技术领域
[0001] 本
发明是关于计算装置及控制计算装置处理安全服务的方法,尤其是关于计算装置的处理单元的核心能够基于一次的模式转换而处理多个安全服务(secure service)的计算装置及控制计算装置处理安全服务的方法。
背景技术
[0002] 为了提升系统的安全层级,现今许多处理单元的核心支持可信
执行环境(trusted execution environment,TEE,以下简称为
安全模式)下的操作,与可信执行环境相对的环境称为开放执行环境(rich execution environment,REE,或称为丰富执行环境,以下简称为一般模式)。在一般模式下,处理单元的核心执行一般
操作系统(normal operation system,normal OS),以处理大部分与使用者行为相关的操作,例如浏览网页、播放多媒体、下载应用程序等;在安全模式下,处理单元的核心执行安全操作系统(secure operation system,secure OS),以处理与系统及数据安全相关的操作,例如数字
版权保护(digital right management,DRM)或在线交易付款等安全服务。当安全服务产生,处理单元的核心将从一般模式切换至安全模式以处理该安全服务。实作上,核心藉由一个特定的安全模式呼叫指令,使核心产生模式转换,意即从一般模式进入安全模式,例如安谋(ARM)公司所设计的SMC(secure monitor call,安全监控呼叫)指令,或是英特尔(Intel)公司所设计的SMX(safer mode extension,安全模式延伸)指令。一个安全服务通常具有一个对应的服务识别信息(service identification,service ID)。例如以SMC指令通知核心处理安全服务时,必须将该安全服务的服务识别信息一并发出,核心进入安全模式后再依据该服务识别信息处理该安全服务,并且于安全服务处理完成后再回到一般模式。
[0003] 请参阅图1,其系习知处理单元的核心于一般模式与安全模式间转换的示意图。当核心130在一般模式110中于时间T1时得知第一个安全服务(服务识别信息:001)产生,便发出带有服务识别信息为001的SMC指令(例如SMC:001),以进入安全模式120处理第一个安全服务,待处理完毕后再回到一般模式110中;在时间T2时,核心130得知第二个安全服务(服务识别信息:002)产生,便发出带有服务识别信息为002的SMC指令(例如SMC:002),以进入安全模式120处理第二个安全服务,待处理完毕后再回到一般模式110中。此设计有一项限制,核心130在进入安全模式后只能处理一项安全服务,即使在处理第一个安全服务的过程中第二个安全服务已产生,核心130也只能等到第一个安全服务执行完毕,回到一般模式110后才能再发出第二个SMC指令以便处理第二个安全服务。这使得核心在执行安全操作系统时受到相当大的限制,影响处理单元或甚至使用该处理单元的计算装置的整体效能。
发明内容
[0004] 鉴于先前技术的不足,本发明的一目的在于提供一种计算装置及控制计算装置处理安全服务的方法,使处理单元的核心在安全模式中有更佳的效能。
[0005] 本发明揭露了一种处理安全服务的方法,应用于一计算装置的一处理单元,用来控制该处理单元处理多个安全服务,包含:提供一储存单元;将一第一命令存入该储存单元,该第一命令包含一第一安全服务信息;以及控制该处理单元的一核心于一安全模式下执行以下步骤:存取该储存单元以取得该第一命令;依据该第一命令处理与该第一安全服务信息相关的一第一安全服务;以及存取该储存单元以取得一第二命令,该第二命令包含一第二安全服务信息;其中,于控制该核心存取该储存单元以取得该第一与该第二命令的期间,控制该核心停留于该安全模式。
[0006] 本发明另揭露了一种计算装置,包含:一处理单元,包含一核心,该核心于一一般模式下依据一安全模式呼叫指令进入一安全模式;以及一储存单元,耦接该处理单元,储存一第一命令,该第一命令包含一第一安全服务信息;其中该核心于该安全模式下存取该储存单元以取得该第一命令,依据该第一命令处理与该第一安全服务信息相关的一第一安全服务,以及存取该储存单元以取得一第二命令,该第二命令包含一第二安全服务信息,该核心于存取该储存单元以取得该第一与该第二命令的期间系停留于该安全模式。
[0007] 本发明的计算装置及控制计算装置处理安全服务的方法能够让处理单元的核心在安全模式中,处理多个安全服务后才回到一般模式。相较于习知技术,本发明的核心不需要长时间被安全操作系统限制,而是能够弹性地在安全模式中处理多个安全服务,甚至可以在安全操作系统中设计时间片断(time slice)的机制,使安全操作系统拥有多线程(multi-thread)的功能,增加核心在安全模式中的效能。
[0008] 有关本发明的特征、实作与功效,兹配合图式作较佳
实施例详细说明如下。
附图说明
[0009] 图1为习知处理单元的核心于一般模式与安全模式间转换以处理安全服务的示意图;
[0010] 图2为本发明的计算装置的核心于一般模式与安全模式间转换以处理安全服务的一实施例的示意图;
[0011] 图3为本发明控制计算装置处理安全服务的方法的一实施例的示意图;
[0012] 图4为本发明的计算装置的核心于一般模式与安全模式间转换以处理安全服务的另一实施例的示意图;以及
[0013] 图5为本发明控制计算装置处理安全服务的方法的另一实施例的示意图。
具体实施方式
[0014] 以下说明内容的技术用语系参照本技术领域的习惯用语,如本
说明书对部分用语有加以说明或定义,该部分用语的解释系以本说明书的说明或定义为准。
[0015] 本发明的揭露内容包含计算装置及控制计算装置处理安全服务的方法,能够使核心在安全模式中处理多个安全服务。该装置与方法可应用于具有安全模式与一般模式的设计的处理单元,在实施为可能的前提下,本技术领域具有通常知识者能够依本说明书的揭露内容来选择等效的组件或步骤来实现本发明,亦即本发明的实施并不限于后叙的实施例。由于本发明的计算装置所包含的部分组件单独而言可能为已知组件,因此在不影响该装置发明的充分揭露及可实施性的前提下,以下说明对于已知组件的细节将予以节略。此外,本发明的控制计算装置处理安全服务的方法可藉由本发明的计算装置或其等效装置来执行,在不影响该方法发明的充分揭露及可实施性的前提下,以下方法发明的说明将着重于步骤内容而非
硬件。
[0016] 请参阅图2,其系本发明的计算装置的核心于一般模式与安全模式间转换以处理安全服务的一实施例的示意图。本发明的计算装置可以是消费型
电子产品,例如电视、手机、多媒体播放器等具有
数据处理及计算能
力的计算装置,这些装置通常包含处理单元与储存单元。处理单元至少包含一核心210,其可操作于一般模式110以及安全模式120,并且在一般模式110以及安全模式120下皆可对储存单元220进行存取。储存单元220可以例如是计算装置的系统
存储器的某个区段,或是某个硬件缓存器。请同时参阅图3,其系本发明控制计算装置处理安全服务的方法的一实施例的示意图。提供上述的储存单元220后(步骤S310),当安全服务产生时,安全服务将触发能够处理安全服务的核心210产生模式转换(步骤S320)。在核心210进入安全模式120之前(图2中以虚线表示),先将与安全服务相关的命令(Cmd)225,例如包含服务识别信息的命令,存入储存单元220中(步骤S330),然后产生安全模式呼叫指令(例如安谋公司设计的SMC指令),核心210便依据此指令进入安全模式120(步骤S340)。请注意,相较于习知技术,此处的安全模式呼叫指令不需携带安全服务的服务识别信息,因为服务识别信息已经在步骤S330被存入储存单元220。核心210进入安全模式后从储存单元220中读取命令225,并依据命令225中所包含的服务识别信息处理相关的安全服务(步骤S350)。一般而言,安全服务的优先层级较其它服务高,所以当核心210处理完当前的安全服务后,若储存单元220内还存有其它的命令225,则核心210将在此次进入安全模式120的时间内,会将与储存单元220中其它命令225相关的安全服务一并处理完毕,再回到一般模式110。也就是说,当核心210进入安全模式120并处理安全服务,在回到一般模式110之前,会先检查储存单元220中是否还有其它的命令,例如以轮询(polling)的方式每隔一预设时间检查储存单元220,待确定无其它待处理的安全服务,核心210才会回到一般模式110。该些其它的命令系为其它有关于安全服务的命令,其可以是在核心210处理当前的安全服务时被存入储存单元220的,亦可以是在核心210开始处理当前的安全服务前就已经被存入储存单元220的。
[0017] 请参阅图4,其系本发明的计算装置的核心于一般模式与安全模式间转换以处理安全服务的另一实施例的示意图。随着处理单元的功能日益强大,其所提供的核心数也愈多。当处理单元有两个以上的核心,其中至少一个会被设计为安全核心(secure core),只有安全核心能够进入安全模式中处理安全服务,其余的核心则在一般模式中处理其它的服务。如图4所示的实施例中,计算装置的处理单元包含两个核心,分别是核心410及核心420,核心410为安全核心,其可以因安全模式呼叫指令的触发而进入安全模式,而核心420则为非安全核心,或称一般核心。然而在其它的实施例中,计算装置的处理单元可以包含更多核心,例如四核心,且安全核心也不限于一个,例如可以设计四个核心中的其中两个为安全核心。请同时参阅图5,其系本发明控制计算装置处理安全服务的方法的另一实施例的示意图。与前一个实施例相同,同样先提供用来储存包含安全服务信息的命令225的储存单元220(步骤S510)。当安全服务产生时,安全服务将触发核心410产生模式转换(步骤S520),然而此安全服务事件可能是由安全核心410或是非安全核心420接收;无论是由何者接收,皆会将与安全服务相关的命令225,例如包含服务识别信息的命令225,存入储存单元220中(步骤S530)。接下来判断接收到安全服务事件的核心是否为安全核心(步骤S540)。如果是核心420接收到该安全服务事件,因为核心420不是安全核心,无法处理该安全服务,所以必须发出通知Notify以通知核心410处理该安全服务(步骤S550),核心410会因为这个通知Notify而产生例外处理(exception)(步骤S560),这个例外处理将使核心410进入安全模式
120。然而如果上述的安全服务事件产生时是由核心410接收,则步骤S540将会判断为是而直接进入步骤S570。在步骤S570中,核心410判断自己是否已处于安全模式120,如果非处于安全模式120,则核心410产生安全模式呼叫指令(步骤S580),核心410便依据此指令进入安全模式120以处理该安全服务(步骤S590),亦即核心410从储存单元220中读取命令225,并依据命令225处理相关的安全服务;而如果步骤S570的判断为是,亦即核心410于例外处理产生的当时已处于安全模式120(表示核心410正在处理其它安全服务),则于目前的安全服务处理完毕后即可立即处理该安全服务(步骤S590),不需离开安全模式120再重新进入。
[0018] 上述的储存单元可以例如是计算装置的系统存储器的某个区段,或是计算单元的某个硬件缓存器,核心在一般模式110及安全模式120下皆可对两者进行存取。步骤S550的通知Notify可以是一个
软件中断(software generated interrupt,SGI),或是一个硬件中断。硬件中断例如是信箱中断(mailbox interrupt)机制,在此机制下位于一般模式110的核心420将命令225写入硬件缓存器,然后发出中断通知核心410硬件缓存器中有新的命令产生。
[0019] 值得注意的是,当核心410于安全模式120中处理安全服务时,此时若有新的安全服务产生,将由核心420接收到此安全服务事件,核心420将相关于此安全服务的命令存入储存单元(步骤S530),并且发出通知Notify以通知核心410(步骤S550及S560)。核心410依据核心420的通知Notify得知储存单元220中有新的命令225产生,因此处理完目前的安全服务后不会立即返回一般模式110,而是依据上述的通知存取储存单元220以取得其它命令225,并处理与该命令相关的安全服务。换句话说,在本实施例的架构下,不会如习知中因为安全核心410正在安全模式120中处理安全服务而导致下一个安全服务无法发出;相反的,在本发明中,核心410在进入安全模式120后,可以处理核心420所发出的中断,因此在安全模式120中仍可以接收对应于不同安全服务的通知Notify,并连续处理不只一个安全服务。
例如当核心410在安全模式120中核心420持续将新的命令225存入储存单元220,则核心410可以持续处理新发生的安全服务,也就是核心410在一次进入安全模式120的期间,可以处理一个以上的安全服务,使核心410在执行安全操作系统时可以有更多的弹性。
[0020] 此外,本发明可以藉由时间片断机制,使安全操作系统可以支持多线程的调度机制(scheduling)。而当有时间片断机制的设计时,核心410可以在时间片断结束时即先行返回一般模式110,即使安全服务仍未处理完毕。举例来说,当核心410在处理安全服务时,需要藉由直接存储器存取(direct memory access,DMA)单元移动数据,其于下达指令使直接存储器存取单元开始动作后,如果当该次的时间片断结束时直接存储器存取单元的工作尚未完成,且储存单元220中没有其它命令待处理时,此时核心410为了避免在安全模式120中徒耗时间,便先返回一般模式110中支持处理其它服务;当直接存储器存取单元完成工作后,即通知一般模式110中的核心(核心410或核心420)。如果是核心410接到该通知,则进行步骤S570~S590,如果是核心420接到该通知,则进行步骤S550~S590,使核心410进入安全模式120处理该安全服务的后续工作。也就是说,核心410可以于处理安全服务的过程中弹性地在一般模式110与安全模式120中转换,不会将计算资源浪费在等待的过程中,使整个处理单元的运作更有效率。在一个较佳的实施例中,如果安全操作系统有时间片断的设计,当时间片断结束时,核心410会先确认储存单元220中是否有待处理的命令,如果有,则核心410将继续留在安全模式120中处理安全服务,如果储存单元220已空,则返回一般模式110。
[0021] 在另一个实施例中,安全核心410并非依据核心420的通知从一般模式110进入安全模式120,而是设定一个预设时间(例如时间片断),当预设时间到达时,核心410自行发出不带有服务识别信息的安全模式呼叫指令,使自己进入安全模式120,因此核心410可以周期性地进入安全模式120中检查是否有新的安全服务产生。在一个较佳的实施例中,上述的方式可以与通知并行,也就是说核心410除了可以周期性地进入安全模式120中检查是否有安全服务产生之外,亦可经由另一核心420的通知而进入安全模式120中检查是否有安全服务产生。
[0022] 由于本技术领域具有通常知识者可藉由图2及图4的装置发明的揭露内容来了解图3及图5的方法发明的实施细节与变化,因此,为避免赘文,在不影响该方法发明的揭露要求及可实施性的前提下,重复的说明在此予以节略。请注意,前揭图标中,组件的形状、尺寸、比例以及步骤的顺序等仅为示意,系供本技术领域具有通常知识者了解本发明之用,非用以限制本发明。另外,本技术领域人士可依本发明的揭露内容及自身的需求选择性地实施任一实施例的部分或全部技术特征,或者选择性地实施多个实施例的部分或全部技术特征的组合,藉此增加本发明实施时的弹性。
[0023] 虽然本发明的实施例如上所述,然而该些实施例并非用来限定本发明,本技术领域具有通常知识者可依据本发明的明示或隐含的内容对本发明的技术特征施以变化,凡此种种变化均可能属于本发明所寻求的
专利保护范畴,换言之,本发明的专利保护范围须视本说明书的
申请专利范围所界定者为准。
