用于对安全计算资源进行共享访问的设备、系统和方法转让专利
申请号 : CN200410095009.1
文献号 : CN100591071C
文献日 : 2010-02-17
发明人 : 查尔斯·D·鲍尔 , 利安·C·卡瑟曼 , 戴维·C·查伦纳尔 , 詹姆斯·P·豪夫 , 詹姆斯·P·沃德
申请人 : 联想(新加坡)私人有限公司
摘要 :
提供了用于对安全计算资源进行共享访问的设备、系统和方法。设备、系统和方法包括安全计算模块。安全计算模块对于包括被配置为排他地访问安全计算模块的排他的计算模块的两个或更多计算模块执行安全功能。安全计算模块标识执行安全功能的第一计算模块,并将安全计算模块的上下文设置为第一计算模块上下文。第一计算模块执行安全功能,但不能执行第二计算模块的安全功能。第二计算模块也可以执行安全功能,但不能执行第一计算模块的安全功能。
权利要求 :
1.一种安全数据处理设备,该设备包括: 安全功能模块,其被配置为接收计算模块上下文,与计算模块之间执行安全功能事务,所述安全功能模块在计算模块中接收计算模块的上下文; 通信模块,其被配置为与第一计算模块进行通信,第一计算模块被配置为与安全功能模块之间排他地执行安全功能事务,通信模块进一步被配置为与第二计算模块进行通信,第二计算模块被配置为与安全功能模块之间执行安全功能事务;以及 上下文模块,其被配置为将安全功能模块的上下文设置为第一计算模块上下文,和/或将安全功能模块的上下文设置为第二计算模块上下文。
2. 根据权利要求1所述的设备,其中,上下文模块被配置为仲裁将安全功能模块的上下文设置为第一计算模块上下文和设置为第 二计算模块上下文。
3. 根据权利要求1所述的设备,其中,上下文模块被配置为 响应电信号设置安全功能模块的上下文。
4. 根据权利要求3所述的设备,其中,电信号是地址。
5. 根据权利要求1所述的设备,其中,上下文模块被配置为 响应传递到通信模块的数据设置安全功能模块的上下文。
6. —种计算模块,该模块包括:标识模块,其被配置为向安全计算模块标识计算模块,其中,向 安全计算模块标识计算模块的过程将安全计算模块的上下文设置为第一计算模块上下文,第 一计算模块被配置为与安全功能模块之间排他 地执行安全功能事务,和将安全计算模块的上下文设置为第二计算模 块上下文,第二计算模块被配置为与安全功能模块之间执行安全功能事务;地址模块,其被配置为给安全计算模块的安全功能编址;以及数据模块,其被配置为与安全计算模块交换数据。
7. 根据权利要求6所述的计算模块,标识模块进一步被配置为用从地址模块传递的地址标识计算模块。
8. 根据权利要求6所述的计算模块,标识模块进一步被配置 为用从数据模块传递的数据标识计算模块。
9. 一种安全数据处理系统,该系统包括:安全计算模块,其被配置为响应于计算模块启动与安全计算模块 之间执行安全功能事务而标识计算模块,所述安全计算模块进一步被 配置为将安全计算模块的上下文设置为计算模块上下文,其中,所述 安全计算模块被配置为与计算模块之间执行安全功能事务;排他的计算模块,其被配置为启动与安全计算模块之间执行安全 功能事务,所述排他的计算模块进一步被配置为与安全计算模块之间 排他地执行安全功能事务; 以及非相容计算模块,其被配置为与安全计算模块之间启动执行安全 功能事务,所述非相容计算模块进一步被配置为与安全计算模块之间 执行安全功能事务。
10. 根据权利要求9所述的系统,其中,所述排他的计算模块 或非相容计算模块与安全计算模块之间执行安全功能事务。
11. 根据权利要求9所述的系统,其中,所述排他的计算模块 和非相容计算模块与安全计算模块之间执行安全功能事务。
12. 根据权利要求9所述的系统,其中,所述安全计算模块根 据电信号标识计算模块。
13. 根据权利要求12所述的系统,其中,电信号是地址。
14. 根据权利要求9所述的系统,其中,所述安全计算模块 根据数据值标识计算模块。
15. —种安全计算方法,该方法包括: 标识计算模块;将安全计算模块设置为第一计算模块上下文,第一计算模块被配 置为与要全功能模块之间排他地执行安全功能事务,和将安全计算模块的上下文设置为第二计算模块上下文,第二计算模块被配置为与安全功能模块之间执行安全功能事务;以及在安全计算模块和计算模块之间执行安全功能事务,其中,事务 限于计算模块上下文的安全功能和敏感数据。
16. 根据权利要求15所述的方法,进一步包括将安全计算模块 的上下文设置为排他的计算模块上下文,其中,所述排他的计算模块 被配置为与安全计算模块之间排他地执行安全功能事务,该方法进一 步包括将安全计算模块的上下文设置为非相容计算模块上下文,其中, 非相容计算模块被配置为与安全计算模块之间直接执行安全功能事务。
17. 根据权利要求15所述的方法,进一步包括启动安全功能的执行。
18. 根据权利要求15所述的方法,进一步包括在第一计算模块 和第二计算模块之间仲裁安全计算模块上下文的设置。
19. 根据权利要求15所述的方法,其中,从电信号标识计算模块。
20. 根据权利要求15所述的方法,其中,从数据值标识计算模块。
21. —种用于进行安全计算的设备,该设备包括: 用于标识计算模块的装置;用于设置安全计算模块的装置,其中将安全计算模块设置为第一 计算模块上下文,第 一计算模块被配置为与安全功能模块之间排他地 执行安全功能事务,和将安全计算模块的上下文设置为第二计算模块 上下文,第二计算模块被配置为与安全功能模块之间执行安全功能事务;以及用于在安全计算模块和计算模块之间执行安全功能事务的装置, 其中,事务限于计算模块上下文的安全功能和敏感数据。
说明书 :
用于对安全计算资源进行 共享访问的设备、系统和方法
技术领域
本发明涉及安全计算,具体来说,涉及安全计算模块的共享使用。 背景技术
诸如计算机、服务器、个人数字助理、电话、路由器和网络之类 的数据处理设备频繁地操作、存储和传递敏感数据。敏感数据可以包 括密码、个人标识号、信用卡号、帐号、《艮行路由编号、包括名称、 地址、电子邮件地址和电话号码、订单信息在内的客户信息、财务数 据,包括语音、文本、图形和数据传输的通信。
诸如可信计算平台联盟("TCPA,,)和可信计算组("TCG")之 类的安全计算标准组制定了标准,以保护数据处理设备中的敏感数据。 通常,安全计算标准为诸如将数据加密、存储加密密钥、允许和拒绝 对数据和加密密钥的访问,以及测量和跟踪安全数据处理设备的完整 性之类的安全功能定义协议和进程。安全计算标准常常给安全计算模 块("SCM")赋予安全功能。SCM可以是执行安全功能的硬件和软 件模块。在一个实施例中,诸如微处理器、通信信道、逻辑电路、软 件内核、操作系统软件和软件应用程序之类的数据处理设备硬件和软 件模块("计算模块")用SCM执行一个或多个安全功能。
