內存空間管理及內存訪問控制方法及裝置與流程
2023-06-23 17:13:31
本發明涉及存儲領域,特別是涉及內存空間管理及內存訪問控制方法及裝置。
背景技術:
終端設備開放環境的安全問題越來越受到關注,不僅僅針對終端用戶,還針對服務提供者、移動運營商以及晶片廠商,特別是對於電視及機頂盒需要處理的uhd(ultrahighdefinitiontelevision,超高畫質電視)流媒體內容及uhd+的流媒體內容。
為了保護媒體內容,基於tee(trustedexecutionenvironment,可信執行環境)技術的drm(數字版權保護)幾乎已經成了超高清內容提供商必備的要求,tee是與設備上的richos(通常是基於linux的作業系統)並存的運行環境,第三方開發的可信應用程式(ta)運行於tee環境中,為richos提供安全服務。tee本身的啟動可靠性受到安全引導(securityboot)技術的保護。
tee環境下,安全內存(securitymemory)是禁止非安全狀態的硬體單元(hwip,通常代表richos端)訪問的,基於此,視頻解碼緩存器以及圖像增強(pq)緩存器保存在安全內存中,以防止盜版。其中,安全內存的位置是開機執行的安全引導流程設置,不能夠任意調整位置和大小,只能在運行tee環境時打開或關閉。
而且,如圖1所示現在產品均是將安全內存12獨立於系統內存11之外。對於一些終端設備其所需安全內存的空間較大,如對於支援uhd的播放終端,支援單路uhd解碼和圖像增強的晶片,其安全內存所需總量超過200mb,支援雙路uhd解碼或者支援uhd+解碼的晶片,其安全內存所需總量會達到350mb以上,故該終端往往設備需設置大容量的獨立的安全內存,導致系統成本的上升。而且,當安全狀態的硬體單元不工作時起此大容量的安全內存則處於空閒狀態,故導致該存儲資源浪費。
技術實現要素:
本發明主要解決的技術問題是提供內存空間管理及內存訪問控制方法及裝置,能夠減少存儲資源的浪費,減少系統成本。
為解決上述技術問題,本發明採用的一個技術方案是:提供一種內存空間管理方法,用於管理供硬體單元或處理器進行訪問的系統內存,包括:在接收到所述硬體單元發出的一操作請求時,根據操作請求的類型來判斷所述硬體單元請求的操作是否是訪問所述系統內存裡的一安全內存區域;若是,則將所述系統內存中的所述需訪問的安全內存區域從默認的第一狀態更改為第二狀態,並將所述硬體單元設置為安全狀態;其中,所述安全內存區域處於所述第一狀態時,表示限定僅供處理器進行訪問,所述硬體單元不可對其進行訪問;所述安全內存區域處於所述第二狀態時,表示僅供處於安全狀態的所述硬體單元進行訪問。
為解決上述技術問題,本發明採用的另一個技術方案是:一種內存訪問控制方法,用於控制供處理器或一硬體單元訪問的系統內存,包括:在接收到訪問請求時,獲取所述訪問請求中的訪問地址和訪問者標識;檢查所述訪問地址指向的內存空間的當前狀態,得到一檢查結果,其中,所述內存空間的狀態包括第一狀態和第二狀態;查找所述訪問者標識是否屬於多個允許訪問集合中的與所述檢查結果對應的允許訪問集合,其中,所述多個允許訪問集合包括對應第一狀態的第一允許訪問集合和對應第二狀態的第二允許訪問集合;根據查找結果生成一指令,其中,所述指令用於指示允許或不允許所述訪問者訪問所述內存空間。
為解決上述技術問題,本發明採用的再一個技術方案是:一種非瞬時計算機可讀儲存媒體,用於管理供處理器或一硬體單元進行訪問的系統內存,其中存儲由一處理器讀取並執行的一程序代碼,所述程序代碼包括:一第一子程序碼,用以在接收到所述硬體單元發出的一操作請求時,根據操作請求的類型來判斷所述硬體單元請求的操作是否是訪問所述系統內存裡的一安全內存區域;以及一第二子程序碼,用以將所述系統內存中的所述需訪問的安全內存區域從默認的第一狀態更改為第二狀態,並將所述硬體單元設置為安全狀態;其中,所述安全內存區域處於所述第一狀態時,表示限定僅供處理器進行訪問,所述硬體單元不可對其進行訪問;所述安全內存區域處於所述第二狀態時,表示僅供處於安全狀態的所述硬體單元進行訪問。
為解決上述技術問題,本發明採用的又再一個技術方案是:一種內存訪問控制裝置,與一系統內存經由總線連接,用來控制處理器或一硬體單元存取該系統內存,包括:複數個保護組,其中每個保護組用於根據一訪問者標識查找一允許訪問列表得到一查找結果;一檢查單元,用於根據一訪問地址檢查所述訪問地址指向的內存空間的當前狀態為一第一狀態還是一第二狀態,得到一檢查結果;以及一判斷單元,連接於所述複數個保護組和所述檢查單元,用於接收所述複數個保護組的複數個查找結果和所述檢查結果,並根據所述檢查結果決定所述複數個查找結果之一查找結果,並根據所述查找結果產生一決定訊號。
為解決上述技術問題,本發明採用的又再一個技術方案是:一種內存訪問控制裝置,與一系統內存經由總線連接,用來控制處理器或一硬體單元存取該系統內存,包括:一檢查單元,用於根據一訪問地址檢查所述訪問地址指向的內存空間的當前狀態為一第一狀態還是一第二狀態,得到一檢查結果;複數個保護組,連接於所述檢查單元,其中與所述檢查結果對應的保護組用於根據一訪問者標識查找允許訪問列表得到一查找結果;以及一判斷單元,連接於所述複數個保護組,用於接收所述與所述檢查結果對應的保護組的查找結果,並根據所述查找結果產生一決定訊號。
