JP2009163741A - セキュアモードおよびノンセキュアモードでデータを処理するデータプロセッサを含むデータ処理装置及びデータ処理方法 - Google Patents

セキュアモードおよびノンセキュアモードでデータを処理するデータプロセッサを含むデータ処理装置及びデータ処理方法 Download PDF

Info

Publication number
JP2009163741A
JP2009163741A JP2009000321A JP2009000321A JP2009163741A JP 2009163741 A JP2009163741 A JP 2009163741A JP 2009000321 A JP2009000321 A JP 2009000321A JP 2009000321 A JP2009000321 A JP 2009000321A JP 2009163741 A JP2009163741 A JP 2009163741A
Authority
JP
Japan
Prior art keywords
secure
data
processing device
signature
task
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009000321A
Other languages
English (en)
Other versions
JP5091877B2 (ja
Inventor
Nigel Charles Paver
チャールズ ペイヴァー ナイジェル
Kershaw Daniel
カーショウ ダニエル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ARM Ltd
Original Assignee
ARM Ltd
Advanced Risc Machines Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ARM Ltd, Advanced Risc Machines Ltd filed Critical ARM Ltd
Publication of JP2009163741A publication Critical patent/JP2009163741A/ja
Application granted granted Critical
Publication of JP5091877B2 publication Critical patent/JP5091877B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】効率的なデータ処理装置を提供する。
【解決手段】データ処理装置は、ノン・セキュア・モードのデータ・プロセッサがアクセスできないセキュア・データにアクセスできるセキュア・モードでデータを処理するデータ・プロセッサと、データ・プロセッサからの要求に応答して、セキュア・データを含むデータの処理を含むタスクを実行する別の処理デバイスとを含む。別の処理デバイスは、タスク一時停止信号に応答して、セキュア・キーを使用したセキュア・データの処理および処理されたセキュア・データのノン・セキュア・データ記憶への保存を開始し、またタスク再開信号に応答して、ノン・セキュア・データ記憶からの処理されたセキュア・データの取出しおよびセキュア・キーを使用した処理されたセキュア・データの復元を開始する。セキュア・キーは、安全に保管され、ノン・セキュア・モードで動作する他のプロセスがアクセスできない。
【選択図】図1

Description

本発明の分野は、データ処理に関するものであり、詳細には、第1のデータ・プロセッサの制御下でタスクを実行する付加的な処理デバイスを使用して、セキュア・データおよびノン・セキュア・データを処理することに関する。
メイン・プロセッサと組み合わせてアクセラレータ又はコ・プロセッサを使用して性能を向上させることは、知られている。この際、アクセラレータ又はコ・プロセッサは、メイン・プロセッサによって要求されるタスクを実行する。付加的な処理パワーを備えることで性能を向上できることは、明らかであるが、そのようなシステムの考え得る問題点は、プロセッサとアクセラレータとの間の通信に付随するオーバヘッドである。例えば、セキュア・オペレーティング・システムおよびノン・セキュア・オペレーティング・システムの制御下でセキュアおよびノン・セキュアの両データを処理する場合、プロセッサとアクセラレータとの間で転送されるデータのセキュリティ状態を管理するための通信オーバヘッドは、非常に高い。そのようなケースでは、数十ないし数百のサイクルしか要しないタスクが獲得する処理能力と比べてずっと大きい通信オーバヘッドをそれらに付随して有することから、アクセラレータに送って処理させるタスクを大きいものに限定することしか有効な方法はない(In such cases it may only be advantageous to send large tasks to the accelerator to be performed, tasks that take only a few tens or even hundreds of cycles having as much or more communication overhead associated with them as they would have processing performance gained.)。
本発明の第1の態様で提供されるデータ処理装置は、セキュア・モードおよびノン・セキュア・モードでデータを処理するデータ・プロセッサを含み、前記データ・プロセッサは、前記ノン・セキュア・モードにおいて前記データ・プロセッサがアクセスできないセキュア・データに対してアクセス権を有する前記セキュア・モードでデータを処理し、また前記セキュア・モードでのデータ処理は、セキュア・オペレーティング・システムの制御下で実行され、前記ノン・セキュア・モードでのデータ処理は、ノン・セキュア・オペレーティング・システムの制御下で実行される。データ処理装置は、更に前記データ・プロセッサからの要求に応じてタスクを実行する更に別の処理デバイスを含み、前記タスクは、少なくともいくつかがセキュア・データであるデータの処理を含み、ここで前記別の処理デバイスは、前記タスクを一時停止させる信号の受信に応答して、セキュア・キーを使用した前記セキュア・データの処理および前記処理されたセキュア・データのノン・セキュア・データ記憶への保存を開始し、また前記タスクを再開させる信号の受信に応答して、前記ノン・セキュア・データ記憶からの前記処理されたセキュア・データの取出し、および前記セキュア・キーを使用した前記処理されたセキュア・データの復元を開始する。ここで前記セキュア・キーは、前記ノン・セキュア・モードで動作する他の処理がアクセスできないように安全に保管される。
本発明は、セキュア・モード又はノン・セキュア・モードのいずれかで動作できるデータ・プロセッサのための特別なタスクを実行するために別の処理デバイスを使用することが、別の処理デバイスによって処理されるデータがセキュア・データを含む場合に、大きな通信オーバヘッドをもたらす可能性があることを認識している。これは、このセキュア・データをデータ・プロセッサのノン・セキュア・モードから切離しておかなければならず、セキュア・データの管理が一般にデータ・プロセッサのセキュア・オペレーティング・システムによって実行されるためである。しかし、別の処理デバイスによって実行されているタスクがインタラプトされ、一時停止させなければならないときに常に別の処理デバイスによって処理されているセキュア・データを管理するためにセキュア・オペレーティング・システムを呼び出すことは、多くのオペレーティング・サイクルを費やし、従って性能上非常にコスト高となる。本発明は、それ自身処理しているセキュア・データがデータ・プロセッサがアクセス可能なノン・セキュア・データ記憶に保存される前に処理されるようにできる機能を備えた別の処理デバイスを提供することによってこの問題に対処する。この処理は、他のノン・セキュア処理がアクセスできないキーを使用して行なわれる。それ自身がこの機能を備えた別の処理デバイスを提供することによって、セキュア・オペレーティング・システムの介入なしに、セキュア・データの安全性を維持する可能性が生まれる。更に、別の処理デバイスが実行していたタスクを再開すべき場合、セキュア・データは、他のノン・セキュア処理がアクセスできないセキュア・キーを使用して、別の処理デバイスの制御下で復元でき、次に別の処理デバイスの状態が復元できて、それ自身セキュア・データに対して制御されたアクセス権のみを有するノン・セキュア・モードで動作するデータ・プロセッサでタスクを再開できる。
このように、別の処理デバイスによって処理されるデータの安全性は、別の処理デバイス自身によって効果的に維持され、別の処理デバイスにタスクを送信するオーバヘッドは、低減される。すなわち、より小さいタスクを送ることができ、性能向上のメリットがある。
いくつかの実施の形態で、前記セキュア・データの前記処理は、前記セキュア・キーを使用した前記セキュア・データの暗号化を含み、また前記処理されたセキュア・データの前記復元は、前記セキュア・キーを使用した前記暗号化されたセキュア・データの復号化を含む。前記セキュア・キーは、前記暗号化および復号化を実行するデバイス中に安全に保管される。
セキュア・データを守る効率的な方法は、それをノン・セキュア記憶に保存する前に、別の処理デバイスの制御下で暗号化することである。このようにすれば、データ・プロセッサ自身もこのセキュア・データにアクセスできない。
いくつかの実施の形態で、前記データの暗号化を開始する前に、前記別の処理デバイスは、前記データからセキュア署名(secure signature)を生成することを開始し、前記セキュア署名の暗号化を開始し、また前記セキュア・データと一緒に前記セキュア署名を保存する。また前記タスクを再開させる前記信号の受信に応答して、前記別の処理デバイスは、前記暗号化されたセキュア署名の取出しと前記暗号化されたセキュア署名の復号化を開始し、前記暗号化されたセキュア・データの復号化のあとで前記復号化された暗号化データから前記セキュア署名の生成を開始し、前記生成されたセキュア署名と前記復号化されたセキュア署名とを比較する。そして前記生成されたセキュア署名が前記復号化されたセキュア署名と一致しない場合、前記別の処理デバイスは、前記データ・プロセッサに対して信号を発行して、前記データが改ざんされていることを伝える。あるいは、前記生成されたセキュア署名が前記復号化されたセキュア署名と一致する場合は、前記別の処理デバイスは、前記復号化されたデータを使用して前記タスクを再開する。
セキュア・データは、ノン・セキュア処理によるアクセスからこれを守るために単に暗号化するだけでよいが、データからセキュア署名を発生させて、このセキュア署名をデータで暗号化することが有利である。この署名は、後に復号化の段階でこれを用いて保存されている暗号化されたデータが改ざんされたか否かを判断するために利用できる。復号化のあとで生成されたセキュア署名が、保存されている暗号化されたセキュア署名と一致しない場合、データ・プロセッサに対してアボート信号を発行してデータが改ざんされたことを伝えることができる。セキュア署名が一致する場合には、処理を続けることができる。このように、セキュア・データを安全に保存することができるだけでなく、処理を中断したときも、その完全性が保障される。
他の実施の形態では、セキュア署名は、次のように、未暗号化データからではなく暗号化データから生成される。前記データの暗号化のあとで、前記別の処理デバイスは、前記暗号化されたデータからセキュア署名を生成する作業を開始し、前記暗号化されたセキュア・データと一緒に、前記セキュア署名の暗号化および保存を開始する。また前記タスクを再開させる前記信号の受信に応答して、前記別の処理デバイスは、前記暗号化されたセキュア署名の取出しおよび前記暗号化されたセキュア署名の復号化を開始し、また前記暗号化されたデータからの前記セキュア署名の生成および前記生成されたセキュア署名と前記復号化されたセキュア署名との比較を開始し、更に前記生成されたセキュア署名が前記復号化されたセキュア署名と一致しない場合、前記別の処理デバイスは、前記データ・プロセッサに信号を発行して前記データが改ざんされていることを伝え、また前記生成されたセキュア署名が前記復号化されたセキュア署名と一致する場合は、前記別の処理デバイスは、前記暗号化されたデータを復号化し、前記復号化されたデータを用いて前記タスクを再開する。
いくつかの実施の形態で、前記セキュア・データの前記処理は、前記データからのセキュア署名の生成および前記セキュア・キーを用いた前記セキュア署名の暗号化を含み、また前記処理されたセキュア・データの前記復元は、前記暗号化されたセキュア署名の復号化と、前記取り出されたデータからの前記セキュア署名の生成および前記生成されたセキュア署名と前記復号化されたセキュア署名との比較を含み、また前記生成されたセキュア署名が前記復号化されたセキュア署名と一致しない場合、前記別の処理デバイスは、前記データ・プロセッサに信号を発行して、前記データが改ざんされていることを伝え、また前記生成されたセキュア署名が前記復号化されたセキュア署名と一致する場合は、前記別の処理デバイスは、前記取り出されたデータを用いて前記タスクを再開する。
処理されるセキュア・データをそれ自身を見ることから守る必要がないことは、それが別の処理デバイスの外で理解できないことから当然であろう。しかし、改ざんは、セキュア情報にアクセスしようとする試みの1つであるので、改ざんされないことは、重要である。そのようなケースでは、データそれ自身が暗号化されることはないが、セキュア署名を生成し、これを用いてデータが改ざんされていないことをチェックすることはできる。
いくつかの実施の形態で、前記セキュア・データの前記暗号化および前記署名の前記生成は、同じアルゴリズムを用いて実行される。
セキュア・データの暗号化が特にこの目的で生成されたクリプト・エンジン(crypto−engine)を用いて行なわれる場合は、このエンジンを追加することのオーバヘッドを減らすために、セキュア・データを暗号化するために使用されるのと同じアルゴリズムを用いて署名(例えば、ハッシュ)を生成するのが有利である。
いくつかの実施の形態で、前記暗号化および復号化を実行する前記デバイスは、前記別の処理デバイスである。
別の処理デバイスが自分自身で暗号化および復号化を実行する場合、セキュア・データがそれ自身暗号化されるまでこのデバイスを離れることがないので、セキュア・データの安全性は、強化され、従ってセキュア・データへのアクセス制御は、容易である。
いくつかの実施の形態で、前記別の処理デバイスは、暗号化処理デバイスを含み、前記暗号化処理デバイスは、少なくとも1つのキーを用いてデータの暗号化処理を実行し、前記セキュア・データは、前記少なくとも1つのキーを含む前記セキュア・キーによって暗号化される。
この方法は、暗号化処理デバイスに適用する場合に特に有用である。これらは、データを暗号化および復号化するためにキーを使用し、従ってこれらのキーにノン・セキュア・モードがアクセスできないことが重要であることは、明らかである。このように、これらの別の処理デバイスにとってこれらの暗号化キーを含むセキュア・データが安全に守られることが重要である。更に、これらのデバイスは、既に暗号化機能を含んでいるので、セキュア・データの暗号化(処理の間にデータを暗号化するために使用される暗号化キー)は、これらのデバイスを使用して実行でき、また別の処理デバイスがこの機能のために使用するセキュア・キーを用いて実行できる。このように、別の処理デバイス自身の機能を使用してセキュア・データを暗号化および復号化することができる。従ってこの機能を導入することに付随するエリア・オーバヘッドは、少ない。
いくつかの実施の形態で、前記暗号化および復号化を実行する前記デバイスは、他のデバイスがアクセスできない専用のデータ通信経路で前記別の処理デバイスに接続された暗号化処理デバイスである。
いくつかの実施の形態で、別の処理デバイス自身が暗号化機能を実行するが、他の場合には、別の暗号化デバイスによってそれを実行することもできる。そのようなケースでは、セキュア・データをこの暗号化デバイスに送信するためのデータ経路は、この目的のために専用とされ、他のプロセッサがアクセスできないセキュア・データ経路でなければならない。
いくつかの実施の形態で、前記別の処理デバイスは、暗号化以外の機能を実行するための回路を含み、前記別の処理デバイスは、前記セキュア・データを暗号化および復号化するための付加的な暗号化回路を含み、前記別の処理デバイスは、前記セキュア・キーのためのセキュア記憶場所を含む。
別の処理デバイスが暗号化処理デバイスでない場合、それは、上で述べたような別の暗号化処理デバイスを使用するか、あるいは、付加的な暗号化回路を与えられて、暗号化された状態以外でセキュア・データが別の処理デバイスを離れることなしに、セキュア・データの暗号化および復号化を実行できるようにされる。そのようなケースで、別の処理デバイスは、セキュア・キーのための記憶場所を含み、それによってこのセキュア・キーは、デバイス内部で暗号化および復号化のために使用できるようにされるが、任意の他のデバイスには利用できない。
いくつかの実施の形態で、前記別の処理デバイスは、前記セキュア・キーのための書込み専用の記憶場所を含む。
別の処理デバイスに関するセキュア・キーを書込み専用の記憶場所に記憶させることは、有利である。こうすれば、それを他のデバイスが更新できるが、それらによって読み出すことは、できない。
いくつかの実施の形態で、前記セキュア・キーは、セキュア・モードで動作する前記データ・プロセッサの制御下で前記データ処理装置に記憶され、それによってそれは、セキュア・モードで動作する前記データ・プロセッサにのみアクセス可能となる。
セキュア・キーは、例えば、セキュア・モードで動作しているデータ・プロセッサの制御下で、データ処理装置のセキュア・メモリから取り出される。これは、たびたびセキュア・キーを更新することが望ましい場合に有利である。これは、セキュリティの観点から、それが安全な記憶場所に保存されて、セキュア・モードにおいてのみ他のデバイスによって操作できる限り許容できる。いくつかの実施の形態で、それは、安全な特権モードにおいてのみアクセス可能であり、これによって更に高い安全性が提供される。
いくつかの実施の形態で、前記セキュア・キーは、製造段階で設定され、前記セキュア・データの前記暗号化および復号化を実行する前記デバイス中に永久的に安全に保存されるので、他のデバイスがアクセスできない。
セキュア・モードでキーにアクセスする代わりに、セキュア・データを暗号化するデバイス内部に永久的に保存して、それが他のデバイスがアクセスできないようにすることができる。これは、セキュア・キーがデバイス内部で安全に保たれることを保障し、外部からアクセスできないようにする簡便な方法である。しかし、これは、キーを決して変更または更新できないことを意味する。
セキュア・キーを生成および保存する別の方法は、暗号化および復号化デバイス内部に乱数発生器を備えるものであり、乱数発生器は、リセット時にセキュア・キーを発生および保存する。他の実施の形態では、既存の信号または値の秘密の組を組み合わせて、この組合せから数を発生させるようになった擬似乱数発生器が使用される。
ノン・セキュア・データ記憶は、複数の異なるものを含むことができるが、いくつかの実施の形態で、それは、メモリのノン・セキュア部分を含む。
いくつかの実施の形態で、前記タスクを一時停止させる前記信号は、割込み又は例外(an interrupt or an exception)に応答して前記データ・プロセッサによって生成される。
タスクを一時停止させる信号は、複数のものに応答して(in response to a number of things)生成できるが、いくつかの実施の形態で、それは、割込み又は例外に応答して生成される。
いくつかの実施の形態で、前記タスクを一時停止させる前記信号は、前記データ・プロセッサのコンテキストを前記セキュア・モード又はノン・セキュア・モードの1つの動作から前記セキュア・モード又はノン・セキュア・モードの他方に切り替えること、即ち、データ・プロセッサのコンテキスト・スイッチ(a switch of context of said data processor)を指示する信号に応答して、前記データ・プロセッサによって生成される。
データ・プロセッサのコンテキストをセキュア・モードからノン・セキュア・モードに切り替えること、即ち、コンテキスト・スイッチング(context switching of the data processor)は、他のデータ処理手段が別の処理手段の処理を一時停止して、それの状態をメモリに記憶することによって、データ・プロセッサがそれが元あったモードに切り替えて戻ったときに(when the data processor switches back to the mode it was in)処理を再開できるようにすることを含む。
そのようなケースで、それが処理していたセキュア・データの安全性が維持されることが重要である。このことは、データ・プロセッサのセキュア・オペレーティング・システムを使用することなく、別の処理手段自身によって制御される暗号化および復号化手段を使用することによって行われる。このように、データの安全性は、別の処理デバイス自身によって維持され、データの安全性を制御するために、性能に関して高価であるセキュア・オペレーティング・システムの呼出しは、必要でなくなる。
いくつかの実施の形態で、前記タスクを実行させる前記要求は、前記ノン・セキュア・モードで動作する前記データ・プロセッサから発行される。
ノン・セキュア・モードのデータ・プロセッサからタスクを実行させる要求が発行されると、別の処理デバイスによるセキュア・データの処理は、データ・プロセッサ自身から明瞭に切り離されなければならない。これは、データ・プロセッサ自身がノン・セキュア・モードで動作しているためである。そのようなケースでは、処理を一時停止させる要求に応答して別の処理手段の外部に記憶される前に、セキュア・データの暗号化は、データ・プロセッサ自身を巻き込むことなく安全性を維持するために重要である。
いくつかの実施の形態で、前記データ・プロセッサは、前記データ・プロセッサがノン・セキュア・モードで実行しているプログラム・コードに応答して、前記別の処理デバイスに対して前記タスクを実行させる前記要求を発行するように構成される。
本発明の実施の形態は、セキュア・オペレーティング・システムを巻き込む必要なしにセキュア・データを含むコードを実行するために別の処理手段自身を呼び出すため、ノン・セキュアユーザ・モードのようなノン・セキュア・モードにあるデータ・プロセッサによって実行されているユーザ・コードなどのコードを許容する。このことは、セキュア・データを効率的に処理させる点で非常に有利である。これは、例えばセキュア・オペレーティング・システムを巻き込む必要なしにセキュア・キーを使用してデータを暗号化処理する場合に使用される。
いくつかの実施の形態で、前記別の処理デバイスは、ノン・プログラマブル・ハードウエアを含む。
別の処理手段は、単純なノン・プログラマブル・ハードウエア・デバイスを含むことができ、そうすればそれがユーザ・ソフトウエアによってハッキングできないことから特に安全性の高いものとなる。このように、セキュア・データがこのデバイス内部に留まっていて、暗号化された形でしかそこを離れない限り、それの安全性は、保障される。
いくつかの実施の形態で、前記別の処理手段は、オペレーティング・システムに制御されずにプログラム・コードを処理するように構成される。
別の処理デバイスは、オペレーティング・システムを含まない単純なデバイスでよく、このことは、その内部でのセキュア・データの制御を直接的なものとする。これは、またそれを予め定められた処理工程を非常に効率的に実行できる効率的デバイスとする。
本発明の別の態様は、データ処理装置上でデータを処理する方法を提供する。データ処理装置は、セキュア・モードおよびノン・セキュア・モードでデータを処理するデータ・プロセッサを含み、前記データ・プロセッサは、前記ノン・セキュア・モードで前記データ・プロセッサにアクセスできないセキュア・データへのアクセス権を有する前記セキュア・モードでデータを処理し、また前記セキュア・モードでのデータ処理は、セキュア・オペレーティング・システムの制御下で実行され、また前記ノン・セキュア・モードでのデータ処理は、ノン・セキュア・オペレーティング・システムの制御下で実行される。データ処理装置は、また前記データ・プロセッサからの要求に応答してタスクを実行する別の処理デバイスを含み、前記タスクは、少なくともいくつかがセキュア・データであるデータの処理を含む。前記方法は、前記データ・プロセッサ上でのデータ処理工程および前記データ・プロセッサから前記別の処理デバイスへのタスクを実行させる要求の送信を含み、前記タスクは、少なくともいくつかがセキュア・データであるデータの処理を含む。前記方法は、更に前記別の処理デバイス上での前記タスクの開始、前記別の処理デバイスへの前記タスクを一時停止させる信号の送信、前記別の処理デバイスが前記タスクを一時停止して、セキュア・キーを使用した前記セキュア・データの暗号化および前記タスクを一時停止させる信号の受信に応答した前記暗号化されたセキュア・データのノン・セキュア・データ記憶への保存を開始させること、前記別の処理デバイスに対して前記データ・プロセッサからの前記タスクを再開させる信号の生成、前記別の処理デバイスが前記ノン・セキュア・データ記憶から前記暗号化されたセキュア・データを取り出し、前記信号に応答して前記セキュア・キーを使用して前記暗号化されたセキュア・データを復号化することを含み、前記セキュア・キーは、前記暗号化および復号化を実行する前記デバイス内部に安全に保管されることでそれに対して他のデバイスがアクセスできない。
この発明の上記、およびその他の目的、特徴および利点は、添付図面と併せて参照すべき例示的な実施の形態についての以下の詳細な説明から明らかになろう。
本発明の1つの実施の形態に従うデータ処理装置の模式図。 本発明の1つの実施の形態に従い、プロセッサ、アクセラレータおよび分離した暗号化デバイスを有するデータ処理装置の模式図。 本発明の別の1つの実施の形態に従うデータ処理装置の模式図。 本発明の1つの実施の形態に従う方法を示すフロー図。 割込み時にハードウエア・アシストを一時停止および再開させる制御フローを示す図。 コンテキストをスイッチ・アウトするためのフロー図。 プロセスのコンテキストをハードウエア・アシスト・モジュールにスイッチするフロー図。 第1の新しいプロセスのアクセスまで、ハードウエア・アシスト状態の保存を延期するフロー図。
図1は、プロセッサ・コア10およびアクセラレータ20を模式的に示す。システムは、少なくとも部分的にモニタ・モードで動作するモニタ・プログラム12を備える。セキュリティ・ステータス・フラグは、モニタ・モードにおいてのみ書込みアクセス可能であり、モニタ・プログラムによって書き込まれる。モニタ・プログラムは、セキュア・ドメインとノン・セキュア・ドメインとの間で双方向のすべての変更を管理する。コアの外部から見ると、モニタ・モードは、常に安全であり、モニタ・プログラムは、セキュア・メモリにある。モニタ・モード12は、セキュア処理モードと考えることができる。これは、セキュア・ステータス・フラグがこのモードで変更され、モニタ・モード12にあるモニタ・プログラムがそれ自身セキュリティ・ステータス・フラグを設定する能力を有し、事実上それがシステム内部の全体としての最終的な安全性レベルを提供するからである。
モニタ・モードは、システム中で最も高い安全度レベルのアクセス権を有し、ノン・セキュア・ドメインとセキュア・ドメインとの間で双方向にシステムを切り替える(switch)資格を有する唯一のモードである。従って、ドメインの切替えはすべてモニタ・モードへの切替え(all domain switches take place via a switch to the monitor mode)およびモニタ・モード内でのモニタ・プログラムの実行は、スイッチを介して行われる。
ノン・セキュア・ドメインには、ノン・セキュア・オペレーティング・システム16が備わっており、これがノン・セキュア・オペレーティング・システム16と共同して動作する複数のノン・セキュア・アプリケーション・プログラムを実行させる。セキュア・ドメインには、セキュア・カーネル・プログラムが備えられている。セキュア・カーネル・プログラム14は、セキュア・オペレーティング・システムを構成すると考えることができる。典型的には、そのようなセキュア・カーネル・プログラム14は、セキュア・ドメインに設けられるべき処理活動に本質的に重要なそれらの機能のみを提供するように設計され、それによって安全性は、高まり、セキュア・カーネル14は、可能な限り小型で簡素なものとすることができる。
セキュア・モードとノン・セキュア・モードとの間で切替えを行う場合、常にデータの安全性を制御するためにモニタ・モードが呼び出され、保護すべきデータがノン・セキュア・サイドによって決して利用されないことが保証される。モニタ・モードに入るには、まずセキュア特権モードに入る。モニタ・モードは、セキュア割込みに応答する場合以外には、非特権的なセキュア・モードから入ることができない。
図1は、またコア10にリンクされ、この実施の形態では、クリプト・エンジンを含むアクセラレータ20を示している。クリプト・エンジン20は、コア10によって呼び出されて、それのための暗号化機能を実行する。ノン・セキュア・モードで動作している場合でも、何らかのデータを暗号化することが望ましい。そのようなケースでは、これを行うためにクリプト・エンジンが呼び出され、それは、セキュア・キーを使用して暗号化機能を実行する。明らかなように、これらのセキュア・キーは、ノン・セキュア・サイドが利用できないものでなければならず、またクリプト・エンジンは、何らかの理由で暗号化プロセスに割込みがなされた場合、それを非常に安全なものとするノン・プログラマブル・ハードウエア・デバイスであるかもしれないが、処理を再開できるように暗号化エンジンから状態を保存すべき場合、ノン・セキュア・オペレーティング・システムがコアを制御しているときにこれが実行されると、暗号化プロセスの状態を外部に保存することに関してノン・セキュア・サイドが利用できるようになるという安全上の問題が生ずる。しかし、データの安全性を管理するためにセキュア・オペレーティング・システムを呼び出す必要があれば、このアプリケーションに割込みを行うための大きな待ち時間が発生する。本実施の形態で、クリプト・エンジンの機能性は、クリプト・エンジン20内部に保存されたセッション・キー22を用いたそれの処理の間に使用されるキーと同じように、セキュア・データの暗号化のために利用される。この実施の形態で、コアがクリプト・エンジンに命令してメモリ30内部のメモリのセキュア部分からセッション・キーをロードさせるとすぐに、セッション・キー22は、プロセッサ・コアがセキュア・オペレーティング・システム14の制御下のセキュア・モードで動作している場合、クリプト・エンジン20の内部に保存される。セッション・キー22は、書込み専用場所に保存されるため、クリプト・エンジン20にハッキングしようとする外部プロセスは、それを読むことができない。
このように、クリプト・エンジンが処理しているアプリケーションを一時停止すべきであることを示すコア10からの割込みに応答して、クリプト・エンジン20は、それのデータの処理を一時停止し、それの暗号化機能を利用して、それがセッション・キー22を使用して処理していたセキュア・データを暗号化する。クリプト・エンジンの状態は、暗号化されたセキュア・データおよび未暗号化ノン・セキュア・データと一緒に、ポインタ24が指す場所においてメモリ30のノン・セキュア部分に外部保存される。
コアは、それがクリプト・エンジン20に実行を課したアプリケーションを再開しようとするとき、ポインタ24によって示された場所にクリプト・エンジン20がアクセスしてメモリ30に記憶されたデータおよびそれの状態を残すことができ次第、クリプト・エンジン20に信号を送ってこのことを伝える。コアは、次にセッション・キー22を使用して暗号化されたデータを復号化し、そのあとで処理を再開できる。このように、コア10のノン・セキュア・オペレーティング・システムの制御下で走っているノン・セキュア・アプリケーションは、クリプト・エンジンにタスクを課してセキュア・キーを用いた暗号化を実行させることができ、またセキュア・データのセキュリティ・ステータスを制御するためにモニタ・モードを起動する必要なしにこのアプリケーションへの割込みを許容することができる。
図2は、代替の実施の形態を示し、ここでは、コア10がアクセラレータ20にタスクを課して、この場合には、暗号化関数(cryptographic function)ではない関数を実行させる。このようなケースで、コア10がコンテキストを、例えばセキュア・モードからノン・セキュア・モードにスイッチする(切り替えられる)と、それがアクセラレータ20に処理を課したセキュア・データは、このコンテキスト・スイッチによって中断されたタスクは、後で再開できるように保存する必要がある。このケースでは、アクセラレータ20は、クリプト・エンジンでない。すなわち、それは、専用の通信ライン52によってリンクされている別の暗号化ユニット50に命令して、それが処理していたセキュア・データを暗号化させる。暗号化ユニット50は、暗号化ユニットによってリセット時に乱数を発生させるために使用される乱数発生器52を含む。この乱数は、セッション・キー54として保存され、アクセラレータ20がそれに対して送信するセキュア・データを暗号化するために使用される。この実施の形態で、暗号化ユニットは、更にそれを暗号化する前に未暗号化データからハッシュ値を生成し、このハッシュ値は、暗号化されたデータと一緒にセッション・キー54を使用して暗号化ユニットを介して暗号化される。いくつかの実施の形態では、真の乱数発生器というオーバヘッドの代わりに、擬似乱数発生器が使用される。これは、1組の既存の信号を選び、信号の組合せから1つの数を発生させる。信号の組合せは、もちろん秘密の組合せでなければならない。
次にこの暗号化されたデータは、暗号化されたハッシュ値と一緒に、図1に関して発生したのとほとんど同じように、アクセラレータ20の状態およびノン・セキュア・データと一緒にメモリに外部保存される。
これらの実施の形態で、セキュア・データは、それを保存する前に暗号化されたが、いくつかの実施の形態では、ハッシュを発生させて暗号化することができ、データは、暗号化されたハッシュと一緒に未暗号化のまま保存される。これは、データが改ざんされたか否かをユーザが知ることを可能にする。そのようなケースで、セキュア・データは、ノン・セキュア・サイドからアクセス可能であるが、システムが知らないままにそれを変更することはできない。これは、別の処理デバイスで改ざんされたセキュア・データを単に見るだけなら問題ないが、それを使用することによってシステムの安全性が脅かされる場合に有用である。
コアは、切り替わって元のセキュア状態に戻ると(when the core switches back to secure state)、それが実行していたタスクを再開すべきことをアクセラレータ20に信号で伝える。この時点で、保存されていた状態およびデータがメモリ30から取り出されて、暗号化されたデータおよびハッシュ値が暗号化ユニット50に送られる。次に、暗号化されたデータは、ハッシュ値と一緒に復号化され、復号化されたデータから新しいハッシュ値が生成される。もしこの新しいハッシュ値が復号化されたハッシュ値と一致すれば、暗号化ユニット50は、データが改ざんされていないことを確信でき、復号化されたデータは、次にアクセラレータ20に送信される。もしハッシュ値が一致しなければ、それは、データが改ざんされていることを意味するので、コア10に対してその旨の信号が発行されて、プロセスが停止する。
図3は、代替の実施の形態を示しているが、ここでもアクセラレータ20は、暗号化ユニットではない。このケースで、分離した暗号化ユニットを使用する代わりに、アクセラレータ20に暗号化回路25が追加されて、これによりコア10がアクセラレータ20に対してそれが何らかのセキュア・データの処理を一時停止しなければならないことを伝えると、暗号化回路25を使用してセキュア・データを暗号化できる。これは、またこの実施の形態において、未暗号化データからハッシュ値を生成し、このハッシュ値を暗号化するためにも使用される。このケースで、暗号化回路25は、比較的単純なものであり、ハッシュ値と暗号化とで同じアルゴリズムが使用される。この暗号化のセッション・キー22は、製造時にアクセラレータ20内部に永久的に保存される。
他の態様では、このシステムは、図1および2のそれらと非常に似たやり方で動作する。
図4は、本発明の1つの実施の形態に従う方法の工程を示すフロー図を示す。この方法で、タスクを実行させる要求がメイン・プロセッサ・コアからアクセラレータに受信される。アクセラレータは、これに従ってセキュア・データおよびノン・セキュア・データの両方の処理を含むタスクを実行する。これを実行している間に、それは、割込みを調べて、もし1つでも受信されていれば、それは、タスクの処理を一時停止して、セキュア・データからハッシュ値を生成する。それは、次にアクセラレータに保存されているセッション・キーを使用して、セキュア・データおよびハッシュ値を暗号化する。注目すべきことは、この実施の形態では、未暗号化セキュア・データからハッシュ値が生成されるが、他の実施の形態では、まずセキュア・データを暗号化し、暗号化されたデータからハッシュ値を生成することもできる。
次にプロセッサの状態、暗号化されたセキュア・データ、ハッシュ値および任意のノン・セキュア・データがメモリに保存されて、アクセラレータは、割込みによって指示された別のタスクを実行する。これが完了して、割込みされたタスクの再開を指示する信号が受信されると、メモリ中でそれが保存されていた1つのアドレスからプロセッサの状態と一緒にデータが取り出され、次に暗号化されたデータおよびハッシュが復号化される。次に復号化されたデータからハッシュ値が生成されて、保存されていた復号化ハッシュとそれらが一致するかを調べるための比較が行われる。それらが一致すれば、プロセッサの状態が復元されて、処理が再開され、またそうでなければ、タスクは、停止され、エラー信号が発せられる。
上の方法は、米国特許出願12/003,857および12/000,005である「ノン・セキュア・アプリケーションに対する特権的セキュア・サービス提供(Providing Secure Services to A Non−Secure Application)」および「ハードウエア・アクセラレータ内部でのデータ値のクリーニング制御(Controlling Cleaning Of Data Values Within A Hardware Accelerator)」と題する同時係属米国特許出願に述べられた方法に関連する。これら2つの同時係属出願の開示を全部ここに取り込む。
ARM(登録商標)データ処理装置に使用される別の処理デバイス又はハードウエア(HW)アシストで使用される異なる方法のこれ以上の詳細について以下に述べる。
セキュア・サイドのデータにアクセスしようとする、ユーザ・モードにあるHWアシストに関する一般的な実行モデルは、HWアシストがセキュア・サイドにアクセスしようとする前に、セキュア・サイド又はトラストゾーン(trustzone)(TZ)ソフトウエアによってセキュア・セッションが既に確立されているというものである。
セキュア・サイドからデータにアクセスする必要のあるHWアシストのセキュア・セッションを管理する4つの可能な方法がある。
ソフトウエア(SW)にあらゆる安全性を備えたセキュア・サイドへのデフォルトSWエントリ(Default software (SW) entry to secure side with all security in SW.)。セキュア・サービスを必要とする場合は、常に特権モードに入り、次にセキュア・モニタに入るためにSMC(セキュア・サイド呼出し)が実行される。次にセキュア・サービスが提供されて、プログラムは、ユーザ・モード・アプリケーションに戻る。
HWアシストにアクセスする試みに関して直接的なセキュア・モニタのエントリ引起こし(Cause an entry in the secure monitor directly on an attempt to access the HW assist.)。このモードでは、HWアシストが呼び出されるたびにセキュア・サイドに入って、セキュア・セッションは、セキュア・サイドによって直接的に管理される。完全性チェックが必要とされるときは、常にセキュア・サイドSWを実行でき、タスクを実行させるためにHWが呼び出される。このことは、HWアシストへのノン・セキュア・アクセスを禁止することによって実現される。
グローバル・セキュア・セッションのセットアップと、セキュア・アクセスを要求する各プロセスに対する、ノン・セキュア・サイドで利用可能なセキュア値テーブルへの予め定義されたインデックスの提供(Set up a global secure session and provide each process that requires secure access with a pre−defined index into a table of secure values that are available to the non−secure side.)。各テーブル値は、ハッシュ値と対になっており、正しいハッシュを備えたプロセスのみが特定のテーブル・エントリにアクセスできることを保証する。セキュア・セッションは、プロセス生成時にセットアップされ、そこで利用可能なテーブル・エントリおよびセキュア・ハッシュ値が計算される。セキュア・サイドは、またセキュア・ベース・テーブルのアドレスおよび有効なテーブル範囲をHWアシスト中のセキュア・モード専用レジスタに書き込む。アプリケーション・プログラムからセキュア・アイテムにアクセスするために、オフセットおよびハッシュ値を使用してユーザがHWアシストをプログラムする。HWアシスト・モジュールは、次にこれらの値を使用してセキュア情報にアクセスし、ハッシュをチェックする。このモデルで、セキュア・セッションは、依然としてグローバル・ビューであるため、セキュア・モニタは、通常のオペレーティング・システムのコンテキスト・スイッチで呼び出される必要がない−オフセットおよびハッシュは、コンテキスト・スイッチに関するプロセス・アプリケーション・スペースに保存できる(the secure monitor does not need to be called on a regular operating system context switch−the offset and hash can be stored in the processes application space on context switch)。
プロセスごとのセキュア・セッションのセットアップ(Set up a secure session per process)。このモデルで、各プロセスは、等価的にそれ自身のセキュア・セッションを有する。セキュア・セッションは、プロセスがコンテキスト・スイッチ・インされ(the process is context switched in)、コンテキストの終わりにセッションがクローズされるときにセットアップされる。HWアシストへのアクセスごとにセキュア・モニタにアクセスする代わりに、セキュア・モニタは、コンテキストの最初と終わりのみアクセスされる。このモデルの利点は、HWアシストに保存されている任意のセキュア状態が、コンテキスト・スイッチ時にもセキュア・モニタによって直接的に、あるいはCA_STATUSレジスタのセキュア・シャドウ(secure shadow)を有することによって保存できるということである。CA_STATUSレジスタは、HWアシスト・モジュールに関するステータスを提供し、特権的アクセスを有するレジスタである。
HWアシストは、タスクが完了する前の実行中に割り込みすることでき、次に必要とされる後の時点に再開できる。HWアシストの動作中に割込みが受信されると、HWアシストに対してなんら変更を行うことなしに、通常のARMのやり方で割込みに入る。割込みハンドラでは、プログラマは、次のオプションを有する。
1.HWアシストに対して何もせずに、それが走るままにさせる。コアのシステム・プログラミングは、HWアシストがメモリの正しいビュー(すなわち、ページ・テーブルが変更されていないこと)を見ていることを保証しなければならないことに注意すべきである。
2.一時的にHWアシストを一時停止させるが、その他の目的でHWアシストを使用しない。(MSUSPEND)
3.HWアシストを一時停止して、任意のダーティ状態(dirty state)をメモリに戻して保存し、何かほかのものでHWアシストを利用できるようにする。(MSUSPENDC)
(2)および(3)のケースで、一旦割込みハンドラが終了すると、HWアシストは、再開コマンドで再スタートする。(2)に関して、実行は、それが中止された場所から再スタートするのに対して、(3)では、実行を継続する前にまずHWアシストに中間状態を再ロードして戻してやる必要がある。図5は、これらの両方のケースに関する制御フローを示す。この図で、CA_STATEレジスタは、HWアシスト・モジュールに関する記述子へのポインタを含むレジスタであり、特権的又はユーザ・アクセスを有する。
汎用的な割込みハンドラ(generic interrupt handler)に関して、MSUSPENDおよびMRESUMEのブロードキャスト形態(broadcast forms)は、すべてのHWアシストを一時停止および再開させるために使用できる。より特殊化されたアプリケーションに関して、個々のHWアシスト・モジュールは、独立して一時停止および再開できる(制御するためのHWアシストの論理アドレスを供給することによって)。
ハンドリングすべき3つの基本的な例外クラス(classes of exceptions)がある。
●ユーザ・エラー−これは、ユーザ・モードSWによってハンドリングされる。
●特権的システム・エラー−ハンドリングのためにオペレーティング・システムに信号で伝えられるシステム・エラー。
●セキュア・エラー−セキュア・モニタに信号で伝えられたセキュア・サイドにアクセスすることによって引き起こされるエラー。
デフォルトでは、特権およびセキュリティ・エラーは、更なるハンドリングのために、割込みを介して信号でコアに伝えられる。ユーザ・モード・エラーは、HWアシスト・レジスタ中の状態エラー・ビット(例えば、CA_StatusレジスタのIUEビット)をチェックするユーザ・アプリケーション・ソフトウエアによってハンドリングされる。このアーキテクチャは、またユーザ・モード・エラーの送信をサポートし、必要であればコアに割込みをかけるが、これは、オペレーティング・システムとのやり取りによるコストを招く。
異なる特権レベルから複数の例外がアクティブになる場合に、例外情報を保存するためにシャドウ制御レジスタ(shadow control registers)が設けられる。例えば、セキュアおよびユーザ・メモリの故障が発生し得る場合、FARおよびCA_STATUSレジスタは、セキュア・サイドにシャドウを有しなければならない。FARレジスタは、特権的アクセスを有し、故障を起こしたメモリ・アドレスを提供する。
コンテキスト・スイッチングをサポートするために必要な基本的オペレーションは、基本的な割込みハンドリングに類似している。すなわち、HWアシスト・オペレーションの一時停止および再開と、HWアシスト・モジュールからのダーティ状態のクリーニングである。コンテキスト・スイッチングは、2つの部分に分割できる。
●古いプロセスをスイッチング・アウトすること(Switching a old Process out)。
●新しいプロセスをスイッチング・インすること(Switching a new Process out)。
これらの各々に対して次の2つが可能である。
●ストリクト−直ちにスイッチングを行う。
●レイジー−実際に誰かがHWアシストを使用したい場合にのみ状態を保存する(save the state)。
後者は、それが必要な場合にのみ状態を保存するのでより低消費電力であるが、実施は、より複雑である。
注記:伝統的なレイジー・コンテキスト・スイッチ(例えば、VFPで使用されるようなもの)は、HWが新しいプロセスによってアクセスされるまで、新しいコンテキストにスイッチしない。この方法では、新しいコンテキストが一時停止されたHWアシストを有する場合、それは、コンテキストが復元され次第、新しいコンテキスト中のHWへの最初の新しいアクセスまで待つことなく復元される必要がある。
図6は、HWアシスト・モジュール(CHA)に関するコンテキスト・スイッチングの汎用的なフロー図を示す。もしコンテキスト・スイッチがレイジーでなければ、HWアシストは、MSUSPENDCおよび記述子へのポインタを使用して一時停止およびクリーニングされ、各々の許可されたHWアシストに関するステータス・レジスタおよびFARが保存される。レイジー・コンテキスト・スイッチの場合には、HWアシストは、何も状態を保存することなく一時停止されるのみである。両ケースで、オペレーティング・システムは、HWアシストが停止する(そして多分クリーニングする)のを待つ間、他のコンテキスト・スイッチのクリーン・アップを行うように進行する。変更する必要があるページ・テーブル・エントリの直前で、オペレーティング・システムは、データ・アクセラレータ・バリア(Data accelerator barrier)(DAN)を実行して、すべてのHWアシストが一時停止を完了していること、従ってすべてのHWアシストがHACRで禁止されていることを確認する。その後のコンテキスト・スイッチ・アウトは、通常のように続く。
オペレーティング・システムによる一層複雑な解析という犠牲を払えば、汎用的コンテキスト・スイッチ・アウト(generic context switch out)を洗練されたものとすることができる。例えば、
HWアシスト・モジュールが現時点で許可されていなければ、保存すべきプロセスは存在せず、何もする必要がない。
HWアシストが許可されていても実行されていなければ、ダーティ状態の保存は、もしかすると必要ない。
HWアシストを一時停止させるのよりもむしろそれを完了させる選択がある。これは、すべてのダーティ・データがメモリに戻されていることを保証する。
新しいプロセスをHWアシスト・モジュールにスイッチ・インするとき、第1の工程は、HWアシスト・モジュールを許可することである。このあと、記述子およびステータス・レジスタがHWアシスト・モジュールに再ロードされ、すべてを再開するコマンドが発行されて、すべての許可されたHWアシスト・モジュールの実行が再開される。このことが図7に示されている。
レイジー・スキームが採用された場合(すなわち、古いプロセスの状態がまだスイッチ・アウトされていない)、オペレーティング・システムは、新しいプロセスがHWアシスト・モジュールを一時停止させたか否かを判断すべきである。新しいコンテキストがHWアシストを使用していれば、コンテキスト・スイッチ時に(それが後にアクセスされるまで延期する代わりに)アウトされた古い状態からHWアシストを一掃すべきである。
延期されたコンテキスト・スイッチ・イン
延期されたプロセス状態のスイッチは、任意の状態の保存の前に新しいプロセスがHWアシスト・モジュールにアクセスしようとするまで待つ。新しいプロセスがHWアシスト・モジュールを使用しなければ、状態を保存する必要はない。
新しいプロセスがHWアシスト・モジュールにアクセスしようとする時点を検出するために、モジュールは、コンテキスト・スイッチ時に禁止されて、それを使用しようとすればオペレーティング・システムのイベントがトリガーされて、要求される状態(未定義のインストラクション・トラップ)が保存および復元されるようにする。古い状態が保存されて、新しい状態がロードされてしまえば、HWアシストにアクセスするコマンドを再実行できる。この手順は、図8に示されている。一時停止されたHWアシストは、時間的に、コンテキスト・スイッチ時に検出され、コマンドがそれらにアクセスするのを待つのではなく、自動的に再スタートされることを仮定している。
オペレーティング・システムは、HWアシストの状態を正しい場所に保存するために、前のHWアシストのユーザ・スペース記述子にアクセスできなければならないことに注意されたい。
発明の例示的実施の形態についてここに添付図面を参照しながら詳細に説明してきたが、発明がこれらの実施の形態に正確に限定されることはなく、添付の請求項によって定義される発明の範囲および精神から外れることなく当業者によってこれらにおいて各種の変更および修正が実行可能であることを理解すべきである。
10 プロセッサ・コア
12 モニタ・プログラム
14 ノン・セキュア・オペレーティング・システム
16 セキュア・カーネル・プログラム
20 アクセラレータ(クリプト・エンジン)
22 セッション・キー
24 ポインタ
25 暗号化回路
30 メモリ
50 暗号化ユニット
52 乱数発生器
54 セッション・キー

Claims (22)

  1. データ処理装置であって、
    セキュア・モードおよびノン・セキュア・モードにおいてデータを処理するデータ・プロセッサであって、前記データ・プロセッサは、前記ノン・セキュア・モードにおいて前記データ・プロセッサがアクセスできないセキュア・データに対してアクセス権を有する前記セキュア・モードにおいてデータを処理し、また前記セキュア・モードでのデータ処理は、セキュア・オペレーティング・システムの制御下で実行され、また前記ノン・セキュア・モードでのデータ処理は、ノン・セキュア・オペレーティング・システムの制御下で実行されるデータ・プロセッサと、
    前記データ・プロセッサからの要求に応答してタスクを実行する別の処理デバイスであって、前記タスクは、少なくともいくつかがセキュア・データであるデータの処理を含んでいる別の処理デバイスと、
    を含み、
    前記別の処理デバイスは、前記タスクを一時停止させる信号の受信に応答して、
    セキュア・キーを使用した前記セキュア・データの処理および
    前記処理されたセキュア・データのノン・セキュア・データ記憶への保存
    を開始し、また前記タスクを再開させる信号の受信に応答して、
    前記処理されたセキュア・データの前記ノン・セキュア・データ記憶からの取出しおよび
    前記セキュア・キーを使用した前記処理されたセキュア・データの復元
    を開始し、ここで前記セキュア・キーは、安全に保管されているため、前記ノン・セキュア・モードで動作する他のプロセスがアクセスできない、
    データ処理装置。
  2. 請求項1記載のデータ処理装置であって、前記セキュア・データの前記処理は、前記セキュア・キーを使用した前記セキュア・データの暗号化を含み、前記処理されたセキュア・データの前記復元は、前記セキュア・キーを使用した前記暗号化されたセキュア・データの復号化を含み、前記セキュア・キーは、前記暗号化および復号化を実行するデバイス中に安全に保管される、
    前記データ処理装置。
  3. 請求項2記載のデータ処理装置であって、前記データの暗号化を開始する前に、前記別の処理デバイスは、前記データからのセキュア署名の生成を開始し、また前記セキュア署名の暗号化および前記セキュア署名を前記セキュア・データと一緒に保存することを開始し、
    前記タスクを再開させる前記信号の受信に応答して、前記別の処理デバイスは、前記暗号化されたセキュア署名の取出しおよび前記暗号化されたセキュア署名の復号化を開始し、前記暗号化されたセキュア・データの復号化のあと、前記復号化された暗号化データからの前記セキュア署名の生成および前記生成されたセキュア署名と前記復号化されたセキュア署名との比較を開始し、
    前記生成されたセキュア署名が前記復号化されたセキュア署名と一致しない場合、前記別の処理デバイスは、前記データ・プロセッサに対して信号を発行して、前記データが改ざんされていることを伝え、
    前記生成されたセキュア署名が前記復号化されたセキュア署名と一致する場合、前記別の処理デバイスは、前記復号化されたデータを使用して前記タスクを再開する、
    前記データ処理装置。
  4. 請求項2記載のデータ処理装置であって、前記データの暗号化のあと、前記別の処理デバイスは、前記暗号化されたデータからのセキュア署名の生成を開始し、また前記セキュア署名を前記暗号化されたセキュア・データと一緒に保存することを開始し、
    前記タスクを再開させる前記信号の受信に応答して、前記別の処理デバイスは、前記暗号化されたセキュア署名の取出しおよび前記暗号化されたセキュア署名の復号化を開始し、また前記暗号化されたデータからの前記セキュア署名の生成および前記生成されたセキュア署名と前記復号化されたセキュア署名との比較を開始し、
    前記生成されたセキュア署名が前記復号化されたセキュア署名と一致しない場合、前記別の処理デバイスは、前記データ・プロセッサに対して信号を発行して、前記データが改ざんされていることを伝え、また
    前記生成されたセキュア署名が前記復号化されたセキュア署名と一致する場合、前記別の処理デバイスは、前記暗号化されたデータを復号化し、前記復号化されたデータを用いて前記タスクを再開させる、
    前記データ処理装置。
  5. 請求項1記載のデータ処理装置であって、前記セキュア・データの前記処理は、前記データからのセキュア署名の生成および前記セキュア・キーを使用した前記セキュア署名の暗号化を含み、また前記処理されたセキュア・データの前記復元は、前記暗号化されたセキュア署名の復号化と、前記取り出されたデータからの前記セキュア署名の生成および前記生成されたセキュア署名と前記復号化されたセキュア署名との比較を含み、
    前記生成されたセキュア署名が前記復号化されたセキュア署名と一致しない場合、前記別の処理デバイスは、前記データ・プロセッサに対して信号を発行して、前記データが改ざんされていることを伝え、また
    前記生成されたセキュア署名が前記復号化されたセキュア署名と一致する場合、前記別の処理デバイスは、前記取り出されたデータを使用して、前記タスクを再開させる、
    前記データ処理装置。
  6. 請求項3記載のデータ処理装置であって、前記セキュア・データの前記暗号化および前記署名の前記生成が同じアルゴリズムを使用して実行される前記データ処理装置。
  7. 請求項2記載のデータ処理装置であって、前記暗号化および復号化を実行する前記デバイスが前記別の処理デバイスである前記データ処理装置。
  8. 請求項7記載のデータ処理装置であって、前記別の処理デバイスは、暗号化処理デバイスを含み、前記暗号化処理デバイスは、少なくとも1つのキーを使用してデータの暗号化処理を実行し、前記セキュア・データは、前記少なくとも1つのキーを含む前記セキュア・キーを使用して暗号化される前記データ処理装置。
  9. 請求項2記載のデータ処理装置であって、前記暗号化および復号化を実行する前記デバイスは、他のデバイスがアクセスできない専用のデータ通信経路で前記別の処理デバイスに接続された暗号化処理デバイスである前記データ処理装置。
  10. 請求項2記載のデータ処理装置であって、前記別の処理デバイスは、暗号化以外の機能を実行する回路を含み、前記別の処理デバイスは、前記セキュア・データを暗号化および復号化する付加的な暗号化回路を含み、前記別の処理デバイスは、前記セキュア・キーのためのセキュア記憶場所を含む前記データ処理装置。
  11. 請求項7記載のデータ処理装置であって、前記別の処理デバイスは、前記セキュア・キーのための書込み専用の記憶場所を含む前記データ処理装置。
  12. 請求項1記載のデータ処理装置であって、前記セキュア・キーは、セキュア・モードで動作する前記データ・プロセッサの制御下で前記データ処理装置に保存されるため、それは、セキュア・モードで動作する前記データ・プロセッサのみがアクセスできる前記データ処理装置。
  13. 請求項1記載のデータ処理装置であって、前記セキュア・キーは、製造時に設定され、前記セキュア・データの前記暗号化および復号化を実行する前記デバイス中に永久的に安全に保管されることによって他のデバイスがアクセスできない前記データ処理装置。
  14. 請求項2記載のデータ処理装置であって、前記セキュア・データの前記暗号化および復号化を実行する前記デバイスは、乱数発生器を含み、前記セキュア・キーは、リセット時に前記乱数発生器によって生成される前記データ処理装置。
  15. 請求項1記載のデータ処理装置であって、前記ノン・セキュア・データ記憶は、メモリのノン・セキュア部分を含む前記データ処理装置。
  16. 請求項1記載のデータ処理装置であって、前記タスクを一時停止させる前記信号は、割込み又は例外に応答して前記データ・プロセッサによって生成される前記データ処理装置。
  17. 請求項1記載のデータ処理装置であって、前記タスクを一時停止させる前記信号は、前記セキュア・モード又はノン・セキュア・モードの1つから前記セキュア・モード又はノン・セキュア・モードの他方へ前記データ・プロセッサの動作のコンテキストをスイッチさせる信号に応答して前記データ・プロセッサによって生成される前記データ処理装置。
  18. 請求項1記載のデータ処理装置であって、前記タスクを実行させる前記要求は、前記ノン・セキュア・モードで動作する前記データ・プロセッサから発行される前記データ処理装置。
  19. 請求項18記載のデータ処理装置であって、前記データ・プロセッサは、前記データ・プロセッサがノン・セキュア・モードで実行するプログラム・コードに応答して、前記タスクを実行させる要求を前記別の処理デバイスに対して発行するように構成される前記データ処理装置。
  20. 請求項1記載のデータ処理装置であって、前記別の処理デバイスは、ノン・プログラマブル・ハードウエアを含む前記データ処理装置。
  21. 請求項1記載のデータ処理装置であって、前記別の処理デバイスは、オペレーティング・システムに制御されずにプログラム・コードを処理するように構成される前記データ処理装置。
  22. セキュア・モードおよびノン・セキュア・モードでデータを処理するデータ・プロセッサを含むデータ処理装置上でデータを処理する方法であって、前記データ・プロセッサは、前記ノン・セキュア・モードにある前記データ・プロセッサがアクセスできないセキュア・データに対してアクセス権を有する前記セキュア・モードでデータを処理し、また前記セキュア・モードでのデータ処理は、セキュア・オペレーティング・システムの制御下で実行され、また前記ノン・セキュア・モードでのデータ処理は、ノン・セキュア・オペレーティング・システムの制御下で実行され、更に前記データ・プロセッサは、前記データ・プロセッサからの要求に応答してタスクを実行する別の処理デバイスを含み、前記タスクは、少なくともいくつかがセキュア・データであるデータの処理を含み、前記方法は、
    前記データ・プロセッサ上でのデータ処理工程と、
    前記データ・プロセッサから前記別の処理デバイスへのタスクを実行させる要求の送信工程であって、前記タスクは、少なくともいくつかがセキュア・データであるデータの処理を含む送信工程と、
    前記別の処理デバイス上での前記タスクの開始工程と、
    前記タスクを一時停止させる信号の前記別の処理デバイスへの送信工程と、
    前記別の処理デバイスが、前記タスクを一時停止させて、セキュア・キーを使用した前記セキュア・データの処理および前記タスクを一時停止させる前記信号の受信に応答した前記処理されたセキュア・データのノン・セキュア・データ記憶への保存を開始させる工程と、
    前記別の処理デバイスに前記タスクの再開を命令する信号を前記データ・プロセッサから生成する工程と、
    前記別の処理デバイスが、前記ノン・セキュア・データ記憶から前記処理されたセキュア・データを取り出して、前記信号に応答して前記セキュア・キーを使用して前記取り出されたデータを復元する工程であって、前記セキュア・キーは、安全に保管されるため他のデバイスがアクセスできない工程と、
    を含む方法。
JP2009000321A 2008-01-02 2009-01-05 セキュアモードおよびノンセキュアモードでデータを処理するデータプロセッサを含むデータ処理装置及びデータ処理方法 Expired - Fee Related JP5091877B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/003,858 US8775824B2 (en) 2008-01-02 2008-01-02 Protecting the security of secure data sent from a central processor for processing by a further processing device
US12/003,858 2008-01-02

Publications (2)

Publication Number Publication Date
JP2009163741A true JP2009163741A (ja) 2009-07-23
JP5091877B2 JP5091877B2 (ja) 2012-12-05

Family

ID=40139810

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009000321A Expired - Fee Related JP5091877B2 (ja) 2008-01-02 2009-01-05 セキュアモードおよびノンセキュアモードでデータを処理するデータプロセッサを含むデータ処理装置及びデータ処理方法

Country Status (4)

Country Link
US (1) US8775824B2 (ja)
JP (1) JP5091877B2 (ja)
CN (1) CN101477612B (ja)
GB (1) GB2458182B (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012089138A (ja) * 2010-10-21 2012-05-10 Arm Ltd 非セキュアドメインの中に表示される対象画像のためのセキュリティ対策
JP2013531296A (ja) * 2010-06-24 2013-08-01 インターナショナル・ビジネス・マシーンズ・コーポレーション ハイブリッド・メモリ・サーバにおけるデータ・アクセス管理
US8954490B2 (en) 2010-06-24 2015-02-10 International Business Machines Corporation Speculative and coordinated data access in a hybrid memory server

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8738926B2 (en) * 2008-01-10 2014-05-27 Intel Mobile Communications GmbH Data processing system, method for executing a cryptographic algorithm and method for preparing execution of a cryptographic algorithm
US8127131B2 (en) * 2008-04-10 2012-02-28 Telefonaktiebolaget Lm Ericsson (Publ) System and method for efficient security domain translation and data transfer
WO2010016004A1 (en) * 2008-08-08 2010-02-11 Nxp B.V. Circuit with testable circuit coupled to privileged information supply circuit
DE102009054128A1 (de) * 2009-11-20 2011-05-26 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Vorrichtung zum Zugriff auf Dateien eines sicheren Fileservers
EP2360611B1 (en) 2010-01-22 2014-09-10 ST-Ericsson SA Secure environment management during switches between different modes of multicore systems
US20120204254A1 (en) * 2011-02-04 2012-08-09 Motorola Mobility, Inc. Method and apparatus for managing security state transitions
FR2979442B1 (fr) * 2011-08-29 2013-08-16 Inside Secure Microprocesseur protege contre le vidage de memoire
CN102521166B (zh) * 2011-12-05 2015-02-11 晶门科技(深圳)有限公司 信息安全协处理器及其内部存储空间的管理方法
KR20130101629A (ko) * 2012-02-16 2013-09-16 삼성전자주식회사 보안 실행 환경 지원 휴대단말에서 컨텐츠 출력 방법 및 장치
TW201407412A (zh) 2012-04-13 2014-02-16 Ologn Technologies Ag 基於電腦之安全交易之裝置、方法與系統
EP3561714B1 (en) 2012-04-13 2022-05-04 OLogN Technologies AG Secure zone for digital communications
GB2501470B (en) * 2012-04-17 2020-09-16 Advanced Risc Mach Ltd Management of data processing security in a secondary processor
US9432348B2 (en) 2012-04-20 2016-08-30 Ologn Technologies Ag Secure zone for secure purchases
CN103457922B (zh) * 2012-06-05 2017-01-25 腾讯科技(深圳)有限公司 电子认证客户端系统及处理方法、电子认证系统及方法
US9075751B2 (en) * 2012-08-09 2015-07-07 Intel Corporation Secure data protection with improved read-only memory locking during system pre-boot
EP2973180B1 (en) 2013-03-15 2020-01-15 OLogN Technologies AG Systems, methods and apparatuses for securely storing and providing payment information
GB2515047B (en) 2013-06-12 2021-02-10 Advanced Risc Mach Ltd Security protection of software libraries in a data processing apparatus
US9948640B2 (en) 2013-08-02 2018-04-17 Ologn Technologies Ag Secure server on a system with virtual machines
US9559840B2 (en) * 2013-10-18 2017-01-31 Globalfoundries Inc. Low-bandwidth time-embargoed content disclosure
US9489317B2 (en) 2014-09-26 2016-11-08 Apple Inc. Method for fast access to a shared memory
CN105447402A (zh) * 2014-09-28 2016-03-30 酷派软件技术(深圳)有限公司 数据处理方法和数据处理装置
CN104392188B (zh) * 2014-11-06 2017-10-27 三星电子(中国)研发中心 一种安全数据存储方法和系统
CN104378381A (zh) * 2014-11-27 2015-02-25 上海斐讯数据通信技术有限公司 智能终端企业邮件安全办公方法及系统
CN105631344B (zh) * 2015-04-30 2018-11-06 南京酷派软件技术有限公司 安全数据的访问控制方法及系统、终端
GB2539199B (en) * 2015-06-08 2018-05-23 Arm Ip Ltd Apparatus and methods for transitioning between a secure area and a less-secure area
GB2540388B (en) * 2015-07-15 2019-01-23 Advanced Risc Mach Ltd Secure mode state data access tracking
KR102130744B1 (ko) 2015-07-21 2020-07-06 삼성전자주식회사 전자 장치 및 이의 제어 방법
US10185678B1 (en) * 2015-10-30 2019-01-22 Amazon Technologies, Inc. Universal offloading engine
DE102016205289A1 (de) * 2016-03-31 2017-10-05 Siemens Aktiengesellschaft Verfahren, Prozessor und Gerät zur Integritätsprüfung von Nutzerdaten
CN106203182A (zh) * 2016-06-23 2016-12-07 努比亚技术有限公司 存储数据的装置及方法
US10423446B2 (en) 2016-11-28 2019-09-24 Arm Limited Data processing
US10552212B2 (en) * 2016-11-28 2020-02-04 Arm Limited Data processing
US10671426B2 (en) 2016-11-28 2020-06-02 Arm Limited Data processing
KR20180071679A (ko) * 2016-12-20 2018-06-28 삼성전자주식회사 사용자 단말 장치 및 그의 제어 방법
US10664413B2 (en) 2017-01-27 2020-05-26 Lear Corporation Hardware security for an electronic control unit
EP3376482B1 (en) * 2017-03-17 2022-06-22 Wincor Nixdorf International GmbH Document of value processing device and method for operating a document of value processing device
CN110647310B (zh) * 2018-06-26 2021-09-03 西安电子科技大学 一种用于生成Android设备真随机数的方法
CN108985098B (zh) * 2018-07-27 2020-10-13 杭州中天微系统有限公司 数据处理器
WO2020140261A1 (en) 2019-01-04 2020-07-09 Baidu.Com Times Technology (Beijing) Co., Ltd. Method and system for protecting data processed by data processing accelerators
EP3794771A4 (en) * 2019-01-04 2022-01-05 Baidu.com Times Technology (Beijing) Co., Ltd. PROCESS AND SYSTEM FOR DISTRIBUTION AND EXCHANGE OF KEYS FOR DATA PROCESSING ACCELERATORS
CN112334902A (zh) 2019-01-04 2021-02-05 百度时代网络技术(北京)有限公司 建立主机系统与数据处理加速器之间的安全信息交换信道的方法
CN112262547B (zh) 2019-01-04 2023-11-21 百度时代网络技术(北京)有限公司 具有安全单元以提供根信任服务的数据处理加速器
WO2020140269A1 (en) 2019-01-04 2020-07-09 Baidu.Com Times Technology (Beijing) Co., Ltd. Method and system for managing memory of data processing accelerators
US11328075B2 (en) 2019-01-04 2022-05-10 Baidu Usa Llc Method and system for providing secure communications between a host system and a data processing accelerator
EP3794477B1 (en) 2019-01-04 2023-05-10 Baidu.com Times Technology (Beijing) Co., Ltd. Method and system for validating kernel objects to be executed by a data processing accelerator of a host system
WO2020140260A1 (en) * 2019-01-04 2020-07-09 Baidu.Com Times Technology (Beijing) Co., Ltd. Method and system to derive a session key to secure an information exchange channel between a host system and a data processing accelerator
WO2020140267A1 (en) 2019-01-04 2020-07-09 Baidu.Com Times Technology (Beijing) Co., Ltd. A data processing accelerator having a local time unit to generate timestamps
CN112262545B (zh) 2019-01-04 2023-09-15 百度时代网络技术(北京)有限公司 主机系统与数据处理加速器之间的证明协议
KR20210016764A (ko) * 2019-08-05 2021-02-17 삼성전자주식회사 시스템 온 칩
US11343083B2 (en) * 2019-11-22 2022-05-24 Baidu Usa Llc Method for key sharing between accelerators in virtual channel
US11405336B2 (en) 2019-11-22 2022-08-02 Baidu Usa Llc Method for key sharing between accelerators in virtual channel with switch
US11558357B2 (en) * 2019-11-22 2023-01-17 Baidu Usa Llc Method for key sharing between accelerators with switch
US11552790B2 (en) * 2019-11-22 2023-01-10 Baidu Usa Llc Method for key sharing between accelerators
US11728996B2 (en) 2019-12-10 2023-08-15 Baidu Usa Llc System and method to securely broadcast a message to accelerators using virtual channels with switch
US12008149B2 (en) * 2020-12-16 2024-06-11 International Business Machines Corporation Method and system for on demand control of hardware support for software pointer authentification in a computing system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004287628A (ja) * 2003-03-20 2004-10-14 Kinotech Corp データベースシステム
JP2006033114A (ja) * 2004-07-13 2006-02-02 Nec Corp メタデータ送信装置及びメタデータ受信装置
JP2006506751A (ja) * 2002-11-18 2006-02-23 エイアールエム リミテッド 安全モードと非安全モードとを切り換えるプロセッサ
JP2006145852A (ja) * 2004-11-19 2006-06-08 Toshiba Corp モンゴメリ変換装置、演算装置、icカード、暗号装置、復号装置及びプログラム
JP2006340347A (ja) * 2005-06-03 2006-12-14 Tata Consultancy Services Ltd データに署名するための楕円曲線デジタル署名暗号プロセスを実行する認証システム
WO2007091492A1 (ja) * 2006-02-06 2007-08-16 Matsushita Electric Industrial Co., Ltd. セキュア処理装置、方法、プログラム

Family Cites Families (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5845327A (en) * 1995-05-03 1998-12-01 Apple Computer, Inc. Cache coherency where multiple processors may access the same data over independent access paths
US20020069316A1 (en) * 1998-04-15 2002-06-06 Mattison Phillip E. Method and apparatus for protecting flash memory
US6092202A (en) 1998-05-22 2000-07-18 N*Able Technologies, Inc. Method and system for secure transactions in a computer system
US6308255B1 (en) 1998-05-26 2001-10-23 Advanced Micro Devices, Inc. Symmetrical multiprocessing bus and chipset used for coprocessor support allowing non-native code to run in a system
JP4226760B2 (ja) 2000-05-08 2009-02-18 株式会社東芝 マイクロプロセッサ、これを用いたマルチタスク実行方法、およびマルチレッド実行方法
US6684305B1 (en) * 2001-04-24 2004-01-27 Advanced Micro Devices, Inc. Multiprocessor system implementing virtual memory using a shared memory, and a page replacement method for maintaining paged memory coherence
US20030172265A1 (en) * 2001-05-04 2003-09-11 Vu Son Trung Method and apparatus for secure processing of cryptographic keys
US7042842B2 (en) * 2001-06-13 2006-05-09 Computer Network Technology Corporation Fiber channel switch
US20030028751A1 (en) * 2001-08-03 2003-02-06 Mcdonald Robert G. Modular accelerator framework
EP1331539B1 (en) * 2002-01-16 2016-09-28 Texas Instruments France Secure mode for processors supporting MMU and interrupts
TW567418B (en) * 2002-04-24 2003-12-21 Via Tech Inc Interrupt signal generating method and media access controller utilizing same
US7203844B1 (en) * 2002-06-20 2007-04-10 Oxford William V Method and system for a recursive security protocol for digital copyright control
GB0215033D0 (en) * 2002-06-28 2002-08-07 Critical Blue Ltd Instruction set translation method
GB2396034B (en) 2002-11-18 2006-03-08 Advanced Risc Mach Ltd Technique for accessing memory in a data processing apparatus
GB0226874D0 (en) 2002-11-18 2002-12-24 Advanced Risc Mach Ltd Switching between secure and non-secure processing modes
US7117284B2 (en) * 2002-11-18 2006-10-03 Arm Limited Vectored interrupt control within a system having a secure domain and a non-secure domain
GB2396451B (en) * 2002-11-18 2005-12-07 Advanced Risc Mach Ltd Delivering data processing requests to a suspended operating system
GB2396930B (en) * 2002-11-18 2005-09-07 Advanced Risc Mach Ltd Apparatus and method for managing access to a memory
AU2003278342A1 (en) * 2002-11-18 2004-06-15 Arm Limited Security mode switching via an exception vector
KR100941104B1 (ko) 2002-11-18 2010-02-10 에이알엠 리미티드 데이터 처리 장치, 데이터 처리 방법 및 컴퓨터 프로그램을 기억한 컴퓨터 판독가능한 기억매체
US7509644B2 (en) * 2003-03-04 2009-03-24 Secure 64 Software Corp. Operating system capable of supporting a customized execution environment
US7073043B2 (en) * 2003-04-28 2006-07-04 International Business Machines Corporation Multiprocessor system supporting multiple outstanding TLBI operations per partition
JP2006526227A (ja) * 2003-05-23 2006-11-16 ワシントン ユニヴァーシティー Fpgaデバイスを使用するインテリジェントデータ記憶および処理
US7340547B1 (en) * 2003-12-02 2008-03-04 Nvidia Corporation Servicing of multiple interrupts using a deferred procedure call in a multiprocessor system
EP1542181A1 (en) * 2003-12-11 2005-06-15 Banksys S.A. Electronic data processing device
US7769950B2 (en) 2004-03-24 2010-08-03 Qualcomm Incorporated Cached memory system and cache controller for embedded digital signal processor
US7461268B2 (en) * 2004-07-15 2008-12-02 International Business Machines Corporation E-fuses for storing security version data
US20060064546A1 (en) * 2004-07-28 2006-03-23 Hiroshi Arita Microprocessor
US8230426B2 (en) * 2004-10-06 2012-07-24 Digipede Technologies, Llc Multicore distributed processing system using selection of available workunits based on the comparison of concurrency attributes with the parallel processing characteristics
US8332653B2 (en) * 2004-10-22 2012-12-11 Broadcom Corporation Secure processing environment
US7793083B2 (en) * 2004-11-26 2010-09-07 Panasonic Corporation Processor and system for selectively disabling secure data on a switch
GB2422926B (en) * 2005-02-04 2008-10-01 Advanced Risc Mach Ltd Data processing apparatus and method for controlling access to memory
US8788787B2 (en) * 2005-03-02 2014-07-22 The Boeing Company Systems, methods and architecture for facilitating software access to acceleration technology
US7849311B2 (en) * 2005-03-15 2010-12-07 Silicon Graphics International Computer system with dual operating modes
FR2884628A1 (fr) * 2005-04-18 2006-10-20 St Microelectronics Sa Procede de traitement d'interruptions non securisees par un processeur operant dans le mode securise, processeur associe.
WO2006126686A1 (ja) 2005-05-26 2006-11-30 Matsushita Electric Industrial Co., Ltd. データ処理装置
JP4850830B2 (ja) * 2005-06-01 2012-01-11 パナソニック株式会社 コンピュータシステム及びプログラム生成装置
WO2006131921A2 (en) * 2005-06-08 2006-12-14 Discretix Technologies Ltd. Method, device, and system of maintaining a context of a secure execution environment
US7765399B2 (en) * 2006-02-22 2010-07-27 Harris Corporation Computer architecture for a handheld electronic device
US9158941B2 (en) * 2006-03-16 2015-10-13 Arm Limited Managing access to content in a data processing apparatus
US20080034350A1 (en) * 2006-04-05 2008-02-07 Conti Gregory R System and Method for Checking the Integrity of Computer Program Code
JP2007304847A (ja) 2006-05-11 2007-11-22 Megachips Lsi Solutions Inc メモリ装置
US7984301B2 (en) * 2006-08-17 2011-07-19 Inside Contactless S.A. Bi-processor architecture for secure systems
US8190917B2 (en) * 2006-09-12 2012-05-29 International Business Machines Corporation System and method for securely saving and restoring a context of a secure program loader
US7650479B2 (en) * 2006-09-20 2010-01-19 Arm Limited Maintaining cache coherency for secure and non-secure data access requests
US7971104B2 (en) * 2006-10-24 2011-06-28 Shlomi Dolev Apparatus and methods for stabilization of processors, operating systems and other hardware and/or software configurations
US8356361B2 (en) * 2006-11-07 2013-01-15 Spansion Llc Secure co-processing memory controller integrated into an embedded memory subsystem
US8296581B2 (en) * 2007-02-05 2012-10-23 Infineon Technologies Ag Secure processor arrangement having shared memory
US7827383B2 (en) * 2007-03-09 2010-11-02 Oracle America, Inc. Efficient on-chip accelerator interfaces to reduce software overhead
US20080263621A1 (en) * 2007-04-17 2008-10-23 Horizon Semiconductors Ltd. Set top box with transcoding capabilities
US8209550B2 (en) * 2007-04-20 2012-06-26 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for protecting SIMLock information in an electronic device
US8479020B2 (en) * 2007-07-25 2013-07-02 Motorola Mobility Llc Method and apparatus for providing an asymmetric encrypted cookie for product data storage
US7827326B2 (en) * 2007-11-26 2010-11-02 Alcatel-Lucent Usa Inc. Method and apparatus for delegation of secure operating mode access privilege from processor to peripheral
US9361440B2 (en) * 2007-12-21 2016-06-07 Apple Inc. Secure off-chip processing such as for biometric data

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006506751A (ja) * 2002-11-18 2006-02-23 エイアールエム リミテッド 安全モードと非安全モードとを切り換えるプロセッサ
JP2004287628A (ja) * 2003-03-20 2004-10-14 Kinotech Corp データベースシステム
JP2006033114A (ja) * 2004-07-13 2006-02-02 Nec Corp メタデータ送信装置及びメタデータ受信装置
JP2006145852A (ja) * 2004-11-19 2006-06-08 Toshiba Corp モンゴメリ変換装置、演算装置、icカード、暗号装置、復号装置及びプログラム
JP2006340347A (ja) * 2005-06-03 2006-12-14 Tata Consultancy Services Ltd データに署名するための楕円曲線デジタル署名暗号プロセスを実行する認証システム
WO2007091492A1 (ja) * 2006-02-06 2007-08-16 Matsushita Electric Industrial Co., Ltd. セキュア処理装置、方法、プログラム

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9857987B2 (en) 2010-06-24 2018-01-02 International Business Machines Corporation Hierarchical pre-fetch pipelining in a hybrid memory server
US8898324B2 (en) 2010-06-24 2014-11-25 International Business Machines Corporation Data access management in a hybrid memory server
US9933949B2 (en) 2010-06-24 2018-04-03 International Business Machines Corporation Data access management in a hybrid memory server
US9952774B2 (en) 2010-06-24 2018-04-24 International Business Machines Corporation Hierarchical pre-fetch pipelining in a hybrid memory server
US8954490B2 (en) 2010-06-24 2015-02-10 International Business Machines Corporation Speculative and coordinated data access in a hybrid memory server
US9069977B2 (en) 2010-06-24 2015-06-30 International Business Machines Corporation Hybrid server with heterogeneous memory
US9418235B2 (en) 2010-06-24 2016-08-16 International Business Machines Corporation Hierarchical pre-fetch pipelining in a hybrid memory server
US9542322B2 (en) 2010-06-24 2017-01-10 International Business Machines Corporation Data access management in a hybrid memory server
US10831375B2 (en) 2010-06-24 2020-11-10 International Business Machines Corporation Hierarchical pre-fetch pipelining in a hybrid memory server
JP2013531296A (ja) * 2010-06-24 2013-08-01 インターナショナル・ビジネス・マシーンズ・コーポレーション ハイブリッド・メモリ・サーバにおけるデータ・アクセス管理
US8914528B2 (en) 2010-06-24 2014-12-16 International Business Machines Corporation Multiplexing users and enabling virtualization on a hybrid system
US10222999B2 (en) 2010-06-24 2019-03-05 International Business Machines Corporation Hierarchical pre-fetch pipelining in a hybrid memory server
US10228863B2 (en) 2010-06-24 2019-03-12 International Business Machines Corporation Hierarchical pre-fetch pipelining in a hybrid memory server
US10235051B2 (en) 2010-06-24 2019-03-19 International Business Machines Corporation Data access management in a hybrid memory server
US10452276B2 (en) 2010-06-24 2019-10-22 International Business Machines Corporation Hierarchical pre-fetch pipelining in a hybrid memory server
US10585593B2 (en) 2010-06-24 2020-03-10 International Business Machines Corporation Data access management in a hybrid memory server
US10592118B2 (en) 2010-06-24 2020-03-17 International Business Machines Corporation Hierarchical pre-fetch pipelining in a hybrid memory server
JP2012089138A (ja) * 2010-10-21 2012-05-10 Arm Ltd 非セキュアドメインの中に表示される対象画像のためのセキュリティ対策

Also Published As

Publication number Publication date
CN101477612B (zh) 2015-09-09
GB2458182A (en) 2009-09-09
JP5091877B2 (ja) 2012-12-05
GB2458182B (en) 2011-12-21
CN101477612A (zh) 2009-07-08
GB0820711D0 (en) 2008-12-17
US20090172411A1 (en) 2009-07-02
US8775824B2 (en) 2014-07-08

Similar Documents

Publication Publication Date Title
JP5091877B2 (ja) セキュアモードおよびノンセキュアモードでデータを処理するデータプロセッサを含むデータ処理装置及びデータ処理方法
US8332660B2 (en) Providing secure services to a non-secure application
US6957335B2 (en) Initializing, maintaining, updating and recovering secure operation within an integrated system employing a data access control function
KR100550593B1 (ko) 마이크로프로세서
US8190917B2 (en) System and method for securely saving and restoring a context of a secure program loader
EP2062191B1 (en) System and method for securely restoring a program context from a shared memory
US10223290B2 (en) Processing device with sensitive data access mode
US9116741B2 (en) Computer program product, and information processing apparatus and method
JP5081056B2 (ja) キャッシュ共用処理間の情報漏洩削減
GB2578410A (en) Computer system software/firmware and a processor unit with a security module
US20060075236A1 (en) Method and apparatus for high assurance processing
KR20220080126A (ko) 프로세서에서 하이퍼바이저 보안 이벤트 핸들링
CA2638979C (en) Initializing, maintaining, updating and recovering secure operation within an integrated system employing a data access control function

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110214

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120904

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120914

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150921

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 5091877

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees