JP4872001B2 - メモリ・アクセス安全性管理 - Google Patents
メモリ・アクセス安全性管理 Download PDFInfo
- Publication number
- JP4872001B2 JP4872001B2 JP2009527876A JP2009527876A JP4872001B2 JP 4872001 B2 JP4872001 B2 JP 4872001B2 JP 2009527876 A JP2009527876 A JP 2009527876A JP 2009527876 A JP2009527876 A JP 2009527876A JP 4872001 B2 JP4872001 B2 JP 4872001B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- safety
- access request
- bus master
- data processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims description 52
- 238000000034 method Methods 0.000 claims description 27
- 230000008569 process Effects 0.000 claims description 20
- 230000001419 dependent effect Effects 0.000 claims description 4
- 231100000279 safety data Toxicity 0.000 claims description 4
- 230000003068 static effect Effects 0.000 claims description 2
- 230000007704 transition Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 5
- 230000004913 activation Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 208000033748 Device issues Diseases 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1491—Protection against unauthorised use of memory or access to memory by checking the subject access rights in a hierarchical protection system, e.g. privilege levels, memory rings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Description
本発明はデータ処理装置とその方法に関係し、特にメモリ中の安全及び非安全データへのアクセスの管理と関係する。
あるプロセッサ上で実行している少なくとも1つのアプリケーションにより使用されているデータ項目(例えば、命令またはデータ値)が、プロセッサ上で実行可能であるその他のアプリケーションによりアクセス不能でなければならない重要データ項目であることがしばしばある。実例は、データ処理装置がスマートカードであり、アプリケーションの1つが、例えば安全キーのような極秘データを使用して、検証、認証、解読等を実行する安全アプリケーションの場合である。このような状況では、このような極秘データは安全に保持され、その他のアプリケーション、例えばこれらの安全データへのアクセスを探る目的でデータ処理装置にロードされたハッキング・アプリケーションによりアクセス不能となるようにすることが明らかに重要である。
既存のシステムでは、あるアプリケーションの安全データがオペレーティングシステムの制御下で実行しているその他のアプリケーションによりアクセス不可能となることを保証するようオペレーティングシステムが十分な安全性を提供することを保障するのは、通常オペレーティングシステムの開発者の仕事であった。しかしながら、システムがより複雑になるにつれて、オペレーティングシステムの一般的傾向はより大きくより複雑になっていき、このような状況下では、オペレーティングシステム自体の中で十分な安全性を保障することは非常に困難となってきている。
結果として、オペレーティングシステム安全性への依存を軽減しようとするため、データ処理装置に別のドメインを設け、これらのドメインがハードウェアレベルで安全性を処理する機構を提供するシステムを設けることが知られている。このようなシステムは、引用により本明細書に含まれる、共通して譲渡された共願の米国特許出願第10/714,561号に例えば記載され、この出願は安全なドメインと非安全なドメインとを有するシステムを記載する。このシステムでは、非安全及び安全ドメインは事実上別の世界を確立し、安全なドメインは他の実行空間からハードウェア強制の境界により分離された信頼実行空間を提供し、同様に非安全ドメインは非信頼実行空間を提供する。特定の非安全ドメインで実行するプログラムは安全として識別されるデータへのアクセスを有していない。各アクセス要求は、アクセスが安全なアクセスかまたは非安全なアクセスであるかを識別するこれと関係するドメイン安全信号を有する。
安全なまたは非安全なドメインのどちらかで実行するプログラムでアクセス可能である記憶装置(例えば、キャッシュ)をデータ処理装置が含んでいる場合、安全ドメインで実行するプログラムによりアクセスされる前記装置中に記憶されたデータが非安全ドメインで動作するプログラムにアクセス不能であることを保障するためその機構を適所に入れる必要がある。引用により本明細書に含まれる共通して譲渡された米国特許出願第10/714、481号は、対応するデータの安全性を指示する、追加的なフラグをキャッシュラインに設定するデータ処理装置を記載している。キャッシュラインの価値あるデータがキャッシュに書き込まれた時(通常ラインフィル過程の一部として)、関連するフラグがセットされてデータが安全なメモリ・アクセスと、または非安全メモリ・アクセスと関係しているのかを識別する。キャッシュ中のデータ項目へのアクセスは、そのドメイン安全信号が安全なアクセスであることを指示しているアクセス要求のみが関連するフラグにより指示されるような安全なキャッシュラインを参照可能であり、同様にそのドメイン安全信号が非安全アクセスであることを指示しているアクセス要求は関連するフラグにより指示されるような非安全キャッシュラインのみを参照可能であるように、フラグへの参照により制限される。このような方式は、非安全ドメインで動作しているプロセスが、その関連フラグが安全データを含んでいることを指示しているキャッシュ中の何らかの項目をアクセスすることをこれにより防止する。この設備は、安全ドメイン動作から非安全ドメイン動作へ遷移しようとするアクセスを有するプロセッサの前にキャッシュをフラッシュする必要性を回避する。
このようなシステムは安全データの安全性を保護する役割を果たすが、実際上安全及び非安全ドメイン間でデータの共有が望ましい場合もある。この1例は暗号解読過程であり、これ自体は安全ドメインで動作しなければならないが、非安全プロセスにアクセス可能であることが適切である解読済みデータを発生する。このようなデータは非安全メモリ領域に書き込まれ、そこから非安全プロセスによりアクセス可能である。
安全及び非安全ドメインの両方で動作可能なプロセッサを提供することは公知である(あるドメインから他方への遷移を管理するために使用される特殊なモニタ・コードにより)。このようなシステムでは、安全ドメインで動作するプログラムは非安全メモリへのアクセス要求を発行可能であり、たとえ安全ドメインから発行されてもこのデータ・アクセス要求を非安全とマークする。これはデータを非安全メモリ位置へ書き込むための安全なプロセスを可能とし、このデータがキャッシュに保持される場合、プロセッサ上で(または実際には異なるプロセッサ上で)実行する以後の非安全プロセスがキャッシュからこれへのアクセスを有するように、適切なキャッシュラインのフラグが非安全にマークされる。
