安全协处理器中的环境条件验证和用户认证的制作方法

背景技术：

现今的移动设备用户期望移动设备不仅提供可靠的通信，还提供免受对移动设备的使用、移动设备上存储的数据以及移动设备执行的操作的威胁的安全和保护。威胁有许多：未经认证的用户、丢失或被盗的移动设备、移动设备的非预期使用(例如，通过移动设备上的麦克风窃听)、可能危害移动设备上的数据或应用的恶意软件或间谍软件或者从移动设备到非预期接收者的通信。这些中的每一个都可能危害移动设备的安全、移动设备的用户或存储在移动设备上的数据。

常规的移动设备架构依赖具有用于操作移动设备的存储器和多个处理核心的片上系统(soc)组件。免受对移动设备的威胁的安全通常依赖由与soc组件分离且不同的单个安全元件提供的功能，所述安全元件诸如可信平台模块(tpm)组件或分立的安全元件(se)组件。tpm/se组件可以例如接收信号并且基于信号执行针对诸如认证密码、加密密钥或证书的认证服务的安全操作以保护存储在移动设备上的数据。然而，tpm/se组件的使用在直接操作或控制移动设备方面具有限制。例如，如果执行认证安全操作的tpm/se组件本身被耗尽或者如果tpm/se组件本身被损坏，则针对启用或限制移动设备功能的安全操作可能不能够执行。

技术实现要素：

提供本发明内容以介绍在具体实施方式和附图中被进一步描述的主题。因此，本发明内容不应被认为是描述了基本特征，也不应被用于限制所要求保护的主题的范围。

在一些方面，描述了一种装置，所述装置包括在中央安全芯片(csc)组件中体现的中央安全处理器设备、在片上系统(soc)组件中体现的委托安全处理器设备以及用户输入子系统。中央安全处理器设备被配置为经由用户输入子系统接收来自用户的输入信号，确定安全条件，并且响应于确定了安全条件而向委托安全处理器设备传输安全条件信号。委托安全处理器设备被配置为接收信号并且响应于接收到信号而使soc组件执行安全操作。

在一些方面，描述了一种装置，所述装置包括在csc组件中体现的中央安全处理器设备、在soc组件中体现的委托安全处理器设备以及传感器子系统。中央安全处理器设备被配置为从传感器子系统接收感测的信号，确定安全条件并且响应于确定了安全条件而向委托安全处理器设备传输安全条件信号。委托安全处理器设备被配置为接收信号并且响应于接收到信号而使soc组件执行安全操作。

在其他方面，描述了一种由装置执行的方法，在所述方法中，在soc组件中体现的委托处理器设备接收安全条件信号。安全条件信号来自在与soc组件分离且不同的csc组件中体现的中央安全处理器并且响应于中央安全处理器设备接收到感测的或输入信号而由中央安全处理器设备发送。然后，委托安全处理器设备响应于接收到安全条件信号而使soc组件执行安全操作。

