此实现基于芯片生命周期状态来提高根密钥的安全性,避免进行具有安全隐患的签名操作。
下面,将对本公开一些实施例中对安全架构系统设置的N个芯片生命周期状态以及基于设置的芯片生命周期状态来进行针对资源的访问控制进行说明。
对于包括安全架构系统的终端设备,其在使用过程中涉及多个生命周期状态,例如,芯片制造阶段、设备制造阶段以及用户使用阶段。此外,在用户使用的过程中,还可能发现设备中存在一些故障,需要对设备进行返厂维修等。在设备的以上多个生命周期状态中,对于SE中存储的全部或者部分资源的访问权限是不同的。例如,如上所描述的,SE中存储的资源可以是对应于芯片厂商的根密钥、对应于整机厂商的根密钥以及对应于用户的根密钥,此三类根密钥的使用权限例如可以分别对应于上述芯片制造阶段、设备制造阶段以及用户使用阶段。也就是说,对应于芯片厂商的根密钥可以是在芯片制造阶段由芯片厂商写入SE中的,对应于整机厂商的根密钥可以是在设备制造阶段由芯片厂商写入SE中的,对应用户的根密钥可以是在用户使用阶段由用户产生的。在设备的不同使用阶段,将用到不同的根密钥,有需要对各个生命周期状态进行限制,以避免在不具有使用权限的情况下造成资源泄露。作为示例,在用户使用阶段,用户在使用阶段一般仅具有对对应于用户的根密钥进行访问的权限,而不具有访问是对应于芯片厂商的根密钥或者对应于整机厂商的根密钥的权限,如果不基于生命周期状态对用户对SE中各类资源的访问权限进行限制,则可能在用户访问对应于用户的根密钥的过程中受到攻击而降低其他重要资源的安全性。
作为一些实现方式,为了保证SE内敏感资源的安全性,可以将上述N个芯片生命周期状态分别设置为芯片制造状态(Chip Manufacturing,CM)、设备制造状态(DeviceManufacturing,DM)以及用户使用阶段(User Management,UM)。此外,根据本公开的一些实现方式,考虑到设备在使用过程中可能由于故障而需要返厂维修,可以使得上述芯片生命周期状态包括DM返厂状态(表示为DM_RMA)以及CM返厂状态(表示为CM_RMA)。可以理解的是,根据本公开实施例的资源管理方法并不限于设置以上描述的5个芯片生命周期状态,例如,可以基于需求包括以上部分的芯片生命周期状态或者设置更多的芯片生命周期状态,并将SE中存储的资源的访问权限与设置的芯片生命周期状态相关联从而实现访问控制。
在本文中,将以上述N个芯片生命周期状态包括CM、DM、UM、DM_RMA和CM_RMA作为具体示例进行描述,参照针对此具体示例描述的资源管理方法,能够类似地应用于其他的场景,在此不作限制。
如上所描述的,在不同的生命周期状态下,对于SE中的资源的访问权限是不同的。例如,在CM和CM_RMA阶段,芯片的所有的调试权限都是打开的,DM和DM_RMA阶段则关闭了一些芯片内部资源的调试接口,而UM阶段则关闭了所有的芯片调试接口。通过生命周期的切换,既能够满足芯片在各个阶段的调试需求,又能够保证内部资源的安全性。
根据本公开的一些实施例,通过一次性烧写存储器来记录安全架构系统当前所处的芯片生命周期状态,使得在芯片使用过程中,安全架构系统当前所处的芯片生命周期状态按照芯片制造状态CM、设备制造状态DM、用户使用状态UM、设备制造返厂状态DM_RMA和芯片制造返厂状态CM_RMA的顺序逐个地进行切换。
也就是说,对于上述5个芯片生命周期状态,只能严格地按照以上列出的顺序进行切换,不能跳跃切换至下一状态或者切换回之前的状态通过限制以上多个状态之间的切换过程,使得芯片状态的切换符合芯片的使用过程,能够避免芯片在使用过程中例如从UM状态切换回DM状态,从而避免在DM状态能够被访问但在UM状态不能被访问的资源的泄露。
具体的,可以通过一次性烧写存储器(诸如OTP/efuse)来实现以硬件的方式记录当前所处的芯片生命周期状态。OTP/efuse中的每一比特都是只能烧写一次,作为示例,可以通过烧写不同的位来表示不同的生命周期状态,保证生命周期状态不会退回至之前的状态。进一步地,为了保证状态的顺序切换,在每次烧写OTP/efuse以记录当前生命周期状态时,硬件都会自动检测当前的生命周期状态是否与即将切换到的生命周期状态在顺序上相邻,如果相邻,则允许烧录,否则丢弃烧写请求,由此保证安全架构系统当前所处的芯片生命周期状态按照芯片制造状态CM、设备制造状态DM、用户使用状态UM、设备制造返厂状态DM_RMA和芯片制造返厂状态CM_RMA的顺序逐个地进行切换。
根据本公开的一些实施例,资源管理方法还可以包括利用存储器件、状态位、标识符等来记录安全架构系统当前所处的芯片生命周期状态。
图4示出了根据本公开实施例的生命周期状态切换过程示意图,如图4所示,对于5个芯片生命周期状态将按照CM、DM、UM、DM_RMA和CM_RMA的顺序进行逐个的切换。
根据本公开实施例,SE中存储的资源的访问权限与5个芯片生命周期状态相关联。具体如图4所示,在CM和CM_RMA阶段具有芯片级别的访问权限,在DM和DM_RMA阶段具有厂商级别的访问权限,以及在UM阶段具有用户级别的访问权限。可以理解的是,对于SE中存储的资源,对应于芯片厂商的根密钥可以是在芯片制造阶段由芯片厂商写入SE中的,对应于整机厂商的根密钥可以是在设备制造阶段由芯片厂商写入SE中的,对应用户的根密钥可以是在用户使用阶段由用户产生的。由此可知,例如在当前芯片生命周期状态处于UM阶段的情况下,不具有访问对应于芯片厂商和整机厂商的根密钥的权限。
进一步地,根据本公开的一些实施例,上述资源管理方法还可以包括:获得对安全架构系统当前所处的芯片生命周期状态进行状态切换的切换指示;针对切换指示进行切换权限校验,基于切换权限校验的结果来确定是否执行状态切换。在这些实施例中,还可以请求进行状态的请求方进行权限校验,保证状态切换的稳定性。例如,对于进入DM_RMA与CM_RMA的状态切换请求,需要采用权限校验的手段来保证用只有整机厂商才能切换到DM_RMA阶段,只有芯片厂商才能切换到CM_RMA阶段。作为示例,上述切换指示可以是来自另一设备的请求信号,该另一设备例如可以对应于芯片厂商设备。
