存储器访问安全管理制造技术

本发明专利技术提供一种用于产生访问请求的数据处理设备及方法。所提 供的总线主控器可依据自其外部接收的信号而在数据处理设备的安全 域或非安全域中操作。在总线主控器的正常操作期间把该信号生成为 固定。当总线主控器装置在安全域中操作时，所提供的控制逻辑依据 默认存储器映射或安全定义的存储器区域描述符，可操作以产生与由 总线主控器核心产生的访问请求相关联的域指定信号，该域指定信号 指示是安全访问还是非安全访问。因此，在安全域中操作的总线主控 器可产生安全访问及非安全访问，而无须其本身能在安全及非安全操 作间切换。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及数据处理设备及方法，并且特别涉及对存储器中的安 全与非安全数据的访问进行管理。
技术介绍
通常情况下，由在处理器上运行的至少一个应用程序所使用的数 据项(如指令或数据值)是敏感数据项，它们不应被可在处理器上运行的 其它应用程序访问。其中的 一 个例子是数据处理设备是智能卡而应用 程序之一使用敏感数据(如安全密钥)来执行检验、验证、解密等的安全 应用程序。在这种状况下显然重要的是，确保那些敏感数据安全以致 它们不会^皮其它应用程序-例如为试图访问那些安全数据而加载到该 数据处理设备上的黑客应用程序-访问。在已知系统中，操作系统开发人员的典型任务是确保该操作系统 提供足够的安全性以确保一个应用程序的安全数据不能被在该操作系 统控制下运行的其它应用程序访问。然而，随着系统变得更加复杂， 通常的趋势是使操作系统变得更大更复杂，在这种状况下确保操作系 统本身中足够的安全性就变得日益困难。因此，为了试图减轻对操作系统安全性的依赖，已知的是提供一 种在其中数据处理设备配有分离域的系统，这些域提供一种用于在硬 件层次处理安全性的机制。例如在共同转让的共同待决的美国专利申请10/714,561号中描述了这种系统(其内容纳入此处作为参考)，该申请 描述了一种具有安全域及非安全域的系统。在该系统中，非安全域及 安全域实际上建立分离的世界，其中安全域提供通过硬件强制边界与 其它执行空间分开的可信执行空间，而同样地非安全域提供不可信执 行空间。在指定的非安全域中执行的程序不能访问被识别为安全的数 据。每个访问请求则具有与其相关联的识别该访问是安全访问还是非 安全访问的域安全性信号。问的存储装置(如高速緩沖存储器)，则需要适当的机制以确保存储在这种装置中以供在安全域中操作的程序访问的数据对于在非安全域中操作的程序是不可访问的。共同转让的美国专利申请10/714,481号(其内容 纳入此处作为参考)中描述了 一种数据处理设备，其中在高速緩冲存储 器线中设定额外标志以指示对应数据的安全性。当高速緩冲存储器线 的数据值被写入该高速緩冲存储器(典型作为线填充程序的一部分)时， 相关标志被设定以识别该数据是属于安全存储器访问还是属于非安全 存储器访问。对该高速緩冲存储器中的数据项的访问则是参考该标志 限制的，这样其域安全性信号指示其是安全访问的访问请求仅能参考 由相关(多个)标志所指示的安全高速緩沖存储器线，而类似地其域安全 性信号指示其是非安全访问的访问谪求仅能参考由相关(多个)标志所 指示的非安全高速緩冲存储器线。因此，这种方法防止在非安全域中 操作的程序访问高速緩冲存储器中其相关标志指示其含有安全数据的 任何条目。这一设置避免了在访问该高速緩冲存储器的处理器从安全 域操作转换到非安全域操作之前刷新该高速緩冲存储器的需要。当这种系统用来保护安全数据的安全性时，事实上可能的情况是 希望在安全域和非安全域之间共享一些数据。这种情况的一个实例是 解密程序，其本身必须在安全域中操作，但产生对于非安全域程序可 能是适合进行访问的解密数据。这种数据应被写入非安全存储器区域， 从该区域中该数据可浮皮非安全程序访问。已知的是提供可在安全域及非安全域两者中操作的处理器(具有用 于管理从一个域至另 一个域的转换的特殊监控代码)。在一个这样的系 统中，在安全域中操作的程序可向非安全存储器发布访问请求，并且 把该数据访问请求标为非安全，即使该数据访问请求是从安全域中发 布的。这使得安全程序能将数据写入非安全存储器栈，并且若该数据 被保持在高速緩冲存储器中对于将相关高速緩冲存储器线的标志标为 非安全，则可使得在该处理器(或事实在一不同处理器)上执行的后续非 安全程序可以从该高速緩冲存储器中访问该数据。然而，支持安全域及非安全域二者的处理器的复杂性不仅对于许 多应用程序不必要而且可能出现潜在安全隐患，因为其在安全域或非 安全域中执行程序的能力可能是黑客攻击的对象。再者，避免必须提 供与处理器在安全域及非安全域二者中操作的能力相关的额外逻辑将 是有利的。然而，固定在一个安全性域(即安全域)中的处理器将不具有产生不同域安全性信号的能力，并且事实上一般不会知道该系统中的 多个域。因此，若由该固定域处理器使用的数据要与另一个域中操作 的另一个处理器共享时，则会产生问题。举例来说，假设固定的域处 理器已在安全域中操作，所有自其发出的访问请求可自外部标记为安 全访问。若数据要与非安全程序共享，则这种安全访问将需要被允许 以访问非安全存储器区域。然而，即使这样的访问被允许，若使用高 速緩冲存储器，仍会产生问题，因为存储在高速緩冲存储器中作为固 定安全处理器的动作的结果的任何数据将会具有对应的标为安全的高 速緩冲存储器线标志，因此对于非安全程序将是不可见的。这个问题日7一。、肝/^t刀果疋1^:》及^:-玍si《用爿f文f什百奋曰7>i、 口j向还汰什i2i 域，该不可高速緩存区域将允许安全访问及非安全访问，然而该解决 方案丧失了使用高速緩冲存储器的速度增益及省电益处。因此，希望提供一种技术，其使得简化的处理器能在本身不具备 在安全性域间转换的能力的情况下操作，同时仍保持在其中存在安全 及非安全域和数据的数据处理设备内的灵活操作。
技术实现思路
从第 一方面来看，本专利技术提供一种具有多个域的数据处理设备， 该数据处理设备的若干装置可操作在这多个域中，所述多个域包含至 少一个非安全域及至少一个安全域，在该安全域中所述装置能够访问 从非安全域中所不能访问的安全数据，该数据处理设备包含总线主 控器装置，其固定在特定域中并且当需要访问数据时可操作以发布访 问请求，该访问请求指示所述数据的地址；总线，通过该总线所述访 问请求被路由至从属装置，通过该总线路由的每个访问请求具有与其 相关联的域安全性信号，该域安全性信号识别关于该访问请求的域； 并且所述总线主控器装置具有域控制逻辑，其可操作以接收在该总线 主控器装置外部产生的域指定信号从而识別总线主控器装置所固定在 其中的域，若该域指定信号指示该总线主控器装置固定在该安全域中， 则该域控制逻辑依据由所述访问请求指定的所述地址可操作以选择性 地产生待与所述访问请求相关联的非安全域安全性信号。依据本专利技术，该数据处理设备具有至少一个安全域及一个非安全 域，其中在数据处理设备内标示为安全的数据对于在非安全域中执行的程序是不可访问的。总线主控器装置接收外部线上的信号，其确定 总线主控器装置操作在安全域还是非安全域中。该信号固定总线 主控器以在安全域或非安全域中操作。当该总线主控器装置发布将通 过总线路由到从属装置的访问请求时，域控制逻辑可操作以产生与该 访问请求相关联的域指定信号。若该总线主控器装置是在安全域中操 作，则该域控制逻辑依据由所述访问请求指定的地址可产生非安全域 指定信号。让安全性域由外部信号指定，这就简化了必须在该总线主控器装 置内提供的逻辑。再者，因为其安全性域未在总线主控器装置内部指 定，所以可以1'I1'壬该总线主控器装置照系纟克ii计人员所子贞期的那 样工作，原因在于不论黑客可能意图在总线主控器装置上执行什么样 的恶意代码，切换安全性域(尤其自非安全切换至安全)都非选项。同时， 藉由其域控制逻辑，对于安全本文档来自技高网...

【技术保护点】
一种具有多个域的数据处理设备，该数据处理设备的若干装置可操作在该多个域中，多述多个域包含至少一个非安全域及至少一个安全域，在该安全域中所述装置能够访问从非安全域中所不能访问的安全数据，该数据处理设备包含：　总线主控器装置，其固定在特定 域中并且当需要访问数据时可操作以发布访问请求，该访问请求指定所述数据的地址；　总线，通过该总线所述访问请求被路由至从属装置，通过该总线所路由的每个访问请求具有与其相关联的域安全性信号，该域安全性信号识别关于该访问请求的域；及　所 述总线主控器装置具有域控制逻辑，其可操作以接收在该总线主控器装置外部产生的域指定信号，以识别该总线主控器装置固定在其中的域，若该域指定信号指示该总线主控器装置固定在该安全域中，则该域控制逻辑依据由所述访问请求指定的所述地址，可操作以选择性地产生待与所述访问请求相关联的非安全域安全性信号。

【技术特征摘要】
【国外来华专利技术】2006.9.13 GB 0618042.61.一种具有多个域的数据处理设备，该数据处理设备的若干装置可操作在该多个域中，多述多个域包含至少一个非安全域及至少一个安全域，在该安全域中所述装置能够访问从非安全域中所不能访问的安全数据，该数据处理设备包含总线主控器装置，其固定在特定域中并且当需要访问数据时可操作以发布访问请求，该访问请求指定所述数据的地址；总线，通过该总线所述访问请求被路由至从属装置，通过该总线所路由的每个访问请求具有与其相关联的域安全性信号，该域安全性信号识别关于该访问请求的域；及所述总线主控器装置具有域控制逻辑，其可操作以接收在该总线主控器装置外部产生的域指定信号，以识别该总线主控器装置固定在其中的域，若该域指定信号指示该总线主控器装置固定在该安全域中，则该域控制逻辑依据由所述访问请求指定的所述地址，可操作以选择性地产生待与所述访问请求相关联的非安全域安全性信号。2. 如权利要求1中所述的数据处理设备，其中所述域控制逻辑能 够访问存储器映射和该域安全性信号的指示，该存储器映射识别对于 许多存储器区域的每个的访问控制信息，若指定该存储器区域中的地 址的访问请求是由该总线主控器装置操作在该安全域中时发布的，则 该域安全性信号的指示应该结合该访问请求来发布。3. 如前述任一项权利要求中所述的数据处理设备，其中所述域控 制逻辑能够访问区域描述符，每个区描述符与存储器区域相关联并且 提供用于该存储器区域的区域安全性指示，所述区域描述符可由在该 安全域中执行的预定软件编程，所述域控制逻辑可操作以从所述域指 定信号及用于含有由该访问请求指定的地址的该存储器区域的该区域 描述符的所述区域安全性指示的组合中导出用于每个访问请求的所述 域安全性信号。4. 如权利要求3中所述的数据处理设备，其中当所述域指定信号 指示该总线主控器装置固定在该安全域时，该域控制逻辑依据所述区 域安全性指示可操作地产生所述域安全性信号。5. 如权利要求3或权利要求4中所述的数据处理设备，当其从属 于权利要求2时，其中若所述地址是在具有区域描述符的存储器区域中，则所述域安全性信号从所述区域安全性指示及所述域指定信号的 所述组合中导出，否则所述域安全性信号从自所述存储器映射获得的 所述访问控制信息中导出。6. 如前述任一项权利要求中所述的数据处理设备，其中当所述域 指定信号指示...

【专利技术属性】
技术研发人员：D·柯萧，S·D·贝尔斯，
申请(专利权)人：ARM有限公司，
类型：发明
国别省市：GB