数据处理设备可以使用安全计算标准来保护敏感数据。数据处理 设备可以包括SCM。 SCM用一个或多个计算模块来执行安全功能。 可信计算组(TCG)将安全功能的一个实施例描述为可信平台模块 ("TPM,,)。
计算模块可以是排他的计算模块("ECM") 。 ECM被设计为与 SCM之间排他地执行安全功能。ECM要求所有其他计算模块执行从ECM到SCM的安全功能。通过ECM执行安全计算功能的计算模 块是符合计算模块("CCM")。
例如,ECM可以是操作系统。操作系统ECM可以只允许一个 或多个CCM通过操作系统ECM应用程序编程接口 ("API")执行 安全功能。操作系统ECM被设计为通过其他计算模块排除与SCM 之间执行的所有安全功能。
令人遗憾的是,诸如旧式服务和应用程序之类的许多计算模块没 有被设计为通过ECM进行操作。不通过ECM执行安全功能的计 算模块是非相容计算模块("CCM,,) 。 NCM可以是在ECM之前创 建的旧式计算模块。例如,在设计ECM API之前创建的NCM不 能通过ECM API执行安全功能。
具有与SCM之间执行安全功能的ECM的安全数据处理设备 不能也具有与SCM之间执行安全功能的NCM。在一个实施例中, 如果NCM尝试直接与SCM之间执行安全功能,则NCM将被拒绝 执行安全功能。在另一个实施例中,如果NCM直接与SCM之间执 行安全功能,则ECM将检测安全功能事务。ECM可以判断,SCM 的安全性被损害,并与SCM之间停止安全功能事务,防止ECM和 任何CCM执行安全功能,以保护敏感数据。
数据处理i殳备可以包括两个或更多SCM以允许ECM和 NCM两者执行安全功能。ECM用第一 SCM执行安全功能。NCM 用第二 SCM执行安全功能。ECM不阻止NCM执行安全功能。 NCM安全功能事务也不会导致ECM判断第一 SCM的安全性被 损害。ECM和NCM两者都可以执行安全功能。令人遗憾的是,数 据处理设备至少要求两个SCM以允许ECM和NCM执行安全功 能,从而增大了数据处理设备的复杂性和成本。
所需要的是允许ECM和NCM两者用单一的SCM执行安 全功能的方法、设备和系统。还需要这样的方法、设备和系统,它们 还允许ECM和NCM两者在单一的SCM上执行安全功能,而不
会实际损害SCM的安全性或显著地损害SCM的安全性。优选情况下,这样的进程、i更备和系统将允许NCM和ECM两者用单一的 SCM成功地执行安全功能,从而会降低数据处理设备中的安全计算 的成本。
诸如计算机、服务器、个人数字助理、电话、路由器和网络之类 的数据处理设备频繁地操作、存储和传递敏感数据。敏感数据可以包 括密码、个人标识号、信用卡号、帐号、《艮行路由编号、包括名称、 地址、电子邮件地址和电话号码、订单信息在内的客户信息、财务数 据,包括语音、文本、图形和数据传输的通信。
诸如可信计算平台联盟("TCPA,,)和可信计算组("TCG")之 类的安全计算标准组制定了标准,以保护数据处理设备中的敏感数据。 通常,安全计算标准为诸如将数据加密、存储加密密钥、允许和拒绝 对数据和加密密钥的访问,以及测量和跟踪安全数据处理设备的完整 性之类的安全功能定义协议和进程。安全计算标准常常给安全计算模 块("SCM")赋予安全功能。SCM可以是执行安全功能的硬件和软 件模块。在一个实施例中,诸如微处理器、通信信道、逻辑电路、软 件内核、操作系统软件和软件应用程序之类的数据处理设备硬件和软 件模块("计算模块")用SCM执行一个或多个安全功能。
数据处理设备可以使用安全计算标准来保护敏感数据。数据处理 设备可以包括SCM。 SCM用一个或多个计算模块来执行安全功能。 可信计算组(TCG)将安全功能的一个实施例描述为可信平台模块 ("TPM,,)。
计算模块可以是排他的计算模块("ECM") 。 ECM被设计为与 SCM之间排他地执行安全功能。ECM要求所有其他计算模块执行从ECM到SCM的安全功能。通过ECM执行安全计算功能的计算模 块是符合计算模块("CCM")。
例如,ECM可以是操作系统。操作系统ECM可以只允许一个 或多个CCM通过操作系统ECM应用程序编程接口 ("API")执行 安全功能。操作系统ECM被设计为通过其他计算模块排除与SCM 之间执行的所有安全功能。
令人遗憾的是,诸如旧式服务和应用程序之类的许多计算模块没 有被设计为通过ECM进行操作。不通过ECM执行安全功能的计 算模块是非相容计算模块("CCM,,) 。 NCM可以是在ECM之前创 建的旧式计算模块。例如,在设计ECM API之前创建的NCM不 能通过ECM API执行安全功能。
具有与SCM之间执行安全功能的ECM的安全数据处理设备 不能也具有与SCM之间执行安全功能的NCM。在一个实施例中, 如果NCM尝试直接与SCM之间执行安全功能,则NCM将被拒绝 执行安全功能。在另一个实施例中,如果NCM直接与SCM之间执 行安全功能,则ECM将检测安全功能事务。ECM可以判断,SCM 的安全性被损害,并与SCM之间停止安全功能事务,防止ECM和 任何CCM执行安全功能,以保护敏感数据。
数据处理i殳备可以包括两个或更多SCM以允许ECM和 NCM两者执行安全功能。ECM用第一 SCM执行安全功能。NCM 用第二 SCM执行安全功能。ECM不阻止NCM执行安全功能。 NCM安全功能事务也不会导致ECM判断第一 SCM的安全性被 损害。ECM和NCM两者都可以执行安全功能。令人遗憾的是,数 据处理设备至少要求两个SCM以允许ECM和NCM执行安全功 能,从而增大了数据处理设备的复杂性和成本。
所需要的是允许ECM和NCM两者用单一的SCM执行安 全功能的方法、设备和系统。还需要这样的方法、设备和系统,它们 还允许ECM和NCM两者在单一的SCM上执行安全功能,而不
会实际损害SCM的安全性或显著地损害SCM的安全性。优选情况下,这样的进程、i更备和系统将允许NCM和ECM两者用单一的 SCM成功地执行安全功能,从而会降低数据处理设备中的安全计算 的成本。
发明内容
本发明是在响应当前的技术状况而开发出来的,具体来说,响应 当前的安全计算模块还没有完全解决的技术中的问题和需求而产生 的。相应地,本发明提供这样的进程、设备和系统,以允许排他的计 算模块("ECM")和非相容计算模块("NCM")执行安全功能,克 服了当前技术中上文所讨论的许多缺点或全部缺点。
