[发明专利]用于跨越多个处理器的安全启动的系统和方法

说明书

技术领域

本申请总体上涉及一种改进的数据处理系统和方法。更具体地， 本申请涉及用于跨越多个处理器的安全启动的系统和方法。

背景技术

由于我们的社会变得越来越依赖电子通信和信息存储，所以对数 字信息安全的关注也与日俱增，例如个人信息和数字权利管理 (DRM)。而且，近年来计算机黑客和其他未授权入侵者进入计算机 系统的技巧也越发高明。结果，在用于计算装置的安全系统的发展中 投入了很多的努力，以便可以保护这种敏感的数字信息而不受未授权 访问的威胁。

入侵者可以获得对计算系统的访问的一种方法是通过电子接口和 其他可观察的电磁或热活动来观察计算系统的启动活动。通过按照这 种方式来观察启动活动，入侵者可以推断出启动处理器正输入和输出 什么数据信号，处理器上正运行什么加密算法等等。根据该信息，入 侵者可以检测到启动序列中可以进行未授权侵入的点。此外，利用其 中要求安全性密钥用以启动系统的安全启动序列，入侵者可以逆推出 启动处理器所使用的加密算法，以获得对安全性密钥的访问，并且从 而获得对计算系统的完全访问。由于计算系统的总体安全性经常取决 于启动处理的安全性，所以当入侵者获得对启动序列的访问时，整个 系统的安全性就处于危险当中。

因此，提供一种增加监控处理器的启动序列的难度以便使系统更 安全而不受未授权入侵的威胁的装置和方法是有益的。

发明内容

示范性实施方式提供一种用于选择随机处理器来启动多处理器 系统以及用于提供跨越多个处理器的安全启动的系统和方法。通过使 得哪个处理器将用来启动多处理器系统随机化，来使未授权人员以击 败系统的安全性为目的而监控电子接口、热活动和其他电磁活动来获 得有关启动序列的信息的能力变得更加困难。例如，在多处理器系统 中，未来入侵者需要以多个不同的次数运行启动序列，同时监控单个 处理器以期望它可能被随机地选为启动处理器，或者未来入侵者需要 在启动时监控所有的处理器，以便确定哪个处理器是实际启动处理 器。这两种可选择方案都需要未来入侵者方付出相当大努力，这可以 用作在实际中试图监控该系统来获得启动序列信息的不利因素，或者 至少显著地延迟未来侵入者在危害系统时花费的时间。

利用示范性实施例的机制，在多处理器系统(例如片上系统)上 提供普适逻辑，该普适逻辑控制多处理器系统的启动操作。普适逻辑 包括随机事件发生器，该随机事件发生器随机选择在多处理器系统中 的哪一个处理器将要成为启动处理器，该启动处理器运行启动代码， 以由此使该系统达到操作状态。根据对启动处理器的随机选择，设置 与启动处理器相关联的配置位，该配置位表示该处理器成为启动处理 器。此后，所选择的启动处理器被提供有为使多处理器系统安全启动 到操作状态所必需的安全性密钥。

在某些示范性实施例中，当随机选择的处理器执行安全启动操作 时，多处理器系统中的其他处理器执行操作来对真正的安全启动操作 进行掩码(mask)。该掩码包括执行其他代码序列而不是启动代码序 列，该其他代码序列使处理器生成电磁和/或热输出，其中如果该电磁 和/或热输出受到入侵者监控，则会使入侵者难以辨识哪一个处理器正 在执行实际的安全启动操作。

一种可以生成不同的代码序列的方法是将随机延迟元素插入启动 代码内，该启动代码运行重复一个随机量的循环。按照这种方式，每 个处理器可以运行启动代码，但是具有不同的延迟量，从而使得生成 不同的电磁和热特征(signature)。从入侵者的角度来看，由于这种 掩码而使得很难从多处理器系统中的其他处理器中辨识实际启动处 理器。

在另一个示范性实施例中，由其他处理器执行的代码序列是与随 机选择的处理器所执行的相同的启动代码序列，但由其他处理器执行 的代码序列具有伪(dummy)安全性密钥。因此，对于入侵者来说， 这些其他的处理器操作为以及看起来好像它们正在执行安全启动操 作一样。然而，如果监控这些处理器，就会识别出假电磁和热输出， 这使入侵者难以确定所监控的处理器是否为正在执行安全启动操作 的实际随机选择的处理器。