处理安全内容的片上系统和包括片上系统的移动装置制造方法
【专利摘要】本发明提供了一种处理安全内容的片上系统和包括片上系统的移动装置。提供一种移动装置,所述移动装置包括:工作存储器,具有被划分成安全域和非安全域的存储区域;以及片上系统,被配置为访问和处理存储在安全域中的内容。片上系统包括:处理单元,由安全操作系统和非安全操作系统中的至少一个驱动;至少一个硬件块,被配置为根据处理单元的控制来访问所述内容,所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端口;至少一个存储器管理单元,被配置为控制所述至少一个硬件块对所述工作存储器的访问;以及访问控制单元,被配置为设置从端口和主端口的安全属性或者关于所述工作存储器的安全域和非安全域中的每个的访问权限。
【专利说明】处理安全内容的片上系统和包括片上系统的移动装置
[0001]相关申请的交叉引用
[0002]要求于2012年10月26日提交到韩国知识产权局的第10_2012_0119719号韩国专利申请的优先权,该申请的全部内容通过引用包含于此。
【技术领域】
[0003]示例性实施例涉及能够处理安全内容的片上系统和包括片上系统的移动装置。
【背景技术】
[0004]近年来,移动装置诸如智能电话、平板PC、数码相机、MP3播放器、PDA等已增加。移动装置可驱动用于处理各种类型的内容的应用程序。用于阻止非法用户进行访问的安全技术可应用于各种类型的内容。可应用安全技术的内容被称为安全内容。安全内容的提供商会需要移动装置的支持,以能够保护内容不被非法用户或复制者访问,并且使合法用户能够重放内容。
[0005]此相关现有技术可能必需要针对包括移动装置的硬件和软件的整个系统的保护装置。在相关技术中,在系统中可指定数字版权管理(下文中,称作“DRM”)。对于大多数移动装置,需要DRM。可保护移动装置的特定软件或硬件免受未经批准的访问,以满足DRM要求。举例来说,TrustZone可以是支持上述功能的内容安全方式。然而,在相关技术中,攻击智能电话的安全内容相对容易,在智能电话中,操作系统(OS)结构和代码是开放的。具体地讲,在相关技术中,在用户任意安装应用程序的智能电话环境下,必须安全地处理高质量内容,使其免受安全威胁。
【发明内容】
[0006]根据示例性实施例的一方面,提供了一种移动装置,所述移动装置包括:工作存储器,具有被划分成安全域和非安全域的存储区域;以及片上系统,被配置为访问和处理存储在安全域中的内容。片上系统包括:处理单元,由安全操作系统和非安全操作系统中的至少一个驱动;至少一个硬件块,被配置为根据处理单元的控制来访问所述内容,所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端口 ;至少一个存储器管理单元,被配置为控制所述至少一个硬件块对所述工作存储器的访问;以及访问控制单元,被配置为设置从端口和主端口的安全属性或者关于工作存储器的安全域和非安全域中的每个的访问权限。
[0007]根据示例性实施例的另一方面,提供了一种移动装置,所述移动装置包括:工作存储器,包括具有非安全域和安全域的存储区域,安全域包括编解码器输入缓冲器、编解码器输出缓冲器和帧缓冲器;以及片上系统,被配置为根据TrustZone安全方式访问安全域或非安全域。片上系统包括:处理单元,支持TrustZone安全方式的访问控制;硬件编解码器,被配置为根据处理单元的控制来处理存储在编解码器输入缓冲器中的数据,并且被配置为将处理后的数据存储在编解码器输出缓冲器中;图像转换器,被配置为转换存储在编解码器输出缓冲器中的数据的图像格式,并且被配置为将图像格式被转换的数据存储在帧缓冲器中;IXD控制器,被配置为在显示器上显示存储在帧缓冲器中的图像格式被转换的数据;以及第一存储器管理单元至第三存储器管理单元,被配置为控制硬件编解码器、图像转换器和LCD控制器对工作存储器的访问,其中,硬件编解码器、图像转换器和LCD控制器中的每个的从端口和主端口被设置成具有不同的安全属性。
[0008]根据示例性实施例的另一方面,提供了一种访问工作存储器以处理安全内容的片上系统。所述片上系统包括:处理单元,专门被加载到工作存储器上的安全操作系统和非安全操作系统驱动;至少一个硬件块,被配置为根据处理单元的控制重放安全内容;以及存储器保护单元,被配置为限制所述至少一个硬件块对工作存储器的访问,其中,所述至少一个硬件块的从端口被设置成非安全属性,并且所述至少一个硬件块的主端口被设置成安全属性。
[0009]根据示例性实施例的另一方面,提供了一种根据TrustZone安全方式访问安全域或非安全域的片上系统。所述片上系统包括:处理单元,被配置为支持TrustZone安全方式的访问控制;硬件编解码器,被配置为根据处理单元的控制来处理存储在工作存储器中的数据,并且被配置为将处理后的数据存储在工作存储器中;图像转换器,被配置为转换存储在工作存储器中的处理后的数据的图像格式,并且被配置为将图像格式被转换的数据存储在工作存储器中山⑶控制器,被配置为在显示器上显示存储在工作存储器中的图像格式被转换的数据;以及第一存储器管理单元至第三存储器管理单元,被配置为控制硬件编解码器、图像转换器和LCD控制器对工作存储器的访问。
[0010]示例性实施例可为安全内容提供高安全级别。可通过修改相关技术的硬件将用于开发高安全级别所需的成本降到最低。另外,可通过使安全域的变化最小来提高安全性和系统安全二者。可通过使安全域和非安全域之间的切换频率最小来降低性能方面的开销。
【专利附图】
【附图说明】
[0011]通过参照下面附图的以下描述,以上和其它目的和特征将变得清楚,其中,除非另外指明,否则在各个附图中,相同的参考标号始终表示相同的部件,并且其中:
[0012]图1是示意性示出根据实施例的移动装置的框图;
[0013]图2是示意性示出与图1的设置关联的软件架构的框图;
[0014]图3是示意性示出根据实施例的移动装置的框图;
[0015]图4是示意性示出图3的片上系统的软件架构的示图;
[0016]图5是示意性示出根据实施例的存储器映射的示图;
