亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

信息處理設備,恢復設備,程序和恢復方法

文檔序號:6567778閱讀:219來源:國知局
專利名稱:信息處理設備,恢復設備,程序和恢復方法
技術領域
本發(fā)明涉及由多個處理器形成的信息處理設備,具體涉及一種信 息處理設備、恢復設備、程序和恢復方法,該信息處理設備包括具有 處理器的域,該處理器能夠執(zhí)行從外部獲得的附加處理操作。
背景技術
在移動電話等信息通信終端設備中,用于實現(xiàn)終端設備基本功能 (例如,呼叫處理功能、用于互聯(lián)網(wǎng)訪問的瀏覽功能、電子郵件功能、 屏幕控制功能等)的基本處理通常是預先與操作系統(tǒng)安裝在一起的, 而除上述基本處理之外的其他附加處理(程序)是通過用戶操作等從 例如網(wǎng)絡等外部下載到終端設備中,并執(zhí)行以實現(xiàn)安裝的。然而,當 執(zhí)行下載的附加處理時,操作系統(tǒng)、基本處理等可能容易受到附加處 理的攻擊。
圖42是示出了信息通信終端設備的典型結構的一個示例的示意 圖,其中信息通信終端設備執(zhí)行下載的附加處理。圖42中示意性地示 出了典型的現(xiàn)有設備結構框圖。下面將描述如下情況附加處理是由 本機代碼(native code)(在提供方端編譯或經(jīng)過匯編處理的二進制代 碼)提供的應用程序或設備驅(qū)動器(發(fā)出訪問設備的請求和對來自設
備的中斷進行處理的軟件,也被稱為"i/o驅(qū)動器")。
在圖42所示的結構中,當下載并執(zhí)行附加處理23時(在附加處 理23是設備驅(qū)動器的情況下,當該處理合并到操作系統(tǒng)中并被執(zhí)行 時),基本操作22、操作系統(tǒng)(稱作"OS") 21、 CPU (控制處理單元)
10、存儲器50和輸入/輸出設備(I/O) 60可能受到附加處理23的直 接攻擊。這是因為沒有安裝任何裝置來限制附加處理23對基本處理 22、 CPU 10、 OS 21、存儲器50或輸入輸出設備(I/O)的攻擊,以 實現(xiàn)安全的執(zhí)行環(huán)境。具體而言,在圖42所示結構的情況下,認為附 加處理23能夠任意地向基本處理22、 OS 21、 CPU 10、存儲器50和 輸入/輸出設備60發(fā)出處理請求,并被允許自由地訪問每一個硬件或 軟件資源。由此,允許了惡意的附加處理23 (或無惡意但受到病毒等 發(fā)生的附加處理)自由地攻擊毫無防備的OS 21和基本處理22等。
例如,存在如下情況附加設備驅(qū)動器合并到OS21內(nèi)核中,作 為駐留驅(qū)動器。在這種情況下,該設備驅(qū)動器的可靠性將直接影響OS 21的可靠性和性能。從設備驅(qū)動器的屬性也清楚可見,程序驅(qū)動器包 括處理對設備的設置和在來自設備的中斷時要由調(diào)度程序啟動的中斷 服務,并且由于處理性能,中斷服務的執(zhí)行時間(在此期間禁止時間 重調(diào)度)限制為非常短(例如,少于l毫秒)的時間。換言之,如果 附加設備驅(qū)動器是具有惡意的驅(qū)動器,則信息處理設備的處理性能可 能很容易降低。對于并非駐留驅(qū)動器的可加載驅(qū)動器(可選擇向存儲 器加載或從存儲器卸載的驅(qū)動器)也是如此。因此,當作為附加處理 而安裝的惡意驅(qū)動器發(fā)起攻擊時,OS 21的內(nèi)核受到直接的致命攻擊 (基本上無法進行操作)。
在上述情況下,目前提出了多種設計構架,通過限制下載的附加 處理的執(zhí)行環(huán)境來保護基本處理等。下面,將對照幾個典型示例進行 概述。
圖43是示出了一個典型結構示例的圖,該結構提供了通過軟件 保護附加處理的執(zhí)行的環(huán)境。在圖43所示的示例中,由本機代碼實現(xiàn) 的附加處理23設計為在虛擬機24上執(zhí)行。例如,假設附加處理23 是用JAVA (注冊商標)字節(jié)代碼描述的,下載的JAVA (注冊商標) 字節(jié)代碼將在形成虛擬機24的JVM (JAVA (注冊商標)虛擬機)上 執(zhí)行。
在這種結構中,在軟件上將基本處理22、 OS 21等與附加處理23 相分離,以確保它們的安全。具體而言,附加處理23只通過虛擬機
24訪問OS 21、 CPU 10、存儲器50、 I/O 60等。通常,虛擬機24是 不被授權在OS21的內(nèi)核模式下執(zhí)行操作(例如,執(zhí)行特許指令)等 的,所以不允許附加處理23直接操作OS 21。此外,因為虛擬機24 通常以解釋程序模式執(zhí)行附加處理23的指令代碼,所以容易監(jiān)控附加 處理23的指令/操作的適當性,并且例如通過限制附加處理23對硬件 資源和軟件資源的未授權訪問(例如,在網(wǎng)絡或屏幕等上輸出多個數(shù) 據(jù)),允許虛擬機23用作保護過濾器或保護屏障器、或者從軟件方面 來說用作保護門。因此,在軟件上通過虛擬機24將基本處理22、 OS 21等與附加處理23分離開來。
但是,圖43所示的虛擬機系統(tǒng)具有如下問題。
當下載的附加處理23通過漏洞(例如,安全漏洞)攻擊虛擬機 24時,系統(tǒng)安全將受到破壞。
此外,因為諸如JAVA (注冊商標)虛擬機等虛擬機24—般采用 逐指令地解釋和執(zhí)行JAVA (注冊商標)字節(jié)代碼等指令代碼的解釋 程序方法,所以其執(zhí)行速率比較低。
此外,雖然虛擬機24在執(zhí)行附加處理23時通過發(fā)出系統(tǒng)調(diào)用, 向OS21進行處理請求,但是由于系統(tǒng)調(diào)用的開銷較高,所以處理執(zhí) 行速度較慢。例如,在虛擬機24中,發(fā)出與附加處理23的一條指令 相對應的一個或多個系統(tǒng)調(diào)用。執(zhí)行一系列這種控制會產(chǎn)生較高的開 銷,例如通過發(fā)出系統(tǒng)調(diào)用從用戶模式到系統(tǒng)模式的上下文切換、在 OS 21的系統(tǒng)調(diào)用進入單元處對系統(tǒng)調(diào)用分組數(shù)據(jù)的解碼、對參數(shù)等 的驗證檢查(錯誤檢測處理)、處理的分配(分派)、在處理結束時傳 輸處理結果、上下文切換、從內(nèi)核空間向用戶空間的切換等。
在圖43所示結構的情況下,無法將作為附加處理23的設備驅(qū)動 器合并到OS21中。從圖43清楚可見,虛擬機24位于OS21之上的 上層。當虛擬機24構造為基于附加處理23的代碼向OS 21發(fā)出處理 請求、接收來自OS 21的處理結果并在需要時向附加處理23返回該 結果時,將作為設備驅(qū)動器的附加處理合并到OS21中需要將控制附 加處理的執(zhí)行的虛擬機也合并到OS 21中,理論上來說,圖43所示 的虛擬機系統(tǒng)中無法實現(xiàn)上述結構。
例如,圖44示出了作為另一種軟件安全性管理系統(tǒng)的已知結構。 如圖44所示,將附加處理23下載到終端(信息處理設備)中,附加 處理23上附著有證書25,用于證明該附加處理23是可信任的。終端 方構造為檢查所附證書25的內(nèi)容,并在認證所附證書25是正確證書 時,允許安裝并運行下載的附加處理23??梢允褂脭?shù)字簽名(ITU-T XS09)作為證書25。例如,利用要證明的組織及其公鑰以及證書25 中存儲的CA (證明授權)(用CA的秘密密鑰對要證明的組織或公鑰 進行加密)數(shù)據(jù)簽名,在認證該證書時,用CA公鑰對CA —部分數(shù) 字簽名進行解碼,以檢査解碼的內(nèi)容是否符合證書的數(shù)據(jù)內(nèi)容,并在 兩者彼此符合時確定證書數(shù)據(jù)是可靠的。備選地,只要證書25證明真 實的出售方,證書25可以是任意證書。例如,在Windows (注冊商 標)2000上也安裝有設備驅(qū)動器的驅(qū)動器簽名。
在圖44所示系統(tǒng)的情況下,可以通過本機代碼提供附加處理23, 這能夠進行比圖43所示的虛擬機系統(tǒng)高速的運行。應用程序和設備驅(qū) 動器也可以作為附加處理23運行。但是,系統(tǒng)可靠性完全依賴于附加 處理23的安全性。換言之,當附加處理23有預先未覺察到的問題時, 系統(tǒng)可能受到致命破壞。
圖45是示出了通過軟件執(zhí)行安全性管理的處理器結構的圖。參 照圖45, CPU 11具有安全模式12和非安全模式13,下載的附加處理 23和對應于附加處理23的OS 21B主要運行在非安全模式13下。存 儲器管理單元14與在安全模式12下訪問的存儲區(qū)(地址空間)相分 離地管理在非安全模式13下訪問的存儲區(qū),從而禁止在非安全模式 13下對安全模式12下的存儲區(qū)進行訪問。換言之,存儲器管理單元 14執(zhí)行對非安全模式13的存儲器訪問控制,并禁止在非安全模式13 下對安全模式12下的存儲區(qū)進行訪問。
因此,在圖45所示的結構中,在安全模式12下執(zhí)行基本處理22, 虛擬地將執(zhí)行附加處理23的CPU與另一 CPU相分離,從而提高安全 性。
但是,在CPU上,安全模式和非安全模式是以時分形式執(zhí)行的, 并且除非是從非安全模式返回的,否則不執(zhí)行安全模式下的系統(tǒng)操作。
此外,因為非安全模式和安全模式是以時分形式處理的,所以在 模式切換時會產(chǎn)生諸如模式切換等開銷。
此外,當在非安全模式下將附加處理23作為設備驅(qū)動器合并到 OS21B中時,如果該驅(qū)動器是惡意的,則可能無法返回安全模式,從 而導致對系統(tǒng)的致命破壞。
PCT國際申請No. 2004-500666 (文獻1)的日文版本中引述了類 似圖45所示結構的處理器,其具有在系統(tǒng)存儲器中提供的分離區(qū),并 包括正常執(zhí)行模式和分離執(zhí)行模式。文獻l中描述的設備具有正常執(zhí) 行模式,這是在普通操作模式下可操作的模式,而并沒有在非安全環(huán) 境下向處理器提供的安全性功能,即分離執(zhí)行模式。該設備構造為禁 止從正常執(zhí)行模式訪問分離區(qū),并在分離執(zhí)行模式下支持預定分離指 令的執(zhí)行。即使采用這種結構,由于以時分形式處理正常執(zhí)行模式和 分離執(zhí)行模式,也會在切換時產(chǎn)生模式切換等開銷。
此外,還公開了一種包括兩個處理器單元和開關單元的結構,其 中一個處理器單元與公共數(shù)據(jù)通信網(wǎng)絡連接,另一個處理器單元不與 公共數(shù)據(jù)通信網(wǎng)絡連接,而作為數(shù)據(jù)安全性單元進行操作(見PCT國 際申請No. 2002-542537 (文獻2)日文版本)。文獻2中記載的系統(tǒng) 具有與公共數(shù)據(jù)通信網(wǎng)絡連接的處理器單元和通過開關分離的數(shù)據(jù)安 全性單元,從而確保了數(shù)據(jù)安全性單元的安全性。但是,對于由上述 附加處理(從網(wǎng)絡等下載的附加處理)的執(zhí)行造成的對連接至公共數(shù) 據(jù)通信網(wǎng)絡連接的處理器單元的攻擊,該設備沒有考慮任何對策。雖 然數(shù)據(jù)安全性單元是安全的,但是與公共數(shù)據(jù)通信網(wǎng)絡連接的處理器 單元沒有能夠有效對抗附加處理引起的攻擊的安全性機制。因此,為 了在與公共數(shù)據(jù)通信網(wǎng)絡連接的處理器單元中實現(xiàn)安全性管理,有必 要采用上述任何系統(tǒng)。
此外,在PCT國際申請No. 2002-533791 (文獻3)日文版本中記 載了一種在處理器上同時運行執(zhí)行程序或分離的操作系統(tǒng)的系統(tǒng),其 中為了保護錯誤程序運行環(huán)境,在運行第一程序時設定只能由第一程 序使用的存儲空間,通過單鏈接執(zhí)行第一程序與計算機執(zhí)行環(huán)境之間 的通信,單鏈接包括使用共享存儲空間、專用中斷或?qū)S?/0端口,并且除了在有限運行環(huán)境下訪問設定的存儲空間和單鏈接,第一程序 對處理器上資源的訪問是受制約的。在文獻3所述方法的情況下,因 為除了在有限運行環(huán)境下訪問設定的存儲空間和單鏈接(使用共享存 儲空間、專用中斷或?qū)S?/0端口),第一程序?qū)μ幚砥魃腺Y源的訪問 是受制約的,所以第一程序無法用作設備驅(qū)動器,從而無法應用于包 括設備驅(qū)動器在內(nèi)的附加處理。
作為公開了用于稍后所述的本發(fā)明中的處理器間通信單元有關
技術的公開技術,日本專利公開No.H6-332864 (文獻4)公開了一種 在多處理器系統(tǒng)中進行CPU之間的通信的系統(tǒng)。文獻4中引述作為其 背景技術的是如下結構當多處理器使用共享存儲器執(zhí)行CPU之間的 通信時,CPU2在產(chǎn)生對于CPU1的中斷時,將通信信息寫入到針對 CPU1的固定域中為其自身所用的內(nèi)置CPU通信信息寫入?yún)^(qū),以產(chǎn)生 中斷,并在中斷發(fā)生時,CPU1訪問與CPU2相對應的內(nèi)置CPU通信 信息寫入?yún)^(qū),以執(zhí)行中斷處理。在文獻4中還引述了用于減少對共享 存儲器的訪問次數(shù)的發(fā)明。
日本專利公開No. 2001-154999 (文獻5)提出了并行計算系統(tǒng), 其中處理器分析電路在其自身的處理器啟動時檢測到故障,要求服務 處理器進行恢復,服務處理器執(zhí)行恢復處理。
文獻1: PCT國際申請No. 2004-500666日文版本 文獻2: PCT國際申請No. 2002-542537日文版本 文獻3: PCT國際申請No. 2002-533791日文版本 文獻4:日本專利公開No. H6-332864 文獻5:日本專利公開No. 2001-154999
如上所述,為了對抗來自下載的惡意或錯誤的附加處理以確保安 全性,具有這種對策措施的相關設備實際上具有多種尚未解決的問題, 例如處理性能問題、無法運行設備驅(qū)動器的問題、以及確保安全性的 問題。具體而言,如圖43和45所示,與信息處理設備有關的設計構 架禁止從設備外部下載附加的設備驅(qū)動器,該設計構架表明無法附加 設備和附加功能,從而在這方面來說可用性是有限的。
另一方面,如上所述,因為在例如內(nèi)核模式下操作附加設備驅(qū)動器時,OS和系統(tǒng)的可靠性受到直接影響,所以在確保安全性和可靠
性方面需要大幅度改進。
此外,相關并行計算系統(tǒng)中的恢復處理的一個示例是文獻5中公 開的技術,這種恢復處理的問題在于恢復是響應于惡意請求而執(zhí)行的, 例如被通知包括病毒的恢復請求。
因此,本發(fā)明的目的是提供一種信息處理設備、 一種恢復設備、 程序和恢復方法,能夠恢復受到附加應用程序和設備驅(qū)動器造成的發(fā) 生錯誤的域得到恢復,從而確保安全性和可靠性。

發(fā)明內(nèi)容
根據(jù)本發(fā)明第一典型方面, 一種信息處理設備包括多個處理器, 其中所述多個處理器根據(jù)要執(zhí)行的處理內(nèi)容,形成多個域,并且不同 域中的處理器通過通信單元彼此通信;所述信息處理設備還包括恢復 單元,用于針對發(fā)生錯誤的域,基于由所述域通知的故障恢復請求和 為每個域預先設定的恢復條件,執(zhí)行故障恢復處理。
根據(jù)本發(fā)明第二典型方面, 一種恢復設備,用于在具有由多個處 理器形成的多個域的信息處理設備上,恢復域上發(fā)生的故障,其中所 述多個處理器,根據(jù)要執(zhí)行的處理內(nèi)容,形成多個域;所述恢復設備 包括恢復單元,用于針對發(fā)生錯誤的域,基于由所述域通知的故障恢 復請求和為每個域預先設定的恢復條件,執(zhí)行故障恢復處理。
