專利名稱：一種cpu取指令異常的安全處理方法和電路的制作方法
一種CPU取指令異常的安全處理方法和電路技術(shù)領(lǐng)域
本發(fā)明主要應(yīng)用于各種智能卡芯片的安全訪問控制系統(tǒng)中。
技術(shù)背景
隨著智能卡技術(shù)的快速發(fā)展，其以優(yōu)越的便利性和安全性，逐漸應(yīng)用到各個(gè)行業(yè)中，包括電子證件、移動通信、金融支付、身份識別、公交、加油等。但是伴隨著智能卡應(yīng)用的開放性，其工作環(huán)境也變得多種多樣，對安全性和穩(wěn)定性也提出了越來越高的挑戰(zhàn)。
智能卡芯片經(jīng)常會處于惡劣的外部工作環(huán)境下，如電源不穩(wěn)定、時(shí)鐘頻率干擾等， 特別是芯片上下電過程或者熱插拔過程，外部各管腳輸入的電信號常常會發(fā)生畸變；有時(shí)芯片還會遭到攻擊者的惡意破壞，如各種故障注入攻擊、物理攻擊等。這些非正常的工作條件都可能會使得系統(tǒng)工作流程出現(xiàn)混亂，最常見的就是CPU的程序指針出錯(cuò)，從而出現(xiàn)取指令異常的情形。如果處理不好將會出現(xiàn)以下幾種問題
1、程序運(yùn)行路徑不可控，會異常地運(yùn)行到特殊程序區(qū)，如NVM擦寫程序區(qū)，從而觸發(fā)NVM的擦除或編程操作，導(dǎo)致NVM代碼或數(shù)據(jù)混亂；
2、程序運(yùn)行路徑不可控，還有可能異常運(yùn)行到非授權(quán)區(qū)域，泄漏內(nèi)部敏感信息；
3、程序運(yùn)行路徑不可控，還有可能無法正常使能安全控制單元，使得芯片工作于一種不安全的狀態(tài)下，容易被攻擊者利用。
面對上述問題，現(xiàn)在常用的處理方法有以下兩種
1、當(dāng)發(fā)生取指令違反的時(shí)候，會觸發(fā)一個(gè)異常中斷請求，中斷控制器通過預(yù)先定義的中斷優(yōu)先級和中斷向量表，執(zhí)行對應(yīng)的中斷服務(wù)程序，由軟件來靈活決定對此取指令違反的處理行為，可以對系統(tǒng)復(fù)位，也可以對系統(tǒng)死鎖。這種方法的缺點(diǎn)是必須占用有效的中斷資源，且需要定義中斷向量表，開發(fā)中斷服務(wù)程序軟件，對用戶程序的接口不夠友好。
2、當(dāng)發(fā)生取指令違反的時(shí)候，會觸發(fā)一個(gè)系統(tǒng)復(fù)位請求，通過復(fù)位控制電路處理使得系統(tǒng)自動回到安全初始狀態(tài)。這種方法的缺點(diǎn)是必須對復(fù)位電路進(jìn)行特殊處理，會增加復(fù)位控制系統(tǒng)的復(fù)雜度，且處理方法不夠靈活。
本發(fā)明所公開的CPU取指令異常的安全處理方法，就是利用CPU的指令系統(tǒng)資源， 在不增加系統(tǒng)額外開銷的基礎(chǔ)上，通過存儲器安全訪問控制，就能夠很好地解決上述工作穩(wěn)定性和安全性的諸多問題，而且對于三種異常處理，使用統(tǒng)一特殊指令碼的設(shè)計(jì)方法，不需要付出額外硬件代價(jià)，用戶軟件接口也不需要額外處理。發(fā)明內(nèi)容
本發(fā)明解決的問題是當(dāng)智能卡芯片系統(tǒng)在不穩(wěn)定或不安全的工作環(huán)境下，出現(xiàn)內(nèi)部CPU運(yùn)行混亂而導(dǎo)致取指令異常時(shí)，仍能夠保證系統(tǒng)處于一個(gè)固定的安全狀態(tài)。
為解決上述問題，本發(fā)明利用CPU指令系統(tǒng)中的特殊指令，當(dāng)取指令時(shí)，存儲訪問控制電路檢測到異常，自動返回特殊指令的編碼如復(fù)位指令、自跳轉(zhuǎn)指令、中斷指令，使得系統(tǒng)處于復(fù)位狀態(tài)或自鎖狀態(tài)，避免出現(xiàn)執(zhí)行混亂的情況。其技術(shù)方案參考圖1所示的CPU取指令異常安全控制系統(tǒng)框圖，具體包括如下部分
1、異常探測電路(Exception Detector)對CPU取指令訪問的合法性進(jìn)行判斷，正常情況返回0，錯(cuò)誤情況下返回1 ；
2、指令碼選擇器根據(jù)異常探測電路的返回值，決定返回的指令碼是自定義的特殊指令碼，還是存儲器讀出的指令碼；
3、CPU 取指令電路(Instruction Fetching)獲取存儲器接口電路(Memory Interface)返回的指令碼后，由CPU譯碼電路進(jìn)行譯碼，并根據(jù)返回指令碼類型進(jìn)行相應(yīng)的操作，不管是正常的指令碼還是異常處理指令碼都屬于CPU指令系統(tǒng)的一部分。
本發(fā)明與現(xiàn)有技術(shù)相比，有以下優(yōu)點(diǎn)
充分利用了 CPU指令系統(tǒng)的已有資源，僅僅通過存儲器安全訪問控制電路，在取指令異常時(shí)返回特殊指令碼，就可以達(dá)到解決取指令異常的安全問題。


圖1是CPU取指令異常安全控制系統(tǒng)框圖
圖2是CPU取指令異常復(fù)位處理時(shí)序圖
圖3是CPU取指令異常自跳轉(zhuǎn)死鎖處理時(shí)序圖
圖4是CPU取指令異常中斷處理時(shí)序圖具體實(shí)施方式
下面，結(jié)合附圖和實(shí)施例子對本發(fā)明提出的CPU取指令異常的安全處理方法做進(jìn)一步的描述。
從圖1可以看出，本發(fā)明的CPU取指令異常安全控制系統(tǒng)包括異常探測電路 102 (Exception Detector)、存儲器接口 電路 103 (Memory Interface)、特殊指令碼 104 以及指令碼選擇器105。以下分別進(jìn)行詳細(xì)描述
1、異常探測電路102，能夠根據(jù)CPU取指令電路101發(fā)出的取指令請求和取指令地址進(jìn)行判斷，判斷其取指令的請求是否合法，如果是正常的取指令操作則返回正常狀態(tài)0， 如果是異常的取指令操作則返回違法狀態(tài)，并以此狀態(tài)作為指令碼選擇器的控制輸入；
2、特殊指令碼產(chǎn)生器104，會根據(jù)配置要求，輸出幾種CPU指令系統(tǒng)中特殊的指令編碼，如復(fù)位指令、自跳轉(zhuǎn)指令或中斷指令，軟件開發(fā)時(shí)可以靈活選擇；
3、指令碼選擇器105，根據(jù)異常探測電路的返回值，決定返回的指令碼是自定義的特殊指令碼，還是存儲器讀出的指令碼；
4、存儲器接口電路104，負(fù)責(zé)與CPU取指令電路的接口，按照與CPU要求的時(shí)序把指令碼選擇器輸出的指令碼數(shù)據(jù)返回給CPU取指令電路，并由CPU進(jìn)行譯碼處理；
5、如果系統(tǒng)定義異常處理使用軟復(fù)位的方法，則在判斷的取指令出現(xiàn)違法的時(shí)候，自動返回軟復(fù)位指令給CPU，CPU譯碼后將會產(chǎn)生復(fù)位請求，并自動復(fù)位內(nèi)部所有電路， CPU的程序指針則會重新回到默認(rèn)狀態(tài)，從0000地址開始取指令，保證從異常的狀態(tài)恢復(fù)出來，參考圖2的處理時(shí)序6、如果系統(tǒng)定義異常處理使用自跳轉(zhuǎn)死鎖的方法，則在判斷的取指令出現(xiàn)違法的時(shí)候，自動返回自跳轉(zhuǎn)指令給CPU，CPU譯碼后將會產(chǎn)生重新向原來的錯(cuò)誤PC地址取指令，再次觸發(fā)原來相同的違法操作，繼續(xù)再次向原來的錯(cuò)誤PC地址取指令，從而達(dá)到程序死鎖的目的，保證不會產(chǎn)生進(jìn)一步的異常，參考圖3的處理時(shí)序 7、如果系統(tǒng)定義異常處理使用中斷的方法，則在判斷的取指令出現(xiàn)違法的時(shí)候， 自動返回不可屏蔽的中斷請求指令給CPU，CPU譯碼后將會響應(yīng)此中斷，根據(jù)中斷類型向中斷向量表取指令，并在中斷服務(wù)程序中對此異常進(jìn)行自定義安全處理，從而達(dá)到從異常的狀態(tài)恢復(fù)出來的目的，參考圖4的處理時(shí)序圖。
權(quán)利要求
1.一種CPU取指令異常的安全處理電路，其特征在于包括CPU取指令電路、異常探測電路、特殊指令碼產(chǎn)生器、指令碼選擇器、存儲器接口電路、程序存儲器，其中異常探測電路根據(jù)CPU取指令電路發(fā)出的取指令請求和取指令地址進(jìn)行判斷，判斷其取指令的請求是否合法，如果是正常的取指令操作則返回正常狀態(tài)，如果是異常的取指令操作則返回違法狀態(tài)，并以此狀態(tài)作為指令碼選擇器的控制輸入；特殊指令碼產(chǎn)生器根據(jù)配置要求，輸出CPU指令系統(tǒng)中特殊的指令編碼；指令碼選擇器根據(jù)異常探測電路的返回值，決定返回的指令碼是CPU指令系統(tǒng)中特殊的指令編碼，還是程序存儲器讀出的指令碼；存儲器接口電路負(fù)責(zé)與CPU取指令電路的接口，按照與CPU要求的時(shí)序把指令碼選擇器輸出的指令碼數(shù)據(jù)返回給CPU取指令電路，并由CPU進(jìn)行譯碼處理。
2.—種CPU取指令異常的安全處理方法，應(yīng)用于如權(quán)利要求1所述的電路中，其特征是利用已知CPU指令系統(tǒng)中定義的特殊指令，當(dāng)從程序存儲器中取指令出現(xiàn)異常的時(shí)候，存儲器訪問控制系統(tǒng)自動返回特殊指令對應(yīng)的編碼數(shù)據(jù)，使得CPU執(zhí)行已預(yù)先設(shè)定類型的指令。
3.如權(quán)利要求2所述的一種CPU取指令異常的安全處理方法，其特征在于CPU指令系統(tǒng)的特殊指令有復(fù)位指令、自跳轉(zhuǎn)指令、中斷指令。
4.如權(quán)利要求2所述的一種CPU取指令異常的安全處理方法，其特征在于，CPU執(zhí)行已預(yù)先設(shè)定類型的指令后，根據(jù)系統(tǒng)定義異常處理使用的方法，系統(tǒng)進(jìn)入以下幾種狀態(tài)1)如果系統(tǒng)定義異常處理使用軟復(fù)位的方法，則在判斷的取指令出現(xiàn)違法的時(shí)候，自動返回軟復(fù)位指令給CPU，CPU譯碼后將會產(chǎn)生復(fù)位請求，并自動復(fù)位內(nèi)部所有電路，CPU的程序指針則會重新回到默認(rèn)狀態(tài)，系統(tǒng)會產(chǎn)生復(fù)位從而程序從頭開始運(yùn)行，保證系統(tǒng)從異常的工作狀態(tài)恢復(fù)出來；2)如果系統(tǒng)定義異常處理使用自跳轉(zhuǎn)死鎖的方法，則在判斷的取指令出現(xiàn)違法的時(shí)候，自動返回自跳轉(zhuǎn)指令給CPU，CPU譯碼后將會產(chǎn)生重新向原來的錯(cuò)誤PC地址取指令，再次觸發(fā)原來相同的違法操作，繼續(xù)再次向原來的錯(cuò)誤PC地址取指令，從而達(dá)到程序死鎖的目的，保證不會產(chǎn)生進(jìn)一步的異常；3)如果系統(tǒng)定義異常處理使用中斷的方法，則在判斷的取指令出現(xiàn)違法的時(shí)候，自動返回不可屏蔽的中斷請求指令給CPU，CPU譯碼后將響應(yīng)此中斷，根據(jù)中斷類型向中斷向量表取指令，并在中斷服務(wù)程序中對此異常進(jìn)行自定義安全處理，從而達(dá)到從異常的狀態(tài)恢復(fù)出來的目的。
5.如權(quán)利要求2所述的一種CPU取指令異常的安全處理方法，其特征在于，特殊指令還包括任何能夠使得系統(tǒng)處于一種穩(wěn)定工作狀態(tài)的指令。
6.如權(quán)利要求2所述的一種CPU取指令異常的安全處理方法，其特征在于，取指令異常情況下特殊指令碼的選擇能做到軟件配置。
全文摘要
本發(fā)明是一種CPU取指令異常的安全處理方法，主要應(yīng)用于智能卡的存儲器安全訪問控制系統(tǒng)中。當(dāng)系統(tǒng)由于外界條件干擾出現(xiàn)運(yùn)行混亂而訪問非授權(quán)程序區(qū)時(shí)，或者攻擊者故意訪問非授權(quán)程序區(qū)時(shí)，安全訪問控制系統(tǒng)將會根據(jù)預(yù)先設(shè)置的權(quán)限列表，檢測到出現(xiàn)的取指令異常，并且對其不合法的取指令操作返回一個(gè)特殊的指令碼，在CPU執(zhí)行完成此指令碼后，會使得芯片進(jìn)入到一個(gè)固定的安全狀態(tài)，從而避免系統(tǒng)運(yùn)行異常導(dǎo)致的數(shù)據(jù)丟失、敏感信息泄露以及被攻擊者操縱。
文檔編號G06F11/07GK102541673SQ20101062229
公開日2012年7月4日 申請日期2010年12月27日 優(yōu)先權(quán)日2010年12月27日
發(fā)明者葉茵, 李坤 申請人:北京中電華大電子設(shè)計(jì)有限責(zé)任公司