[发明专利]在安全与非安全存储器区域内存储安全模式页表数据

说明书

技术领域

本发明涉及数据处理系统。具体地，本发明涉及具有一个或多个安全操作模式和一个或多个非安全操作模式的并且当操作在安全模式中时利用安全模式页表数据来管理对存储器的访问的数据处理系统。

背景技术

已知可提供一种具有一个或多个安全操作模式和一个或多个非安全操作模式的数据处理系统，诸如，驻在英国剑桥的ARM有限公司所研发的信任区(TrustZone)体系架构的数据处理系统。在这种系统内的存储器(存储器地址空间)一般配有一个或多个安全区域和一个或多个非安全区域，该一个或多个安全区域在安全操作模式中为可访问而在非安全操作模式中为不可访问的，而该一个或多个非安全区域在安全操作模式和非安全操作模式中都是可被访问的。通过这种方式，诸如加密密钥、金融数据等之类的敏感数据可被存储在安全区域内，并且，仅能由执行在安全操作模式中的受信/安全应用程序访问。这种数据处理系统还支持执行在非安全模式中的非安全应用程序，但其仅能对存储器之非安全区域进行访问。举例而言，这种系统可用于数字版权管理，其中，诸如加密密钥之类的高敏感并秘密的信息可妥善存于存储器的安全区域内，并且，其仅能由执行在安全模式中的安全应用程序访问，同时该系统还支持诸如媒体播放器或无关的应用程序之类的非安全应用程序，其执行在非安全模式中且使用存储器的的非安全区，而其本身不需直接访问存储器的安全区域内所保持的安全/秘密数据。

当操作在一个或多个安全模式中时，为了对存储器安全区域的访问进行管理，已知可提供安全模式页表数据，其由诸如存储器单元或存储器保护单元之类的存储器管理电路使用，从而控制/管理对存储器的访问。存储器管理单元例如可负责将安全模式中所生成的虚拟地址转译(translate)成物理地址。在安全模式中进行访问的存储器内的区域可包括安全区域和非安全区域。可能产生的问题是：用来管理对存储器的安全区域的访问的安全模式页表数据可能会遭受到未经授权的修改，例如安全模式中的应用程序将访问存储器的非安全区域而非如初始所意欲的那样访问存储器的安全区域。如此将危害系统的安全。

为了处理此种问题，可将所有安全模式页表数据存储在存储器的安全区域内。通过这种方式，可保护安全模式页表数据，使之不会遭受到企图规避系统安全的未经授权的修改。然而，此方法的一个问题是：安全模式页表数据的大小很大，并且，不利地消耗存储器的一个或多个安全区的大量存储器容量。因此，尽管诸如加密密钥、金融数据、安全程序指令码之类的安全数据本身的量相对较小，然而，仅为了存储安全模式页表数据，可能需要存储器的安全区具有大存储容量。

发明内容

从本发明的一个方面来看，其提供了一种用于处理数据的设备，所述设备包括：

存储器；

处理电路，该处理电路响应于一程序指令流而执行处理操作，所述处理电路具有多个操作模式，该多个操作模式包括一个或多个安全模式和一个或多个非安全模式，所述存储器包括：

(i)一个或多个安全区域，该安全区域在所述一个或多个安全模式中能被访问，而在所述一个或多个非安全模式中不能被访问；以及

(ii)一个或多个非安全区域，该非安全区域在所述一个或多个安全模式中能被访问，且在所述一个或多个非安全模式中能被访问。

存储器控制电路，存储器控制电路响应于页表数据而管理对所述存储器的访问；其中，

所述页表数据包括安全模式页表数据及非安全模式页表数据，当所述处理电路操作在所述一个或多个安全模式中时，使用该安全模式页表数据来管理对所述存储器的访问，而当所述处理电路操作在所述一个或多个非安全模式中时，使用该非安全模式页表数据来管理对所述存储器的访问；

所述安全模式页表数据包括页表层次结构，该页表层次结构具有相关联的页表层级，该页表层级被配置，使得在第一页表层级处的第一层级页表包括页表条目，该页表条目指向所述层次结构中比所述第一页表层级低的第二页表层级处的各自第二层级页表；并且

所述第一层级页表的每个页表条目包括一表安全字段，该表安全字段指示由所述页表条目所指向的第二层级页表是存储在所述一个或多个安全区域内还是所述一个或多个非安全区域内。