移动设备700的存储器元件706还可包括认证系统模块712。例如,当移动设备700起登记主机120的作用时,认证系统模块712可包括登记模块122。当移动设备700起评估主机140的作用时,认证系统模块712可包括评估模块145。
[0074]图8示出根据实施例的布置在点对点(PtP)配置中的计算系统800。特别是,图8示出如下系统:其中处理器、存储器、以及输入/输出设备由多个点对点接口互连。通常,可以用与计算系统800相同或相似的方式配置认证系统100的一个或多个计算系统或主机。例如,在本文所示和所述的登记主机120和评估主机140可以每一个以与示例计算系统800相同或相似的方式被配置。
[0075]处理器870和880可以每一个还包括集成存储器控制器逻辑(MC) 872和882以与存储器元件832和834通信。在可选的实施例中,存储器控制器逻辑872和882可以是与处理器870和880分离的分立逻辑。存储器元件832和/或834可在使用基于PUF的密钥产生系统来实现与设备的认证相关联的操作中存储将由处理器870和880使用的各种数据,如本文概述的。
[0076]处理器870和880可以是任何类型的处理器,例如参考图6的处理器600和图1的处理器125及145讨论的处理器。处理器870和880可分别使用点对点接口电路878和888,经由点对点(PtP)接口 850来交换数据。处理器870和880可每一个使用点对点接口电路876、886、894、以及898,经由单独的点对点接口 852和854来与芯片组890交换数据。芯片组890还可使用接口电路892,经由高性能图形接口 839来与高性能图形电路838交换数据,其中所述接口电路892可以是PtP接口电路。在替代实施例中,图8所示的任何或所有PtP链路可被实现为多点分支总线而不是PtP链路。
[0077]可在处理器1102和1104内至少部分地提供如本文公开的至少一个实施例。然而其它实施例可至少部分地存在于图1的认证系统100内的其它电路、逻辑单元、或设备中。此外,其它实施例可分布在几个电路、逻辑单元、或设备各处。
[0078]芯片组890可经由接口电路896与总线820通信。总线820可具有通过其来进行通信的一个或多个设备,例如总线桥818和I/O设备816。经由总线810,总线桥818可与其它设备(例如键盘/鼠标812(或其它输入设备例如触摸屏、轨迹球等)、通信设备826(例如调制解调器、网络接口设备、或可通过计算机网络860进行通信的其它类型的通信设备)、音频I/O设备814、和/或数据存储设备828)进行通信。数据存储设备828可存储可由处理器870和/或880执行的代码830。在替代实施例中,可使用一个或多个PtP链路来实现总线架构的任何部分。
[0079]在图8中描绘的计算机系统是可用来实现本文讨论的各种实施例的计算系统的实施例的示意图。将认识到,可在片上系统(SoC)架构中或在能够使用基于PUF的密钥产生系统来实现硬件设备的认证的任何其它适当的配置中组合在图8中描绘的系统的各种部件,如在本文提供的。
[0080]在本文概述的认证系统100的登记和评估功能可由在一个或多个有形介质中被编码的逻辑(例如在专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、由处理器(例如处理器600)或其它类似的机器等执行的软件(可能包括对象代码和源代码))实现。在至少一些实施例中,有形介质可以是非暂时的。在这些实例的一些中,存储器(例如存储器602)可存储用于本文描述的操作的数据。这包括存储器能够存储(被执行以实施在这个说明书中描述的活动的)软件、逻辑、代码、或处理器指令。在实施例中,可在主机120和140的每一个中提供有形介质。
[0081]此外,可基于特定的需要和实现,在任何数据库、寄存器、表、缓存、队列、控制列表、或存储结构中提供被跟踪、发送、接收、或存储在认证系统100中的信息,所有这些都可在任何适当的时间帧中被参考。本文讨论的任何存储器项目应被解释为包括在宽泛的术语“存储器元件”内。类似地,在这个说明书中描述的任何可能的处理元件、模块、以及机器应被解释为包括在宽泛的术语“处理器”内。
[0082]注意,使用在本文提供的多个示例,可从两个、三个、四个、或更多网络元件、计算系统、模块、和/或其它部件方面描述交互作用。然而,这仅为了清楚和举例的目的而完成。应认识到,可以用任何适当的方式合并系统。遵循类似的设计替代方案,可在各种可能的配置中组合图1的所示模块、节点、元件、以及其它部件中的任一个,所有配置清楚地在这个说明书的广泛范围内。应认识到,图1的系统(及其教导)是容易可扩展的,并可适应大量部件,以及更复杂/精细的布置和配置。因此,当可能被应用于大量其它架构时,所提供的示例不应限制系统100的范围或抑制系统100的宽泛教导。
