本發(fā)明提供一種芯片級(jí)內(nèi)置式的主動(dòng)安全監(jiān)控架構(gòu)實(shí)現(xiàn)方法及電子裝置，包括：在芯片內(nèi)部增設(shè)一額外的處理器核心與一可信執(zhí)行環(huán)境；通過芯片CPU中構(gòu)成的一般化執(zhí)行環(huán)境中，運(yùn)行一般的應(yīng)用程序；通過可信執(zhí)行環(huán)境中構(gòu)成的相對(duì)安全可執(zhí)行環(huán)境中，運(yùn)行用于檢測(cè)普通應(yīng)用程序是否安全的安全監(jiān)測(cè)程序；通過額外的處理器核心構(gòu)成的監(jiān)管層中，運(yùn)行用于監(jiān)控安全監(jiān)測(cè)程序運(yùn)行狀態(tài)的安全監(jiān)控程序。本發(fā)明相對(duì)安全的執(zhí)行環(huán)境用來運(yùn)行計(jì)算任務(wù)繁重的安全監(jiān)控的程序，絕對(duì)安全的執(zhí)行環(huán)境用來運(yùn)行監(jiān)測(cè)相對(duì)安全的計(jì)算環(huán)境中的程序；采用層級(jí)的安全監(jiān)控設(shè)計(jì)，在計(jì)算資源分配上獲得動(dòng)態(tài)彈性空間。

技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)處理器設(shè)計(jì)架構(gòu)領(lǐng)域，涉及一種芯片級(jí)內(nèi)置式的主動(dòng)安全監(jiān)控架構(gòu)實(shí)現(xiàn)方法及電子裝置。

背景技術(shù)

目前，處理器的安全監(jiān)控架構(gòu)，都是以單層的，扁平化的設(shè)計(jì)為導(dǎo)向。主流的處理器安全監(jiān)控架構(gòu)分為兩類：基于靜態(tài)運(yùn)算資源劃分的安全架構(gòu)和基于動(dòng)態(tài)資源劃分的安全架構(gòu)。基于靜態(tài)運(yùn)算資源劃分的安全架構(gòu)，在設(shè)計(jì)上將一種或者幾種安全策略或者安全機(jī)制固化在處理器片上。在運(yùn)算過程中，處理器將固定的計(jì)算資源分配給片上的安全監(jiān)控程序，以供其監(jiān)控其他程序的運(yùn)行狀態(tài)。此類設(shè)計(jì)的優(yōu)點(diǎn)在于設(shè)計(jì)簡(jiǎn)單，多用于對(duì)動(dòng)態(tài)調(diào)度計(jì)算資源變化要求不大的個(gè)人處理器。基于動(dòng)態(tài)資源劃分的安全架構(gòu)，在設(shè)計(jì)上，根據(jù)計(jì)算資源的變化需求，動(dòng)態(tài)的對(duì)片上的安全監(jiān)控程序進(jìn)行資源分配。此類設(shè)計(jì)的優(yōu)點(diǎn)是在保證用戶最大可利用資源的前提下，對(duì)片上的安全監(jiān)控程序進(jìn)行按需分配。該設(shè)計(jì)多用于服務(wù)器端的處理器，如云計(jì)算基礎(chǔ)架構(gòu)中的處理器。

現(xiàn)有的安全監(jiān)控架構(gòu)單層次的設(shè)計(jì)，具有以下兩個(gè)缺點(diǎn)：

其一，只能對(duì)安全監(jiān)控的所需的資源(如計(jì)算資源，內(nèi)存資源，網(wǎng)絡(luò)資源等)，進(jìn)行靜態(tài)的劃分，無法在實(shí)際的應(yīng)用場(chǎng)景中，對(duì)計(jì)算資源的動(dòng)態(tài)變化需求，進(jìn)行彈性調(diào)度。

其二，對(duì)于動(dòng)態(tài)資源劃分的設(shè)計(jì)，由多個(gè)安全監(jiān)控程序，共享同一個(gè)可信的執(zhí)行環(huán)境，無法做到彼此之間的安全隔離，存在潛在的安全隱患。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有單層，扁平化的安全檢測(cè)架構(gòu)的缺陷，本發(fā)明提供了一種芯片級(jí)內(nèi)置式的主動(dòng)安全監(jiān)控架構(gòu)實(shí)現(xiàn)方法及電子裝置，通過對(duì)安全的層次化分級(jí)，實(shí)現(xiàn)動(dòng)態(tài)彈性地分配用于安全檢測(cè)的計(jì)算資源，同時(shí)兼顧了安全性與性能的可擴(kuò)展性。

本發(fā)明的技術(shù)方案如下：

一種芯片級(jí)內(nèi)置式的主動(dòng)安全監(jiān)控架構(gòu)實(shí)現(xiàn)方法，其特征在于，在芯片內(nèi)部增設(shè)一額外的處理器核心與一可信執(zhí)行環(huán)境，其中：

1)通過芯片CPU中構(gòu)成的一般化執(zhí)行環(huán)境中，運(yùn)行一般的應(yīng)用程序；

2)通過可信執(zhí)行環(huán)境中構(gòu)成的相對(duì)安全可執(zhí)行環(huán)境中，運(yùn)行用于檢測(cè)普通應(yīng)用程序是否安全的安全監(jiān)測(cè)程序；

3)通過額外的處理器核心構(gòu)成的監(jiān)管層中，運(yùn)行用于監(jiān)控安全監(jiān)測(cè)程序運(yùn)行狀態(tài)的安全監(jiān)控程序。

進(jìn)一步地，額外的處理器核心的構(gòu)成包括：任意指令集。

進(jìn)一步地，可信執(zhí)行環(huán)境包括：Trustzone、SGX、片內(nèi)FPGA、外圍PCIe訪問的設(shè)備和外圍具有RDMA功能的設(shè)備。

進(jìn)一步地，所述安全檢測(cè)程序?yàn)閷?duì)運(yùn)算資源需求較高、但對(duì)運(yùn)行環(huán)境安全性要求較低的安全檢測(cè)程序。

進(jìn)一步地，通過額外的處理器核心或CPU，實(shí)現(xiàn)一般化執(zhí)行環(huán)境、相對(duì)安全可執(zhí)行環(huán)境與監(jiān)管層中用于安全監(jiān)控的計(jì)算資源。

一種存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)程序，其中，所述計(jì)算機(jī)程序被設(shè)置為運(yùn)行時(shí)執(zhí)行上述所述的方法。

一種電子裝置，包括存儲(chǔ)器和處理器，所述存儲(chǔ)器中存儲(chǔ)有計(jì)算機(jī)程序，所述處理器被設(shè)置為運(yùn)行所述計(jì)算機(jī)以執(zhí)行上述所述的方法。

與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點(diǎn)：