[发明专利]用于多核处理器的安全密钥存储

权利要求书

1.一种电子装置，包括：

多核处理器，包括第一核、第二核和适于存储运行时数据的至少一个存储器，其中所述第一核适于执行处理器可执行代码，所述处理器可执行代码响应于执行而使得所述多核处理器能够执行动作，所述动作包括：

从安全只读存储器ROM加载ROM代码；

采用所述第一核以执行所述ROM代码以加载第一引导加载器，其中所述第一引导加载器是非ROM代码；

根据基于所述第一引导加载器的哈希的秘密设备密钥的突变得到第一突变密钥；

采用所述第一核以执行所述第一引导加载器以加载针对所述第一核的运行时，其中针对所述第一核的所述运行时是被配置为监测所述第二核的环境的安全运行时环境；

计算针对所述第一核的所述运行时的哈希；

根据基于随机种子的所述第一突变密钥的突变得到第二突变密钥；

使用所述第二突变密钥对所述第一核的所述运行时的所述哈希进行加密；以及

将所述第一核的所述运行时的加密的所述哈希存储在安全密钥存储库中。

2.根据权利要求1所述的电子装置，所述动作还包括：

计算针对第二核的第一执行环境的运行时的哈希；

根据基于针对所述第二核的所述第一执行环境的所述运行时的所述哈希的所述第二突变密钥的突变，得到第三突变密钥；

使用所述第一突变密钥对所述第三突变密钥和针对所述第二核的所述第一执行环境的所述运行时的所述哈希进行加密；以及

将针对所述第二核的所述第一执行环境的加密的所述哈希和加密的所述第三突变密钥存储在所述安全密钥存储库中。

3.根据权利要求1所述的电子装置，所述动作还包括：

在后续引导时：

读取所述第一引导加载器；

计算所述第一引导加载器的哈希；

根据基于所述第一引导加载器的所述哈希的所述秘密设备密钥的突变重新生成所述第一突变密钥；以及

使用所述第一突变密钥解密所述安全密钥存储库。

4.根据权利要求1所述的电子装置，其中所述安全密钥存储库被存储在闪存上。

5.根据权利要求1所述的电子装置，其中所述第一核和所述第二核是具有不同能力的通用核，并且其中所述第一核和所述第二核被配置为具有纵深防御层级，在所述纵深防御层级中，所述第一核在所述纵深防御层级中在所述第二核上方。

6.根据权利要求1所述的电子装置，其中所述第一核是安全微控制器，并且其中所述第二核是中央处理单元。

7.根据权利要求1所述的电子装置，其中所述秘密设备密钥对于所述多核处理器是唯一的，其中所述秘密设备密钥被存储在硬件中，并且其中所述硬件防止所述秘密设备密钥被软件读取。

8.一种用于密钥存储的方法，包括：

基于针对设备的第一引导加载器的哈希从设备密钥得到第一突变密钥；

生成第一核的运行时的哈希，其中针对所述第一核的所述运行时是被配置为监测第二核的环境的安全运行时环境；

基于针对所述第一核的所述运行时的所述哈希从所述第一突变密钥得到第二突变密钥；

使用所述第一突变密钥对所述第二突变密钥和针对所述第一核的所述运行时的所述哈希进行加密；以及

将针对所述第一核的所述运行时的加密的所述哈希和加密的所述第二突变密钥存储在安全密钥存储库中。

9.根据权利要求8所述的方法，还包括：

生成针对第二核的第一执行环境的运行时的哈希；

基于针对所述第二核的所述第一执行环境的所述运行时的所述哈希，从所述第二突变密钥得到第三突变密钥；

使用所述第一突变密钥对所述第三突变密钥和针对所述第二核的所述第一执行环境的所述运行时的所述哈希进行加密；以及

将针对所述第二核的所述第一执行环境的加密的所述哈希和加密的所述第三突变密钥存储在所述安全密钥存储库中。