DVFS功率管理的方法及对应的系统技术方案

本公开的实施例涉及DVFS功率管理的方法及对应的系统。在一个实施例中，片上系统包括动态电压和频率缩放(DVFS)电源、安全环境、非安全环境以及电源管理控制模块。安全环境被配置成生成安全指令，该安全指令定义用于DVFS电源的电压和频率的允许的操作点。非安全环境被配置成生成修改DVFS电源的请求，其中修改请求包括电压‑频率操作点。电源管理控制模块被配置成：响应于修改DVFS电源的请求，将DVFS电源缩放到允许操作点。

【技术实现步骤摘要】
DVFS功率管理的方法及对应的系统相关申请的交叉引用本申请要求2018年10月01日提交的法国专利申请号1859052的优先权权益，该申请通过引用并入本文。
实施方式和实施例涉及管理用于片上系统的“DVFS”(动态电压和频率缩放)类型的电源。
技术介绍
片上系统(SOC)需要安全设备来保护机密数据和敏感信息免于复制专有内容。所连接的对象特别是汽车领域特别敏感。Tang等人在第26届USENIX安全研讨会(2017年08月)上发表的出版物“CLKscrew：Exposingtheperilsofsecurity-obliviousenergymanagement”(ISBN:978-1-931971-40-9)描述了当前片上系统的安全脆弱性。上面提到的安全脆弱性涉及由动态电压和频率缩放(DVFS)技术供电的系统。片上系统可以包括计算单元，在该计算单元中，安全环境被设计成在没有认证的情况下不可访问，并且非安全环境从外部可访问，例如，以用于运行软件应用或与第三方装置建立通信。例如，安全环境在输入-输出接口处包括硬件保护机制，诸如用于过滤经认证或未经认证的数据的寄存器。另外，与安全环境通信的安全性基本上基于加密算法(诸如，高级加密标准AES或加密标准RSA)。安全环境通常用术语“可信执行环境”来指代，并且非安全环境通常用术语“富执行环境”来指代。这两个环境可以属于同一计算单元，诸如微处理器。图1图示了系统的示例，该系统包括安全环境TEE和非安全环境REE，安全环境TEE和非安全环境REE属于同一计算单元CPU，并且共享DVFS动态电压和频率缩放类型的电源域DAP。在共享电源域DAP中，电压和频率变化VFS可以由非安全环境REE控制。例如，非安全环境由诸如Linux的操作系统管理，该操作系统提供这种类型的DVFS电源控制。由非安全环境REE进行DVFS电源控制对于优化能耗是有用的，因为可动态地适配系统每次使用的性能。但是，上面提到的Tang等人的出版物揭示了存在一种攻击，该攻击包括通过来自非安全环境REE的非安全代码指令CNS来修改DVFS电源的电压和频率VFS。这样排序的变化VFS使得在安全环境TEE中的处理期间引入目标错误成为可能，通过在给定操作上进行精确同步使得破坏安全环境TEE的安全性所基于的加密成为可能。换句话说，DVFS电源被用于通过非安全环境REE来将安全环境TEE推到其工作电源的极限，从而在安全环境的逻辑中产生时间协调误差。“破坏加密”被理解为例如意指秘密加密密钥的重构。然后，使用加密密钥，“非安全”第三方软件可以访问安全环境TEE并享受其特权。应当指出，这种攻击完全由软件实施，并且可以经由网络访问远程执行，这使它更加危险。而且，应当注意，攻击的关键参数首先是由非安全环境REE进行的DVFS电源控制，其次是用于将错误引入与安全环境TEE的给定操作同步的准确计时。在Tang等人的上述出版物中提出了防止这种攻击的解决方案。提出了在硬件级别上引入对DVFS电源的可能变化进行操作限制，以便使其不可能生成引入故障的任何电压-频率对。但是，一方面，操作限制在同一生产中可能会变化(特别是由于制造过程的变化)，因此很难确定先验。另一方面，DVFS电源通常由具有不同约束和需求的多个系统使用，这与物理固定值不兼容。还提出了针对安全环境TEE和非安全环境TEE使用不同的电源域。当安全环境TEE活跃时，使用物理分离的电源。由于安全环境TEE和非安全环境REE通常在同一处理器CPU上运行，因此这种解决方案操作起来复杂。另外，用于生产专用于安全环境TEE的电源的表面积很大，这是有问题的。还提出了将随机化程序引入安全环境TEE，其将随机数目的非操作指令添加到算法中。执行时间发生变化，并且使攻击的同步复杂化。该解决方案不能保护安全环境TEE免受使用执行简档化(profiling)的形式的攻击。另外，该解决方案在安全环境TEE中引入了延迟和性能损失。最后，提出了引入一些执行的冗余并监控这些冗余。如果结果中的一个结果由于经由DVFS电源引入的错误而不同，则可以检测到该错误。这种解决方案引入了延迟和性能损失。多次执行算法必然会增加执行时间，并且除该延迟外还会增加向其分配的能耗。
技术实现思路
实施方式和实施例用于解决上述Tang等人的出版物中描述的片上系统的安全性问题，而不遭受其中提出的解决方案的缺点。根据一个方面，在这方面，提供了一种用于管理“DVFS”动态电压和频率缩放类型的电源的方法，方法包括由非安全环境生成用以修改DVFS电源的请求，并且DVFS电源管理控制包括：由安全环境生成安全指令，该安全指令定义用于DVFS电源的至少一个允许的电压-频率操作点；以及响应于用以修改DVFS电源的请求，将DVFS电源缩放到允许操作点。换句话说，无论由非安全环境生成的用以修改DVFS电源的请求是什么，DVFS电源始终会被缩放到由安全环境定义的“允许”操作点。因此，安全环境能够根据每种硬件实施方式来定义允许操作点，以便在引入系统故障的条件下无法配置DVFS电源。因此，根据该方面提供的解决方案使得可以根据其硬件约束为每个片上系统优化DVFS电源，而无需修改DVFS电源级。因此，DVFS电源级技术可以与根据该方面实施电源管理的不同的片上系统一起使用，并且仍然受益于其针对不同系统的电源多功能性。另外，由于未修改安全环境的其他算法，因此根据该方面提供的解决方案对系统性能没有影响。根据一种实施方式，由安全环境为DVFS电源的允许操作点分配相应的标签，并且如果用以修改DVFS电源的请求包括该允许操作点的标签，则DVFS电源被缩放到允许操作点。如果用以修改DVFS电源的请求不包括允许操作点的标签，则DVFS电源不可以被缩放。就与现有系统的兼容性而言，这种实施方式是有利的，因为来自非安全环境的用以修改DVFS电源的请求仅通过使用标签来进行适配。根据一种实施方式，如果用以修改DVFS电源的请求与允许操作点不同，则DVFS电源被缩放到最接近的允许操作点。例如，安全环境接收请求，定义最接近的允许操作点，并控制到该最接近的操作点的DVFS电源。这种实施方式在操作点的选择上是有利的。根据一种实施方式，在非安全环境启动之前，所述安全指令由安全环境生成。实际上，安全环境通常在非安全环境之前启动，并且该实施方式确保了定义允许操作点的所述安全指令的完整性。根据一种实施方式，安全指令定义专用于安全环境的允许的电压-频率操作点，并且，如果安全处理由安全环境执行，则DVFS电源的所述缩放包括：将DVFS电源缩放到专用于安全环境的该允许操作点；以及响应于用以修改DVFS电源的请求，不从专用于安全环境的该允许操作点修改DVFS电源。换句话说，这种实施方式允许用以修改DVFS电源的请求完全自由，但是如果由安全环本文档来自技高网...