[0017]图6是示出硬件编解码器的可访问存储器映射的示图;
[0018]图7是示出图像转换器的可访问存储器映射的示图;
[0019]图8是示出LCD控制器的可访问存储器映射的示图;
[0020]图9是示意性示出根据另一个实施例的片上系统的框图;
[0021]图10是示意性示出根据又一个实施例的片上系统的框图;
[0022]图11是示意性示出根据再一个实施例的片上系统的框图;
[0023]图12是示意性示出包括片上系统的移动装置的框图;以及
[0024]图13是示出包括安全功能的计算机系统的框图。【具体实施方式】
[0025]将参照附图详细描述示例性实施例。然而,实施例可用各种不同形式实施,并且不应该被理解为只限于示出的实施例。相反,提供这些实施例作为示例,使得本公开将是彻底和完全的,并且将把本发明构思的构思充分传达给本领域的技术人员。因此,没有相对于一些实施例描述已知的过程、元件和技术。除非另外指明,否则在附图和书面描述中,相同的参考标号始终表示相同的元件,并且参考标号将不重复。在附图中,为了清晰起见,可夸大层和区域的尺寸和相对尺寸。
[0026]应该理解的是,尽管在这里可使用术语“第一”、“第二”、“第三”等来描述各种元件、组件、区域、层和/或部分,但是这些元件、组件、区域、层和/或部分应该不受这些术语的限制。这些术语只是用来将一个元件、组件、区域、层或部分与另一个区域、层或部分区分开来。因此,在不脱离本发明构思的教导的情况下,下面讨论的第一元件、组件、区域、层或部分可被称为第二元件、组件、区域、层或部分。
[0027]为了便于描述,在这里可使用空间相对术语诸如“在...之下”、“下方”、“下面”、“在...下面”、“在...之上”、“上方”等来描述如图中所示的一个元件或特征与其它元件(一个或多个)或特征(一个或多个)的关系。应该理解的是,空间相对术语意在包含除了在附图中描述的方位之外的装置在使用或操作时的不同方位。例如,如果附图中的装置被翻转,则被描述为在其它元件或特征“下方”、“之下”或“下面”的元件随后将被定位为其它元件或特征“上面”。因此,示例性术语“下方”和“下面”可包含上方和下方这两种方位。装置可被另外定位(旋转90度或者在其它方位),相应地解释这里使用的空间相对描述符。另夕卜,还应该理解,当层被称为“在”两个层“之间”时,它可以是这两个层之间的唯一层,或者可能还存在一个或多个中间层。
[0028]这里使用的术语只是出于描述特定实施例的目的,不意图限制本发明构思。如这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式。还应该理解的是,当在本说明书中使用术语“包含”和/或“包括”时,说明存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或附加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其组合。如这里所使用的,术语“和/或”包括相关所列项中的一个或多个的任意组合和全部组合。另外,术语“示例性”意图指示例或例证。
[0029]应该理解的是,当元件或层被称作在另一元件或层“上”、“连接到”、“耦接到”另一元件或层或“与”另一个元件或层“相邻”时,该元件或层可直接在其它元件或层上、直接连接到、耦合到其它元件或层、或者与其它元件或层直接相邻,或者可能存在中间元件或中间层。相反,当元件被称作“直接在”另一元件或层“上”、“直接连接到”、“直接耦合到”另一元件或层或者“与”另一个元件或层“直接相邻”时,不存在中间元件或中间层。
[0030]除非另有定义,否则这里使用的所有术语(包括技术术语和科技术语)具有与本发明构思所属领域的普通技术人员所通常理解的意思相同的意思。应该进一步理解,除非这里明确定义,否则术语诸如在通用字典中定义的术语应该被解释为具有与相关领域和/或本说明书的上下文中它们的意思一致的意思,而将不理想化地或者过于正式地解释它们的意思。
[0031]以下,可示例性地使用片上系统来描述本发明构思的方面和功能。然而,本发明构思不限于此。
[0032]图1是示意性示出根据实施例的移动装置的框图。参照图1,移动装置100可包括处理单元110、控制总线120、硬件块130、存储器管理单元140、数据总线150、访问控制单元160和工作存储器170。除了工作存储器170外的其余组件可被包括在片上系统(SoC)中。
[0033]可由软件诸如应用或操作系统(OS)来控制处理单元110。处理单元110可被配置为驱动各种程序或硬件驱动器。处理单元110的操作模式可被划分成正常模式和安全模式。运行在处理单元Iio上的软件可使用抽象技术,在抽象技术中,软件看似是在两个单独的处理器中运行。例如,安全相关软件和普通软件可在由单核或多核形成的处理单元110上单独地驱动。处理单元110可以是支持TrustZone安全结构的嵌入式处理器。
[0034]处理单元110可被配置为基于包括在所提供的内容中的安全状态位,设置硬件块130和存储器管理单元140的安全模式。可由访问控制单元160设置处理单元110的安全模式。
[0035]例如,在安全内容被处理(例如,播放)的情况下,处理单元110可如下地设置硬件块130上的安全属性:如图1中所示,处理单元110可将硬件块130的从端口 132设置成非安全模式NS,并将硬件块130的主端口 134设置成安全模式S。可通过控制总线120完成处理单元110的以上控制操作。
[0036]控制总线120可提供控制路径,处理单元110通过该控制路径控制硬件块130。可由访问控制单元160限定处理单元110通过控制总线120对硬件块130的访问权限。处理单元110可通过控制总线120自由地访问硬件块130。因为硬件块130的安全属性被相对于控制总线120设置成非安全模式NS,所以处理单元110可自由地访问硬件块130。