在附图和以下描述中阐述了一个或多个实现的细节。根据说明书和附图并且根据权利要求，其他特征和优点将显而易见。

附图说明

下面描述电子计算设备的中央和委托安全处理器的一个或多个方面的细节。在说明书和附图中的不同实例中相同的附图标记的使用可以指示相似的要素：

图1示出了根据一个或多个方面的包括所构建的各种电子计算设备的示例操作环境。

图2示出了根据一个或多个方面的具有输入信号被发送到csc组件，所述csc组件然后处理输入信号并传送到soc组件的配置的示例装置。

图3示出了根据一个或多个方面的被用信号通知到中央安全处理器设备的示例用户输入。

图4示出了根据一个或多个方面的具有将感测的信号发送到csc组件，所述csc组件然后处理感测的信号并传送到soc组件的配置的示例装置。

图5示出了根据一个或多个方面的被传感器子系统感测并且被用信号通知到中央安全处理器设备的示例感测的环境条件。

图6示出了根据一个或多个方面的由装置的委托安全处理器设备执行的示例方法。

图7示出了根据一个或多个方面的由装置的中央安全处理器设备执行的示例方法。

图8示出了根据一个或多个方面的在具有中央安全处理器设备和委托安全处理器设备的装置上执行的示例方法。

具体实施方式

常规的移动设备的架构依赖具有集成电路(ic)的、包括操作移动设备所必需的存储器和多个处理核心设备的片上系统(soc)组件。免受对移动设备的威胁的安全通常依赖由诸如具有附加ic电路的可信平台模块(tpm)组件或分立的安全元件(se)组件的单个安全元件提供的服务。这样的组件可以例如接收信号并且基于信号执行诸如认证密码、加密密钥或证书的认证服务以保护存储在移动设备上的数据。为了使移动设备通过诸如评估保证级别(eal)类别排名的安全保证认证，tpm/se组件通常需要与移动设备的其他组件分离和不同，所述移动设备的其他组件包括soc组件。此外，作为tpm/se组件的一部分被包括的并且是tpm/se组件运行所必需的ic电路，特别是以tpm/se特定存储器设备为中心的ic电路，可能由于soc制造技术的限制无法作为soc组件的一部分被制造；这进一步需要具有tpm/se特定存储器设备的tpm/se组件与soc组件分离且不同。

特别地，tpm/se组件在控制移动设备的操作方面是被动的。如果出现安全条件，则tpm/se组件不能直接启用或禁用可能被用于执行例如用户输入功能、感测功能、电源管理功能、存储器管理功能或通信系统功能的移动设备的子系统。在这样的情况下，需要利用soc来维持对移动设备的子系统的启用或禁用的直接控制的架构。

安全策略通常定义在移动设备经历安全条件时在启用或禁用移动设备的子系统时要使用的协议。这样的安全策略可以由移动设备的用户开发并且基于各种因素改变，所述各种因素包括例如移动设备的特定用户、特定安全条件或特定移动设备本身。

本公开描述了利用在中央安全芯片(csc)组件中体现的中央安全处理器设备和在soc组件中体现的委托安全处理器设备，用于根据安全策略维持移动设备的安全的装置和方法。中央安全处理器设备基于所接收的信号和存储在体现在csc中的存储器设备中的数据来确定安全条件。为了根据特定安全策略维持移动设备的安全，然后中央安全处理器设备经由安全控制和通信网络向委托安全处理器设备传输信号。然后，委托安全处理器设备使soc组件执行安全操作，依赖于在soc组件中体现的一个或多个子系统处理核心来执行安全操作。

以下讨论描述了操作环境、可以在其中体现操作环境的组件的设备以及可以在操作环境中采用的方法。在本公开的上下文中，仅通过示例的方式参考操作环境。

操作环境

图1示出了根据一个或多个方面的包括各种电子计算设备的示例操作环境100。各种电子计算设备包括移动计算设备，诸如移动电话102、个人数字助理104、平板电脑106和膝上型计算机108。操作环境还可以包括非移动计算设备，诸如个人计算机110等。

通常，各种电子计算设备将均包括至少一个基于ic或以其他方式填充有各种组件的印刷电路板(pcb)模块120。在此示例中，pcb模块包括包含一层或多层电介质和导电电路的印刷电路板122、具有中央安全处理器设备126的中央安全芯片(csc)组件124和具有委托安全处理器设备130的片上系统(soc)组件128。

在操作环境100的背景下，电子计算设备可以执行访问、交换、显示或记录敏感数据的任何数量的敏感操作。敏感数据的访问、交换、显示或记录可以是以下中的一个组成部分：例如执行金融交易、启动作为物联网(iot)的一部分的物理设备的功能或者经由高级驾驶员辅助系统(adas)控制汽车操作。敏感操作可以经由与另一电子计算设备经由各种网络中的任一个直接或间接通信的电子计算设备来执行，所述各种网络包括局域网(lan)、广域网(wan)和无线局域网(wlan)等。经由各种网络进行通信可以由任何数量的通信技术支持，所述通信技术包括wi-fi、蓝牙、光纤或红外通信。在电子计算设备正在执行敏感操作时，期望的是，保证不存在损害电子计算设备的安全操作的安全条件。这样的安全条件可以例如是由非预期用户(直接或远程)进行的对电子计算设备的访问或者电子计算设备处于未预期所述电子计算设备要在其中被使用的环境中。在操作环境100的背景下，在csc组件124中体现的中央安全处理器设备126被用于确定存在这样的安全条件，并且作为响应向在soc组件128中体现的委托安全处理器设备130传输安全条件信号，使得所述委托安全处理器设备130可以作为响应而执行直接启用或禁用任何数量的电子计算设备的子系统的安全操作。然而，如果确定不存在安全条件并且用户设备是安全的(或“可靠的”)，则中央安全处理器设备126不向委托安全处理器设备130传输安全条件信号，并且不使soc组件128执行安全操作。要执行的特定安全操作可以经由由电子计算设备的用户实现的安全策略来建立。

