处理安全内容的片上系统和包括片上系统的移动装置制造方法及图纸

本发明专利技术提供了一种处理安全内容的片上系统和包括片上系统的移动装置。提供一种移动装置，所述移动装置包括：工作存储器，具有被划分成安全域和非安全域的存储区域；以及片上系统，被配置为访问和处理存储在安全域中的内容。片上系统包括：处理单元，由安全操作系统和非安全操作系统中的至少一个驱动；至少一个硬件块，被配置为根据处理单元的控制来访问所述内容，所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端口；至少一个存储器管理单元，被配置为控制所述至少一个硬件块对所述工作存储器的访问；以及访问控制单元，被配置为设置从端口和主端口的安全属性或者关于所述工作存储器的安全域和非安全域中的每个的访问权限。

【技术实现步骤摘要】
相关申请的交叉引用要求于2012年10月26日提交到韩国知识产权局的第10-2012-0119719号韩国专利申请的优先权，该申请的全部内容通过引用包含于此。
示例性实施例涉及能够处理安全内容的片上系统和包括片上系统的移动装置。
技术介绍
近年来，移动装置诸如智能电话、平板PC、数码相机、MP3播放器、PDA等已增加。移动装置可驱动用于处理各种类型的内容的应用程序。用于阻止非法用户进行访问的安全技术可应用于各种类型的内容。可应用安全技术的内容被称为安全内容。安全内容的提供商会需要移动装置的支持，以能够保护内容不被非法用户或复制者访问，并且使合法用户能够重放内容。此相关现有技术可能必需要针对包括移动装置的硬件和软件的整个系统的保护装置。在相关技术中，在系统中可指定数字版权管理（下文中，称作“DRM”）。对于大多数移动装置，需要DRM。可保护移动装置的特定软件或硬件免受未经批准的访问，以满足DRM要求。举例来说，TrustZone可以是支持上述功能的内容安全方式。然而，在相关技术中，攻击智能电话的安全内容相对容易，在智能电话中，操作系统（OS）结构和代码是开放的。具体地讲，在相关技术中，在用户任意安装应用程序的智能电话环境下，必须安全地处理高质量内容，使其免受安全威胁。
技术实现思路
根据示例性实施例的一方面，提供了一种移动装置，所述移动装置包括：工作存储器，具有被划分成安全域和非安全域的存储区域；以及片上系统，被配置为访问和处理存储在安全域中的内容。片上系统包括：处理单元，由安全操作系统和非安全操作系统中的至少一个驱动；至少一个硬件块，被配置为根据处理单元的控制来访问所述内容，所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端口；至少一个存储器管理单元，被配置为控制所述至少一个硬件块对所述工作存储器的访问；以及访问控制单元，被配置为设置从端口和主端口的安全属性或者关于工作存储器的安全域和非安全域中的每个的访问权限。根据示例性实施例的另一方面，提供了一种移动装置，所述移动装置包括：工作存储器，包括具有非安全域和安全域的存储区域，安全域包括编解码器输入缓冲器、编解码器输出缓冲器和帧缓冲器；以及片上系统，被配置为根据TrustZone安全方式访问安全域或非安全域。片上系统包括：处理单元，支持TrustZone安全方式的访问控制；硬件编解码器，被配置为根据处理单元的控制来处理存储在编解码器输入缓冲器中的数据，并且被配置为将处理后的数据存储在编解码器输出缓冲器中；图像转换器，被配置为转换存储在编解码器输出缓冲器中的数据的图像格式，并且被配置为将图像格式被转换的数据存储在帧缓冲器中；LCD控制器，被配置为在显示器上显示存储在帧缓冲器中的图像格式被转换的数据；以及第一存储器管理单元至第三存储器管理单元，被配置为控制硬件编解码器、图像转换器和LCD控制器对工作存储器的访问，其中，硬件编解码器、图像转换器和LCD控制器中的每个的从端口和主端口被设置成具有不同的安全属性。根据示例性实施例的另一方面，提供了一种访问工作存储器以处理安全内容的片上系统。所述片上系统包括：处理单元，专门被加载到工作存储器上的安全操作系统和非安全操作系统驱动；至少一个硬件块，被配置为根据处理单元的控制重放安全内容；以及存储器保护单元，被配置为限制所述至少一个硬件块对工作存储器的访问，其中，所述至少一个硬件块的从端口被设置成非安全属性，并且所述至少一个硬件块的主端口被设置成安全属性。根据示例性实施例的另一方面，提供了一种根据TrustZone安全方式访问安全域或非安全域的片上系统。所述片上系统包括：处理单元，被配置为支持TrustZone安全方式的访问控制；硬件编解码器，被配置为根据处理单元的控制来处理存储在工作存储器中的数据，并且被配置为将处理后的数据存储在工作存储器中；图像转换器，被配置为转换存储在工作存储器中的处理后的数据的图像格式，并且被配置为将图像格式被转换的数据存储在工作存储器中；LCD控制器，被配置为在显示器上显示存储在工作存储器中的图像格式被转换的数据；以及第一存储器管理单元至第三存储器管理单元，被配置为控制硬件编解码器、图像转换器和LCD控制器对工作存储器的访问。示例性实施例可为安全内容提供高安全级别。可通过修改相关技术的硬件将用于开发高安全级别所需的成本降到最低。另外，可通过使安全域的变化最小来提高安全性和系统安全二者。可通过使安全域和非安全域之间的切换频率最小来降低性能方面的开销。附图说明通过参照下面附图的以下描述，以上和其它目的和特征将变得清楚，其中，除非另外指明，否则在各个附图中，相同的参考标号始终表示相同的部件，并且其中：图1是示意性示出根据实施例的移动装置的框图；图2是示意性示出与图1的设置关联的软件架构的框图；图3是示意性示出根据实施例的移动装置的框图；图4是示意性示出图3的片上系统的软件架构的示图；图5是示意性示出根据实施例的存储器映射的示图；图6是示出硬件编解码器的可访问存储器映射的示图；图7是示出图像转换器的可访问存储器映射的示图；图8是示出LCD控制器的可访问存储器映射的示图；图9是示意性示出根据另一个实施例的片上系统的框图；图10是示意性示出根据又一个实施例的片上系统的框图；图11是示意性示出根据再一个实施例的片上系统的框图；图12是示意性示出包括片上系统的移动装置的框图；以及图13是示出包括安全功能的计算机系统的框图。具体实施方式将参照附图详细描述示例性实施例。然而，实施例可用各种不同形式实施，并且不应该被理解为只限于示出的实施例。相反，提供这些实施例作为示例，使得本公开将是彻底和完全的，并且将把本专利技术构思的构思充分传达给本领域的技术人员。因此，没有相对于一些实施例描述已知的过程、元件和技术。除非另外指明，否则在附图和书面描述中，相同的参考标号始终表示相同的元件，并且参考标号将不重复。在附图中，为了清晰起见，可夸大层和区域的尺寸和相对尺寸。应该理解的是，尽管在这里可使用术语“第一”、“第二”、“第三”等来描述各种元件、组件、区域、层和/或部分，但是这些元件、组件、区域、层和/或部分应该不受这些术语的限制。这些术语只是用来将一个元件、组件、区域、层或部分与另一个区域、层或部分区分开来。因此，在不脱离本专利技术构思的教导的情况下，下面讨论的第一元件、组件本文档来自技高网...

【技术保护点】
一种移动装置，包括：工作存储器，具有被划分成安全域和非安全域的存储区域；以及片上系统，被配置为访问和处理存储在安全域中的内容，其中，芯片上系统包括：处理单元，由安全操作系统和非安全操作系统中的至少一个驱动；至少一个硬件块，被配置为根据处理单元的控制来访问所述内容，所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端口；至少一个存储器管理单元，被配置为控制所述至少一个硬件块对所述工作存储器的访问；以及访问控制单元，被配置为设置从端口和主端口的安全属性或者关于所述工作存储器的安全域和非安全域中的每个的访问权限。

【技术特征摘要】
2012.10.26 KR 10-2012-01197191.一种移动装置，包括：
工作存储器，具有被划分成安全域和非安全域的存储区域；以及
片上系统，被配置为访问和处理存储在安全域中的内容，
其中，芯片上系统包括：
处理单元，由安全操作系统和非安全操作系统中的至少一个驱动；
至少一个硬件块，被配置为根据处理单元的控制来访问所述内容，
所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端
口；
至少一个存储器管理单元，被配置为控制所述至少一个硬件块对所
述工作存储器的访问；以及
访问控制单元，被配置为设置从端口和主端口的安全属性或者关于
所述工作存储器的安全域和非安全域中的每个的访问权限。
2.如权利要求1所述的移动装置，其中，在非安全操作系统中执行用于
控制所述至少一个硬件块的驱动器。
3.如权利要求1所述的移动装置，其中，所述至少一个硬件块的从端口
被设置成非安全属性，并且所述至少一个硬件块的主端口被设置成安全属性。
4.如权利要求1所述的移动装置，其中，所述至少一个存储器管理单元
允许在安全域中从所述至少一个硬件块启动的访问事务中的一部分。
5.如权利要求1所述的移动装置，其中，在安全操作系统中执行用于控
制所述至少一个存储器管理单元和访问控制单元的防火墙驱动器。
6.如权利要求1所述的移动装置，其中，由处理单元在不同时隙执行安
全操作系统和非安全操作系统。
7.如权利要求1所述的移动装置，其中，处理单元根据所述内容的安全
属性来设置访问控制单元。
8.如权利要求1所述的移动装置，其中，访问控制单元包括：
第一访问控制单元，被配置为限定所述至少一个硬件块的安全属性；
第二访问控制单元，被配置为限定关于工作存储器的安全域和非安全域
中的每个的访问权限。
9.如权利要求8所述的移动装置，其中，处理单元支持TrustZone安全

\t方式。
10.根据权利要求9所述的移动装置，其中，第一访问控制单元与
TrustZone保护控制器TZPC相应，第二访问控制单元与TrustZone地址空间
控制器TZASC相应。
11.一种移动装置，包括：
工作存储器，包括具有非安全域和安全域的存储区域，安全域包括编解
码器输入缓冲器、编解码器输出缓冲器和帧缓冲器；以及
片上系统，被配置为根据TrustZone安全方式访问安全域或非安全域，
其中，片上系统包括：
处理单元，支持TrustZone安全方式的访问控制；
硬件编解码器，被配置为根据处理单元的控制来处理存储在编解码
器输入缓冲器中的数据，并且被配置为将处理后的数据存储在编解码器
输出缓冲器；
图像转换器，被配置为转换存储在编解码器输出缓冲器中的数据的
图像格式，并且将图像格式被转换的数据存储在帧缓冲器中；
LCD控制器，被配置为在显示器上显示存储在帧缓冲器中的图像
格式被转换的数据；以及
第一存储器管理单元至第三存储器管理单元，被配置为控制硬件编
解码器、图像转换器和LCD控制器对工作存储器的访问，
其中，硬件编解码器、图像转换器和LCD控制器中的每个的从端
口和主端口被设置成具有不同的安全属性。
12.如权利要求11所述的移动装置，其中，在硬件...

【专利技术属性】
技术研发人员：朴东珍，康明熙，金正泰，吴在律，元钟彬，李润植，
申请(专利权)人：三星电子株式会社，
类型：发明
国别省市：韩国;KR