【技术实现步骤摘要】
处理单元、电子设备以及安全控制方法
本专利技术涉及处理器领域,更具体而言,涉及一种处理单元、电子设备、计算机可读存储介质以及安全控制方法。
技术介绍
随着智能终端技术的不断发展,各种应用程序(Application,简称为App)为用户带来了便利,随之而来的是用户对这些应用程序的安全性的关注。尤其是在物联网领域、人工智能领域以及其它的一些领域中,对于涉及到一些敏感信息(例如身份信息、财产信息等不希望被他人获取的信息)的应用程序,用户期望这些敏感信息能够得到有效的安全保护。因此,希望可以基于处理器和存储器等硬件结构中建立可信执行环境(TrustedExecutionEnvironment,TEE),用于为需要受保护的应用程序提供具有安全保护功能的执行环境。传统的技术方案主要基于复杂的处理器架构和独立的安全芯片(与处理器芯片分立)建立整个电子设备的TEE,因此在安全芯片与电子设备中其他硬件结构传输信息的过程中,无法保证良好的安全性能,且传输效率较低。
技术实现思路
有鉴于此,本专利技术实施例提供一种处理单元、电子设备、计算机可读存储介质以及安全控制方法,以解决以上问题。为了达到这个目的,第一方面,提供了一种处理单元,包括:处理器,适于运行程序;存储器,与所述处理器耦接,适于提供相互隔离的多个安全区,所述多个安全区包括多个应用安全区,每个所述应用安全区分别被用于运行相应的应用程序,所述多个安全区还包括如下至少之一:运行时安全区,适于提供可调用程序的运行所需的存储空间;密码安全区, ...
【技术保护点】
1.一种处理单元,其特征在于,包括:/n处理器,适于运行程序;/n存储器,与所述处理器耦接,适于提供相互隔离的多个安全区,所述多个安全区包括多个应用安全区,每个所述应用安全区分别被用于运行相应的应用程序,所述多个安全区还包括如下至少之一:/n运行时安全区,适于提供可调用程序的运行所需的存储空间;/n密码安全区,适于提供密码相关程序的运行所需的存储空间,/n其中,所述运行时安全区和所述密码安全区至少具有对所述多个应用安全区的读写权限,每个所述应用安全区不具有对所述运行时安全区和所述密码安全区的读写权限。/n
【技术特征摘要】
1.一种处理单元,其特征在于,包括:
处理器,适于运行程序;
存储器,与所述处理器耦接,适于提供相互隔离的多个安全区,所述多个安全区包括多个应用安全区,每个所述应用安全区分别被用于运行相应的应用程序,所述多个安全区还包括如下至少之一:
运行时安全区,适于提供可调用程序的运行所需的存储空间;
密码安全区,适于提供密码相关程序的运行所需的存储空间,
其中,所述运行时安全区和所述密码安全区至少具有对所述多个应用安全区的读写权限,每个所述应用安全区不具有对所述运行时安全区和所述密码安全区的读写权限。
2.根据权利要求1所述的处理单元,其特征在于,所述可调用程序是面向不同应用程序的共享程序和/或通用驱动程序。
3.根据权利要求1所述的处理单元,其特征在于,所述处理器包括第一处理器核,适于在所述密码安全区内运行面向密码服务的所述密码相关程序。
4.根据权利要求3所述的处理单元,其特征在于,还包括密钥管理组件,适于提供所述密码服务以生成加密/解密结果,
所述第一处理器核与所述密钥管理组件耦接,并通过在所述密码安全区内运行所述密码相关程序将所述加密/解密结果写入相应的所述应用安全区中。
5.根据权利要求3所述的处理单元,其特征在于,所述处理器还包括第二处理器核,适于在所述多个应用安全区内分别运行相应的应用程序。
6.根据权利要求5所述的处理单元,其特征在于,所述第二处理器核是基于RISC-V指令集架构实现的。
7.根据权利要求5所述的处理单元,其特征在于,还包括:
总线结构,与所述第一处理器核、所述第二处理器核以及所述存储器分别耦接。
8.根据权利要求1所述的处理单元,其特征在于,还包括:
地址寄存器,用于存储每个所述安全区对应的地址信息;以及
权限寄存器,用于存储每个所述安全区的权限信息,所述处理器适于根据所述权限信息指示的访问权限控制每个所述安全区的访问操作,所述访问权限至少包括读写权限和执行权限。
9.根据权利要求8所述的处理单元,其特征在于,所述应用安全区的权限信息被配置以不具有对自身之外的所述应用安全区的访问权限。
10.根据权利要求8所述的处理单元,其特征在于,所述应用安全区的权限信息被配置以具有对所述密码安全区和所述运行时安全区的执行权限,和/或,所述密码安全区和所述运行时安全区的权限信息被配置以具有对所述应用安全区的读写权限和执行权限。
11.根据权利要求8所述的处理单元,其特征在于,所述运行时安全区的权限信息被配置以不具有对所述密码安全区的读写权限,所述密码安全区的权限信息被配置以不具有对所述运行时安全区的读写权限。
12.根据权利要求11所述的处理单元,其特征在于,所述运行时安全区的权限信息被配置以不具有对所述密码安全区的执行权限。
13.根据权利要求8所述的处理单元,其特征在于,所述多个应用安全区中的第一应用安全区向指定的第二应用安全区共享权限信息,使得所述第二应用安全区具有对所述第一应用安全区的临时访问权限。
14.根据权利要求8所述的处理单元,其特征在于,所述处理器适于:
运行操作系统;
在用户模式下运行所述应用程序、所述可调用程序以及所述密码相关程序中的一个或多个;以及
在机器模式下运行安全监控系统,以配置所述地址寄存器和所述权限寄存器,并切换不同所述安全区内的程序对所述处理器的控制权。
15.根据权利要求14所述的处理单元,其特征在于,每个所述安全区的权限信息均被配置以不具有对所述安全监控系统的访问权限,所述应用安全区的权限信息被配置以不具有对所述操作系统的访问权限,所述密码安全区和所述运行时安全区的权限信息被配置以具有对所述操作系统的读写权限和执行权限。
16.根据权利要求14所述的处理单元,其特征在于,还包括启动顺序寄存器,适于存储启动顺序信息,
基于所述启动顺序信息,所述处理器适于在启动过程中首先运行所述安全监控系统,并随后在所述密码安全区内运行所述密码相关程序。
17.根据权利要求1所述的处理单元,其...
【专利技术属性】
技术研发人员:崔晓夏,任轩乐,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。