包含映射访问接口的处理器的制作方法

本发明涉及通信技术领域，尤其涉及一种包含映射访问接口的处理器。

背景技术：

随着信息化不断发展，系统可信性变的越来越重要，传统的基于软件层面的可信性保护的安全度越来越低，因为黑客可以越过软件保护直接攻击操作系统进而对敏感的软硬件资源进行窃取；因此，为了弥补软件层面的可信性保护的不足，提出了一种可信构架，所述可信构架旨在为系统提供软件之外的底层硬件保护机制。

所述可信构架设计的具体思路是：在处理器的运行模式中新增一种可信模式，并在系统中抽象出一个可信内核，将处于可信模式的处理器、可信属性的系统ip以及其他系统中敏感、重要的软硬件资源划分到可信内核中；进一步，通过硬件机制保证可信内核中的资源只能被可信模式所访问，从而实现可信内核与非可信内核的隔离，确保可信资源的机密性以及完整性。

同时，处理器中设置有映射访问接口，所述映射访问接口能够使可信内核安全访问非可信内核下的资源，从而实现内核资源的安全交互；其中，包含映射访问接口的处理器在物理内核中虚化出可信内核和非可信内核，并在虚化出的两个内核中分别分离出超级用户模式和普通用户模式。通常情况下，每种模式的资源无法访问其他模式下的资源，从而在硬件上保证系统的安全性。当处理器需要从高可信性模式访问其他模式的资源时，就需要通过保存到当前模式下的现场切换模式到其他模式后，对其他模式下的资源进行访问。

在实现本发明的过程中，发明人发现现有技术中至少存在如下技术问题：处理器通过不断切换模式的方式读取其他模式下的资源，工作效率低，且使处理器功耗较大。

技术实现要素：

本发明提供的一种包含映射访问接口的处理器，能够提高处理器的工作效率，降低处理器功耗。

第一方面，本发明提供一种包含映射访问接口的处理器，包括：

指令执行单元、第一模式资源存储单元、第二模式资源存储单元和映射访问接口，其中，

指令执行单元，与所述第一模式资源存储单元、所述第二模式资源存储单元以及所述映射访问接口相连，用于根据接收到的外界指令读取所述映射访问接口的资源信息或改写所述映射访问接口的资源信息；

第一模式资源存储单元，用于存储处理器处于第一模式下的资源信息，且仅当处理器处于第一模式时，所述指令执行单元有权访问所述第一模式资源存储单元的资源；

第二模式资源存储单元，用于存储处理器处于第二模式下的资源信息，且仅当处理器处于第二模式时，所述指令执行单元有权访问所述第二模式资源存储单元的资源；

映射访问接口，与第二模式资源存储单元相连，用于实时读取所述第二模式资源存储单元的资源并保存，以及在处理器处于第一模式时根据所述指令执行单元发送的改写信息改写所述第二模式资源存储单元中资源寄存器的资源。

可选地，所述第一模式资源存储单元为可信超级用户模式资源存储单元，所述第二模式资源存储单元为可信普通用户模式资源存储单元。

可选地，所述第一模式资源存储单元为可信超级用户模式资源存储单元，所述第二模式资源存储单元为非可信超级用户模式资源存储单元。

可选地，所述第一模式资源存储单元为可信超级用户模式资源存储单元，所述第二模式资源存储单元为非可信普通用户模式资源存储单元。

可选地，所述第一模式资源存储单元为非可信超级用户模式资源存储单元，所述第二模式资源存储单元为非可信普通用户模式资源存储单元。

可选地，所述资源寄存器为异常基址寄存器、异常备份寄存器或堆栈寄存器。

可选地，所述映射访问接口为至少一个控制寄存器或至少一个内存地址。

本发明实施例提供的包含映射访问接口的处理器，指令执行单元处在权限高的用户模式下，通过映射访问接口可以直接访问权限低的用户模式下的资源，而不用再使处理器进行模式切换的操作，从而能够提高处理器的工作效率，降低处理器功耗。

附图说明

图1为本发明一实施例包含映射访问接口的处理器的结构示意图；

图2为本发明一实施例处理器程序状态寄存器模式切换示意图；

图3为本发明一实施例包含映射访问接口的处理器的映射关系图；

图4为本发明一实施例高级权限模式访问低级权限模式专用资源的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种包含映射访问接口的处理器，如图1所示，所述处理器包括：

指令执行单元11、第一模式资源存储单元12、第二模式资源存储单元13和映射访问接口14，其中，

指令执行单元11，与所述第一模式资源存储单元12、所述第二模式资源存储单元13以及所述映射访问接口14相连，用于根据接收到的外界指令读取所述映射访问接口14的资源信息或改写所述映射访问接口14的资源信息；

第一模式资源存储单元12，用于存储处理器处于第一模式下的资源信息，且仅当处理器处于第一模式时，所述指令执行单元11有权访问所述第一模式资源存储单元12的资源；

第二模式资源存储单元13，用于存储处理器处于第二模式下的资源信息，且仅当处理器处于第二模式时，所述指令执行单元11有权访问所述第二模式资源存储单元13的资源；

映射访问接口14，与第二模式资源存储单元13相连，用于实时读取所述第二模式资源存储单元13的资源并保存，以及在处理器处于第一模式时根据所述指令执行单元11发送的改写信息改写所述第二模式资源存储单元13中资源寄存器的资源。

本发明实施例提供的包含映射访问接口的处理器，指令执行单元处在权限高的用户模式下，通过映射访问接口可以直接访问权限低的用户模式下的资源，而不用再使处理器进行模式切换的操作，从而能够提高处理器的工作效率，降低处理器功耗。

可选地，如图2所示，为处理器程序状态寄存器模式切换示意图；其中，处理器具有可信内核和非可信内核两个逻辑上独立的内核，按照编程模式的两个标准，将可信内核划分为可信超级用户模式和可信普通用户模式；将非可信内核划分为非可信超级用户模式和非可信普通用户模式。当程序状态寄存器的se位为1时，表明处理器当前处于可信内核下，此时处理器将采用可信态程序状态寄存器(sepsr)作为程序状态寄存器，当可信态程序状态寄存器的s位为1时，表明处理器目前处于可信超级用户模式下，当可信态程序状态寄存器的s位为0时，表明处理器目前处于可信普通用户模式下；当程序状态寄存器的se位为0时，表明处理器当前处于非可信内核下，此时处理器将采用非可信程序状态寄存器(nspsr)作为程序状态寄存器，当非可信程序状态寄存器的s位为1时，表明处理器目前处于非可信超级用户模式下，当非可信程序状态寄存器的s位为0时，表明处理器目前处于非可信普通用户模式下。

可选地，如图3所示，处理器的四个模式：可信超级用户模式、可信普通用户模式、非可信超级用户模式和非可信普通用户模式具有不同的权限，其中，可信超级用户模式拥有最高级的权限，能够通过映射访问接口访问可信普通用户模式、非可信超级用户模式和非可信普通用户模式下的资源；非可信超级用户模式的权限高于非可信普通用户模式，能够通过映射访问接口访问非可信普通用户模式下的资源；可信普通用户模式只能访问可信普通用户模式下的资源，而没有权限访问其他模式下的资源；非可信普通用户模式只能访问非可信用户模式下的资源，而没有权限访问其他模式下的资源。

可选地，当处理器运行在可信超级用户模式并有读取可信普通用户模式的堆栈寄存器的需求时，处理器的指令执行单元获取并识别指令后，直接通过映射访问接口获取映射资源，所述映射资源为可信普通用户模式的堆栈寄存器的资源，映射访问接口实时的将可信普通用户模式的堆栈寄存器的资源存储于自身的控制寄存器中，从而达到在可信超级用户模式下读取可信普通用户堆栈寄存器的目的。

可选地，当处理器运行在可信超级用户模式并有读取非可信普通用户模式的堆栈寄存器的需求时，处理器的指令执行单元获取并识别指令后，直接通过映射访问接口获取映射资源，所述映射资源为非可信普通用户模式的堆栈寄存器的资源，映射访问接口实时的将非可信普通用户模式的堆栈寄存器的资源存储于自身的控制寄存器，从而达到在可信超级用户模式下读取非可信普通用户堆栈寄存器的目的。

可选地，当处理器运行在可信超级用户模式并有读取非可信超级用户模式的堆栈寄存器的需求时，处理器的指令执行单元获取并识别指令后，直接通过映射访问接口获取映射资源，所述映射资源为非可信超级用户模式的堆栈寄存器的资源，映射访问接口实时的将非可信超级用户模式的堆栈寄存器的资源存储于自身的控制寄存器，从而达到在可信超级用户模式下读取非可信超级用户堆栈寄存器的目的。

可选地，当处理器运行在非可信内核下的非可信超级用户模式并有读取非可信内核下的非可信普通用户模式的堆栈寄存器的需求时，处理器的指令执行单元获取并识别指令后，直接通过映射访问接口获取映射资源，所述映射资源为非可信普通用户模式的堆栈寄存器的资源，映射访问接口实时的将非可信普通用户模式的堆栈寄存器的资源存储于自身的控制寄存器，从而达到在可信超级用户模式下读取非可信超级用户堆栈寄存器的目的。

可选地，当处理器运行在可信超级用户模式或非可信超级用户模式，并有改写非可信普通用户堆栈寄存器的需求时，指令执行单元发送写地址及写数据至映射访问接口，所述映射访问接口将控制寄存器中的内容改写后，发送改写后的内容至非可信普通用户堆栈寄存器。从而使处理器达到改写资源的目的。

可选地，当处理器运行在可信超级用户模式，并有改写非可信超级用户堆栈寄存器的需求时，指令执行单元发送写地址及写数据至映射访问接口，所述映射访问接口将控制寄存器中的内容改写后，发送改写后的内容至非可信超级用户堆栈寄存器。从而使处理器达到改写资源的目的。

可选地，当处理器运行在可信超级用户模式，并有改写可信普通用户堆栈寄存器的需求时，指令执行单元发送写地址及写数据至映射访问接口，所述映射访问接口将控制寄存器中的内容改写后，发送改写后的内容至可信普通用户堆栈寄存器。从而使处理器达到改写资源的目的。

可选地，所述堆栈寄存器还可以为异常基址寄存器、异常备份寄存器或堆栈寄存器。

可选地，所述第一模式资源存储单元为可信超级用户模式资源存储单元，所述第二模式资源存储单元为可信普通用户模式资源存储单元。

可选地，所述第一模式资源存储单元为可信超级用户模式资源存储单元，所述第二模式资源存储单元为非可信超级用户模式资源存储单元。

可选地，所述第一模式资源存储单元为可信超级用户模式资源存储单元，所述第二模式资源存储单元为非可信普通用户模式资源存储单元。

可选地，所述第一模式资源存储单元为非可信超级用户模式资源存储单元，所述第二模式资源存储单元为非可信普通用户模式资源存储单元。

可选地，所述资源寄存器为异常基址寄存器、异常备份寄存器或堆栈寄存器，但不限于此。

具体地，可信内核与非可信内核有彼此独立的异常服务机制，sevbr为可信内核专用的异常基址寄存器，所有入口地址均存储于sevbr为基址的异常向量表中；nsvbr为非可信内核专用的异常入口机制寄存器，所有入口地址均存储于nsvbr为基址的异常向量表中。当处理器运行在可信超级用户模式时，可以通过访问可信超级用户模式下映射访问接口来访问到非可信内核的异常入口基址寄存器。

具体地，seepsr为可信内核专用的异常状态保留寄存器，在处理器发生安全中断或安全异常时，用于保存可信内核运行的psr信息，以便于处理器的现场恢复；nsepsr为非可信内核专用的异常状态保留寄存器，在处理器发生非安全中断或非安全异常时，保存非可信内核运行的psr信息，以便于处理器的现场恢复。当处理器运行在可信超级用户模式时，可以通过访问可信超级用户模式下映射访问接口来访问到非可信内核的异常保留状态寄存器。

具体地，seepc为可信内核专用的异常保留程序计数器，当cpu在可信内核下发生异常或者安全中断时，cpu会把可信内核下的信息保存到seepc中，用于cpu的现场恢复；nsepc为非可信内核专用的异常保留程序计数器，当cpu在非可信内核下发生异常或者安全中断时，cpu会把非可信内核下的信息保存到seepc中，用于cpu的现场恢复；当处理器运行在可信超级用户模式时，可以通过访问可信超级用户模式下映射访问接口来访问到非可信内核的异常保留程序计数器。

可选地，所述映射访问接口为至少一个控制寄存器或至少一个内存地址。

可选地，如图4所示，为高级权限模式访问低级权限模式专用资源的示意图；

其中，当处理器处于第一用户模式下，且有读取第二用户模式资源的需求时，通过映射访问接口将专用资源存储于通用寄存器中，由指令执行单元对存储于通用寄存器中的专用资源进行处理。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。