用于进行安全数据处理的设备配备有包含多个模块的逻辑单元, 被配置为在功能上执行硬件/软件模块("计算模块,,)的所必需的步骤, 设置安全计算模块("SCM")的上下文,并执行安全功能。在所描述 的实施例中的这些模块包括安全功能模块("SFM")、通信模块和上 下文模块。
该设备可以是SCM,并用一个或多个计算模块执行安全功能。 计算模块可以包括诸如微处理器、通信信道、逻辑电路、软件内核、
操作系统软件和软件应用程序之类的硬件和软件模块。通信模块在执 行安全功能的计算模块和SFM之间进行通信。在一个实施例中,计 算模块启动与设备之间执行安全功能的过程。计算模块可以通过用电 子信号给通信模块编址来启动执行安全功能的过程。计算模块还可以 通过将软件数据写入到通信模块中来启动执行安全功能的过程。
计算模块可以是ECM。 ECM被设计为与i殳备之间排他地执行 安全功能。此外,ECM被设计为阻止所有其他计算模块与设备之间 执行安全功能,通过ECM的情况除外。此外,如果ECM检测到 任何其他计算模块与设备之间执行了安全功能,则ECM可以判断, 设备的安全性被损害。计算模块也可以是NCM。 NCM与设备之间 执行安全功能。NCM不通过ECM执行安全功能。
上下文模块标识计算模块。在一个实施例中,上下文模块从通信模块接收身份。在另一个实施例中,上下文模块直接从计算模块接收
身份。上下文模块将SFM的上下文设置为计算模块上下文。例如, 上下文模块可以将SFM的上下文设置为ECM上下文。ECM能够 与SFM之间执行安全功能,因为SFM处于ECM上下文中。
ECM不检测第二计算模块的安全功能事务,不能访问第二计算 模块的敏感数据,如加密数据和加密密钥。第二计算模块可以是 NCM。或者,上下文模块可以将SFM的上下文设置为NCM上下 文,可使NCM与SFM之间执行安全功能。NCM也不检测ECM 的安全功能事务,并且不能访问ECM的敏感数据。
在 一个实施例中,计算模块启动与设备之间执行安全功能的过 程,每次启动安全功能事务时,设备都完成安全功能事务。在另一个 实施例中,设备仲裁计算模块执行安全功能的权限。例如,启动与设 备之间执行安全功能的ECM可以被设备拒绝执行安全功能,直到设 备完成与NCM之间执行的安全功能事务。
本发明的系统还用于进行安全计算。系统可以以安全的数据处理 设备来实现。具体来说,在一个实施例中,系统包括SCM、 ECM、 和NCM。 ECM和NCM与SCM之间执行安全功能。
ECM可以启动与SCM之间执行安全功能。SCM将SCM的 上下文设置为ECM上下文。ECM在ECM上下文中与SCM之间 执行安全功能。此外,NCM可以启动与SCM之间执行安全功能。 SCM将SCM的上下文设置为NCM上下文,NCM在NCM上 下文中与SCM之间执行安全功能。
ECM与SCM之间执行安全功能,而不检测NCM的安全功能 事务,也不访问NCM敏感数据。NCM还与SCM之间执行安全功 能,而不检测ECM的安全功能事务,也不访问ECM敏感数据。 在一个实施例中,ECM或NCM与SCM之间执行安全功能。在另 一个实施例中,系统可使NCM在ECM执行安全功能时执行安全 功能,并可使在NCM执行安全功能时执行安全功能。
本发明的进程还用于进行安全计算。所说明的实施例中的进程基本上包括执行上文关于所描述的设备和系统的操作提供的功能所需的
步骤。在一个实施例中,进程包括标识计算模块、设置SCM的上下 文,以及执行安全功能。此外,进程可以包括启动安全功能的执行。
在一个实施例中,进程启动安全功能的执行。进程标识启动安全 功能的执行的计算模块,将SCM的上下文设置为计算模块上下文。 此外,进程在计算模块上下文中在计算模块和SCM之间执行安全功 能。
本发明可使ECM和NCM在单一的SCM上执行安全功能, 并可以降低安全数据处理设备的成本。此外,本发明可使NCM用单 一的SCM执行安全功能,该单一的SCM还用ECM执行安全功 能。通过下面的描述和所附的权利要求,本发明的这些特点和优点将 变得显而易见,或者,也可以通过本发明的实践来了解。
用于进行安全数据处理的设备配备有包含多个模块的逻辑单元, 被配置为在功能上执行硬件/软件模块("计算模块,,)的所必需的步骤, 设置安全计算模块("SCM")的上下文,并执行安全功能。在所描述 的实施例中的这些模块包括安全功能模块("SFM")、通信模块和上 下文模块。
该设备可以是SCM,并用一个或多个计算模块执行安全功能。 计算模块可以包括诸如微处理器、通信信道、逻辑电路、软件内核、
操作系统软件和软件应用程序之类的硬件和软件模块。通信模块在执 行安全功能的计算模块和SFM之间进行通信。在一个实施例中,计 算模块启动与设备之间执行安全功能的过程。计算模块可以通过用电 子信号给通信模块编址来启动执行安全功能的过程。计算模块还可以 通过将软件数据写入到通信模块中来启动执行安全功能的过程。
计算模块可以是ECM。 ECM被设计为与i殳备之间排他地执行 安全功能。此外,ECM被设计为阻止所有其他计算模块与设备之间 执行安全功能,通过ECM的情况除外。此外,如果ECM检测到 任何其他计算模块与设备之间执行了安全功能,则ECM可以判断, 设备的安全性被损害。计算模块也可以是NCM。 NCM与设备之间 执行安全功能。NCM不通过ECM执行安全功能。
上下文模块标识计算模块。在一个实施例中,上下文模块从通信模块接收身份。在另一个实施例中,上下文模块直接从计算模块接收
身份。上下文模块将SFM的上下文设置为计算模块上下文。例如, 上下文模块可以将SFM的上下文设置为ECM上下文。ECM能够 与SFM之间执行安全功能,因为SFM处于ECM上下文中。
ECM不检测第二计算模块的安全功能事务,不能访问第二计算 模块的敏感数据,如加密数据和加密密钥。第二计算模块可以是 NCM。或者,上下文模块可以将SFM的上下文设置为NCM上下 文,可使NCM与SFM之间执行安全功能。NCM也不检测ECM 的安全功能事务,并且不能访问ECM的敏感数据。
在 一个实施例中,计算模块启动与设备之间执行安全功能的过 程,每次启动安全功能事务时,设备都完成安全功能事务。在另一个 实施例中,设备仲裁计算模块执行安全功能的权限。例如,启动与设 备之间执行安全功能的ECM可以被设备拒绝执行安全功能,直到设 备完成与NCM之间执行的安全功能事务。