[0037]硬件块130可以是重放被提供的内容的组件。例如,硬件块130可以是编解码器,编解码器被配置为解码经压缩的内容数据并且将解码结果作为移动画面或声音信号输出。硬件块130可以是被配置为将图像格式或尺寸转换成适于移动装置的图像转换器。另外,硬件块130可显示图像。然而,硬件块130的功能和详细结构可不限于本公开。硬件块130可被配置为包括用于处理数据以重放内容的各种组件。
[0038]硬件块130可被设置成具有双重安全属性。换句话讲,与控制总线120连接的硬件块130的从端口 132可被设置成非安全模式NS。与数据总线150连接的硬件块130的主端口 134可被设置成安全模式S。因此,可相对于在非安全模式下运行的主IP (知识产权(Intellectual Property))自由地控制硬件块130。换句话讲,硬件块130可被处理单元110驱动的非安全域的软件自由地访问。
[0039]存储器管理单元140可限制硬件块130所访问的在硬件块130和数据总线150之间的存储区域。在硬件块130的从端口 132被设置成非安全模式NS并且硬件块130的主端口 134被设置成安全模式S的情况下,将软件划分成安全域和非安全域的原理是不适合的。因为通过在非安全模式下运行的任何主IP产生与安全模式相应的事务,所以将软件划分成安全域和非安全域的原理在以上的示例中是不适合的。
[0040]存储器管理单元140可解决与硬件块130的双重安全属性关联的缺陷。可在安全域中完全管理存储器管理单元140。存储器管理单元140的存储器转换表可被设置成只映射由硬件块130访问的存储区域。存储器管理单元140的设置可使得处理单元110不能在操作系统OS执行期间访问在工作存储器170的安全存储区域中存在的内容。[0041]数据总线150可提供处理单元110或硬件块130的存储器访问路径。处理单元110或硬件块130可通过数据总线150访问工作存储器170。为了处理安全内容,硬件块130可读取并处理单位数据,以将处理后的结果存储在工作存储器170的指定地址区域中。
[0042]访问控制单元160可根据处理单元110的控制来设置硬件块130的安全属性。访问控制单元160可根据处理单元110的控制来设置工作存储器170的安全属性。访问控制单元160可包括用于在片上系统中设置硬件块的安全属性的功能。访问控制单元160可选择性地控制由片上系统访问的工作存储器170的安全属性。例如,访问控制单元160可包括ARM TrustZone技术。访问控制单元160可包括整体访问控制装置,整体访问控制装置被配置为在安全模式和非安全模式下管理硬件IP的安全属性和工作存储器170的安全属性。
[0043]可将各种数据加载到工作存储器170上。例如,可将用于驱动硬件的操作系统或驱动器加载到工作存储器170上。具体地,可将工作存储器170的存储区域划分成安全域和非安全域。这可通过定义工作存储器170的属性的访问控制单元160的功能来实现。安全内容可在解码之后只被存储在工作存储器170的安全域上。
[0044]采用上述移动装置100,甚至可在非安全模式下阻止对安全内容的访问。
[0045]图2是示意性示出与图1的设置关联的软件架构的框图。参照图2,在移动装置100中驱动的操作系统OS可被划分成正常0S210和安全0S220。在以图1中描述的方式管理硬件块130的安全设置并且通过存储器管理单元140执行另外的访问控制的情况下,可减小安全0S220的负担。另一方面,可在正常0S210上驱动用于控制硬件块130的驱动器。因此,可使安全模式和正常模式之间的切换减到最少。正常模式可意味着非安全模式。
[0046]用于驱动移动装置100的软件架构可被划分成安全模式和正常模式。由于移动装置100可由一个处理单元110来驱动,因此安全模式和正常模式可通过切换在不同的时隙执行。
[0047]正常0S210可支持不要求安全的基础操作。正常0S210可以是Linux系统、Window系统、Android系统或iOS系统等中的至少一种。在根据示例性实施例的软件架构中,可在正常0S210中驱动硬件块驱动器215。这可使得能够重新使用合格软件。如果添加用于驱动硬件块130以使其在安全域中被驱动的驱动器软件,则可能不可避免地消耗安全0S220的可用资源。
[0048]安全0S220可以是为了进行要求安全的数据处理而被单独驱动的操作系统。通常,相关IP的驱动器可在安全0S220上执行,以处理安全内容。然而,通过硬件块130的双重安全设置和存储器管理单元140的另外的设置,用于重放安全内容的硬件块驱动器215不需要在安全0S220上执行。因此,可在安全0S220上执行用于控制访问控制单元160或存储器管理单元140的防火墙驱动器225。
[0049]通常,安全0S220不可被设计成处理内容。因此,不容易在安全0S220上驱动硬件块驱动器215。另外,可能存在所需硬件驱动器可能得不到支持的情况。因此,在图像处理期间,必须在每帧将用于内容处理的IP的安全设置切换成安全模式和正常模式。因此,安全0S220处理对安全内容的重放是不舒服且不方便的。
[0050]当在安全0S220上执行复杂计算(诸如内容重放)的软件时,难以使内容的安全性合格。难以使内容的安全性合格的原因是:对安全内容进行认证处理所花费的时间变长,并且由于认证处理所花费的时间而产生各种问题。
[0051]采用示例性实施例,用于控制对硬件块130的访问的存储器管理单元140和用于控制访问控制单元160的防火墙驱动器225两者可在安全0S220上执行。可在安全域中执行最小软件以重放内容。另外,当硬件块130处理用于在安全模式下重放内容的数据时,会造成时间延迟和功耗。可能执行多次将硬件块130的执行区域切换至安全域和非安全域来处理中贞。
[0052]图3是示意性示出根据实施例的移动装置的框图。参照图3,移动装置可包括片上系统300、用作工作存储器的SDRAM370和外部非易失性存储器390。在图3中,示出片上系统300是采用TrustZone方式的芯片的示例,在TrustZone方式中,可设置在安全域和非安全域中驱动的处理器和硬件IP的安全性。