しかしながら、安全及び非安全ドメインの両方をサポートするプロセッサの複雑度は多くのアプリケーションにとって不必要であるばかりでなく、安全または非安全ドメインのどちらかでプロセスを実行するその能力がハッキング攻撃を受けるかもしれないため、安全性脆弱性の可能性を与えるであろう。さらに、プロセッサが安全及び非安全ドメインの両方で動作する能力と関連する余分な論理部を提供することを避けることが有利であろう。しかしながら、一方の安全ドメイン(例えば、安全ドメイン)に固定されたプロセッサは異なるドメインの安全信号を発生する能力を有さず、実際システム内の複数ドメインを通常知らない。従って、この固定ドメイン・プロセッサにより使用されたデータを他のドメインで動作する他のプロセッサと共有する場合に問題が発生する。一例として、固定ドメイン・プロセッサが安全ドメインで動作しており、これから派生する全てのアクセス要求は外部的には安全アクセスとしてタグ付けされているものとする。データを非安全プロセスと共有する場合、このような安全なアクセスは非安全なメモリ領域をアクセス可能とする必要がある。しかしながら、たとえこのようなアクセスを許容した場合でも、キャッシュを使用していると問題が生じる、何故なら固定した安全なプロセッサの活動の結果としてキャッシュに記憶された何らかのデータは安全にマークされた対応するキャッシュラインフラグを有し、従って非安全なプロセスには見えないからである。この問題への1つの可能な解決法は、安全かつ非安全アクセスの両方を許容する非安全メモリの非キャッシュ可能域をこのプロセッサに使用させることであるが、この解決法はキャッシュを使用することの速度利得と電力節約の利点を犠牲にする。
従って、それ自体安全ドメイン間を遷移する能力なしに、かつ安全かつ非安全ドメインとデータの両方が存在するデータ処理装置内で柔軟な操作を保持できる簡単化されたプロセッサを動作可能とする技術を提供することが望ましい。
第1の観点から見ると、本発明はデータ処理装置の装置が動作可能な複数個のドメインを有するデータ処理装置であって、前記複数個のドメインは少なくとも1つの非安全ドメインと少なくとも1つの安全ドメインとを有し、安全ドメインでは前記装置は非安全ドメインからアクセス不能な安全データへのアクセスを有し、特定のドメインに固定されデータへのアクセスが必要な時に前記データへのアドレスを指定するアクセス要求を発行するよう動作するバスマスター装置と、前記アクセス要求がスレーブ装置へ向かうバスであって、バス上に流れる各アクセス要求は当該アクセス要求と関係するドメインを識別するそれに関係したドメイン安全信号を有する前記バスと、バスマスター装置が固定されているドメインを識別するためバスマスター装置に外部的に発生されたドメイン指定信号を受取るよう動作するドメイン制御論理部を有する前記バスマスター装置であって、当該ドメイン指定信号がバスマスター装置は安全ドメインに固定されていることを指示した場合に、前記アクセス要求により指定された前記アドレスに依存して、ドメイン制御論理部は、前記アクセス要求と関係する非安全ドメイン安全信号を選択的に発生するよう動作可能である、前記バスマスター装置と、を含む、データ処理装置の装置が動作可能な複数個のドメインを有するデータ処理装置を提供する。
本発明によると、データ処理装置は少なくとも1つの安全及び1つの非安全ドメインを有し、安全とラベル付けされたデータ処理装置内のデータは非安全ドメインで実行しているプロセスにはアクセス不能である。バスマスター装置は、これが安全または非安全ドメインのどちらで動作しているかを決定する外部線路上の信号を受取る。この信号はバスマスターが安全または非安全ドメインのどちらで動作しているかを「固定する」。バスマスター装置がバスを介してスレーブ装置へ向けられるアクセス要求を発行する時、ドメイン制御論理部はアクセス要求と関連するドメイン指定信号を発生するよう動作する。バスマスター装置が安全ドメインで動作している場合、ドメイン制御論理部は、アクセス要求により指定されたアドレスに応じて、非安全ドメイン指定信号を発生可能である。
外部信号により指定されたその安全ドメインを有することはバスマスター装置内に設けられなければならない論理部を簡略化する。さらに、その安全ドメインはバスマスター装置にとって内部的に指定されないため、バスマスター装置はシステム設計者が意図した通りに振舞うよう信頼可能である、何故ならどのような悪意あるコードをハッカーがバスマスター装置上で実行しようとしても、安全性ドメインの切り替え(特に非安全から安全へ)は選択肢にないからである。また、そのドメイン制御論理部により、安全な(それ故信頼された)プロセスにとって、選択されたアクセス要求は、安全なドメインから発生されたにも係わらず、アドレス依存の方法で、非安全としてラベル付け可能である。これは、安全なプロセスがデータを非安全位置として定義された記憶域に書き込む、またはキャッシュのような共有リソースにデータを記憶し、以後非安全プロセスが当該データをアクセスするように非安全データとしてこれをラベル付けすることも可能である。
1実施例では、ドメイン制御論理部は、多数のメモリ領域の各々のアクセス制御情報を識別するメモリマップへのアクセスと、安全ドメインでの動作時にバスマスター装置によりアクセス要求が発行された場合にメモリ領域内のアドレスを指定するアクセス要求と関連して発行されなければならないドメイン安全信号の指示とを有する。
従って、バスマスター装置が安全ドメインで動作している時、バスマスターがメモリマップの全ての領域の適切な安全性を「知る」ことを可能とする、メモリマップへの参照により、安全と指定されたメモリの領域のみならず、非安全と指定された領域へのアクセス要求も成功裏に発行される。
他の実施例では、ドメイン制御論理部は領域記述子へのアクセスを有し、各領域記述子はメモリ領域と関係し、当該メモリ領域の領域安全性指示を提供し、前記領域記述子は安全ドメインで実行している所定のソフトウェアによりプログラム可能であり、前記ドメイン制御論理部は、前記領域指示信号とアクセス要求により指定されたアドレスを含むメモリ領域の領域記述子の前記領域安全指示との組み合わせから各アクセス要求の前記領域安全信号を得るよう動作可能である。
このように、メモリの特定領域は、信頼ソフトウェアにより編集可能な、対応する領域記述子により指定されたそのアクセス許可と領域属性とを有することが可能である。特定のメモリ領域の領域記述子は、例えば当該領域へのアクセスはキャッシュ可能であるか、バッファ可能であるか、等を識別する1つ以上の領域属性を通常提供し、さらに例えば、プロセッサ・コアが特定の動作モードにある時にのみ問題の領域をアクセス可能であるかどうかを識別し、アクセス可能であるならば読み取り及び書き込みアクセスが可能であるか、または読み取りアクセスのみが可能であるか、等の1つ以上のアクセス許可を通常指定する。このようにして、メモリの特定領域の安全状態は、データ処理装置の動作時に必要に応じて動的に変更可能となる。
望ましい実施例では、ドメイン制御論理部は、前記ドメイン指定信号がバスマスター装置は安全ドメインに固定されていることを指示している時に前記領域安全指示に依存した前記ドメイン安全信号を発生するよう動作する。このようにして、対応する領域記述子に従ってそのアクセス要求に伴うドメイン安全信号の安全性を適合させるバスマスター装置の能力は、安全ドメインで動作している時にのみ起動される。
ドメイン安全信号を発生する前述の機構の相対的優先度は変更可能であることが認められるが、望ましい実施例で前記アドレスが領域記述子を有するメモリ領域にある場合、前記ドメイン安全信号は前記領域安全指示と前記ドメイン指定信号の前記組み合わせから得られるが、一方その他の場合には前記ドメイン安全信号は前記メモリマップから得られた前記アクセス制御情報から得られる。
望ましい実施例では、前記ドメイン指定信号がバスマスター装置は非安全ドメインに固定されていることを指示している時、前記ドメイン制御論理部は非安全として前記ドメイン安全信号を常に発生するよう動作する。従って、安全ドメインで動作しているバスマスター装置のみがそのアクセス要求に伴うドメイン安全信号の安全性を調節可能である。
1実施例では、ドメイン指定信号は前記バスマスター装置への静的入力である。この場合、バスマスター装置はある特定の安全ドメインに永久的に固定配線され、他の安全ドメインには切り替え不能である。
