CN110795385B - 片上系统的可信核与计算核核资源分配方法及装置 - Google Patents
片上系统的可信核与计算核核资源分配方法及装置 Download PDFInfo
- Publication number
- CN110795385B CN110795385B CN201911035169.XA CN201911035169A CN110795385B CN 110795385 B CN110795385 B CN 110795385B CN 201911035169 A CN201911035169 A CN 201911035169A CN 110795385 B CN110795385 B CN 110795385B
- Authority
- CN
- China
- Prior art keywords
- cores
- trusted
- computing
- core
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013468 resource allocation Methods 0.000 title claims abstract description 41
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004590 computer program Methods 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 4
- 238000013459 approach Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000002955 isolation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/76—Architectures of general purpose stored program computers
- G06F15/78—Architectures of general purpose stored program computers comprising a single central processing unit
- G06F15/7807—System on chip, i.e. computer system on a single chip; System in package, i.e. computer system on one or more chips in a single package
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/505—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2209/00—Indexing scheme relating to G06F9/00
- G06F2209/50—Indexing scheme relating to G06F9/50
- G06F2209/5012—Processor sets
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Storage Device Security (AREA)
- Hardware Redundancy (AREA)
Abstract
本发明提供了一种片上系统的可信核与计算核核资源分配方法及装置,其中,片上系统内有多个核,该多个核包括TEE侧的可信核和REE侧的计算核,核资源分配方法包括:检测所述片上系统内所有计算核的安全服务请求数量是否满足预设的资源动态分配条件;当所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件时,将所述片上系统内所有计算核中的一部分计算核切换为可信核。本发明能在满足片上系统安全需求的情况下,根据实际计算需求动态分配核资源,提高片上系统的灵活性。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种片上系统的可信核与计算核核资源分配方法及装置。
背景技术
计算机系统面临的安全威胁越来越大,各大厂商提出了可信执行环境(TEE,TrustedExecutionEnvironment)的解决方案。TEE是片上系统(SOC,SystemonChip)上的一个安全区域,提供了隔离执行、可信应用的完整性、可信数据的机密性、安全存储等功能,与之对应的是相对普通执行环境(REE,RichExecutionEnvironment)。TEE是与设备上的通用操作系统(RichOS)并存的运行环境,并且给RichOS提供安全服务。TEE比REE的安全级别更高,运行在TEE的应用称为可信应用(TA,TrustedApps),其可以访问设备的全部功能,硬件隔离技术保护其不受运行在REE的应用(Apps)影响。而TEEOS可以保护每个TA不相互影响,这样可以为多个不同的服务提供商同时使用,而不影响安全性。