本发明的系统还用于进行安全计算。系统可以以安全的数据处理 设备来实现。具体来说,在一个实施例中,系统包括SCM、 ECM、 和NCM。 ECM和NCM与SCM之间执行安全功能。
ECM可以启动与SCM之间执行安全功能。SCM将SCM的 上下文设置为ECM上下文。ECM在ECM上下文中与SCM之间 执行安全功能。此外,NCM可以启动与SCM之间执行安全功能。 SCM将SCM的上下文设置为NCM上下文,NCM在NCM上 下文中与SCM之间执行安全功能。
ECM与SCM之间执行安全功能,而不检测NCM的安全功能 事务,也不访问NCM敏感数据。NCM还与SCM之间执行安全功 能,而不检测ECM的安全功能事务,也不访问ECM敏感数据。 在一个实施例中,ECM或NCM与SCM之间执行安全功能。在另 一个实施例中,系统可使NCM在ECM执行安全功能时执行安全 功能,并可使在NCM执行安全功能时执行安全功能。
本发明的进程还用于进行安全计算。所说明的实施例中的进程基本上包括执行上文关于所描述的设备和系统的操作提供的功能所需的
步骤。在一个实施例中,进程包括标识计算模块、设置SCM的上下 文,以及执行安全功能。此外,进程可以包括启动安全功能的执行。
在一个实施例中,进程启动安全功能的执行。进程标识启动安全 功能的执行的计算模块,将SCM的上下文设置为计算模块上下文。 此外,进程在计算模块上下文中在计算模块和SCM之间执行安全功 能。
本发明可使ECM和NCM在单一的SCM上执行安全功能, 并可以降低安全数据处理设备的成本。此外,本发明可使NCM用单 一的SCM执行安全功能,该单一的SCM还用ECM执行安全功 能。通过下面的描述和所附的权利要求,本发明的这些特点和优点将 变得显而易见,或者,也可以通过本发明的实践来了解。
附图说明
为了能够轻松地理解本发明的优点,上文简要描述的本发明的比 较特定的说明将通过参考特定实施例来呈现,特定实施例将通过所附 的图形加以说明。理解这些图形只描述了本发明的典型实施例,不应 该被认为是限制本发明的范围,将通过使用附图并结合其他特征和细 节描述和说明本发明,其中:
图1是显示根据本发明的敏感数据处理设备的一个实施例的方
框图;
图2是显示根据本发明的安全计算模块的一个实施例的方框
图;
图3是显示本发明的安全计算模块的另一个实施例的方框图; 图4a是显示根据本发明的加密密钥表的一个实施例的方框图; 图4b是显示根据本发明的加密密钥表的另一个实施例的方框
图;
图4c是显示根据本发明的加密密钥表的另一个实施例的方框
困;图5是显示根据本发明的共享访问方法的一个实施例的流程
图;
图6是显示本发明的安全计算模块的一个实施例的方框图;以
及
图7是显示根据本发明的计算模块的一个实施例的方框图。具体实施方式
本说明书中所描述的许多功能单元被标记为模块,以便更具体地强调它们的实现方式的独立性。例如,模块可以作为硬件电路来实现,包括自定义VLSI电路或门阵列,诸如逻辑芯片、晶体管之类的现成半导体或其他分离的元件。模块也可以以可编程硬件设备来实现,如
现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等等。
模块也可以以供各种类型的处理器执行的软件来实现。可执行代码的标识的模块可以包括计算机指令的一个或多个物理或逻辑块,而计算机指令可以作为对象、过程或函数来組织。尽管如此,标识的模块的可执行程序不必在物理上位于一起,而可以包括存储在不同位置的完全不同的指令,当这些指令在逻辑上联接在一起时,构成了模块并可以获得模块的声明的用途。
实际上,可执行代码的模块可以是单个指令,或许多指令,甚至可以分布在多个不同的代码段中,分布在不同的程序中,以及跨多个存储设备分布。同样,操作数据在这里也可以在模块内标识和说明,并可以以任何适当的形式实现,在任何适当的数据结构类型内组织。操作数据可以作为单个数据集收集,也可以分布在不同的位置,包括分布在不同的存储设备中,也可以至少部分地只作为系统或网络上的
电子信号存在。
图1是显示本发明的安全数据处理设备100的一个实施例的方框图。设备100可使计算模块执行安全功能。计算模块("计算模
块,,)可以包括诸如微处理器、通信信道、逻辑电路、软件内核、操作系统软件和软件应用程序之类的硬件和软件模块。安全数据处理设备100包括非相容计算模块("NCM,, )105、排他的计算模块("ECM,,) 110、和安全计算模块("SCM") 115。此外,正如那些本领域普通技 术人员所知道的,设备100可以包括其他计算模块。虽然安全数据处 理设备100被描述为具有一个NCM 105、 一个ECM 110、 一个 SCM,但是,可以使用任意数量的NCM 105、 ECM 110和SCM 115。 计算模块启动与SCM 115之间执行安全功能的过程。在一个实 施例中,计算模块是ECM110。在另一个实施例中,计算模块是NCM 105。 SCM 115标识计算模块,并将SCM 115的上下文设置为计算 模块上下文。计算模块上下文中的SCM 115能够与计算模块之间执 行安全功能。
例如,ECM 110可以与SCM之间115执行安全功能。SCM 115 标识ECM 110。此外,SCM 115将SCM 115的上下文设置为ECM 110上下文。ECM 110与SCM之间115执行安全功能,因为SCM 115处于ECM 110上下文中,包括与ECM 110的敏感数据之间执 行安全功能。此外,NCM 105可以启动与SCM 115之间执行安全 功能。SCM 115将SCM 115的上下文i殳置为NCM 105上下文。 NCM 105与SCM之间115执行安全功能,因为SCM 115处于 NCM 105上下文中。NCM 105不能使用ECM 110的敏感数据与 SCM之间115执行安全功能。ECM110也不能使用NCM 105的敏 感数据与SCM之间115执行安全功能。
在一个实施例中,SCM 115的上下文是ECM 110上下文或 NCM 105上下文。在另一个实施例中,SCM 115的上下文是ECM 110上下文和NCM 105上下文。敏感数据处理设备100支持计算 模块和SCM 115之间的安全功能执行。
图2是显示根据本发明的SCM 200的一个实施例的方框图。 SCM 200与一个或多个NCM 105和一个或多个ECM 110之间执 行安全功能。SCM200包括安全功能模块("SFM")205、通信模块210 和上下文模块215。