作为一些实现方式,针对进行状态切换的权限校验可以包括:在诸如OTP/efuse的一次性烧写存储器中进行硬件校验。在收到请求切换到例如DM_RMA的切换请求之后,切换生命周期的请求方可以在处理器提供的校验权限的地址上连续写入多个密钥,且中间不间断,硬件自动比较请求方写入的多个密钥与SE内存储的验证密钥是否匹配。如果确定匹配,则硬件将响应切换到例如DM_RMA的切换请求,否则,硬件将直接忽略切换生命周期的切换请求。作为示例,用于DM_RMA的验证密钥可以是由整机厂商烧录的,从而保证仅整机厂商具有切换至DM_RMA状态的权限。
根据本公开的一些实施例,安全架构系统可以包括M个调试接口,每个调试接口用于访问或修改处理某些部件的资源,M为大于或等于1的整数,其中,获得针对资源的访问指示包括:从属于M个调试接口之一的调试接口获得针对资源的访问指示,其中,属于M个调试接口之一的调试接口表示为当前调试接口。接着,根据本公开的一些实施例,对于N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有允许在该芯片生命周期状态进行资源访问的调试接口,基于针对资源的访问指示的访问权限是否与安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问资源包括:响应于当前调试接口是允许在安全架构系统当前所处的芯片生命周期状态进行资源访问的调试接口,允许通过当前调试接口来访问资源;以及响应于当前调试接口不是允许在安全架构系统当前所处的芯片生命周期状态进行资源访问的调试接口,拒绝通过当前调试接口来访问资源。
在上述实施例中,通过调试接口进行的资源访问权限与当前芯片生命周期状态相关联,使得既满足芯片在不同阶段的接口调试需求又保证芯片内部资源的安全性。不同于以上描述的关于软件支付应用场景,调试接口是指通过硬件接口来实现资源访问,如果不对调试接口的资源访问权限进行管理,安全攻击者可能利用这些调试接口来获取芯片运行过程中的一些内部信息,造成敏感信息泄露,而其他的安全机制也将形同虚设。由此,通过对当前芯片生命周期状态的验证,使得在满足芯片的调试需求的同时,保证了芯片内部资源的安全性。
作为示例,为了便于筛选、调试芯片的功能,芯片在生产阶段需要预留一些调试接口,通过这些硬件接口可以扫描芯片内部各个功能单元以写入或者读取寄存器的状态,从而对芯片进行测试和调试。例如,调试接口可以包括对应于芯片厂商的调试接口,此类接口具有访问芯片内的所有资源的权限。调试接口还可以包括对应于整机厂商的调试接口,这类接口可以作为芯片核心的外围调试接口,相比于对应于芯片厂商的调试接口,只能用于调试芯片的部分功能,例如,对应于整机厂商的调试接口不能访问对应于芯片厂商的根密钥、不能抓取总线上的请求等。此外,调试接口还可以包括用户调试接口,用户的调试一般是针对软件功能,需要处理器核心支持断点等功能。
基于此,可以基于不同的芯片生命周期状态针对各个调试接口设置访问权限。作为示例,在CM和CM_RMA阶段,芯片所有调试接口的权限都是打开的状态,在DM和DM_RMA阶段,则关闭了一些针对芯片内部资源的调试接口,而UM阶段则关闭了所有调试接口的访问权限。例如,在DM、DM_RMA和UM阶段,一些用于访问对应于芯片厂商的根密钥的调试接口(例如表示为第一调试接口)的权限将受到限制。也就是说,在经由第一调试接口收到针对资源的访问指示的情况下,可以首先确定当前芯片生命周期状态,如果处于CM和CM_RMA的情况下,则允许通过该第一调试接口来访问请求的资源;如果处于DM、DM_RMA和UM的情况下,则拒绝通过该第一调试接口来访问请求的资源。由此可以保证经由调试接口访问资源过程中的安全性,与此同时,由于设置了CM和CM_RMA状态,使得在以上两种状态的情况下,能够基于第一调试接口实现芯片调试功能。
根据本公开的一些实施例,对于N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有该芯片生命周期状态下允许访问的资源的地址范围,基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制包括:响应于资源的地址位于安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,允许对资源进行访问;以及响应于资源的地址不位于安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,拒绝对资源进行访问。
在上述实施例中,例如可以由SE中的固件记录每个芯片生命周期状态下可以访问的资源的地址,基于所访问的资源的地址与当前芯片生命周期状态进行验证,从而以软件实现方式来基于当前状态进行验证,提升所访问的资源的安全性。作为示例,固件中记录每个芯片生命周期状态下可以访问的资源的地址范围,如果所请求使用的资源的地址位于当前所处的芯片生命周期状态下允许访问的资源的地址范围则允许访问。
作为示例,假设针对以上5个芯片生命周期状态分别设置有3个地址范围,其中,第一地址范围对应于在CM和CM_RMA阶段允许访问的资源,第二地址范围对应于在DM和DM_RMA阶段允许访问的资源,以及第三地址范围对应于在UM阶段允许访问的资源。如果访问指示所对应的资源的地址位于第一地址范围,并且当前芯片生命周期状态为DM阶段,则拒绝基于该访问指示对资源进行访问。具体的,上述3个地址范围之间可以存在部分重叠的范围,例如,对于第一地址范围与第二地址范围中存在重叠地址范围,在该重叠地址范围存储的内容表示在CM和CM_RMA阶段和DM和DM_RMA阶段均允许访问。此外,上述3个地址范围之间可以是连续的也可以是不连续的,本文不对基于地址范围来实现针对各个阶段可访问资源的区分具体实施方式进行限制。
在这些实施例中,针对SE中存储的资源,通过采用不同的地址范围来区分资源的访问权限,并结合当前芯片生命周期状态实现访问控制,能够保证SE中重要信息的安全性,避免无权访问。
根据本公开的一些实施例,资源设置有N个资源生命周期状态,N个资源生命周期状态对应于N个芯片生命周期状态,其中,资源设置有对应的至少一个资源生命周期状态,基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制包括:响应于资源对应的至少一个资源生命周期状态与安全架构系统当前所处的芯片生命周期状态匹配,允许对资源进行访问;以及响应于资源对应的至少一个资源生命周期状态与安全架构系统当前所处的芯片生命周期状态不匹配,拒绝对资源进行访问。