[0053]ARM核310可以是支持TrustZone的处理单元。ARM核310可在安全模式和非安全模式下操作,并且可由软件驱动。ARM核310可相对于安全OS和正常OS在安全模式和非安全模式中的一种下操作。ARM核310可根据待处理内容的种类来设置访问控制单元TZPC和 TZASC。
[0054]控制总线320可通过ARM核310对片上系统300的组件提供控制路径。ARM核310可通过控制总线320向知识产权(IP)提供安全状态位S位。可根据通过控制总线320提供的安全状态位来逻辑上划分外围装置和存储装置的所有事务。事务的逻辑划分可使得可将外围或存储装置的操作严格划分成安全模式和非安全模式。
[0055]硬件编解码器330a可访问SDRAM370,以读取SDRAM370中存储的数据的内容。硬件编解码器330a可通过读取和解码在SDRAM370的安全域中存储的内容数据来恢复图像信号以进行重放。具体地,硬件编解码器330a的主端口和从端口可被设置成具有不同属性的安全模式。换句话讲,与控制总线320连接的硬件编解码器330a的从端口可被设置成非安全模式。与存储器管理单元340a连接的硬件编解码器330a的主端口可被设置成安全模式。
[0056]硬件编解码器330a的设置会使在ARM核驱动的非安全域的软件容易访问硬件编解码器330a。在非安全域中驱动的驱动器可容易地控制硬件编解码器330a。
[0057]另一方面,用于与数据总线350或存储器管理单元340a交换事务的硬件编解码器330a的主端口可被设置成安全模式。硬件编解码器330a的从端口可被设置成非安全模式。举例来说,在非安全模式下在ARM核310驱动的恶意代码可利用硬件编解码器330a恶意地访问安全存储域。为了阻止这种情况,可在硬件编解码器330a的主端口和数据总线350之间插入存储器管理单元340a。
[0058]图像转换器330b可转换格式诸如经硬件编解码器330a解码的图像的大小、色彩空间等。经硬件编解码器330a解码的原始数据可能与各种移动装置中的显示装置的格式不一致。在这种情况下,难以通过IXD控制器330c处理原始数据。图像转换器330b可将原始数据转换成针对移动装置300优化的格式。
[0059]图像转换器330b的主端口和从端口可被设置成不同的安全模式。换句话讲,与控制总线320连接的图像转换器330b的从端口可被设置成非安全模式。与存储器管理单元340b连接的图像转换器330b的主端口可被设置成安全模式。
[0060]IXD控制器330c可通过显示器显示经硬件编解码器330a解码的原始图像数据或者经图像转换器330b转换的图像数据。图像数据可被传送到SDRAM370的帧缓冲器,以通过IXD控制器330c显示图像。然后,IXD控制器330c可从帧缓冲器读取图像数据,以在显示器上显示图像数据。
[0061]在硬件编解码器330a或图像转换器330b中,IXD控制器330c的主端口和从端口可被设置成具有双重安全属性。换句话讲,与控制总线320连接的IXD控制器330c的从端口可被设置成非安全模式。与存储器管理单元340c连接的IXD控制器330c的主端口可被设置成安全模式。
[0062]可设置硬件编解码器330a、图像转换器330b和IXD控制器330c的双重安全属性。双重安全设置的目标可不限于本公开。换句话讲,用于访问SDRAM370的安全域以重放安全内容的硬件IP可被设置成具有双重安全属性。
[0063]存储器管理单元340a可根据硬件编解码器330a的主端口和从端口的双重安全设置来弥补潜在安全问题。可在各种系统中使用储器管理单元340a对虚拟地址与物理地址进行映射。然而,存储器管理单元340a可对从硬件编解码器330a输出的虚拟地址与SDRAM370的物理地址进行映射。尽管ARM核在非安全主状态下访问硬件编解码器330a,但硬件编解码器330a的安全事务实际访问的区域可限于由存储器管理单元340a映射的存储区域。因此,通过设置存储器管理单元340a的转换表,可阻止根据硬件编解码器330a的双重安全设置而潜在的安全问题。可在SDRAM370的安全域中管理存储器管理单元340a的转换表。
[0064]存储器管理单元340b和340c可弥补图像转换器330b和LCD控制器330c的潜在安全问题。通过设置存储器管理单元340b的转换表,可阻止根据图像转换器330b的双重安全设置而潜在的安全问题。通过设置存储器管理单元340c的转换表,可阻止根据LCD控制器330c的双重安全设置而潜在的安全问题。可在SDRAM370的安全域中管理存储器管理单元340b和340c的转换表。
[0065]数据总线350可提供ARM核310、硬件编解码器330a、图像转换器330b或LCD控制器330c的存储器访问路径。硬件可通过数据总线350访问布置在片上系统300外部的SDRAM370或外部非易失性存储器390。另外,针对片上系统300的内部RAM380,数据总线350可提供各种主IP的存储器访问路径。
[0066]TZPC360a可用于设置硬件IP的安全属性。TZPC360a可以是采用用于将逻辑划分应用于外围IP的安全软件和正常软件的TrustZone方式的片上系统的组件。TZPC360a可设置硬件IP的所有安全属性。可通过TZPC360a的程序将硬件IP的安全属性设置成安全模式和非安全模式。可通过TZPC360a的程序设置诸如硬件编解码器330a、图像转换器330b、IXD控制器330c等IP的双重安全属性。可由包括在安全域中的应用或驱动器执行TZPC360a的程序。
[0067]TZPC360a可设置硬件编解码器330a、图像转换器330b和LCD控制器330c中的每个的从端口和主端口。另外,TZPC360a可设置包括用于重放安全内容的路径的硬件IP上的双重安全属性。TZPC360a可将与硬件IP的存储器管理单元340a、340b和340c连接的主端口设置成安全模式S,并且将与控制总线320连接的从端口设置成非安全模式NS。
[0068]TZASC360b可与用于工作存储器的安全设置的控制电路相应。TZASC360b可以是将SDRAM370的每个域的属性划分成安全域和非安全域的组件。在存储器映射中可能存在将在安全域中管理的数据和将在非安全域中管理的数据。可由TZASC360b在安全域中管理与经解码的所有安全内容相应的数据。用于定义存储器管理单元340a、340b和340c的访问路径的转换表可被存储在SDRAM370的安全域中。
[0069]用作工作存储器的SDRAM370可被包括作为移动装置的组件。SDRAM370的存储域可被划分成安全域和非安全域。随后,将描述SDRAM370的存储器映射。DRAM控制器375可被包括在片上系统中,以控制对SDRAM370的访问。DRAM控制器375可根据通过数据总线350和TZASC360b提供的硬件IP330a、330b和330c或ARM核310的访问请求来控制SDRAM370。这里,可通过控制总线320将TZASC360b和DRAM控制器375设置成安全模式。
[0070]安全OS可被加载到内部RAM380上。可通过TZPC360a将内部RAM380设置成安全模式。外部非易失性存储器390可存储各种内容或代码。用于控制外部非易失性存储器390的存储控制器395可被包括在片上系统300中。对存储控制器395的访问可被设置成非安全模式NS。
[0071]采用示例性实施例的片上系统300,用于处理内容数据的硬件IP330a至330c可被设置成具有双重安全属性。用于驱动硬件IP330a至330c的驱动器可在非安全域(或正常OS)中执行。因此,可使用用于有效重放安全内容的资源。可通过在安全模式下操作的存储器管理单元340a、340b和340c消除根据硬件IP330a至330c的双重安全设置而潜在的安全威胁。根据示例性实施例的实施例的片上系统300可在处理安全内容时提供高安全性能。另外,通过使相关领域的片上系统的结构化改变最小,根据示例性实施例的实施例的片上系统300可提供高安全性能和内容重放质量。
[0072]图4是示意性示出图3的片上系统的软件架构的示图。参照图4,支持TrustZone的片上系统的操作系统可被划分成正常0S410和安全0S420。另外,用于处理安全内容的硬件IP的驱动器可在正常0S410中驱动,并且防火墙驱动器425可在安全0S420中驱动。
[0073]正常0S410可以是针对移动装置优化的任何操作系统。例如,正常0S410可以是Linux、Android、iOS或Windows系统的操作系统。然而,正常0S410可包括能够支持TrustZone的各种操作系统。编解码器驱动器411、图像转换器驱动器412、IXD控制器驱动器413和TrustZone访问驱动器414等可在正常0S410中驱动。
[0074]正常0S410或在正常0S410上驱动的各种应用程序可使用编解码器驱动器411控制硬件编解码器330a。正常0S410或在正常0S410上驱动的各种应用程序可使用图像转换器驱动器412控制图像转换器330b。正常0S410或在正常0S410上驱动的各种应用程序可使用IXD控制器驱动器413控制IXD控制器330c。
[0075]TrustZone访问驱动器414可以在正常0S410中驱动。正常0S410或在正常0S410上驱动的各种应用程序可通过TrustZone访问驱动器414与安全0S420通信。
[0076]安全0S420可以是包括集成了安全功能的安全内核(secure Kernel)的操作系统。在支持TrustZone的片上系统300中,与正常0S410类似,可通过ARM核300驱动安全0S420。然而,安全0S420可在与正常0S410的时隙不同的时隙具有系统控制权限。
[0077]如果不存在存储器管理单元(MMU)的选择性访问控制,则用于重放安全内容的所有硬件IP的驱动器可在安全0S420中驱动。原因可能在于,指定给硬件IP的安全属性被统一地设置成安全模式,并且安全0S420存在控制硬件IP的权限。
[0078]然而,在示例性实施例的情况下,只有防火墙驱动器425可在安全0S420中驱动。防火墙驱动器425可控制TZPC370a、TZASC370b和片上系统300的存储器管理单元340a、340b和340c。可根据防火墙驱动器425的控制来控制用于处理安全内容的硬件IP的操作。换句话讲,可由防火墙驱动器425控制示例性实施例的安全操作。
[0079]图5是示意性示出根据实施例的存储器图映射的示图。参照图5,示出了由ARM核310示出的存储器映射。存储器映射可被划分成安全域510、530和540以及非安全域520。这种划分可由上述TZASC360b进行。
[0080]安全域510、530和540可包括存储器管理单元MMU、将被保护的硬件编解码器的缓冲器、安全OS、安全资源等的转换表。
[0081]SDRAM370的安全域510可包括存储器管理单元340a、340b和340c的转换表511、512和513。转换表511可与存储器管理单元340a的逻辑地址和物理地址的映射表相应。可通过转换表511定义硬件编解码器330a的可访问域。由于硬件编解码器330a的从端口被设置成具有非安全属性,因此可通过任何软件访问硬件编解码器330a。可通过被设置成非安全模式的硬件编解码器330a的主IP产生安全事务。然而,相对于访问硬件编解码器330a的任何主IP,可能不允许超出存储器管理单元340a的转换表511的范围之外的存储器访问。转换表511的功能还可应用于与图像转换器330b和IXD控制器330c相应的转换表 512 和 513。
[0082]转换表511可限制硬件编解码器330a的访问域。换句话讲,可通过转换表511决定硬件编解码器330a的可访问存储域。硬件编解码器330a可通过转换表511访问SDRAM370的安全域的一部分。例如,尽管硬件编解码器330a的主端口的属性被设置成安全模式S,但转换表511可被设置成使得SDRAM370的所有安全域510都不被访问。
[0083]编解码器输入缓冲器514可存储将被硬件编解码器330a处理的内容数据。硬件编解码器330a可访问和处理在编解码器输入缓冲器514中存储的内容。用于移动画面的运动补偿的参考帧可被存储在参考帧缓冲器515中。通常,可在参考帧中使用数据的先前帧。编解码器固件516可以是支持硬件编解码器330a的功能的代码数据。编解码器输出缓冲器517可以是存储经编解码器处理的数据的存储域。换句话讲,硬件编解码器330a可从SDRAM370的安全域中包括的编解码器输入缓冲器514和参考帧缓冲器515读取数据并且处理数据。经硬件编解码器330a处理的数据可被存储在编解码器输出缓冲器517中。
[0084]帧缓冲器518可用于存储经图像转换器330b处理的图像数据。图像转换器330b可读取存储在编解码器输出缓冲器517中的数据,以将所述数据转换成与屏幕相应的像素数据。被转换成针对移动装置优化的格式的像素数据可再次被存储在帧缓冲器518中。
[0085]存储图像内容的硬件编解码器330a和由图像转换器330b访问的SDRAM370的安全存储域510被描述为处理安全内容。
[0086]UI帧缓冲器521、加密内容522和非安全0S523可被加载到非安全存储域520上。不管硬件IP的安全属性如何,可访问非安全存储域520中存储的数据。安全0S531可被加载到内部SRAM530上。安全0S531可驱动需要安全性的应用程序。装置唯一密钥540可被设置成具有安全属性。尽管图5中未示出,但装置唯一密钥540可被包括在用于存储安全密钥的单独存储装置中。
[0087]在ARM核310中示出存储器映射。可通过上述TZASC360b控制存储器映射配置。
[0088]图6是示出硬件编解码器的可访问存储器映射的示图。参照图6,硬件编解码器330a可通过存储器管理单元340a只访问安全域的部分514、515、516和517。[0089]如果安全内容的DRM被释放,则它可被记录在被指定给SDRAM370的安全域的编解码器输入缓冲器514。此时,硬件编解码器330a可读取并解码存储在编解码器输入缓冲器514中的内容。硬件编解码器330a可转换从编解码器输入缓冲器514读取的帧数据。硬件编解码器330a可将转换后的数据写入编解码器输出缓冲器517。用于转换数据的参考帧可被写入参考帧缓冲器515。在移动画面的情况下,参考帧可由先前的帧形成。因此,硬件编解码器330a可具有关于参考帧缓冲器515的读权限和写权限。硬件编解码器330a可具有关于固件代码域516的读权限。
[0090]根据存储器管理单元340a的设置,硬件编解码器330a可具有关于编解码器输入缓冲器514和编解码器固件域516的读权限。根据存储器管理单元340a的设置,硬件编解码器330a可具有关于参考帧缓冲器515的读权限和写权限。根据存储器管理单元340a的设置,硬件编解码器330a可具有关于编解码器输出缓冲器517的写权限。
[0091]图7是示出图像转换器的可访问存储器映射的示图。参照图7,图像转换器330b可通过存储器管理单元340a只访问SDRAM370的安全域的部分517和518。
[0092]图像转换器330b可具有关于编解码器输出缓冲器517的读权限。经硬件编解码器330a处理的数据可被写入编解码器输出缓冲器517。图像转换器330b可从编解码输出缓冲器517读取数据,以将其转换成最佳格式。经图像转换器330b转换的图像数据可被写入帧缓冲器518。
[0093]根据存储器管理单元340b的设置,图像转换器330b可具有关于编解码器输出缓冲器517的读权限和关于帧缓冲器518的写权限。
[0094]图8是示出IXD控制器的可访问存储器映射的示图。参照图8,IXD控制器330c可通过存储器管理单元340a只访问SDRAM370的安全域的部分518和SDRAM370的非安全域的部分521。
[0095]IXD控制器330c可从帧缓冲器518读取经图像转换器330b转换的图像数据。与需要安全性的内容相应的图像数据可被存储在被设置成具有安全属性的帧缓冲器518中。
[0096]IXD控制器330c可具有关于UI帧缓冲器521的读权限。UI帧缓冲器521可包括在显示器、触摸屏的各种输入等上实现的菜单项。Π帧缓冲器521中存储的数据可以是与安全内容不相关的数据。因此,Π帧缓冲器521中存储的数据不需要被作为被设置成具有安全属性的数据来管理。IXD控制器330c可具有关于被存储器管理单元340c指定的存储域的读权限。
[0097]图9是示意性示出根据另一个实施例的片上系统的框图。参照图9,比较片上系统600和图3的片上系统300,可用存储器保护单元640a、640b和640c替换存储器管理单元340a、340b 和 340c。
[0098]存储器保护单元640a、640b和640c可没有存储器管理单元340a、340b和340c的虚拟地址映射功能。因此,存储器保护单元640a、640b和640c可一直利用SDRAM670的物理地址来控制对SDRAM670的访问。可在SDRAM670的安全域中管理存储器保护单元640a、640b和640c的地址映射表。片上系统600上的软件架构可与图4的片上系统的软件架构基本上相同。
[0099]图10是示意性示出根据又一个实施例的片上系统的框图。参照图10,比较片上系统700和图9的片上系统600,存储器保护单元640a、640b和640c可由存储器保护单元740形成。
[0100]存储器保护单元740可集成由存储器保护单元640a、640b和640c所执行的访问控制。尽管硬件编解码器730a、图像转换器730b和IXD控制器730c产生具有安全属性的事务,但存储器保护单元740可只允许访问有安全要求的存储域。换句话讲,存储器保护单元740可只允许硬件编解码器730a访问编解码器输入缓冲器514、参考帧缓冲器515、编解码器固件516和编解码器输出缓冲器517。编解码器输入缓冲器514、参考帧缓冲器515、编解码器固件516和编解码器输出缓冲器517可被指定给SDRAM770的安全域。
[0101]存储器保护单元740可允许图像转换器730b访问被指定给SDRAM770的安全域的编解码器输出缓冲器517和帧缓冲器518。具体地,图像转换器730b可通过存储器保护单元740的转换表具有关于编解码器输出缓冲器517的读权限和关于帧缓冲器518的写权限。
[0102]存储器保护单元740可允许IXD控制器730c访问被指定给SDRAM770的非安全域的UI帧缓冲器521和被指定给SDRAM770的安全域的帧缓冲器518。具体地,可通过存储器保护单元740的转换表将LCD控制器730c设置成具有关于UI帧缓冲器521和帧缓冲器518的读权限和写权限。
[0103]这里,存储器保护单元740的转换表可被指定给SDRAM770的安全域。另外,片上系统700上的软件架构可与图4的片上系统的软件架构基本上相同。
[0104]图11是示意性示出根据再一个实施例的片上系统的框图。参照图11,比较片上系统800和图10的片上系统700,可用存储器管理单元840替换存储器保护单元740。
[0105]存储器管理单元840可执行图10的存储器保护单元740的访问控制。尽管硬件编解码器830a、图像转换器830b和IXD控制器830c产生具有安全属性的事务,但存储器管理单元840可只允许访问有安全要求的存储域。换句话讲,存储器管理单元840可只允许硬件编解码器830a访问编解码器输入缓冲器514 (参照图5)、参考帧缓冲器515 (参照图5)、编解码器固件516 (参照图5)和编解码器输出缓冲器517 (参照图5)。编解码器输入缓冲器514、参考帧缓冲器515、编解码器固件516和编解码器输出缓冲器517可被指定给SDRAM770的安全域。
[0106]存储器管理单元840可允许图像转换器830b访问被指定给SDRAM870的安全域的编解码器输出缓冲器517和帧缓冲器518。具体地,图像转换器830b可通过存储器管理单元840的转换表具有关于编解码器输出缓冲器517的读权限和关于帧缓冲器518的写权限。
[0107]存储器管理单元840可允许IXD控制器830c访问被指定给SDRAM870的非安全域的UI帧缓冲器521和被指定给SDRAM870的安全域的帧缓冲器518。具体地,可通过存储器管理单元840的转换表将LCD控制器830c设置成具有关于UI帧缓冲器521和帧缓冲器518的读权限。
[0108]存储器管理单元840的转换表可被指定给SDRAM870的安全域。另外,片上系统800上的软件架构可与图4的片上系统的软件架构基本上相同。
[0109]图12是示意性示出包括片上系统的移动装置的框图。参照图12,作为手持终端的移动装置1000可包括图像处理单元1100、RF收发器1200、音频处理单元1300、图像文件产生单元1400、SRAM1500、用户接口 1600和控制器1700。[0110]图像处理单元1100可包括镜头1110、图像传感器1120、图像处理器1130和显示单元1140。RF收发器1200可包括天线1210、收发器1220和调制解调器1230。音频处理单元1300可包括音频处理器1310、麦克风1320和扬声器1330。
[0111]手持终端1000可包括各种种类的半导体器件。具体地,可能需要执行控制器1700的功能的片上系统的低功率和高性能特性。用于处理安全内容的控制器1700可并行驱动示例性实施例的安全OS和正常OS。双重安全属性可被设置成用于处理图像内容的硬件IP,并且可使用存储器管理单元或存储器保护单元限制关于被设置成双重安全属性的硬件IP的访问权限。这种技术可使得能够在充分提供内容的安全性期间重放高质量内容。
[0112]图13是示出根据示例性实施例的包括安全功能的计算机系统的框图。参照图13,计算机系统2000可包括与系统总线2060电连接的非易失性存储装置2010、CPU2020、RAM2030、用户接口 2040和调制解调器(诸如基带芯片集)。
[0113]如果计算机系统2000是移动装置,则它还可包括为计算机系统2000供电的电池(未示出)。尽管图13中未示出,但计算机系统2000还可包括应用芯片集、相机图像处理器(CIS)、移动 DRAM 等。
[0114]CPU2020可被配置的基本上与图3和图9至图11的片上系统300、600、700和800中的至少一个相同。换句话讲,CPU2020可通过TrustZone访问控制方式来控制硬件IP的存储器访问。另外,可将双重安全属性设置给CPU2020的硬件IP,并且可通过存储器管理单元MMU或存储器保护单元MPU限制被设置成双重安全属性的硬件IP对SDRAM1500的访问。因此,采用计算系统2000,可提供关于安全内容的高安全性和重放质量。
[0115]半导体器件和/或控制器可通过从以下各种类型的封装中选择的一种来封装:诸如PoP (层叠封装)、球栅阵列(BGA)、芯片级封装(CSP)、塑料引线芯片载体(PLCC)、塑料双列直插式封装(PDIP)、裸片格栅封装(Die in Waffle Pack)、裸片级晶片形式(Die inWafer Form)、板上芯片(COB)、陶瓷双列直插式封装(CERDIP)、塑料方形扁平封装(公制)(MQFP )、薄型方形扁平封装(TQFP )、小外形封装(SOI C )、窄间距小外形封装(SSOP )、薄型小外形封装(TSOP)、系统级封装(SIP)、多芯片封装(MCP)、晶片级制造封装(WFP)、晶片级加工的堆叠式封装(WSP)等。
[0116]根据示例性实施例的另一个方面,处理单元110、存储器管理单元140、访问控制单元160和存储器保护单元640a-640c中的任一个可包括用于执行它们各自功能的至少一个处理器。另外,处理单元110、存储器管理单元140、访问控制单元160和存储器保护单元640a-640c中的任一个可包括用于执行它们各自功能的电路、硬件模块或硬件器件。
[0117]虽然已经描述了示例性实施例,但本领域的技术人员应该清楚,可在不脱离示例性实施例的精神和范围的情况下进行各种改变和修改。因此,应该理解,以上实施例不是限制性的,而是说明性的。
【权利要求】
1.一种移动装置,包括: 工作存储器,具有被划分成安全域和非安全域的存储区域;以及 片上系统,被配置为访问和处理存储在安全域中的内容, 其中,芯片上系统包括: 处理单元,由安全操作系统和非安全操作系统中的至少一个驱动; 至少一个硬件块,被配置为根据处理单元的控制来访问所述内容,所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端口; 至少一个存储器管理单元,被配置为控制所述至少一个硬件块对所述工作存储器的访问;以及 访问控制单元,被配置为设置从端口和主端口的安全属性或者关于所述工作存储器的安全域和非安全域中的每个的访问权限。
