专利名称:从安全执行环境至显示器控制器传递数据的制作方法
技术领域:
实施例总地涉及受信任服务的部署。更具体地,实施例涉及显示与受信任服务关联的安全输出数据。
背景技术:
对诸如m-商务(移动商务)之类的移动应用的服务可能关系到很多种片载系统(SOC)平台的未来发展。尽管传统应用可在由主机操作系统(OS)提供的不受信任环境中的主要应用处理器上执行,但“受信任服务”可在由安全部件提供的受信任环境(即应用处理器上的主机OS的信任边界之外)中执行。然而,根据受信任服务显示给用户的信息仍然可能会经过不受信任的主机OS栈。因此,这种显示信息可能易受“侦听”以及在主机上执行的恶意软件修改。
通过阅读以下说明和所附权利要求,以及通过参考以下附图,本发明的实施例的各种优点将对于本领域普通技术人员变得显而易见,在附图中:图1是根据一个实施例具有用于与受信任服务关联的输出数据的安全路径的平台的一个例子的方框图;图2是根据一实施例显示安全输出数据的方法的例子的流程图;图3是根据一实施例显示安全输出数据的更详细方法的例子的流程图;图4是根据一实施例的安全路径实现的例子的方框图;图5是根据一实施例建立安全路径并防止该安全路径中的解密模块被绕过的系统的一个例子的方框图;以及图6是根据一实施例的通信协议的例子的方框图。
具体实施例方式实施例可涉及一计算机实现的方法,其中响应安全输出模式请求在安全部件和显示器之间建立一安全路径,其中所述安全路径包括显示器控制器。该方法还可用来防止显示器控制器的解密模块被绕过,并经由安全路径将来自安全部件的经加密数据发送至显示器。实施例也可包括一系统,该系统具有显示器、具有解密模块的显示器控制器以及安全部件。安全部件可包括安全逻辑以响应安全输出模式请求在安全部件和显示器之间建立一安全路径,其中该安全路径将包括显示器控制器。另外,安全逻辑可防止解密模块被绕过,并经由安全路径将来自安全部件的经加密数据发送至显示器。其他实施例可包括具有一组指令的非临时计算机可读存储介质,这组指令如果由处理器执行则使计算机响应安全输出模式请求在安全部件和显示器之间建立一安全路径。在一个例子中,安全路径被配置成包括显示器控制器。此外,这些指令可使计算机防止显示器控制器的解密模块被绕过,并经由安全路径将来自安全部件的经加密数据发送至显示器。现在转向图1,其示出平台10。平台10可以是膝上计算机、移动互联网设备(MID)、个人数字助理(PDA)、媒体播放机、成像设备等、例如智能电话的任何智能设备、智能电视(TV)、智能便笺式计算机等的一部分,或其任意组合。因此,平台10可包括片载系统(SoC)子系统12,该子系统12具有HW-FW(硬件-固件)域,其中北部复合组件50经由互连桥30耦合于南部复合组件52。在一个例子中,北部复合组件50耦合于诸如触摸屏、LCD (液晶显示器)、LED (发光二极管)设备、CRT (阴极射线管)监视器等显示器14。图示的南部复合组件52包括安全部件16,安全部件16结合在安全部件16上执行的受信任服务的操作产生安全输出数据(“Se0D”)18。例如,安全输出数据18可关联于金融应用,该金融应用将交易信息显示在显示器14上以使平台10的用户验证和证实m商务交易的可靠性。相反,图示的北部复合组件50的内核20在不安全主机操作系统(OS)域中执行主机应用22,其中该主机应用22可产生用于显示器14的不安全输出数据24。在图示例子中,对于安全输出数据18在安全部件16和显示器14之间建立一安全输出路径26,而非安全输出数据24经由默认输出路径28被发送至显示器14。如下文中更详细描述的那样,安全输出路径26可包括对安全输出数据18进行解密的显示器控制器32,所述安全输出数据18可在传输前由安全部件16加密。此外,安全部件16可防止显示器控制器32的解密功能被绕过以使恶意软件无法提交不可靠的受信任服务。图2示出显示数据的方法34。方法34可使用例如专用集成电路(ASIC)、互补型金属氧化物半导体(CMOS)或晶体管-晶体管逻辑(TTL)技术的电路技术实现为固定功能硬件,实现为存储在诸如随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、闪存等存储器或其任意组合的机器或计算机可读存储介质中的一组固件逻辑指令。图示的处理框36给出了接收安全输出模式请求。安全输出模式请求例如可经由受信任服务API (应用编程接口)从软件应用接收,其中请求应用可驻留在平台上或平台之外。在方框38处可响应安全输出模式请求在安全部件和显示器之间建立一安全路径。在一个例子中,安全路径包括具有解密模块的显示器控制器,其中图示的方框40防止显示器控制器的解密模块被去往显示器的数据被绕过。在方框42,经加密的数据可经由安全路径从安全部件被发送至显示器。图3更详细地示出一种建立安全路径、防止解密模块被绕过并经由安全路径发送经加密的数据的方法。具体地,在方法44中,用户应用可在方框46请求一安全输出模式。例如,可经由API作出一请求48,该请求与在具有安全输出管理器(“SeOM”)的安全部件上执行的受信任服务对应。一旦作出了请求48,在方框54,用户应用可等待安全输出数据就绪。同时,在方框56,受信任服务可识别该请求,并将请求提交给安全部件的安全输出管理器以加强访问控制策略并设置与安全性相关的组件。响应来自受信任服务的请求,在方框58,安全输出管理器可激活会话密钥并对安全输出硬件标志进行置位。如将更详细描述的那样,可使用会话密钥来加密安全输出数据并可使用硬件标志来防止显示器控制器的解密模块被去往显示器的数据绕过。在一个例子中,安全输出管理器直接将会话密钥写至显示器控制器并直接对显示器控制器中的硬件标志进行置位。替代地,安全输出管理器可使用诸如系统控制器单元(SCU)之类的中间组件来激活会话密钥并对硬件标志进行置位。在方框60,一旦从诸如NVM(非易失性存储器)、用户应用等数据源接收到安全输出数据,安全输出管理器可使用会话密钥对其进行加密并将经加密的安全输出数据复制至系统存储器(例如,动态RAM/DRAM、静态RAM/SRAM、便笺式存储器)。图示的方框62确定经加密的安全输出数据是否就绪(例如,至系统存储器的复制已结束)。如果不是,在方框54用户应用继续等待。如果经加密的安全输出数据就绪,则在方框64用户应用可指令显示器控制器将经加密的安全输出数据输出到显示器。响应来自用户应用的指令,显示器控制器可在方框66使用会话密钥对传输过程中经加密的安全输出数据进行解密,并将经解密的数据输出至显示器。因此,在图示示例中,加密过程保护安全输出数据不受到未经授权的访问。此外,使用秘密会话密钥对被送至显示器的所有数据解密,以使不受信任的数据(例如来自恶意软件的数据)在显示器设备上将表现出扭曲,其中这种扭曲可作为告知用户数据不可靠的指示。如果在方框68确定不需要进一步的安全输出,则在方框70,主机应用请求受信任服务退出安全输出模式。现在转向图4,图4示出一系统72,其中安全部件74将安全输出数据76施加至加密模块78,该加密模块78使用会话密钥(密钥X)来将安全输出数据76转换成经加密的安全输出数据82。经加密的安全输出数据82可经由互连桥84和存储器总线86存储至DRAM88,其中一旦接收一个或多个软件应用命令90,显示器控制器92从DRAM 88检取经加密的安全输出数据82。经加密的安全输出数据82可被施加给解密模块94,该解密模块94可使用会话密钥80来将经加密的安全输出数据92转换回安全输出数据96。图示的安全输出数据96则被输出至显示器98。图5示出一系统100,其中为经加密的数据建立安全路径并确保所显示数据的解密。具体地说,响应安全输出模式请求102,安全部件106的受信任服务104可向安全输出管理器108发布相应的请求。在图示例子中,当系统100处于安全输出模式时,系统控制器单元(SCU) 110用来防止显示器控制器114中的解密模块112被绕过。具体地,安全输出管理器108可使用系统控制(SC)结构116来对S⑶110中的安全输出模式标志118进行置位,并使SCU固件(例如门铃处理机、中断服务例程等)120对显示器控制器114中的硬件标志122进行置位。图示的硬件标志122对于主机应用是不可见的,并可用来指令诸如控制复用器124的判决逻辑忽略主机应用输入126,若非如此则允许主机应用使用解密绕过逻辑128来绕过解密模块112。替代地,对控制复用器124发出指令以强制使去往显示器130的数据通过解密模块112。因此,在图示例子中,安全输出数据132将通过会话密钥134被解密并置于缓冲器136中以供输出至显示器130,而不管数据132的实际来源为何。图示S⑶110的相关功能可替代地纳入到系统100的另一组件中,例如显示器控制器114之类。例如,安全输出管理器148能将会话密钥直接写入寄存器172并直接对硬件标志170置位。事实上,为了简洁和易于描述,已将S⑶和DRAM从前述安全路径26 (图1)中省去。图6更详细地示出安全部件138和显示器控制器140之间的通信协议的一个例子。在图不例子中,主机应用142向受信任服务146发布用于安全输出服务的请求144,受信任服务146进而向安全输出管理器148发布请求以将系统150设置为安全输出模式。响应来自受信任服务146的请求,安全输出管理器148可调用门铃发生器152以向系统控制器单兀156发布一中断154。图不的安全输出管理器148也将标志置位命令、会话密钥和密钥程序命令写157至硬件缓冲器158,所述硬件缓冲器158对运行在内核(未示出)上的主机应用来说是不可见的。中断154可使门铃处理机160调用一中断服务例程162,其中图示的中断服务例程162使用缓冲器158中的标志置位命令以执行对内部安全输出模式标志166的置位164以及对显示器控制器140中的硬件标志170的置位168。如已提到的那样,硬件标志170对于主机应用是不可见的,这是为了确保恶意软件无法绕过显示器控制器140的解密模块(未示出)。中断服务例程162也可使用缓冲器158中的密钥程序命令以对显示器控制器140中的密钥寄存器174执行会话密钥的写入172。然后可经由通过显示器控制器140的安全路径从MMIO (存储器映射的输入/输出)缓冲器176获得安全输出数据用于显示。因此,图示解决方案可能不需要软件来显示单独的标记或图像以使用户在受信任内容和不受信任内容之间作出区别,因为敏感内容如果不是源自受信任源则其本身可能看上去是扭曲/歪曲的。此外,通过使用安全部件控制显示器控制器中的判决逻辑,可省去具有用于解密和验证的专用处理单元的专门显示硬件。本文描述的技术因此允许SoC平台加强解密逻辑的动态访问控制,这可确保在安全输出模式下没有任何来自主机OS或主机OS核内的应用能绕过解密逻辑并将未经授权的数据送至平台显示器。此外,这些技术可协调已有的SoC平台组件以在安全部件和显示器控制器之间建立一安全通道。此外,这些技术对于主机OS栈和用户来说都是不可知的。本发明的实施例可适于与所有类型的半导体集成电路(“1C”)芯片一起使用。这些IC芯片的例子包括但不限于处理器、控制器、芯片组组件、可编程逻辑阵列(PLA)、存储器芯片、网络芯片、片载系统(SoC)、SSD/NAND控制器ASIC等。此外,在一些附图中,信号传导线路用线来表示。一些线可能更粗,以指示更多组成的信号路径,一些线可能具有数字标记,以指示多个组成的信号路径,和/或一些线可能在一端或更多端具有箭头,以指示主要的信息流向。然而,这不应当按照限制的方式来解释。相反,这些添加的细节可与一个或多个示例性实施例结合使用,以便更容易理解电路。任何表示的信号线(无论是否具有附加信息)可实际上包括沿多个方向传播的一个或多个信号,并可通过任何适当类型的信号方案来实现,例如利用差分对实现的数字或模拟线、光纤线和/或单端线。可能已给出示例性大小/模型/值/范围,但是本发明的实施例不限于此。随着制造技术(例如光刻法)随时间而成熟,预期能制造更小尺寸的器件。此外,为了说明和讨论的简单,众所周知的至IC芯片的功率/接地连接以及其它组件可能在图中示出或未示出,且从而不混淆本发明的某些方面。此外,各种配置可以方框图形式示出以避免使本发明的实施例变得晦涩,并鉴于相对于这些方框图配置的实现的具体细节很大程度地依赖于本发明的实施例实现的平台这一事实,即这些具体细节应当落在本领域内技术人员的知识范围内。在阐述具体细节(例如电路)以描述本发明的示例性实施例的情形下,显然本领域内技术人员能不经过这些具体细节或对这些具体细节作出变化地实现本发明的实施例。因此这些描述被视为是说明性的而非限制性的。本文中的“耦合”这一术语可用于指示所讨论的组件之间的直接或间接的任何类型的关系,且可应用于电、机械、流体、光、电磁、机电或其他连接。此外,本文中的“第一”、“第二”等术语仅用于便于讨论,且除非另有指示,其不具有特定的时间或者顺序上的意义。从以上描述中本领域普通技术人员将理解,可按照各种形式来实现本发明的实施例的宽泛的技术。因此,虽然与其特定示例结合来描述了本发明的实施例,但是本发明实施例的真实范围不应这样限定,因为基于附图、说明以及所附权利要求的研究其它修改对本领域普通技术人员是显而易见的。
权利要求
1.一种计算机实现的方法,包括: 响应安全输出模式请求在安全部件和显示器之间建立一安全路径,其中所述安全路径包括显示器控制器; 防止所述显示器控制器的解密模块被绕过;以及 经由所述安全路径将经加密的数据从所述安全部件发送至显示器。
2.如权利要求1所述的方法,其特征在于,防止所述解密模块被绕过包括响应所述安全输出模式请求对所述显示器控制器中的硬件标志进行置位,其中所述硬件标志对于一个或多个主机应用是不可见的。
3.如权利要求2所述的方法,其特征在于,所述硬件标志指令所述显示器控制器的判决逻辑以忽略主机应用 输入并强制去往所述显示器的数据经过所述解密模块。
4.如权利要求2所述的方法,其特征在于,所述对硬件标志置位包括: 将标志置位命令写至硬件缓冲器,其中所述硬件缓冲器对于一个或多个主机应用是不可见的;以及发布中断。
5.如权利要求4所述的方法,其特征在于,所述发布中断包括调用门铃发生器,所述门铃发生器将所述中断发布给系统控制器单元。
6.如权利要求1所述的方法,其特征在于,所述建立安全路径包括: 将密钥写至硬件缓冲器,其中所述硬件缓冲器对于一个或多个主机应用是不可见的;将密钥程序命令写至所述硬件缓冲器,其中所述密钥程序命令包括将所述密钥编程入所述显示器控制器的硬件寄存器的指令;以及发布中断。
7.如权利要求6所述的方法,其特征在于,所述发布中断包括调用门铃发生器,所述门铃发生器将所述中断发布给系统控制器单元。
8.如权利要求1所述的方法,其特征在于,所述建立安全路径包括将密钥直接从所述安全部件写至所述显示器控制器,其中所述防止解密模块被绕过包括响应所述安全输出模式请求对所述显示器控制器中的硬件标志直接进行置位,并且所述硬件标志对一个或多个主机应用是不可见的。
9.如权利要求1所述的方法,其特征在于,所述将经加密的数据从所述安全部件发送至所述显示器包括: 使用密钥以将输出数据转换成经加密的数据; 将经加密的数据写至存储器;以及 指令主机应用以将所述经加密的数据经由所述显示器控制器从所述存储器转移至所述显示器。
10.如权利要求1所述的方法,其特征在于,还包括经由受信任服务应用编程接口接收所述安全输出模式请求。
11.一种系统,包括: 显示器; 包括解密模块的显示器控制器;以及 安全部件,所述包括安全逻辑以:响应安全输出模式请求在所述安全部件和所述显示器之间建立一安全路径,其中所述安全路径包括显示器控制器; 防止所述解密模块被绕过;以及 经由所述安全路径将经加密的数据从所述安全部件发送至显示器。
12.如权利要求11所述的系统,其特征在于,所述显示器控制器还包括对一个或多个主机应用不可见的硬件标志,并且所述安全逻辑用于响应所述安全输出模式请求对所述硬件标志进行置位。
13.如权利要求12所述的系统,其特征在于,所述显示器控制器还包括主机应用输入和判决逻辑,并且所述硬件标志用于指令所述判决逻辑忽略所述主机应用输入并强制去往所述显示器的数据经过所述解密模块。
14.如权利要求12所述的系统,其特征在于,还包括对一个或多个主机应用不可见的硬件缓冲器,并且所述安全逻辑用来: 将标志置位命令写至所述硬件缓冲器,以及 发布中断。
15.如权利要求14所述的系统,其特征在于,还包括系统控制器单元,所述安全逻辑调用门铃发生器,所述门铃发生器将所述中断发布给所述系统控制单元。
16.如权利要求11所述的系统,其特征在于,还包括对一个或多个主机应用不可见的硬件缓冲器,所述显示器控制器还包括硬件寄存器,并且所述安全逻辑用来: 将密钥写至所述硬件缓冲器, 将密钥程序命令写至所述硬件缓冲器,其中所述密钥程序命令包括将所述密钥编程入所述硬件寄存器的指令;以及 发布中断。
17.如权利要求16所述的系统,其特征在于,还包括系统控制器单元,所述安全逻辑调用门铃发生器,所述门铃发生器将所述中断发布给所述系统控制单元。
18.如权利要求11所述的系统,其特征在于,所述显示器控制器还包括对一个或多个主机应用不可见的硬件标志,所述安全逻辑用来: 将密钥直接从所述安全部件写至所述显示器控制器;以及 直接对所述硬件标志进行置位。
19.如权利要求11所述的系统,其特征在于,还包括存储器,所述安全逻辑用来: 使用密钥以将输出数据转换成经加密的数据; 将所述经加密的数据写至存储器;以及 指令主机应用以将所述经加密的数据经由所述显示器控制器从所述存储器转移至所述显示器。
20.如权利要求11所述的系统,其特征在于,所述安全逻辑经由受信任服务应用编程接口接收所述安全输出模式请求。
21.一种包含一组指令的非瞬态计算机可读存储介质,所述指令由处理器执行时使所述处理器: 响应安全输出模式请求在安全部件和显示器之间建立一安全路径,其中所述安全路径包括显示器控制器;防止所述显示器控制器的解密模块被绕过;以及 经由所述安全路径将经加密的数据从所述安全部件发送至显示器。
22.如权利要求21所述的介质,其特征在于,如果执行所述指令则使所述计算机响应所述安全输出模式请求对所述显示器控制器中的硬件标志进行置位,其中所述硬件标志对于一个或多个主机应用是不可见的。
23.如权利要求22所述的介质,其特征在于,所述硬件标志指令所述显示器控制器的判决逻辑以忽略主机应用输入并强制去往所述显示器的数据经过所述解密模块。
24.如权利要求22所述的介质,其特征在于,如果执行所述指令则使计算机: 将标志置位命令写至硬件缓冲器,其中所述硬件缓冲器对于一个或多个主机应用是不可见的;以及 发布中断。
25.如权利要求24所述的介质,其特征在于,如果执行所述指令则使所述计算机调用门铃发生器,所述门铃发生器向系统控制器单元发布所述中断。
26.如权利要求21所述的介质,其特征在于,如果执行所述指令则使计算机: 将密钥写至硬件缓冲器,其中所述硬件缓冲器对于一个或多个主机应用是不可见的; 将密钥程序命令写至所述硬件缓冲器,其中所述密钥程序命令包括将所述密钥编程入所述显示器控制器的硬件寄存器的指令;以及 发布中断。
27.如权利要求26所述的介质,其特征在于,如果执行所述指令则使所述计算机调用门铃发生器,所述门铃发生器向系统控制器单元发布所述中断。
28.如权利要求21所述的介质,其特征在于,如果执行所述指令则使计算机: 将密钥直接从所述安全部件写至所述显示器控制器;以及 直接置位所述显示器控制器中的硬件标志,其中所述硬件标志对于一个或多个主机应用是不可见的。
29.如权利要求21所述的介质,其特征在于,如果执行所述指令则使计算机: 使用密钥以将输出数据转换成经加密的数据; 将所述经加密的数据写至存储器;以及 指令主机应用以将所述经加密的数据经由所述显示器控制器从所述存储器转移至所述显示器。
30.如权利要求21所述的介质,其特征在于,如果执行所述指令则使计算机经由受信任服务应用编程接口接收所述安全输出模式请求。
全文摘要
方法和系统可包括计算系统,所述计算系统具有显示器、带解密模块的显示器控制器以及带安全逻辑的安全部件。所述安全逻辑可配置成响应安全输出模式请求在安全部件和显示器之间建立安全路径,其中安全路径包括显示器控制器。另外,安全逻辑可配置成防止解密模块被绕过,并将来自安全部件的经加密数据经由安全路径发送至显示器。
文档编号G06F21/85GK103218577SQ201210434870
公开日2013年7月24日 申请日期2012年11月2日 优先权日2011年11月2日
发明者S·阿万察, N·科塔里, R·班金沃, T·吉尔 申请人:英特尔公司