SFM 205通过通信模块210执行安全功能。通信模块210与一个或多个计算模块进行通信。计算模块可以是ECM 110。计算模 块也可以是NCM105。在一个实施例中,计算模块通过通信模块210 启动与SFM205之间执行安全功能的过程。
上下文模块215标识启动安全功能事务的计算模块。在一个实 施例中,上下文模块215与计算模块进行通信。在另一个实施例中, 上下文模块215通过通信模块210标识计算模块。上下文模块215 将SFM205的上下文设置为计算模块上下文。ECM110通过通信模 块210与SFM205之间执行安全功能,因为SFM205处于ECM 110上下文中。在另一个实施例中,NCM105启动通过通信模块210 与SFM 205之间执4亍安全功能的过程,上下文模块215将SFM 205的上下文设置为NCM 105上下文。NCM 105通过通信模块 210与SFM205之间执行安全功能,因为SFM205处于NCM 105 上下文中。
ECM 110与SCM 200之间执行安全功能,而不检测NCM 105 的安全功能事务,也不访问NCM105敏感数据。NCM105也与SCM 200之间执行安全功能,而不检测ECM110的安全功能事务,也不 访问ECM110敏感数据。SCM200支持一个或多个计算模块,包括 执4亍安全功能的ECMllO。在某一实施例中,SCM200是由可信计 算平台联盟("TCPA")所定义的可信平台模块("TPM")。
图3是显示本发明的SCM300的一个实施例的方框图。SCM 300显示了可使一个或多个计算模块执行安全功能的另 一个实施例。 SCM300包括通信模块210、上下文模块215、可信计算模块305和 可信测量模块310。在一个实施例中,可信计算模块305和可信测量 模块310构成了图2的SFM 205。在某一实施例中,SCM 300是 由可信计算组("TCG,,)所定义的可信构件("TBB")。
在一个实施例中,当安全数据处理设备100启动时,可信测量 模块310掌握对安全数据处理设备100的控制。可信测量模块310 可以控制可信计算模块305。在一个实施例中,可信测量模块310是 由TCG所定义的可信测量的核心根。在某一实施例中,可信测量模块310是二进制输入/输出系统("BIOS")模块。
计算模块启动与SCM 300的安全功能事务。上下文模块215 标识计算模块。在一个实施例中,上下文模块215通过通信模块210 标识计算模块,在另一个实施例中,上下文模块215直接与计算模块 进行通信,以标识计算模块。上下文模块215将可信计算模块305 的上下文设置为计算模块上下文。在一个实施例中,可信计算模块305 通过通信模块210与计算模块之间执行安全功能。可信计算模块305 可以是由TCG所定义的可信平台模块("TPM")。
在某一实施例中,计算模块在可信测量模块310的控制下用可 信计算模块305执行安全功能。计算模块可以是ECM110,并可以 与可信计算模块305之间在ECM 110上下文中执行安全功能。此 外,NCM105也可以与可信计算模块305之间在NCM105上下文 中执行安全功能。SCM 300可使包括ECM 110和NCM 105在内 的 一个或多个计算模块执行安全功能。
图4a是显示根据本发明的加密密钥表400的一个实施例的方 框图。加密密钥表400可以存储加密密钥410、说明SCM115的一 个或多个安全功能的安全功能。加密密钥表400包括一个或多个上下 文标识符405和一个或多个加密密钥410。虽然为简单起见显示了五 个上下文标识符405和五个加密密钥410,但是,可以使用任意数量 的上下文标识符405和任意数量的加密密钥410。
在一个实施例中,加密密钥表400存储加密密钥410。在另一 个实施例中,加密密钥表400存储了指向加密密钥410的指针。 ECM110可以执行存储和检索加密密钥410a的安全功能。ECM上 下文标识符405a将加密密钥410a标识为具有ECM 110上下文。 ECM 110可以用ECM 100上下文标识符405a存储和检索加密密 钥410a。 NCM 105还可以存储和检索加密密钥410b。 NCM上下 文标识符405b将加密密钥410b标识为具有NCM上下文标识符 405b。 ECM 110不能用NCM 105上下文标识符405b存储和检索 加密密钥410b。此外,NCM 105不能用ECM 110上下文标识符405a存储和检索加密密钥410a。
图4b是显示根据本发明的加密密钥表400的一个实施例的方 框图。加密密钥表400包括空值项415。空值上下文标识符405c指 出加密密钥410可以存储在空值项415中。在一个实施例中,无论 是ECM 110还是NCM 105都可以将加密密钥410存储在空值项 415中。
图4c是显示根据本发明的加密密钥表400的一个实施例的方 框图。加密密钥表400显示了 NCM 105将加密密钥410d存储在 图4b的空值项415中。在一个实施例中,上下文标识符405d指 出,加密密钥410d具有NCM 105上下文。NCM 105可以存储和 检索加密密钥410d。 ECM 110不能存储和检索加密密钥410d。加 密密钥表400显示了在SCM 115中ECM 110和NCM 105的敏 感数据的隔离。
图5是说明根据本发明的共享访问方法500的一个实施例的 流程图。共享访问方法500可使一个或多个计算模块与SCM115之间 执行安全功能。虽然为了清楚起见,是以某一顺序描述共享访问方法 500的,但也可以平行地执行,而不一定按所描述的顺序执行。
在一个实施例中,共享访问方法500启动502安全功能的执 行。计算模块可以启动502以共享访问方法500执行安全功能。在 某一实施例中,共享访问通过给SCM 115编址来启动502安全功能 的执行。在一个实施例中,共享访问方法500用一个或多个电信号给 SCM 115编址。电信号可以是数字地址总线的信令。在另一个实施例 中,共享访问方法500通过向SCM 115传递数据来启动502安全 功能的执行。
共享访问方法500标识邻5启动502安全功能的执行的计算 模块。在一个实施例中,计算模块是ECMllO。在另一个实施例中, 计算模块是NCM105。共享访问方法500将SCM115的上下文设 置510为计算模块上下文。在一个实施例中,SCM115的上下文是 ECM110上下文。在另一个实施例中,SCM115的上下文是NCM105上下文。