ドメイン指定信号を発生する多くの方法があることが認められるが、1実施例では、データ処理装置が前記ドメイン指定信号を発生するよう動作可能な安全制御論理部をさらに含む。このように、安全制御論部は、バスマスター装置が固定されて動作し、信頼されたシステム設計者指定の規則に従ってこの安全ドメインの定義を指向可能とする安全ドメインへの制御を有する。このような信頼された規則は、ドメイン指定信号が前記バスマスター装置のリセットによってのみ変更可能である1実施例で実証される。
特定の安全ドメインに固定されているバスマスター装置は、その動作中に安全及び非安全ドメイン間を遷移できないことを意味することが認められる。しかしながら、安全ドメインから非安全ドメインへの単一の遷移が可能である非常に限定された環境もある。特に1実施例では、バスマスター装置は起動時に安全ドメインで動作を開始し、前記安全制御論理部は以後のブート過程で非安全ドメイン指定信号を発生するよう切り替えて動作可能であり、前記安全制御論理部は以後再起動が発生するまで非安全ドメイン指定信号のみを発生するよう動作可能である。
このようにして、データ処理装置が起動する時、バスマスター装置は安全ドメインで一時的に動作し、信頼された起動コードが動作している間、しかし起動コードが完了する時またはその前に、バスマスター装置非安全モードに設定され、再起動なしには安全モードに切り替え不能である。バスマスター装置が安全ドメインで動作を許可されている間、これは起動時に設定用に一時的に許可することが有用であり、信頼された起動コードのみが実行され、バスマスター装置はその起動コードが完了する前に非安全ドメインに不可逆的に切り替えられるため、これは脆弱性を提示しないことを保障する。
1実施例では、バスマスター装置自体がシステム内のいくつかの信頼された要素を介して(例えば、安全ドメイン内のプロセッサで実行されるコード)再起動過程を開始可能としてもよい。これらの限定された環境では、バスマスター装置は認証された再起動を開始して非安全ドメインから安全ドメインへ遷移させることが可能である。バスマスター装置が認証する信頼されたコードを使用して、この機能は有効なハックされていないコードによってのみ開始可能であることが保障できる。
第2の観点から見ると、本発明はデータ処理装置の装置が動作可能な複数個のドメインを有するデータ処理装置であって、前記複数個のドメインは少なくとも1つの非安全ドメインと少なくとも1つの安全ドメインとを有し、安全ドメインでは前記装置は非安全ドメインからアクセス不能な安全データへのアクセスを有し、特定のドメインに固定されデータへのアクセスが必要な時に前記データへのアドレスを指定するアクセス要求を発行するバスマスター装置と、前記アクセス要求をスレーブ装置へ運ぶバス装置であって、バス装置上に流れる各アクセス要求は当該アクセス要求と関係するドメインを識別するそれに関係したドメイン安全信号を有する前記バス装置と、バスマスター装置が固定されているドメインを識別するためバスマスター装置の外部から発生されたドメイン指定信号を受取るドメイン制御論理部を有する前記バスマター装置であって、当該ドメイン指定信号がバスマスター装置は安全ドメインに固定されていることを指示した場合に、前記アクセス要求により指定された前記アドレスに依存して、ドメイン制御論理部は、前記アクセス要求と関係する非安全ドメイン安全信号を選択的に発生する前記バスマスター装置と、を含むデータ処理装置を提供する。
第3の観点から見ると、本発明はデータ処理装置の装置が動作可能な複数個のドメインを有するデータ処理装置でアクセス要求を発生する方法であって、前記複数個のドメインは少なくとも1つの非安全ドメインと少なくとも1つの安全ドメインとを有し、安全ドメインでは前記装置は非安全ドメインからアクセス不能な安全データへのアクセスを有し、バスマスター装置が固定されているドメインを識別するためバスマスター装置の外部からドメイン指定信号を発生する段階と、前記バスマスター装置からデータへのアクセスが必要な時にアクセス要求を発行する段階であって、前記アクセス要求は前記データのアドレスを指定する前記発行段階と、ドメイン安全信号に前記アクセス要求を関連付け、当該アクセス要求と関係するドメインを識別する段階と、前記ドメイン指定信号が前記バスマスター装置は前記安全ドメインに固定されていることを指示した場合に、前記アドレスに依存して、前記アクセス要求に関係する非安全ドメイン安全信号を選択的に発生する段階と、を含む方法を提供する。
図1は本発明の1実施例によるデータ処理装置のブロック線図である。バス10はデータ処理装置の各種の部品を接続し、特にマスター装置からスレーブ装置へのデータ・アクセス要求を渡すことにより、マスター装置からスレーブ装置へ書き込まれるデータ項目を渡すかまたはスレーブ装置からマスター装置へ要求された読み取りデータ項目を返すかのどちらかにより、互いに通信することを可能とする。切り替え可能な安全プロセッサ20は、アクセス要求を発行可能なバスマスター装置の例である。さらに、切り替え可能な安全プロセッサ20は安全ドメインまたは非安全ドメインのどちらかで動作可能である。安全ドメインで動作している時、これは安全データとしてラベル付けされたデータ処理装置内のデータへのアクセスを有する。データ処理装置中のデータ項目の主記憶位置は、システム・キャッシュ40を介してバス10に接続されたメモリ30である。「固定された」安全バスマスター50も安全ドメインまたは非安全ドメインのどちらかで動作可能である。しかしながら、このバスマスター自体はこれが動作する安全ドメインに対しては制御を有さず、安全制御論理部60から受け取る、信号TZ_NS_CTLにより定義されるその安全ドメインを有する。
安全制御論理部60はバスマスター50の通常動作時はTZ_NS_CTL信号が一定であることを保証し、実際1実施例ではTZ_NS_CTL信号は高または低状態のどちらかに「ハード的に配線される」(すなわち、永久的に非安全ドメインであるかまたは安全ドメイン動作である)。より一般的には、安全制御論理部60は、路75を通して安全制御論理60に信号を送るシステム制御器70により制御される。
1例では、バスマスター50は暗号コード化またはデコードのような、他の「マスター」プロセッサへのサービスを提供する「ヘルパ」プロセッサでもよい。この例では、バスマスターは安全ドメインで連続的に動作する、何故ならこれは暗号キーのような重要なデータを処理するからである。従って、安全制御論理部60は連続的なTZ_NS_CTL=0(安全)信号を提供する。
他の例では、バスマスター50の安全ドメインはその通常動作時は固定されるが、バスマスター50の単一の一方向安全ドメイン遷移を可能とすることが有用である非常に限定された環境がある。例えば、バスマスター50はデータ処理装置の起動時に安全ドメインで動作するが、以後データ処理装置の通常動作時は非安全ドメインでの動作を継続する。このような遷移が一方向であることを保証するため、この例では安全制御論理部60は、安全から非安全への遷移を指示する、起動時の路75上で受け取った唯一の安全ドメイン遷移信号にのみ応答し、以後安全制御論理部60はシステム制御器70から路80上のリセット信号を受け取るまで、路75上の信号の変化に係わらず連続した不変の非安全TZ_NS_CTL信号を発生するよう配置される。
バスマスター50が安全ドメインで動作している時(例えばデータ処理装置起動ルーティン時)、バスマスター50を非安全ドメインへそれ自身が遷移するように信号を送る事を可能とすることも有用であろう。このため、起動時のみ一時路85が利用可能で、バスマスター50が安全制御論理部60からTZ_NS_CTL信号の変化を直接トリガすることができる。このように、バスマスター50がもはや安全ドメインで動作する必要がなくなると直ちに(例えばこれがその起動ルーティンを完了すると)、これは直ちに非安全動作に切り替え可能である。システム制御器70が安全制御論理部60とバスマスター50の両方をリセットするまで安全な操作への切り替えは不可能となる。
