本發明專利技術提出了一種基于關鍵內存保護機制的微處理器,內置有高速緩存Cache和內存控制器,其特征在于,在所述Cache與所述內存控制器之間的寫通道上還配置有寫內存保護組件;所述寫內存保護組件用于審核從Cache寫回到內存的下行數據。本發明專利技術在微處理器的核內配置內存保護組件,禁止受保護的內存區域被篡改,防止內存注入攻擊的產生,解決現有安全處理器內部缺少安全機制的問題。
Microprocessor Based on Key Memory Protection Mechanism
【技術實現步驟摘要】
基于關鍵內存保護機制的微處理器
本專利技術屬于計算機安全領域,尤其涉及一種基于關鍵內存保護機制的安全微處理器。
技術介紹
隨著近年來計算機和智能終端的廣泛普及,以及互聯網技術的高速發展,設備安全的問題也更是日益凸顯。而處理器作為計算設備的關鍵核心,處理器的安全問題將嚴重影響整個計算設備的安全性。目前,針對處理器的安全技術主要有硬件虛擬化技術和TrustZone技術。例如Intel、AMD等CPU廠商,利用硬件虛擬化技術來實現CPU的安全;硬件虛擬化技術是一種基于指令調度權限管理和控制的安全機制,如虛擬機監視器(VMM,VirtualMachineMonitor,也被稱為Hypervisor),專指在使用硬件虛擬化技術時創建出的特權層,該層提供給虛擬機開發者,用來實現虛擬硬件與真實硬件的通信和事件處理,VMM的權限級別要大于操作系統的權限。如圖1所示,在Intel虛擬化技術架構中,VMM的權限可被視為處于ring-1級。ARM架構CPU的TrustZone技術,為用戶模式和特權模式引入了安全狀態標識和判斷機制,以決定系統是運行在非安全的“普通”執行環境下,還是運行在安全可信任的“安全”環境下。安全監控器(Monitor)控制著安全與“普通”環境之間的轉換,圖2為TrustZone模式下兩個并行安全環境的示意圖。但無論是Intel硬件虛擬化技術,還是ARM的TrustZone技術,本質上都是基于度量驗證和安全執行環境構建,無法做到在CPU運行時直接干預CPU核心流水線上的指令執行的實時控制,缺少安全機制直接參與核心流水線的CPU架構。
技術實現思路
有鑒于此,本專利技術的一個目的是提出一種基于關鍵內存保護機制的微處理器,以解決現有安全處理器內部缺少安全機制的問題。在一些說明性實施例中,所述基于關鍵內存保護機制的微處理器,內置有高速緩存Cache和內存控制器,在所述Cache與所述內存控制器之間的寫通道上還配置有寫內存保護組件;所述寫內存保護組件用于審核從Cache寫回到內存的下行數據。在一些優選地實施例中,所述寫內存保護組件包括:寫通道控制單元和審核單元;所述寫通道控制單元,配置在所述Cache與內存控制器之間的寫通道上,且與所述審核單元連接,用于在所述寫通道上攔截下行數據,將其送入所述審核單元進行審核;以及將攜帶審核結果的下行數據送回所述寫通道;所述審核單元,用于審核所述下行數據,將該下行數據及其審核結果送回所述控制單元。在一些優選地實施例中,所述寫內存保護組件還配置有用于存放需要保護的內存地址的審核表;所述審核單元被配置訪問所述審核表,依據所述審核表中的保護地址審核所述下行數據,判斷所述下行數據是否篡改受保護的內存區域。在一些優選地實施例中,所述審核表存放在片內緩沖區Buffer中。在一些優選地實施例中,在判定所述下行數據將篡改受保護的內存區域時,所述審核單元還用于修改該下行數據的目標地址;其中,修改后的所述目標地址不在內所述受保護的內存區域。本專利技術的另一個目的在于提出一種計算設備,該計算設備裝配有上述任一種微處理器。與現有技術相比,本專利技術具有以下優點:1.本專利技術在微處理器的核內配置內存保護組件,通過對從即將從Cache寫入內存的過程中實現對下行數據的審核,解決現有安全處理器內部缺少安全機制的問題;2.本專利技術在微處理器的核內配置內存保護組件,禁止受保護的內存區域被篡改,防止內存注入攻擊的產生,解決現有安全處理器內部缺少安全機制的問題。附圖說明此處所說明的附圖用來提供對本專利技術的進一步理解,構成本申請的一部分,本專利技術的示意性實施例及其說明用于解釋本專利技術,并不構成對本專利技術的不當限定。在附圖中:圖1是現有技術中硬件虛擬化技術的示意圖;圖2是現有技術中trustzone技術的示意圖;圖3是本專利技術實施例中微處理器的結構示意圖;圖4是本專利技術實施例中內存保護組件的結構示意圖;圖5是本專利技術實施例中內存保護組件的結構示意圖;圖6是本專利技術實施例中內存保護組件的結構示意圖;圖7是本專利技術實施例中微處理器的結構示意圖;圖8是本專利技術實施例中寫內存保護組件的結構示意圖;圖9是本專利技術實施例中微處理器的結構示意圖;圖10是本專利技術實施例中微處理器的結構示意圖;圖11是本專利技術實施例中內存保護方法流程圖;圖12是本專利技術實施例中微處理器的結構框圖;圖13是本專利技術實施例中防止內存注入攻擊的方法流程圖;圖14是本專利技術實施例中微處理器的結構框圖。具體實施方式以下描述和附圖充分地示出本專利技術的具體實施方案,以使本領域的技術人員能夠實踐它們。其他實施方案可以包括結構的、邏輯的、電氣的、過程的以及其他的改變。實施例僅代表可能的變化。除非明確要求,否則單獨的部件和功能是可選地,并且操作的順序可以變化。一些實施方案的部分和特征可以被包括在或替換其他實施方案的部分和特征。本專利技術的實施方案的范圍包括權利要求書的整個范圍,以及權利要求書的所有可獲得的等同物。在本文中,本專利技術的這些實施方案可以被單獨地或總地用術語“專利技術”來表示,這僅僅是為了方便,并且如果事實上公開了超過一個的專利技術,不是要自動地限制該應用的范圍為任何單個專利技術或專利技術構思。在以下詳細描述中,會提出大量特定細節,以便于提供對本專利技術的透徹理解。但是,本領域的技術人員會理解,即使沒有這些特定細節也可實施本專利技術。在其它情況下,沒有詳細描述眾所周知的方法、過程、組件和電路,以免影響對本專利技術的理解。為了可以更快的理解本專利技術的主要思想,現在對本專利技術中所采用的術語進行解釋說明:“上行數據”,針對上行數據,本專利技術統一是指經過處理器核心控制從內存提取到,將要寫入Cache的數據;“下行數據”,針對下行數據,本專利技術統一是指由處理器核心直接要向內存中寫的數據(UnCache的情況)或者是經過處理器核心控制從Cache向內存中寫的數據。微處理器(又稱中央處理器CPU)從微電子電路的角度描述,微處理器是一塊超大規模的集成電路,是計算設備的運算核心和控制核心,主要由運算器(ALU,ArithmeticandLogicUnit)和控制器(CU,controlUnit)兩大部件組成,除此之外,還配置若干寄存器、高速緩沖存儲器Cache(含CacheL1、CacheL2、共享Cache)、以及實現數據及狀態交互的總線,微處理器的功能主要是解釋計算機指令和處理計算機軟件的數據。現在參照圖3,圖3示出了本專利技術中具有核內安全機制的微處理器的結構框圖,如該結構框圖所示,公開了一種微處理器,該微處理器內置有處理器核心(CPUCore)11、高速緩存Cache12、內存控制器13、以及用于審核從內存提取到Cache的上行數據的讀內存保護組件14;該讀內存保護組件14被設置在Cache12與內存控制器13之間的讀通道上。現代的內存控制器13是內置在微處理器CPU的基板上的,CPU核心11從內存中提取數據到Cache12中就必須經過內存控制器13,因此在Cache12與內存控制器13之間的讀通道上設置讀內存保護組件14,可以分析到所有從內存提取到Cache12的上行數據;另一點,Cache12與內存控制器13之間的讀通道是雙向的,第一條a是由處理器核心11向內存控制器13發送數據請求,第二條b是由內存控制器13從內存中提取寫往Cache12;優選地,本專利技術的本文檔來自技高網...
【技術保護點】
1.一種基于關鍵內存保護機制的微處理器,其特征在于,內置有高速緩存Cache和內存控制器,其特征在于,在所述Cache與所述內存控制器之間的寫通道上還配置有寫內存保護組件;所述寫內存保護組件用于審核從Cache寫回到內存的下行數據。
【技術特征摘要】
1.一種基于關鍵內存保護機制的微處理器,其特征在于,內置有高速緩存Cache和內存控制器,其特征在于,在所述Cache與所述內存控制器之間的寫通道上還配置有寫內存保護組件;所述寫內存保護組件用于審核從Cache寫回到內存的下行數據。2.根據權利要求1所述的微處理器,其特征在于,所述寫內存保護組件包括:寫通道控制單元和審核單元;所述寫通道控制單元,配置在所述Cache與內存控制器之間的寫通道上,且與所述審核單元連接,用于在所述寫通道上攔截下行數據,將其送入所述審核單元進行審核;以及將攜帶審核結果的下行數據送回所述寫通道;所述審核單元,用于審核所述下行數據,將該下行數據及其審核結果送回所述控...
【專利技術屬性】
技術研發人員:汪家祥,吳亞坤,李達,楊克學,
申請(專利權)人:中天安泰北京信息技術有限公司,
類型:發明
國別省市:北京,11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。