根據(jù)本發(fā)明第三典型方面, 一種程序,在信息處理設備上執(zhí)行以 恢復所述信息處理設備的功能,所述信息處理設備作為由多個處理器 形成的計算機處理設備,所述程序使所述信息處理設備利用所述多個 處理器執(zhí)行如下功能,其中所述多個處理器根據(jù)要執(zhí)行的處理內(nèi)容形 成多個域-
通信功能,使不同域中的處理器彼此通信;以及
恢復功能,針對發(fā)生錯誤的域,基于由所述域通知的故障恢復請
求和為每個域預先設定的恢復條件,執(zhí)行故障恢復處理。
根據(jù)本發(fā)明第四典型方面, 一種恢復方法,用于恢復由多個處理
器形成的信息處理設備的處理功能,其中
所述多個處理器根據(jù)要執(zhí)行的處理內(nèi)容形成多個域;以及 不同域中的處理器通過通信步驟進行通信,
所述恢復方法包括恢復步驟針對發(fā)生錯誤的域,基于由所述域 通知的故障恢復請求和為每個域預先設定的恢復條件,由所述信息處 理設備上的恢復單元執(zhí)行故障恢復處理。


圖1是示出了本發(fā)明第一示例的信息處理設備硬件結構的圖2是示出了第一示例的處理器間通信單元結構的圖3是用于說明第一示例的處理器間通信單元的操作的圖4是示出了第一示例的訪問控制單元結構的圖5是示出了第一示例的訪問控制單元的訪問允許數(shù)據(jù)的示例
圖6是用于說明第一示例的訪問控制單元的操作的圖7是示出了第一示例的訪問控制單元30的另一結構的圖8是示出了第一示例的訪問控制單元30的又一結構的圖9是示出了本發(fā)明第二示例的信息處理設備硬件結構的圖IO是示出了本發(fā)明第三示例的信息處理設備硬件結構的圖11是示出了第三示例的信息處理設備的變化示例硬件結構的
圖12是示出了第三示例的信息處理設備軟件結構的圖13是用于說明第三示例的操作的圖14是用于說明第三示例的操作的圖15是用于說明第三示例的操作的圖16是用于說明第三示例的操作的圖17是用于說明第三示例的操作的圖18是用于說明第三示例的操作的圖19是用于說明第三示例的操作的圖20是用于說明第三示例的操作的圖21是示出了本發(fā)明第四示例的信息處理設備結構的圖22是用于說明第四示例的操作的圖; 圖23是用于說明第四示例的操作的圖24是示出了根據(jù)本發(fā)明第一典型實施方式的信息處理設備結 構的圖25是示出了本發(fā)明第一典型實施方式中可靠性設定的一個示 例的圖26是示出了根據(jù)本發(fā)明第一典型實施方式的信息處理設備的 域停止恢復單元400的結構圖27是示出了通信處理內(nèi)容(處理內(nèi)容)與根據(jù)本發(fā)明第一典 型實施方式的信息處理設備處的通信分層結構之間的對應關系的一個 示例圖28是示出了根據(jù)本發(fā)明第一典型實施方式的信息處理設備硬 件結構的一個示例的方框圖29是用于說明根據(jù)本發(fā)明第一典型實施方式的信息處理設備 的一個操作示例的圖30是用于說明根據(jù)本發(fā)明第一典型實施方式的信息處理設備 的一個操作示例的圖31是用于說明根據(jù)本發(fā)明第一典型實施方式的信息處理設備 的一個操作示例的圖32是用于說明根據(jù)本發(fā)明第一典型實施方式的信息處理設備 的一個操作示例的圖33是用于說明根據(jù)本發(fā)明第一典型實施方式的信息處理設備 的一個操作示例的圖34是示出了根據(jù)本發(fā)明第二典型實施方式的信息處理設備的 域停止恢復單元400的結構圖35是用于說明根據(jù)本發(fā)明第二典型實施方式的信息處理設備 的一個操作示例的圖36是用于說明根據(jù)本發(fā)明第二典型實施方式的信息處理設備 的一個操作示例的圖37是用于說明根據(jù)本發(fā)明第二典型實施方式的信息處理設備
的一個操作示例的圖38是示出了根據(jù)本發(fā)明第三典型實施方式的信息處理設備的 域停止恢復單元400的結構圖39是示出了根據(jù)本發(fā)明第三典型實施方式的信息處理設備的 恢復處理允許數(shù)據(jù)404a的一個內(nèi)容示例的圖40是用于說明根據(jù)本發(fā)明第三典型實施方式的信息處理設備 的恢復處理控制單元404的一個操作示例的圖41是示出了根據(jù)本發(fā)明第四典型實施方式的信息處理設備的 域停止恢復單元400的結構圖42是示出了相關系統(tǒng)結構的一個示例的圖43是示出了相關系統(tǒng)結構的另一示例的圖44是示出了相關系統(tǒng)結構的又一示例的圖;以及
圖45是示出了相關系統(tǒng)結構的再一示例的圖。
具體實施例方式
首先,將描述本發(fā)明應用于的信息處理設備的基本結構。 根據(jù)該基本結構的第一示例,在具有包括多個CPU的多CPU結
構的信息處理設備中,根據(jù)要執(zhí)行的程序(處理)的安全性級別,將
多個CPU劃分成多個域(例如,基本域、可信域、不可信域等)。
基本域被認為是執(zhí)行安全性級別比固定級別高的處理的域,可信 域被認為是具有安全性級別比基本域執(zhí)行的處理低的至少一個處理的 域,不可信域被認為是具有安全性級別比可信域執(zhí)行的處理低的至少 一個處理的域。
備選地,基本域可以具有固定安全性級別等于或高于可信域中的 執(zhí)行處理的安全性級別的每個執(zhí)行處理,并包括安全性級別更高的至 少一個處理,作為基本域的執(zhí)行處理集合。
可信域可以具有固定安全性級別等于或高于不可信域中的執(zhí)行 處理的安全性級別的每個執(zhí)行處理,并包括安全性級別更高的至少一 個處理,作為每個域的執(zhí)行處理集合。在這種情況下,基本域執(zhí)行安 全性級別比可信域高的處理,可信域執(zhí)行安全性級別比不可信域高的處理。
每個域構造為包括一個或多個CPU,并通過處理器間通信單元 (例如,圖1中的40)執(zhí)行不同域之間的CPU通信,其中當屬于執(zhí)
行低安全性處理(例如附加處理)的域的CPU針對相關訪問請求,訪
問執(zhí)行高安全性處理的域的存儲器和輸入/輸出設備時,由訪問控制單
元(例如,圖1中的30)確定訪問允許/不允許,從而只進行允許的 訪問。
通過由低安全性域端且硬件結構不同于高安全性域的CPU執(zhí)行 下載的附加處理(包括設備驅(qū)動器和應用程序),由此構造的第一示例 確保了高安全性域的安全性。
這里,下載不僅包括通過由移動電話運營商提供的數(shù)據(jù)通信網(wǎng)絡 以及常用無線電LAN網(wǎng)絡進行到信息設備的下載,還包括通過累積 型介質(zhì)和有線通信介質(zhì)等連接進行到信息設備的下載,累積型介質(zhì)的 代表是SD卡,有線通信介質(zhì)的代表是USB。
根據(jù)第一示例,并非通過開關等分離地控制高安全性域和低安全 性域的CPU,而是通過能夠?qū)崿F(xiàn)彼此通信的處理器間通信單元連接這 些CPU,從而能夠?qū)崿F(xiàn)高安全性域和低安全性域的CPU之間的同步 和協(xié)同操作,同時確保安全性。
處理器間通信單元(圖1的40)構造為從一個域的CPU向其他 域的CPU傳輸數(shù)據(jù)(命令),而不是構造為對其他域的CPU等進行直 接攻擊。例如,即使在通過從低安全性域端CPU向高安全性域端CPU 連續(xù)傳輸大量數(shù)據(jù)以試圖引起高安全性域的CPU性能下降、緩沖上溢 等,處理器間通信單元也抑制相關數(shù)據(jù),阻止向高安全性域的CPU傳 輸。
此外,在第一示例中,訪問控制單元(圖1的30)執(zhí)行如下訪問
控制只允許低安全性域端CPU對預先允許的存儲空間、輸入/輸出
設備等進行預先允許形式的訪問。這能夠防止下載的附加處理對高安
全性域的攻擊。備選地,通過訪問控制單元按需對頻帶、數(shù)據(jù)流(band、 flow)等的控制,可以防止下載的附加處理對高安全性域的多種攻擊。 以下對照第一示例進行描述。
圖1是示出了第一示例結構的圖。參照圖l,提供了CPU組IOA, 執(zhí)行包括基本處理22和OS 21A的軟件20A; CPU組IOB,執(zhí)行包括 附加處理23和附加處理兼容OS 21B的軟件20B;處理器間通信單元 401和402,執(zhí)行CPU組10A和10B之間的通信;以及訪問控制單元 30,控制CPU組10B對存儲器50和/或輸入/輸出設備(I/O) 60的訪 問。雖然圖1中示出的CPU組10A和10B各自由多個(3個)CPU 形成,但是顯而易見的是每個組可以由一個CPU形成。此外,很顯然, 在CPU組10A和10B中,CPU的數(shù)目無需相同。下面,將CPU組 IOA和10B簡稱為CPU IOA和10B。在第一示例中,要下載的附加處 理23由二進制格式的本機代碼形成。附加處理23可以具有通過對下 載的源程序進行編譯處理(匯編處理)而獲得的二進制格式。
根據(jù)第一示例,CPU 10B與執(zhí)行基本處理22的CPU 10A相分 離地向執(zhí)行提供的附加處理23,可獨立操作的CPU IOA和CPU 10B 實現(xiàn)了高速運行,同時提高了安全性,從而執(zhí)行應用程序和設備驅(qū)動 器。顯然,如下結構也是可以的執(zhí)行基本處理22的CPU IOA作為 主方,執(zhí)行附加處理23的CPU IOB作為從方,從方在主方的監(jiān)督下 進行操作。在這種情況下,例如,通過經(jīng)由處理器間通信單元402接 收來自CPU10A的命令,實現(xiàn)CPU10B對附加處理23的執(zhí)行。
處理器間通信單元401和402控制CPU 10A和CPU 10B之間的 數(shù)據(jù)發(fā)送和接收。由于彼此獨立放置,所以CPU 10A和CPU 10B可 以彼此并行地執(zhí)行各自的處理(程序),同時也能夠通過處理器間通信 單元401和402實現(xiàn)CPU IOA和CPU 10B之間的同步處理和協(xié)同(重 點)處理。例如,當用戶在顯示設備的屏幕上指示執(zhí)行附加處理時, 執(zhí)行基本處理22的CPU 10A通過處理器間通信單元401向CPU 10B 發(fā)送啟動附加處理23的請求,從而在CPU 10B上執(zhí)行附加處理23, 通過處理器間通信單元402從CPU 10B向CPU10A發(fā)送執(zhí)行結果, 并且形成基本處理22的屏幕控制例程等向用戶呈現(xiàn)反映附加處理23 的執(zhí)行結果的信息。
第一示例構造為在CPU10B執(zhí)行附加處理時,當發(fā)出對存儲器 50或輸入/輸出設備(I/O) 60的訪問請求時,訪問控制單元30執(zhí)行
訪問允許控制,以只執(zhí)行對存儲器50或輸入/輸出設備(I/O) 60的允 許的訪問請求。在CPU10B中,附加處理23是在OS21B上執(zhí)行的, 當從附加處理23發(fā)出對基本處理22或OS 21A的處理請求時,通過 處理器間通信單元401向CPU IOA通知該請求。換言之,不允許附加 處理23直接操作基本處理22。例如,即使在惡意附加處理器23試圖 通過向CPU IOA頻繁發(fā)出請求,給出負荷,從而顯著降低CPU 10A 端的基本處理執(zhí)行性能時,也可以通過處理器間通信單元401的控制 來阻止向CPU 10A端發(fā)送這種請求,從而防止上述攻擊,確保安全性。 在圖1所示的示例中,處理器間通信單元401控制從CPU10B向 CPU 10A的信息傳輸,處理器間通信單元402控制從CPU 10A向CPU 10B的信息傳輸。顯然,可以備選地構造一個處理器間通信設備,以 執(zhí)行交互式的數(shù)據(jù)發(fā)送和接收。在第一示例中,當執(zhí)行基本處理22 的多個CPU10A要求CPU之間的通信時,執(zhí)行CPU之間的通信,而 不使用處理器間通信單元40。對于執(zhí)行附加處理23的多個CPU IOB, 情況也是如此。如后所述,當形成CPU組10B的多個CPU中的一些 動態(tài)地切換為CPU組10A的元件時,雖然CPU組10B在邏輯上屬于 CPU組IOA,但是可以通過處理器間通信單元40執(zhí)行CPU之間的通 信。
第一示例能夠下載、安裝和執(zhí)行作為附加處理23執(zhí)行的應用程 序和設備驅(qū)動器。將添加的設備驅(qū)動器合并到OS 21B中,并在CPU 10B上執(zhí)行,對輸入/輸出設備60的訪問控制是在訪問控制單元30的 監(jiān)控下執(zhí)行的。
在移動電話和PDA等便攜式信息通信設備中,圖1中的基本處 理22和OS 21A —般存儲在未示出的可重寫非易失性存儲器 (EEPROM:電可編程可擦除ROM)中,CPU 10A從EEPROM獲取、 解碼和執(zhí)行指令代碼。換言之,分別存儲有執(zhí)行基本處理22和附加處 理23的OS 21A和21B的存儲器在硬件上是彼此分離的,分別在基本 處理端和附加處理端。當執(zhí)行EEPROM中存儲的基本處理、OS等指 令代碼時,在每個OS啟動時,CPU10A和IOB將由執(zhí)行的程序安裝、 參考并更新的表等數(shù)據(jù)擴展到由DRAM (動態(tài)隨機存取存儲器)形成 的存儲器50。對于CPU IOB,訪問控制單元30管理要讀/寫的存儲區(qū), 以限制對CPU10A參考的存儲區(qū)的訪問。此外,在便攜式信息通信終 端之外的其他常用信息處理設備中,顯然,可以分離地設置如下兩種 存儲器第一種是其中加載有基本處理22和OS21A,其指令代碼由 CPU10A獲??;第二種是其中加載由附加處理23和OS21B,其指令 代碼由CPU10B獲取。備選地,在常用信息處理設備中,可以在存儲 器50中彼此分離地設置加載有基本處理22和OS 21A的區(qū)、以及加 載有附加處理23和OS 21B的區(qū),以便由訪問控制單元30管理CPU 10B對存儲器50的讀/寫訪問。在這種情況下,因為CPU 10A和CPU 10B均參考的代碼只存儲在共用存儲區(qū),所以訪問控制單元30可以執(zhí) 行訪問控制,以便只允許CPU 10B從共用存儲區(qū)讀取數(shù)據(jù)。
此外,在便攜式信息處理設備中,當安裝的電池的剩余電能減少 時,通過強行關閉除了執(zhí)行基本處理的CPU之外的其他CPU,或者 根據(jù)要執(zhí)行的處理的可靠性,優(yōu)先關閉執(zhí)行低可靠性處理的CPU,可 以節(jié)約剩余電能。例如,這可以通過基于剩余電池能量的有關信息來 確定執(zhí)行基本處理的CPU并執(zhí)行關閉而實現(xiàn),其中剩余電池能量的有 關信息是由檢測剩余電池能量的單元和通知檢測結果的單元獲得的。
此外,因為便攜式信息處理設備中的資源,例如與外部通信的帶 寬或非易失性存儲器的容量等進一步受限,所以可以根據(jù)可靠性改變 資源的相對確保率。例如,這可以通過進行如下確定來實現(xiàn)在執(zhí)行 基本處理的CPU中,當要執(zhí)行的處理可靠性較高時,優(yōu)先允許確保資 源,而當可靠性較低時,限制資源。
圖2是示出了第一示例中處理器間通信單元硬件結構的一個示例 圖。參照圖2,在相對側(cè)的CPU (執(zhí)行基本處理的CPU和執(zhí)行附加處 理的CPU)之間放置的一組中斷控制設備41和共享存儲器42形成圖 1中的整個處理器間通信單元401和402。中斷控制設備41包括針對 CPU#0、 CPU#1、 ...、 CPU#n的n個中斷控制設備410-41n,每一個 中斷控制設備包括中斷指令單元411、中斷狀態(tài)保持單元412和中斷 取消單元413。共享存儲器42包括針對CPU糾、CPU#1、 ...、 CPU#n 的n個通信區(qū)420-42n,每一個通信區(qū)包括用于排列或緩沖傳輸信息
(數(shù)據(jù)、消息)的通信隊列421和用于執(zhí)行互斥控制的互斥控制區(qū)422。
例如,對于兩個區(qū)CPU#0和CPU#1, CPU#1的中斷控制設備411 和CPU#1的通信區(qū)421形成從CPU#0向CPU#1的處理器間通信單元 401 , CPU#0的中斷控制設備410和CPU#0的通信區(qū)420形成從CPU#1 向CPU#0的處理器間通信單元402。
假設中斷控制設備41和共享存儲器42通過總線與CPU#0、 CPU#1、 ...、 CPl^n連接。在共享存儲器42的通信隊列421中,可 以設定存儲傳輸數(shù)據(jù)的緩沖器指針(例如,存儲器50的緩沖區(qū)地址), 而不是傳輸數(shù)據(jù)本身。
在第一示例中,共享存儲器42中CPU糾的互斥控制區(qū)422i設置 為執(zhí)行互斥控制,以在CPU#i的通信區(qū)42i已被特定CPU占用時阻止 其他CPU使用CPU#i的通信區(qū)42i。具體而言,CPU#i的互斥控制區(qū) 422i用于存儲同步管理信息,例如包括互斥量或標志的信號量。
共享存儲器42上安裝的互斥控制機制確保發(fā)送CPU和接收CPU 之間的數(shù)據(jù)一致性。
此外,由于該互斥控制機制,當互斥控制區(qū)422鎖定時,不允許 發(fā)送端CPU接受至發(fā)送CPU的中斷請求,從而阻止不合理中斷產(chǎn)生, 例如從發(fā)送CPU到接收CPU的頻繁數(shù)據(jù)傳輸。
互斥控制區(qū)422可以用于對形成隊列和解除隊列的鎖定管理。
在圖2中,當結構為通過中斷控制控制設備41允許對一個接收 CPU進行多個中斷時,可以在共享存儲器422中將每個CPU的通信 區(qū)中的通信隊列421和互斥控制區(qū)422設置為多個。
雖然沒有特別限制,但是對于共享存儲器42,圖1中存儲器50 的預定存儲區(qū)可以用作共享存儲器,或者可以與存儲器50相分離地在 處理器間通信單元40中設置共享存儲器。此外,雖然圖中未示出,但 是來自中斷控制設備410-41n的中斷請求線可以并行地連接至接收 CPU (增加中斷數(shù)目)或以卑級鏈(daisy chain)的方式連接。
當從中斷控制設備41接收到中斷請求時,接收CPU向中斷控制 設備41通知該請求,中斷控制設備41向數(shù)據(jù)線(未示出)發(fā)送中斷 設備號(中斷矢量信息),接收CPU根據(jù)中斷設備號產(chǎn)生中斷矢量,
從而通過調(diào)度程序啟動在接收CPU上執(zhí)行的中斷服務例程,該中斷服 務例程執(zhí)行如下一系列控制從相應共享存儲器42的通信隊列中獲得 數(shù)據(jù),并釋放(解鎖)互斥控制區(qū)中的互斥量等信號量,以從中斷返 回。
圖3是用于說明圖2所示第一示例的處理器間通信單元的操作過 程的圖,示出了從CPU弁k向CPUO傳送數(shù)據(jù)時的過程。在圖3中,箭 頭旁邊的數(shù)字表示步驟編號。
步驟1:發(fā)送CPl^k鎖定共享存儲器42中針對CPU弁0的通信區(qū) 的互斥控制區(qū)。當指示針對CPl^O的通信區(qū)的互斥控制區(qū)被其他CPU 鎖定時,例如,等待該鎖定的釋放。
步驟2:在鎖定共享存儲器42中針對CPU#0的通信區(qū)的互斥控 制區(qū)之后,發(fā)送CPU#k向共享存儲器42中CPU#0通信區(qū)的通信隊列 中寫入要向接收CPU#0發(fā)送的數(shù)據(jù)。
步驟3:發(fā)送CPl^k向中斷控制設備41中CPU#0中斷控制設備 的中斷指令單元通知中斷請求。
步驟4:CPU糾中斷控制設備的中斷指令單元更新CPU糾中斷控 制設備的中斷狀態(tài)保持單元,以設定"中斷請求存在"。
步驟5: CPU#0中斷控制設備的中斷指令單元引起針對接收 CPU#0的中斷。
步驟6:接收CPU#0接收來自CPU#0中斷控制設備的中斷指令 單元的中斷,從共享存儲器42中CPU#0通信區(qū)的通信隊列中取出數(shù) 據(jù)。此時,在接收CPl^O中,執(zhí)行上述中斷服務例程的處理。
步驟7:在從共享存儲器42中CPU#0通信區(qū)的通信隊列中獲得 數(shù)據(jù)之后,接收CPU弁0向CPU#0的中斷取消單元通知中斷處理完成。
步驟8: CPU#0中斷控制設備的中斷指令單元在接收到來自接收 CPU#0的處理完成通知之后,更新CPU#0中斷控制設備的中斷狀態(tài) 保持單元。
步驟9:接收CPU#0解鎖共享存儲器42中針對CPU#0的通信區(qū) 的互斥控制區(qū)。
在第一示例中,當確認中斷請求集中在特定接收CPU上時,可
以執(zhí)行諸如對到接收CPU的中斷請求進行控制等流控制或帶控制。換
言之,可以在中斷控制設備41中設置QoS (服務質(zhì)量)保證功能, 以限制從發(fā)送CPU端向接收CPU端連續(xù)/頻繁地傳送中斷請求。例如, 與至接收CPU的數(shù)據(jù)傳送無關的中斷請求不能被認為是互斥控制的 目標,而可以相繼地發(fā)出多個這種中斷請求。當接收CPU端的中斷處 理尚待完成時,產(chǎn)生了來自發(fā)送CPU端的中斷請求,使中斷控制設備 41中中斷狀態(tài)保持單元的"中斷請求存在"超過固定值,在這種情況 下,可以執(zhí)行控制,以便不允許來自發(fā)送CPU端的下一中斷請求。該 結構能夠防止如下攻擊由于發(fā)送CPU產(chǎn)生大量與至接收CPU的數(shù) 據(jù)傳送無關的中斷請求,導致接收CPU的性能下降。
圖4是示出了圖1所示第一示例中訪問控制單元30的結構圖。 參照圖4,訪問控制單元30包括訪問允許單元31,通過基本端總線 70A與執(zhí)行基本處理(圖1中22)的CPU IOA連接,并通過附加端 總線70B與執(zhí)行附加處理(圖1中23)的CPU IOB連接;以及存儲 單元,存儲訪問允許數(shù)據(jù)32。
允許CPU 10A讀/寫訪問允許數(shù)據(jù)32。至允許從訪問允許單元31 進行讀取。不允許CPU 10B對訪問允許數(shù)據(jù)32進行讀取或?qū)懭?。換 言之,訪問允許數(shù)據(jù)32與CPU 10B之間不存在數(shù)據(jù)總線。
訪問允許單元31基于傳送到附加端總線70B的地址信號線和控 制信號線的、至存儲器50 (見圖l)的訪問地址信號和控制信號(訪 問命令),確定的訪問類型(讀/寫),并參考訪問允許數(shù)據(jù)32的信息, 以確定當前訪問是否適當。作為確定結果,當確定該訪問不合理時, 訪問允許單元31制止向基本端總線70A發(fā)送訪問地址和控制信號(訪 問命令),從而阻止從CPU 10B端訪問基本端總線70A。在這種情況 下,向附加端總線70B發(fā)出了訪問地址的CPU IOB端通過總線錯誤 或沒有來自存儲器50的讀/寫地址的重演等,知道當前訪問失敗。
當輸入/輸出設備(I/O) 60是存儲器映射I/O時,訪問允許單元 31監(jiān)控附加端總線70B,并檢測訪問地址是對應于輸入/輸出設備的地 址,當檢測到數(shù)據(jù)總線上的I/0命令(讀/寫等)時,參照訪問允許數(shù) 據(jù)32的信息,確定當前訪問是否適當。當輸入/輸出設備不是存儲器映射I/O時,該單元對要傳送至附加端總線70B的輸入/輸出設備的設 備號和I/0命令進行解碼,并參考訪問允許數(shù)據(jù)32的信息,確定是否 允許訪問。
在第一示例中,訪問控制單元30可以包括帶制約單元,用于控 制每單位時間的數(shù)據(jù)傳送量。例如,訪問控制單元30可以包括對 CPUIOB在訪問操作時從CPUIOB向附加端總線70B傳送的數(shù)據(jù)量進 行測量和監(jiān)控的單元,從而在例如傳送的數(shù)據(jù)的字節(jié)數(shù)目超過預先設 定的每單位時間的閾值時,執(zhí)行控制以停止從CPU IOB向CPU 10A 的數(shù)據(jù)傳送。此時,即使當CPU 10B知道至CPU 10A的數(shù)據(jù)傳送失 敗并重新嘗試時,訪問控制單元30也制止從CPU 10B向CPU 10A傳 送數(shù)據(jù)。備選地,訪問控制單元30可以構造為包括緩沖器,以在該緩 沖器中累積從CPU 10B向附加端總線70B傳送的數(shù)據(jù),并控制要傳 送至CPU10A的數(shù)據(jù)流。
圖5是示出了第一示例中訪問允許數(shù)據(jù)32的一個示例的圖。參 照圖5,訪問允許數(shù)據(jù)以表格式存儲,包括執(zhí)行附加處理的CPU (圖 4中與附加端中線連接的CPU)、由允許被訪問的范圍的起始點地址和 結束點地址形成的允許范圍地址、以及允許訪問類型(讀、讀/寫和寫 類型)。在不同CPU中,允許范圍地址可以彼此交疊。在圖5所示示 例中,第二行中CPU#2和#3的允許范圍地址是從0xC000000到 0xF000000,是可讀/寫(R/W)的,第三行中CPU#3的允許范圍地址 是從0xE000000到0xF000000,這與第二行的地址交疊。地址允許數(shù) 據(jù)的數(shù)目越大,表中的條目數(shù)目相應地越大,可以進行更加精細的訪 問。雖然圖5示出了 R (可讀)、W (可寫)和R/W (可讀/寫)作為 進行說明的示例,R (可讀)指示信息只允許讀而不允許寫,從而當 W設定為可寫(也可讀)時,不必設定R/W。此外,不允許讀(也不 允許寫)的地址范圍并未存儲在地址允許數(shù)據(jù)32中。雖然在圖5所示 的示例中,訪問允許數(shù)據(jù)具有針對允許進行訪問的每個CPU的地址范 圍和范圍類型,但是訪問允許數(shù)據(jù)還可以具有指示作為訪問類型的不 允許信息的信息,以存儲對于執(zhí)行附加處理的CPU不被允許訪問的地 址范圍。
圖4中的訪問允許單元31接收來自附加端CPU的訪問請求(地 址、讀命令),并參考訪問允許數(shù)據(jù)32的允許范圍地址和訪問類型, 在允許訪問的情況下,允許該訪問。另一方面,當不允許訪問時,該 單元不允許進行訪問。在圖5所示示例中,對于CPU弁4,設定從起始 點地址1000到結束點地址2000 (十六進制),并將訪問類型設定為讀 (R)。對于CPl^2或W,設定從起始點地址0xC000000到結束點地 址0xF000000 (十六進制),并將訪問類型設定為讀和寫(R/W)。對 于CPl^3,設定從起始點地址0xE000000到結束點地址0xF000000(十 六進制)這一范圍的訪問類型為寫(W)。
圖6是用于說明圖4中訪問控制單元30的一個操作示例的圖。 在圖6中,箭頭旁邊的數(shù)字指示步驟編號。
步驟l:執(zhí)行基本處理的CPU 10A引起訪問控制單元30的訪問 允許數(shù)據(jù)32禁止執(zhí)行所有附加處理的CPU 10B讀取特定地址范圍。
步驟2:假設CPU 10B通過執(zhí)行附加處理23等,發(fā)出對禁止讀 取的地址范圍進行讀取的請求。
步驟3:訪問允許單元31讀取訪問允許數(shù)據(jù)32,以檢查相關訪 問是否適當。
步驟4:訪問允許單元31向CPU 10B返回錯誤。這是因為CPU 10B對相關地址范圍的讀取是禁止的。
步驟5: CPU 10B發(fā)出對上述地址范圍之外的其他范圍進行讀取 的請求。
步驟6:訪問允許單元31讀取并檢査訪問允許數(shù)據(jù)32。 步驟7:訪問允許單元31允許CPU 10B的讀取訪問請求,并向 基本端總線70A發(fā)出讀取請求。
雖然在第一示例中描述了訪問控制單元30包括訪問允許單元31 和訪問允許數(shù)據(jù)32并基于訪問允許信息來執(zhí)行訪問控制的情況,但是 結構不只限于第一示例中所示的結構,可以設置取代訪問允許數(shù)據(jù)的 訪問拒絕數(shù)據(jù)(反轉(zhuǎn))和訪問拒絕單元。在這種情況下,當來自執(zhí)行 附加處理的CPU 10B的訪問地址符合訪問拒絕數(shù)據(jù)中定義的訪問拒 絕的地址范圍時,訪問拒絕單元執(zhí)行拒絕訪問的控制。
作為第一示例的修改示例,訪問允許單元31可以包括高速緩存。 在這種情況下,用于訪問確定的訪問地址和訪問允許數(shù)據(jù)存儲在高速 緩存中,以在其后的訪問控制確定中確定高速緩存中是否存在相關訪 問地址(地址范圍)的訪問允許數(shù)據(jù),并在高速緩存擊中的情況下, 加速訪問確定。高速緩存構造為包括于訪問地址范圍和訪問允許數(shù)據(jù) 相對應的標簽地址,并包括高速緩存擊中確定電路,用于確定附加端
總線70B的訪問地址是否擊中高速緩存。
此外,作為第一示例的修改示例,訪問控制單元30可以包括新 的訪問允許數(shù)據(jù)33和訪問允許數(shù)據(jù)更新單元34。參照圖7,除了圖6 所示第一示例的組件之外,訪問控制單元30還包括與基本端總線70A 連接的訪問允許數(shù)據(jù)更新單元34和用于存儲新訪問允許數(shù)據(jù)33的存 儲單元。將詳細描述這兩個單元的功能。
新訪問允許數(shù)據(jù)33是存儲單元,除了具有圖6所示訪問允許數(shù) 據(jù)32的相同特征之外,還允許只從訪問允許數(shù)據(jù)更新單元34進行讀 取。
訪問允許數(shù)據(jù)更新單元34響應于通過基本端總線70A來自CPU IOA的請求,利用新訪問允許數(shù)據(jù)33內(nèi)容,以原子形式對新訪問允許 數(shù)據(jù)34進行覆寫。
在第一示例的該修改示例中,可以設置單元,該單元不執(zhí)行訪問 允許數(shù)據(jù)32的更新,而切換到新訪問允許數(shù)據(jù)33。
上述結構能夠更新訪問允許數(shù)據(jù)32,由CPU以原子形式對其進 行覆寫,從而能夠動態(tài)改變訪問控制單元30要保護的區(qū)和要限制的 區(qū)。
圖8是示出了第一示例的訪問控制單元30的另一結構的圖。參 照圖8,除了圖6所示第一示例的組件之外,訪問控制單元30還包括 與附加端總線70B連接的訪問監(jiān)控單元35和學習單元36。將具體描 述這些單元的功能。
類似于訪問允許單元31,訪問監(jiān)控單元35通過附加端總線70B, 從CPU 10B獲得訪問信息。
基于從訪問監(jiān)控單元35提供的訪問信息,學習單元36確定參考是否適當。例如,當預先計數(shù)的對用戶保持數(shù)據(jù)的參考數(shù)目超過預先
指定的閾值時,識別出該情況是異常狀況,并向訪問監(jiān)控單元35通知 該狀況,以根據(jù)單獨設定的規(guī)則,動態(tài)改變訪問允許數(shù)據(jù)32。依據(jù)情 況不同,通知于基本端總線70A連接的CPU IOA在異常狀況下開始 要執(zhí)行的處理。
上述結構能夠通過累積可靠性視為較低的CPU的操作,作為在 實際所謂模式之中的歷史信息,實現(xiàn)自發(fā)限制,從而能夠基于實際操 作中CPU的操作情況,實現(xiàn)更加安全的操作控制。
此外,作為結構示例,除了圖6所示組件之外,訪問控制單元30 還可以同時包括上述新訪問允許數(shù)據(jù)33、訪問允許數(shù)據(jù)更新單元34、 訪問監(jiān)控單元35和學習單元36。
圖9是示出了作為基本結構的第二示例結構的圖。參照圖9,除 了圖1結構之外,第二示例還具有附加處理端的一組軟件、OS和CPU。 具體而言,第二附加處理端的CPU 10C通過處理器間通信單元與第一 附加處理的CPU 10B進行通信。第二附加處理端的CPU 10C通過第 二訪問控制單元302與基本端總線70A連接。
由執(zhí)行基本處理22的CPU 10A執(zhí)行訪問控制單元301和302的 設置。換言之,執(zhí)行基本處理22的CPU 10A用作主處理器。CPU 10A 執(zhí)行對存儲器50和輸入/輸出設備(I/O) 60的集中式管理。
執(zhí)行第二附加處理23C的CPU 10C通過處理器間通信單元403 與執(zhí)行第一附加處理23B的CPU 10B進行通信(傳輸數(shù)據(jù)和命令), 執(zhí)行第一附加處理23B的CPU 10B通過處理器間通信單元401與執(zhí) 行基本處理22的CPU 10A通信(傳輸數(shù)據(jù)和命令)。此外,執(zhí)行第二 附加處理23C的CPU IOC在第二訪問控制單元302的監(jiān)控下,只執(zhí) 行允許的對存儲器50和輸入/輸出設備(I/O)的訪問。執(zhí)行第一附加 處理23B的CPU 10B在第一訪問控制單元301的監(jiān)控下,只執(zhí)行允 許的對存儲器50和輸入/輸出設備(I/O)的訪問。CPUIOA執(zhí)行對第 一訪問控制單元301和第二訪問控制單元302的訪問允許數(shù)據(jù)的設置。 采用這種結構,執(zhí)行集中式管理,以通過處理器間通信單元40在CPU 之間傳送處理。此外,在第二示例中,可以阻止附加處理23B和23C
對執(zhí)行基本處理22的CPU10A進行直接攻擊等。具體而言,類似于 上述第一示例,不允許附加處理23B和23C直接啟動基本處理22或 調(diào)用子例程。例如,經(jīng)由處理器間通信單元通過CPU10B從CPU10C 向CPU 10A發(fā)送啟動基本處理22的請求,CPU 10A接收到當前請求 之后,當該請求來自未授權的CPU,則不接受當前請求(具體細節(jié)將 在稍后所述的軟件典型實施方式中描述)。因此,除了在附加處理端 CPU和基本處理端CPU中設置授權層,通過例如處理器間通信單元 40和訪問控制單元30等硬件機制進行處理,能夠避免對基本處理等 的直接攻擊。因為假設第二示例中處理器間通信單元401 404具有與 圖2所示第一示例相同的結構,并且假設訪問控制單元301和302具 有與圖4所示第一示例中相同的結構,所以不再重復對其結構和操作 的詳細描述。
圖IO是示出了作為基本結構的第三示例結構的圖。參照圖10, 類似圖9所示結構,第三示例是通過向圖1所示結構添加附加處理端 CPU10C和訪問控制單元302而得到的。與圖9所示的上述第二示例 不同,第三示例具有為每一組(域)的每一個CPU組準備的存儲器和 輸入/輸出設備(I/O)。
第二附加處理CPU 10C被允許自由地訪問被允許的存儲器50C 和輸入/輸出裝置(I/O) 60C,而不受到訪問限制。第一附加處理CPU 10B被允許自由地訪問被允許的存儲器50B和輸入/輸出裝置(I/O) 60B,而不受到訪問限制。
由第二訪問控制單元302和第一訪問控制單元301的雙級結構控 制第二附加處理CPU 10C對基本處理端存儲器50A和輸入/輸出裝置 (I/O) 60A的訪問。
是否允許第一附加處理CPU 10B對基本處理端存儲器50A和輸 入/輸出裝置(I/O) 60的訪問是由第一訪問控制單元301確定的。
第一訪問控制單元301的訪問允許數(shù)據(jù)和第二訪問控制單元302 的訪問允許數(shù)據(jù)由基本處理CPU 10A設定。第二訪問控制單元302 的訪問允許數(shù)據(jù)可以由第一附加處理CPU10B設定。根據(jù)第三示例, 基于域?qū)⒋鎯ζ骱洼斎?輸出設備(I/O)分離,并通過處理器間通信
單元40以多級形式連接CPU,這能夠增強防止附加處理攻擊的功能, 從而確保安全性。
圖11是示出了第三示例的修改示例的圖,其中將圖1所示第一 示例應用于兩個或多個芯片。參照圖11,除了放置的多個芯片80,每 一個由CPU IOA、 IOB、 IOC和10D以及訪問控制單元301的組合形 成,單個芯片80由訪問控制單元303連接。換言之,多個芯片80A 和80B設置為通過訪問控制單元303而連接。
將一部分CPU設置在一個特定芯片80上,以用于執(zhí)行基本處理, 這能夠在一個芯片80中通過訪問控制單元301實現(xiàn)訪問限制,同時也 可以將至少一部分CPU設置在每個芯片80上,以用于執(zhí)行基本處理。
也可以形成橋接不同芯片80的域,以在各個芯片80之間由訪問 控制單元303控制執(zhí)行。
在任何情況下,對訪問控制單元30的適當設置能夠?qū)崿F(xiàn)信息處 理設備的基本結構中的執(zhí)行控制,在該信息處理設備中,本發(fā)明也應 用于多個芯片80之間。
在上述第三示例總,主要描述了本發(fā)明的硬件結構,下面將描述 本發(fā)明的軟件結構。
圖12是示出了實現(xiàn)本發(fā)明的軟件結構的一個示例圖,包括基本 域、可信擴展域和不可信擴展域。可以采用包括三組CPU等的圖10 結構作為圖12所示的硬件結構。在這種情況下,作為執(zhí)行基本處理的 執(zhí)行環(huán)境的基本域可以對應于圖10中的軟件20和OS 21A,可信擴展 域?qū)趫D10中的軟件20B和OS 21B,不可信擴展域?qū)趫D10 中的軟件20C和OS21C。
參照圖12,基本域100A包括基本軟件110,包括基本應用程 序(稱作"基本應用")111和基本性能112; OS 101A;專用文件系 統(tǒng)103、外部設備102A、本機代碼下載管理功能104A和安全性政策 數(shù)據(jù)庫105。雖然未具體限定,但是當?shù)谌纠男畔⑻幚碓O備是便 攜式信息通信終端時,基本功能112實現(xiàn)便攜式信息通信終端的基本 性能,包括呼叫和呼入處理等呼叫處理、互聯(lián)網(wǎng)訪問和屏幕處理,這 與圖l基本處理22相對應?;緫?11調(diào)用基本功能112執(zhí)行處理, 基本功能112通過OS執(zhí)行對文件系統(tǒng)或外部設備的訪問。外部設備 包括諸如無線通信接口等通信接口、顯示設備接口、諸如按鍵或定點 設備等輸入接口、 SD (安全數(shù)字)存儲卡接口和聲音接口等。
可信擴展域100B包括本機代碼下載執(zhí)行功能104B、下載應用程 序(稱作"下載應用")120B、基本性能庫(包裝程序)113、 OS 101B 和允許的外部設備102B。
OS 101B包括具有證書的下載驅(qū)動器121B。具有證書的下載驅(qū)動 器121B執(zhí)行對允許的外部設備102B的輸入/輸出控制。
不可信擴展域100C包括本機代碼下載執(zhí)行功能104C、下載應用 120C、 OS 101C和允許的外部設備102C。合并到OS IOIC中的下載 驅(qū)動器121C執(zhí)行允許的外部設備102C的輸入/輸出控制。
對于來自基本域100A的外部設備102A以及下載的文件輸入, 本機代碼下載管理功能104A參考安全性政策數(shù)據(jù)庫105的內(nèi)容,以 向可信擴展域100B傳送可信(具有可信電子證書)本機代碼的應用, 并將可信(具有可信電子證書)本機代碼的下載驅(qū)動器121B合并到
OS 101B中。
本機代碼下載管理功能104A通過可信擴展域100B向不可信擴展 域100C傳送不可信(例如,沒有電子證書或證書內(nèi)容不正確等)應 用,以將不可信(無電子證書)下載驅(qū)動器合并到不可信擴展域的OS 101C中。
允許從可信擴展域IOOB調(diào)用基本功能112,而不允許從不可信擴 展域100C調(diào)用基本功能112。不可信擴展域100C和可信擴展域100B 可以協(xié)同工作。
僅當用戶對來自不可信域的數(shù)據(jù)進行了確認(OK)時,在可信 域中運行的應用程序才向基本功能112傳送數(shù)據(jù)。未經(jīng)用戶確認,不 向基本功能112傳送來自不可信域的數(shù)據(jù)。無法從可信擴展域100B 直接向基本域100A的基本功能112發(fā)出處理請求。
圖13是用于說明圖12所示第三示例的操作的圖,示出了基本應 用的執(zhí)行。在圖13中,每個箭頭所附的數(shù)字代表步驟編號,在這些步 驟中,在當前線上傳送信息。
步驟l:基本域100A的基本應用111向基本功能112發(fā)出處理請
求(例如,添加地址簿)。
步驟2:基本功能112使用OS 101A處理當前請求。
步驟3:基本功能112向基本應用111通知該請求是否被允許。
圖14是用于說明圖12所示第三示例的操作的圖,示出了下載可 信應用的執(zhí)行狀態(tài)。在圖14中,每個箭頭所附的數(shù)字代表步驟編號, 在這些步驟中,在線上傳送信息。
步驟1:下載數(shù)據(jù)從基本域100A上的外部設備102A(網(wǎng)絡或SD 存儲卡等)到達OS 101A。
步驟2:在基本功能112處,根據(jù)屬性信息等識別出下載數(shù)據(jù)是 附加應用(下載應用)。
步驟3:基本功能112向本機代碼下載管理功能104A傳送附加 應用,本機代碼下載管理功能104A參考安全性政策數(shù)據(jù)庫105,檢査 附加應用上所附電子證書。如上所述,例如,利用電子證書中存儲的 公鑰和數(shù)字簽名(用秘密密鑰對要證明的組織或公鑰的加密),當本機 代碼下載管理功能104A認證該證書時,用公鑰對一部分數(shù)字簽名進 行解密,以檢查解密是否符合證書的數(shù)據(jù)內(nèi)容,當在符合時,確定證 書的數(shù)據(jù)是可信的。進一步附加由應用的摘要形成的數(shù)字簽名,能夠 檢查下載的應用是否已改變。
步驟4:本機代碼下載管理功能104A將下載信息連同電子證書 一起保存在安全性政策數(shù)據(jù)庫105中。
步驟5:當檢查結果是電子證書正確時,基本域100A的本機代 碼下載管理功能104A向可信擴展域100B的本機代碼下載管理功能 104B傳輸下載應用,以請求執(zhí)行。從基本域100A的本機代碼下載管 理功能104A向可信擴展域100B的本機代碼下載管理功能104B的數(shù) 據(jù)傳輸是使用圖9或10中的處理器間通信單元40來執(zhí)行的。
步驟6:可信擴展域100B的本機代碼下載管理功能104B執(zhí)行擴 展,以運行接收到的下載應用。
步驟7:在可信擴展域上執(zhí)行下載應用。
圖15是用于說明圖12所示第三示例的操作的圖,示出了可信驅(qū)
動器的下載執(zhí)行。例如,可信驅(qū)動器表示其所附電子證書具有正確校 對結果的下載的驅(qū)動器。在圖15中,每個箭頭所附的數(shù)字代表步驟編 號,在這些步驟中,在相關線上傳送信息。
步驟1:下載數(shù)據(jù)從基本域100A上的外部設備102A(網(wǎng)絡或SD 存儲卡等)到達OS IOIA。
步驟2:在基本功能112處,根據(jù)屬性信息、自動安裝信息等識 別出下載數(shù)據(jù)是附加設備驅(qū)動器(下載驅(qū)動器)。
步驟3:基本功能112向本機代碼下載管理功能104A傳送接收 到的驅(qū)動器,本機代碼下載管理功能104A參考安全性政策數(shù)據(jù)庫 105,檢查下載數(shù)據(jù)上所附電子證書。
步驟4:本機代碼下載管理功能104A將下載信息連同電子證書 一起保存在安全性政策數(shù)據(jù)庫105中。
步驟5:本機代碼下載管理功能104A向可信擴展域100B的本機 代碼下載管理功能104B傳輸下載應用,以請求執(zhí)行安裝。從基本域 100A的本機代碼下載管理功能104A向可信擴展域100B的本機代碼 下載管理功能104B的數(shù)據(jù)傳輸是使用圖9或10中的處理器間通信單 元40來執(zhí)行的。
步驟6:可信擴展域100B的本機代碼下載管理功能104B自動安 裝接收到的下載驅(qū)動器。雖然未具體限定,但是第三示例中的下載驅(qū) 動器可以是駐留型驅(qū)動器,在安裝之后,通過重新啟動CPU將該駐留 型驅(qū)動器合并到OS 101B的特定區(qū)中。
步驟7:可信擴展域的OS 101B向已執(zhí)行的應用通知或顯示下載 驅(qū)動器已安裝。
步驟8:在可信擴展域中,已執(zhí)行的應用102B參考安裝的下載驅(qū)動器。
圖9:安裝并加載到可信擴展域的OS 101B中的下載驅(qū)動器121B 訪問允許的外部設備102B。
步驟10:下載驅(qū)動器121B將來自外部設備102B的數(shù)據(jù)返回到 下載應用120B。
圖16是用于說明圖12所示第三示例的操作的圖,示出了當可信擴展域的可信應用(下載應用)使用基本域的基本功能時執(zhí)行的操作。 在圖16中,每個箭頭所附的數(shù)字代表步驟編號,在這些步驟中,在相 關線上傳送信息。
步驟1:在可信擴展域100B中,下載應用120B請求基本功能庫 113執(zhí)行基本域100A的基本功能112處理。基本功能庫113是收集有 用于執(zhí)行基本域100A的基本功能112處理的例程的庫,由下載應用 120B啟動。
步驟2:可信擴展域100B的基本功能庫113使用下載應用120B 持有的電子證書的密鑰(公鑰等),對該請求加密,并將加密請求傳輸 至基本域100A的本機代碼下載管理功能104A。從可信擴展域100B 的基本功能庫113到基本域100A的本機代碼下載管理功能104A的請 求傳輸是通過圖9或10中的處理器間通信單元40來執(zhí)行的。
步驟3:基本域IOOA的本機代碼下載管理功能104A對接收到的 請求進行解碼,以使用電子證書來檢査該請求的請求發(fā)送源是否適當。 在本示例中,雖然使用請求的加密和解碼來檢査該請求,但是顯而易 見的是可以使用能夠?qū)煤碗娮幼C書相關的任何方法。
步驟4:當檢查結果是發(fā)現(xiàn)該請求適當時,基本域100A的本機 代碼下載管理功能104A向基本功能112發(fā)出請求。
步驟5:基本域100A的基本功能112處理從本機代碼下載管理 功能104A接收到的當前請求,并在完成處理之后,向基本域100A的 本機代碼下載管理功能104A通知處理完成。
步驟6:基本域100A的本機代碼下載管理功能104A向可信擴展 域100B的基本功能庫113通知處理完成。從基本域100A的本機代碼 下載管理功能104A向可信擴展域100B的基本功能庫113的通知傳輸 是通過圖9或10中的處理器間通信單元40來執(zhí)行的。
步驟7:作為對該請求的響應,可信擴展域100B的基本功能庫 113向下載應用120B通知處理完成。
圖17是用于說明圖12所示第三示例的操作的圖,示出了用于下 載不可信擴展域的不可信應用的執(zhí)行過程。在圖17中,每個箭頭所附 的數(shù)字代表步驟編號,在這些步驟中,在相關線上傳送信息。
步驟1:下載數(shù)據(jù)從基本域100A上的外部設備102A(網(wǎng)絡或SD 存儲卡等)到達OS IOIA。
步驟2:基本域100A的基本功能112分析屬性信息等,以識別 出下載數(shù)據(jù)是應用(下載應用)。
步驟3:基本域100A的基本功能112向本機代碼下載管理功能 104A傳送下載應用。本機代碼下載管理功能104A確定該應用上未附 加電子證書或電子證書不正確。
步驟4:基本域100A的本機代碼下載管理功能104A將下載信息 保存在安全性政策數(shù)據(jù)庫105中。
步驟5:基本域100A的本機代碼下載管理功能104A向可信擴展 域100B的本機代碼下載管理功能104B傳輸下載應用。從基本域100A 的本機代碼下載管理功能104A向可信擴展域100B的本機代碼下載管 理功能104B的應用傳輸是使用圖9或10中的處理器間通信單元40 來執(zhí)行的。
步驟6:可信擴展域100B的本機代碼下載管理功能104B向不可 信擴展域100C的本機代碼下載管理功能104C傳輸該應用。從可信擴 展域100B的本機代碼下載管理功能104B向不可信擴展域100C的本 機代碼下載管理功能104C的應用傳輸是使用圖9或10中的處理器間 通信單元40來執(zhí)行的。
步驟7:不可信擴展域100C的本機代碼下載管理功能104C啟動 接收到的下載應用120C。
步驟8:下載應用120C在不可信擴展域100C中開始運行。在這 種情況下,不可信擴展域的下載應用120C運行在不可信擴展域的OS IOIC上,從而只允許訪問允許的外部設備102C。
圖18是用于說明圖12所示第三示例的操作的圖,示出了不可信 驅(qū)動器的下載執(zhí)行狀態(tài)。在圖18中,每個箭頭所附的數(shù)字代表步驟編 號,在這些步驟中,在相關線上傳送信息。
步驟1:下載數(shù)據(jù)從基本域IOOA上的外部設備102A(網(wǎng)絡或SD 存儲卡等)到達OS IOIA。
步驟2:當由下載數(shù)據(jù)的到達而啟動時,基本功能112分析屬性信息、安裝信息等下載數(shù)據(jù),識別出數(shù)據(jù)是設備驅(qū)動器(下載驅(qū)動器)。
步驟3:基本功能112向本機代碼下載管理功能104A傳送下載 驅(qū)動器,本機代碼下載管理功能104A發(fā)現(xiàn)下載驅(qū)動器上未附有電子 證書、或者雖附有電子證書但是內(nèi)容不正確。
步驟4:本機代碼下載管理功能104A只將下載信息保存在安全 性政策數(shù)據(jù)庫105中。
步驟5:本機代碼下載管理功能104A向可信擴展域100B的本機 代碼下載管理功能104B傳輸下載驅(qū)動器。從基本域100A的本機代碼 下載管理功能104A向可信擴展域100B的本機代碼下載管理功能 104B的下載驅(qū)動器傳輸是通過圖9或10中的處理器間通信單元40 來執(zhí)行的。
步驟6:可信擴展域100B的本機代碼下載管理功能104B向不可 信擴展域100C的本機代碼下載管理功能104C傳送接收到的下載驅(qū)動 器。從可信擴展域100B的本機代碼下載管理功能104B向不可信擴展 域100C的本機代碼下載管理功能104C的下載驅(qū)動器傳送是通過圖9 或10中的處理器間通信單元40來執(zhí)行的。
步驟7:不可信擴展域100C的本機代碼下載管理功能104C安裝 接收到的下載驅(qū)動器121C。
步驟8: OS 101C向已執(zhí)行的應用120C通知驅(qū)動器121C已安裝 或?qū)⑵滹@示在屏幕上(為了通知用戶)。
步驟9:在不可信擴展域100C中,已執(zhí)行的應用102C參考安裝 的下載驅(qū)動器121C。
步驟10:在不可信擴展域100C中,安裝的下載驅(qū)動器121C通 過不可信擴展域的OS101C訪問允許的外部設備102C。
步驟11:在不可信擴展域中,下載驅(qū)動器121C將從外部設備102C 獲得的數(shù)據(jù)返回到下載應用120C。
圖19是用于說明圖12所示第三示例的操作的圖,示出了可信應 用與不可信應用之間的協(xié)作狀態(tài)。在圖19中,每個箭頭所附的數(shù)字代
表步驟編號,在這些步驟中,在相關線上傳送信息。
步驟1:不可信擴展域100C上的下載應用120C向可信擴展域
100B上的下載應用120B傳輸數(shù)據(jù)。數(shù)據(jù)傳輸通常是通過圖9或10 中的處理器間通信單元40來執(zhí)行的。
步驟2:可信擴展域100B上的下載應用120B基于接收到的數(shù)據(jù) 執(zhí)行處理,以請求基本功能庫113執(zhí)行基本功能處理,包括與不可信 擴展域協(xié)作的信息。
步驟3:可信擴展域IOOB上的基本功能庫113使用該應用持有的 電子證書對請求加密,以將該加密密碼傳輸至基本域100A上的本機 代碼下載管理功能104A。請求傳輸通常是通過圖9或10中的處理器 間通信單元40來執(zhí)行的。
步驟4:基本域100A的本機代碼下載管理功能104A使用安全性 政策數(shù)據(jù)庫105中存儲的電子證書,對請求進行解碼,以檢查該請求 的安全性。作為檢測結果,當該請求正確時,本機代碼下載管理功能 104A通過基本應用111要求用戶確認。基本應用111包括屏幕顯示和 輸出應用。在本示例中,雖然使用請求的加密和解碼來檢査該請求, 但是顯而易見的是可以使用能夠?qū)煤碗娮幼C書相關的任何方法。
步驟5:假設輸入"NO",作為來自用戶的確認。
步驟6:本機代碼下載管理功能104A向可信擴展域100B的基本 功能庫113通知不允許。不允許通知通常由圖9或10中的處理器間通 信單元40進行。
步驟7:基本功能庫113向下載應用120B通知不允許。
步驟8:可信擴展域100B上的下載應用120B向不可信擴展域 100C上的下載應用120C通知不允許。不允許通知通常由圖9或10 中的處理器間通信單元40進行。
圖20是用于說明圖12所示第三示例的操作的圖,示出了可信應 用與不可信應用之間的協(xié)作狀態(tài)。在圖20中,每個箭頭所附的數(shù)字代 表步驟編號,在這些步驟中,在相關線上傳送信息。
步驟1:不可信擴展域100C上的下載應用120C向可信擴展域 100B上的下載應用120B傳輸數(shù)據(jù)。數(shù)據(jù)傳輸通常是通過圖9或10 中的處理器間通信單元40來執(zhí)行的。
步驟2:可信擴展域100B上的下載應用120B基于接收到的數(shù)據(jù)執(zhí)行處理,以請求基本功能庫IB執(zhí)行基本功能處理,包括與不可信 擴展域協(xié)作的信息。
步驟3:可信擴展域100B上的基本功能庫113使用該應用持有的 電子證書對請求加密,以將該加密請求傳輸至基本域100A上的本機 代碼下載管理功能104A。該請求通常由圖9或10中的處理器間通信 單元40進行。
步驟4:基本域100A的本機代碼下載管理功能104A使用安全性 政策數(shù)據(jù)庫105中存儲的電子證書,對請求進行解碼,以檢査該請求 的安全性。作為檢測結果,當該請求正確時,本機代碼下載管理功能 104A通過基本應用111要求用戶確認。基本應用lll包括屏幕顯示和 輸出應用。在本示例中,雖然使用請求的加密和解碼來檢查該請求, 但是顯而易見的是可以使用能夠?qū)煤碗娮幼C書相關的任何方法。
步驟5:在該情況下,輸入"YES",作為用戶的確認。
步驟6:基本域100A的本機代碼下載管理功能104A請求基本功 能112。
步驟7:基本功能112處理該請求,并向本機代碼下載管理功能 104A通知處理完成。
步驟8:基本域100A的本機代碼下載管理功能104A向可信擴展 域100B的基本功能庫113通知該完成。完成通知由圖9或10中的處 理器間通信單元40進行。
步驟9:可信擴展域100B的基本功能庫113向下載應用120B通 知該完成。
步驟10:可信擴展域100B的下載應用120B向不可信擴展域100C 上的下載應用120C通知該完成。完成通知由圖9或10中的處理器間 通信單元40進行。
圖21是示出了作為基本結構的第四示例結構的圖。在OS和CPU 之間設置有虛擬機監(jiān)視器(由CPU和OS執(zhí)行的設置在其間的軟件 層)。這使CPU、 1/0和存儲器資源成為虛擬的。在OS與CPU之間, 虛擬機監(jiān)視器將虛擬硬件(例如,虛擬輸入/輸出設備)映射到真實硬 件設備上。對于基本域、可信擴展域和不可信擴展域中每一個,OS
利用虛擬CPU 200A、 200B和200C以及OS和CPU之間設置的虛擬 機監(jiān)視器210A、 210B和210C,控制與虛擬專用文件系統(tǒng)和虛擬外部 設備的輸入/輸出(1/0),將虛擬專用文件系統(tǒng)103,、虛擬外部設備 102A,、 102B,和102,映射到相應的真實文件系統(tǒng)和真實外部設備。
根據(jù)第四示例,與圖IO所示硬件結構和圖12所示軟件結構不同, 例如,對應于基本域的虛擬CPU并非固定的,而可以將可信擴展域等 的CPU映射為基本域的虛擬CPU。在進行封裝時,虛擬機監(jiān)視器不 需要修改現(xiàn)有OS、應用程序、CPU等。根據(jù)第四示例,每個域中CPU 的數(shù)目是可變的,以形成虛擬CPU。在軟件結構方面,基本域、可信 擴展域和不可信擴展域的結構與圖12所示結構相同,僅有的不同是設 備和文件系統(tǒng)是虛擬設備和虛擬文件系統(tǒng)。
圖22是示出了圖21所示第四示例的處理過程的一個示例圖。在 圖22中,每個箭頭上所附的數(shù)字代表步驟編號。
步驟1:基本域100A的虛擬機監(jiān)視器210A向可信擴展域100B 上的虛擬機監(jiān)視器210B請求CPU轉(zhuǎn)換。
步驟2:可信擴展域100B上的虛擬機監(jiān)視器210B減少虛擬CPU 資源。
步驟3:可信擴展域100B上的虡擬機監(jiān)視器210B向基本域100A 上的虛擬機監(jiān)視器210A通知可轉(zhuǎn)換的CPU。
步驟4:基本域100A上的虛擬機監(jiān)視器210A設置訪問擴展單元 等,以增加虛擬CPU的數(shù)目。
第四示例使另一組的CPU作為基本域的CPU進行操作。因為應 用下載處理與上述第三示例的處理操作(圖13到20)相同,所以不 再對其進行描述。
作為第四示例的修改示例,虛擬機監(jiān)視器可以運行在安全模式 下。這種設置進一步增強了安全性。
在上述每一個軟件示例中,每個域的CPU組作為多處理器進行 操作時,將硬件方面所有可協(xié)同操作的通道設計為由基本域IOOA控 制,例如將TLB (轉(zhuǎn)換后備緩沖器地址管理單元中設置的地址轉(zhuǎn)換 表)的所有條目清空的全部否定操作(shoot-down),以使保持高速緩
存一致性的總線和虛擬多處理器無效。此外,如圖23所示,每個域的
CPU組(例如,圖1所示具有多CPU結構的CPU組10A和10B)可 以構造為通過分離單元15進行劃分操作。這便于在將特定域的CPU 轉(zhuǎn)換至其他域時進行控制,從而處理失靈多處理器的性能下降等。
雖然相對于從設備外部(例如網(wǎng)絡)下載并執(zhí)行本機代碼的附加 處理(應用、設備驅(qū)動器)的信息處理終端設備,作為示例而描述了 上述第一到第四示例,但是本發(fā)明不限于這種信息處理終端設備,而 可應用于任何信息處理設備。
(第一典型實施方式)
將描述第一典型實施方式,其中本發(fā)明應用于前述作為基本結構 的任何信息處理設備。對于基本結構中示出的相同結構和操作,將適 當省略對其的描述。
(第一典型實施方式的結構)
如圖24所示,根據(jù)本發(fā)明第一典型實施方式的信息處理設備由 多處理器形成,包括最高可靠性域150A、中等可靠性域150B和低可 靠性域150C、數(shù)據(jù)傳輸單元301、 302和303、低可靠性域數(shù)據(jù)傳輸 單元304和305、中等可靠性域數(shù)據(jù)傳輸單元306和307、以及域停止 恢復單元400,并具有在被通知來自域的恢復請求等時執(zhí)行與所通知 的請求相對應的處理的功能、或者在該請求合理時執(zhí)行與所通知的請 求相對應的處理的功能。
根據(jù)本發(fā)明第一典型實施方式的信息處理設備可以是通過單處 理器的OS的并行處理系統(tǒng),這使每個域具有的單處理器的OS和現(xiàn) 有應用能夠在多處理器上運行而無需任何修改,并使現(xiàn)有應用能夠?qū)?現(xiàn)多處理器的并行處理。
在這種情況下,相比于在單處理器運行應用的情況,能夠?qū)崿F(xiàn)更 高速的處理,還可以采用比多處理器中每一個均包括獨立OS的并行 處理系統(tǒng)更簡單的結構,實現(xiàn)并行處理。
最高可靠性域150A對應于上述由圖9第二示例和圖10第三示例 中軟件20A和CPU 10A形成的結構、以及由圖21第四示例中基本域100A、虛擬CPU 200A和虛擬機監(jiān)控程序210A形成的結構,并類似 于基本域IOOA,具有基本應用或基本軟件。在這些基本應用和基本軟 件中有諸如郵件箱、瀏覽器、i-mode (注冊商標)和地址簿。
最高可靠性域150A也具有如下功能通過其自己的CPU和0S, 與中等可靠性域150B和低可靠性域150C通信與域中發(fā)出的處理請求 有關的數(shù)據(jù)、與控制有關的數(shù)據(jù)等。
因為最高可靠性域150A執(zhí)行安全性級別等于或高于固定級別的 處理,并與其他域分離設置,例如,由于最高可靠性域150A執(zhí)行從
外部下載的本機代碼失敗并且它具有最高可靠性,所以對于所有其他 域,該域能夠從諸如停止狀態(tài)等故障中恢復。
此外,因為最高可靠性域150A與專用于域通信路徑的低可靠性 域數(shù)據(jù)傳輸單元304和中等可靠性域數(shù)據(jù)傳輸單元306連接,而不是 最高可靠性域150A與專用于從最高可靠性域150A之外的其他域開始 的通信路徑的數(shù)據(jù)傳輸單元302和303連接,并且到每一個域的通信 路徑是分離設置的,所以允許只對最高可靠性域150A寫入多種數(shù)據(jù)。
中等可靠性域150B對應于上述由圖9第二示例和圖10第三示例 中軟件20B和CPU10B形成的結構、以及由圖21第四示例中可信擴 展域IOOB、虛擬CPU 200B和虛擬機監(jiān)控程序210B形成的結構。
中等可靠性域150B具有如下功能通過其自己的CPU和0S, 與最高可靠性域150A和低可靠性域150C通信與域中發(fā)出的處理請求 有關的數(shù)據(jù)、與控制有關的數(shù)據(jù)等。
中等可靠性域150B具有安全性級別低于由最高可靠性域150A執(zhí) 行的處理的至少一個處理,并與其他域分離設置,例如,只執(zhí)行下載 的本機代碼中保證可信的代碼。
低可靠性域150C對應于上述由圖9第二示例和圖10第三示例中 軟件20C和CPU 10C形成的結構、以及由圖21第四示例中不可信擴 展域IOOC、虛擬CPU 200C和虛擬機監(jiān)控程序210C形成的結構。
低可靠性域150C具有如下功能通過其自己的CPU和OS,與 最高可靠性域150A和中等可靠性域150B通信與域中發(fā)出的處理請求 有關的數(shù)據(jù)、與控制有關的數(shù)據(jù)等。低可靠性域150C具有安全性級別低于由中等可靠性域150B執(zhí)行 的處理的至少一個處理,并與其他域分離設置,例如,執(zhí)行下載的本 機代碼中除保證可信的代碼之外的其他代碼。
可以如下所述地形成最高可靠性域150A、中等可靠性域150B和 低可靠性域150C。
假設最高可靠性域150A為如下域具有最高可靠性域150A的 安全性級別的每一個執(zhí)行處理的安全性級別等于或高于中等可靠性域 150B的執(zhí)行處理的安全性級別,包括安全性級別較高的至少一個處 理,作為基本域執(zhí)行處理集合;假設中等可靠性域150B為如下域 具有中等可靠性域150B的安全性級別的每一個執(zhí)行處理的安全性級 別等于或高于低可靠性域150C的執(zhí)行處理的安全性級別,包括安全 性級別較高的至少一個處理,作為每一個域執(zhí)行處理集合;假設低可 靠性域150C為如下域具有低可靠性域150C的安全性級別的每一個 執(zhí)行處理的安全性級別等于或低于中等可靠性域150B的執(zhí)行處理的 安全性級別,包括安全性級別較低的至少一個處理,作為每一個域執(zhí) 行處理集合。
在這種情況下,最高可靠性域150A執(zhí)行安全性級別比中等可靠
性域150B的安全性級別相對較高的處理,中等可靠性域150B執(zhí)行安
全性級別比低可靠性域150C的安全性級別相對較高的處理。
本發(fā)明第一典型實施方式中的可靠性表示基于對應用于每個處
理的安全程度進行指示的電子證書、或根據(jù)特定安全性政策的安全性 級別每一級的一種設置。例如,對于被應用了數(shù)字簽名的每個處理, 基于特定安全性政策設定安全性級別。
圖25是示出了功能重要性設置表700的圖,示出了本發(fā)明第一 典型實施方式中可靠性設定的一個示例。
如圖25所示,設定可靠性為根據(jù)每一級別的重要性的安全性級 別,例如,分級地,級別A:需要口令;級別B:無需確認兩次;級 別C:每次執(zhí)行時確認;級別D:每次訪問時確認。
使用上表,根據(jù)要執(zhí)行的功能向域應用可靠性。具體而言,根據(jù) 域的故障恢復請求內(nèi)容的重要性,設定可靠性。
由此,能夠?qū)崿F(xiàn)靈活的恢復處理,例如,允許針對微小故障的恢復請求,而不是始終拒絕來自低可靠性域150C的恢復請求。
雖然可以在一個域中只設置同一種安全性級別,例如,級別A針 對最高可靠性域150A,級別B針對中等可靠性域150B,級別C針對 低可靠性域150C,但是,例如,如圖25所示,能夠?qū)崿F(xiàn)靈活恢復處 理的可靠性設置可以是根據(jù)要執(zhí)行的功能,將等于或高于級別A和 等于或高于級別B的級別設置為針對最高可靠性域150A;根據(jù)要執(zhí) 行的功能,將等于或高于級別B和等于或高于級別C的級別設置為針 對中等可靠性域150B;根據(jù)要執(zhí)行的功能,將等于或高于級別C和 等于或高于級別D的級別設置為針對低可靠性域150C。
例如,可以由最高可靠性域150A管理由此設定的可靠性,在這 種情況下,最高可靠性域150A的確定能夠根據(jù)可靠性來定義要執(zhí)行 的功能或處理的優(yōu)先級。
只要能夠進行上述設置,則可以基于任何證書或任何安全性政策 設定可靠性,并可以根據(jù)要執(zhí)行的功能或域數(shù)目來任意設定可靠性。
數(shù)據(jù)傳輸單元301、 302和303具有傳輸與域中發(fā)出的處理請求 有關的數(shù)據(jù)、與控制有關的數(shù)據(jù)等的功能,其結構示例包括共享存儲 器和處理器間中斷、FIFO或隊列、雙端口存儲器、LAN等網(wǎng)絡、有 線通信、無線電通信等,這些都可以由具有數(shù)據(jù)傳輸功能的常用相關 技術來實現(xiàn),只要能夠進行數(shù)據(jù)傳輸,其結構是不受特別限制的。
通過數(shù)據(jù)傳輸單元301、 302和303傳輸?shù)臄?shù)據(jù)包括用于標識發(fā) 出了處理請求的請求源域的信息、用于標識要處理的域的信息、用于 標識處理內(nèi)容的信息等,依據(jù)不同情況,還包括與要處理域的實際故 障狀況有關的信息。
數(shù)據(jù)傳輸單元301、 302和303包括用于執(zhí)行向傳輸目的地域中 的更高層進行錯誤通知或錯誤處理的機構(未示出)。這是因為傳輸目 的地域處于恢復處理時的數(shù)據(jù)傳輸需要消除無用的等待,直到這種機 構完成了數(shù)據(jù)傳輸。
對于稍后描述的數(shù)據(jù)傳輸單元304a、 305a、 306a和307a也是如此。
數(shù)據(jù)傳輸單元301具有向域停止恢復單元400通知處理請求的功 能,該處理請求請求恢復中等可靠性域150B或低可靠性域150C等, 并是由最高可靠性域150A發(fā)出的。
數(shù)據(jù)傳輸單元302具有向最高可靠性域150A通知處理請求的功 能,該處理請求請求恢復中等可靠性域150B或低可靠性域150C等, 并是由中等可靠性域150B發(fā)出的。
數(shù)據(jù)傳輸單元303具有向最高可靠性域150A通知處理請求的功 能,該處理請求請求恢復中等可靠性域150B或低可靠性域150C等, 并是由低可靠性域150C發(fā)出的。
低可靠性域數(shù)據(jù)傳輸單元304和305分別包括數(shù)據(jù)傳輸單元304a 和305a以及低可靠性域停止感測單元304b和305b,并具有如下功能 在向作為目標域的低可靠性域150C傳輸數(shù)據(jù)時,感測低可靠性域 150C實際上具有的故障狀況。
中等可靠性域數(shù)據(jù)傳輸單元306和307分別包括數(shù)據(jù)傳輸單元 306a和307a以及中等可靠性域停止感測單元306b和307b,并具有如 下功能在向作為目標域的中等可靠性域150B傳輸數(shù)據(jù)時,感測中 等可靠性域150B實際上具有的故障狀況。
數(shù)據(jù)傳輸單元304a、 305a、 306a和307a的功能與上述數(shù)據(jù)傳輸 單元301、 302和303的功能相同。
低可靠性域停止感測單元304b和305b具有如下功能在通過數(shù) 據(jù)傳輸單元304a和305a向低可靠性域150C傳輸數(shù)據(jù)時,感測低可 靠性域150C是否實際上處于停止狀態(tài)。
對于感測功能,例如,通過確定作為傳輸目的地域的低可靠性域 150C是否接收到當前數(shù)據(jù),感測低可靠性域150C是否處于停止狀態(tài)。 具體而言,通過測量低可靠性域150C接收當前數(shù)據(jù)中失敗的時間或 次數(shù),實現(xiàn)感測。為了防止增加最高可靠性域150A和中等可靠性域 150B的處理負荷,當前感測處理所需的時間應該盡量地短。
當感測到可靠性域150C處于停止狀態(tài)時,低可靠性域停止感測 單元304b和305b向最高可靠性域150A通知可靠性域150C處于停止 狀態(tài)。 中等可靠性域停止感測單元306b的結構和功能與低可靠性域停 止感測單元304b和305b的相同,并具有如下功能在通過數(shù)據(jù)傳輸 單元3066向中等可靠性域150B傳輸數(shù)據(jù)時,感測中等可靠性域150B 是否實際上處于停止狀態(tài)(感測該域的故障內(nèi)容)。
對于感測功能,例如,通過確定作為傳輸目的地域的中等可靠性 域150B是否接收到當前數(shù)據(jù),感測中等可靠性域150B是否處于停止 狀態(tài)。具體而言,通過測量中等可靠性域150B接收當前數(shù)據(jù)中失敗 的時間或次數(shù),實現(xiàn)感測。為了防止增加最高可靠性域150A的處理 負荷,當前感測處理所需的時間應該盡量地短。
當確認中等可靠性域150B處于停止狀態(tài)時,中等可靠性域停止 感測單元306b向最高可靠性域150A通知中等可靠性域150B處于停 止狀態(tài)。
如上所述,當被授權允許進行中等可靠性域150B的恢復處理時, 中等可靠性域停止感測單元306b可以直接向域停止恢復單元400通知 中等可靠性域150B處于停止狀態(tài),以使用域停止恢復單元400來執(zhí) 行中等可靠性域150B的恢復處理。
在這種情況下,因為最高可靠性域150A無法執(zhí)行與允許恢復處 理有關的處理,所以可以獲得減輕最高可靠性域150A的處理負荷的 效果。
另一方面,中等可靠性域停止感測單元307b是用于感測可靠性 高于其自身域的域是否停止的單元,具有如下功能在通過數(shù)據(jù)傳輸 單元3066向中等可靠性域150B傳輸數(shù)據(jù)時,感測中等可靠性域150B 是否實際上處于停止狀態(tài)。
對于感測功能,例如,通過確定作為傳輸目的地域的中等可靠性 域150B是否接收到當前數(shù)據(jù),感測中等可靠性域150B是否處于停止 狀態(tài)。具體而言,可以通過測量中等可靠性域150B接收當前數(shù)據(jù)中 失敗的時間或次數(shù),來進行確定。因為當前感測處理的時間越短,由 低可靠性域150C向最高可靠性域150A通知的信息的真實性的可靠性 越低,所以需要為當前感測處理提供較長時間。
當確認中等可靠性域150B處于停止狀態(tài)時,中等可靠性域停止
感測單元307b向最高可靠性域150A通知中等可靠性域150B處于停 止狀態(tài)。
此外,上述每一個域停止單元被允許通過如下所述的方法來感測 其停止尚待感測的域是否實際上處于停止狀態(tài)。
(1) 通過對由傳輸源域向作為停止感測目標的傳輸目的地域周 期性傳輸?shù)臋z査分組的響應的存在/不存在進行計數(shù),實現(xiàn)感測。具體 而言,對未接收到響應時的時間和次數(shù)進行計數(shù)。要計數(shù)的當前時間 和次數(shù)可以根據(jù)可靠性不同而改變。
(2) 通過對由傳輸目的地域顯示的停止/失控(mn-away)信息 進行計數(shù),實現(xiàn)感測。具體而言,對由傳輸目的地域周期性更新的信 息的停息進行計數(shù)。
可以由可靠性高于傳輸目的地域可靠性的域設置上述時間和次 數(shù)、更新信息計數(shù)頻率等。但是,設置的改變不可能超過最低閾值。
上述每一個域停止感測單元可以通過將上述感測處理方式、相關 時間、次數(shù)、更新信息等進行組合,檢査其停止尚待感測的域是否實 際上處于停止狀態(tài)。
鄰域停止恢復單元400具有如下功能執(zhí)行多種處理請求,包括 恢復處理,例如目標域中CPU復位、OS重新引導、該域本身的重新 引導、以及對例如月和天等特定時間和日期的環(huán)境的回退;或者根據(jù) 最高可靠性域150A通過數(shù)據(jù)傳輸單元301通知的恢復請求等,恢復 通信路徑和重啟動應用。此外,該單元構造為只能是最高可靠性域 150A可訪問的,以無條件地接受來自最高可靠性域150A的處理請求。
當最高可靠性域150A之外的其他域發(fā)出進行恢復處理等請求 時,域停止恢復單元400拒絕所有此類請求。
具體而言,可以通過對來自單獨域的恢復請求的允許或拒絕,根 據(jù)該域的可靠性,確定恢復條件。例如,本典型實施方式中的恢復條 件定義為允許所有來自最高可靠性域的恢復請求,拒絕所有來自其他 域的恢復請求。
圖26示出了域停止恢復單元400的結構。
如圖26所示,域停止恢復單元400包括恢復請求接收單元401
和域停止恢復處理單元402。
恢復請求接收單元401的功能是通過數(shù)據(jù)傳輸單元301接收來自 最高可靠性域150A的恢復請求(處理請求),以向域停止恢復處理單 元402通知該處理請求。
基于恢復請求接收單元401通知的處理請求,域停止恢復處理單 元402識別諸如要處理哪一個域和請求哪些處理等處理內(nèi)容,以要求 相關域提供相關處理內(nèi)容。
例如,在最高可靠性域150A通知的處理請求是用于停止中等可 靠性域150B的恢復處理的請求的情況下,域停止恢復處理單元402 要求停止中等可靠性域150B,以進行恢復處理。
在通信方面,因為每一層中定義有通信伙伴,所以處理內(nèi)容根據(jù) 每一層中感測的故障類型而改變。例如,恢復內(nèi)容隨著每一層中感測 的停止狀態(tài)而改變。
圖27示出了通信處理內(nèi)容(處理內(nèi)容)與其分層結構之間對應 關系的一個示例。
如圖27所示,例如,每個域的分層結構從高層開始由應用層、 庫層、OS層和CPU層依次形成,域停止恢復處理單元402執(zhí)行與預 先確定的每一層相對應的停止感測處理,以執(zhí)行通信處理(恢復處理)。
通信處理內(nèi)容(恢復處理內(nèi)容)包括應用層中應用的再啟動、庫 層中向特定時間點的回退、OS層中OS重新引導、以及CPU層中CPU 回退。
因為用于操作第一典型實施方式的信息處理設備的程序需要穩(wěn) 定地實現(xiàn)由上述每一個單元和裝置實施的功能,所以優(yōu)選地在最高可 靠性域150A中存儲和執(zhí)行該程序,最高可靠性域150A不會受到從外 部下載的附加處理的影響。
這里,將描述根據(jù)第一典型實施方式的信息處理設備的硬件結構。
圖28是示出了根據(jù)第一典型實施方式的信息處理設備的硬件結 構的一個示例的方框圖。
參照圖28,根據(jù)第一典型實施方式的信息處理設備可以實現(xiàn)為包括與通用計算機設備相同的硬件結構,即包括多個CPU(中央處理 單元)501;用作數(shù)據(jù)工作區(qū)或數(shù)據(jù)臨時保存區(qū)的主存儲單元502,作 為RAM (隨機存取存儲器)等主存儲器;通信單元503,用于通過互 聯(lián)網(wǎng)600發(fā)送和接收數(shù)據(jù);呈現(xiàn)單元504,諸如液晶顯示器、打印機 或揚聲器;輸入單元505,諸如按鍵操作單元;接口單元506,與外圍 設備連接,用于發(fā)送和接收數(shù)據(jù);輔助存儲單元507,作為由ROM(只 讀存儲器)等非易失性存儲器、磁盤或半導體存儲器形成的硬盤設備; 以及系統(tǒng)總線508,將上述本信息處理設備中的每個組件彼此連接。 根據(jù)第一典型實施方式的信息處理設備不僅通過安裝由諸如LSI
(大規(guī)模集成)等硬件部分形成的電路部分來作為硬件實現(xiàn)其操作, 其中將實現(xiàn)該功能的程序合并到信息處理設備內(nèi),而且通過在計算機 處理設備上的CPU 501上執(zhí)行用于提供上述每一個裝置和單元的每一 個功能的程序,以軟件形式實現(xiàn)其操作。
(第一典型實施方式的操作)
(最高可靠性域150A的處理請求)
圖29是用于說明圖24所示第一典型實施方式的一個操作示例的 圖,示出了通過最高可靠性域150A的中等可靠性域150B的停止感測 恢復處理。在圖29中,每個箭頭所附的數(shù)字代表步驟編號,在這些步 驟中,在相關線上傳送信息。
首先,假設中等可靠性域150B異常停止,作為初始狀態(tài)。 步驟1:最高可靠性域150A通過具有中等可靠性域停止感測功 能的數(shù)據(jù)傳輸單元306A的數(shù)據(jù)傳輸單元306a向中等可靠性域150B 發(fā)送數(shù)據(jù)。
步驟2:具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306的 中等可靠性域停止感測單元306b感測中等可靠性域150B的停止。
步驟3:當中等可靠性域停止感測單元306b感測到中等可靠性域 150B停止時,最高可靠性域150A通過數(shù)據(jù)傳輸單元301請求域停止 恢復單元400恢復中等可靠性域150B。
步驟4:基于來自最高可靠性域150A的恢復請求,域停止恢復 單元400恢復中等可靠性域150B。
圖30是用于說明圖24所示第一典型實施方式的一個操作示例的 圖,示出了通過最高可靠性域150A的低可靠性域150C的停止感測恢 復處理。在圖30中,每個箭頭所附的數(shù)字代表步驟編號,在這些步驟 中,在相關線上傳送信息。
首先,假設低可靠性域150C異常停止,作為初始狀態(tài)。
步驟1:最高可靠性域150A通過具有低可靠性域停止感測功能 的數(shù)據(jù)傳輸單元304的數(shù)據(jù)傳輸單元304a向低可靠性域150C發(fā)送數(shù) 據(jù)。
步驟2:具有低可靠性域停止感測功能的數(shù)據(jù)傳輸單元304的低 可靠性域停止感測單元304b感測低可靠性域150C的停止。
步驟3:當?shù)涂煽啃杂蛲V垢袦y單元304b感測到低可靠性域150C 停止時,最高可靠性域150A通過數(shù)據(jù)傳輸單元301請求域停止恢復 單元400恢復低可靠性域150C。
步驟4:基于來自最高可靠性域150A的恢復請求,域停止恢復 單元400恢復低可靠性域150C。
(中等可靠性域150B的處理請求)
圖31是用于說明圖24所示第一典型實施方式的一個操作示例的 圖,示出了通過中等可靠性域150B的低可靠性域150C的停止感測恢 復處理。在圖31中,每個箭頭所附的數(shù)字代表步驟編號,在這些步驟 中,在相關線上傳送信息。
首先,假設低可靠性域150C異常停止,作為初始狀態(tài)。
步驟1:中等可靠性域150B通過具有低可靠性域停止感測功能的 數(shù)據(jù)傳輸單元305的數(shù)據(jù)傳輸單元305a向低可靠性域150C發(fā)送數(shù)據(jù)。
步驟2:具有低可靠性域停止感測功能的數(shù)據(jù)傳輸單元305的低 可靠性域停止感測單元305b感測低可靠性域150C的停止。
步驟3:當?shù)涂煽啃杂蛲V垢袦y單元305b感測到低可靠性域150C 停止時,中等可靠性域150B通過數(shù)據(jù)傳輸單元302請求最高可靠性 域150A恢復低可靠性域150C。
步驟4:最高可靠性域150A通過數(shù)據(jù)傳輸單元301請求域停止 恢復單元400恢復低可靠性域150C。
步驟5:基于來自最高可靠性域150A的恢復請求,域停止恢復 單元400恢復低可靠性域150C。
在步驟3與4之間,為了確認上述請求被恢復的低可靠性域150C 確實停止,最高可靠性域150A可以通過使用具有低可靠性域停止感 測功能的數(shù)據(jù)傳輸單元304,感測停止存在/不存在。
備選地,在步驟4與5之間,為了確認上述請求被恢復的低可靠 性域150C確實停止,域停止恢復單元400可以通過使用具有低可靠 性域停止感測功能的數(shù)據(jù)傳輸單元304,感測停止存在/不存在。
(低可靠性域150C的處理請求)
圖32是用于說明圖24所示第一典型實施方式的一個操作示例的 圖,示出了通過低可靠性域150C的中等可靠性域150B的停止感測恢 復處理。在圖32中,每個箭頭所附的數(shù)字代表步驟編號,在這些步驟 中,在相關線上傳送信息。
首先,假設中等可靠性域150B異常停止,作為初始狀態(tài)。 步驟l:低可靠性域150C通過具有中等可靠性域停止感測功能的 數(shù)據(jù)傳輸單元307的數(shù)據(jù)傳輸單元307a向中等可靠性域150B發(fā)送數(shù) 據(jù)。
步驟2:具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元307的 中等可靠性域停止感測單元307b感測中等可靠性域150B的停止。
步驟3:當中等可靠性域停止感測單元307b感測到中等可靠性域 150B停止時,低可靠性域150C通過數(shù)據(jù)傳輸單元303請求最高可靠 性域150A恢復中等可靠性域150B。
步驟4:因為作為恢復請求源域的低可靠性域150C的可靠性低于 作為恢復目標域的中等可靠性域150B的可靠性,并且該可靠性較低, 所以為了確認恢復請求的目標或內(nèi)容的真實性,最高可靠性域150A 通過具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306的中等可靠 性域停止感測單元306b向中等可靠性域150B發(fā)送數(shù)據(jù)。
步驟5:具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306的 中等可靠性域停止感測單元306b感測中等可靠性域150B的停止,以 確認中等可靠性域150B確實停止。
步驟6:當確認了中等可靠性域150B確實停止時,最高可靠性域 150A通過數(shù)據(jù)傳輸單元301請求域停止恢復單元400恢復中等可靠性 域150B。
步驟7:基于來自最高可靠性域150A的恢復請求,域停止恢復 單元400恢復中等可靠性域150B。
在步驟4到步驟6中,如果最高可靠性域150A未執(zhí)行相關確認 處理,則域停止恢復單元400可以在步驟6和7之間通過使用具有中 等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306,感測停止存在/不存在, 以確認上述請求被恢復的中等可靠性域150B確實停止。 (相同可靠性域的處理請求)
圖33是用于說明圖24所示第一典型實施方式的一個操作示例的 圖,示出了通過中等可靠性域150B的其他可靠性域的停止感測恢復 處理,作為相同可靠性域中停止感測恢復處理的示例。在圖33中,每 個箭頭所附的數(shù)字代表步驟編號,在這些步驟中,在相關線上傳送信 息。
首先,假設中等可靠性域150B的組中至少有一個中等可靠性域 150B異常停止,作為初始狀態(tài)。
步驟1:其他未停止的中等可靠性域150B向中等可靠性域150B 組中的上述中等可靠性域150B發(fā)送數(shù)據(jù)。
步驟2:感測作為數(shù)據(jù)傳輸目的地的上述中等可靠性域150B的停 止。相同可靠性域中的停止感測處理與在未設置可靠性的域之中的同 一域中的停止感測處理一樣。因此,由于這種停止感測處理是常用技 術,所以不對其進行描述。
步驟3:當感測到作為數(shù)據(jù)傳輸目的地的上述中等可靠性域150B 停止時,作為數(shù)據(jù)傳輸源的中等可靠性域150B通過數(shù)據(jù)傳輸單元302 請求最高可靠性域150A恢復上述處于停止狀態(tài)的中等可靠性域 150B。
步驟4:最高可靠性域150A通過數(shù)據(jù)傳輸單元301請求域停止 恢復單元400恢復上述處于停止狀態(tài)的中等可靠性域150B。
步驟5:域停止恢復單元400基于來自最高可靠性域150A的恢
復請求,恢復上述處于停止狀態(tài)的中等可靠性域150B。
在步驟3與4之間,為了確認上述請求被恢復的處于停止狀態(tài)的 中等可靠性域150B確實停止,最高可靠性域150A可以通過使用具有 中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306,感測停止存在/不存在。
備選地,在步驟4與5之間,為了確認上述請求被恢復的處于停 止狀態(tài)的中等可靠性域150B確實停止,域停止恢復單元400可以通 過使用具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306,感測停 止存在/不存在。
(第一典型實施方式的有益效果)
根據(jù)本發(fā)明第一典型實施方式,因為基于可靠性將每個域分離開 來,所以具有郵件箱或瀏覽器等基本處理的最高可靠性域150A不會 受到來自最高可靠性域150A之外的其他域的攻擊的影響,即使當最 高可靠性域150A之外的其他域停止時,信息處理設備的郵件箱或瀏 覽器等基本處理也不會凍結。換言之,因為不會從可靠性較低的域接 受諸如包含病毒的惡意處理請求或?qū)﹀e誤恢復的處理請求,所以可以 防止信息處理設備的基本處理被凍結。
此外,因為最高可靠性域150A與專用于域通信路徑的低可靠性 域數(shù)據(jù)傳輸單元304和中等可靠性域數(shù)據(jù)傳輸單元306連接,而不是 最高可靠性域150A與專用于從最高可靠性域150A之外的其他域開始 的通信路徑的數(shù)據(jù)傳輸單元302和303連接,并且設置有到每一個域 的通信路徑,所以允許只對最高可靠性域150A寫入多種數(shù)據(jù),消除 了對各個域之間互斥控制的需要。
此外,因為可以通過域停止恢復單元恢復最高可靠性域150A之 外的、發(fā)生停止等類似錯誤的其他域,所以可以確保最高可靠性域 150A的安全性,同時能夠?qū)崿F(xiàn)信息處理設備的連續(xù)操作。
此外,通過監(jiān)視定時器(watchdog timer)等的自發(fā)性域恢復的問 題在于,因為不清楚用于恢復數(shù)據(jù)傳輸目的地域所需的時間,所以處 理錯誤會導致性能下降,引起無法啟動自發(fā)性域恢復的情況發(fā)生,而 根據(jù)本發(fā)明第一典型實施方式,在向中等可靠性域150B或低可靠性
域150C傳輸數(shù)據(jù)時,允許最高可靠性域150A利用低可靠性域數(shù)據(jù)傳 輸單元304和中等可靠性域數(shù)據(jù)傳輸單元306來感測這些域中發(fā)生的 故障,所以能夠在數(shù)據(jù)傳輸時恢復這些故障,避免上述問題。
此外,因為最高可靠性域150A包括兩種停止感測單元,即低可 靠性域停止感測單元304和中等可靠性域停止感測單元,所以可以分 散通過最高可靠性域150A的停止感測處理,從而提高速度。
此外,因為允許最高可靠性域150A基于可靠性優(yōu)先級,通過其 自身確定來執(zhí)行恢復處理,所以能夠?qū)崿F(xiàn)信息處理設備的適當恢復, 例如以必要功能開始的優(yōu)先恢復。例如,即使在向發(fā)生錯誤的域同時 發(fā)出多個恢復請求時,也能夠基于作為恢復請求的請求源的域的可靠 性,或者基于由恢復請求指示的處理內(nèi)容的可靠性優(yōu)先級,進行靈活 和有效的恢復處理。也可以抑制不必要恢復處理的產(chǎn)生或執(zhí)行最少量 的必要恢復處理。
(第二典型實施方式) 第二典型實施方式對應于圖24所示的第一典型實施方式,其采 用與第一典型實施方式相同的結構,但是具有如下不同域停止恢復 單元400具有停止確認單元403,用于接收在多種域中發(fā)出的請求。
下面,將主要描述與上述第一典型實施方式的不同之處,并不再 描述與第一典型實施方式共有的組件。
(第二典型實施方式的結構)
圖34是示出了根據(jù)第二典型實施方式的域停止恢復單元400的 結構圖。
如圖34所示,根據(jù)第二典型實施方式的域停止恢復單元400與 第一典型實施方式的不同之處在于具有停止確認單元403。
停止確認單元403具有如下功能通過恢復請求接收單元401, 從由多種域通知的信息中獲得用于標識發(fā)出了恢復請求(處理請求)的 請求源域的信息、用于標識要處理的域的信息、用于標識處理內(nèi)容等 的信息,并使用低可靠性域停止感測單元304和中等可靠性域停止感 測單元306來感測要處理的域的實際故障狀況,以確認獲得的處理內(nèi)
容的真實性。
當由此確認了獲得的處理內(nèi)容是真實的時,停止確認單元403向 域停止恢復處理單元402通知從多種域通知的信息,以請求處理。
當被停止確認單元請求進行處理時,域停止恢復處理單元402基 于由停止確認單元403通知的信息,要求要處理的域中的預定單元進 行恢復等處理。
在第二典型實施方式中,域停止恢復單元400具有的停止確認單 元403可以包括低可靠性域停止感測單元304和中等可靠性域停止感 測單元306,備選地,停止確認單元403可以設置在域停止恢復單元 400外部,以基于從多種域通知的信息來執(zhí)行上述感測處理,并向域 停止恢復單元400中的域停止恢復處理單元402發(fā)出處理請求。
(第二典型實施方式的操作)
(中等可靠性域150B的處理請求)
圖35是用于說明當圖24所示第一典型實施方式包括圖34所示 的域停止恢復單元400時執(zhí)行的一個操作示例的圖,示出了通過中等 可靠性域150B的低可靠性域150C的停止感測恢復處理。在圖35中, 每個箭頭所附的數(shù)字代表步驟編號,在這些步驟中,在相關線上傳送 信息。
這與圖24所示的第一典型實施方式的不同之處在于,中等可靠 性域150B通過數(shù)據(jù)傳輸單元302請求域停止恢復單元400恢復低可 靠性域150C。
首先,假設低可靠性域150C異常停止,作為初始狀態(tài),并且允 許中等可靠性域150B使用域停止恢復單元400或具有使用域停止恢 復單元400的授權。
步驟1:中等可靠性域150B通過具有低可靠性域停止感測功能的 數(shù)據(jù)傳輸單元305的數(shù)據(jù)傳輸單元305a向低可靠性域150C發(fā)送數(shù)據(jù)。
步驟2:具有低可靠性域停止感測功能的數(shù)據(jù)傳輸單元305的低 可靠性域停止感測單元305b感測低可靠性域150C的停止。
步驟3:當?shù)涂煽啃杂蛲V垢袦y單元305b感測到低可靠性域150C 停止時,被允許使用域停止恢復單元400的中等可靠性域150B通過數(shù)據(jù)傳輸單元302請求域停止恢復單元400恢復低可靠性域150C。
步驟4:基于來自中等可靠性域150B的恢復請求,域停止恢復單
元400恢復低可靠性域150C。
在步驟3與4之間,為了確認上述請求被恢復的低可靠性域150C
確實停止,域停止恢復單元400可以通過使用具有低可靠性域停止感
測功能的數(shù)據(jù)傳輸單元304,感測停止存在/不存在。
備選地,理論上,為了確認上述請求被恢復的低可靠性域150C
確實停止等故障,在步驟3和4之間,域停止恢復單元400可以通過
使用具有低可靠性域停止感測功能的數(shù)據(jù)傳輸單元304,感測停止存
在/不存在,并且在中等可靠性域150B發(fā)出恢復請求時,基于可靠性
設置,不再感測上述停止等故障的存在/不存在。 (低可靠性域150C的處理請求)
圖36是用于說明當圖24所示第一典型實施方式包括圖34所示 的域停止恢復單元400時執(zhí)行的一個操作示例的圖,示出了通過低可 靠性域150C的中等可靠性域150B的停止感測恢復處理。在圖36中, 每個箭頭所附的數(shù)字代表步驟編號,在這些步驟中,在相關線上傳送
倍息o
這與圖24所示的第一典型實施方式的不同之處在于低可靠性 域150C通過數(shù)據(jù)傳輸單元303請求域停止恢復單元400恢復中等可 靠性域150B,域停止恢復單元400通過使用具有中等可靠性域停止感 測功能的數(shù)據(jù)傳輸單元307,感測到中等可靠性域150B的數(shù)據(jù)傳輸和 中等可靠性域150B的停止。
首先,假設中等可靠性域150B異常停止,作為初始狀態(tài),并且 允許低可靠性域150C使用域停止恢復單元400或具有使用域停止恢 復單元400的授權。
步驟l:低可靠性域150C通過具有中等可靠性域停止感測功能的 數(shù)據(jù)傳輸單元307的數(shù)據(jù)傳輸單元307a向中等可靠性域150B發(fā)送數(shù) 據(jù)。
步驟2:具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元307的 低可靠性域停止感測單元307b感測中等可靠性域150B的停止。
步驟3:當中等可靠性域停止感測單元307b感測到低可靠性域 150C停止時,低可靠性域150C通過數(shù)據(jù)傳輸單元303請求域停止恢 復單元400恢復中等可靠性域150B。
步驟4:因為作為恢復請求源域的低可靠性域150C的可靠性低于 作為恢復目標域的中等可靠性域150B的可靠性,并且該可靠性較低, 所以為了確認恢復請求的目標或內(nèi)容的真實性,域停止恢復單元400 通過具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306的數(shù)據(jù)傳輸 單元306a向中等可靠性域150B發(fā)送數(shù)據(jù)。
步驟5:當具有中等可靠性域停止感測功能的、數(shù)據(jù)傳輸單元306 的中等可靠性域停止感測單元306b感測到中等可靠性域150B的停止 時,域停止恢復單元400確認中等可靠性域150B確實停止。
步驟6:當確認了中等可靠性域150B確實停止時,域停止恢復單 元400基于來自低可靠性域150C的恢復請求,恢復中等可靠性域 150B。
(相同可靠性域的處理請求)
圖37是用于說明當圖24所示第一典型實施方式包括圖34所示 的域停止恢復單元400時執(zhí)行的一個操作示例的圖,示出了通過中等 可靠性域150B的其他可靠性域的停止感測恢復處理,作為相同可靠 性域中停止感測恢復處理的示例。在圖37中,每個箭頭所附的數(shù)字代 表步驟編號,在這些步驟中,在相關線上傳送信息。
這與圖24所示的第一典型實施方式的不同之處在于,中等可靠 性域150B通過數(shù)據(jù)傳輸單元302請求域停止恢復單元400恢復其他 中等可靠性域150B。
首先,假設中等可靠性域150B的組中至少有一個中等可靠性域 150B被允許使用域停止恢復單元400或具有使用域停止恢復單元400 的授權,作為初始狀態(tài)。
步驟1:其他未停止的中等可靠性域150B向中等可靠性域150B 組中的上述中等可靠性域150B發(fā)送數(shù)據(jù)。
步驟2:感測作為數(shù)據(jù)傳輸目的地的上述中等可靠性域150B的停止。
步驟3:當感測到作為數(shù)據(jù)傳輸目的地的上述中等可靠性域150B 停止時,被允許使用域停止恢復單元400的、作為數(shù)據(jù)傳輸源的中等 可靠性域150B通過數(shù)據(jù)傳輸單元302請求域停止恢復單元400恢復 上述處于停止狀態(tài)的中等可靠性域150B。
步驟5:域停止恢復單元400基于來自作為當前數(shù)據(jù)傳輸源的最 高可靠性域150A的恢復請求,恢復上述處于停止狀態(tài)的中等可靠性 域150B。
在步驟3與4之間,為了確認上述請求被恢復的中等可靠性域 150B確實停止,域停止恢復單元400可以通過使用具有中等可靠性域 停止感測功能的數(shù)據(jù)傳輸單元306,感測停止存在/不存在。 (第二典型實施方式的有益效果)
根據(jù)第二典型實施方式,停止確認單元403基于由多種域通知的
信息,執(zhí)行上述感測處理。因此,即使當中等可靠性域150B或低可 靠性域150C向最高可靠性域150A通知處理請求時,也無需感測要處 理的域的實際故障狀況和確認處理內(nèi)容的真實性,從而可以減輕最高 可靠性域150A的處理負荷。
(第三典型實施方式)
第三典型實施方式對應于圖24所示的第一典型實施方式,其采 用與第一典型實施方式相同的結構,但是具有如下不同域停止恢復 單元400具有恢復處理控制單元404,用于接收由多種域發(fā)出的請求。 下面,將主要描述與上述第一典型實施方式的不同之處。
(第三典型實施方式的結構)
圖38是示出了根據(jù)第三典型實施方式的域停止恢復單元400的 結構圖。
如圖38所示,根據(jù)第三典型實施方式的域停止恢復單元400與 第一典型實施方式的不同之處在于具有恢復處理控制單元404。