図2は図1のシステム・キャッシュ40のようなキャッシュを図示する。このようなキャッシュは通常いくつかのウェイ(way)(100、110、120等)に分割される。各ウェイはTAGアレイ130とデータアレイ140とに共通に分割されるアレイにデータを記憶する。メモリ30に記憶されたデータ項目のコピーがデータアレイ140の項に記憶され、一方これらのデータ項目と関係する追加情報がTAGアレイ130に記憶される。これらの関連情報の要素は、TAG150、ダーティ(dirty)ビット160、有効(valid)ビット170及びNSビット180を通常含む。TAGはデータアレイ140の対応するデータ項目のメモリアドレスの一部に対応する。ダーティビット160と有効ビット170は対応するデータ項目がこのキャッシュラインに最初に記憶されてから更新されたかどうかと、このキャッシュラインのデータ項目が依然として有効であるかどうかを各々示す。NSビットはこのキャッシュラインと関係する安全ドメインに対応する。従って、安全アクセスの目的であるデータにより充填されたキャッシュラインは0にセットされたNSビットを有し、非安全アクセスの目的であるデータにより充填されたキャッシュラインは1にセットされたNSビットを有する。これにより、非安全プロセスが安全データをアクセスする危険性なしで、安全ドメインと非安全ドメインの両方によりキャッシュを共有可能とする。これは、特定の安全ドメインからのデータ・アクセス要求は、そのNSビットが当該安全ドメインと整合するキャッシュのキャッシュラインへのアクセスのみが可能となるからである。
図3はバスマスター50内のCPU200を図示する。CPU200内で、プロセッサ・コア210がアクセス要求を発行し、アクセス要求の目的のデータを送受信する。プロセッサ・コア210からのアクセス要求はメモリ保護装置(MPU)220内の制御論理部230に渡される。安全制御論理部60により発生されたTZ_NS_CTL信号は制御論理部230により受け取られる。MPU220内で、記述子テーブル240はまたプロセッサ・コア210により発行されたアクセス要求を渡される。プロセッサ・コア210はドメイン指定信号TZ_NS_CTLを受け取らないため、プロセッサ・コア自体は安全ドメインを認知しておらず、そうではなくドメイン安全指示は、プロセッサ・コア210から受け取ったアクセス要求、ドメイン指定信号TZ_NS_CTL、及び記述子テーブル240に記憶された情報に依存してMPU220により作成される。ドメイン安全指示(NS保護)を発生する論理は表1に要約されている。
表1に図示した論理によると、非安全=0で安全=1である。TZ_NS_CTL=1(すなわち、CPU200が非安全ドメインで動作するように設定されている)時、発生される安全指示(NS保護)は常に1で、非安全ドメインで動作しているコアは非安全アクセスのみを発生可能であることを意味している。または、コアが安全ドメインで動作している(TZ_NS_CTL=0)間でメモリ保護装置がイネーブル(enable)されていない(MPUイネーブル=0)である場合、安全指示NS保護は表2(以下に記載)に図示するようなデフォールトのメモリマップに応じて決定される。しかしながら、CPUが安全ドメインで動作し(TZ_NS_CTL=0)、MPUがイネーブルされている(MPUイネーブル=1)場合、安全指示NS保護は量NS領域の値により決定される。
記述子テーブル240はメモリアドレス領域のリストとその対応するNS領域値を記憶する。特定のメモリアドレス領域内に該当するアドレスに対応するデータ・アクセス要求は記述子テーブル240にリストに記憶されたそれに対応するNS領域の値を発生させる。記述子テーブル240に記憶されたリストは各種の形式を取り得ることが認められるが、1実施例ではNS領域はMPU領域アクセス制御レジスタの属性である。これらのレジスタは0の論理値にリセットされるよう構成され、すなわちデフォールトで安全ドメインでの動作は安全アクセスを発生する。1実施例では、表1に定めたNS保護の切り替えはデータ・アクセス要求にのみ適用されることに注意すべきである。このような実施例では、命令アクセス要求は常に安全ドメインの安全に整合する。これは、安全及び非安全ドメイン間でデータのみが共有され命令はされないことを保証する。従って、制御論理部230はNS保護の適切な値を添加したバス10へのプロセッサ・コア210からのアクセス要求を渡す。制御論理部230は領域属性とアクセス認可をアクセス要求に渡す、及び/または添加する(例えば、適切に、読み取り/書き込み認可、(非)キャッシュ可能、等)。
図1に示すように、CPU200は、レベル1キャッシュ250、それは統合した命令及びデータ・キャッシュでもよく、または別の命令及びデータ・キャッシュでもよい、を含んでもよい。通常、キャッシュ可能なアクセス要求に対しては、制御論理230は、アクセス要求がバス10上を伝播する前にレベル1キャッシュ250でもルックアップ処理を実行させ、レベル1キャッシュ250がアクセス要求の目的であるデータ項目または複数のデータ項目を含んでいる場合、アクセス要求をバス10に伝播させる必要性なしにアクセス要求はレベル1キャッシュ250への参照に進む。アクセス要求により指定されたアドレスがメモリのライトバック領域と関係している場合、同時にシステム・キャッシュ40及び/またはメモリ30での更新を実行することなくレベル1キャッシュで更新が発生可能であるが、ダーティビット(図2のダーティビット160と同様)がセットされてキャッシュのエントリーによりシステム・キャッシュ40/メモリ30のエントリーの以後の更新が必要であることを指示する。しかしながら、アドレスがライトスルー領域と関係している場合、更新はレベル1キャッシュ250で通常発生し、同時にアクセス要求はバス10を介してシステム・キャッシュ40/メモリ30に伝播されてシステム・キャッシュ/メモリでの更新を発生させる。
表2は例示のデフォールトのメモリマップを図示する。このようなデフォールトのメモリマップは、TZ_NS_CTL=0(すなわち、安全ドメイン動作)時に、メモリの特定領域へのアクセス要求の安全状態がどうあるべきか、かつその他のアクセス属性(以下を参照)を定義する。デフォールトのメモリマップは、MPUを実装しないCPUまたはディスエーブル(disable)された(表1の第1行を参照)またはアドレスが領域記述子によってカバーされない(従ってNS領域の値が定義されないもの)アクセス要求のMPUを有するCPUに使用してもよい。
上記表2で、1実施例では非安全のNS保護値は論理1値を与えられ、安全のNS保護値は論理0値を与えられる。
表2の例示メモリマップでは、上部の6メモリアドレス範囲はデータ記憶にのみ割り当てられ、下部の6メモリアドレス領域は命令記憶またはデータ記憶のどちらかに割り当てられる。データ専用メモリでは、記憶したデータ項目の実行は不能であり、この領域のアドレスへの命令アクセス要求はアボートされる。データ専用メモリは強力に整列(すなわち、キャッシュされない)ものと共有/非共有(すなわち、マルチプロセッサ装置内でハードウェア・コヒーレンシ方式の対象となることが可能か不能か)の領域に副分割される。
下部の6メモリアドレス領域は命令実行を許容する。これらのメモリ領域は、共有/非共有及びキャッシュ不能、ライトスルー(WT)キャッシュ可能またはライトバックライトアロケート(WBWA)キャッシュ可能のようなその他のアクセス属性を有する。
図4は、記述子テーブル240に記憶された領域記述子が存在するアドレス310、320及び330の3つの副領域が定義されているメモリアドレス空間300の領域を概略的に図示する。メモリアドレス空間300の残りは、領域記述子が存在しない(すなわち、NS領域の値が定義されていない)ものとデフォールトのメモリマップ(表2)を使用する(またはこのような領域へのアクセスはアボートを発生)もののメモリアドレス領域から構成される。
