本發(fā)明提出了一種微處理器，內(nèi)置有高速緩存Cache和內(nèi)存控制器，在所述Cache與內(nèi)存控制器之間的讀通道上配置有內(nèi)存保護(hù)組件；所述內(nèi)存保護(hù)組件用于審核從內(nèi)存提取到Cache的上行數(shù)據(jù)。本發(fā)明在微處理器的核內(nèi)配置內(nèi)存保護(hù)組件，通過對(duì)從內(nèi)存提取到Cache的過程中實(shí)現(xiàn)對(duì)上行數(shù)據(jù)的審核，解決現(xiàn)有安全處理器內(nèi)部缺少安全機(jī)制的問題。

技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)安全領(lǐng)域，尤其涉及一種具有核內(nèi)內(nèi)存保護(hù)機(jī)制的安全微處理器。

背景技術(shù)

隨著近年來計(jì)算機(jī)和智能終端的廣泛普及，以及互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，設(shè)備安全的問題也更是日益凸顯。而處理器作為計(jì)算設(shè)備的關(guān)鍵核心，處理器的安全問題將嚴(yán)重影響整個(gè)計(jì)算設(shè)備的安全性。

目前，針對(duì)處理器的安全技術(shù)主要有硬件虛擬化技術(shù)和TrustZone技術(shù)。例如Intel、AMD等CPU廠商，利用硬件虛擬化技術(shù)來實(shí)現(xiàn)CPU的安全；硬件虛擬化技術(shù)是一種基于指令調(diào)度權(quán)限管理和控制的安全機(jī)制，如虛擬機(jī)監(jiān)視器(VMM，Virtual Machine Monitor，也被稱為Hypervisor)，專指在使用硬件虛擬化技術(shù)時(shí)創(chuàng)建出的特權(quán)層，該層提供給虛擬機(jī)開發(fā)者，用來實(shí)現(xiàn)虛擬硬件與真實(shí)硬件的通信和事件處理，VMM的權(quán)限級(jí)別要大于操作系統(tǒng)的權(quán)限。如圖1所示，在Intel虛擬化技術(shù)架構(gòu)中，VMM的權(quán)限可被視為處于ring-1級(jí)。ARM架構(gòu)CPU的TrustZone技術(shù)，為用戶模式和特權(quán)模式引入了安全狀態(tài)標(biāo)識(shí)和判斷機(jī)制，以決定系統(tǒng)是運(yùn)行在非安全的“普通”執(zhí)行環(huán)境下，還是運(yùn)行在安全可信任的“安全”環(huán)境下。安全監(jiān)控器(Monitor)控制著安全與“普通”環(huán)境之間的轉(zhuǎn)換，圖2為TrustZone模式下兩個(gè)并行安全環(huán)境的示意圖。

但無論是Intel硬件虛擬化技術(shù)，還是ARM的TrustZone技術(shù)，本質(zhì)上都是基于度量驗(yàn)證和安全執(zhí)行環(huán)境構(gòu)建，無法做到在CPU運(yùn)行時(shí)直接干預(yù)CPU核心流水線上的指令執(zhí)行的實(shí)時(shí)控制，缺少安全機(jī)制直接參與核心流水線的CPU架構(gòu)。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的一個(gè)目的是提出一種具有核內(nèi)內(nèi)存保護(hù)機(jī)制的安全微處理器，以解決現(xiàn)有安全處理器內(nèi)部缺少安全機(jī)制的問題。

在一些說明性實(shí)施例中，所述微處理器，內(nèi)置有高速緩存Cache和內(nèi)存控制器，在所述Cache與內(nèi)存控制器之間的讀通道上配置有內(nèi)存保護(hù)組件；所述內(nèi)存保護(hù)組件用于審核從內(nèi)存提取到Cache的上行數(shù)據(jù)。

在一些優(yōu)選地實(shí)施例中，所述內(nèi)存保護(hù)組件包括：讀通道控制單元和審核單元；所述控制單元，配置在所述Cache與內(nèi)存控制器之間的讀通道上，且與所述審核單元連接，用于在所述讀通道上攔截上行數(shù)據(jù)，將其送入所述審核單元進(jìn)行審核；以及將攜帶審核結(jié)果的上行數(shù)據(jù)送回所述讀通道；所述審核單元，用于審核所述上行數(shù)據(jù)，將該上行數(shù)據(jù)及其審核結(jié)果送回所述控制單元。

在一些優(yōu)選地實(shí)施例中，所述內(nèi)存保護(hù)組件還配置有用于存放需要保護(hù)的內(nèi)存地址的審核表；所述審核單元被配置訪問所述審核表，依據(jù)所述審核表中的保護(hù)地址審核所述上行數(shù)據(jù)，判斷所述上行數(shù)據(jù)是否來自受保護(hù)的內(nèi)存區(qū)域。

在一些優(yōu)選地實(shí)施例中，所述Cache中的每個(gè)條目被配置具有擴(kuò)展標(biāo)志位；所述擴(kuò)展標(biāo)志位用于存儲(chǔ)所述審核結(jié)果；所述審核結(jié)果為禁寫標(biāo)記或無效標(biāo)記；其中，所述禁寫標(biāo)記用于指示該Cache條目位置處禁止被寫回。

在一些優(yōu)選地實(shí)施例中，所述審核表存放在片內(nèi)緩沖區(qū)Buffer中。

在一些優(yōu)選地實(shí)施例中，所述微處理器還內(nèi)置有處理器核心；在所述處理器核心與所述Cache之間的寫通道上配置有寫回控制單元；所述寫回控制單元用于識(shí)別所述Cache條目中的禁寫標(biāo)記，禁止具有禁寫標(biāo)記的Cache條目被所述處理器核心寫回。

在一些優(yōu)選地實(shí)施例中，所述內(nèi)存保護(hù)組件為讀內(nèi)存保護(hù)組件；在所述Cache與所述內(nèi)存控制器之間的寫通道上還配置有寫內(nèi)存保護(hù)組件；所述寫內(nèi)存保護(hù)組件用于審核從Cache寫回到內(nèi)存的下行數(shù)據(jù)。