图2示出了具有输入信号202被发送到在装置的csc组件124中体现的中央安全处理器设备126的配置200的示例装置。中央安全处理器设备126被配置为与在装置的soc组件128上体现的委托安全处理器设备130通信。根据操作环境100并且如由评估保证级别要求所确定的，soc组件128与csc组件124分离。装置进一步包括多个装置子系统，包括装置用户输入子系统204、装置传感器子系统206、装置存储器子系统208、装置电源子系统210、装置显示子系统212和装置通信子系统214。

包括存储数据的csc组件存储器设备216的csc组件124还包括ic电路。中央安全处理器设备126被配置为在接收到输入信号202时基于所接收的输入信号202和存储在csc组件存储器设备216中的数据来确定是否存在安全条件。如果存在安全条件，则中央安全处理器设备126向委托安全处理器设备130传输安全条件信号。

包括soc组件存储器设备218的soc组件128还包括ic电路。soc组件存储器设备218是存储指令的计算机可读存储器设备，所述指令在被执行时使中央安全处理器设备126响应于接收到安全条件信号而执行安全操作。soc组件128还包括被用于处理存储在soc组件存储器设备218中并且也控制装置的操作的其他指令的多个装置子系统核心设备的ic电路，所述操作包括由装置用户输入核心设备220、装置传感器核心设备222、装置存储器核心设备224、装置电源管理核心设备226、装置显示核心设备228和装置通信核心设备230执行的操作。装置子系统核心设备220-230可以与对应的装置子系统204-214通信以操作对应的子系统。

装置内的通信被配置为使得中央安全处理器设备126和委托安全处理器设备130经由外部安全控制和通信总线232通信，其中，外部安全控制和通信总线232在csc组件124和soc组件128两者的外部。委托安全处理器设备130、soc组件存储器设备218和装置子系统核心设备220-230经由内部安全控制和通信总线234进行通信，所述内部安全控制和通信总线234在soc组件128的内部。

在中央安全处理器设备126接收到输入信号202、确定了安全条件并向委托安全处理器130传输安全条件信号的情况下，中央安全处理器设备126可以根据安全策略并且以相对于中央安全处理器设备126自主的方式，与装置子系统核心设备220-230通信，所述装置子系统核心设备220-230继而用信号通知装置子系统204-214根据安全策略执行一个或多个安全操作。

安全操作可以包括针对装置的功能的安全操作，包括例如禁用装置的显示器使得信息不能被显示、关闭装置的电源使得非预期的用户可能不能使用设备、切断到装置的存储器设备的数据路径使得机密信息不能被访问、禁用装置的传感器设备使得装置不能记录装置周围的视觉的或可听的条件或者禁用装置的通信以防止装置进行非预期的信息的传输或接收。委托安全处理器设备130还可以执行针对数据安全和认证的并且否则可能被中央安全处理器设备126执行的安全操作，诸如模板匹配、密钥控制(keymaster)或加密安全操作。

图3示出了根据操作环境100的被用信号通知到中央安全处理器设备126的示例用户输入。用户输入经由用户输入子系统204输入，所述用户输入子系统204可包括小键盘、麦克风、扫描仪或图像捕获设备等。用户输入可以包括例如指纹300、虹膜图案302或密码或个人识别号码304。用户输入还可以包括足够用于语音识别的语音命令306。这样的用户输入可以被中央安全处理器设备126使用以例如并且基于存储在csc存储器设备216中的数据来确定与认证装置的用户有关的一个或多个安全条件。