在上述实施例中,例如可以标识访问SE中存储资源所需的生命周期状态,使得针对资源设置的状态信息与芯片生命周期状态相匹配。也就是说,通过资源生命周期状态与芯片生命周期状态的一致性来实现资源访问控制,保证访问安全性。
作为示例,以上5个芯片生命周期状态为例,可以对应地将SE中的资源标识为5个资源生命周期状态之一,例如,5个资源生命周期状态分别表示为状态1、状态2、状态3、状态4和状态5,这5个资源生命周期状态与上述5个芯片生命周期状态一一对应。如果访问指示所对应的资源的标识表示该资源对应于状态1,而当前芯片生命周期状态为UM阶段,则拒绝基于该访问指示对资源进行访问。
在这些实施例中,针对SE中存储的资源,通过针对资源设置对应的至少一个资源生命周期状态来区分资源的访问权限,并结合当前芯片生命周期状态实现访问控制,能够保证SE中重要信息的安全性,避免无权访问。
根据本公开的一些实施例,资源包括多个根密钥,安全架构系统包括REE、TEE和SE三者,即,对应于图1所示的应用场景。根据本公开一些实施例的资源管理方法包括:获得来自REE或者TEE的密钥派生请求,其中该密钥派生请求包括密钥标识信息,并且用于请求安全元件子系统利用多个根密钥中的与密钥标识信息对应的根密钥进行密钥派生;响应于针对与密钥标识信息对应的根密钥的访问权限与当前所处的芯片生命周期状态匹配,允许利用与密钥标识信息对应的根密钥进行密钥派生;以及响应于针对与密钥标识信息对应的根密钥的访问权限与当前所处的芯片生命周期状态不匹配,则拒绝利用与密钥标识信息对应的根密钥进行密钥派生。
上述实施例涉及在安全架构系统包括REE、TEE和SE的情况下,由REE或者TEE请求利用SE中存储的根密钥进行密钥派生的应用场景。在这些实施例中,REE或者TEE不具有直接使用SE中存储的根密钥的权限,在需要例如进行加密运算、签名等密码运算场景中,REE或者TEE首先向SE发送密钥派生请求,以向SE请求使用与密钥派生请求携带的密钥标识信息对应的根密钥。针对该密钥派生请求,SE可以首先确定当前所处的芯片生命周期状态,以判断请求使用的根密钥是否与当前所处的芯片生命周期状态相匹配,并在确定匹配的情况下允许进行请求的操作。作为示例,假设请求的根密钥为对应于芯片厂商的根密钥,由此其仅能在CM和CM_RMA阶段可以被访问,而系统当前所处的芯片生命周期状态为UM,则可以拒绝该密钥派生请求。
作为示例,图5示出了在支付应用场景中进行资源管理的示意性流程图。例如,在涉及支付的应用场景中,可以首先在REE中实现诸如浏览商品、选择商品、提交订单等基本业务,接着,由REE向TEE发送可信服务请求,使得业务流程跳转到TEE中,以实现诸如校验支付环境、显示支付信息,用户输入支付密钥或验证指纹等过程。接着,由TEE基于根密钥校验请求,以请求SE中存储的根密钥对交易信息进行校验,例如,请求由SE中存储的支付根密钥来对用户输入的支付密钥进行校验。响应于该S2请求,SE可以确定当前芯片生命周期状态,例如处于UM状态,并判断该请求的支付根密钥的访问权限是否与当前UM状态相匹配,如果确定匹配则允许访问该根密钥以进行相应的支付校验。对于判断该请求的支付根密钥的访问权限是否与当前UM状态相匹配的过程,例如可以按照上文描述的基于资源的地址范围、资源生命周期状态等实现方式来进行判断,此处不多加赘述。接着,SE可以向TEE返回校验结果,并由TEE向REE返回相关数据以由REE完成与支付中心的交互。由此,图5所示的资源管理方法能够实现基于芯片生命周期状态来提高根密钥的安全性,避免进行具有安全隐患的签名操作。
利用根据本公开的一些实施例的资源管理方法,能够基于针对安全架构系统设置的生命周期状态来保证SE中存储的重要资源的安全性。通过实施根据本公开实施例的资源管理方法,能够保证SE中存储的诸如根密钥等的重要资源在终端的各个生命阶段均具有较高的安全级别,避免重要信息泄露等安全隐患。
进一步地,提高终端设备的安全性有利于丰富设备的应用场景,例如,在个人手机产品中也能够安装对于安全性要求较高的程序并实现相应的功能,保证用户的信息安全,有利于构建安全可靠的产品使用环境。
根据本公开的另一方面,还提供了一种计算装置。具体地,根据本公开一些实施例的计算装置配置有安全架构系统,其中,安全架构系统包括安全元件子系统。安全架构系统设置有N个芯片生命周期状态,N为大于1的整数,安全元件子系统存储有资源,该资源的访问权限与N个芯片生命周期状态相关联。
图6示出了根据本公开一些实施例的计算装置的示意性框图,如图6所示,计算装置1000包括处理单元1010。处理单元1010配置成:基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制,其中,安全架构系统当前所处的芯片生命周期状态属于N个芯片生命周期状态之一。
作为示例,上述计算装置可以是上述结合图2A描述的移动终端设备,其中,作为一种实现方式,上述处理单元1010可以实施为移动终端200的处理器201。具体的,该处理器能够利用各种接口和线路链接设备的各个功能单元,通过运行或执行存储在存储器内的软件程序和/或模块,以及调用存储在存储器内的数据,执行各种功能和处理数据。可选地,处理单元1010可以实现为一个或多个处理器核心。例如,处理单元可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理单元1010之中。作为其他示例,上述计算装置也可以是其他类型的计算设备,例如,能够安装应用程序并显示应用程序图标的台式计算机、平板电脑、个人计算机(Personal Computer,PC)、个人数字助理(personal digital assistant,PDA)、智能手表、上网本、可穿戴电子设备、增强现实(Augmented Reality,AR)设备等,本公开不对该计算装置的具体实施形式作特殊限制。
以下描述根据本公开一些实施例的计算装置中的单元所实现的一些功能。