[0083]注意到以下也很重要:参考前面的附图描述的操作只示出可由系统执行的、或在系统内执行的仅仅一些可能的情形。可在适当时删除或移除这些操作中的一些,或这些操作可被相当大地修改或改变,而不偏离所讨论的概念的范围。此外,这些操作的定时可相当大地改变且仍然实现在本公开中教导的结果。为了举例和讨论的目的提供了前面的操作流程。实质的灵活性由系统提供,因为任何适当的布置、年表、配置、以及定时机制可被提供,而不偏离所讨论的概念的教导。
[0084]下面的示例涉及根据这个说明书的实施例。一个或多个实施例可提供至少一个机器可访问存储介质,其具有在其上存储的用于证明硬件设备的指令。指令在由处理器执行时使处理器:从硬件设备上的物理不可克隆功能(PUF)接收两个或更多个设备密钥;根据两个或更多个设备密钥产生设备标识符;基于设备标识符和私有密钥产生数字签名;基于设备标识符和数字签名创建设备证书;以及将设备证书存储在存储器元件中。
[0085]在实施例的示例中,物理不可克隆功能被配置在硬件设备上以产生两个或更多个设备密钥,且其中密钥唯一地识别硬件设备。
[0086]在实施例的示例中,存储器元件是包括在具有物理不可克隆功能的硬件设备中的非易失性存储器元件。
[0087]在实施例的示例中,两个或更多个设备密钥包括500-5000个密钥。
[0088]实施例的示例还包括指令,其在由处理器执行时使处理器查询在硬件设备上的物理不可克隆功能以找到两个或更多个设备密钥中的每一个。
[0089]在实施例的示例中,产生设备标识符包括将密码散列算法应用于两个或更多个密钥。
[0090]一个或多个实施例包括用于证明硬件设备的装置。装置包括处理器和在处理器上执行的登记模块。登记模块可配置成:从硬件设备上的物理不可克隆功能(PUF)接收两个或更多个设备密钥;根据两个或更多个设备密钥产生设备标识符;基于设备标识符和私有密钥产生数字签名;基于设备标识符和数字签名创建设备证书;以及将设备证书存储在存储器元件中。
[0091 ] 在实施例的示例中,物理不可克隆功能被配置在硬件设备上以产生两个或更多个设备密钥,且其中密钥唯一地识别硬件设备。
[0092]在实施例的示例中,存储器元件是被包括在具有物理不可克隆功能的硬件设备中的非易失性存储器元件。
[0093]在实施例的示例中,两个或更多个设备密钥包括500-5000个密钥。
[0094]在实施例的示例中,登记模块还配置成查询在硬件设备上的物理不可克隆功能以找到两个或更多个设备密钥中的每一个。
[0095]在实施例的示例中,登记模块还配置成将密码散列算法应用于两个或更多个密钥以产生设备标识符。
[0096]一个或多个实施例可提供至少一个机器可访问存储介质,其具有在其上存储的用于认证硬件设备的指令。指令在由处理器执行时使处理器:从硬件设备上的物理不可克隆功能(PUF)接收两个或更多个设备密钥;根据两个或更多个设备密钥产生设备标识符;从硬件设备得到设备证书;执行对设备标识符的检验;以及提供设备标识符检验的结果。
[0097]在实施例的示例中,如果结果指示设备标识符检验失败,则硬件设备被拒绝。
[0098]实施例的示例还包括指令,其在由处理器执行时使处理器将密码散列算法应用于两个或更多个密钥以产生设备标识符。
[0099]实施例的示例还包括指令,其在由处理器执行时使处理器对设备标识符与以前产生的设备标识符进行比较,以执行设备标识符检验。
[0100]在实施例的示例中,如果设备标识符和以前产生的设备标识符不匹配,则结果指示设备标识符检验失败。
[0101]实施例的示例还包括指令,其在由处理器执行时使处理器:执行对在设备证书中的数字签名的检验;以及提供数字签名检验的结果。
[0102]在实施例的示例中,如果结果指示数字签名检验失败,则硬件设备被拒绝。
[0103]实施例的示例还包括指令,其在由处理器执行时使处理器使用密钥对中的公开密钥来对数字签名进行解密,以执行数字签名检验。
[0104]实施例的示例还包括指令,其在由处理器执行时使处理器查询在硬件设备上的物理不可克隆功能以找到两个或更多个设备密钥中的每一个。
[0105]一个或多个实施例包括用于认证硬件设备的装置。装置包括处理器;和在处理器上执行的评估模块。评估模块可配置成:从硬件设备上的物理不可克隆功能(PUF)接收两个或更多个设备密钥;根据两个或更多个设备密钥产生设备标识符;从硬件设备得到设备证书;执行对设备标识符的检验;以及提供设备标识符检验的结果。
[0106]在实施例的示例中,如果结果指示设备标识符检验失败,则硬件设备被拒绝。
[0107]在实施例的示例中,评估模块还配置成将密码散列算法应用于两个或更多个密钥以产生设备标识符。
[0108]在实施例的示例中,评估模块还配置成对设备标识符与以前产生的设备标识符进行比较,以执行设备标识符检验。
[0109]在实施例的示例中,如果设备标识符和以前产生的设备标识符不匹配,则结果指示设备标识符检验失败。
[0110]在实施例的示例中,评估模块还配置成:执行对在设备证书中的数字签名的检验;以及提供数字签名检验的结果。
[0111]在实施例的示例中,如果结果指示数字签名检验失败,则硬件设备被拒绝。
[0112]在实施例的示例中,评估模块还配置成使用密钥对中的公开密钥来对