[实用新型]片上系统和电子装置

说明书

本公开的实施例涉及片上系统和电子装置。在一个实施例中，片上系统包括动态电压和频率缩放(DVFS)电源、安全环境、非安全环境以及电源管理控制模块。安全环境被配置成生成安全指令，该安全指令定义用于DVFS电源的电压和频率的允许的操作点。非安全环境被配置成生成修改DVFS电源的请求，其中修改请求包括电压‑频率操作点。电源管理控制模块被配置成：响应于修改DVFS电源的请求，将DVFS电源缩放到允许操作点。

技术领域

实施方式和实施例涉及管理用于片上系统的“DVFS”(动态电压和频率缩放)类型的电源。

背景技术

片上系统(SOC)需要安全设备来保护机密数据和敏感信息免于复制专有内容。所连接的对象特别是汽车领域特别敏感。

Tang等人在第26届USENIX安全研讨会(2017年08月)上发表的出版物“CLKscrew：Exposing the perils of security-oblivious energy management”(ISBN:978-1-931971-40-9)描述了当前片上系统的安全脆弱性。

上面提到的安全脆弱性涉及由动态电压和频率缩放(DVFS)技术供电的系统。

片上系统可以包括计算单元，在该计算单元中，安全环境被设计成在没有认证的情况下不可访问，并且非安全环境从外部可访问，例如，以用于运行软件应用或与第三方装置建立通信。例如，安全环境在输入-输出接口处包括硬件保护机制，诸如用于过滤经认证或未经认证的数据的寄存器。另外，与安全环境通信的安全性基本上基于加密算法(诸如，高级加密标准AES或加密标准RSA)。

安全环境通常用术语“可信执行环境”来指代，并且非安全环境通常用术语“富执行环境”来指代。这两个环境可以属于同一计算单元，诸如微处理器。

图1图示了系统的示例，该系统包括安全环境TEE和非安全环境REE，安全环境TEE和非安全环境REE属于同一计算单元CPU，并且共享DVFS动态电压和频率缩放类型的电源域DAP。

在共享电源域DAP中，电压和频率变化VFS可以由非安全环境REE控制。例如，非安全环境由诸如Linux的操作系统管理，该操作系统提供这种类型的DVFS电源控制。

由非安全环境REE进行DVFS电源控制对于优化能耗是有用的，因为可动态地适配系统每次使用的性能。

但是，上面提到的Tang等人的出版物揭示了存在一种攻击，该攻击包括通过来自非安全环境REE的非安全代码指令CNS来修改DVFS电源的电压和频率VFS。这样排序的变化VFS使得在安全环境TEE中的处理期间引入目标错误成为可能，通过在给定操作上进行精确同步使得破坏安全环境TEE的安全性所基于的加密成为可能。

换句话说，DVFS电源被用于通过非安全环境REE来将安全环境TEE推到其工作电源的极限，从而在安全环境的逻辑中产生时间协调误差。

“破坏加密”被理解为例如意指秘密加密密钥的重构。然后，使用加密密钥，“非安全”第三方软件可以访问安全环境TEE并享受其特权。

应当指出，这种攻击完全由软件实施，并且可以经由网络访问远程执行，这使它更加危险。

而且，应当注意，攻击的关键参数首先是由非安全环境REE进行的DVFS电源控制，其次是用于将错误引入与安全环境TEE的给定操作同步的准确计时。

在Tang等人的上述出版物中提出了防止这种攻击的解决方案。

提出了在硬件级别上引入对DVFS电源的可能变化进行操作限制，以便使其不可能生成引入故障的任何电压-频率对。

但是，一方面，操作限制在同一生产中可能会变化(特别是由于制造过程的变化)，因此很难确定先验。