附加地或替代地，用户输入子系统204可以以被动方式向中央安全处理器设备126提供输入信号。例如，用户输入子系统的麦克风或图像捕获设备可以被动地监测设备附近的周围环境和用户，并且在没有来自用户的直接的、主动的输入的情况下向中央安全处理器设备126传输输入信号。中央安全处理器设备126然后可以确定存在安全条件，并且因此向中央安全处理器设备126传输安全条件信号。

图4示出了具有感测的信号402被发送到在装置的csc组件124中体现的中央安全处理器设备126的配置400的示例装置。中央安全处理器设备126被配置为与在装置的soc组件128上体现的委托安全处理器设备130通信。根据操作环境100并且如由评估保证级别要求所确定的，soc组件128与csc组件124分离。装置进一步包括多个装置子系统，包括装置用户输入子系统204、装置传感器子系统206、装置存储器子系统208、装置电源子系统210、装置显示子系统212和装置通信子系统214。

包括存储数据的csc组件存储器设备216的csc组件124还包括ic电路。在接收到输入信号202时，中央安全处理器设备126被配置为基于所接收的输入信号202和存储在csc组件存储器设备216中的数据来确定是否存在安全条件。如果存在安全条件，则中央安全处理器设备126向委托安全处理器设备130传输安全条件信号。

包括soc组件存储器设备218的soc组件128还包括ic电路。soc组件存储器设备218是存储指令的计算机可读存储器设备，所述指令在被执行时使中央安全处理器设备126响应于接收到安全条件信号而执行安全操作。soc组件128还包括被用于处理存储在soc组件存储器设备218中并且也控制装置的操作的其他指令的多个装置子系统核心设备的ic电路，所述操作包括由装置用户输入核心设备220、装置传感器核心设备222、装置存储器核心设备224、装置电源管理核心设备226、装置显示核心设备228和装置通信核心设备230执行的操作。装置子系统核心设备220-230可以与对应的装置子系统204-214通信以操作对应的子系统。

设备内的通信被配置为使得中央安全处理器设备126和委托安全处理器设备130经由外部安全控制和通信总线232通信，其中外部安全控制和通信总线232在csc组件124和soc组件128两者的外部。委托安全处理器设备130、soc组件存储器设备218和装置子系统核心设备220-230经由内部安全控制和通信总线234进行通信，所述内部安全控制和通信总线234在soc组件128的内部。

在中央安全处理器设备126接收到感测的信号402、确定了安全条件并向中央安全处理器设备126传输安全条件信号的情况下，中央安全处理器设备126可以根据安全策略并且以相对于中央安全处理器设备126自主的方式，与装置子系统核心设备220-230通信，所述装置子系统核心设备220-230继而用信号通知装置子系统204-214根据安全策略执行一个或多个安全操作。

安全操作可以包括针对装置的功能的安全操作，包括例如禁用装置的显示器使得信息不能被显示、关闭装置的电源使得非预期的用户可能不能使用设备、切断到装置的存储器设备的数据路径使得机密信息不能被访问、禁用装置的传感器设备使得装置不能记录装置周围的视觉的或可听的条件或者禁用装置的通信以防止由装置进行非预期的信息的传输或接收。

委托安全处理器设备130还可以执行针对数据安全和认证的并且否则可能被中央安全处理器设备126执行的安全操作，诸如模板匹配、密钥控制或加密安全操作。

图5示出了根据操作环境100的一个或多个方面的由传感器子系统感测的并且被用信号通知到中央安全处理器设备126的示例感测的环境条件。指示环境条件的装置的周围环境由可以包括传感器设备的任何组合的装置传感器子系统206感测，所述传感器设备例如感测在通信或雷达技术中使用的无线电波500、用于定位或全球定位系统(gps)的位置信号502、装置周围的热条件504、可以围绕装置或者可以与装置通信的光波506、可以围绕装置的电磁通量508或者指示装置与用户的接近度的接近信号510。