目前在SOC上构建可信执行环境的普遍做法有如下两种方式。第一种方式为:TEE运行环境与REE运行环境都运行在同一个处理器核上,并通过拥有最高权限的监控模式相互切换,实现分时运行的效果,即同核切换。虽然这种方式可以通过较少的硬件资源实现TEE和REE的隔离和通信,但是TEE与REE运行在同一个核上,存在一定的安全风险。主要的风险体现在两个方面,一是由软件进行TEE和REE的切换,如果相应的软件流程被攻击,可能导致非法的切换到TEE;二是TEE和REE共同使用一个核上的高速缓冲存储器(cache)等存储资源,可能存在信息泄露等风险。第二种方式为:TEE运行环境与REE运行环境运行在不同的专用处理器核上,即使用一个小核(异构专用核)实现可信平台控制模块(TPCM)/可信密码模块(TCM)的功能,运行TEE环境,主核作为计算核运行REE环境,TEE和REE在硬件上完全隔离。虽然这种方式具有较高的安全性,但是灵活性较差,不能动态调配更多的核给TEE使用,当TEE需要更多的计算资源时,无法得到满足。
因此,随着对安全的要求进一步增加,以及REE需要TEE提供的可信业务需求量的逐渐增多,上述同核切换与异构专用核的方式,分别面临不能满足日益复杂的安全需求和计算需求的问题。
发明内容
本发明提供了一种片上系统的可信核与计算核核资源分配方法及装置,其目的是为了解决片上系统无法满足安全需求和计算需求的问题。
为了达到上述目的,本发明的实施例提供了一种片上系统的可信核与计算核核资源分配方法,片上系统内有多个核,所述多个核包括TEE侧的可信核和REE侧的计算核,所述核资源分配方法包括:
检测所述片上系统内所有计算核的安全服务请求数量是否满足预设的资源动态分配条件;
当所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件时,将所述片上系统内所有计算核中的一部分计算核切换为可信核。
其中,所述检测所述片上系统内所有计算核的安全服务请求数量是否满足预设的资源动态分配条件的步骤,包括:
检测所述片上系统内可信核的利用率是否超过预设利用率;
当所述片上系统内可信核的利用率超过预设利用率时,确定所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件;
当所述片上系统内可信核的利用率未超过预设利用率时,确定所述片上系统内所有计算核的安全服务请求数量不满足预设的资源动态分配条件。
其中,所述将所述片上系统内所有计算核中的一部分计算核切换为可信核的步骤,包括:
统计所述片上系统内所有计算核的负载量;
按照负载量由低至高的顺序,从所有计算核中确定出第一预设数量的计算核;其中,所述第一预设数量小于所述所有计算核的总数量;
将确定出的计算核切换为可信核。
其中,在所述将确定出的计算核切换为可信核的步骤之前,所述核资源分配方法还包括:
将确定出的计算核的负载转移至,所有计算核中除确定出的计算核以外的其他计算核上。
其中,所述核资源分配方法还包括:
统计所述片上系统内所有可信核的负载量;
当所述片上系统内所有可信核的负载量小于第二预设负载阈值时,按照负载量由低至高的顺序,从所述所有可信核中确定出第二预设数量的可信核;其中,所述第二预设数量小于所述所有可信核的总数量;
将确定出的可信核的负载转移至,所有可信核中除确定出的可信核以外的其他可信核上,并将确定出的可信核切换为计算核。
其中,所述片上系统烧入有用于指定所述多个核中的可信核的ROM程序;
其中,所述多个核中的每个核在所述片上系统上电后执行所述ROM程序,所述多个核在执行所述ROM程序后,所述多个核中被指定的可信核对所述片上系统进行初始化,并在初始化结束后被指定的可信核通知所述多个核中的其他核进入工作状态。
其中,所述片上系统中的可信核通过软中断和共享内存的方式获取计算核的安全服务请求,并通过软中断和共享内存的方式向该计算核返回所述安全服务请求的处理结果。
本发明的实施例还提供了一种片上系统的可信核与计算核核资源分配装置,片上系统内有多个核,所述多个核包括TEE侧的可信核和REE侧的计算核,所述核资源分配装置包括:
检测模块,用于检测所述片上系统内所有计算核的安全服务请求数量是否满足预设的资源动态分配条件,并当所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件时,触发切换模块;
切换模块,用于根据所述检测模块的触发,将所述片上系统内所有计算核中的一部分计算核切换为可信核。
本发明的实施例还提供了一种片上系统的可信核与计算核核资源分配设备,包括IO、存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述的片上系统的可信核与计算核核资源分配方法的步骤。
本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的片上系统的可信核与计算核核资源分配方法的步骤。
本发明的上述方案至少有如下的有益效果:
在本发明的实施例中,通过在片上系统内集成多个运行态可动态配置的核,从而使得在检测到片上系统内所有计算核的安全服务请求数量满足资源动态分配条件时,可根据实际计算需求,将所有计算核中的一部分计算核切换为可信核,实现核资源的动态分配,提高片上系统的灵活性。同时由于TEE运行环境与REE运行环境在不同核上运行,从而能有效防止TEE侧被非法访问、信息泄露,确保片上系统满足安全需求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1是本发明实施例中片上系统的双体系架构图;
