[发明专利]处理单元、电子设备以及安全控制方法

权利要求书

1.一种处理单元，其特征在于，包括：

处理器，适于运行程序；

存储器，与所述处理器耦接，适于提供相互隔离的多个安全区，所述多个安全区包括多个应用安全区，每个所述应用安全区分别被用于运行相应的应用程序，所述多个安全区还包括如下至少之一：

运行时安全区，适于提供可调用程序的运行所需的存储空间；

密码安全区，适于提供密码相关程序的运行所需的存储空间，

其中，所述运行时安全区和所述密码安全区至少具有对所述多个应用安全区的读写权限，每个所述应用安全区不具有对所述运行时安全区和所述密码安全区的读写权限。

2.根据权利要求1所述的处理单元，其特征在于，所述可调用程序是面向不同应用程序的共享程序和/或通用驱动程序。

3.根据权利要求1所述的处理单元，其特征在于，所述处理器包括第一处理器核，适于在所述密码安全区内运行面向密码服务的所述密码相关程序。

4.根据权利要求3所述的处理单元，其特征在于，还包括密钥管理组件，适于提供所述密码服务以生成加密/解密结果，

所述第一处理器核与所述密钥管理组件耦接，并通过在所述密码安全区内运行所述密码相关程序将所述加密/解密结果写入相应的所述应用安全区中。

5.根据权利要求3所述的处理单元，其特征在于，所述处理器还包括第二处理器核，适于在所述多个应用安全区内分别运行相应的应用程序。

6.根据权利要求5所述的处理单元，其特征在于，所述第二处理器核是基于RISC-V指令集架构实现的。

7.根据权利要求5所述的处理单元，其特征在于，还包括：

总线结构，与所述第一处理器核、所述第二处理器核以及所述存储器分别耦接。

8.根据权利要求1所述的处理单元，其特征在于，还包括：

地址寄存器，用于存储每个所述安全区对应的地址信息；以及

权限寄存器，用于存储每个所述安全区的权限信息，所述处理器适于根据所述权限信息指示的访问权限控制每个所述安全区的访问操作，所述访问权限至少包括读写权限和执行权限。

9.根据权利要求8所述的处理单元，其特征在于，所述应用安全区的权限信息被配置以不具有对自身之外的所述应用安全区的访问权限。

10.根据权利要求8所述的处理单元，其特征在于，所述应用安全区的权限信息被配置以具有对所述密码安全区和所述运行时安全区的执行权限，和/或，所述密码安全区和所述运行时安全区的权限信息被配置以具有对所述应用安全区的读写权限和执行权限。

11.根据权利要求8所述的处理单元，其特征在于，所述运行时安全区的权限信息被配置以不具有对所述密码安全区的读写权限，所述密码安全区的权限信息被配置以不具有对所述运行时安全区的读写权限。

12.根据权利要求11所述的处理单元，其特征在于，所述运行时安全区的权限信息被配置以不具有对所述密码安全区的执行权限。

13.根据权利要求8所述的处理单元，其特征在于，所述多个应用安全区中的第一应用安全区向指定的第二应用安全区共享权限信息，使得所述第二应用安全区具有对所述第一应用安全区的临时访问权限。

14.根据权利要求8所述的处理单元，其特征在于，所述处理器适于：

运行操作系统；

在用户模式下运行所述应用程序、所述可调用程序以及所述密码相关程序中的一个或多个；以及

在机器模式下运行安全监控系统，以配置所述地址寄存器和所述权限寄存器，并切换不同所述安全区内的程序对所述处理器的控制权。