優先權信息

本申請要求于2004年11月30日提交的美國實用申請第10/999,655號的優先權，該申請通過整體引用被包含在此。

技術領域

本發明一般涉及處理系統，尤其涉及支持用于執行安全代碼和/或處理安全數據的安全操作模式的計算機處理系統。

背景技術

某些處理系統提供安全模式，或安全操作模式，其中可操作處理器使得它可操縱敏感文件和/或運行高度敏感的安全算法。然而，有時難以保衛對這樣的安全模式的訪問。如果威脅能夠訪問安全模式，則可能在某些應用程序中導致實質性的破壞。如果某些軟件數據被黑客獲得，則可能避開保護對安全模式的訪問的軟件保衛。保護對安全模式的訪問的硬件保衛可涉及對采用與主操作系統分開的安全內核的安全引導序列的使用。然而，這樣的系統顯著增加了處理器的成本。

處理中的安全性是必要的，不僅用于避免諸如病毒等惡意代碼破壞處理器的操作，還用于提供處理器內的數據的保密性以及加密被傳輸給其它處理器的數據時的保密性。

從而，需要在可靠且經濟的處理系統中提供安全操作模式的處理器。

發明內容

根據一實施例，本發明提供一種支持安全操作模式并包括僅可在安全模式中訪問的只讀硬件密鑰的處理系統。根據另一實施例，本發明提供一種用于在安全模式中操作處理單元的方法。該方法包括以下步驟：將要被認證的應用程序中的應用程序簽名與處理系統中的硬件密鑰進行比較、啟用中斷轉移例程以防止中斷被處理器接收、禁用處理器的仿真單元以及啟用要執行的安全功能。

附圖說明

可參考附圖進一步理解以下描述，附圖中：

圖1示出了根據本發明的一個實施例的多個處理系統的說明性示意圖；

圖2示出了由根據本發明的一個實施例的系統執行的操作步驟的示意性流程圖；

圖3示出了根據本發明的一個實施例的預中斷句柄的操作中所涉及的操作步驟的示意性流程圖；以及

圖4示出了由根據本發明的另一實施例的系統執行的操作步驟的示意性流程圖。

附圖僅為說明性目的示出。

具體實施方式

如圖1中所示，處理器10可包括中央處理單元12，它包括中斷端口14、只讀存儲器(ROM)16、隨機存取存儲器(RAM)18、以及用于與輸入和/或輸出設備26和28通信的輸入/輸出端口20和22。ROM?16包括由處理單元10的制造商提供的硬件嵌入密鑰24。該密鑰是嵌入在設備的硬件中且除在安全模式之外不可讀的私鑰。該私鑰例如可長約為256字節，即1024位。

在使用期間，各種輸入/輸出設備26和28可經由端口20、22與處理器通信。如果耦合至設備26和28的任何應用程序30、32請求安全模式中的操作，則系統通過使用公鑰授權來認證請求碼。公鑰34例如可長約為512字節，即2048位。設備上用于該目的的一個或多個密鑰是公共的。已經被認證的代碼可訪問可用于對隨后的代碼和數據解密的密鑰。設備密鑰可取決于所使用的協議。

密鑰可被嵌入在ROM中，或者可在制造期間被固定在硬件中，或者可涉及設置密鑰的熔絲或鏈路的使用。當以安全模式操作時，所有中斷被導向到預中斷句柄(pre-interrupt?handler)以適當地清除機器狀態。在其它實施例中，可如下所述地使用替換中斷向量表。向安全代碼的移動在軟件控制之下僅當請求軟件被認證之后才有可能。認證通過向置于ROM設備中的認證請求子例程傳遞指針和字節計數來完成。密鑰可被嵌入ROM?16中，或者可在處理器內的一組熔絲型鏈路中提供。