根据本公开的一些实施例,计算装置1000还可以包括接收单元1020。接收单元1020可以配置成获得针对资源的访问指示。为了对资源进行访问控制,处理单元1010可以配置成:基于针对资源的访问指示的访问权限是否与安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问资源。
作为一种实现方式,上述接收单元1020可以实现为用于实现数据传输的通信线路或者接口设备,在此不作限制。可选地,接收单元1020中的部分或全部可以集成在处理单元中。
根据本公开的一些实施例,安全架构系统包括M个调试接口,每个调试接口用于访问安全元件子系统存储的资源,M为大于或等于1的整数。接收单元1020可以配置成:从属于M个调试接口之一的调试接口获得针对资源的访问指示,其中,属于M个调试接口之一的调试接口表示为当前调试接口。
根据本公开的一些实施例,对于N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有允许在该芯片生命周期状态进行资源访问的调试接口。为了对资源进行访问控制,处理单元1010可以配置成:响应于当前调试接口是允许在安全架构系统当前所处的芯片生命周期状态进行资源访问的调试接口,允许通过当前调试接口来访问资源;响应于当前调试接口不是允许在安全架构系统当前所处的芯片生命周期状态进行资源访问的调试接口,拒绝通过当前调试接口来访问资源。
根据本公开的一些实施例,对于N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有该芯片生命周期状态下允许访问的资源的地址范围。为了对资源进行访问控制,处理单元1010可以配置成:响应于资源的地址位于安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,允许对资源进行访问;响应于资源的地址不位于安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,拒绝对资源进行访问。
根据本公开的一些实施例,资源设置有N个资源生命周期状态,N个资源生命周期状态对应于N个芯片生命周期状态,其中,资源设置有对应的至少一个资源生命周期状态。为了对资源进行访问控制,处理单元1010可以配置成:响应于资源对应的至少一个资源生命周期状态与安全架构系统当前所处的芯片生命周期状态匹配,允许对资源进行访问;响应于资源对应的至少一个资源生命周期状态与安全架构系统当前所处的芯片生命周期状态不匹配,拒绝对资源进行访问。
根据本公开的一些实施例,资源包括多个根密钥,安全架构系统还包括普通执行环境子系统和可信执行环境子系统。根据本公开一些实施例,计算装置1000的接收单元1020可以配置成:获得来自普通执行环境子系统或者可信执行环境子系统的密钥派生请求,密钥派生请求包括密钥标识信息,并且用于请求安全元件子系统利用多个根密钥中的与密钥标识信息对应的根密钥进行密钥派生。根据本公开的一些实施例,处理单元1010还可以配置成:响应于针对与密钥标识信息对应的根密钥的访问权限与安全架构系统当前所处的芯片生命周期状态匹配,允许利用与密钥标识信息对应的根密钥进行密钥派生;以及响应于针对与密钥标识信息对应的根密钥的访问权限与安全架构系统当前所处的芯片生命周期状态不匹配,拒绝利用与密钥标识信息对应的根密钥进行密钥派生。
根据本公开的一些实施例,能够通过一次性烧写存储器来记录安全架构系统当前所处的芯片生命周期状态,使得在芯片使用过程中,安全架构系统当前所处的芯片生命周期状态按照芯片制造状态、设备制造状态、用户使用状态、设备制造返厂状态和芯片制造返厂状态的顺序逐个地进行切换。
根据本公开的一些实施例,计算装置的接收单元1020可以配置成:获得对安全架构系统当前所处的芯片生命周期状态进行状态切换的切换指示;处理单元还配置成:针对切换指示进行切换权限校验,基于切换权限校验的结果来确定是否执行状态切换。
关于计算装置1000执行的步骤可以参照以上结合附图描述的根据本公开的资源管理方法,可以理解的是,通过实施上述资源管理方法的步骤,根据本公开实施例的计算装置可以实现类似地技术效果,在此不再重复描述。
根据本公开的又一方面,还提供了一种计算设备。图7示出了根据本公开实施例的计算设备的示意性框图。
如图7所示,计算设备2000可以包括处理器2010以及存储器2020。根据本公开实施例,存储器2020中存储有计算机可读代码,该计算机可读代码当由处理器2010运行时,执行如上所述的资源管理方法。
处理器2010可以根据存储在存储器2020中的程序执行各种动作和处理。具体地,处理器2010可以是一种集成电路芯片,具有信号的处理能力。上述处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,可以是X86架构或者是ARM架构等。处理器2010能够实现或者执行本公开实施例中公开的各种方法、步骤及逻辑框图。
存储器2020存储有计算机可执行指令代码,该指令代码在被处理器2010执行时用于实现根据本公开实施例的资源管理方法。存储器2020可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。非易失性存储器可以是只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或闪存。易失性存储器可以是随机存取存储器(RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(SDRAM)、双倍数据速率同步动态随机存取存储器(DDRSDRAM)、增强型同步动态随机存取存储器(ESDRAM)、同步连接动态随机存取存储器(SLDRAM)和直接内存总线随机存取存储器(DR RAM)。应注意,本文描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