上述方案,系統內存中設置有安全內存區域,處理器根據硬體單元的操作請求更改安全內存區域的狀態,使得內存控制器在接收到訪問安全內存區域的訪問請求時,根據該安全內存區域的狀態限定訪問請求的發出者是否可以訪問,具體限定若安全內存區域為第一狀態時,限定僅處理器可對其訪問,若安全內存區域為第二狀態時,限定僅安全狀態的硬體單元可對其訪問,通過設置安全內存區域的不同狀態以限定可訪問其的對象,防止處理器和安全狀態的硬體單元訪問到彼此的存儲數據,故在保證系統內存和安全內存區域各自的安全性的同時,實現了系統內存與安全內存區域的分時共享,處理器和硬體單元分時復用物理內存,無需獨立設置安全內存,減少了存儲資源的浪費以及系統成本。
附圖說明
圖1是現有系統內存與安全內存之間的結構示意圖;
圖2是本發明系統內存與安全內存之間的一結構示意圖;
圖3是本發明內存空間管理方法一實施例的流程圖;
圖4是本發明系統內存與安全內存之間的另一結構示意圖;
圖5是本發明內存訪問控制方法一實施例的流程圖;
圖6是本發明內存訪問控制方法另一實施例的部分流程圖;
圖7是本發明內存訪問控制方法再一實施例的部分流程圖;
圖8是本發明對於安全內存碎片回收利用一實施例的處理示意圖;
圖9是可採用本發明內存訪問控制方法的系統結構示意圖;
圖10是本發明內存訪問控制裝置一實施例的結構示意圖;
圖11是本發明檢查單元的一實施例的結構示意圖;
圖12是本發明判斷單元的一實施例的結構示意圖;
圖13是本發明內存訪問控制裝置另一實施例的結構示意圖
具體實施方式
以下描述中,為了說明而不是為了限定,提出了諸如特定系統結構、接口、技術之類的具體細節,以便透徹理解本申請。然而,本領域的技術人員應當清楚,在沒有這些具體細節的其它實施方式中也可以實現本申請。在其它情況中,省略對眾所周知的裝置、電路以及方法的詳細說明,以免不必要的細節妨礙本申請的描述。
為了便於理解本發明,先對本發明部分元件及名詞進行說明。
本文所述的處理器為用於運行終端作業系統的核心電路。具體,該處理器可用於運行安全環境和非安全環境,例如tee和richos兩個系統環境。當然,上述兩個環境也可為同一個處理器或者由兩個處理器分別實現,在此不作限定。
本文所述的硬體單元(也稱為hwip)具體為終端中除處理器外的硬體電路,例如播放設備的視頻解碼器、圖像增強處理器、顯示屏驅動器、屏幕顯示(英文:onscreendisplay,簡稱:osd)混合器等媒體相關硬體單元。該硬體單元包括安全狀態和非安全狀態,該硬體單元處於安全狀態即為該硬體單元當前執行安全性操作,處於非安全狀態即該硬體單元當前執行常規操作,例如,在tee和richos雙系統的終端中,當硬體單元在tee環境下運行第三方可信應用程式進行操作需要訪問安全內存區域內容時需要切換到安全狀態,當硬體單元運行一般的第三方應用程式進行操作只需訪問一般非保護需求的內存區域時,則切換到非安全狀態。
本文所述的系統內存為終端的作業系統存儲指令和數據的存儲空間,提供給處理器進行訪問。該系統內存具體可為動態隨機存取存儲器(英文:dynamicrandomaccessmemory,簡稱:dram),在一採用linux作業系統的終端中,該系統內存為內核管理的存儲空間(也稱linuxkernelmemory),以供作業系統內核(如linuxkernel)管理及作業系統內核和應用程式訪問。
基於現有安全內存區域與系統內存相互獨立,導致內存資源的浪費。本發明提出將系統內存與安全內存區域分時共享,具體將系統內存中的一段內存空間標記作為安全內存區域(securityrange),該安全內存區域按照不同設置狀態可提供於安全狀態的硬體單元訪問,或者提供於處理器訪問。當然,在系統內存之外還可獨立設置有安全內存區域,該系統內存內的安全內存區域提供給某些安全狀態的硬體單元的短暫性的訪問,該系統內存外的安全內存區域提供給某些安全狀態的硬體單元的長期訪問。
另外,本發明還可將系統內存中的另一段內存空間標記作為非安全內存區域,該非安全內存區域按照不同設置狀態可提供於非安全狀態的硬體單元或安全狀態和非安全狀態的硬體單元訪問,或提供於處理器訪問。
其中,如圖2所示,上述安全內存區域22和非安全內存區域23均可為由連續內存分配器(英文:contiguousmemoryallocator,簡稱:cma)分配的系統內存21中的一段或多段連續物理內存區域。該安全內存區域22與該非安全內存區域23構成cma分配的預設內存區域24。該安全內存區域22與該非安全內存區域23具體可設置與該系統內存中的任意位置上,在此不作限定。
請參閱圖3,圖3是本發明內存空間管理方法一實施例的流程圖。本實施例中,該方法由處理器執行,用於管理供硬體單元或處理器進行訪問的系統內存,具體包括以下步驟:
s31:處理器在接收到硬體單元發出的一操作請求時,根據操作請求的類型來判斷該硬體單元請求的操作是否是訪問該系統內存裡的一安全內存區域。
其中,終端設備的處理器預先將系統內存中部分連續內存劃分為安全內存區域。例如,在系統啟動時(即該終端設備開機時),處理器按照內存分配策略將所述系統內存中一段或多段連續內存劃分為安全內存區域,具體可由處理器運行驅動程序以cma的方式向系統內存申請得到該安全內存區域。當然,根據實際需求中,在終端設備開機後的工作過程中也可進行重新劃分該安全內存區域。該內存分類策略具體可為根據該終端設備所需運行的不同項目對應分配不同容量的安全內存區域。為保證安全內存區域的安全性,上述劃分由處於安全狀態下的處理器執行,例如為終端設備中運行tee的處理器,處於非安全狀態下的處理器如運行richos的處理器無法對該設定的安全內存區域進行修改或控制。
本實施例中,處理器在接收到硬體單元的操作請求後,先確定該操作請求的類型是否為需要佔用存儲空間的安全性的操作請求,例如一硬體單元申請安全視頻通路,確認該操作需訪問系統內存中至少部分安全內存區域以作為其安全視頻通路用到的視頻解碼、圖像增強等過程中使用的內存空間。若確定該操作請求為需要佔用存儲空間且安全性的操作請求,則判斷該操作請求需要訪問該系統內存裡的一安全內存區域,並執行s32,若確定該操作請求為需要佔用存儲空間的非安全性的操作請求,則判斷該操作請求不需要訪問該系統內存裡的安全內存區域,並執行s33。
