TWI463320B

TWI463320B - 記憶體存取權限控制方法與相關記憶體管理系統

Info

Publication number: TWI463320B
Application number: TW101144723A
Authority: TW
Inventors: Chien Hsing Huang; Ko Fang Wang
Original assignee: Mstar Semiconductor Inc
Priority date: 2012-11-29
Filing date: 2012-11-29
Publication date: 2014-12-01
Also published as: TW201421242A; US9092372B2; US20140149704A1

Description

記憶體存取權限控制方法與相關記憶體管理系統

本發明揭露一種記憶體存取權限控制方法及一相關記憶體管理系統，尤指一種藉由程式計數器之值決定呼叫者程式在記憶體中對應之允許存取區間的記憶體存取權限控制方法與應用該記憶體存取權限控制方法之一記憶體管理系統。

在一般具有保護安全機制的執行系統中，電視卡存放有複數種隸屬不同頻道服務商的呼叫者程式，用來呼叫存取同樣存放於電視卡中，由相同頻道服務商所提供的服務保密資料等機密性資料，例如編碼/解碼用的演算法或金鑰等。這些呼叫者程式都會經過電視卡製造商的認證，因此對電視卡製造商來說，這些呼叫者程式以及該些呼叫者程式各自在該電視卡上建立的服務保密資料對電視卡製造商來說都是可以信任的。然而，由於這些頻道服務商之間並沒有信任基礎，加上同一張電視卡有權限可直接存取這些隸屬不同頻道服務商的呼叫者程式與服務保密資料，因此若電視卡本身並未設計妥善的存取權限控管機制，惡意的頻道服務商可能利用該電視卡存取其他頻道服務商的服務保密資料。

為了解決上述先前技術中同一張電視卡所存取隸屬不同頻道服務商的服務保密資料可能被惡意存取的問題，本發明揭露一種記憶體存取權限控制方法及相關之記憶體管理系統。

該記憶體存取權限控制方法係應用於一記憶體。該記憶體包含一指令位址空間以及一服務位址空間。該指令位址空間儲存有複數個呼叫者程式(Caller Program)。分別對應於彼此不重疊之複數程式計數值區間。該服務位址空間儲存有複數個允許存取區間，分別對應於該複數個呼叫者程式且彼此不重疊。該記憶體存取權限控制方法包含根據一程式計數器所保存之一目前程式計數值，由該指令位址空間中存取該複數個呼叫者程式中之一第一呼叫者程式；根據該目前程式計數值，在一查詢表中查詢該目前程式計數值在該服務位址空間中被分配到之一第一允許存取區間；其中，該查詢表儲存有該複數個程式計數值區間映射於該服務位址空間之該複數個允許存取區間的複數個對應關係；確認該第一呼叫者程式之一目標存取位址是否落於該第一允許存取區間內；及根據確認該目標存取位址是否落於該第一允許存取區間內的結果，決定允許或拒絕該第一呼叫者程式存取該服務位址空間。

該記憶體管理系統包含一記憶體、一查詢表以及一記憶體控制器。該記憶體包含一指令位址空間以及一服務位址空間。該指令位址空間儲存有複數個呼叫者程式，分別對應於彼此不重疊之複數程式計數值區間。該服務位址空間儲存有複數個允許存取區間，分別對應於該複數個呼叫者程式且彼此不重疊。該查詢表儲存有該複數個程式計數值區間映射於該服務位址空間之該複數個允許存取區間的複數個對應關係。該記憶體控制器包含一程式計數器。該記憶體控制器用來：根據該程式計數器所保存之一目前程式計數值，由該指令位址空間中存取該複數個呼叫者程式中之一第一呼叫者程式；根據該目前程式計數值在該查詢表中查詢該目前程式計數值，在該服務位址空間中被分配到之一第一允許存取區間；確認該第一呼叫者程式之一目標存取位址是否落於該第一允許存取區間內；以及根據確認該目標存取位址是否落於該第一允許存取區間內的結果，決定允許或拒絕該第一呼叫者程式存取該服務位址空間。

請參閱第1圖，其為根據本發明之一實施例所揭露之一記憶體管理系統100的概略示意圖，其中記憶體管理系統100並非只可應用於電視卡，而可應用於其他需要對不同服務進行存取權限管理的記憶體管理機制。為了解說方便起見，以下說明係以記憶體管理系統100應用於電視卡，並用來管理該電視卡認證之不同頻道服務商所提供之呼叫者程式所能夠存取的服務保密資料之前提進行。

如第1圖所示，記憶體管理系統100包含一記憶體110與一記憶體控制器120。記憶體110包含一指令位址空間CMS、一查詢表LUT、及一服務位址空間SMS。位址空間(Address space)可為記憶體空間(Memory space)、暫存器空間(Register space)、及串列快閃記憶體空間(SPI flash space)等。指令位址空間CMS用來儲存複數個各自隸屬不同頻道服務商的呼叫者程式C1、C2、C3、C4、...、CN。服務位址空間SMS用來儲存服務保密資料及/或暫存器組，在第1圖中係假設服務位址空間SMS儲存有服務保密資料D1、D2、D3、D4、...、DX以及暫存器組B1、B2、...、BY。其中，假設服務保密資料D1、D2、D3、D4、...、DX以及暫存器組B1、B2、...、BY加總之個數相當於呼叫者程式C1、C2、C3、C4、...、CN的個數，且服務保密資料D1、D2、D3、D4、...、DX以及暫存器組B1、B2、...、BY與呼叫者程式C1、C2、C3、C4、...、CN一一對應。每一暫存器組B1、B2、...、BY包含有至少一暫存器值，作為控制外接於記憶體管理系統100至少一個硬體裝置之操作方式或狀態的參數值。

記憶體控制器120包含有一程式計數器125，程式計數器125儲存有一程式計數值PC。

為確保具保護安全機制之執行環境安全，呼叫者程式C1、C2、C3、C4、...、CN被禁止以任何形式被更新，例如由網路下載更新資料之更新方式，以確保其存取目標的範圍是固定的。在本發明之部分實施例中，呼叫者程式C1、C2、C3、C4、...、CN是以單次編程技術(One-Time Programming)或以光罩唯讀記憶體技術(Mask Read-only Memory，Mask ROM)被寫入於指令位址空間CMS，或指令位址空間CMS可被設定為一唯讀記憶體空間，以實現上述不能再以任何形式更新呼叫者程式C1、C2、C3、C4、...、CN的目的。

另外，呼叫者程式C1、C2、C3、C4、...、CN在指令位址空間CMS的定址方式是以程式計數值PC所實施，換言之，記憶體控制器120會根據程式計數值PC的目前值來決定正要執行哪一個呼叫者程式。藉由程式計數值PC來進行指令位址空間CMS的定址，可使得每一呼叫者程式對應於彼此不重疊(non-overlapped)之一程式計數值區間。服務保密資料D1、D2、D3、D4、...、DX以及暫存器組B1、B2、...、BY在服務位址空間SMS所各自占有的區間亦彼此不重疊。

在本發明之一實施例中，呼叫者程式C1、C2、C3、C4、...、CN各自被可信任執行環境(Trusted Execution Environment，TEE)所認證並支援，且服務保密資料D1、D2、D3、D4、...、DX以及暫存器組B1、B2、...、BY亦被可信任執行環境所認證並支援。

查詢表LUT儲存有每一呼叫者程式的程式計數值區間與該呼叫者程式在服務位址空間SMS中的允許存取區間之間的對應關係。於一實施例中，呼叫者程式C3在指令位址空間CMS中的程式計數值區間位於指令計數值PC1與指令計數值PC2之間，且呼叫者程式C3在服務位址空間SMS被允許存取位於記憶體位址AS與記憶體位址AE之間的服務保密資料D4(亦即呼叫者程式C3在服務位址空間SMS的允許存取區間係為記憶體位址AS與記憶體位址AE之間)，則查詢表LUT會包含一筆對應關係記錄如下：「當指令計數值PC之目前值落於指令計數值PC1與PC2之間時，允許存取記憶體位址AS與AE之間的服務位址空間。」

記憶體管理系統100的運作主要是由記憶體控制器120來執行。記憶體控制器120的操作方式如下所述：

(1)當指令位址空間CMS內的程式執行至呼叫者程式C3所在位址時，記憶體控制器120根據程式計數器125所記錄的程式計數值PC(該值大於或等於程式計數值PC1、並小於或等於程式計數值PC2)，存取程式計數值PC所指向之呼叫者程式C3(或可為呼叫者程式C3中一行程式碼)。

(2)記憶體控制器120以程式計數值PC作為索引向查詢表LUT進行查詢，並找到上述對應關係記錄「當指令計數值PC之目前值落於指令計數值PC1與PC2之間時，允許存取記憶體位址AS與AE之間的服務位址空間。」。

(3)確認(1)中所存取的呼叫者程式C3的目標存取位址是否落於(2)中查詢到的記錄中所記載被允許存取的記憶體位址AS與AE之間。

(4)當確認呼叫者程式C3的目標存取位址落於被允許存取的記憶體位址AS與AE之間時，允許呼叫者程式C3對於記憶體位址AS與AE之間的存取。

另外，當程式計數值PC並未落於PC1與PC2之間時，則對於記憶體位址AS與AE之間所作任何形式的記憶體存取都會被禁止，因此可以確保呼叫者程式C3以外的其他呼叫者程式無法存取服務保密資料D4，而確保服務保密資料D4的安全性。如此一來，可以確實使每一頻道服務商所提供之呼叫者程式無法存取到其他頻道服務商的服務保密資料，而在頻道服務商之間沒有信任基礎的情況下，仍然能夠確實確保每一頻道服務商所提供之服務保密資料的資料安全。

於另一實施例中，如第1圖所示，呼叫者程式C1與暫存器組B2係由同一頻道服務商所提供，而使得呼叫者程式C1有權限可以存取暫存器組B2時，查詢表LUT亦會儲存一筆對應關係記錄「當指令計數值PC之目前值落於指令計數值PC3與PC4之間時，允許存取記憶體位址BS與BE之間的服務位址空間。」。如此一來，記憶體控制器120的操作方式將會如以下所述：

(1)當指令位址空間CMS內的程式執行至呼叫者程式C1所在位址時，記憶體控制器120根據程式計數器125所記錄的程式計數值PC(該值大於或等於程式計數值PC3、並小於或等於程式計數值PC4)，存取程式計數值PC所指向之呼叫者程式C1(或可為呼叫者程式C1中一行程式碼)。

(2)記憶體控制器120以程式計數值PC作為索引向查詢表LUT進行查詢，並找到上述對應關係記錄「當指令計數值PC之目前值落於指令計數值PC3與PC4之間時，允許存取記憶體位址BS與BE之間的服務位址空間。」。

(3)確認(1)中所存取的呼叫者程式C1的目標存取位址是否落於(2) 中查詢到的記錄中所記載被允許存取的記憶體位址BS與BE之間。

(4)當確認呼叫者程式C1的目標存取位址落於被允許存取的記憶體位址BS與BE之間時，允許呼叫者程式C1對於記憶體位址BS與BE之間的存取。

同理，當程式計數值PC並未落於PC3與PC4之間時，則對於記憶體位址BS與BE之間所作任何形式的記憶體存取都會被禁止，因此可以確保呼叫者程式C1以外的其他呼叫者程式無法存取暫存器組B2，而確保暫存器組B2的安全性。

於另一實施例中，查詢表LUT所儲存之對應關係亦可以指令記數值間之相對值紀錄之，例如紀錄「當指令計數值PC之目前值落於指令計數值PC3與PC3+N之間時，允許存取記憶體位址BS與BE之間的服務位址空間。」。其中，N為一正整數。同理，允許存取之記憶體位址亦可以相對值紀錄之，例如紀錄「當指令計數值PC之目前值落於指令計數值PC3與PC4之間時，允許存取記憶體位址BS與BS+M之間的服務位址空間。」，其中，M亦為一正整數。

本發明所揭露之記憶體存取權限控制方法，其細節已於上述記憶體管理系統100的操作敘述中介紹，並彙整如下列第2圖所示。請參閱第2圖，其為根據本發明之一實施例，所揭露之記憶體存取權限控制方法的流程圖。該方法包含步驟如下：

步驟202：根據程式計數器125所保存之目前程式計數值PC，由指令位址空間CMS中存取呼叫者程式C3。

步驟204：根據目前程式計數值PC，在查詢表LUT中查詢目前程式計數值PC在服務位址空間SMS中被分配到之允許存取區間(亦即記憶體位址AS至AE)。

步驟206：確認呼叫者程式C3之目標存取位址是否落於允許存取區間內。

步驟208：根據確認呼叫者程式C3之目標存取位址是否落於允許存取區間內的結果，決定允許或拒絕呼叫者程式C3對服務位址空間SMS之存取。

請注意，將第2圖所示之各步驟施加合理之排列組合、加上上述提及之各種限制條件、或加上該些限制條件對第2圖所示步驟的合理替換而衍生出之各種實施例，仍應視為本發明之實施例。

本發明揭露一種記憶體存取權限控制方法及應用該方法的記憶體管理系統，藉由將同一系統內不同服務程式的可存取記憶體區間進行分隔規劃，來確保該些不同服務程式不會存取到彼此的機密性資料。

以上所述僅為本發明之較佳實施例，凡依本發明申請專利範圍所做之均等變化與修飾，皆應屬本發明之涵蓋範圍。

100‧‧‧記憶體管理系統

110‧‧‧記憶體

120‧‧‧記憶體控制器

125‧‧‧程式計數器

C1、C2、C3、C4、CN‧‧‧呼叫者程式

D1、D2、D3、D4、DX‧‧‧服務保密資料

B1、B2、BY‧‧‧暫存器組

CMS‧‧‧指令位址空間

LUT‧‧‧查詢表

SMS‧‧‧服務位址空間

202、204、206、208‧‧‧步驟

第1圖為根據本發明之一實施例所揭露之一記憶體管理系統的概略示意圖。

第2圖為根據本發明之一實施例所揭露之記憶體存取權限控制方法的流程圖。