图2是本发明实施例中片上系统的可信核与计算核核资源分配方法的流程图;
图3是本发明实施例中片上系统的可信核与计算核核资源分配装置的结构示意图;
图4是本发明实施例中片上系统的可信核与计算核核资源分配设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
本发明的实施例提供了一种片上系统的可信核与计算核核资源分配方法,该片上系统内有多个核(即图1中的核1至核n),所述多个核包括TEE侧的可信核和REE侧的计算核。
其中,在本发明的实施例中,片上系统内集成的多个核为同构核,即这些核的结构是完全一样的。且每个核都具有可配的运行态,即可信态与计算态。每个核内的一个寄存器的某一位可以标识当前运行态(不同型号的实现方式可能有些区别),比如该位为1,则表示核处在计算态,为计算核,该位为0表示核处在可信态,为可信核。其中,可信核运行TEE环境,计算核运行REE环境,默认情况下只有一个核为可信核。当然可以理解的是,在本发明的实施例中并不限定可信核的数量,其具体数量由实际需要决定。
其中,在本发明的实施例中,上述片上系统烧入有用于指定所述多个核中的可信核的只读存储器(ROM,Read-OnlyMemory)程序,该ROM程序可在片上系统流片过程中烧入,且烧入之后不可修改。其中,所述多个核中的每个核在所述片上系统上电后执行所述ROM程序,所述多个核在执行所述ROM程序后,非指定核(即所述多个核中除指定的可信核以外的其他核)应处于等待状态,所述多个核中被指定的可信核对所述片上系统进行初始化,并在初始化结束后被指定的可信核通知所述多个核中的其他核进入工作状态。具体可通过软中断的方式通知其他核进入工作状态。另,在本发明的实施例中,作为一种实现方式,上述ROM程序可通过携带核标识的方式指定可信核,这样各个核在执行ROM程序时,能通过比对核标识的方式确定自己是被指定的可信核,还是非指定核。
其中,在本发明的实施例中,如图1所示,上述片上系统中的可信核通过软中断和共享内存的方式获取计算核的安全服务请求,并通过软中断和共享内存的方式向该计算核返回所述安全服务请求的处理结果。
具体的,计算核向可信核请求安全服务时,先向可信核发出软中断,并将安全服务请求的内容写入共享内存中对应的地址(地址可以是固定的,也可以是通过软中断传递的),可信核收到软中断之后去读共享内存,然后根据共享内存的内容进行做出相应的服务,并将处理结果通过同样的方式返给计算核。图1中NOC为片上互联网络。
如图2所示,本发明的实施例提供的片上系统的可信核与计算核核资源分配方法包括:
步骤21,检测所述片上系统内所有计算核的安全服务请求数量是否满足预设的资源动态分配条件,当所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件时,执行步骤22。
其中,在本发明的实施例中,上述预设的资源动态分配条件是指片上系统内现有的可信核不能为计算核提供足够的安全服务。可以理解的是,该资源动态分配条件的具体形式可根据实际需求进行设定。
具体的,在本发明的实施例中,上述步骤21的具体实现方式可以为:检测所述片上系统内可信核的利用率是否超过预设利用率;当所述片上系统内可信核的利用率超过预设利用率时,确定所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件;而当所述片上系统内可信核的利用率未超过预设利用率时,确定所述片上系统内所有计算核的安全服务请求数量不满足预设的资源动态分配条件。其中,上述预设利用率可根据实际情况进行设定,如80%、90%、100%等。
当然上述步骤21还可通过其他方式实现,如直接检测所述片上系统内所有计算核的安全服务请求数量是否超过预设阈值,若超过,则确定所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件,否则,确定所述片上系统内所有计算核的安全服务请求数量不满足预设的资源动态分配条件。
步骤22,将所述片上系统内所有计算核中的一部分计算核切换为可信核。
其中,在本发明的实施例中,上述步骤22的具体实现方式为:
步骤一,统计所述片上系统内所有计算核的负载量。具体可通过现有负载量的统计方式完成统计。
步骤二,按照负载量由低至高的顺序,从所有计算核中确定出第一预设数量的计算核。其中,所述第一预设数量小于所述所有计算核的总数量,即,至少保持一个核为计算核。
步骤三,将确定出的计算核切换为可信核。
其中,在本发明的实施例中,具体可通过将计算核的运行态修改为可信态的方式,将计算核切换为可信核。
需要说明的是,上述第一预设数量可根据实际需要进行设定,该第一预设数量的计算核时所有计算核中负载相对较少的计算核。另,为确保片上系统的安全运行,在将计算核切换为可信核之前,上述核资源分配方法还包括如下转移计算核的负载的步骤:将确定出的计算核的负载转移至,所有计算核中除确定出的计算核以外的其他计算核上。具体的,可通过固件程序将负载转移至其他计算核上。
