本发明专利技术公开了一种多核CPU的安全控制方法与装置。其中,该方法包括:接收数据访问请求;若数据访问请求为安全访问请求,通过安全集群执行安全访问请求;若数据访问请求为非安全访问请求,则通过非安全集群执行非安全访问请求。本发明专利技术解决了相关技术中采用信任区安全机制需要修改微控制器总线结构以响应安全控制信号且信号使用效率较低,容易浪费总线资源的技术问题。技术问题。技术问题。
【技术实现步骤摘要】
多核CPU的安全控制方法与装置
[0001]本专利技术涉及芯片安全
,具体而言,涉及一种多核CPU的安全控制方法与装置。
技术介绍
[0002]为了提高多核CPU的安全性,现有技术中通常采用信任区(TrustZone)安全机制,图1是根据现有技术的一种基于TrustZone安全机制的芯片安全控制架构的示意图,如图1所示,TrustZone将系统级芯片SoC的硬件和软件资源划分为安全(Secure World)和非安全(Normal World)两个世界,所有需要保密的操作在安全世界执行(如指纹识别、密码处理、数据加解密、安全认证等),其余操作在非安全世界执行(如用户操作系统、各种应用程序等),安全世界和非安全世界通过一个名为Monitor Mode的模式进行转换。而TrustZone安全机制的基础设施是基于AXI总线增加了安全控制信号来控制,与总线连接的相关器件都需要适配修改以响应该安全控制信号。整体改动较大,而且实际使用过程中该信号使用效率并不高,浪费了总线资源。
[0003]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0004]本专利技术实施例提供了一种多核CPU的安全控制方法与装置,以至少解决相关技术中采用信任区安全机制需要修改微控制器总线结构以响应安全控制信号且信号使用效率较低,容易浪费总线资源的技术问题。
[0005]根据本专利技术实施例的一个方面,提供了一种多核CPU的安全控制方法,所述多核CPU划分为安全集群与非安全集群,包括:接收数据访问请求;若所述数据访问请求为安全访问请求,通过所述安全集群执行所述安全访问请求;若所述数据访问请求为非安全访问请求,则通过所述非安全集群执行所述非安全访问请求。
[0006]可选地,若所述数据访问请求为安全访问请求,通过所述安全集群执行所述安全访问请求,包括:在安全访问请求包括访问安全存储空间的情况下,则将中断直接上报给所述安全集群并由所述安全集群执行所述安全访问请求。
[0007]可选地,若所述数据访问请求为安全访问请求,通过所述安全集群执行所述安全访问请求,包括:在安全访问请求包括数据安全服务的情况下,则将信号上报给所述非安全集群,由所述非安全集群向所述安全集群发出请求,再执行数据以及将执行后的数据返回至第二安全存储空间,以及通过所述安全集群认证后,所述非安全集群访问所述第二安全存储空间。
[0008]根据本专利技术实施例的另一方面,还提供了一种多核CPU的安全控制方法,包括:将多核CPU划分为安全集群和非安全集群,其中,所述安全集群包括所述多核CPU中的至少一个内核,所述非安全集群包括所述多核CPU中对应的其他内核;配置所述安全集群和非安全集群的权限,以使所述安全集群用于执行数据访问请求中的安全访问请求,所述非安全集
群用于执行数据访问请求中的非安全访问请求。
[0009]可选地,在所述安全访问请求包括访问安全存储空间的情况下,配置所述安全集群的权限,包括:配置所述安全集群执行所述安全访问请求的操作。
[0010]可选地,在所述安全访问请求包括数据安全服务的情况下,配置所述安全集群的权限,包括:配置经所述安全集群认证前后执行所述安全访问请求的操作。
[0011]根据本专利技术实施例的另一方面,还提供了一种多核CPU的安全控制装置,所述多核CPU划分为安全集群与非安全集群,包括:接收模块,用于接收数据访问请求;第一处理模块,用于若所述数据访问请求为安全访问请求,通过所述安全集群执行所述安全访问请求;第二处理模块,用于若所述数据访问请求为非安全访问请求,则通过所述非安全集群执行所述非安全访问请求。
[0012]根据本专利技术实施例的另一方面,还提供了一种多核CPU的安全控制装置,包括:划分模块,用于将多核CPU划分为安全集群和非安全集群,其中,所述安全集群包括所述多核CPU中的至少一个内核,所述非安全集群包括所述多核CPU中对应的其他内核;配置模块,用于配置所述安全集群和非安全集群的权限,以使所述安全集群用于执行数据安全访问请求,所述非安全集群用于执行数据非安全访问请求。
[0013]根据本专利技术实施例的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行上述中任意一项所述的多核CPU的安全控制方法。
[0014]根据本专利技术实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述中任意一项所述的多核CPU的安全控制方法。
[0015]在本专利技术实施例中,多核CPU划分为安全集群与非安全集群,采用接收数据访问请求;若数据访问请求为安全访问请求,通过安全集群执行安全访问请求;若数据访问请求为非安全访问请求,则通过非安全集群执行非安全访问请求,通过将多核CPU划分为安全集群与非安全集群,并通过安全集群执行数据访问请求中的安全访问请求或者通过非安全集群执行数据访问请求中的非安全访问请求,达到了在不用修改微控制器总线结构,也没有另外增加新的CPU来处理安全相关事务的情况下,隔离安全与非安全内核的物理和软件资源访问的目的,从而实现了实现相对简单,成本开销较小的技术效果,进而解决了相关技术中采用信任区安全机制需要修改微控制器总线结构以响应安全控制信号且信号使用效率较低,容易浪费总线资源的技术问题。
附图说明
[0016]此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:
[0017]图1是根据现有技术的一种基于TrustZone安全机制的芯片安全控制架构的示意图;
[0018]图2是根据本专利技术实施例的一种多核CPU的安全控制方法的流程图;
[0019]图3是根据本专利技术实施例的另一种多核CPU的安全控制方法的流程图;
[0020]图4是根据本专利技术实施例的一种多核CPU的安全控制装置的示意图;
[0021]图5是根据本专利技术实施例的另一种多核CPU的安全控制装置的示意图;
[0022]图6是根据本专利技术实施例的芯片安全控制架构的示意图。
具体实施方式
[0023]为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。
[0024]需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种多核CPU的安全控制方法,其特征在于,所述多核CPU划分为安全集群与非安全集群,包括:接收数据访问请求;若所述数据访问请求为安全访问请求,通过所述安全集群执行所述安全访问请求;若所述数据访问请求为非安全访问请求,则通过所述非安全集群执行所述非安全访问请求。2.根据权利要求1所述的方法,其特征在于,若所述数据访问请求为安全访问请求,通过所述安全集群执行所述安全访问请求,包括:在安全访问请求包括访问安全存储空间的情况下,则将中断直接上报给所述安全集群并由所述安全集群执行所述安全访问请求。3.根据权利要求1所述的方法,其特征在于,若所述数据访问请求为安全访问请求,通过所述安全集群执行所述安全访问请求,包括:在安全访问请求包括数据安全服务的情况下,则将信号上报给所述非安全集群,由所述非安全集群向所述安全集群发出请求,再执行数据以及将执行后的数据返回至第二安全存储空间,以及通过所述安全集群认证后,所述非安全集群访问所述第二安全存储空间。4.一种多核CPU的安全控制方法,其特征在于,包括:将多核CPU划分为安全集群和非安全集群,其中,所述安全集群包括所述多核CPU中的至少一个内核,所述非安全集群包括所述多核CPU中对应的其他内核;配置所述安全集群和非安全集群的权限,以使所述安全集群用于执行数据访问请求中的安全访问请求,所述非安全集群用于执行数据访问请求中的非安全访问请求。5.根据权利要求4所述的方法,其特征在于,在所述安全访问请求包括访问安全存储空间的情况下,配置所述...
【专利技术属性】
技术研发人员:吕辉,
申请(专利权)人:湖南国科微电子股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。