感测的单个环境条件或感测的环境条件的组合可以被中央安全处理器设备126使用以确定以下安全条件：装置被未经认证的另一个装置访问以从装置检索数据的安全条件、装置被盗或被运送到装置不运行的位置的安全条件、操作装置可能损坏装置的安全条件或者装置不在装置的所有者附近的安全条件。这样的感测的条件被中央安全处理器设备126使用以例如并且基于存储在csc存储器设备216中的数据来确定与装置存在于不安全环境中有关的一个或多个安全条件。

图6示出了由装置的委托安全处理器设备执行的示例方法600。如上所述，委托安全处理器设备130可以在soc组件128上体现。在阶段602处，委托安全处理器设备接收安全条件信号。在阶段604处，委托安全处理器设备响应于接收到安全条件信号而使安全操作被执行。安全操作可以是针对装置的功能的安全操作，例如包括禁用装置的显示器使得信息不能被显示、关闭装置的电源使得非预期的用户可能不能使用设备、切断到装置的存储器设备的数据路径使得机密信息不能被访问、禁用装置的传感器设备使得装置不能记录装置周围的视觉的或可听的条件或者禁用装置的通信以防止由装置进行非预期的信息的传输或接收。或者，安全操作可以是针对数据安全和认证的安全操作，诸如执行模板匹配操作、执行密钥控制操作或执行加密操作。在阶段606处，委托安全处理器设备可选地传输指示确认了安全操作已经被执行的确认信号。

图7示出了由装置的中央安全处理器设备执行的示例方法700。如上所述，中央安全处理器设备可以在csc组件124上体现。在阶段702处，中央安全处理器设备接收输入信号或感测的信号。在一些情况下，输入信号可以从装置的用户输入子系统接收并且可以是虹膜图案、密码、个人识别号码或语音命令。在其他情况下，感测的信号可以从装置的感测无线电波、位置、热条件、光波、电磁通量或装置与用户的接近度的传感器子系统接收。在阶段704处，中央安全处理器设备基于存储的数据和所接收的输入信号或感测的信号确定安全条件。在阶段706处，中央安全处理器设备响应于确定了安全条件而传输安全条件信号。在阶段708处，中央安全处理器设备可选地接收确认了安全操作已经被执行的确认信号。

图8示出了在具有中央安全处理器设备和委托安全处理器设备的装置上执行的示例方法800。如上所述，中央安全处理器设备可以在csc组件124上体现。如上所述，委托安全处理器设备可以在soc组件128上体现。

在阶段802处，中央安全处理器设备接收信号。在一些情况下，信号可以从装置的用户输入子系统接收并且可以是虹膜图案、密码、个人识别号码或语音命令。在其他情况下，信号可以从装置的感测无线电波、位置、热条件、光波、电磁通量或装置与用户的接近度的传感器子系统接收。

在阶段804处，中央安全处理器设备响应于接收到信号并且至少部分地基于存储在csc组件上的数据来确定安全条件。然后，中央安全处理器设备响应于确定了安全条件而向委托安全处理器设备传输安全条件信号。

在阶段806处，委托安全处理器设备响应于接收到安全条件信号而使soc执行安全操作。安全操作可以是针对装置的功能的安全操作，包括例如禁用装置的显示器使得信息不能被显示、关闭装置的电源使得非预期的用户可能不能使用设备、切断到装置的存储器设备的数据路径使得机密信息不能被访问、禁用装置的传感器设备使得装置不能记录装置周围的视觉的或可听的条件或者禁用装置的通信以防止由装置进行非预期的信息的传输或接收。或者，安全操作可以是针对数据安全和认证的安全操作，诸如执行模板匹配操作、执行密钥控制操作或执行加密操作。

结论

尽管描述了使用具有中央安全处理器设备的csc组件和具有委托安全处理器设备的soc组件的技术以及包括具有中央安全处理器设备的csc组件和具有委托安全处理器设备的soc组件的装置，但是应该理解的是，所附权利要求的主题不必限于所描述的特定特征或方法。相反，特定特征和方法被公开为可以实现中央安全处理器设备和委托安全处理器设备的示例方式。