计算机架构及其内的访问控制、数据交互及安全启动方法技术

本发明专利技术实施例提供一种计算机架构及其内的访问控制、数据交互及安全启动方法，所述计算机架构包括：多个处理器核，与所述多个处理器核连接的总线，与所述总线连接的主桥，和与所述主桥连接的内存；多个处理器核中的至少一个处理器核为安全处理器核，安全处理器核产生的访问地址为安全访问地址；多个处理器核中的至少一个处理器核为普通处理器核，普通处理器核产生的访问地址为普通访问地址，所述安全访问地址与所述普通访问地址不同；所述安全处理器核和所述普通处理器核通过所述总线与所述主桥进行数据交互；所述主桥基于所述总线传输的安全访问地址和普通访问地址，执行对所述内存的数据访问，所述计算机架构提高了系统的性能。

【技术实现步骤摘要】
计算机架构及其内的访问控制、数据交互及安全启动方法
本专利技术实施例涉及软件安全
，具体涉及一种计算机架构及其内的访问控制、数据交互及安全启动方法。
技术介绍
随着信息技术的发展，特别是云计算技术的发展与普及，使得越来越多的客户把业务系统部署在云端，由此使得涉及云端信息安全的业务例如电子签名、电子合同、在线支付以及数字认证等的重要性日益突出。如何构建可信数字化的安全平台，成为人们关注的技术焦点。虚拟化技术作为一种应用于云端的计算机技术，可通过主机虚拟化出多台虚拟机(VirtualMachine，VM)，以实现对主机的硬件资源的高效利用；同时，在主机中可以设置专门的安全处理器(PlatformSecureProcessor，PSP)，为系统提供固件验签、密钥生成、数据加解密等可信安全业务，以提高平台的安全性。然而，配置有安全处理器的计算机架构的系统性能有待提高。
技术实现思路
有鉴于此，本专利技术实施例提供一种计算机架构及其内的访问控制、数据交互及安全启动方法，能够提高系统性能。为实现上述目的，本专利技术实施例提供如下技术方案：在本专利技术的一个实施例中，提供了一种计算机架构，包括：多个处理器核，与所述多个处理器核连接的总线，与所述总线连接的主桥，和，与所述主桥连接的内存；所述多个处理器核中的至少一个处理器核为安全处理器核，所述安全处理器核产生的访问地址为安全访问地址；所述多个处理器核中的至少一个处理器核为普通处理器核，所述普通处理器核产生的访问地址为普通访问地址，所述安全访问地址与所述普通访问地址不同；所述安全处理器核和所述普通处理器核通过所述总线与所述主桥进行数据交互；所述主桥基于所述总线传输的安全访问地址和普通访问地址，执行对所述内存的数据访问。可选的，所述多个处理器核为同构结构。可选的，所述访问地址包括安全标记位，所述安全访问地址的安全标记位为第一值，所述普通访问地址的安全标记位为第二值。可选的，还包括共享缓存，所述共享缓存包括相互隔离的安全缓存和普通缓存，所述安全缓存仅执行基于所述安全访问地址的数据访问，所述普通缓存仅执行基于所述普通访问地址的数据访问。可选的，所述共享缓存中包括缓存控制器，所述缓存控制器的访问控制逻辑包括：判断访问地址中的安全标记位是否为第一值，若是，则由安全缓存执行对应所述访问地址的访问，若否，则由普通缓存执行对应所述访问地址的访问。可选的，所述内存包括安全专有内存和普通内存，所述安全专有内存仅允许所述安全处理器核访问。可选的，所述主桥包括内存控制器，所述内存控制器包括专有寄存器组，所述专有寄存器组内配置有所述安全专有内存的地址范围；所述内存控制器的控制逻辑包括：所有内存地址允许基于安全访问地址的数据访问，配置在专有寄存器组内的内存地址禁止基于普通访问地址的数据访问。可选的，所有内存地址允许基于安全访问地址的数据访问，配置在专有寄存器组内的内存地址禁止基于普通访问地址的数据访问，具体为：根据所述访问地址的安全标记位，确定对应所述访问地址的访问权限；其中，在所述访问地址的安全标记位为第一值时，确定所述访问地址为安全访问地址，允许执行对所述访问地址的访问；在所述访问地址的安全标记位为第二值时，确定所述访问地址为普通访问地址，判断所述访问地址是否为配置在专有寄存器组内的内存地址，若是，禁止执行对所述访问地址的访问。可选的，还包括安全模块，所述安全模块包括安全控制单元、密钥存储单元和安全启动控制单元；其中，所述安全控制单元用于控制所述安全模块仅允许基于安全访问地址的访问；所述密钥存储单元用于存储固件密钥；所述安全启动控制单元用于执行安全启动初始化进程。可选的，所述安全控制单元用于控制所述安全模块仅允许基于安全访问地址的访问，具体为：根据所述访问地址的安全标记位，判断对应所述访问地址的访问权限；其中，在所述访问地址的安全标记位为第一值时，确定所述访问地址为安全访问地址，允许执行对所述安全模块的访问；在所述安全标记位为第二值时，确定所述访问地址为普通访问地址，禁止执行对所述安全模块的访问。可选的，所述安全处理器核包括高级可编辑中断寄存器，所述高级可编辑中断寄存器用于执行与普通处理器核的交互；其中，所述安全处理器核屏蔽所述高级可编辑中断寄存器的初始化中断消息和启动中断消息。可选的，所述内存还包括安全交互内存，所述安全交互内存用于写入所述安全处理器核与所述普通处理器核的交互数据；所述安全处理器核还包括数据交换寄存器，所述数据交换寄存器配置有所述安全交互内存的地址范围。在本专利技术的一个实施例中，还提供了一种缓存的访问控制方法，所述缓存包括普通缓存和安全缓存，所述方法包括：获取总线传输的访问请求，所述访问请求由多个处理器核中的一个处理器核发送，所述访问请求中包括访问地址；其中，所述多个处理器核中的至少一个处理器核为安全处理器核，所述安全处理器核发送的访问请求中的访问地址为安全访问地址；所述多个处理器核中的至少一个处理器核为普通处理器核，所述普通处理器核发送的访问请求的访问地址为普通访问地址，所述安全访问地址与所述普通访问地址不同；确定所述访问请求中的访问地址是否为安全访问地址；若是，执行对安全缓存的访问；若否，执行对普通缓存的访问。可选的，所述确定所述访问请求中的访问地址是否为安全访问地址，包括：判断访问地址中的安全标记位是否为第一值，在访问地址中的安全标记位为第一值时，确定所述访问地址为安全访问地址，在访问地址中的安全标记位为第二值时，确定所述访问地址非安全访问地址。在本专利技术的一个实施例中，还提供了一种内存的访问控制方法，所述内存包括安全专有内存和普通内存，所述方法包括：获取总线传输的访问请求，所述访问请求由多个处理器核中的一个处理器核发送，所述访问请求中包括访问地址；其中，所述多个处理器核中的至少一个处理器核为安全处理器核，所述安全处理器核发送的访问请求中的访问地址为安全访问地址；所述多个处理器核中的至少一个处理器核为普通处理器核，所述普通处理器核发送的访问请求的访问地址为普通访问地址，所述安全访问地址与所述普通访问地址不同；确定所述访问请求中的访问地址是否为安全访问地址；若是，执行对所述访问地址的数据访问；若否，判断所述访问请求中的访问地址是否为安全专有内存的内存地址，若否，允许执行对所述访问地址的访问，若是，禁止执行对所述访问地址的访问。可选的，所述判断所述访问请求中的访问地址是否为安全专有内存的内存地址，具体为：判断所述访问请求中的访问地址是否为配置在专有寄存器组内的内存地址。可选的，所述确定所述访问请求中的访问地址是否为安全访问地址，具体为：判断所述访问请求中的访问地址的安全标记位是否为第一值，在访问地址中的安全标记位为第一值时，确定所述访问地址为安全访问地址，在访问地址中的安全标记位为第二值时，确定所述访问地址非本文档来自技高网...

【技术保护点】
1.一种计算机架构，其特征在于，包括：/n多个处理器核，与所述多个处理器核连接的总线，与所述总线连接的主桥，和，与所述主桥连接的内存；/n所述多个处理器核中的至少一个处理器核为安全处理器核，所述安全处理器核产生的访问地址为安全访问地址；所述多个处理器核中的至少一个处理器核为普通处理器核，所述普通处理器核产生的访问地址为普通访问地址，所述安全访问地址与所述普通访问地址不同；/n所述安全处理器核和所述普通处理器核通过所述总线与所述主桥进行数据交互；/n所述主桥基于所述总线传输的安全访问地址和普通访问地址，执行对所述内存的数据访问。/n

【技术特征摘要】
1.一种计算机架构，其特征在于，包括：
多个处理器核，与所述多个处理器核连接的总线，与所述总线连接的主桥，和，与所述主桥连接的内存；
所述多个处理器核中的至少一个处理器核为安全处理器核，所述安全处理器核产生的访问地址为安全访问地址；所述多个处理器核中的至少一个处理器核为普通处理器核，所述普通处理器核产生的访问地址为普通访问地址，所述安全访问地址与所述普通访问地址不同；
所述安全处理器核和所述普通处理器核通过所述总线与所述主桥进行数据交互；
所述主桥基于所述总线传输的安全访问地址和普通访问地址，执行对所述内存的数据访问。


2.根据权利要求1所述的计算机架构，其特征在于，所述多个处理器核为同构结构。


3.根据权利要求1所述的计算机架构，其特征在于，所述访问地址包括安全标记位，所述安全访问地址的安全标记位为第一值，所述普通访问地址的安全标记位为第二值。


4.根据权利要求3所述的计算机架构，其特征在于，还包括共享缓存，所述共享缓存包括相互隔离的安全缓存和普通缓存，所述安全缓存仅执行基于所述安全访问地址的数据访问，所述普通缓存仅执行基于所述普通访问地址的数据访问。


5.根据权利要求4所述的计算机架构，其特征在于，所述共享缓存中包括缓存控制器，所述缓存控制器的访问控制逻辑包括：判断访问地址中的安全标记位是否为第一值，若是，则由所述安全缓存执行对应所述访问地址的访问，若否，则由所述普通缓存执行对应所述访问地址的访问。


6.根据权利要求3所述的计算机架构，其特征在于，所述内存包括安全专有内存和普通内存，所述安全专有内存仅允许所述安全处理器核访问。


7.根据权利要求6所述的计算机架构，其特征在于，所述主桥包括内存控制器，所述内存控制器包括专有寄存器组，所述专有寄存器组内配置有所述安全专有内存的地址范围；
所述内存控制器的控制逻辑包括：所有内存地址允许基于安全访问地址的数据访问，配置在专有寄存器组内的内存地址禁止基于普通访问地址的数据访问。


8.根据权利要求7所述的计算机架构，其特征在于，所有内存地址允许基于安全访问地址的数据访问，配置在专有寄存器组内的内存地址禁止基于普通访问地址的数据访问，具体为：
根据所述访问地址的安全标记位，确定对应所述访问地址的访问权限；其中，在所述访问地址的安全标记位为第一值时，确定所述访问地址为安全访问地址，允许执行对所述访问地址的访问；在所述访问地址的安全标记位为第二值时，确定所述访问地址为普通访问地址，判断所述访问地址是否为配置在专有寄存器组内的内存地址，若是，禁止执行对所述访问地址的访问。


9.根据权利要求3所述的计算机架构，其特征在于，还包括安全模块，所述安全模块包括安全控制单元、密钥存储单元和安全启动控制单元；
其中，所述安全控制单元用于控制所述安全模块仅允许基于安全访问地址的访问；所述密钥存储单元用于存储固件密钥；所述安全启动控制单元用于执行安全启动初始化进程。


10.根据权利要求9所述的计算机架构，其特征在于，所述安全控制单元用于控制所述安全模块仅允许基于安全访问地址的访问，具体为：
根据所述访问地址的安全标记位，判断对应所述访问地址的访问权限；其中，在所述访问地址的安全标记位为第一值时，确定所述访问地址为安全访问地址，允许执行对所述安全模块的访问；在所述安全标记位为第二值时，确定所述访问地址为普通访问地址，禁止执行对所述安全模块的访问。


11.根据权利要求1所述的计算机架构，其特征在于，所述安全处理器核包括高级可编辑中断寄存器，所述高级可编辑中断寄存器用于执行与普通处理器核的交互；其中，所述安全处理器核屏蔽所述高级可编辑中断寄存器的初始化中断消息和启动中断消息。


12.根据权利要...

【专利技术属性】
技术研发人员：姜新，应志伟，
申请(专利权)人：海光信息技术股份有限公司，
类型：发明
国别省市：天津;12