[发明专利]数据处理器

说明书

本发明提供一种数据处理器，所述数据处理器包括可信内核和非可信内核，所述可信内核包括可信内核普通用户堆栈、可信内核超级用户堆栈和可信内核控制寄存器；所述非可信内核包括非可信内核普通用户堆栈、非可信内核超级用户堆栈和非可信内核控制寄存器；所述可信内核和所述非可信内核共享公用资源，所述公用资源，能够被所述可信内核和所述非可信内核访问。本发明通过虚拟内核的设计为数据安全提供了底层硬件保护机制，而且内核切换时通过将当前现场统一保存至当前内核超级用户堆栈的机制使得返回当前内核时无需考虑当前内核的用户模式，使得堆栈操作简化高效。

技术领域

本发明涉及数据安全技术领域，尤其涉及一种数据处理器。

背景技术

在移动互联网以及物联网领域，数据处理器的系统安全正在变得越来越重要，传统基于软件层面的安全保护，在很多情况下已经无法给系统提供足够的安全性，黑客可以攻击操作系统从而越过软件保护，对敏感的软硬件资源进行攻击或者窃取。

传统的数据处理器安全保护机制是通过超级用户和普通用户来区分寄存器的使用权限和能够执行的指令范围，而并非进行硬件隔离保护，由于超级用户和普通用户来控制访问权限更多的由操作系统完成，因而这种传统安全机制更偏向于软件层面的保护。一旦攻击者成功攻击操作系统就可绕过软件的保护机制，敏感信息变得容易获取。

在实现本发明的过程中，发明人发现现有技术中至少存在如下技术问题：

现有数据处理器的安全保护机制缺乏对敏感信息进行硬件隔离保护，因此，有必要提供一种基于数据处理器的底层硬件保护机制。

发明内容

本发明提供的数据处理器，通过虚拟内核的设计为数据安全提供了底层硬件保护机制，而且内核切换时通过将当前现场统一保存至当前内核超级用户堆栈的机制使得内核切换调用或者中断响应后返回当前内核时无需考虑所述当前内核所处的用户模式，使得堆栈操作简化高效。

本发明提供一种数据处理器，所述数据处理器包括可信内核和非可信内核，所述可信内核包括可信内核普通用户堆栈、可信内核超级用户堆栈和可信内核控制寄存器；所述非可信内核包括非可信内核普通用户堆栈、非可信内核超级用户堆栈和非可信内核控制寄存器；所述可信内核和所述非可信内核共享公用资源，所述公用资源，能够被所述可信内核和所述非可信内核访问；

所述数据处理器，用于当所述数据处理器的当前内核为所述可信内核时将所述公用资源保存至所述可信内核超级用户堆栈中，进行内核切换以在所述非可信内核中执行相应处理，返回所述可信内核并将所述公用资源从所述可信内核超级用户堆栈中恢复；或者，当所述数据处理器的当前内核为所述非可信内核时将所述公用资源保存至所述非可信内核超级用户堆栈中，进行内核切换以在所述可信内核中执行相应处理，返回所述非可信内核并将所述公用资源从所述非可信内核超级用户堆栈中恢复。

可选地，所述公用资源包括程序指针、程序状态寄存器和通用寄存器。

可选地，所述内核切换通过内核切换调用方式来实现。

可选地，所述内核切换通过中断响应方式来实现。

可选地，所述数据处理器，用于当所述数据处理器在当前的非可信内核进行内核切换调用时将所述程序指针、所述程序状态寄存器和所述通用寄存器压栈到所述非可信内核超级用户堆栈，进行内核切换以在所述可信内核中执行调用处理，待完成所述调用处理后返回至所述非可信内核并将所述程序指针、所述程序状态寄存器和所述通用寄存器从所述非可信内核超级用户堆栈中弹栈以恢复非可信现场。

可选地，所述数据处理器还用于当所述数据处理器在当前的可信内核进行内核切换调用时将所述程序指针、所述程序状态寄存器和所述通用寄存器压栈到所述可信内核超级用户堆栈，进行内核切换以在所述非可信内核中执行相应处理，返回所述可信内核并将所述程序指针、所述程序状态寄存器和所述通用寄存器从所述可信内核超级用户堆栈中弹栈以恢复可信现场。