一種TrustZone上的內(nèi)存管理方法及裝置的制造方法
【技術領域】
[0001] 本發(fā)明涉及內(nèi)存管理技術領域�����,尤其涉及一種TrustZone (可信域)上的內(nèi)存管理 方法及裝置���。
【背景技術】
[0002] 在帶有TrustZone安全拓展的中央處理器CPU中存在兩個虛擬的處理器核����,分別 是屬于安全執(zhí)行環(huán)境Secure的安全核Secure Core和屬于非安全執(zhí)行環(huán)境Normal的普通 核Normal Core��。為保證系統(tǒng)安全��,普通核Normal Core只能訪問非安全的系統(tǒng)資源���,而安 全核Secure Core可以訪問所有的系統(tǒng)資源�����,CPU中的監(jiān)控模塊Monitor負責在不同執(zhí)行 環(huán)境之間的切換�����。
[0003] TrustZone框架下的內(nèi)存管理如圖1所示���,CPU中的虛擬處理器核在不同的執(zhí)行 環(huán)境下執(zhí)行訪存指令���,訪存指令的虛擬地址中包含NSTID (Non-Secure Table Identifier, "非安全"表ID)項�,標識該訪存指令是"安全"的或者"非安全"的,該虛擬地址通過硬件首先 在TLB (Translation Look-aside Buffer���,轉(zhuǎn)換后備緩沖器��,或稱為快表)中執(zhí)行一次地址 轉(zhuǎn)換��,若找到匹配項則訪問Cache,否則通過MMU(Memory Management Unit��,內(nèi)存管理單元) 找到相應物理地址���,對作為系統(tǒng)內(nèi)存的DRAM(Dynamic Random Access Memory����,S卩動態(tài)隨機 存取存儲器)進行訪問,兩個虛擬處理器核對應兩個MMU�,其地址轉(zhuǎn)換過程是相互獨立的。 AXI (Advanced extensible Interface�����,高級可拓展接口)總線上的設備 TZASC(TrustZone Address Space Controller�����,可信域地址空間控制器)將DRAM劃分為若干安全區(qū)(S)和非 安全區(qū)(N)��,后續(xù)再按照表1所示的控制方式對不同的訪存指令進行響應��,以保證不同執(zhí)行 環(huán)境下的訪存安全:
[0004]表1
[0005]
【主權項】
1. 一種可信域TrustZone上的內(nèi)存管理方法�����,其特征在于���,包括: 可信域地址空間控制器TZASC在內(nèi)存中設置緩沖安全區(qū)���,緩沖安全區(qū)的安全等級介于 內(nèi)存中的安全區(qū)與非安全區(qū)之間;中央處理器CPU中的普通核為訪存指令設置訪問等級�, 不同訪問等級與對緩沖安全區(qū)的不同訪問權限相對應��; 在CPU的非安全執(zhí)行環(huán)境下��,TZASC針對訪問所述緩沖安全區(qū)的訪存指令��,基于所述訪 存指令的訪問等級對應的訪問權限�,執(zhí)行訪存操作�。
2. 根據(jù)權利要求1所述的TrustZone上的內(nèi)存管理方法,其特征在于�,在CPU中設置一 存儲設備,所述存儲設備用于存儲訪存指令的訪問等級��; 所述方法���,還包括: CPU中的普通核在基于訪存指令在內(nèi)存中進行訪存尋址的同時���,還控制所述存儲設備 向TZASC提供所述訪存指令的訪問等級。
3. 根據(jù)權利要求1所述的TrustZone上的內(nèi)存管理方法��,其特征在于��,所述CPU中的普 通核為訪存指令設置訪問等級�,不同訪問等級與對緩沖安全區(qū)的不同訪問權限相對應���,包 括: CPU中的普通核為訪存指令設置兩個W上的訪問等級��,訪存指令的訪問等級從高到底 對應的被授予訪問緩沖安全區(qū)的范圍從大到小�����。
4. 根據(jù)權利要求3所述的TrustZone上的內(nèi)存管理方法��,其特征在于�,CPU中的普通核 為訪存指令設置兩個訪問等級;高訪問等級和低訪問等級���,其中�,高訪問等級被授予訪問緩 沖安全區(qū)的權限����,低訪問等級不被授予訪問緩沖安全區(qū)的權限。
5. 根據(jù)權利要求3所述的TrustZone上的內(nèi)存管理方法���,其特征在于����,所述方法還包 括;TZASC將所述緩沖安全區(qū)分為各子緩沖安全區(qū)�����,各子緩沖安全區(qū)被配置為n個安全等 級�,n > 2 ; CPU中的普通核為訪存指令設置n個訪問等級,訪存指令的訪問等級從高到低對應的 被授予訪問子緩沖安全區(qū)的安全等級范圍從大到小�����。
6. -種TrustZone上的內(nèi)存管理裝置�,其特征在于,包括�; CPU中的普通核,用于為訪存指令設置訪問等級��,不同訪問等級與對緩沖安全區(qū)的不同 訪問權限的對應關系保存在TZASC中�; TZASC,用于在內(nèi)存中設置緩沖安全區(qū)���,緩沖安全區(qū)的安全等級介于內(nèi)存中的安全區(qū)與 非安全區(qū)之間����;在CPU的非安全執(zhí)行環(huán)境下�,TZASC針對訪問所述緩沖安全區(qū)的訪存指令����, 基于所述訪存指令的訪問等級對應的訪問權限��,執(zhí)行訪存操作�。
7. 根據(jù)權利要求6所述的TrustZone上的內(nèi)存管理裝置��,其特征在于��,所述裝置��,還包 括: 存儲設備���,設置于CPU中��,用于存儲訪存指令的訪問等級����; 所述CPU中的普通核����,還用于;在基于訪存指令在內(nèi)存中進行訪存尋址的同時�,還控制 所述存儲設備向TZASC提供所述訪存指令的訪問等級。
8. 根據(jù)權利要求6所述的TrustZone上的內(nèi)存管理裝置,其特征在于����,所述CPU中的普 通核,具體用于: 為訪存指令設置兩個W上的訪問等級��,訪存指令的訪問等級從高到底對應的被授予訪 問緩沖安全區(qū)的范圍從大到小��。
9. 根據(jù)權利要求8所述的TrustZone上的內(nèi)存管理裝置�����,其特征在于�,所述CPU中的普 通核,具體用于: 為訪存指令設置兩個訪問等級����;高訪問等級和低訪問等級,其中�,高訪問等級被授予訪 問緩沖安全區(qū)的權限,低訪問等級不被授予訪問緩沖安全區(qū)的權限���。
10. 根據(jù)權利要求8所述的TrustZone上的內(nèi)存管理裝置�,其特征在于��,所述TZASC,具 體用于:將所述緩沖安全區(qū)分為各子緩沖安全區(qū)����,各子緩沖安全區(qū)被配置為n個安全等級��, n ^ 2 ; 所述CPU中的普通核����,具體用于;為訪存指令設置n個訪問等級����,訪存指令的訪問等級 從高到低對應的被授予訪問子緩沖安全區(qū)的安全等級范圍從大到小。
【專利摘要】本發(fā)明提出了一種TrustZone上的內(nèi)存管理方法及裝置��,該方法包括:TZASC在內(nèi)存中設置緩沖安全區(qū)��,緩沖安全區(qū)的安全等級介于內(nèi)存中的安全區(qū)與非安全區(qū)之間����;中央處理器CPU中的普通核為訪存指令設置訪問等級,不同訪問等級與對緩沖安全區(qū)的不同訪問權限相對應��;在CPU的非安全執(zhí)行環(huán)境下�����,TZASC針對訪問所述緩沖安全區(qū)的訪存指令,基于所述訪存指令的訪問等級對應的訪問權限��,執(zhí)行訪存操作����。發(fā)明與現(xiàn)有技術中相比,降低了中斷產(chǎn)生的幾率�,減少了執(zhí)行環(huán)境切換的頻率,從而提高了CPU的利用率����。
【IPC分類】G06F12-06, G06F21-74
【公開號】CN104573565
【申請?zhí)枴緾N201510033826
【發(fā)明人】申澤奇
【申請人】宇龍計算機通信科技(深圳)有限公司
【公開日】2015年4月29日
【申請日】2015年1月23日