值得一提的是,在本发明的实施例中,通过在片上系统内集成多个运行态可动态配置的核,从而使得在检测到片上系统内所有计算核的安全服务请求数量满足资源动态分配条件时,可根据实际计算需求,将所有计算核中的一部分计算核切换为可信核,实现核资源的动态分配,提高片上系统的灵活性。同时由于TEE运行环境与REE运行环境在不同核上运行,从而能有效防止TEE侧被非法访问、信息泄露,确保片上系统满足安全需求。
其中,在本发明的实施例中,为进一步优化核资源的动态分配,上述核资源分配方法还包括如下将可信核切换为计算核的步骤:
第一步,统计所述片上系统内所有可信核的负载量。具体可通过现有负载量的统计方式完成统计。
第二步,当所述片上系统内所有可信核的负载量小于第二预设负载阈值时,按照负载量由低至高的顺序,从所述所有可信核中确定出第二预设数量的可信核。其中,所述第二预设数量小于所述所有可信核的总数量,即,至少保持一个核为可信核。
第三步,将确定出的可信核的负载转移至,所有可信核中除确定出的可信核以外的其他可信核上,并将确定出的可信核切换为计算核。
其中,在本发明的实施例中,上述第二预设负载阈值可根据实际需要进行设定,当所述片上系统内所有可信核的负载量小于第二预设负载阈值时,认为可信核的负载过低,可将部分可信核(即负载相对较少的可信核)切换为计算核,以便提高整个片上系统的性能。需要说明的是,在将可信核切换为计算核之前,为确保片上系统的安全运行,可通过固件程序将确定出的可信核的负载(包括可信核上TEE残余信息)转移至其他可信核上,并将确定出的可信核上的敏感信息全部删除。
另,需要强调的是,为确保片上系统的安全性,计算核与可信核的切换只能在TEE环境下进行。
如图3所示,本发明的实施例还提供了一种片上系统的可信核与计算核核资源分配装置,片上系统内有多个核,所述多个核包括TEE侧的可信核和REE侧的计算核,所述核资源分配装置包括检测模块31和切换模块32。
其中,检测模块31,用于检测所述片上系统内所有计算核的安全服务请求数量是否满足预设的资源动态分配条件,并当所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件时,触发切换模块;
切换模块32,用于根据所述检测模块的触发,将所述片上系统内所有计算核中的一部分计算核切换为可信核。
其中,在本发明的实施例中,片上系统的可信核与计算核核资源分配装置30为与上述片上系统的可信核与计算核核资源分配方法对应的装置,能在满足片上系统安全需求的情况下,根据实际计算需求动态分配核资源,提高片上系统的灵活性。
需要说明的是,片上系统的可信核与计算核核资源分配装置30包括实现上述片上系统的可信核与计算核核资源分配方法的所有模块或者单元,为避免过多重复,在此不对片上系统的可信核与计算核核资源分配装置30的各模块或者单元进行赘述。
如图4所示,本发明的实施例还提供了一种片上系统的可信核与计算核核资源分配设备,包括IO、存储器41、处理器42以及存储在所述存储器41中并可在所述处理器42上运行的计算机程序43,所述处理器42执行所述计算机程序43时实现上述的片上系统的可信核与计算核核资源分配方法的步骤。
即,在本发明的具体实施例中,片上系统的可信核与计算核核资源分配设备40的处理器42执行所述计算机程序43时实现上述的片上系统的可信核与计算核核资源分配方法的步骤,能在满足片上系统安全需求的情况下,根据实际计算需求动态分配核资源,提高片上系统的灵活性。
此外,本发明的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的片上系统的可信核与计算核核资源分配方法的步骤。
即,在本发明的实施例中,计算机可读存储介质的计算机程序被处理器执行时实现上述的片上系统的可信核与计算核核资源分配方法的步骤,能在满足片上系统安全需求的情况下,根据实际计算需求动态分配核资源,提高片上系统的灵活性。
示例性的,计算机可读存储介质的计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccess Memory)、电载波信号、电信信号以及软件分发介质等。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (9)
1.一种片上系统的可信核与计算核核资源分配方法,其特征在于,片上系统内有多个核,每个所述核均具有可配的运行态,所述多个核包括TEE侧的可信核和REE侧的计算核,所述核资源分配方法包括:
检测所述片上系统内所有计算核的安全服务请求数量是否满足预设的资源动态分配条件;
当所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件时,将所述片上系统内所有计算核中的一部分计算核切换为可信核;
所述将所述片上系统内所有计算核中的一部分计算核切换为可信核的步骤,包括:
统计所述片上系统内所有计算核的负载量;
按照负载量由低至高的顺序,从所有计算核中确定出第一预设数量的计算核;其中,所述第一预设数量小于所述所有计算核的总数量;
通过将确定出的计算核的运行态修改为可信态的方式,将确定出的计算核切换为可信核。
2.根据权利要求1所述的核资源分配方法,其特征在于,所述检测所述片上系统内所有计算核的安全服务请求数量是否满足预设的资源动态分配条件的步骤,包括:
检测所述片上系统内可信核的利用率是否超过预设利用率;
当所述片上系统内可信核的利用率超过预设利用率时,确定所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件;
当所述片上系统内可信核的利用率未超过预设利用率时,确定所述片上系统内所有计算核的安全服务请求数量不满足预设的资源动态分配条件。
3.根据权利要求1所述的核资源分配方法,其特征在于,在所述将确定出的计算核切换为可信核的步骤之前,所述核资源分配方法还包括:
将确定出的计算核的负载转移至,所有计算核中除确定出的计算核以外的其他计算核上。
4.根据权利要求1所述的核资源分配方法,其特征在于,所述核资源分配方法还包括:
统计所述片上系统内所有可信核的负载量;
当所述片上系统内所有可信核的负载量小于第二预设负载阈值时,按照负载量由低至高的顺序,从所述所有可信核中确定出第二预设数量的可信核;其中,所述第二预设数量小于所述所有可信核的总数量;
将确定出的可信核的负载转移至,所有可信核中除确定出的可信核以外的其他可信核上,并将确定出的可信核切换为计算核。
5.根据权利要求1所述的核资源分配方法,其特征在于,所述片上系统烧入有用于指定所述多个核中的可信核的ROM程序;
其中,所述多个核中的每个核在所述片上系统上电后执行所述ROM程序,所述多个核在执行所述ROM程序后,所述多个核中被指定的可信核对所述片上系统进行初始化,并在初始化结束后被指定的可信核通知所述多个核中的其他核进入工作状态。
6.根据权利要求1所述的核资源分配方法,其特征在于,所述片上系统中的可信核通过软中断和共享内存的方式获取计算核的安全服务请求,并通过软中断和共享内存的方式向该计算核返回所述安全服务请求的处理结果。
7.一种片上系统的可信核与计算核核资源分配装置,其特征在于,片上系统内有多个核,每个所述核均具有可配的运行态,所述多个核包括TEE侧的可信核和REE侧的计算核,所述核资源分配装置包括:
检测模块,用于检测所述片上系统内所有计算核的安全服务请求数量是否满足预设的资源动态分配条件,并当所述片上系统内所有计算核的安全服务请求数量满足预设的资源动态分配条件时,触发切换模块;
切换模块,用于根据所述检测模块的触发,将所述片上系统内所有计算核中的一部分计算核切换为可信核;
所述切换模块,具体用于统计所述片上系统内所有计算核的负载量;按照负载量由低至高的顺序,从所有计算核中确定出第一预设数量的计算核;通过将确定出的计算核的运行态修改为可信态的方式,将确定出的计算核切换为可信核;其中,所述第一预设数量小于所述所有计算核的总数量。
8.一种片上系统的可信核与计算核核资源分配设备,包括IO、存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的片上系统的可信核与计算核核资源分配方法的步骤。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的片上系统的可信核与计算核核资源分配方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911035169.XA CN110795385B (zh) | 2019-10-29 | 2019-10-29 | 片上系统的可信核与计算核核资源分配方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911035169.XA CN110795385B (zh) | 2019-10-29 | 2019-10-29 | 片上系统的可信核与计算核核资源分配方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110795385A CN110795385A (zh) | 2020-02-14 |
CN110795385B true CN110795385B (zh) | 2023-11-03 |
Family
ID=69441882
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911035169.XA Active CN110795385B (zh) | 2019-10-29 | 2019-10-29 | 片上系统的可信核与计算核核资源分配方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110795385B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111274040B (zh) * | 2020-02-18 | 2023-04-07 | 北京和利时控制技术有限公司 | 一种内存管理方法和装置 |
CN113568790B (zh) * | 2020-04-28 | 2023-11-21 | 北京比特大陆科技有限公司 | 芯片的检测方法、检测装置和电子设备 |
CN112799851B (zh) * | 2021-03-30 | 2024-05-31 | 华控清交信息科技(北京)有限公司 | 多方安全计算中的数据处理方法和相关装置 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101146089A (zh) * | 2007-08-22 | 2008-03-19 | 杭州华三通信技术有限公司 | 在多核系统上配置核资源的方法、多核系统及管理核 |
CN104008013A (zh) * | 2013-02-26 | 2014-08-27 | 华为技术有限公司 | 一种核资源分配方法、装置及众核系统 |
CN106547618A (zh) * | 2016-10-19 | 2017-03-29 | 沈阳微可信科技有限公司 | 通信系统和电子设备 |
CN106548077A (zh) * | 2016-10-19 | 2017-03-29 | 沈阳微可信科技有限公司 | 通信系统和电子设备 |
CN106845285A (zh) * | 2016-12-28 | 2017-06-13 | 北京握奇智能科技有限公司 | 一种tee系统与ree系统配合以实现服务的方法及终端设备 |
CN107392055A (zh) * | 2017-07-20 | 2017-11-24 | 深圳市金立通信设备有限公司 | 一种双系统安全芯片控制方法、终端、计算机可读存储介质及基于安全芯片的双系统架构 |
CN109086100A (zh) * | 2018-07-26 | 2018-12-25 | 中国科学院信息工程研究所 | 一种高安全可信移动终端安全体系架构及安全服务方法 |
GB201904088D0 (en) * | 2019-03-25 | 2019-05-08 | Trustonic Ltd | Trusted execution environment migration method |
CN109960582A (zh) * | 2018-06-19 | 2019-07-02 | 华为技术有限公司 | 在tee侧实现多核并行的方法、装置及系统 |
CN110321235A (zh) * | 2019-07-08 | 2019-10-11 | 北京可信华泰信息技术有限公司 | 基于双体系架构的可信计算平台的系统交互方法和装置 |
CN110348252A (zh) * | 2018-04-02 | 2019-10-18 | 华为技术有限公司 | 基于信任区的操作系统和方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10639550B2 (en) * | 2017-04-18 | 2020-05-05 | Bullguard Ltd | System and method for dynamically allocating resources to a game process |
-
2019
- 2019-10-29 CN CN201911035169.XA patent/CN110795385B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101146089A (zh) * | 2007-08-22 | 2008-03-19 | 杭州华三通信技术有限公司 | 在多核系统上配置核资源的方法、多核系统及管理核 |
CN104008013A (zh) * | 2013-02-26 | 2014-08-27 | 华为技术有限公司 | 一种核资源分配方法、装置及众核系统 |
CN106547618A (zh) * | 2016-10-19 | 2017-03-29 | 沈阳微可信科技有限公司 | 通信系统和电子设备 |
CN106548077A (zh) * | 2016-10-19 | 2017-03-29 | 沈阳微可信科技有限公司 | 通信系统和电子设备 |
CN106845285A (zh) * | 2016-12-28 | 2017-06-13 | 北京握奇智能科技有限公司 | 一种tee系统与ree系统配合以实现服务的方法及终端设备 |
CN107392055A (zh) * | 2017-07-20 | 2017-11-24 | 深圳市金立通信设备有限公司 | 一种双系统安全芯片控制方法、终端、计算机可读存储介质及基于安全芯片的双系统架构 |
CN110348252A (zh) * | 2018-04-02 | 2019-10-18 | 华为技术有限公司 | 基于信任区的操作系统和方法 |
CN109960582A (zh) * | 2018-06-19 | 2019-07-02 | 华为技术有限公司 | 在tee侧实现多核并行的方法、装置及系统 |
CN109086100A (zh) * | 2018-07-26 | 2018-12-25 | 中国科学院信息工程研究所 | 一种高安全可信移动终端安全体系架构及安全服务方法 |
GB201904088D0 (en) * | 2019-03-25 | 2019-05-08 | Trustonic Ltd | Trusted execution environment migration method |