共享访问方法500在SCM 115和^L标识505和设置510为 SCM 115的上下文的计算模块之间执行515安全功能。例如,如果 共享访问方法500标识505 NCM 105,则共享访问方法500将 SCM 115的上下文i殳置510为NCM 105上下文。NCM 105被进 一步允许与SCM 115之间执行515安全功能。共享访问方法500还 可以标识505 ECM 110,将SCM 115的上下文设置510为ECM 110上下文,并可使ECM110与SCM115之间执行515安全功能。 共享访问方法500可使一个或多个计算模块访问SCM115。 ,
图6是显示本发明的SCM 600的一个实施例的方框图。SCM 600显示了使用地址总线605并借助于SCM 600启动安全功能事 务的过程。SCM600包括地址总线605、 一个或多个地址信号610、 数据总线615和一个或多个数据信号620。虽然为简单起见显示了一 个地址总线605、四个地址信号610、 一个数据总线615、以及四个 数据信号620,但是,可以使用任意数量的地址总线605、地址信号 610、数据总线615和数据信号620。
在一个实施例中,地址总线605是敏感数据处理设备100的地 址总线。一个或多个地址信号610可以在地址总线605和SCM600 之间进行传递。在一个实施例中,地址信号610引用如图4中显示 的存储加密密钥410之类的安全功能。SCM 600可以通过到数据总 线615的数据信号620接收加密密钥410。
在某一实施例中,每一个给SCM600编址的计算模块都给独特 的地址集编址。例如,ECM 110可以给SCM 600地址OOOOb到 Olllb编址,其中,地址信号610d是8位。此外,NCM105可以 给SCM600地址1000b到llllb编址。在一个实施例中,地址信 号610d与上下文模块215进行通信。在另一个实施例中,地址信 号610d通过通信模块210与上下文模块215进行通信。地址信号 610d可以向上下文模块215指出启动502与SCM 600之间执行安全 功能的计算模块。例如,ECM 110可以启动502在SCM 600地址0001b上存 储加密密钥410的安全功能的执行。上下文模块215可以根据地址 信号610d判断计算模块是ECM 110。上下文模块215可以将 SCM 600的上下文设置510为ECM 110上下文。ECM 110可以 与SCM 600之间执行515安全功能。SCM 600使用一个或多个地址 信号610以指出启动与SCM600之间安全事务的计算模块。
图7是显示根据本发明的计算模块700的一个实施例的方框 图。计算模块700与SCM 115之间执行安全功能。计算模块700包 括地址模块705、数据模块710和标识模块715。正如那些本领域 普通技术人员所知道的,计算模块还可以包括其他硬件和软件模块。
在一个实施例中,地址模块705给SCM 115的安全功能编址。 给安全功能编址可以启动502安全功能。数据模块710与SCM115 之间传递敏感数据。标识模块715向SCM 115标识计算模块700。
在一个实施例中,标识模块715通过地址模块705标识计算模 块700。例如,标识模块715可以给SCM 115地址的指定范围中的 地址进行编址,以向SCM 115指出计算模块700的身份。在另一个 实施例中,标识模块715可以通过数据模块710向SCM 110传递 诸如命令之类的指定的数据,以向SCM 115指出计算模块700的身 份。SCM 115标识计算模块700,并将SCM 115的上下文设置为计 算模块700上下文。计算模块700在计算模块700上下文中与 SCM 115之间执行安全功能。
本发明可使ECM 110和NCM 105在单一的SCM 115上执 行安全功能,并可以降低安全数据处理设备100的成本。此外,本发 明还可使NCM 105与单一的SCM 115之间执行安全功能,该单一 的SCM 115也可以与ECM 110之间执行安全功能。在不偏离本发 明的精神或基本特征的情况下,本发明可以以其他特定形式来实现。 所描述的实施例在各个方面可以视为只是说明性的,而不是限制性的。 因此,本发明的范围不是由前述的说明书来指出,而是由所附的权利 要求来指出。权利要求的等效内容的含义和范围内的所有变化都将包 括在它们的范围内。
图1是显示根据本发明的敏感数据处理设备的一个实施例的方
框图;
图2是显示根据本发明的安全计算模块的一个实施例的方框
图;
图3是显示本发明的安全计算模块的另一个实施例的方框图; 图4a是显示根据本发明的加密密钥表的一个实施例的方框图; 图4b是显示根据本发明的加密密钥表的另一个实施例的方框
图;
图4c是显示根据本发明的加密密钥表的另一个实施例的方框
困;图5是显示根据本发明的共享访问方法的一个实施例的流程
图;
图6是显示本发明的安全计算模块的一个实施例的方框图;以
及
图7是显示根据本发明的计算模块的一个实施例的方框图。具体实施方式
本说明书中所描述的许多功能单元被标记为模块,以便更具体地强调它们的实现方式的独立性。例如,模块可以作为硬件电路来实现,包括自定义VLSI电路或门阵列,诸如逻辑芯片、晶体管之类的现成半导体或其他分离的元件。模块也可以以可编程硬件设备来实现,如
现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等等。
模块也可以以供各种类型的处理器执行的软件来实现。可执行代码的标识的模块可以包括计算机指令的一个或多个物理或逻辑块,而计算机指令可以作为对象、过程或函数来組织。尽管如此,标识的模块的可执行程序不必在物理上位于一起,而可以包括存储在不同位置的完全不同的指令,当这些指令在逻辑上联接在一起时,构成了模块并可以获得模块的声明的用途。
实际上,可执行代码的模块可以是单个指令,或许多指令,甚至可以分布在多个不同的代码段中,分布在不同的程序中,以及跨多个存储设备分布。同样,操作数据在这里也可以在模块内标识和说明,并可以以任何适当的形式实现,在任何适当的数据结构类型内组织。操作数据可以作为单个数据集收集,也可以分布在不同的位置,包括分布在不同的存储设备中,也可以至少部分地只作为系统或网络上的
电子信号存在。
图1是显示本发明的安全数据处理设备100的一个实施例的方框图。设备100可使计算模块执行安全功能。计算模块("计算模
块,,)可以包括诸如微处理器、通信信道、逻辑电路、软件内核、操作系统软件和软件应用程序之类的硬件和软件模块。安全数据处理设备100包括非相容计算模块("NCM,, )105、排他的计算模块("ECM,,) 110、和安全计算模块("SCM") 115。此外,正如那些本领域普通技 术人员所知道的,设备100可以包括其他计算模块。虽然安全数据处 理设备100被描述为具有一个NCM 105、 一个ECM 110、 一个 SCM,但是,可以使用任意数量的NCM 105、 ECM 110和SCM 115。 计算模块启动与SCM 115之间执行安全功能的过程。在一个实 施例中,计算模块是ECM110。在另一个实施例中,计算模块是NCM 105。 SCM 115标识计算模块,并将SCM 115的上下文设置为计算 模块上下文。计算模块上下文中的SCM 115能够与计算模块之间执 行安全功能。
例如,ECM 110可以与SCM之间115执行安全功能。SCM 115 标识ECM 110。此外,SCM 115将SCM 115的上下文设置为ECM 110上下文。ECM 110与SCM之间115执行安全功能,因为SCM 115处于ECM 110上下文中,包括与ECM 110的敏感数据之间执 行安全功能。此外,NCM 105可以启动与SCM 115之间执行安全 功能。SCM 115将SCM 115的上下文i殳置为NCM 105上下文。 NCM 105与SCM之间115执行安全功能,因为SCM 115处于 NCM 105上下文中。NCM 105不能使用ECM 110的敏感数据与 SCM之间115执行安全功能。ECM110也不能使用NCM 105的敏 感数据与SCM之间115执行安全功能。
在一个实施例中,SCM 115的上下文是ECM 110上下文或 NCM 105上下文。在另一个实施例中,SCM 115的上下文是ECM 110上下文和NCM 105上下文。敏感数据处理设备100支持计算 模块和SCM 115之间的安全功能执行。
图2是显示根据本发明的SCM 200的一个实施例的方框图。 SCM 200与一个或多个NCM 105和一个或多个ECM 110之间执 行安全功能。SCM200包括安全功能模块("SFM")205、通信模块210 和上下文模块215。
SFM 205通过通信模块210执行安全功能。通信模块210与一个或多个计算模块进行通信。计算模块可以是ECM 110。计算模 块也可以是NCM105。在一个实施例中,计算模块通过通信模块210 启动与SFM205之间执行安全功能的过程。
上下文模块215标识启动安全功能事务的计算模块。在一个实 施例中,上下文模块215与计算模块进行通信。在另一个实施例中, 上下文模块215通过通信模块210标识计算模块。上下文模块215 将SFM205的上下文设置为计算模块上下文。ECM110通过通信模 块210与SFM205之间执行安全功能,因为SFM205处于ECM 110上下文中。在另一个实施例中,NCM105启动通过通信模块210 与SFM 205之间执4亍安全功能的过程,上下文模块215将SFM 205的上下文设置为NCM 105上下文。NCM 105通过通信模块 210与SFM205之间执行安全功能,因为SFM205处于NCM 105 上下文中。
ECM 110与SCM 200之间执行安全功能,而不检测NCM 105 的安全功能事务,也不访问NCM105敏感数据。NCM105也与SCM 200之间执行安全功能,而不检测ECM110的安全功能事务,也不 访问ECM110敏感数据。SCM200支持一个或多个计算模块,包括 执4亍安全功能的ECMllO。在某一实施例中,SCM200是由可信计 算平台联盟("TCPA")所定义的可信平台模块("TPM")。
图3是显示本发明的SCM300的一个实施例的方框图。SCM 300显示了可使一个或多个计算模块执行安全功能的另 一个实施例。 SCM300包括通信模块210、上下文模块215、可信计算模块305和 可信测量模块310。在一个实施例中,可信计算模块305和可信测量 模块310构成了图2的SFM 205。在某一实施例中,SCM 300是 由可信计算组("TCG,,)所定义的可信构件("TBB")。
在一个实施例中,当安全数据处理设备100启动时,可信测量 模块310掌握对安全数据处理设备100的控制。可信测量模块310 可以控制可信计算模块305。在一个实施例中,可信测量模块310是 由TCG所定义的可信测量的核心根。在某一实施例中,可信测量模块310是二进制输入/输出系统("BIOS")模块。
计算模块启动与SCM 300的安全功能事务。上下文模块215 标识计算模块。在一个实施例中,上下文模块215通过通信模块210 标识计算模块,在另一个实施例中,上下文模块215直接与计算模块 进行通信,以标识计算模块。上下文模块215将可信计算模块305 的上下文设置为计算模块上下文。在一个实施例中,可信计算模块305 通过通信模块210与计算模块之间执行安全功能。可信计算模块305 可以是由TCG所定义的可信平台模块("TPM")。
在某一实施例中,计算模块在可信测量模块310的控制下用可 信计算模块305执行安全功能。计算模块可以是ECM110,并可以 与可信计算模块305之间在ECM 110上下文中执行安全功能。此 外,NCM105也可以与可信计算模块305之间在NCM105上下文 中执行安全功能。SCM 300可使包括ECM 110和NCM 105在内 的 一个或多个计算模块执行安全功能。
图4a是显示根据本发明的加密密钥表400的一个实施例的方 框图。加密密钥表400可以存储加密密钥410、说明SCM115的一 个或多个安全功能的安全功能。加密密钥表400包括一个或多个上下 文标识符405和一个或多个加密密钥410。虽然为简单起见显示了五 个上下文标识符405和五个加密密钥410,但是,可以使用任意数量 的上下文标识符405和任意数量的加密密钥410。
在一个实施例中,加密密钥表400存储加密密钥410。在另一 个实施例中,加密密钥表400存储了指向加密密钥410的指针。 ECM110可以执行存储和检索加密密钥410a的安全功能。ECM上 下文标识符405a将加密密钥410a标识为具有ECM 110上下文。 ECM 110可以用ECM 100上下文标识符405a存储和检索加密密 钥410a。 NCM 105还可以存储和检索加密密钥410b。 NCM上下 文标识符405b将加密密钥410b标识为具有NCM上下文标识符 405b。 ECM 110不能用NCM 105上下文标识符405b存储和检索 加密密钥410b。此外,NCM 105不能用ECM 110上下文标识符405a存储和检索加密密钥410a。
图4b是显示根据本发明的加密密钥表400的一个实施例的方 框图。加密密钥表400包括空值项415。空值上下文标识符405c指 出加密密钥410可以存储在空值项415中。在一个实施例中,无论 是ECM 110还是NCM 105都可以将加密密钥410存储在空值项 415中。
图4c是显示根据本发明的加密密钥表400的一个实施例的方 框图。加密密钥表400显示了 NCM 105将加密密钥410d存储在 图4b的空值项415中。在一个实施例中,上下文标识符405d指 出,加密密钥410d具有NCM 105上下文。NCM 105可以存储和 检索加密密钥410d。 ECM 110不能存储和检索加密密钥410d。加 密密钥表400显示了在SCM 115中ECM 110和NCM 105的敏 感数据的隔离。
图5是说明根据本发明的共享访问方法500的一个实施例的 流程图。共享访问方法500可使一个或多个计算模块与SCM115之间 执行安全功能。虽然为了清楚起见,是以某一顺序描述共享访问方法 500的,但也可以平行地执行,而不一定按所描述的顺序执行。
在一个实施例中,共享访问方法500启动502安全功能的执 行。计算模块可以启动502以共享访问方法500执行安全功能。在 某一实施例中,共享访问通过给SCM 115编址来启动502安全功能 的执行。在一个实施例中,共享访问方法500用一个或多个电信号给 SCM 115编址。电信号可以是数字地址总线的信令。在另一个实施例 中,共享访问方法500通过向SCM 115传递数据来启动502安全 功能的执行。
共享访问方法500标识邻5启动502安全功能的执行的计算 模块。在一个实施例中,计算模块是ECMllO。在另一个实施例中, 计算模块是NCM105。共享访问方法500将SCM115的上下文设 置510为计算模块上下文。在一个实施例中,SCM115的上下文是 ECM110上下文。在另一个实施例中,SCM115的上下文是NCM105上下文。
共享访问方法500在SCM 115和^L标识505和设置510为 SCM 115的上下文的计算模块之间执行515安全功能。例如,如果 共享访问方法500标识505 NCM 105,则共享访问方法500将 SCM 115的上下文i殳置510为NCM 105上下文。NCM 105被进 一步允许与SCM 115之间执行515安全功能。共享访问方法500还 可以标识505 ECM 110,将SCM 115的上下文设置510为ECM 110上下文,并可使ECM110与SCM115之间执行515安全功能。 共享访问方法500可使一个或多个计算模块访问SCM115。 ,
图6是显示本发明的SCM 600的一个实施例的方框图。SCM 600显示了使用地址总线605并借助于SCM 600启动安全功能事 务的过程。SCM600包括地址总线605、 一个或多个地址信号610、 数据总线615和一个或多个数据信号620。虽然为简单起见显示了一 个地址总线605、四个地址信号610、 一个数据总线615、以及四个 数据信号620,但是,可以使用任意数量的地址总线605、地址信号 610、数据总线615和数据信号620。
在一个实施例中,地址总线605是敏感数据处理设备100的地 址总线。一个或多个地址信号610可以在地址总线605和SCM600 之间进行传递。在一个实施例中,地址信号610引用如图4中显示 的存储加密密钥410之类的安全功能。SCM 600可以通过到数据总 线615的数据信号620接收加密密钥410。
在某一实施例中,每一个给SCM600编址的计算模块都给独特 的地址集编址。例如,ECM 110可以给SCM 600地址OOOOb到 Olllb编址,其中,地址信号610d是8位。此外,NCM105可以 给SCM600地址1000b到llllb编址。在一个实施例中,地址信 号610d与上下文模块215进行通信。在另一个实施例中,地址信 号610d通过通信模块210与上下文模块215进行通信。地址信号 610d可以向上下文模块215指出启动502与SCM 600之间执行安全 功能的计算模块。例如,ECM 110可以启动502在SCM 600地址0001b上存 储加密密钥410的安全功能的执行。上下文模块215可以根据地址 信号610d判断计算模块是ECM 110。上下文模块215可以将 SCM 600的上下文设置510为ECM 110上下文。ECM 110可以 与SCM 600之间执行515安全功能。SCM 600使用一个或多个地址 信号610以指出启动与SCM600之间安全事务的计算模块。
图7是显示根据本发明的计算模块700的一个实施例的方框 图。计算模块700与SCM 115之间执行安全功能。计算模块700包 括地址模块705、数据模块710和标识模块715。正如那些本领域 普通技术人员所知道的,计算模块还可以包括其他硬件和软件模块。
在一个实施例中,地址模块705给SCM 115的安全功能编址。 给安全功能编址可以启动502安全功能。数据模块710与SCM115 之间传递敏感数据。标识模块715向SCM 115标识计算模块700。
在一个实施例中,标识模块715通过地址模块705标识计算模 块700。例如,标识模块715可以给SCM 115地址的指定范围中的 地址进行编址,以向SCM 115指出计算模块700的身份。在另一个 实施例中,标识模块715可以通过数据模块710向SCM 110传递 诸如命令之类的指定的数据,以向SCM 115指出计算模块700的身 份。SCM 115标识计算模块700,并将SCM 115的上下文设置为计 算模块700上下文。计算模块700在计算模块700上下文中与 SCM 115之间执行安全功能。
本发明可使ECM 110和NCM 105在单一的SCM 115上执 行安全功能,并可以降低安全数据处理设备100的成本。此外,本发 明还可使NCM 105与单一的SCM 115之间执行安全功能,该单一 的SCM 115也可以与ECM 110之间执行安全功能。在不偏离本发 明的精神或基本特征的情况下,本发明可以以其他特定形式来实现。 所描述的实施例在各个方面可以视为只是说明性的,而不是限制性的。 因此,本发明的范围不是由前述的说明书来指出,而是由所附的权利 要求来指出。权利要求的等效内容的含义和范围内的所有变化都将包 括在它们的范围内。