根据本公开实施例的方法或装置也可以借助于图8所示的计算设备3000的架构来实现。如图8所示,计算设备3000可以包括总线3010、一个或多个CPU 3020、只读存储器(ROM)3030、随机存取存储器(RAM)3040、连接到网络的通信端口3050、输入/输出3060、硬盘3070等。计算设备3000中的存储设备,例如ROM 3030或硬盘3070可以存储本公开提供的资源管理方法的处理和/或通信使用的各种数据或文件以及CPU所执行的程序指令。计算设备3000还可以包括用户界面3080。当然,图8所示的架构只是示例性的,在实现不同的设备时,根据实际需要,可以省略图8示出的计算设备中的一个或多个组件。作为示例,上述计算设备3000可以实现为安装有应用程序的移动终端,并且,移动终端的安全架构系统包括安全元件子系统SE,通过实施上述资源管理方法,能够保证SE中存储的诸如根密钥等的重要资源在终端的各个生命阶段均具有较高的安全级别,避免重要信息泄露等安全隐患。进一步地,提高终端设备的安全性有利于丰富设备的应用场景,例如,在个人手机产品中也能够安装对于安全性要求较高的程序并实现相应的功能,保证用户的信息安全,有利于构建安全可靠的产品使用环境。
根据本公开的又一方面,还提供了一种非暂时性计算机可读存储介质。图9示出了根据本公开实施例的非暂时性计算机可读存储介质的示意图。
如图9所示,计算机可读存储介质4020上存储有指令,指令例如是计算机可读指令4010。当计算机可读指令4010由处理器运行时,可以执行参照以上附图描述的资源管理方法。计算机可读存储介质包括但不限于例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。例如,计算机可读存储介质4020可以连接于诸如计算机等的计算设备,接着,在计算设备运行计算机可读存储介质4020上存储的计算机可读指令4010的情况下,可以进行如上所描述的资源管理方法。
根据本公开的又一方面,还提供了一种计算机程序产品或计算机程序,该计算机程序产品或者计算机程序包括计算机可读指令,该计算机可读指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机可读指令,处理器执行该计算机可读指令,使得该计算机设备执行上述各个实施例中描述的资源管理方法。
根据本公开一些实施例提供的资源管理方法、计算装置、计算设备和可读存储介质,通过将资源的访问权限与设置的芯片生命周期状态相关联,从而能够基于安全架构系统当前所处的芯片生命周期状态,对资源进行访问控制。这使得能够保证SE中存储的诸如根密钥等的重要资源在诸如产品的各个生命阶段均具有较高的安全级别,避免重要信息泄露等安全隐患。
本领域技术人员能够理解,本公开所披露的内容可以出现多种变型和改进。例如,以上所描述的各种设备或组件可以通过硬件实现,也可以通过软件、固件、或者三者中的一些或全部的组合实现。
此外,虽然本公开对根据本公开的实施例的系统中的某些单元做出了各种引用,然而,任何数量的不同单元可以被使用并运行在客户端和/或服务器上。单元仅是说明性的,并且系统和方法的不同方面可以使用不同单元。
本公开中使用了流程图用来说明根据本公开的实施例的方法的步骤。应当理解的是,前面或后面的步骤不一定按照顺序来精确的进行。相反,可以按照倒序或同时处理各种步骤。同时,也可以将其他操作添加到这些过程中。
本领域普通技术人员可以理解上述方法中的全部或部分的步骤可通过计算机程序来指令相关硬件完成,程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本公开并不限制于任何特定形式的硬件和软件的结合。
除非另有定义,这里使用的所有术语具有与本公开所属领域的普通技术人员共同理解的相同含义。还应当理解,诸如在通常字典里定义的那些术语应当被解释为具有与它们在相关技术的上下文中的含义相一致的含义,而不应用理想化或极度形式化的意义来解释,除非这里明确地这样定义。
以上是对本公开的说明,而不应被认为是对其的限制。尽管描述了本公开的若干示例性实施例,但本领域技术人员将容易地理解,在不背离本公开的新颖教学和优点的前提下可以对示例性实施例进行许多修改。因此,所有这些修改都意图包含在权利要求书所限定的本公开范围内。应当理解,上面是对本公开的说明,而不应被认为是限于所公开的特定实施例,并且对所公开的实施例以及其他实施例的修改意图包含在所附权利要求书的范围内。本公开由权利要求书及其等效物限定。
Claims (20)
1.一种资源管理方法,其特征在于,所述方法适用于包括安全元件子系统的安全架构系统,所述安全元件子系统存储有资源,所述安全架构系统设置有N个芯片生命周期状态,N为大于1的整数,其中,所述资源的访问权限与所述N个芯片生命周期状态相关联,所述方法包括:
基于所述安全架构系统当前所处的芯片生命周期状态,对所述资源进行访问控制,其中,所述安全架构系统当前所处的芯片生命周期状态属于所述N个芯片生命周期状态之一,其中,所述基于所述安全架构系统当前所处的芯片生命周期状态,对所述资源进行访问控制包括:对于用于对芯片进行测试和调试的M个硬件调试接口,基于不同的芯片生命周期状态针对各个硬件调试接口设置不同的访问权限,M为大于1的整数,其中,
所述N个芯片生命周期状态包括芯片制造状态、设备制造状态、用户使用状态、设备制造返厂状态和芯片制造返厂状态,所述基于不同的芯片生命周期状态针对各个硬件调试接口设置不同的访问权限包括:在处于所述芯片制造状态、所述芯片制造返厂状态中的任意一种状态时,允许所述M个硬件调试接口的访问权限;在处于所述设备制造状态、所述设备制造返厂状态中的任意一种状态时,禁止所述M个硬件调试接口中对应于访问芯片厂商的根密钥的硬件调试接口的访问权限;以及,在处于所述用户使用状态时,禁止所述M个硬件调试接口的访问权限。
2.如权利要求1所述的方法,其特征在于,所述基于所述安全架构系统当前所处的芯片生命周期状态,对所述资源进行访问控制还包括:
获得针对所述资源的访问指示,以及基于针对所述资源的访问指示的访问权限是否与所述安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问所述资源。
3.如权利要求2所述的方法,其特征在于,所述获得针对所述资源的访问指示包括:
从属于所述M个硬件调试接口之一的硬件调试接口获得针对所述资源的访问指示,其中,所述属于所述M个硬件调试接口之一的硬件调试接口表示为当前硬件调试接口。
4.如权利要求3所述的方法,其特征在于,所述基于针对所述资源的访问指示的访问权限是否与所述安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问所述资源包括:
响应于所述当前硬件调试接口是允许在所述安全架构系统当前所处的芯片生命周期状态进行资源访问的硬件调试接口,允许通过所述当前硬件调试接口来访问所述资源;以及
响应于所述当前硬件调试接口不是允许在所述安全架构系统当前所处的芯片生命周期状态进行资源访问的硬件调试接口,拒绝通过所述当前硬件调试接口来访问所述资源。
5.如权利要求1所述的方法,其特征在于,对于所述N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有该芯片生命周期状态下允许访问的资源的地址范围,所述基于所述安全架构系统当前所处的芯片生命周期状态,对所述资源进行访问控制还包括:
响应于所述资源的地址位于所述安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,允许对所述资源进行访问;以及
响应于所述资源的地址不位于所述安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,拒绝对所述资源进行访问。
6.如权利要求1所述的方法,其特征在于,所述资源设置有N个资源生命周期状态,所述N个资源生命周期状态对应于所述N个芯片生命周期状态,其中,所述资源设置有对应的至少一个资源生命周期状态,所述基于所述安全架构系统当前所处的芯片生命周期状态,对所述资源进行访问控制还包括:
响应于所述资源对应的所述至少一个资源生命周期状态与所述安全架构系统当前所处的芯片生命周期状态匹配,允许对所述资源进行访问;以及
响应于所述资源对应的所述至少一个资源生命周期状态与所述安全架构系统当前所处的芯片生命周期状态不匹配,拒绝对所述资源进行访问。
7.如权利要求1所述的方法,其特征在于,所述资源包括多个根密钥,所述安全架构系统还包括普通执行环境子系统和可信执行环境子系统,其中,所述基于所述安全架构系统当前所处的芯片生命周期状态,对所述资源进行访问控制还包括:
获得来自所述普通执行环境子系统或者所述可信执行环境子系统的密钥派生请求,所述密钥派生请求包括密钥标识信息,并且用于请求所述安全元件子系统利用所述多个根密钥中的与所述密钥标识信息对应的根密钥进行密钥派生;
响应于针对与所述密钥标识信息对应的根密钥的访问权限与所述安全架构系统当前所处的芯片生命周期状态匹配,允许利用与所述密钥标识信息对应的根密钥进行密钥派生;以及
响应于针对与所述密钥标识信息对应的根密钥的访问权限与所述安全架构系统当前所处的芯片生命周期状态不匹配,拒绝利用与所述密钥标识信息对应的根密钥进行密钥派生。
8.如权利要求1所述的方法,其特征在于,通过一次性烧写存储器来记录所述安全架构系统当前所处的芯片生命周期状态,使得在芯片使用过程中,所述安全架构系统当前所处的芯片生命周期状态按照芯片制造状态、设备制造状态、用户使用状态、设备制造返厂状态和芯片制造返厂状态的顺序逐个地进行切换。
9.如权利要求1所述的方法,其特征在于,所述方法还包括:
获得对所述安全架构系统当前所处的芯片生命周期状态进行状态切换的切换指示;
针对所述切换指示进行切换权限校验,基于所述切换权限校验的结果来确定是否执行状态切换。
10.一种计算装置,其特征在于,所述计算装置配置有安全架构系统,所述安全架构系统包括安全元件子系统,所述安全元件子系统存储有资源,所述安全架构系统设置有N个芯片生命周期状态,N为大于1的整数,其中,所述资源的访问权限与所述N个芯片生命周期状态相关联,所述计算装置包括处理单元,所述处理单元配置成:
基于所述安全架构系统当前所处的芯片生命周期状态,对所述资源进行访问控制,其中,所述安全架构系统当前所处的芯片生命周期状态属于所述N个芯片生命周期状态之一,其中,所述处理单元基于所述安全架构系统当前所处的芯片生命周期状态,对所述资源进行访问控制包括:对于用于对芯片进行测试和调试的M个硬件调试接口,基于不同的芯片生命周期状态针对各个硬件调试接口设置不同的访问权限,M为大于1的整数,其中,
所述N个芯片生命周期状态包括芯片制造状态、设备制造状态、用户使用状态、设备制造返厂状态和芯片制造返厂状态,所述基于不同的芯片生命周期状态针对各个硬件调试接口设置不同的访问权限包括:在处于所述芯片制造状态、所述芯片制造返厂状态中的任意一种状态时,允许所述M个硬件调试接口的访问权限;在处于所述设备制造状态、所述设备制造返厂状态中的任意一种状态时,禁止所述M个硬件调试接口中对应于访问芯片厂商的根密钥的硬件调试接口的访问权限;以及,在处于所述用户使用状态时,禁止所述M个硬件调试接口的访问权限。
11.如权利要求10所述的计算装置,其特征在于,所述计算装置还包括接收单元,所述接收单元配置成:获得针对所述资源的访问指示;
为了对所述资源进行访问控制,所述处理单元还配置成:基于针对所述资源的访问指示的访问权限是否与所述安全架构系统当前所处的芯片生命周期状态匹配来确定是否允许访问所述资源。
12.如权利要求11所述的计算装置,其特征在于,所述接收单元配置成:
从属于所述M个硬件调试接口之一的硬件调试接口获得针对所述资源的访问指示,其中,所述属于所述M个硬件调试接口之一的硬件调试接口表示为当前硬件调试接口。
13.如权利要求12所述的计算装置,其特征在于,为了对所述资源进行访问控制,所述处理单元还配置成:
响应于所述当前硬件调试接口是允许在所述安全架构系统当前所处的芯片生命周期状态进行资源访问的硬件调试接口,允许通过所述当前硬件调试接口来访问所述资源;
响应于所述当前硬件调试接口不是允许在所述安全架构系统当前所处的芯片生命周期状态进行资源访问的硬件调试接口,拒绝通过所述当前硬件调试接口来访问所述资源。
14.如权利要求10所述的计算装置,其特征在于,对于所述N个芯片生命周期状态中的每个芯片生命周期状态,分别设置有该芯片生命周期状态下允许访问的资源的地址范围,为了对所述资源进行访问控制,所述处理单元还配置成:
响应于所述资源的地址位于所述安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,允许对所述资源进行访问;
响应于所述资源的地址不位于所述安全架构系统当前所处的芯片生命周期状态下允许访问的资源的地址范围,拒绝对所述资源进行访问。
15.如权利要求10所述的计算装置,其特征在于,所述资源设置有N个资源生命周期状态,所述N个资源生命周期状态对应于所述N个芯片生命周期状态,其中,所述资源设置有对应的至少一个资源生命周期状态,为了对所述资源进行访问控制,所述处理单元还配置成:
响应于所述资源对应的所述至少一个资源生命周期状态与所述安全架构系统当前所处的芯片生命周期状态匹配,允许对所述资源进行访问;
响应于所述资源对应的所述至少一个资源生命周期状态与所述安全架构系统当前所处的芯片生命周期状态不匹配,拒绝对所述资源进行访问。
16.如权利要求10所述的计算装置,其特征在于,所述资源包括多个根密钥,所述安全架构系统还包括普通执行环境子系统和可信执行环境子系统,所述计算装置还包括接收单元,所述接收单元配置成:获得来自所述普通执行环境子系统或者所述可信执行环境子系统的密钥派生请求,所述密钥派生请求包括密钥标识信息,并且用于请求所述安全元件子系统利用所述多个根密钥中的与所述密钥标识信息对应的根密钥进行密钥派生;
所述处理单元还配置成:
响应于针对与所述密钥标识信息对应的根密钥的访问权限与所述安全架构系统当前所处的芯片生命周期状态匹配,允许利用与所述密钥标识信息对应的根密钥进行密钥派生;以及
响应于针对与所述密钥标识信息对应的根密钥的访问权限与所述安全架构系统当前所处的芯片生命周期状态不匹配,拒绝利用与所述密钥标识信息对应的根密钥进行密钥派生。
17.如权利要求10所述的计算装置,其特征在于,通过一次性烧写存储器来记录所述安全架构系统当前所处的芯片生命周期状态,使得在芯片使用过程中,所述安全架构系统当前所处的芯片生命周期状态按照芯片制造状态、设备制造状态、用户使用状态、设备制造返厂状态和芯片制造返厂状态的顺序逐个地进行切换。
18.如权利要求10所述的计算装置,其特征在于,所述计算装置还包括接收单元,所述接收单元配置成:获得对所述安全架构系统当前所处的芯片生命周期状态进行状态切换的切换指示;
所述处理单元还配置成:针对所述切换指示进行切换权限校验,基于所述切换权限校验的结果来确定是否执行状态切换。
19.一种计算设备,其特征在于,所述计算设备配置有安全架构系统,所述安全架构系统包括安全元件子系统,所述安全架构系统设置有N个芯片生命周期状态,N为大于1的整数,所述安全元件子系统存储有资源,其中,所述资源的访问权限与所述N个芯片生命周期状态相关联,所述计算设备包括处理器和存储器,所述存储器包括计算机可读程序指令,所述指令在被所述处理器执行时使得所述处理器实现如权利要求1-9中任一项所述的资源管理方法。
20.一种非暂时性计算机可读存储介质,其上存储有指令,所述指令在被处理器执行时,使得所述处理器执行如权利要求1-9中任一项所述的资源管理方法。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111398406.6A CN113821841B (zh) | 2021-11-24 | 2021-11-24 | 资源管理方法、计算装置、计算设备和可读存储介质 |
US17/991,644 US20230177196A1 (en) | 2021-11-24 | 2022-11-21 | Resource management method, computing device, computing equipment, and readable storage medium |
EP22209122.5A EP4187420A1 (en) | 2021-11-24 | 2022-11-23 | Resource management method, computing device, computing equipment, and readable storage medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111398406.6A CN113821841B (zh) | 2021-11-24 | 2021-11-24 | 资源管理方法、计算装置、计算设备和可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113821841A CN113821841A (zh) | 2021-12-21 |
CN113821841B true CN113821841B (zh) | 2022-02-25 |
Family
ID=78919789
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111398406.6A Active CN113821841B (zh) | 2021-11-24 | 2021-11-24 | 资源管理方法、计算装置、计算设备和可读存储介质 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230177196A1 (zh) |
EP (1) | EP4187420A1 (zh) |
CN (1) | CN113821841B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116756781B (zh) * | 2023-08-23 | 2023-11-14 | 菁音核创科技(厦门)有限公司 | 一种芯片的加密保护方法、装置、设备及存储介质 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110990331A (zh) * | 2019-12-03 | 2020-04-10 | 天津飞腾信息技术有限公司 | 片上系统密钥管理方法、装置、设备及可读存储介质 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100539804B1 (ko) * | 2003-12-29 | 2006-01-10 | 엘지전자 주식회사 | 텔레매틱스 단말기의 절전모드 구현 장치와 방법 |
