[发明专利]保护多安全CPU系统中的安全软件

权利要求书

1.一种计算系统，包括：

第一中央处理单元（CPU）；以及

第二中央处理单元，与所述第一中央处理单元和主处理器耦接，

其中，响应于由所述主处理器发出的启动所述第二中央处理单元的请求，所述第一中央处理单元被配置为执行所述第二中央处理单元的安全启动，所述安全启动包括解密加密代码，以生成能由所述第二中央处理单元执行但所述主处理器无法访问的解密代码。

2.根据权利要求1所述的计算系统，其中，所述主处理器将所述加密代码从闪存写入动态随机存取存储器（DRAM），所述加密代码包括用于执行两级启动处理的第一级代码和第二级代码。

3.根据权利要求2所述的计算系统，其中，所述第二中央处理单元包括专用本机存储器，所述第一中央处理单元和所述第二中央处理单元位于片上系统（SOC）上，且其中，所述主处理器配置能够执行以下操作的第一级启动加载程序：

从动态随机存取存储器中读取所述第一级代码；

在所述片上系统上解密所述第一级代码；以及

将所解密的第一级代码写入所述专用本机存储器。

4.根据权利要求3所述的计算系统，其中，所述第一中央处理单元进一步被配置为：

对用于由所述第二中央处理单元执行的所解密的第一级代码进行认证；以及

授权所述第二中央处理单元执行来自所述专用本机存储器的所解密的第一级代码。

5.根据权利要求3所述的计算系统，其中，所解密的第一级代码能够执行为对关于如何加载、解密和执行所述第二级代码做出决定。

6.根据权利要求3所述的计算系统，其中，在执行所解密的第一级代码时，所述第二中央处理单元被配置为请求所述第一中央处理单元生成能用于解密所述第二级代码的密钥，响应于此，所述第一中央处理单元进一步被配置为：

生成由所述第二中央处理单元使用的具有指定的访问权限的密钥，所述访问权限包括从中解密所述第二级代码的所述动态随机存取存储器的第一区域，以及将所解密的第二级代码写入其中的所述动态随机存取存储器的第二区域；以及

协助所述第二中央处理单元创建存储器校验器，所述存储器校验器被配置为确保仅从所述动态随机存取存储器的所述第一区域到所述第二区域进行解密。

7.根据权利要求6所述的计算系统，其中，所述主处理器能够访问所述动态随机存取存储器的所述第一区域但不能访问所述动态随机存取存储器的所述第二区域。

8.根据权利要求6所述的计算系统，其中，所述第二中央处理单元进一步被配置为：

利用所述密钥对存储器的所述第一区域内存储的所述第二级代码进行解密；以及

将所解密的第二级代码写入所述动态随机存取存储器的所述第二区域。

9.一种用于保护包括耦接在一起的第一中央处理单元和第二中央处理单元的多安全中央处理单元（CPU）系统中的软件的方法，包括：

从主处理器接收启动所述第二中央处理单元的请求；

由所述主处理器将加密代码从闪存写入动态随机存取存储器（DRAM）中，所述加密代码包括用于执行两级启动处理的第一级代码和第二级代码；以及

由所述第一中央处理单元和所述第二中央处理单元对加密的第一级代码和加密的第二级代码进行解密，并使得所述主处理器无法在解密之后访问解密的第一级代码或解密的第二级代码。

10.一种计算系统，包括：

第一中央处理单元（CPU）；

动态随机存取存储器（DRAM），与所述第一中央处理单元连接；

闪存；

第二中央处理单元，与所述第一中央处理单元和所述动态随机存取存储器耦接；

主处理器，与所述第一中央处理单元和所述第二中央处理单元、所述动态随机存取存储器和所述闪存耦接，所述主处理器被配置为将加密代码从所述闪存写入所述动态随机存取存储器，所述加密代码包括用于执行两级启动处理的第一级代码和第二级代码；

其中，所述第一中央处理单元被配置为：

从所述主处理器接收启动所述第二中央处理单元的请求；以及

由所述第一中央处理单元和所述第二中央处理单元对加密的第一级代码和加密的第二级代码进行解密，并使得所述主处理器无法在解密之后访问解密的第一级代码或解密的第二级代码。