図5は本発明の1実施例による図3の制御論理部230の動作を図示する流れ図である。段階400で制御論理部230はプロセッサ・コア210から受け取るデータ・アクセス要求を待機する。段階410でデータ・アクセス要求を受け取ると、記述子テーブル240でのルックアップが実行される。段階420でヒットが発生しなかったことが確立した場合、段階430で対応するアドレスにデフォールトのメモリマップ項目が利用可能であるかどうか検査される。そうではない場合、アボートが発行される(段階440)。このアドレスのデフォールトのメモリマップ項目がある場合、当該情報よりNS保護が発生され(段階450)、アドレスはNS保護値と所要の認可と共に出力される。段階420でヒットが有った場合、記述子テーブルで1つ以上のヒットが発生したかどうかを検査される(段階460)。本実施例では、複数の重なり合った領域記述子が可能である。これは例えば特定のメモリ装置での全てのアドレスに定義された共通の領域記述子と当該装置内のあるアドレスに定義された特定の領域記述子である。段階470で1つ以上のヒットが有る場合、優先度基準が適用されて最高の優先度ヒットを選択する、すなわち特定のアドレスに定義された全ての領域記述子の中で、最高の優先度のものが取られる。段階480で、制御論理部230は、選択した領域記述子のTZ_NS_CTLの受け取った値とNS領域値に従ってNS保護の値を発生する。最後に、段階490でデータ・アクセス要求が関連するNS保護値と必要に応じて許可と共にバス10またはレベル1キャッシュ250へ直接に出力される。
要約すると、本発明の実施例の以上の説明から、データ処理装置とアクセス要求を発生する方法とが提供されることが認められる。バスマスターの外部から受け取った信号に応じて、データ処理装置の安全ドメインまたは非安全ドメインのどちらかで動作可能なバスマスターが提供される。バスマスターの通常動作時には固定されている信号が発生される。バスマスター装置が安全ドメインで動作している時に、デフォールトのメモリマップまたは安全に定義されたメモリ領域記述子のどちらかに依存して、安全または非安全アクセスのどちらかであることを示すバスマスター・コアにより発生されたアクセス要求と関係するドメイン指定信号を発生するよう動作する制御論理が提供される。従って、安全ドメインで動作しているバスマスターは、それ自体が安全及び非安全動作間を切り替え可能であることなしに、安全及び非安全アクセスの両方を発生可能である。
本明細書で特定の実施例を記述してきたが、本発明はこれに限定されるものではなく、発明の範囲内で多くの変更とこれへの追加が出来ることが認められる。例えば、本発明の範囲から逸脱することなく独立請求項の機能と以下の従属の請求項の機能の各種の組み合わせが可能である。
本発明を、単なる一例として、添付の図面に図示したその実施例を参照して以下にさらに記述する。
本発明の1実施例によるデータ処理装置のブロック線図。
本発明の1実施例によるデータ・キャッシュを概略的に図示する。
本発明の1実施例によるバスマスター装置のブロック線図。
本発明の1実施例によるメモリアドレス空間の一部を概略的に図示する。
本発明の1実施例による図3の制御論理の動作を図示する流れ図。
Claims (12)
- データ処理装置の装置が動作可能な複数個のドメインを有するデータ処理装置であって、前記複数個のドメインは少なくとも1つの非安全ドメインと少なくとも1つの安全ドメインとを有し、安全ドメインでは前記装置は非安全ドメインからアクセス不能な安全データへのアクセスを有し、
特定のドメインのみで動作し、データへのアクセスが必要な時に前記データへのアドレスを指定するアクセス要求を発行するよう動作するバスマスター装置と、
前記アクセス要求をスレーブ装置へ運ぶバスであって、バス上に流れる各アクセス要求は当該アクセス要求と関係するドメインを識別する当該アクセス要求に関係したドメイン安全信号を有する前記バスと、
前記バスマスター装置が動作しているドメインを識別するためバスマスター装置の外部から発生されたドメイン指定信号を受取るよう動作するドメイン制御論理部を有する前記バスマスター装置であって、バスマスター装置は安全ドメインのみで動作していることを当該ドメイン指定信号が示す場合に、前記アクセス要求により指定された前記アドレスに依存して、ドメイン制御論理部は、前記アクセス要求と関係する非安全ドメイン安全信号を選択的に発生するよう動作可能である、前記バスマスター装置と、
を含む、データ処理装置。 - 請求項1記載のデータ処理装置において、ドメイン制御論理部は、多数のメモリ領域の各々のアクセス制御情報を識別するメモリマップへのアクセスと、安全ドメインでの動作時にバスマスター装置によりアクセス要求が発行された場合にメモリ領域内のアドレスを指定するアクセス要求と関連して発行されなければならないドメイン安全信号の指示とを有する、データ処理装置。
- 請求項2記載のデータ処理装置において、前記ドメイン制御論理部は領域記述子へのアクセスを有し、各領域記述子はメモリ領域と関係して当該メモリ領域の領域安全性指示を提供し、前記領域記述子は安全ドメインで実行している所定のソフトウェアによりプログラム可能であり、前記ドメイン制御論理部は、前記領域指示信号とアクセス要求により指定されたアドレスを含むメモリ領域の領域記述子の前記領域安全指示との組み合わせから各アクセス要求の前記領域安全信号を得るよう動作可能であるデータ処理装置。
- 請求項3記載のデータ処理装置において、前記ドメイン制御論理部は、バスマスター装置は安全ドメインのみで動作していることを前記ドメイン指定信号が示す時に前記領域安全指示に依存した前記ドメイン安全信号を発生するよう動作する、データ処理装置。
- 請求項3または請求項4記載のデータ処理装置において、前記アドレスが領域記述子を有するメモリ領域にある場合、前記ドメイン安全信号は前記領域安全指示と前記ドメイン指定信号の前記組み合わせから得られるが、一方その他の場合には前記ドメイン安全信号は前記メモリマップから得られた前記アクセス制御情報から得られる、データ処理装置。
- 請求項1及至5いずれか記載のデータ処理装置において、バスマスター装置は非安全ドメインのみで動作していることを前記ドメイン指定信号が示している時、前記ドメイン制御論理部は非安全として前記ドメイン安全信号を常に発生するよう動作する、データ処理装置。
- 請求項1及至6いずれか記載のデータ処理装置において、前記ドメイン指定信号は前記バスマスター装置への静的入力である、データ処理装置。
- 請求項1及至7いずれか記載のデータ処理装置において、前記ドメイン指定信号を発生するよう動作可能な安全制御論理部をさらに含む、データ処理装置。
- 請求項1及至8いずれか記載のデータ処理装置において、前記ドメイン指定信号が前記バスマスター装置のリセットによってのみ変更可能である、データ処理装置。
- 請求項8記載のデータ処理装置において、前記バスマスター装置は起動時に安全ドメインで動作を開始し、前記安全制御論理部は以後のブート過程で非安全ドメイン指定信号を発生するよう切り替えて動作可能であり、前記安全制御論理部は以後再起動が発生するまで非安全ドメイン指定信号のみを発生するよう動作可能である、データ処理装置。
- データ処理装置の装置が動作可能な複数個のドメインを有するデータ処理装置であって、前記複数個のドメインは少なくとも1つの非安全ドメインと少なくとも1つの安全ドメインとを有し、安全ドメインでは前記装置は非安全ドメインからアクセス不能な安全データへのアクセスを有し、
特定のドメインのみで動作し、データへのアクセスが必要な時に前記データへのアドレスを指定するアクセス要求を発行するバスマスター装置と、
前記アクセス要求をスレーブ装置へ運ぶバス装置であって、バス装置上に流れる各アクセス要求は当該アクセス要求と関係するドメインを識別するアクセス要求に関係したドメイン安全信号を有する前記バス装置と、
バスマスター装置が動作しているドメインを識別するためバスマスター装置の外部から発生されたドメイン指定信号を受取るドメイン制御論理部を有する前記バスマスター装置であって、バスマスター装置は安全ドメインのみで動作していることを当該ドメイン指定信号が示す場合に、前記アクセス要求により指定された前記アドレスに依存して、ドメイン制御論理部は、前記アクセス要求と関係する非安全ドメイン安全信号を選択的に発生する前記バスマスター装置と、を含む、データ処理装置。 - データ処理装置の装置が動作可能な複数個のドメインを有するデータ処理装置でアクセス要求を発生する方法であって、前記複数個のドメインは少なくとも1つの非安全ドメインと少なくとも1つの安全ドメインとを有し、安全ドメインでは前記装置は非安全ドメインからアクセス不能な安全データへのアクセスを有し、
バスマスター装置が動作しているドメインを識別するためバスマスター装置の外部からドメイン指定信号を発生する段階と、
