公開了一種處理單元、電子設備、計算機可讀存儲介質以及安全控制方法，處理單元包括：處理器；存儲器，與處理器耦接，適于提供相互隔離的多個安全區，多個安全區包括多個應用安全區，每個應用安全區分別用于運行相應的應用程序，多個安全區還包括如下至少之一：運行時安全區，適于提供可調用程序所需的存儲空間；密碼安全區，適于提供密碼相關程序所需的存儲空間，運行時安全區和密碼安全區具有對多個應用安全區的讀寫權限，每個應用安全區不具有對運行時安全區和密碼安全區的讀寫權限。本發明實施例提供的處理單元安全控制方法基于多個應用安全區、以及密碼安全區和/或運行時安全區建立可信執行環境，從而能夠保護應用程序涉及到的敏感信息。

技術領域

本發明涉及處理器領域，更具體而言，涉及一種處理單元、電子設備、計算機可讀存儲介質以及安全控制方法。

背景技術

隨著智能終端技術的不斷發展，各種應用程序(Application，簡稱為App)為用戶帶來了便利，隨之而來的是用戶對這些應用程序的安全性的關注。尤其是在物聯網領域、人工智能領域以及其它的一些領域中，對于涉及到一些敏感信息(例如身份信息、財產信息等不希望被他人獲取的信息)的應用程序，用戶期望這些敏感信息能夠得到有效的安全保護。

因此，希望可以基于處理器和存儲器等硬件結構中建立可信執行環境(TrustedExecution Environment,TEE)，用于為需要受保護的應用程序提供具有安全保護功能的執行環境。

傳統的技術方案主要基于復雜的處理器架構和獨立的安全芯片(與處理器芯片分立)建立整個電子設備的TEE，因此在安全芯片與電子設備中其他硬件結構傳輸信息的過程中，無法保證良好的安全性能，且傳輸效率較低。

發明內容

有鑒于此，本發明實施例提供一種處理單元、電子設備、計算機可讀存儲介質以及安全控制方法，以解決以上問題。

為了達到這個目的，第一方面，提供了一種處理單元，包括：處理器，適于運行程序；存儲器，與所述處理器耦接，適于提供相互隔離的多個安全區，所述多個安全區包括多個應用安全區，每個所述應用安全區分別被用于運行相應的應用程序，所述多個安全區還包括如下至少之一：運行時安全區，適于提供可調用程序的運行所需的存儲空間；密碼安全區，適于提供密碼相關程序的運行所需的存儲空間，其中，所述運行時安全區和所述密碼安全區至少具有對所述多個應用安全區的讀寫權限，每個所述應用安全區不具有對所述運行時安全區和所述密碼安全區的讀寫權限。

在一些實施例中，所述可調用程序是面向不同應用程序的共享程序和/或通用驅動程序。

在一些實施例中，所述處理器包括第一處理器核，適于在所述密碼安全區內運行面向密碼服務的所述密碼相關程序。

在一些實施例中，處理單元還包括密鑰管理組件，適于提供所述密碼服務以生成加密/解密結果，所述第一處理器核與所述密鑰管理組件耦接，并通過在所述密碼安全區內運行所述密碼相關程序將所述加密/解密結果寫入相應的所述應用安全區中。

在一些實施例中，所述處理器還包括第二處理器核，適于在所述多個應用安全區內分別運行相應的應用程序。

在一些實施例中，所述第二處理器核是基于RISC-V指令集架構實現的。

在一些實施例中，處理單元還包括：總線結構，與所述第一處理器核、所述第二處理器核以及所述存儲器分別耦接。

在一些實施例中，處理單元還包括：地址寄存器，用于存儲每個所述安全區對應的地址信息；以及權限寄存器，用于存儲每個所述安全區的權限信息，所述處理器適于根據所述權限信息指示的訪問權限控制每個所述安全區的訪問操作，所述訪問權限至少包括讀寫權限和執行權限。

在一些實施例中，所述應用安全區的權限信息被配置以不具有對自身之外的所述應用安全區的訪問權限。