本发明专利技术提出了一种基于关键内存保护机制的微处理器,内置有高速缓存Cache和内存控制器,其特征在于,在所述Cache与所述内存控制器之间的写通道上还配置有写内存保护组件;所述写内存保护组件用于审核从Cache写回到内存的下行数据。本发明专利技术在微处理器的核内配置内存保护组件,禁止受保护的内存区域被篡改,防止内存注入攻击的产生,解决现有安全处理器内部缺少安全机制的问题。
Microprocessor Based on Key Memory Protection Mechanism
【技术实现步骤摘要】
基于关键内存保护机制的微处理器
本专利技术属于计算机安全领域,尤其涉及一种基于关键内存保护机制的安全微处理器。
技术介绍
随着近年来计算机和智能终端的广泛普及,以及互联网技术的高速发展,设备安全的问题也更是日益凸显。而处理器作为计算设备的关键核心,处理器的安全问题将严重影响整个计算设备的安全性。目前,针对处理器的安全技术主要有硬件虚拟化技术和TrustZone技术。例如Intel、AMD等CPU厂商,利用硬件虚拟化技术来实现CPU的安全;硬件虚拟化技术是一种基于指令调度权限管理和控制的安全机制,如虚拟机监视器(VMM,VirtualMachineMonitor,也被称为Hypervisor),专指在使用硬件虚拟化技术时创建出的特权层,该层提供给虚拟机开发者,用来实现虚拟硬件与真实硬件的通信和事件处理,VMM的权限级别要大于操作系统的权限。如图1所示,在Intel虚拟化技术架构中,VMM的权限可被视为处于ring-1级。ARM架构CPU的TrustZone技术,为用户模式和特权模式引入了安全状态标识和判断机制,以决定系统是运行在非安全的“普通”执行环境下,还是运行在安全可信任的“安全”环境下。安全监控器(Monitor)控制着安全与“普通”环境之间的转换,图2为TrustZone模式下两个并行安全环境的示意图。但无论是Intel硬件虚拟化技术,还是ARM的TrustZone技术,本质上都是基于度量验证和安全执行环境构建,无法做到在CPU运行时直接干预CPU核心流水线上的指令执行的实时控制,缺少安全机制直接参与核心流水线的CPU架构。
技术实现思路
有鉴于此,本专利技术的一个目的是提出一种基于关键内存保护机制的微处理器,以解决现有安全处理器内部缺少安全机制的问题。在一些说明性实施例中,所述基于关键内存保护机制的微处理器,内置有高速缓存Cache和内存控制器,在所述Cache与所述内存控制器之间的写通道上还配置有写内存保护组件;所述写内存保护组件用于审核从Cache写回到内存的下行数据。在一些优选地实施例中,所述写内存保护组件包括:写通道控制单元和审核单元;所述写通道控制单元,配置在所述Cache与内存控制器之间的写通道上,且与所述审核单元连接,用于在所述写通道上拦截下行数据,将其送入所述审核单元进行审核;以及将携带审核结果的下行数据送回所述写通道;所述审核单元,用于审核所述下行数据,将该下行数据及其审核结果送回所述控制单元。在一些优选地实施例中,所述写内存保护组件还配置有用于存放需要保护的内存地址的审核表;所述审核单元被配置访问所述审核表,依据所述审核表中的保护地址审核所述下行数据,判断所述下行数据是否篡改受保护的内存区域。在一些优选地实施例中,所述审核表存放在片内缓冲区Buffer中。在一些优选地实施例中,在判定所述下行数据将篡改受保护的内存区域时,所述审核单元还用于修改该下行数据的目标地址;其中,修改后的所述目标地址不在内所述受保护的内存区域。本专利技术的另一个目的在于提出一种计算设备,该计算设备装配有上述任一种微处理器。与现有技术相比,本专利技术具有以下优点:1.本专利技术在微处理器的核内配置内存保护组件,通过对从即将从Cache写入内存的过程中实现对下行数据的审核,解决现有安全处理器内部缺少安全机制的问题;2.本专利技术在微处理器的核内配置内存保护组件,禁止受保护的内存区域被篡改,防止内存注入攻击的产生,解决现有安全处理器内部缺少安全机制的问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是现有技术中硬件虚拟化技术的示意图;图2是现有技术中trustzone技术的示意图;图3是本专利技术实施例中微处理器的结构示意图;图4是本专利技术实施例中内存保护组件的结构示意图;图5是本专利技术实施例中内存保护组件的结构示意图;图6是本专利技术实施例中内存保护组件的结构示意图;图7是本专利技术实施例中微处理器的结构示意图;图8是本专利技术实施例中写内存保护组件的结构示意图;图9是本专利技术实施例中微处理器的结构示意图;图10是本专利技术实施例中微处理器的结构示意图;图11是本专利技术实施例中内存保护方法流程图;图12是本专利技术实施例中微处理器的结构框图;图13是本专利技术实施例中防止内存注入攻击的方法流程图;图14是本专利技术实施例中微处理器的结构框图。具体实施方式以下描述和附图充分地示出本专利技术的具体实施方案,以使本领域的技术人员能够实践它们。其他实施方案可以包括结构的、逻辑的、电气的、过程的以及其他的改变。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选地,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本专利技术的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。在本文中,本专利技术的这些实施方案可以被单独地或总地用术语“专利技术”来表示,这仅仅是为了方便,并且如果事实上公开了超过一个的专利技术,不是要自动地限制该应用的范围为任何单个专利技术或专利技术构思。在以下详细描述中,会提出大量特定细节,以便于提供对本专利技术的透彻理解。但是,本领域的技术人员会理解,即使没有这些特定细节也可实施本专利技术。在其它情况下,没有详细描述众所周知的方法、过程、组件和电路,以免影响对本专利技术的理解。为了可以更快的理解本专利技术的主要思想,现在对本专利技术中所采用的术语进行解释说明:“上行数据”,针对上行数据,本专利技术统一是指经过处理器核心控制从内存提取到,将要写入Cache的数据;“下行数据”,针对下行数据,本专利技术统一是指由处理器核心直接要向内存中写的数据(UnCache的情况)或者是经过处理器核心控制从Cache向内存中写的数据。微处理器(又称中央处理器CPU)从微电子电路的角度描述,微处理器是一块超大规模的集成电路,是计算设备的运算核心和控制核心,主要由运算器(ALU,ArithmeticandLogicUnit)和控制器(CU,controlUnit)两大部件组成,除此之外,还配置若干寄存器、高速缓冲存储器Cache(含CacheL1、CacheL2、共享Cache)、以及实现数据及状态交互的总线,微处理器的功能主要是解释计算机指令和处理计算机软件的数据。现在参照图3,图3示出了本专利技术中具有核内安全机制的微处理器的结构框图,如该结构框图所示,公开了一种微处理器,该微处理器内置有处理器核心(CPUCore)11、高速缓存Cache12、内存控制器13、以及用于审核从内存提取到Cache的上行数据的读内存保护组件14;该读内存保护组件14被设置在Cache12与内存控制器13之间的读通道上。现代的内存控制器13是内置在微处理器CPU的基板上的,CPU核心11从内存中提取数据到Cache12中就必须经过内存控制器13,因此在Cache12与内存控制器13之间的读通道上设置读内存保护组件14,可以分析到所有从内存提取到Cache12的上行数据;另一点,Cache12与内存控制器13之间的读通道是双向的,第一条a是由处理器核心11向内存控制器13发送数据请求,第二条b是由内存控制器13从内存中提取写往Cache12;优选地,本专利技术的本文档来自技高网...
【技术保护点】
1.一种基于关键内存保护机制的微处理器,其特征在于,内置有高速缓存Cache和内存控制器,其特征在于,在所述Cache与所述内存控制器之间的写通道上还配置有写内存保护组件;所述写内存保护组件用于审核从Cache写回到内存的下行数据。
【技术特征摘要】
1.一种基于关键内存保护机制的微处理器,其特征在于,内置有高速缓存Cache和内存控制器,其特征在于,在所述Cache与所述内存控制器之间的写通道上还配置有写内存保护组件;所述写内存保护组件用于审核从Cache写回到内存的下行数据。2.根据权利要求1所述的微处理器,其特征在于,所述写内存保护组件包括:写通道控制单元和审核单元;所述写通道控制单元,配置在所述Cache与内存控制器之间的写通道上,且与所述审核单元连接,用于在所述写通道上拦截下行数据,将其送入所述审核单元进行审核;以及将携带审核结果的下行数据送回所述写通道;所述审核单元,用于审核所述下行数据,将该下行数据及其审核结果送回所述控...
【专利技术属性】
技术研发人员:汪家祥,吴亚坤,李达,杨克学,
申请(专利权)人:中天安泰北京信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。