前記バスマスター装置からデータへのアクセスが必要な時にアクセス要求を発行する段階であって、前記アクセス要求は前記データのアドレスを指定する前記発行段階と、
ドメイン安全信号に前記アクセス要求を関連付け、当該アクセス要求と関係するドメインを識別する段階と、
前記バスマスター装置は前記安全ドメインのみで動作していることを前記ドメイン指定信号が示す場合に、前記アドレスに依存して、前記アクセス要求と関係される非安全ドメイン安全信号を選択的に発生する段階と、を含む、方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0618042A GB2442023B (en) | 2006-09-13 | 2006-09-13 | Memory access security management |
| GB0618042.6 | 2006-09-13 | ||
| PCT/GB2007/003010 WO2008032011A1 (en) | 2006-09-13 | 2007-08-08 | Memory access security management |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010503909A JP2010503909A (ja) | 2010-02-04 |
| JP4872001B2 true JP4872001B2 (ja) | 2012-02-08 |
Family
ID=37309871
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009527876A Active JP4872001B2 (ja) | 2006-09-13 | 2007-08-08 | メモリ・アクセス安全性管理 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US7886098B2 (ja) |
| EP (1) | EP2062145B1 (ja) |
| JP (1) | JP4872001B2 (ja) |
| KR (1) | KR101477080B1 (ja) |
| CN (1) | CN101517549B (ja) |
| DE (1) | DE602007009850D1 (ja) |
| GB (1) | GB2442023B (ja) |
| IL (1) | IL194953A (ja) |
| MY (1) | MY146182A (ja) |
| TW (1) | TWI410797B (ja) |
| WO (1) | WO2008032011A1 (ja) |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090164738A1 (en) * | 2007-12-21 | 2009-06-25 | Microsoft Corporation | Process Based Cache-Write Through For Protected Storage In Embedded Devices |
| US8522354B2 (en) * | 2008-05-24 | 2013-08-27 | Via Technologies, Inc. | Microprocessor apparatus for secure on-die real-time clock |
| US8726364B2 (en) * | 2008-06-30 | 2014-05-13 | Intel Corporation | Authentication and access protection of computer boot modules in run-time environments |
| KR101469894B1 (ko) * | 2011-08-12 | 2014-12-08 | 한국전자통신연구원 | 도메인 분리 기반 안전 실행 환경 제공 방법 및 장치 |
| TWI485326B (zh) * | 2012-03-05 | 2015-05-21 | Beto Engineering & Marketing | Can measure the pressure of the pump |
| US20140025852A1 (en) * | 2012-07-19 | 2014-01-23 | Lsi Corporation | Configurable Response Generator for Varied Regions of System Address Space |
| US8938796B2 (en) | 2012-09-20 | 2015-01-20 | Paul Case, SR. | Case secure computer architecture |
| KR101954733B1 (ko) | 2012-10-26 | 2019-03-06 | 삼성전자주식회사 | 보안 콘텐츠를 처리하는 시스템 온 칩 및 그것을 포함하는 모바일 장치 |
| US8990921B2 (en) | 2013-02-21 | 2015-03-24 | Atheer, Inc. | Apparatus for processing with a secure system manager |
| US8613090B1 (en) * | 2013-02-21 | 2013-12-17 | Atheer, Inc. | Method for processing a secure system manager |
| CA2902292C (en) | 2013-03-15 | 2024-05-21 | Ologn Technologies Ag | Systems, methods and apparatuses for securely storing and providing payment information |
| US9767044B2 (en) * | 2013-09-24 | 2017-09-19 | Intel Corporation | Secure memory repartitioning |
| KR102218202B1 (ko) * | 2014-08-01 | 2021-02-23 | 삼성전자주식회사 | 반도체 장치 |
| US9747967B2 (en) | 2014-09-26 | 2017-08-29 | Intel Corporation | Magnetic field-assisted memory operation |
| US20160188890A1 (en) * | 2014-12-26 | 2016-06-30 | Intel Corporation | Security mode data protection |
| US9875189B2 (en) | 2015-06-12 | 2018-01-23 | Intel Corporation | Supporting secure memory intent |
| KR102130744B1 (ko) | 2015-07-21 | 2020-07-06 | 삼성전자주식회사 | 전자 장치 및 이의 제어 방법 |
| KR102429906B1 (ko) * | 2015-10-13 | 2022-08-05 | 삼성전자주식회사 | 스토리지 장치, 상기 스토리지 장치와 통신하는 호스트 및 상기 스토리지 장치를 포함하는 전자 장치 |
| US10534724B2 (en) * | 2015-12-24 | 2020-01-14 | Intel Corporation | Instructions and logic to suspend/resume migration of enclaves in a secure enclave page cache |
| WO2017138799A1 (ko) * | 2016-02-12 | 2017-08-17 | 한양대학교 산학협력단 | 하드웨어 디바이스 및 그 인증 방법 |
| US10382436B2 (en) * | 2016-11-22 | 2019-08-13 | Daniel Chien | Network security based on device identifiers and network addresses |