US11251959B2 (en) * | 2018-07-09 | 2022-02-15 | Ares Technologies, Inc. | Method of manufacturing a secure computing hardware apparatus |
TW202123651A (zh) * | 2019-07-31 | 2021-06-16 | 美商數據輸出入公司 | 利用系統產生的裝置程式化 |
CN113449346B (zh) * | 2021-09-01 | 2021-12-14 | 飞腾信息技术有限公司 | 微处理器、数据处理方法、电子设备和存储介质 |
-
2021
- 2021-11-24 CN CN202111398406.6A patent/CN113821841B/zh active Active
-
2022
- 2022-11-21 US US17/991,644 patent/US20230177196A1/en active Pending
- 2022-11-23 EP EP22209122.5A patent/EP4187420A1/en active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110990331A (zh) * | 2019-12-03 | 2020-04-10 | 天津飞腾信息技术有限公司 | 片上系统密钥管理方法、装置、设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
EP4187420A1 (en) | 2023-05-31 |
CN113821841A (zh) | 2021-12-21 |
US20230177196A1 (en) | 2023-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200274898A1 (en) | Method And Device For Defending Against Denial Of Service Attacks | |
US9607140B2 (en) | Authenticating a user of a system via an authentication image mechanism | |
CN108632253B (zh) | 基于移动终端的客户数据安全访问方法及装置 | |
CN110366843B (zh) | 控制可信应用访问的方法和终端 | |
US9104840B1 (en) | Trusted security zone watermark | |
CN113821803B (zh) | 安全架构系统、安全管理方法和计算设备 | |
CN109416800B (zh) | 一种移动终端的认证方法及移动终端 | |
US11017066B2 (en) | Method for associating application program with biometric feature, apparatus, and mobile terminal | |
CN113821835B (zh) | 密钥管理方法、密钥管理装置和计算设备 | |
US11943256B2 (en) | Link detection method and apparatus, electronic device, and storage medium | |
US11734416B2 (en) | Construct general trusted application for a plurality of applications | |
CN110474864B (zh) | 一种注册、登录移动应用程序的方法及电子设备 | |
US20230161885A1 (en) | Security architecture system, cryptographic operation method for security architecture system, and computing device | |
KR20140112399A (ko) | 어플리케이션 접근 제어 방법 및 이를 구현하는 전자 장치 | |
CN113821841B (zh) | 资源管理方法、计算装置、计算设备和可读存储介质 | |
WO2018153288A1 (zh) | 数值转移方法、装置、设备及存储介质 | |
KR102657388B1 (ko) | 암호화될 데이터의 정보량에 기반하여 암호화에 사용될 키를 선택하는 전자 장치 및 전자 장치의 동작 방법 | |
CN112543194B (zh) | 移动终端登录方法、装置、计算机设备和存储介质 | |
US11245694B2 (en) | User terminal apparatus and control method thereof | |
WO2019127468A1 (zh) | 分组应用使用同一密钥共享数据 | |
KR20210026233A (ko) | 디바이스 리소스에 대한 접근을 제어하기 위한 전자 장치 및 그의 동작 방법 | |
CN113158198B (zh) | 访问控制方法、装置、终端设备和存储介质 | |
US20240015156A1 (en) | Electronic device for controlling access to device resource and operation method thereof | |
CN117032567A (zh) | 端口开启方法、装置、电子设备及存储介质 | |
JP2014078185A (ja) | 情報処理システムおよび方法、並びに情報処理端末 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |