用于对受保护的硬件资源的软件启用接入的装置和方法
【专利说明】
[0001] 相关申请的夺叉引用
[0002] 本申请要求于2014年2月25日提交的美国临时专利申请No. 61/944,505的优先 权,将其通过引用并入于此。
技术领域
[0003] 本发明一般而言涉及半导体芯片。更具体地,本发明涉及对半导体芯片的受保护 的硬件资源的软件启用接入。
【背景技术】
[0004] 半导体芯片典型地与一整套可用硬件资源一起销售。在一些情况下,半导体芯片 与可用硬件资源的子集一起销售,其中不可用资源通过某种类型的物理机制而被永久禁 用。
【发明内容】
[0005] 一种半导体,包括一套受保护的硬件资源,其中至少一个受保护的硬件资源存储 安全密钥。该半导体还包括计算内核和用以存储由计算内核执行的资源启用模块的存储 器。资源启用模块响应于与安全密钥对应的传输密钥而选择性地启用受保护的硬件资源。
[0006] -种计算机,包括与密钥分发模块通信的网络接口电路。半导体被耦合到网络接 口电路。该半导体包括一套受保护的硬件资源,其中至少一个受保护的硬件资源存储安全 密钥。该半导体进一步包括计算内核和用以存储由计算内核执行的资源启用模块的存储 器。资源启用模块响应于来自密钥分发模块的与安全密钥对应的传输密钥而选择性地启用 受保护的硬件资源。
【附图说明】
[0007] 连同附图结合下文的详细描述可更加充分地理解本发明,其中:
[0008] 图1示出了一个具有对受保护硬件资源的软件启用接入的半导体芯片。
[0009] 图2示出了根据本发明的一个实施例的处理操作。
[0010] 图3示出了并入具有受保护硬件资源的半导体芯片的一个系统。
[0011] 贯穿附图的多个视图,同样的附图标记指代对应的部分。
【具体实施方式】
[0012] 图1示出了根据本发明的一个实施例配置的半导体芯片100。该芯片100包括一 套受保护的硬件资源1〇2_1至102_N。每一个受保护的硬件资源都是离散的计算资源,比如 处理核、加密块、数字信号处理器、图形处理器诸如此类。每一个受保护的硬件资源102存 储安全启用值104。例如,安全启用值104可以是在制造芯片100时安全写入和存储的密 钥。受保护的硬件资源仅在芯片100接收到对应于安全密钥的传输密钥时被启用。
[0013] 在一个实施例中,芯片包括存储资源启用模块106的存储器。资源启用模块106 包含用以实施本发明的操作的可执行指令。计算内核108执行资源启用模块106。计算内 核108可实现为可操作用于启用和监督受保护的硬件资源的精简计算核。
[0014] 在一个实施例中,在计算内核108上运行的资源启用模块106接收传输密钥并将 其写入受保护硬件资源110的启用寄存器110。如果传输密钥与安全密钥相对应,则从比较 器112向在计算内核108上执行的资源启用模块106提供指示。
[0015] 参考图2更充分地理解这些操作。图2示出了与资源启用模块106的一个实施例 相关联的处理操作。在块200处测试密钥匹配。如果密钥匹配不存在,那么202拒绝对受 保护的硬件资源的接入。如果密钥匹配存在,那么本发明的实施例允许完全接入受保护的 硬件资源。然而,在替代实施例中,如图2示出,在块204处测试附加条件。如果该条件不 被满足,那么202拒绝对受保护的资源的接入。可测试任意数量的条件。例如,该条件可以 是时间窗。换言之,该条件可规定受保护的硬件资源仅可在由开始时间和结束时间定义的 时间窗内被接入。另一个条件可以为地理位置参数。例如,芯片100可具有GPS模块,其传 输地理位置参数,该地理位置参数与所允许的地理位置参数进行比较。可替选地,芯片100 可通过经WHOIS服务查找互联网协议地址以获取物理地址来接入地理位置信息,该地理位 置信息可与所允许的地址位置区域进行比较。
[0016] 如果满足条件,则可提供对受保护的硬件资源的完全接入。然而,如图2示出,在 块206中可以应用用于操作限制的附加测试。操作限制可涉及芯片的任何数量的操作参 数。如果没有操作限制,那么210提供对受保护的硬件资源的完全接入。如果操作限制适 用,那么208提供对受保护的硬件资源的限制接入。限制接入可以是调整芯片的物理参数 的形式。例如,可以调整芯片所支持的服务质量、周期频率或功率消耗。限制可以是永久限 制(例如,设置的周期频率)或结合对资源的拒绝接入(例如规定数量的允许周期,其后资 源禁用)的非永久限制的形式。可替选地,可以选通允许的软件应用。例如,仅规定的应用 程序可被允许执行或可对虚拟机的实例的数量进行限制。
[0017] 图2的处理可以用很多方式更改。例如,资源启用可单独基于密钥匹配。可替选 地,资源启用可基于密钥匹配和操作限制测试206,而不是条件限制测试204。
[0018] 图3示出了根据本发明的一个实施例配置的系统300。该系统300包含通过网络 306互连的第一机器302和第二机器304,该网络306可为任意有线或无线网络或两者的结 合。第一机器302包含标准元件,比如通过总线314连接至输入/输出设备312的中央处 理单元310。输入/输出设备312可包括键盘、鼠标、显示器诸如此类。网络接口电路316 也可连接至总线314。存储器320也连接至总线314。存储器320存储密钥分发模块322。 密钥分发模块322存储与由所制造的受保护硬件资源102所存储的安全启用值相对应的密 钥。因此,芯片制造商可控制机器302和选择性传输允许受保护的硬件资源被解锁的密钥 值。
[0019] 第二机器304包括结合图1讨论的那种类型的芯片100。芯片100可通过总线334 连接至输入/输出设备332。网络接口电路336连接至总线334。网络接口电路从密钥分 发模块322接收传输密钥。存储器340也连接至总线334。存储器340存储一个或多个软 件模块342。软件模块342由芯片100根据芯片100上已解锁的受保护硬件资源执行。
[0020] 因此,本发明提供受保护的硬件资源的增量控制。那些硬件资源可通过与安全启 用值匹配的传输密钥来启动。然而,被启动的资源可具有随附限制,比如基于时间的限制、 执行限制诸如此类。以此方式,本发明提供计量半导体资源,其可被视为"硅服务(silicon asaservice)"。换言之,使用者仅需支付所需的计算能力。该计算能力可带限制或不带 限制地灵活传输。这种方法对于半导体制造商是有利的,因为可制造单一裸片且可提供灵 活的定价选择。
[0021] 本发明的一个实施例涉及一种具有非瞬态计算机可读存储介质的计算机存储产 品,其上具有计算机代码以实现各种各样的计算机执行的操作。介质和计算机代码可以 是那些专门为本发明的目的设计和搭建的,或者它们可以是众所周知的种类且可为那些计 算机软件领域内的技术人员们所用的。计算机可读介质的例子包括但不局限于:磁性介 质、光学介质、磁光介质和专门配置为存储和执行程序代码的硬件装置,比如专用集成电路 ("ASIC")、可编程逻辑器件("PLD")以及ROM与RAM器件。计算机代码的例子包括比如 由编译器产生的机器代码以及包含由计算机使用翻译器执行的更高级代码的文件。例如, 本发明的一个实施例可使用JAVA?、C++或其他面向对象的编程语言和开发工具来实行。 本发明的另一个实施例可代替机器可执行软件指令或者与机器可执行软件指令相结合地 在硬接线的电路系统中实行。
[0022] 出于说明的目的,上文的描述使用了特定术语以提供对本发明的透彻理解。然而, 对于本领域技术人员将显而易见的是,并不需要特定细节以实施本发明。因此,本发明特定 实施例的以上描述是出于举例和描述的目的呈现的。它们并不旨在穷举或者限制本发明为 公开的确切形式;显然地,鉴于以上教义,很多修改和变形都是可能的。这些实施例被选择 和描述以便于最好地解释本发明的原理和其实践应用,因此它们使其他本领域技术人员能 够最大程度地利用本发明,并且经过各种修改的各种实施例适合于特定的使用预期。以下 的权利要求和其等同物旨在限定本发明的范围。
【主权项】
1. 一种半导体,包括: 多个受保护的硬件资源,其中至少一个受保护的硬件资源存储安全密钥; 计算内核;以及 存储器,用以存储由所述计算内核执行的资源启用模块; 其中所述资源启用模块响应于与所述安全密钥对应的传输密钥而选择性地启用受保 护的硬件资源。2. 根据权利要求1所述的半导体,其中所述资源启用模块响应于规定条件的满足和所 述传输密钥的结合而选择性地启用所述受保护的硬件资源。3. 根据权利要求2所述的半导体,其中当所述规定条件不被满足时,所述资源启用模 块拒绝对所述受保护的硬件资源的接入。4. 根据权利要求2所述的半导体,其中所述规定条件是时间窗。5. 根据权利要求2所述的半导体,其中所述规定条件是地理位置参数。6. 根据权利要求1所述的半导体,其中所述资源启用模块进一步针对操作限制进行测 试。7. 根据权利要求6所述的半导体,其中所述操作限制包括调整所述半导体的功率消 耗。8. 根据权利要求6所述的半导体,其中所述操作限制包括调整所述半导体的周期频9. 根据权利要求6所述的半导体,其中所述操作限制包括调整所述半导体支持的服务 质量。10. 根据权利要求6所述的半导体,其中所述操作限制包括选通允许的软件应用。11. 根据权利要求1所述的半导体,其中每个受保护的硬件资源进一步包括启用寄存 器和比较器。12. 根据权利要求11所述的半导体,其中所述资源启用模块将所述传输密钥写入所述 启用寄存器并且所述比较器选择性地提供对所述传输密钥和所述安全密钥间的匹配的指 不O13. -种计算机,包括: 网络接口电路,与密钥分发模块通信;以及 半导体,被耦合到所述网络接口电路,其中所述半导体包括: 多个受保护的硬件资源,其中至少一个受保护的硬件资源存储安全密钥, 计算内核,以及 存储器,用以存储由所述计算内核执行的资源启用模块,其中所述资源启用模块响应 于来自所述密钥分发模块的与所述安全密钥对应的传输密钥而选择性地启用受保护的硬 件资源。14. 根据权利要求13所述的计算机,其中所述资源启用模块响应于规定条件的满足和 所述传输密钥的结合而选择性地启用所述受保护的硬件资源。15. 根据权利要求14所述的计算机,其中当所述规定条件不被满足时,所述资源启用 模块拒绝对所述受保护的硬件资源的接入。16. 根据权利要求13所述的计算机,其中所述资源启用模块进一步针对操作限制进行
【专利摘要】本公开涉及用于对受保护的硬件资源的软件启用接入的装置和方法。一种半导体包括一套受保护的硬件资源,其中至少一个受保护的硬件资源存储安全密钥。该半导体还包括计算内核以及用以存储由计算内核执行的资源启用模块的存储器。资源启用模块响应于与安全密钥对应的传输密钥而选择性地启用受保护的硬件资源。
【IPC分类】G06F21/44
【公开号】CN104899502
【申请号】CN201510172120
【发明人】A·海德, M·R·赫塞恩, R·E·凯斯勒
【申请人】凯为公司
【公开日】2015年9月9日
【申请日】2015年2月25日
【公告号】US20150242655