本发明专利技术涉及一种用于保护数据处理和传送安全的方法和设备,其中:该设备包括本地存储器;总线,可操作来将信息携带到该本地存储器或者从该本地存储器中携带出信息;一个或多个算术处理单元,可以操作来处理数据并且可操作地连接到该本地存储器;以及安全电路,可以操作来将该设备置于操作模式中,其中所述多种操作模式包括:该设备和外部装置可以启动通过总线的、到或者来自存储器的数据传送的第一模式,该设备和外部装置都不可以启动通过总线的、到或者来自存储器的数据传送的第二模式,和该设备可以启动通过总线的、到或者来自存储器的数据传送而外部设备不能启动通过总线的、到或者来自存储器的数据传送的第三模式。
【技术实现步骤摘要】
本专利技术涉及使用多处理器架构来保护数据处理安全以在例如宽带环境中保 护数据处理安全的方法和设备。
技术介绍
实时、多媒体、网络应用正在变得越来越重要。这些网络应用需要诸如每 秒许多千兆比特数据之类的非常快速的处理速度。诸如因特网之类的传统网络 架构和在例如现在在Java模型中实现的编程模型已经使得非常难于达到这种处 理速度。从原则上来说,针对单机(stand-alone )计算设计了传统计算机网络(例如, 在办公网络中所使用的局域网(LAN)和诸如因特网之类的全球网络)的计算 机和计算装置。在计算机网络上共享数据和应用程序(应用)不是这些计算机 和计算装置的原则性设计目标。通常还使用由许多不同制造商(例如,摩托罗 拉、英特尔、德州仪器、索尼等)所制造的许多种不同处理器来设计这些计算 机和计算装置。这些处理器的每一种都具有其自己特定的指令集和指令集架构 (ISA),即,其自己的汇编语言指令的特殊集和用于主要计算单元以及用于执 行这些指令的存储器单元的结构。因此,需要程序员理解每种处理器的指令集 和ISA以为这些处理器编写应用。在今天的计算机网络上的计算机和计算装置 的这种异构组合使得数据和应用的处理和共享变得复杂。而且,通常需要相同 应用的多个版本以适应这种异构环境。连接到全球网络(特别是因特网)的计算机和计算装置的类型是非常广泛 的。除个人计算机(PC)和服务器之外,这些计算装置还包括蜂窝电话、移动计算机、个人数字助理(PDA)、机顶盒、数字电视等。在这些种类的计算机和 计算装置之间共享数据和应用存在严重的问题。作为克服这些问题的努力已经使用了许多技术。这些技术包括高级接口和 复杂编程技术等。这些解决方案通常需要显著增加处理能力以进行实施。它们 还常常导致处理应用和在网络上传送数据所需要的时间的增加。通常,将数据与对应的应用分离地址因特网上进行传送。这种方式避免了 与应用对应的所传送的数据的每个集一起来发送应用的需要。虽然这种方法将 所需要的带宽量最小化,但是其通常导致用户之间的失望。在客户计算机上可 能不能获得用于所传送的数据的正确应用或者最新的应用。这种方法还需要为在网络上的处理器所使用的多个不同ISA和指令集编写每个应用的几个版本。Java模型试图解决这种问题。该模型使用符合严格安全协议的小应用("小 应用程序(applet)")。将小应用程序从服务器计算机通过网络进行发送以由客 户计算机("客户机")运行。为了避免必须发送不同版本的相同的小应用程序 给使用不同ISA的客户机,所有Java小应用程序都在客户机的Java虚拟机上运 行。Java虚拟机是模仿具有Java ISA和Java指令集的计算机的软件。然而,该 软件运行在客户机的ISA和客户机的指令集上。针对客户机的每种不同ISA和 指令集提供Java虛拟机的版本。因此不需要每种小应用程序的多个不同版本。 每个客户机仅仅下载用于其特定ISA和指令集的正确Java虚拟机以运行所有 Java小程序。虽然对必须为每种不同ISA和指令集编写不同版本的应用的问题提供了解 决方案,但是Java处理模型需要客户计算机上的额外层的软件。该额外层的软 件显著降低处理器的处理速度。这种速度的降低对于实时、多媒体应用特别显 著。下载的Java小应用程序还可能包含病毒、处理误操作等。这些病毒和误操 作可以破坏客户机的数据库并且导致其他损坏。虽然在Java模型中所使用的安 全协议试图通过实施软件"沙箱(sandbox)"(即Java小应用程序超过其就不能 写数据的客户机存储器中的空间)来克服这种问题,但是这种软件驱动的安全 模型在其实施中常常是不安全的,甚至需要更多的处理。因此,在现有技术中需要用于在单元(cell)架构中保护数据的处理安全的 新方法和设备
技术实现思路
已经开发了新的计算机(和网络)架构来克服至少某些上述问题。根据这 种新的计算机架构,从公共计算机模块(或者单元)中构造计算机网络的所有 成员,即网络的所有计算机和计算装置。这种公共计算机模块具有相容结构并 且最好使用相同的ISA。网络的成员可以是例如使用计算机处理器的客户机、服务器、PC、移动计算机、游戏机、PAD、机顶盒、电器、数字电视等设备。该 相容模块结构使得能够由网络成员有效、高速地处理应用和数据,以及在网络 上快速传送应用和数据。这种结构还简化了各种规模和处理能力的网络成员的 建造以及用于这些成员的处理的应用的准备。新的计算机架构还使用新的编程模型,其提供用于在网络上传送数据和应 用并且用于在网络成员之间处理数据和应用。这种编程模型针对任何网络成员 的处理使用在网络上传送的软件单元。每个软件单元具有相同的结构并且可以 包含应用和数据两者。作为模块计算机架构所提供的高速处理和传送速度的结 果,可以快速地处理这些单元。用于应用的代码最好基于相同的公共指令集和 ISA。每个软件单元最好包含全局标识(全局ID )和描述该单元的处理所需要的 计算机资源量的信息。由于所有计算资源都具有相同的基本结构并且使用相同 的ISA,所以执行这种处理的特定资源可以位于网络上的任何位置并且进行动态 分配。基本处理模块是处理器元件(PE)。 PE最好包括处理单元(PU)、直接存储 器存取控制器(DMA)和多个附连处理单元(attached processing unit, APU)(诸 如四个APU ),它们都在公共接口地址和数据总线上连接。PU和APU与共享的 动态随机存取存储器(DRAM)互动,该DRAM可以具有纵横架构(cross-bar architecture )。 PU调度和配合APU的数据和应用的处理。APU以并行和独立的 方式执行该处理。DMAC控制PU和APU对共享DRAM中所存储的数据和应 用的存取。根据该模块结构,由网络成员所使用的PE数量基于该成员所需要的处理能 力。例如,服务器可以使用四个PE ,工作站可以使用两个PE,而PAD可以使 用 一个PE。分配用于处理特定软件单元的PE的APU的数量依赖于该单元内的 程序和数据的复杂度和量级。多个PE可以与共享DRAM相关联,并且可以将DRAM分隔为多个部分, 这些部分中的每一个分隔为多个存储体(memory bank )。可以由存储体控制器 来控制DRAM的每个部分,而且PE的每个DMAC可以存取每个存储体控制器。在这种结构中,每个PE的DMAC可以存取共享DRAM的任何部分。DRAM可以包括沙盒以提供针对正在由一个APU所处理的程序的数据对正 在由另一个APU所处理的程序的数据的损坏的安全级别。每个沙盒定义共享 DRAM的一个区域,特定APU或者APU组不能超出该区域读写数据。虽然沙盒的使用提供针对数据破坏的某种安全措施,但是其不应对故意的 软件盗版的问题。由于在给定PE内的多个APU通过公共内部总线连接,所以 在一个APU上运行的软件可以由另一个APU监视。在宽带网络的情况中,最 好在给定PE内的两个和多个APU运行不同的应用程序。为了确保高系统灵活 性,最好允许这些软件程序从诸如不同软件开发^^司之类的不同的实体获得。 在某些实例下,软件开发公司可以保证其软件应用是安全的,而且不被复制或 者另外地监4见。根据本专利技术的一个或多个方面,本文档来自技高网...
【技术保护点】
一种用于保护数据处理和传送安全的设备,包括: 主处理单元; 多个附连处理单元,每个包括本地存储器和解密单元,并且每个都可操作来进入普通操作模式或者安全操作模式;和 共享存储器,其中: 当旁路解密单元的附连处理单元中给 定的一个处于普通模式时,该主处理单元能够启动共享存储器和该给定附连处理单元之间的数据传送,以及 该主处理单元不能:(i)启动从该给定附连处理单元到共享存储器的数据传送;或者(ii)当该给定附连处理单元处于安全模式时,启动从共享存储器到 旁路解密单元的该给定附连处理单元的数据传送。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:铃置雅一,畠山明之,
申请(专利权)人:索尼计算机娱乐公司,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。