| KR20180071679A (ko) | 2016-12-20 | 2018-06-28 | 삼성전자주식회사 | 사용자 단말 장치 및 그의 제어 방법 |
| US20190102324A1 (en) * | 2017-09-29 | 2019-04-04 | Intel Corporation | Cache behavior for secure memory repartitioning systems |
| US11226918B2 (en) * | 2017-12-08 | 2022-01-18 | Hewlett-Packard Development Company, L.P. | Blocking systems from responding to bus mastering capable devices |
| US11188622B2 (en) | 2018-09-28 | 2021-11-30 | Daniel Chien | Systems and methods for computer security |
| US11586383B2 (en) | 2018-10-16 | 2023-02-21 | Micron Technology, Inc. | Command block management |
| US10826912B2 (en) | 2018-12-14 | 2020-11-03 | Daniel Chien | Timestamp-based authentication |
| US10848489B2 (en) | 2018-12-14 | 2020-11-24 | Daniel Chien | Timestamp-based authentication with redirection |
| US11677754B2 (en) | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
| US11438145B2 (en) | 2020-05-31 | 2022-09-06 | Daniel Chien | Shared key generation based on dual clocks |
| US11509463B2 (en) | 2020-05-31 | 2022-11-22 | Daniel Chien | Timestamp-based shared key generation |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4580246A (en) * | 1983-11-02 | 1986-04-01 | Motorola, Inc. | Write protection circuit and method for a control register |
| US5557743A (en) * | 1994-04-05 | 1996-09-17 | Motorola, Inc. | Protection circuit for a microprocessor |
| US5615263A (en) * | 1995-01-06 | 1997-03-25 | Vlsi Technology, Inc. | Dual purpose security architecture with protected internal operating system |
| US5572686A (en) * | 1995-06-05 | 1996-11-05 | Apple Computer, Inc. | Bus arbitration scheme with priority switching and timer |
| JP4312272B2 (ja) * | 1995-10-06 | 2009-08-12 | モトローラ・インコーポレイテッド | 内部メモリへのアクセスを制限するマイクロコントローラ |
| US6615324B1 (en) * | 2000-01-07 | 2003-09-02 | Cygnal Integrated Products, Inc. | Embedded microprocessor multi-level security system in flash memory |
| EP1248200A1 (de) * | 2001-04-06 | 2002-10-09 | Micronas GmbH | Verriegelungsschaltung zur Verhinderung eines unzulässigen Zugriffs auf die Speichereinrichtung eines Prozessors |
| JP2002353960A (ja) * | 2001-05-30 | 2002-12-06 | Fujitsu Ltd | コード実行装置およびコード配布方法 |
| US20030018892A1 (en) * | 2001-07-19 | 2003-01-23 | Jose Tello | Computer with a modified north bridge, security engine and smart card having a secure boot capability and method for secure booting a computer |
| EP1331539B1 (en) * | 2002-01-16 | 2016-09-28 | Texas Instruments France | Secure mode for processors supporting MMU and interrupts |
| US7313705B2 (en) * | 2002-01-22 | 2007-12-25 | Texas Instrument Incorporated | Implementation of a secure computing environment by using a secure bootloader, shadow memory, and protected memory |
| US6820177B2 (en) * | 2002-06-12 | 2004-11-16 | Intel Corporation | Protected configuration space in a protected environment |
| JP4302641B2 (ja) * | 2002-11-18 | 2009-07-29 | エイアールエム リミテッド | デバイスによるメモリへのアクセスの制御 |
| AU2003276399A1 (en) * | 2002-11-18 | 2004-06-15 | Arm Limited | Virtual to physical memory address mapping within a system having a secure domain and a non-secure domain |
| RU2005115088A (ru) * | 2002-11-18 | 2006-01-20 | Арм Лимитед (Gb) | Управление доступом устройства к памяти |
| US6922740B2 (en) * | 2003-05-21 | 2005-07-26 | Intel Corporation | Apparatus and method of memory access control for bus masters |
| US7444668B2 (en) * | 2003-05-29 | 2008-10-28 | Freescale Semiconductor, Inc. | Method and apparatus for determining access permission |
| US7636844B2 (en) * | 2003-11-17 | 2009-12-22 | Intel Corporation | Method and system to provide a trusted channel within a computer system for a SIM device |