s32:處理器將所述系統內存中的所述需訪問的安全內存區域從默認的第一狀態更改為第二狀態,並將所述硬體單元設置為安全狀態。
該系統內存中預設的安全內存區域可包括第一狀態和第二狀態。其中,所述安全內存區域處於所述第一狀態時,表示限定僅供處理器進行訪問,所述硬體單元不可對其進行訪問;所述安全內存區域處於所述第二狀態時,表示僅供處於安全狀態的所述硬體單元進行訪問。
默認地,處理器預設的安全內存區域的狀態為第一狀態,即可供處理器進行訪問,且硬體單元不具有訪問權限。在確定當前硬體單元的操作需要使用安全內存區域時,利用cma分配需要使用的一段連續的安全內存區域,並將該操作需要使用的安全內存區域中的當前數據轉移到系統內存的其他空間(安全內存區域處於第一狀態時候的數據為處理器訪問的數據,故為避免處理器數據丟失,先將其轉移到其他存儲空間)。處理器並將該操作需要使用的安全內存區域的第一狀態更改為第二狀態。具體,本次需更改狀態的安全內存區域的大小可根據該硬體單元的操作請求的類型進行分配,例如,系統內存中預設有300m安全內存區域,若當前操作請求為一路視頻解碼請求,則將系統內存中預設的100m安全內存區域的狀態進行上述更改,以將該100m安全內存區域用於存儲硬體單元的視頻解碼時的碼流。
而且,處理器將該硬體單元標記為安全狀態,以保證該硬體單元在操作過程中有權限訪問該第二狀態的安全內存區域。具體,可將每個硬體單元的狀態以列表形式存儲在處理器以及內存控制器可訪問的存儲空間中。
在一具體應用中,該安全內存區域劃分為第一數量內存頁(也稱entry),每個內存頁的大小固定,具體大小可為1m或512kb等,每個內存頁均設置有第一控制位。s32中所述將所述系統內存中的所述需訪問的安全內存區域從默認的第一狀態更改為第二狀態具體包括以下子步驟:
s321:確定所述需訪問的安全內存區域的大小為第二數量內存頁。
s322:將所述安全內存區域中的第二數量內存頁的第一控制位由第一字符更改為第二字符。
其中,所述第一控制位為第一字符時,表示所述內存頁處於所述第一狀態,即該內存頁的內存回收給處理器使用;所述第一控制位為第二字符時,表示所述內存頁處於所述第二狀態,即該內存頁的內存分配給安全狀態的硬體單元使用,系統內存無法將該內存用作內部用途;所述第一數量大於或等於所述第二數量。
如圖4所示,系統內存40預設有entry0-entry255共256個內存頁作為安全內存區域41,該256個內存頁的當前第一控制位p的默認為1,表示所有該內存頁開始均限供處理器訪問。處理器根據當前操作請求的類型確定該操作所需的存儲空間為100個內存頁,並將安全內存區域41中的entry0-entry99的第一控制位p值更改為0,以表示該100個內存頁當前僅供安全狀態的硬體單元訪問。
s33:處理器將系統內存中的至少部分非安全內存區域從第一狀態更改為第二狀態,並將所述硬體單元設置為非安全狀態。
本實施例中,該系統內存中還預設有非安全內存區域,該非安全內存區域也包括第一狀態和第二狀態。其中,所述非安全內存區域處於所述第一狀態時,表示僅供處理器進行訪問,所述非安全內存區域處於所述第二狀態時,表示可由處於安全狀態或非安全狀態的硬體單元進行訪問,或限定僅供處於非安全狀態的硬體單元進行訪問。
默認地,處理器預設的非安全內存區域的狀態為第一狀態,即可供處理器進行訪問,且硬體單元不具有訪問權限。在確定當前硬體單元的操作不需要使用安全內存區域,即使用非安全內存區域時,利用cma從系統內存中分配該操作需要使用的非安全內存區域,並將該操作需要使用的非安全內存區域的第一狀態更改為第二狀態。同理於s32所述,本次需更改狀態的非安全內存區域的大小可根據該硬體單元的操作請求的類型進行分配。
而且,處理器將該硬體單元標記為非安全狀態,以確定該硬體單元目前執行的是非安全性操作,故只可訪問第二狀態的非安全內存區域,避免其在操作過程中有權限訪問該第二狀態的安全內存區域。
在一具體應用中,該非安全內存區域可劃分為第三數量內存頁。該s33中所述將系統內存中的至少部分非安全內存區域從第一狀態更改為第二狀態具體包括以下子步驟:
s331:確定所述需訪問的非安全內存區域的大小為第四數量內存頁。
s332:將所述非安全內存區域中的第四數量內存頁的第一控制位由第一字符更改為第二字符。
其中,所述第一控制位為第一字符時,表示所述內存頁處於所述第一狀態,即該內存頁的內存回收給處理器使用;所述第一控制位為第二字符時,表示所述內存頁處於所述第二狀態,即該內存頁的內存分配給硬體單元使用,系統內存無法將其作為內部用途;所述第一數量大於或等於所述第二數量。
繼續如圖4所示,系統內存40預設有entry256-entry356共100個內存頁作為非安全內存區域42,其中,該安全內存區域41和非安全內存區域42構成了系統內存的預設內存區域43,該區域43屬於cma分配的區域,系統內存40除預設內存區域43外的剩餘區域均限供處理器訪問。非安全內存區域42的100個內存頁的當前第一控制位p的默認為1,表示所有該內存頁開始均限供處理器訪問,硬體單元不可訪問。處理器根據當前操作請求的類型確定該操作所需的存儲空間為50個內存頁,並將非安全內存區域42中的entry256-entry306的第一控制位p值更改為0,以表示該50個內存頁當前僅供非安全狀態的硬體單元訪問,或供任意狀態下的硬體單元訪問,處理器不可訪問。
當然,在其他實施例中,該系統內存可不包括非安全內存區域,相應,該方法也不包括上述s33,當處理器執行s31判斷硬體單元的操作不需訪問安全內存區域時,則結束流程。