CN110321235A (zh) * | 2019-07-08 | 2019-10-11 | 北京可信华泰信息技术有限公司 | 基于双体系架构的可信计算平台的系统交互方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN110795385A (zh) | 2020-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110795385B (zh) | 片上系统的可信核与计算核核资源分配方法及装置 | |
US10754774B2 (en) | Buffer manager | |
US10180915B2 (en) | Method and apparatus for accessing physical resources | |
EP3842973A1 (en) | Security schemes for multiple trusted-execution-environments (tees) and multiple rich-execution-environments (rees) | |
CN102254120A (zh) | 恶意代码的检测方法、系统及相关装置 | |
US8996774B2 (en) | Performing emulated message signaled interrupt handling | |
US10289853B2 (en) | Secure driver platform | |
CN110955512B (zh) | 缓存处理方法、装置、存储介质、处理器及计算设备 | |
CN110196770A (zh) | 云系统内存数据处理方法、装置、设备及存储介质 | |
US11960607B2 (en) | Achieving minimum trustworthiness in distributed workloads | |
WO2011142973A2 (en) | Multi-level port expansion for port multipliers | |
CN113391881A (zh) | 中断的管理方法、装置、电子设备及计算机存储介质 | |
US11586457B2 (en) | Load balancing in a hyper-converged infrastructure (HCI) environment | |
CN105723340A (zh) | 信息处理设备、信息处理方法、记录介质、计算处理设备、计算处理方法 | |
CN110727636B (zh) | 片上系统的设备隔离方法 | |
US9176781B2 (en) | Virtual machine system, memory management method, memory management program, recording medium, and integrated circuit | |
CN116107697A (zh) | 一种不同操作系统之间互相通信的方法及系统 | |
US11301282B2 (en) | Information protection method and apparatus | |
US20190163657A1 (en) | Technologies for stable secure channel identifier mapping for static and dynamic devices | |
CN111666579A (zh) | 计算机设备及其访问控制方法和计算机可读介质 | |
US10257269B2 (en) | Selectively disabling operation of hardware components based on network changes | |
CN104219260A (zh) | 同一物理机内虚拟机间数据交换的方法、系统与物理主机 | |
CN113507441B (zh) | 安全资源扩充方法及安全防护管理平台、数据节点 | |
CN118132298A (zh) | 一种内存ce故障的处理方法、计算设备及存储介质 | |
CN114692225A (zh) | 一种数据处理装置、方法、片上系统及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: No.5 building, Xin'an venture Plaza, marine high tech Development Zone, Binhai New Area, Tianjin, 300450 Applicant after: Feiteng Information Technology Co.,Ltd. Address before: No.5 building, Xin'an venture Plaza, marine high tech Development Zone, Binhai New Area, Tianjin, 300450 Applicant before: TIANJIN FEITENG INFORMATION TECHNOLOGY Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |