一种TrustZone上的内存管理方法及装置的制造方法
【技术领域】
[0001] 本发明涉及内存管理技术领域,尤其涉及一种TrustZone (可信域)上的内存管理 方法及装置。
【背景技术】
[0002] 在带有TrustZone安全拓展的中央处理器CPU中存在两个虚拟的处理器核,分别 是属于安全执行环境Secure的安全核Secure Core和属于非安全执行环境Normal的普通 核Normal Core。为保证系统安全,普通核Normal Core只能访问非安全的系统资源,而安 全核Secure Core可以访问所有的系统资源,CPU中的监控模块Monitor负责在不同执行 环境之间的切换。
[0003] TrustZone框架下的内存管理如图1所示,CPU中的虚拟处理器核在不同的执行 环境下执行访存指令,访存指令的虚拟地址中包含NSTID (Non-Secure Table Identifier, "非安全"表ID)项,标识该访存指令是"安全"的或者"非安全"的,该虚拟地址通过硬件首先 在TLB (Translation Look-aside Buffer,转换后备缓冲器,或称为快表)中执行一次地址 转换,若找到匹配项则访问Cache,否则通过MMU(Memory Management Unit,内存管理单元) 找到相应物理地址,对作为系统内存的DRAM(Dynamic Random Access Memory,S卩动态随机 存取存储器)进行访问,两个虚拟处理器核对应两个MMU,其地址转换过程是相互独立的。 AXI (Advanced extensible Interface,高级可拓展接口)总线上的设备 TZASC(TrustZone Address Space Controller,可信域地址空间控制器)将DRAM划分为若干安全区(S)和非 安全区(N),后续再按照表1所示的控制方式对不同的访存指令进行响应,以保证不同执行 环境下的访存安全:
[0004]表1
[0005]
【主权项】
1. 一种可信域TrustZone上的内存管理方法,其特征在于,包括: 可信域地址空间控制器TZASC在内存中设置缓冲安全区,缓冲安全区的安全等级介于 内存中的安全区与非安全区之间;中央处理器CPU中的普通核为访存指令设置访问等级, 不同访问等级与对缓冲安全区的不同访问权限相对应; 在CPU的非安全执行环境下,TZASC针对访问所述缓冲安全区的访存指令,基于所述访 存指令的访问等级对应的访问权限,执行访存操作。
2. 根据权利要求1所述的TrustZone上的内存管理方法,其特征在于,在CPU中设置一 存储设备,所述存储设备用于存储访存指令的访问等级; 所述方法,还包括: CPU中的普通核在基于访存指令在内存中进行访存寻址的同时,还控制所述存储设备 向TZASC提供所述访存指令的访问等级。
3. 根据权利要求1所述的TrustZone上的内存管理方法,其特征在于,所述CPU中的普 通核为访存指令设置访问等级,不同访问等级与对缓冲安全区的不同访问权限相对应,包 括: CPU中的普通核为访存指令设置两个W上的访问等级,访存指令的访问等级从高到底 对应的被授予访问缓冲安全区的范围从大到小。
4. 根据权利要求3所述的TrustZone上的内存管理方法,其特征在于,CPU中的普通核 为访存指令设置两个访问等级;高访问等级和低访问等级,其中,高访问等级被授予访问缓 冲安全区的权限,低访问等级不被授予访问缓冲安全区的权限。
5. 根据权利要求3所述的TrustZone上的内存管理方法,其特征在于,所述方法还包 括;TZASC将所述缓冲安全区分为各子缓冲安全区,各子缓冲安全区被配置为n个安全等 级,n > 2 ; CPU中的普通核为访存指令设置n个访问等级,访存指令的访问等级从高到低对应的 被授予访问子缓冲安全区的安全等级范围从大到小。
6. -种TrustZone上的内存管理装置,其特征在于,包括; CPU中的普通核,用于为访存指令设置访问等级,不同访问等级与对缓冲安全区的不同 访问权限的对应关系保存在TZASC中; TZASC,用于在内存中设置缓冲安全区,缓冲安全区的安全等级介于内存中的安全区与 非安全区之间;在CPU的非安全执行环境下,TZASC针对访问所述缓冲安全区的访存指令, 基于所述访存指令的访问等级对应的访问权限,执行访存操作。
7. 根据权利要求6所述的TrustZone上的内存管理装置,其特征在于,所述装置,还包 括: 存储设备,设置于CPU中,用于存储访存指令的访问等级; 所述CPU中的普通核,还用于;在基于访存指令在内存中进行访存寻址的同时,还控制 所述存储设备向TZASC提供所述访存指令的访问等级。
8. 根据权利要求6所述的TrustZone上的内存管理装置,其特征在于,所述CPU中的普 通核,具体用于: 为访存指令设置两个W上的访问等级,访存指令的访问等级从高到底对应的被授予访 问缓冲安全区的范围从大到小。
9. 根据权利要求8所述的TrustZone上的内存管理装置,其特征在于,所述CPU中的普 通核,具体用于: 为访存指令设置两个访问等级;高访问等级和低访问等级,其中,高访问等级被授予访 问缓冲安全区的权限,低访问等级不被授予访问缓冲安全区的权限。
10. 根据权利要求8所述的TrustZone上的内存管理装置,其特征在于,所述TZASC,具 体用于:将所述缓冲安全区分为各子缓冲安全区,各子缓冲安全区被配置为n个安全等级, n ^ 2 ; 所述CPU中的普通核,具体用于;为访存指令设置n个访问等级,访存指令的访问等级 从高到低对应的被授予访问子缓冲安全区的安全等级范围从大到小。
【专利摘要】本发明提出了一种TrustZone上的内存管理方法及装置,该方法包括:TZASC在内存中设置缓冲安全区,缓冲安全区的安全等级介于内存中的安全区与非安全区之间;中央处理器CPU中的普通核为访存指令设置访问等级,不同访问等级与对缓冲安全区的不同访问权限相对应;在CPU的非安全执行环境下,TZASC针对访问所述缓冲安全区的访存指令,基于所述访存指令的访问等级对应的访问权限,执行访存操作。发明与现有技术中相比,降低了中断产生的几率,减少了执行环境切换的频率,从而提高了CPU的利用率。
【IPC分类】G06F12-06, G06F21-74
【公开号】CN104573565
【申请号】CN201510033826
【发明人】申泽奇
【申请人】宇龙计算机通信科技(深圳)有限公司
【公开日】2015年4月29日
【申请日】2015年1月23日