s34:處理器在確定該硬體單元操作完成時,將所述操作訪問到的安全內存區域從第二狀態更改為第一狀態。
進一步地,該處理器執行上述s32或s33之後,若確定該硬體單元操作完成,處理器還將所述操作訪問到的安全內存區域或非安全內存區域從第二狀態更改為第一狀態,以使該訪問到的安全內存區域或非安全內存區域重新回收為系統內存的內部用途,即僅供處理器使用。當然,在另一實施例中,在硬體單元完成後,處理器可先不更改該相關內存區域的狀態,而是在確定系統內存的其他存儲空間不夠用時,再將所述硬體單元訪問到的安全內存區域或非安全內存區域從第二狀態更改為第一狀態。
上述s31-s33可由非安全狀態的處理器執行,例如運行richos的處理器,以方便richos端與cma配合以靈活分配相關的內存區域並控制該內存區域的狀態。其中,s32中該內存區域的狀態更改可具體由非安全狀態的處理器的作業系統(如linux)內存管理驅動模塊執行。
當然,在其他實施例中,上述s31-s33也可由安全狀態的處理器執行,或者上述s32中的硬體單元的狀態設置可由安全狀態的處理器執行,其餘步驟由非安全狀態的處理器執行。在一應用中,該安全狀態的處理器為運行tee環境的處理器,該非安全狀態的處理器為運行richos的處理器,也即運行該正常作業系統內核(如linuxkernel)的處理器。
本實施例,系統內存中設置有安全內存區域,處理器根據硬體單元的操作請求更改安全內存區域的狀態,使得內存控制器在接收到訪問安全內存區域的訪問請求時,根據該安全內存區域的狀態限定訪問請求的發出者是否可以訪問,具體限定若安全內存區域為第一狀態時,限定僅處理器可對其訪問,若安全內存區域為第二狀態時,限定僅安全狀態的硬體單元可對其訪問,通過設置安全內存區域的不同狀態以限定可訪問其的對象,防止處理器和安全狀態的硬體單元訪問到彼此的存儲數據,故在保證系統內存和安全內存區域各自的安全性的同時,實現了系統內存與安全內存區域的分時共享,處理器和硬體單元分時復用物理內存,無需獨立設置安全內存,減少了存儲資源的浪費以及系統成本。
請參閱圖5,圖5是本發明內存訪問控制方法一實施例的流程圖,本實施例中,該控制方法由內存控制器執行,該內存控制器與至少一個處理器以及至少一個硬體單元連接,該內存控制器用於執行本控制方法來控制處理器及該硬體單元對上述系統內存的訪問如向系統內存讀取數據或寫入數據等。該控制方法具體包括以下步驟:
s51:內存控制器在接收到訪問請求時,獲取所述訪問請求中的訪問地址和訪問者標識。
該訪問請求可來自與處理器或硬體單元,用於請求訪問上述系統內存中的部分內存空間。本文所述的訪問具體包括讀取或寫入數據。
s52:檢查所述訪問地址指向的內存空間的當前狀態,得到一檢查結果。
如上實施例所述,系統內存中包含有預設內存區域如圖4所述的預存內存區域43,以可用於提供給硬體單元訪問。在不同實施例中,該預存內存區域具體可包括上述安全內存區域,或者包括上述安全內存區域和上述非安全內存區域。且該預存內存區域的狀態可如上述實施例所述進行設置。內存控制器可先確定該訪問地址指向的內存空間是否為該預存內存區域,若是,則執行s52;否則確定該內存空間僅供處理器訪問,並當訪問者為硬體單元時阻止其訪問該內存空間,以防止硬體單元竊取處理器的數據。
本實施例中,該預設內存區域如圖4所示,包括若干個上述內存頁。若該資源共享僅針對預設內存區域的安全內存區域,只需檢查所述訪問地址指向的內存空間的當前狀態,s52中的所述查詢所述訪問地址指向的內存空間的當前狀態包括:讀取所述訪問地址指向的內存頁的第一控制位的值,以確定所述訪問地址指向的內存頁的當前狀態。該檢查結果是:當所述訪問地址指向的內存頁的第一控制位均為第一字符時,表示訪問地址指向的內存空間處於第一狀態;當所述訪問地址指向的內存頁的第一控制位均為第二字符時,表示訪問地址指向的內存空間處於第二狀態。
s53:根據訪問者標識查找多個允許訪問集合,得到多個查找結果。
允許訪問集合包含允許訪問系統內存的處理器或者硬體單元的標識。下面以允許訪問集合具體為允許訪問列表為例,若經過查表,判斷訪問者標識是否在允許訪問列表中,該查找結果為在允許訪問列表中,或者不在允許訪問列表中。具體的若僅需檢查所述訪問地址指向的內存空間的當前狀態,那麼該多個允許訪問列表為分別對應第一狀態和第二狀態的兩個允許訪問列表。
s54:根據該檢查結果選擇該多個查找結果中的一該查找結果,並根據該查找結果生成一指令,其中該指令用於指示允許或不允許該訪問者存取該內存空間。
具體,選擇與該檢查結果對應的允許訪問列表的查找結果,若查找結果為在該允許訪問列表中,則生成允許該訪問者存取該訪問地址指向的內存空間的指令,否則生成不允許該訪問者存取該訪問地址指向的內存空間的指令。
可以理解的是,本實施例是在s54才根據檢查結果從多個查找結果中選擇與檢查結果匹配的查找結果,故s52和s53可為同步執行。在其他實施例中,也可在執行s52後,執行s53為從所述多個允許訪問集合中選擇與所述檢查結果對應的允許訪問集合,並根據所述訪問者標識查找該選擇的允許訪問集合,得到一查找結果,再執行s54為根據查找結果生成一指令。以上s52-s54均為查找所述訪問者標識是否屬於多個允許訪問集合中的與所述檢查結果對應的允許訪問集合,並根據查找結果生成一指令的具體實現方式,再次不作限定。
由於對應內存空間不同狀態的允許訪問列表包含上述不同的訪問者標識。在一實施例中,若對應第一狀態的允許訪問列表僅包含處理器標識;對應第二狀態的允許訪問列表僅包含硬體單元標識。則s54實現了:當所述訪問地址指向的內存空間處於第一狀態時,若所述訪問請求是處理器發出的,則允許其訪問所述內存空間,否則阻止對所述內存空間的訪問;當所述訪問地址指向的內存空間處於第二狀態時,若所述訪問請求是符合要求的硬體單元發出的,則允許其訪問所述內存空間,否則直接阻止對所述內存空間的訪問。
如上述實施例所述,該預設內存區域包括第一狀態和第二狀態,且不同狀態下,允許不同硬體進行訪問。當所述訪問地址指向的內存空間處於第一狀態時,表示該內存空間當前僅允許處理器訪問,若硬體單元請求訪問則由該內存控制器阻止並可拋出系統異常,以防止硬體單元由於錯誤時序或其他原因誤訪問處理器內存,竊取或篡改該處理器內存,此時系統內存保護支持(也稱為kprotect)生效,內存控制器可採用kprotect進行對該預設內存區域的保護;當所述訪問地址指向的內存空間處於第二狀態時,表示該內存空間當前僅允許硬體單元訪問,若處理器請求訪問則由該內存控制器阻止並可拋出系統異常,以防止處理器由於錯時序或其他原因誤訪問硬體單元內存,竊取或篡改該硬體單元內存。
基於上一實施例,在另一實施例中,若該資源共享不僅針對預設內存區域的安全內存區域,故還需區分安全內存區域和非安全內存區域,即該預設內存區域包括安全內存區域和非安全內存區域。請結合參閱圖6,該內存訪問控制方法與上一實施例的不同步驟包括:
步驟s52還包括根據所述訪問地址檢查所述訪問地址指向的內存空間是否屬於系統內存中的預設內存區域的安全內存區域。
該檢查結果有四種情況:該訪問地址指向的內存空間是預設內存區域的安全內存區域,該內存空間處於第一狀態;該訪問地址指向的內存空間不是預設內存區域的安全內存區域,該內存空間處於第一狀態;該訪問地址指向的內存空間是預設內存區域的安全內存區域,該內存空間處於第二狀態;以及該訪問地址指向的內存空間不是預設內存區域的安全內存區域,該內存空間處於第二狀態。
例如,上述預設內存區域中的每個內存頁還均配置有第二控制位,該第二控制位用於表示該內存頁屬於安全內存區域還是非安全內存區域,其位值並非如第一控制位般採用設值保存的方式,而是由內存控制器即時計算得到。
具體地,內存控制器根據所述訪問地址與所述預存內存區域中的安全內存區域的地址之間的關係,計算得到訪問地址指向的內存頁的第二控制位的值,例如,若該訪問地址屬於安全內存區域的地址範圍,則該訪問地址指向的內存頁的第二控制位為第三字符,若不屬於,則該訪問地址指向的內存頁的第二控制位為第四字符。其中,當所述第二控制位為第三字符時,表示所述內存頁屬於所述安全內存區域;當所述第二控制位為第四字符時,表示所述內存頁屬於所述非安全內存區域。
上述第一字符與第二字符、第三字符與第四字符均可為任意不同字符,例如第一字符與第二字符分別為1和0,第三字符與第四字符分別為1和0。那麼s52得到的檢查結果有幾種情況可以表示為(1,1),(0,1),(1,0),(0,0)。
該多個允許訪問列表為分別對應上述檢查結果的四種情況的四個允許訪問列表;或者對應內存空間處於第一狀態的兩個檢查結果公用一個允許訪問列表,即該多個允許訪問列表為分別對應上述檢查結果的四種情況的三個允許訪問列表。在一具體應用中,可對上述允許訪問列表進行如下設置:對應處於第一狀態的一個或兩個允許訪問列表僅僅包含處理器標識,對應安全內存區域的第二狀態的允許訪問列表和對應非安全內存區域的第二狀態的允許訪問列表均僅包含硬體單元標識,對應安全內存區域的第二狀態的允許訪問列表的硬體單元標識為設定若處於安全狀態則可訪問的硬體單元標識,對應非安全內存區域的第二狀態的允許訪問列表的硬體單元標識至少包括設定若處於非安全狀態則可訪問的硬體單元標識。
s54中所述根據該查找結果生成一指令,包括:
s541:在所述內存空間屬於所述安全內存區域時,若所述訪問者處於安全狀態,則生成允許所述訪問者訪問所述內存空間的指令,否則生成不允許所述訪問者訪問所述內存空間的指令;
若檢查確定需訪問的內存空間為安全內存區域,且訪問者標識屬於對應安全內存區域的第二狀態的允許訪問集合,則安全內存保護機制生效,內存控制器允許安全狀態的硬體單元進行該訪問,阻止非安全狀態的硬體單元進行該訪問並可拋出系統異常,以防止非安全狀態的硬體單元由於錯時序或其他原因誤訪問安全內存區域,竊取或篡改該安全內存區域的內容。
s542:在所述內存空間屬於所述非安全內存區域時,不管所述訪問者處於安全狀態還是非安全狀態,均生成允許所述訪問者訪問所述內存空間的指令;或若所述訪問者處於非安全狀態,則生成允許所述訪問者訪問所述內存空間的指令,否則生成不允許所述訪問者訪問所述內存空間的指令。
若檢查確定需訪問的內存空間為非安全內存區域,且訪問者標識屬於對應非安全內存區域的第二狀態的允許訪問集合,則根據不同應用需求,內存控制器可允許安全狀態和非安全狀態的硬體單元進行該訪問。或者內存控制器僅允許非安全狀態的硬體單元進行該訪問,阻止安全狀態的硬體單元進行該訪問並可拋出系統異常,以防止安全狀態的硬體單元由於錯時序或其他原因誤訪問非安全內存區域,導致需受保護的內容誤被輸出到非安全內存區域。
在再一區分安全內存區域和非安全內存區域的實施例中,該多個允許訪問列表同理上一實施例,但對應安全內存區域的第二狀態的允許訪問列表僅包含處於安全狀態的硬體單元標識;對應非安全內存區域的第二狀態的允許訪問列表僅包含處於非安全狀態的硬體單元標識,或者處於安全狀態和非安全狀態的硬體單元標識。對應地,s54中所述根據該查找結果生成一指令,包括:若在s53中檢查到的對應安全內存區域的第二狀態的允許集合中存在該訪問者的標識,生成允許所述訪問者訪問所述內存空間的指令,否則生成不允許所述訪問者訪問所述內存空間的指令;若在s53中檢查到的對應非安全內存區域的第二狀態的允許集合中存在該訪問者的標識,生成允許所述訪問者訪問所述內存空間的指令,否則生成不允許所述訪問者訪問所述內存空間的指令。
該內存訪問控制方法除包括圖5所示步驟,還包括:監測至少部分硬體單元的當前狀態,當該硬體單元處於安全狀態時,將其歸到對應安全內存區域的第二狀態的允許訪問集合中或者還將其歸到對應非安全內存區域的第二狀態的允許訪問集合中,當該硬體單元處於非安全狀態時,將其歸到對應非安全內存區域的第二狀態的允許訪問集合中。該至少部分硬體單元至少包括設定可訪問預存內存區域的硬體單元。
由上可總結,上述第二狀態的允許訪問集合中的硬體單元標識滿足以下設定策略,若該資源共享僅針對安全內存區域,則該允許訪問集合中的硬體單元標識為處於安全狀態或者設定若處於安全狀態則可訪問的硬體單元標識,如為前者,則內存控制器可直接執行根據s54的最終查找結果生成指令,如為後者,則內存控制器需如上一實施例結合最終查找結果和訪問者的當前狀態生成指令;若該資源共享還區分安全內存區域和非安全內存區域,則該對應安全內存區域的允許訪問集合中的硬體單元標識為處於安全狀態或者設定若處於安全狀態則可訪問的硬體單元標識;該對應非安全內存區域的允許訪問集合中的硬體單元標識至少包括處於非安全狀態或者設定若處於非安全狀態則可訪問的硬體單元標識。
在上述預設內存區域包括安全內存區域和非安全內存區域的實施例中,上述內存控制器對預設內存區域的內存訪問控制邏輯如下表1,其中,該下表1中p為上述第一控制位,s為第二控制位,kprotect生效表示該內存頁僅允許處理器訪問,並阻止硬體單元訪問;安全內存保護機制用於保護處於第二狀態的安全內存區域僅允許安全狀態的硬體單元訪問。
表1
結合上表對本發明的安全性進行分析:
以tee和richos雙運行環境的終端設備為例,對於每個預設內存區域中的內存頁,
1)如果其控制位s為1,並且控制位p為0,表示此內存頁內存已經劃歸tee做安全內存使用,此時非安全狀態的硬體單元無法讀寫該內存頁,滿足了tee的安全內存要求。
2)如果控制位s為1,並且控制位p為1,則內存控制器阻止安全狀態的硬體單元寫此內存頁。這樣就阻止了richos端惡意將tee使用的內存頁偷偷切換回richos導致安全狀態的硬體單元在不知情的狀況下繼續寫此數據到該內存頁,進而導致數據洩漏到richos端。
3)控制位s為1時,控制位p的切換,由內存控制器自動對相應的內存頁進行內存清零,從而阻止了可能的回滾攻擊或者richos端通過頻繁的切換控制位p來偷取安全狀態的硬體單元的輸出數據。
請參閱圖7,圖7是本發明內存訪問控制方法另一實施例的流程圖。本實施例除包括上述實施例所述步驟外,還可包括以下步驟:
s71:內存控制器檢測到存在所述內存頁的第一控制位的值需發生變化。
s72:判斷所述需發生變化的內存頁的第二控制位是否為第三字符。若是,則確定該內存頁屬於安全內存區域,並執行s73,否則執行s74。
s73:清除所述需發生變化的內存頁中的數據。
s74:通知處理器該所述內存頁的第一控制位可發生變化。
例如,如圖3所示實施例所述,上述處理器在執行s32或者在確定該硬體單元操作完成時將所述操作訪問到的預設內存區域從第二狀態更改為第一狀態之前,向內存控制器發送指令,以指示該預設內存區域的相關內存頁的第一控制位的值需發生變化。此時,為防止回滾(rollback)攻擊或安全數據被竊取,內存控制器判斷該內存頁是否屬於該安全內存區域。具體地,內存控制器計算第一控制位需發生變化的內存頁的第二控制位的值,並判斷該計算得到的第二控制位的值是否為表示該內存頁屬於安全內存區域的第三字符,若是,則對該內存頁的數據進行清除,以保證安全狀態的硬體單元的操作數據不被後續訪問的處理器或硬體單元竊取。在清除完成後或無需執行清除時,該內存控制器拉中斷通知處理器該內存頁的第一控制位可發生變化,即該內存頁的狀態可進行切換,上述處理器收到該通知則執行上述對內存頁的狀態的切換,否則不執行該內存頁的狀態切換。
為更清楚了解本發明,下面結合圖8舉例說明。播放終端如嵌入式平臺的播放終端可支援多路視頻解碼。
現有採用獨立與系統內存的安全內存的方案中,在多路視頻任意時序啟播停播的情況下,安全內存的分配使用上會出現碎片化。例如,安全內存的大小為300mb,目前有兩路視頻正在解碼,共使用90mb,剩餘的210mb是空閒的。安全內存始終有部分區域在被使用中,這樣就會導致安全內存保護區域無法做調整,進而空閒出來的內存區域81無法共享給系統內存使用;並且,空閒的安全內存碎片81數目可能非常多,由於傳統的安全內存所能保護的塊(section)數目的限制而無法支持更多的內存碎片數目,故無法將該安全內存碎片81進行回收。
採用本發明,將安全內存區域設置在系統內存中,並通過設置安全內存區域的狀態來調整其由安全狀態的硬體單元或處理器使用。如圖8所示,該系統內存中的安全內存區域在被用於進行上述兩路視頻解碼時,其被使用的內存頁的第一控制位p為0,第二控制位s為1,而未被使用的安全內存碎片81中的內存頁的第一控制位p為1,第二控制位s為1,進而將安全內存碎片81回收給處理器使用具體如ree端的linux使用。故通過設置安全內存區域的狀態調整其使用,實現了安全內存碎片的回收,使得內存空間得到有效利用,且不同區域狀態保證不同硬體使用,也保證了數據安全。
根據本發明的另一具體實施例為一種非瞬時計算機可讀儲存媒體,用於管理一供硬體單元進行訪問的系統內存,其中存儲由一處理器讀取並執行的一程序代碼,其特徵在於,所述程序代碼包括一第一子程序碼和一第二子程序碼。
所述第一子程序碼用於在接收到所述硬體單元發出的一操作請求時,根據操作請求的類型來判斷所述硬體單元請求的操作是否是訪問所述系統內存裡的一安全內存區域;比如說,當所述硬體單元是4k高清解碼器時,該操作請求中會包含表示訪問所述系統內存的一安全內存區域的信息,當所述硬體單元是一標清解碼器時,該操作請求中會包含表示不是訪問所述系統內存的安全內存區域的信息。
所述第二子程序碼,用於將所述系統內存中的所述需訪問的安全內存區域從默認的第一狀態更改為第二狀態,並將所述硬體單元設置為安全狀態;
其中,所述安全內存區域處於所述第一狀態時,表示限定僅供處理器進行訪問,所述硬體單元不可對其進行訪問;所述安全內存區域處於所述第二狀態時,表示僅供處於安全狀態的所述硬體單元進行訪問。
可選地,所述程序代碼還包括一第三子程序碼,用於在系統啟動時,按照內存分配策略將所述系統內存中一段或多段連續內存劃分為所述系統內存中的安全內存區域。
可選地,所述安全內存區域共包括第一數量內存頁,每個內存頁均配置第一控制位;所述第二子程序碼具體用於確定所述需訪問的安全內存區域的大小為第二數量內存頁;將所述安全內存區域中的第二數量內存頁的第一控制位由第一字符更改為第二字符;其中,所述第一控制位為第一字符時,表示所述內存頁處於所述第一狀態;所述第一控制位為第二字符時,表示所述內存頁處於所述第二狀態;所述第一數量大於或等於所述第二數量。
可選地,所述第二子程序碼還用於若所述硬體單元請求的操作不是訪問所述系統內存的安全內存空間,則將系統內存中的至少部分非安全內存區域從第一狀態更改為第二狀態,並將所述硬體單元設置為非安全狀態;其中,所述非安全內存區域處於所述第一狀態時,表示僅供處理器進行訪問,所述非安全內存區域處於所述第二狀態時,表示可由處於安全狀態或非安全狀態的硬體單元進行訪問,或限定僅供處於非安全狀態的硬體單元進行訪問。
可選地,所述安全內存區域和非安全內存區域均為所述系統內存中由cma分配的連續內存區域。
請參閱圖9,圖9是可採用本發明內存訪問控制方法的系統結構示意圖。該系統包括至少一個硬體單元901,一處理器902和一內存控制器903,以上器件通過總線互相溝通並藉由內存控制器903來存取一系統內存904。上述實施例中的內存訪問控制方法即可應用在圖9所示的系統中,結合起來可更好理解本發明。
請參閱圖10,圖10是本發明內存訪問控制裝置一實施例的結構示意圖。本實施例中,該內存訪問控制裝置包括多個保護組101(101a、101b、101c、101d)、一檢查單元102和一判斷單元103。
該檢查單元102用於從總線中接收訪問地址,根據所述訪問地址檢查所述訪問地址指向的內存空間是否屬於系統內存中的預設內存區域的安全內存區域,以及檢查所述訪問地址指向的內存空間的當前狀態,得到一檢查結果,並將該檢查結果發送到該判斷單元103。
該多個保護組101a,101b的每個保護組用於接收從總線得到的訪問者標識,根據訪問者標識查找允許訪問列表得到一查找結果,並將該多個查找結果發送到該判斷單元103。
該判斷單元103,連接於該多個保護組101a,102b…和所述檢查單元102,用於根據該檢查結果選擇一查找結果,然後根據該查找結果生成一決定訊號。
在一實施例中,若該資源共享僅針對預設內存區域的安全內存區域,那麼僅需設置第一控制位p,就可實現本發明的內存訪問控制。該檢查單元102的檢查結果為p=1或p=0,並且僅需2個保護組101a和101b即可實現保護功能。具體的,保護組101a可設定為判斷所述訪問者標識是否存在於在所述訪問地址指向的內存空間的當前狀態為第一狀態(即p為1)時對應的允許訪問列表,若在該列表內,則查找結果為是;若不在該列表內,則查找結果為否。保護組101b可設定為判斷所述訪問者標識是否存在於所述訪問地址指向的內存空間的當前狀態為第二狀態(即p為0)時對應的允許訪問列表,若在該列表內,則查找結果為是;若不在該列表內,則查找結果為否。舉例來說,若檢查單元102的檢查結果為p=1,那麼判斷單元103就選擇保護組101a的查找結果,若該查找結果為是,該決定訊號就是允許該訪問者對所述訪問地址指向的內存空間區域的訪問,反之不允許。
在另一實施例中,若需要區分所述訪問地址指向的內存空間是否屬於系統內存中的預設內存區域的安全內存區域,以及檢查所述訪問地址指向的內存空間的當前狀態,那麼設置s,p兩個控制位,即可實現本發明的內存訪問控制。該檢查單元102的檢查結果為(s,p)是(1,1),(0,1),(1,0),(0,0),並且需4個保護組101a,101b,101c,101d即可實現保護功能。具體的,保護組101a可設定為判斷所述訪問者標識是否存在於在(s,p)=(1,1)時對應的允許訪問列表,若在該列表內,則查找結果為是;若不在該列表內,則查找結果為否。保護組101b可設定為判斷所述訪問者標識是否存在於在(s,p)=(0,1)時對應的允許訪問列表,若在該列表內,則查找結果為是;若不在該列表內,則查找結果為否。保護組101c可設定為判斷所述訪問者標識是否存在於在(s,p)=(1,0)時對應的允許訪問列表,若在該列表內,則查找結果為是;若不在該列表內,則查找結果為否。保護組101d可設定為判斷所述訪問者標識是否存在於在(s,p)=(0,0)時對應的允許訪問列表,若在該列表內,則查找結果為是;若不在該列表內,則查找結果為否。舉例來說,若檢查單元102的檢查結果為(s,p)=(1,1),那麼判斷單元103就選擇保護組101a的查找結果,若該查找結果為是,該決定訊號就是允許該訪問者對所述訪問地址指向的內存空間區域的訪問,反之不允許。
若在實際應用中,還需要設置更多的控制位時,可利用更多的保護組數來實現保護功能,本領域技術人員可知這種變化也落入本發明的保護範圍之內。
請結合參閱圖11,圖11是本發明檢查單元的一實施例的結構示意圖。如圖11所示,該檢查單元包含一地址位移單元111,當存取命令進入內存控制裝置的檢查單元102時,該地址位移單元111從總線中的地址信息得到一訪問地址,該檢查單元102會根據所述訪問地址查出該訪問地址對應的內存空間的控制位的值。在一實施例中,該檢查單元102可用一多工器實現。
請參閱圖12,圖12是本發明判斷單元的一實施例的結構示意圖,所述該內存訪問控制裝置的該判斷單元103,可用一多工器實現。圖中以設置s和p兩個控制位的情況,當然也可改變成只有一個控制位或其他多個控制位的情況,此處不作贅述。
在內存資源共享後可能會引起安全問題,所以要採用內存區域保護機制,可應用在保護作業系統核心的內存存取區域,只允許cpu(centralprocessingunit,中央處理單元)或特定類型的硬體單元才能存取此區域,以防止作業系統核心的資料遭到破壞。傳統的保護機制只能以一塊連續的內存區域為單位,一組保護組數即可滿足條件,當內存被共享重新分配以後,原始的連續保護區域可能會被拆開成數塊分別被cpu或其他硬體單元存取,如此需要針對每組來設定多個保護組,每組起的作用是保護該組範圍的區塊僅被預設的允許的cpu或特定類型的硬體單元存取。而本發明僅需2組或4組保護組來保護相應的內存空間,又不會影響已分配給其他硬體單元的內存空間。於是作業系統就不需佔用多個保護組,可大大降低內存空間保護組的成本。特別是,當原始的連續保護區域被拆開成2個或4個以上的區域時,本發明的保護機制所降低的成本顯著。
請參閱圖13,圖13是本發明內存訪問控制裝置另一實施例的結構示意圖。本實施例中,該內存訪問控制裝置與圖10所示的裝置的保護組和單元基本相同,其區別在於該多個保護組131(131a、131b、131c、131d)連接於檢查單元132,該判斷單元133連接於該多個保護組131。該多個保護組131根據檢查單元132的檢查結果,選擇與所述檢查結果對應的保護組根據一訪問者標識查找允許訪問列表得到一查找結果;該判斷單元133直接接收所述與所述檢查結果對應的保護組的查找結果,並根據所述查找結果產生一決定訊號。
上述內存訪問控制裝置的對應單元結構還用於執行上述內存訪問控制方法實施例的對應步驟對應,具體可參閱上述方法實施例的描述。
上述處理器還可以稱為cpu。上述內存控制器可為片上系統(systemonchip,soc)晶片。在具體應用中,終端設備的上述各個組件通過總線(圖未示)耦合在一起,其中總線除包括數據總線之外,還可以包括電源總線、控制總線和狀態信號總線等。
上述本發明實施例揭示的方法可以應用於處理器或內存控制器中,或者由處理器或內存控制器實現。處理器或內存控制器可能是一種集成電路晶片,具有信號的處理能力。在實現過程中,上述方法的各步驟可以通過處理器或內存控制器中的硬體的集成邏輯電路或者軟體形式的指令完成。上述的處理器或內存控制器可以是通用處理器、數位訊號處理器(dsp)、專用集成電路(asic)、現成可編程門陣列(fpga)或者其他可編程邏輯器件、分立門或者電晶體邏輯器件、分立硬體組件。通用處理器可以是微處理器或者該處理器也可以是任何常規的處理器等。結合本發明實施例所公開的方法的步驟可以直接體現為硬體電路執行完成,或者用硬體電路中的硬體及軟體模塊組合執行完成。軟體模塊可以位於隨機存儲器、快閃記憶體、只讀存儲器、可編程只讀存儲器或者電可擦寫可編程存儲器、寄存器等本領域成熟的存儲介質中。該存儲介質位於存儲器,處理器或內存控制器讀取存儲器中的信息,結合其硬體完成上述方法的步驟。
以上方案可帶來以下有益效果:
1)系統內存與安全內存區域分時共用物理內存,減少系統的總內存需求;
2)具有足夠的穩健性,不會因為第三方代碼的錯誤或者其他時序問題導致硬體單元與處理器之間的數據互踩;
3)具有足夠的安全性,能夠阻止非安全狀態如運行在richos的處理器或硬體單元向安全狀態如tee環境中的硬體單元灌輸數據的回滾攻擊,並能阻止非安全狀態的處理器或硬體單元偷取安全內存區域的數據;
4)從硬體成本分析:
本方案無需另外設置安全內存,可降低系統成本;並且減少保護組數也可降低系統成本。
進一步,本方案可採用了比較大的頁面(page),如1m,512k之類的大粒度內存頁,同時每個內存頁只需要一個位的控制字來設置其狀態,而不是像傳統mmu那樣每個內存頁均需非常多的控制位來支援隨機映射,故大幅的減少了硬體內部的存儲位需求,進一步減少了系統存儲成本。
在本發明所提供的幾個實施方式中,應該理解到,所揭露的方法以及裝置,可以通過其它的方式實現。例如,以上所描述的裝置實施方式僅僅是示意性的,例如,所述模塊或單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以集成到另一個系統,或一些特徵可以忽略,或不執行。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位於一個地方,或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施方式方案的目的。
另外,在本發明各個實施方式中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
上述其他實施方式中的集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該計算機軟體產品存儲在一個存儲介質中,包括若干指令用以使得一臺計算機設備(可以是個人計算機,伺服器,或者網絡設備等)或處理器(processor)執行本發明各個實施方式所述方法的全部或部分步驟。而前述的存儲介質包括:u盤、移動硬碟、只讀存儲器(rom,read-onlymemory)、隨機存取存儲器(ram,randomaccessmemory)、磁碟或者光碟等各種可以存儲程序代碼的介質。