技術領域

本公開總體上涉及計算領域。更具體地，本發明的實施例總體上涉及片上系統(也被稱為SOC或SoC)設備中的密鑰撤消。

背景技術

對移動設備而言，安全啟動是重要的過程以確保僅僅授權固件和/或軟件被加載在平臺上。為了支持安全啟動，可以使用加密。這樣的加密可以依賴于原始設備制造商(OEM)提供的公鑰。然而，如果與該公鑰相關聯的OEM的私鑰受到損壞，則可能會失去對平臺的控制。同樣，移動設備上的存儲空間可能是有限的，這繼而限制可以存儲在該移動設備上的公鑰的數量。因此，實現在移動平臺上的安全啟動，需要更多的靈活性。

附圖說明

參照附圖提供了具體實施方式。在圖中，附圖標記的最左側數位標識在其中該附圖標記首次出現的圖。在不同的圖中使用相同的附圖標記指示類似或相同的項。

圖1示出了根據實施例的SOC的部件的框圖；

圖2示出了在一些實施例中密鑰證書如何起作用的更詳細的視圖的框圖；

圖3示出了根據實施例的密鑰證書的結構。

圖4示出了根據實施例的提供片上系統設備中的密鑰撤消的方法的流程圖。

圖5和圖6示出了可以被利用來實現本文討論的一些實施例的計算系統的實施例的框圖。

具體實施方式

在以下描述中，闡述了大量的具體細節，以便提供對各種實施例的充分理解。然而，可以在沒有這些具體細節的情況下來實踐本發明的各種實施例。在其他實例中，沒有詳細描述公知的方法、程序、部件以及電路，以便不使本發明的特定實施例難以理解。此外，可以使用各種手段(例如，集成半導體電路(“硬件”)、組織在一個或多個程序中的計算機可讀指令(“軟件”)、或者硬件和軟件的某種組合)來執行本發明的實施例的各種方面。出于本公開的目的，提到的“邏輯”是要表示硬件、軟件、固件(FM)、或其某種組合。

一些實施例允許片上系統(也稱為SOC或SoC)設備中的(例如，OEM)密鑰撤消。例如，各種實施例提供了以下內容：(1)使存儲OEM(原始設備制造商)密鑰所需要的熔斷器的數量最小化，例如，同時支持任何數量的OEM密鑰；和/或(2)管理OEM密鑰的機制(例如，通過撤消和/或恢復)。

一般地，安全啟動對于移動設備(例如，電話、平板、UMPC(超便攜個人計算機)、膝上計算機、超級本等)而言是重要的過程，其用于確保僅在平臺上加載授權的固件和/或軟件(例如，每OEM需求(例如，經由BIOS(基本輸入輸出系統)和/或OS(操作系統))。為了支持安全啟動，可以使用加密。這樣的加密可以依賴于由OEM提供的一個或多個公鑰。例如，為了支持安全啟動，SOC制造商可以通過使用非對稱加密(例如，RSA(Rivest、Shamir、以及Adleman)數字簽名驗證)經由UEFI(統一可擴展固件接口)安全級部件(在UEFI上下文中)或傳統BIOS中的啟動塊，來對BIOS的第一級進行驗證，由此錨定啟動過程。由此，在啟動過程的不同啟動階段中并且一直到主OS，信任鏈可以由BIOS使用來加載控制并且將控制傳送到相關部件。

此外，一些SOC制造商可以使用熔斷器(例如，現場可編程熔斷器(FPF))來存儲公鑰，所述公鑰由OEM選擇/生成，以對在啟動過程中錨定信任鏈的第一BIOS塊進行驗證。通常，OEM公鑰(或利用熔斷器的一部分的公鑰的散列)在OEM制造時間而不是在SOC制造時間被編程，以允許OEM決定將何種密鑰用于其設備，直到這些密鑰準備就緒為止，并且這便于SOC供應商便于進行SOC SKU管理。隨后安全引擎(其可以存在于SOC上，例如，其可以包括自有的/專用的處理器核心或協處理器)使用存儲在SOC上(或對SOC可用)的OEM公鑰(或散列)來對OEM BIOS的第一級的完整性和真實性進行驗證。