| US6879518B1 (en) * | 2003-11-21 | 2005-04-12 | Atmel Corporation | Embedded memory with security row lock protection |
| WO2006057316A1 (ja) * | 2004-11-26 | 2006-06-01 | Matsushita Electric Industrial Co., Ltd. | プロセッサ、セキュア処理システム |
| GB2422926B (en) * | 2005-02-04 | 2008-10-01 | Advanced Risc Mach Ltd | Data processing apparatus and method for controlling access to memory |
| GB2440968B (en) * | 2006-08-16 | 2011-02-02 | Advanced Risc Mach Ltd | Protecting system control registers in a data processing apparatus |
| KR20080067774A (ko) * | 2007-01-17 | 2008-07-22 | 삼성전자주식회사 | 허가되지 않은 메모리 접근으로부터 비밀 영역을 보호하기위한 방법 및 시스템 |
-
2006
- 2006-09-13 GB GB0618042A patent/GB2442023B/en not_active Expired - Fee Related
-
2007
- 2007-08-08 WO PCT/GB2007/003010 patent/WO2008032011A1/en active Application Filing
- 2007-08-08 EP EP07789144A patent/EP2062145B1/en active Active
- 2007-08-08 MY MYPI20084337A patent/MY146182A/en unknown
- 2007-08-08 CN CN2007800339894A patent/CN101517549B/zh active Active
- 2007-08-08 DE DE602007009850T patent/DE602007009850D1/de active Active
- 2007-08-08 KR KR1020097007525A patent/KR101477080B1/ko active IP Right Grant
- 2007-08-08 JP JP2009527876A patent/JP4872001B2/ja active Active
- 2007-08-09 TW TW096129448A patent/TWI410797B/zh active
- 2007-09-13 US US11/898,640 patent/US7886098B2/en active Active
-
2008
- 2008-10-27 IL IL194953A patent/IL194953A/en active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| CN101517549A (zh) | 2009-08-26 |
| TWI410797B (zh) | 2013-10-01 |
| US20080071953A1 (en) | 2008-03-20 |
| KR20090065531A (ko) | 2009-06-22 |
| EP2062145B1 (en) | 2010-10-13 |
| GB2442023A (en) | 2008-03-26 |
| DE602007009850D1 (de) | 2010-11-25 |
| EP2062145A1 (en) | 2009-05-27 |
| KR101477080B1 (ko) | 2014-12-29 |
| US7886098B2 (en) | 2011-02-08 |
| JP2010503909A (ja) | 2010-02-04 |
| GB2442023B (en) | 2011-03-02 |
| MY146182A (en) | 2012-07-13 |
| IL194953A0 (en) | 2009-08-03 |
| CN101517549B (zh) | 2012-06-20 |
| GB0618042D0 (en) | 2006-10-25 |
| IL194953A (en) | 2015-01-29 |
| TW200817904A (en) | 2008-04-16 |
| WO2008032011A1 (en) | 2008-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4872001B2 (ja) | メモリ・アクセス安全性管理 | |
| CN107690621B (zh) | 受保护的异常处置 | |
| JP6893479B2 (ja) | 所有権テーブルを用いたデータ処理装置及び方法 | |
| KR102592380B1 (ko) | 보안 초기화 | |
| JP6913636B2 (ja) | 共有ページ | |
| US7444668B2 (en) | Method and apparatus for determining access permission | |
| US8132254B2 (en) | Protecting system control registers in a data processing apparatus | |
| CN107690629B (zh) | 地址转换 | |
| JP4989543B2 (ja) | メモリドメインを基にしたデータ処理システム内のセキュリティ制御 | |
| JP5153887B2 (ja) | プロセッサから周辺機器へのセキュア動作モードアクセス特権の譲渡のための方法及び装置 | |
| JP2009211698A (ja) | データ処理装置および処理回路上で実行される仮想機械によるセキュア・メモリへのアクセス制御方法 | |
| JP2007287103A (ja) | マイクロコンピュータ及びメモリアクセスの制御方法 | |
| JP3982687B2 (ja) | 分離実行環境での複数の分離メモリへのアクセスの制御 | |
| JP4945053B2 (ja) | 半導体装置、バスインターフェース装置、およびコンピュータシステム | |
| JP6944444B2 (ja) | メモリアクセス命令 | |
| JP2007109053A (ja) | バスアクセス制御装置 | |
| KR20180004192A (ko) | 정확한 코드 실행 컨텍스트를 검증하는 체크 명령어 | |
| JP5380392B2 (ja) | 半導体装置、バスインターフェース装置、およびコンピュータシステム | |
| JP5324676B2 (ja) | プロセッサ、バスインターフェース装置、およびコンピュータシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100120 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110715 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111014 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111104 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111121 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4872001 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141125 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |