技術領域

本發明涉及一種安全應用程序，且更明確來說涉及一種可使用單個處理器連同非安全應用程序一起執行的安全應用程序。

背景技術

為提供安全處理環境，某些系統采用兩個單獨的處理器：一個處理器執行安全代碼，且另一處理器執行非安全的代碼。當使用單個處理器時，程序執行有時依賴于經高速緩存的存儲器層級和存儲器管理單元(MMU)以識別存儲器的哪些部分是安全的，且哪些部分是非安全的。此保護了存儲器免于被中央處理單元(CPU)存取，但不限制由其它總線主控器(例如，直接存儲器存取(DMA)控制器和協處理器)存取。因此，運行在所述CPU上的非安全的應用程序可能對DMA控制器或協處理器進行編程以執行存儲器存取，其損害系統的機密性、完整性和可靠性(CIA)。較小的單處理器系統(例如，許多嵌入式系統)可能甚至不提供與高速緩沖存儲器和MMU一起操作的安全益處。

發明內容

根據本發明的實施例，提供一種方法。所述方法包括：在存儲器裝置處從請求的裝置接收存取與所述存儲器裝置相關聯的存儲器域的請求；如果所述存儲器域包括安全域的任何部分，且所述請求的裝置尚未斷言安全傳送指示，則由所述存儲器裝置拒絕所述請求；以及如果所述存儲器域包括所述安全域的某一部分且所述請求的裝置已斷言所述安全傳送指示，或如果所述存儲器域僅包括非安全域，則準予所述請求。

根據本發明的另一實施例，提供一種方法。所述方法包括：從總線主控器將請求發送到存儲器裝置以存取與所述存儲器裝置相關聯的存儲器域；以及如果所述存儲器域包括安全域的任何部分，且所述總線主控器尚未斷言安全傳送指示，則在所述總線主控器處從所述存儲器裝置接收與所述請求相關聯的錯誤通信。

根據本發明的另一實施例，提供一種設備。所述設備包括：襯底；存儲器單元陣列，其由所述襯底支持；以及寄存器，其由所述襯底支持，用以界定將包含在安全域中的所述陣列的子組，其中在與安全傳送指示結合地接收到存取所述安全域的請求后準予對所述安全域的存取。

根據本發明的另一實施例，提供一種系統。所述系統包括：無線收發器；處理器，其用以將數據發送到所述無線收發器；以及非易失性存儲器裝置，其用以存儲所述數據，其中所述非易失性存儲器裝置包括存儲器單元陣列和用以界定將包含在安全域中的所述陣列的子組的寄存器，且其中在從所述處理器與安全傳送指示結合地接收到存取所述安全域的請求后向所述處理器準予對所述安全域的存取。

根據本發明的另一實施例，提供一種計算機可讀媒體。所述計算機可讀媒體其中存儲有用于致使計算機實施一方法的指令，所述方法包括：從總線主控器將請求發送到存儲器裝置以存取與所述存儲器裝置相關聯的存儲器域；以及如果所述存儲器域包括安全域的任何部分，且所述總線主控器尚未斷言安全傳送指示，則在所述總線主控器處從所述存儲器裝置接收與所述請求相關聯的錯誤通信。

附圖說明

圖1說明根據實例性實施例的存儲器圖。

圖2是根據實例性實施例的安全存取設備和系統的框圖。

圖3說明根據實例性實施例具有安全延伸部的寄存器堆。

圖4是根據實例性實施例的各種分布式安全存取方法的流程圖。

圖5是根據實例性實施例的指令執行的流程圖。

圖6是根據實例性實施例包含計算機可讀媒體的制造物品的框圖。

具體實施方式

介紹

為了在不使用多個處理器或甚至不使用高速緩沖存儲器或MMU的情況下提供安全執行，已發明本文中所揭示的硬件和軟件機制。以此方式，可使用單個處理器與非安全(不受信任)的應用程序并排地執行安全(受信任)的應用程序。

大多數實施例操作以將處理器操作分割為兩個領域：安全領域和非安全領域。當此發生時，屬于安全領域的代碼和數據對于非安全領域不可見。類似地，在非安全領域中執行的代碼不操作以破壞安全領域中的代碼、數據或執行。硬件機制經揭示以將執行從安全領域傳遞到非安全領域，且反之亦然。

地址檢查和安全硬件可建置在感知安全領域的每一存儲器的硬件中。通過使用此類型的分布式安全系統，可將與安全操作相關聯的額外開銷維持在相對低的水平，使得甚至當處理資源和可用存儲器不足時，微控制器也可結合眾多總線主控器和受控器成功地操作。