[发明专利]一种运行时访问控制装置和方法

权利要求书

1.一种装置，其特征在于：包括安全装置，和/或，保障装置；

所述安全装置基于硬件针对内存区域进行访问控制；所述保障装置基于硬件确保只有在特定状态下才能设置使所述安全装置有效的控制状态数据和执行使所述安全装置有效的特定指令；

所述保障装置，包括：仅在中转区域中，或，跨区域转移指令执行，或，中断/异常产生，或，中断返回时，才能访问确保安全装置有效所需的信息和确保保障装置有效所需的状态数据；仅有跨区域转移指令执行，和/或，中断/异常产生，和/或，中断返回导致跨区域转移。

2.如权利要求1所述的装置，其特征在于：所述安全装置，包括：拦截非法跨越内存区域边界的访问；提供合法跨越内存区域边界的方式；

所述内存区域边界是指：处理器认定的由内存地址值所构成的区域边界，和/或，处理器认定的由页面标识信息所标定的区域边界。

3.根据权利要求2所述的装置，其特征在于：所述拦截非法跨越内存区域边界的访问，包括：如果待执行的指令地址超出处理器认定的内存区域边界，处理器报异常；如果数据读写目标的地址超出读写指令匹配的内存区域边界，处理器报异常。

4.根据权利要求2所述的装置，其特征在于：所述提供合法跨越内存区域边界的方式，包括：执行专用的跨区域转移指令或发生中断/异常时，必须先转移至中转区域，再由此区域中代码进行边界切换并转移至最终的目标地址；特别的，如果二者转移到相同中转区域的共同代码位置，由硬件提供标识信息，以区别转移是由执行跨区域转移指令引起还是由产生中断/异常引起；中断返回也会导致跨区域转移。

5.根据权利要求1所述的装置，其特征在于：在装置中设置安全功能，和/或，保障功能的开关设置，如关闭该开关，则装置失效。

6.一种保障装置的制作方法，其特征在于：

将确保安全装置有效所需的信息和确保保障装置有效所需的状态数据，保存在专用存储设施中；

设置专用存储设施标记各个专用存储设施的访问状态；处理器根据访问状态信息确保，只有在中转区域中，和/或，跨区域转移指令执行，和/或，中断/异常产生，和/或，中断返回时，才能访问这些存储设施；第二类指令仅可在第一类指令转移到的中转区域中执行。