【技术保护点】
1.一种用于管理动态电压和频率缩放(DVFS)电源的方法，所述方法包括：/n由安全环境生成安全指令，所述安全指令定义用于所述DVFS电源的电压和频率的允许操作点；/n由非安全环境生成用以修改所述DVFS电源的请求，用以修改的所述请求包括电压-频率操作点；以及/n响应于用以修改所述DVFS电源的所述请求，将所述DVFS电源缩放到所述允许操作点。/n

【技术特征摘要】
20181001 FR 18590521.一种用于管理动态电压和频率缩放(DVFS)电源的方法，所述方法包括：
由安全环境生成安全指令，所述安全指令定义用于所述DVFS电源的电压和频率的允许操作点；
由非安全环境生成用以修改所述DVFS电源的请求，用以修改的所述请求包括电压-频率操作点；以及
响应于用以修改所述DVFS电源的所述请求，将所述DVFS电源缩放到所述允许操作点。


2.根据权利要求1所述的方法，还包括
由所述安全环境为所述允许操作点分配标签；
确定用以修改的所述请求是否包括所述允许操作点的所述标签；
响应于确定用以修改的所述请求包括所述允许操作点的所述标签，缩放到所述允许操作点；以及
在所述允许操作点操作所述安全环境。


3.根据权利要求2所述的方法，还包括：
响应于确定用以修改的所述请求不包括所述允许操作点的所述标签，在不缩放到所述允许操作点的情况下，操作所述安全环境。


4.根据权利要求1所述的方法，其中所述安全指令还定义用于所述DVFS电源的附加电压-频率允许操作点，并且其中所述方法还包括：响应于确定用以修改的所述请求中的所述电压-频率操作点与所述允许操作点不同，缩放到所述允许操作点中的最接近的一个操作点。


5.根据权利要求1所述的方法，其中所述安全指令在所述非安全环境的启动之前由所述安全环境生成。


6.根据权利要求1所述的方法，其中所述安全指令定义专用于所述安全环境的允许的电压-频率操作点，并且当由所述安全环境执行安全处理时，所述DVFS电源的缩放包括：
将所述DVFS电源缩放到专用于所述安全环境的所述允许操作点；以及
响应于用以修改所述DVFS电源的所述请求，不从专用于所述安全环境的所述允许操作点修改所述DVFS电源。


7.根据权利要求6所述的方法，还包括：
当所述DVFS电源被缩放到专用于所述安全环境的所述允许操作点时，记录所述DVFS电源的先前配置；以及
当所述安全处理结束时，恢复最后记录的配置。


8.根据权利要求7所述的方法，其中所述先前配置的所述记录和所述最后记录的配置的所述恢复由所述安全环境来执行。


9.一种片上系统，包括：
动态电压和频率缩放(DVFS)电源；
安全环境，被配置成生成安全指令，所述安全指令定义用于所述DVFS电源的电压和频率的允许操作点；
非安全环境，被配置成生成用以修改所述DVFS电源的请求，用以修改的所述请求包括电压-频率操作点；以及
电源管理控制模块，被配置成响应于用以修改所述DVFS电源的所述请求，将所述DVFS电源缩放到所述允许操作点。


10.根据权利要求9所述的片上系统，其中所述安全环境被配置成为所述允许操作点分配标签。


11.根据权利要求10所述的片上系统，其中所述电源管理控...

【专利技术属性】
技术研发人员：A·罗赛，G·勒热纳，J·N·格罗，O·C·勒布勒东，
申请(专利权)人：意法半导体大西部公司，
类型：发明
国别省市：法国;FR