2.如权利要求1所述的移动装置,其中,在非安全操作系统中执行用于控制所述至少一个硬件块的驱动器。
3.如权利要求1所述的移动装置,其中,所述至少一个硬件块的从端口被设置成非安全属性,并且所述至少一个硬件块的主端口被设置成安全属性。
4.如权利要求1所述的移动装置,其中,所述至少一个存储器管理单元允许在安全域中从所述至少一个硬件块启动的访问事务中的一部分。
5.如权利要求1所述的移动装置,其中,在安全操作系统中执行用于控制所述至少一个存储器管理单元和访问控制单元的防火墙驱动器。
6.如权利要求1所述的移动`装置,其中,由处理单元在不同时隙执行安全操作系统和非安全操作系统。
7.如权利要求1所述的移动装置,其中,处理单元根据所述内容的安全属性来设置访问控制单元。
8.如权利要求1所述的移动装置,其中,访问控制单元包括: 第一访问控制单元,被配置为限定所述至少一个硬件块的安全属性; 第二访问控制单元,被配置为限定关于工作存储器的安全域和非安全域中的每个的访问权限。
9.如权利要求8所述的移动装置,其中,处理单元支持TrustZone安全方式。
10.根据权利要求9所述的移动装置,其中,第一访问控制单元与TrustZone保护控制器TZPC相应,第二访问控制单元与TrustZone地址空间控制器TZASC相应。
11.一种移动装置,包括: 工作存储器,包括具有非安全域和安全域的存储区域,安全域包括编解码器输入缓冲器、编解码器输出缓冲器和帧缓冲器;以及 片上系统,被配置为根据TrustZone安全方式访问安全域或非安全域, 其中,片上系统包括: 处理单元,支持TrustZone安全方式的访问控制; 硬件编解码器,被配置为根据处理单元的控制来处理存储在编解码器输入缓冲器中的数据,并且被配置为将处理后的数据存储在编解码器输出缓冲器; 图像转换器,被配置为转换存储在编解码器输出缓冲器中的数据的图像格式,并且将图像格式被转换的数据存储在帧缓冲器中; IXD控制器,被配置为在显示器上显示存储在帧缓冲器中的图像格式被转换的数据;以及 第一存储器管理单元至第三存储器管理单元,被配置为控制硬件编解码器、图像转换器和IXD控制器对工作存储器的访问, 其中,硬件编解码器、图像转换器和LCD控制器中的每个的从端口和主端口被设置成具有不同的安全属性。
12.如权利要求11所述的移动装置,其中,在硬件编解码器、图像转换器和LCD控制器中的每个中,从端口被设置成非安全属性并且主端口被设置成安全属性。
13.如权利要求12所述的移动装置,还包括: 第一访问控制单元,被配置为设置硬件编解码器、图像转换器和IXD控制器的安全属性。
14.如权利要求13所述的移动装置,还包括: 第二访问控制单元,被配置为设 置工作存储器的安全域和非安全域。
15.如权利要求11所述的移动装置,其中,地址转换表被配置为限定第一存储器管理单元至第三存储器管理单元中的每个的能够访问的区域。
16.一种访问工作存储器以处理安全内容的片上系统,包括: 处理单元,专门被加载到工作存储器上的安全操作系统和非安全操作系统驱动; 至少一个硬件块,被配置为根据处理单元的控制来重放安全内容;以及 存储器保护单元,被配置为限制所述至少一个硬件块对工作存储器的访问, 其中,所述至少一个硬件块的从端口被设置成非安全属性,并且所述至少一个硬件块的主端口被设置成安全属性。
17.如权利要求16所述的片上系统,还包括: 访问控制单元,被配置为根据安全属性将处理单元和所述至少一个硬件块对工作存储器的访问事务进行逻辑上的分类。
18.如权利要求17所述的片上系统,其中,访问控制单元包括: TrustZone保护控制器TZPC,被配置为设置所述至少一个硬件块的主端口和从端口的安全属性。
19.如权利要求17所述的片上系统,其中,访问控制单元包括: TrustZone地址空间控制器TZASC,被配置为根据安全属性限制关于工作存储器的访问事务。
20.如权利要求17所述的片上系统,其中,由安全操作系统执行用于控制访问控制单元的驱动器软件。
21.—种根据TrustZone安全方式访问安全域或非安全域的片上系统,包括: 处理单元,被配置为支持TrustZone安全方式的访问控制; 硬件编解码器,被配置为根据处理单元的控制来处理存储在工作存储器中的数据,并且被配置为将处理后的数据存储在工作存储器中; 图像转换器,被配置为转换存储在工作存储器中的处理后的数据的图像格式,并且被配置为将图像格式被转换的数据存储在工作存储器中;IXD控制器,被配置为在显示器上显示存储在工作存储器中的图像格式被转换的数据;以及 第一存储器管理单元至第三存储器管理单元,被配置为控制硬件编解码器、图像转换器和LCD控制器对工作存储器的访问。
22.如权利要求21所述的片上系统,其中,硬件编解码器、图像转换器和LCD控制器中的每个的从端口和主端口中的每个被设置成具有不同的安全属性。
23.如权利要求21所述的片上系统,其中,工作存储器包括存储区域的非安全域和存储区域的非安全域,并且 其中,存储区域的安全域包括编解码器输入缓冲器、编解码器输出缓冲器和帧缓冲器。
24.如权利要求23所述的片上系统,其中,编解码器输入缓冲器被配置为存储数据,编解码器输出缓冲器被配置为存储处理后的数据,帧缓冲器被配置为存储图像格式被转换的数据。
25.如权利要求22所述的 片上系统,其中,在硬件编解码器、图像转换器和LCD控制器中的每个中,从端口被配置为被设置成非安全属性并且主端口被配置为被设置成安全属性。
【文档编号】G06F21/10GK103793629SQ201310516723
【公开日】2014年5月14日 申请日期:2013年10月28日 优先权日:2012年10月26日
【发明者】朴东珍, 康明熙, 金正泰, 吴在律, 元钟彬, 李润植 申请人:三星电子株式会社