恢復處理控制單元404具有與圖4所示訪問控制單元30相同的 結構和功能,包括存儲有恢復處理允許數(shù)據(jù)404a和恢復處理允許單元 404b的存儲單元,并具有確定是否允許通過恢復請求接收單元401從最高可靠性域150A之外的其他域通知處理請求的功能。
此外,當被通知了處理請求時,恢復處理控制單元404只向域停 止恢復單元400通知所允許的處理請求。
這里,對于從每一域接收的恢復請求(處理請求),恢復請求接 收單元401向域停止恢復處理單元402通知從最高可靠性域150A接 收的恢復請求(處理請求),并向恢復處理允許單元404b通知從最高 可靠性域150A之外的其他域接收的恢復請求(處理請求)。
恢復處理控制單元404執(zhí)行控制,以僅允許最高可靠性域150A 之外的其他域中具有要求的低安全性級別的域向預先允許的域發(fā)出預 先允許形式的處理請求。
恢復處理允許數(shù)據(jù)404a是由最高可靠性域150A預先設定的數(shù) 據(jù),其中將從最高可靠性域150A之外的其他域通知的處理請求和預 定處理內(nèi)容與預定域彼此相關,可以從最高可靠性域150A讀取或向 其最高可靠性域150A寫入該數(shù)據(jù)。只允許從恢復處理允許單元404b 進行讀取。此外,不允許從最高可靠性域150A之外的其他域進行讀 寫。換言之,恢復處理允許數(shù)據(jù)404a與最高可靠性域150A之外的其 他域不存在數(shù)據(jù)總線。
圖39示出了恢復處理允許數(shù)據(jù)404a的內(nèi)容的一個示例。 如圖39所示,對于作為請求恢復端域的特定請求源域,恢復處 理允許數(shù)據(jù)404a定義作為恢復處理目標的恢復目的地域及其恢復方 法。
在請求源域是域#1的情況下,不定義任何恢復目的地域和恢復方法。
在請求源域是域#2的情況下,只定義域#1為恢復目的地域,只 定義OS重新引導為恢復方法。
在請求源域是域#3的情況下,只定義域#2為恢復目的地域,定 義復位和回退為恢復方法。
恢復處理允許單元404b具有如下功能當通過恢復請求接收單 元接收到來自最高可靠性域150A之外的其他域的處理請求時,參考 恢復處理允許數(shù)據(jù)404a的請求源域、恢復目的地域和恢復方法,以確
定該處理請求是否相關,當該請求是被允許的處理請求時,向域停止
恢復單元400發(fā)出處理請求。另一方面,當確定為不允許時,恢復處 理允許單元404b不向域停止恢復單元400發(fā)出處理請求。
換言之,除了如第一典型實施方式所述的根據(jù)域可靠性允許或拒 絕來自單獨域的恢復請求,還可以根據(jù)恢復目的地域和恢復處理等處 理內(nèi)容來確定恢復條件。例如,除了第一典型實施方式中用于拒絕來 自域#1的所有恢復請求的條件設置,作為本典型實施方式的恢復條 件,還可以定義根據(jù)每個恢復目的地域和處理內(nèi)容,部分地允許來自 域#2和域#3的恢復請求。因此,特征在于能夠?qū)崿F(xiàn)精細的恢復條件設 置。
(
第三實施方式的操作)
圖40是用于說明恢復處理控制單元404的一個操作示例的圖。 在圖40中,箭頭旁邊的數(shù)字表示步驟編號。
首先,最高可靠性域150A定義恢復處理允許數(shù)據(jù)404a的內(nèi)容, 作為初始設置。
步驟1:假設最高可靠性域150A之外的其他域發(fā)出與恢復處理 允許數(shù)據(jù)404a不相符合的處理請求。
步驟2:恢復處理控制單元404b通過獲得該處理請求,讀取恢復 處理允許數(shù)據(jù)404a,以確定是否允許該處理請求。
步驟3:恢復處理允許單元404b向最高可靠性域150A之外的其 他域返回錯誤。這是因為該處理請求不符合讀取恢復處理允許數(shù)據(jù) 404a。
步驟4:最高可靠性域150A之外的其他域發(fā)出不同于上述處理 請求的其他處理請求。
步驟5:恢復處理允許單元404b通過獲得該處理請求來讀取恢復 處理允許數(shù)據(jù)404a,以確定是否允許該處理請求。
步驟6:當允許來自最高可靠性域150A之外的其他域的該處理 請求時,恢復處理允許單元404b向域停止恢復處理單元402發(fā)出處理 請求。
雖然相對于基于恢復處理允許數(shù)據(jù)404a來控制處理請求的示例
描述了第三典型實施方式,作為恢復處理控制單元404的結構,并且 恢復處理允許數(shù)據(jù)404a包括恢復處理允許單元404b,但是本發(fā)明不 限于上述結構,可以設置恢復處理拒絕數(shù)據(jù)和恢復處理拒絕單元,取 代恢復處理允許數(shù)據(jù)(反轉(zhuǎn))。在這種情況下,當來自最高可靠性域 150A之外的其他域的處理請求符合所有預定請求源域或任一預定請 求源域中的預定條件,并且在預定請求源域中由恢復處理拒絕數(shù)據(jù)、 恢復拒絕目的地域和恢復方法定義對恢復處理的拒絕時,恢復處理拒 絕單元執(zhí)行控制,拒絕當前處理請求。
(第三典型實施方式的有益效果)
因為根據(jù)本發(fā)明第三典型實施方式,恢復處理控制單元404的恢 復處理允許單元404b基于恢復處理允許數(shù)據(jù)404a執(zhí)行控制,只允許 至預先允許的域并具有預先允許的形式的處理請求,所以可以阻止由 最高可靠性域150A之外的其他域通過下載等從外部獲得的附加處理 對要求高安全性級別的最高可靠性域150A的多種攻擊。
此外,恢復處理控制單元404分散了域停止恢復單元400的恢復
處理,以加速恢復處理。
作為第三典型實施方式的變化示例,恢復處理允許單元404b可
以包括高速緩存。在這種情況下,用于確定允許/不允許處理請求的恢 復處理允許數(shù)據(jù)404a存儲在高速緩存中,以在確定允許/不允許隨后 的處理請求中,確定高速緩存在是否存在該相關處理請求的恢復處理 允許數(shù)據(jù)404a,并在高速緩存擊中的情況下,加快對允許/不允許處理 請求的確定速度。
(第四典型實施方式)
第四典型實施方式對應于圖24所示的第一典型實施方式,其采 用與第一典型實施方式相同的結構,但是具有如下不同域停止恢復 單元400具有停止確定單元403和恢復處理控制單元404。
下面,將主要描述與上述第一典型實施方式的不同之處。
圖41是示出了根據(jù)第四典型實施方式的域停止恢復單元400的 結構圖。
如圖41所示,根據(jù)第四典型實施方式的域停止恢復單元400與 第一典型實施方式的不同之處在于具有停止確定單元403和恢復處理 控制單元404。
這里,因為停止確定單元403的結構與第二典型實施方式中的停 止確定單元403的結構相同,并且恢復處理控制單元404的結構與第 三典型實施方式中的恢復處理控制單元404的結構相同,所以不再對 其進行描述。
(第四典型實施方式的操作)
在根據(jù)第四典型實施方式的域停止恢復單元400中,類似于第三 典型實施方式,恢復處理控制單元404確定允許或不允許來自最高可 靠性域150A之外的其他域的處理請求,并且類似于第二典型實施方 式,停止確定單元403獲得被恢復處理控制單元404允許的處理請求, 確認與獲得的處理請求有關的處理內(nèi)容的真實性,并在確認其真實時, 向域停止恢復處理單元402通知所獲得的處理請求的有關信息。 (第四典型實施方式的有益效果)
根據(jù)本發(fā)明的第四典型實施方式,因為恢復處理控制單元404的 恢復處理允許單元404b基于恢復處理允許數(shù)據(jù)404a執(zhí)行控制,只允 許至預先允許的域并具有預先允許的形式的處理請求,所以可以阻止 由最高可靠性域150A之外的其他域通過下載等從外部獲得的附加處 理對要求高安全性級別的最高可靠性域150A的多種攻擊,從增強了 最高可靠性域150A的安全性。
此外,因為恢復處理控制單元404分散了域停止恢復單元400的 恢復處理,所以可以加速恢復處理。
此外,停止確定單元403基于與恢復處理控制單元404允許的處 理請求有關的信息,執(zhí)行上述感測處理。因此,即使當中等可靠性域 150B或低可靠性域150C向最高可靠性域150A通知處理請求時,也 無需感測要處理的域的實際故障狀況和確認處理內(nèi)容的真實性,從而 可以減輕最高可靠性域150A的處理負荷,并在確保最高可靠性域 150A的安全性的同時,適當恢復域中實際發(fā)生的故障。
雖然相對于上述多個優(yōu)選的典型實施方式描述了本發(fā)明,但是本 發(fā)明不限于上述典型實施方式,而可以在其技術構思范圍內(nèi)作出改變。
例如,雖然相對于由例如三個域形成的信息處理設備描述了本典 型實施方式,但是域數(shù)目不限于三個,而可以是兩個或不少于四個, 只要如本典型實施方式中所述的一樣將各個域分離開來。
此外,例如,相對于將恢復處理控制單元404設置在域停止恢復 單元400中的結構,描述了本典型實施方式,而恢復處理控制單元404 的位置不限于在域停止恢復單元400內(nèi),而可以在域停止恢復單元400 外部、最高可靠性域150A內(nèi)或多個位置處。當恢復處理控制單元404 設置在最高可靠性域150A中時,最高可靠性域150A可以確定是否允 許來自最高可靠性域150A內(nèi)之外的其他域的處理請求,并向域停止 恢復處理單元402通知所允許的處理請求的信息。
根據(jù)本發(fā)明典型實施方式,可以獲得以下有益效果。 第一效果是在恢復請求滿足預先設定的恢復條件時,恢復每個域 中發(fā)生的故障。
這是因為,根據(jù)要執(zhí)行的處理內(nèi)容設置多個處理器,以形成多個 域,不同域中的處理器通過通信單元彼此通信,以基于從域通知的故 障恢復請求和針對每個域預先設定的恢復條件,對發(fā)生錯誤的域執(zhí)行 故障恢復處理,所以對于每個域中發(fā)生的每個故障,可以響應于滿足 預先設置的恢復條件的恢復請求,恢復故障。
第二效果在于,可以根據(jù)與其他域不同的恢復條件來恢復多個域 中的預定域。
這是因為多個域是由根據(jù)要執(zhí)行的處理內(nèi)容而分離的特定域和 其他域形成的,基于從特定域或其他域通知的故障恢復請求和針對各 個特定域和其他域而預先設定的恢復條件,對發(fā)生錯誤的域執(zhí)行故障 恢復處理。因為多個域是由根據(jù)要執(zhí)行的處理內(nèi)容而分離的特定域和 其他域形成的,所以基于從特定域或其他域通知的故障恢復請求和針 對各個特定域和其他域而預先設定的恢復條件,對發(fā)生錯誤的域執(zhí)行故障恢復處理,可以根據(jù)不同恢復條件恢復特定域和其他域。
第三效果是可以確保用于執(zhí)行安全級別高于特定固定級別的處 理的域的安全性。
原因在于,特定域是用于執(zhí)行安全級別高于特定固定級別的處理 的域,其他域是具有安全性級別低于特定域中執(zhí)行的處理的至少一個 處理的域,特定域通過經(jīng)由通信單元至其他域的數(shù)據(jù)傳輸,感測其他 域中的故障,以向恢復單元發(fā)出故障恢復請求。因此,用于執(zhí)行安全 級別高于特定固定級別的處理的特定域、以及具有安全性級別低于特 定域中執(zhí)行的處理的至少一個處理的其他域是彼此分離地形成的,檢 測到其他域中發(fā)生的故障并且用于執(zhí)行安全級別高于特定固定級別的 處理的特定域通過恢復單元,恢復具有安全性級別低于特定域中執(zhí)行 的處理的至少一個處理的其他域。
第四效果是提高了信息處理設備的可用性。
原因在于,安全性得到保證并且用于執(zhí)行安全級別高于特定固定 級別的處理的域檢測具有安全性級別低于特定域中執(zhí)行的處理的至少 一個處理的其他域中發(fā)生的故障,以通過恢復單元恢復故障。
第五效果是可以確保的預定安全性級別,恢復每個域中發(fā)生的故障。
原因在于,恢復條件是基于來自域的故障恢復請求中指示的針對 每個處理內(nèi)容而設定的安全性級別來定義的,恢復單元基于從發(fā)生錯 誤的域通知的故障恢復請求和恢復條件,對該域執(zhí)行故障恢復處理。 因此,接受滿足恢復條件的恢復請求,恢復條件是基于針對每個處理 內(nèi)容設定的安全性級別而定義的。
雖然參照典型實施方式具體示出并描述了本發(fā)明,但是本發(fā)明不 限于這些實施方式。本域普通技術人員將理解,在背離由權利要求限 定的本發(fā)明精神和范圍的前提下,可以進行形式和細節(jié)上的多種修改。
權利要求
1.一種信息處理設備,包括多個處理器,其中所述多個處理器根據(jù)要執(zhí)行的處理內(nèi)容,形成多個域;以及不同域中的處理器通過通信單元彼此通信;所述信息處理設備還包括恢復單元,用于針對發(fā)生錯誤的域,基于由所述域通知的故障恢復請求和為每個所述域預先設定的恢復條件,執(zhí)行故障恢復處理。
2. 根據(jù)權利要求1所述的信息處理設備,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述多個域分離地構造為特定域和其他域;以及針對發(fā)生錯誤的域,所述恢復單元基于由所述特定域或所述其他 域通知的故障恢復請求和為所述特定域和所述其他域中每一個而預先 設定的恢復條件,執(zhí)行故障恢復處理。
3. 根據(jù)權利要求2所述的信息處理設備,其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的安全 性級別低于在所述特定域中執(zhí)行的處理的安全性級別,以及所述特定域通過經(jīng)由所述通信單元至所述其他域的數(shù)據(jù)傳輸,感 測所述其他域中的故障,以向所述恢復單元發(fā)出所述故障的恢復請求。
4. 根據(jù)權利要求2所述的信息處理設備,其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的安全 性級別低于在所述特定域中執(zhí)行的處理的安全性級別,所述其他域感測任何所述其他域中的故障,以向所述特定域通知 所述其他域的故障恢復請求,以及所述特定域通過經(jīng)由所述通信單元至所述其他域的數(shù)據(jù)傳輸,感 測所述其他域中的故障,以向所述恢復單元發(fā)出所述故障的恢復請求。
5. 根據(jù)權利要求3所述的信息處理設備,其中 根據(jù)在預定時間段或預定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù)傳輸?shù)哪康牡氐挠虻捻憫?,?zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y,所述特定域是執(zhí)行基本處理的域,所述基本處理作為所述安全性級別等于或高于固定安全性級別的處理,以及對于所述特定域通過至所述其他域的數(shù)據(jù)傳輸?shù)墓收细袦y,設定比所述預定時間段短的時間段,或者設定比所述預定次數(shù)少的次數(shù)。
6. 根據(jù)權利要求2所述的信息處理設備,其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的安全 性級別低于在所述特定域中執(zhí)行的處理的安全性級別,所述其他域感測任何所述其他域中的故障,以向所述特定域通知 所述其他域的故障恢復請求,以及所述特定域向所述恢復單元發(fā)出所述故障的恢復請求。
7. 根據(jù)權利要求2所述的信息處理設備,其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的安全 性級別低于在所述特定域中執(zhí)行的處理的安全性級別,所述其他域感測任何所述其他域中的故障,以向所述恢復單元發(fā) 出所述故障的恢復請求,而不通過所述特定域,以及針對發(fā)生錯誤的所述其他域,所述恢復單元基于由所述其他域通 知的所述故障的恢復請求和為每個所述其他域預先設定的恢復條件, 執(zhí)行故障恢復處理。
8. 根據(jù)權利要求l所述的信息處理設備,其中 根據(jù)針對每個處理內(nèi)容設定的安全性級別,定義所述恢復條件,其中所述每個處理內(nèi)容是在來自所述域的故障恢復請求中指示的,以 及 針對發(fā)生錯誤的域,所述恢復單元基于由所述域通知的故障恢復 請求和所述恢復條件,執(zhí)行故障恢復處理。
9. 根據(jù)權利要求6所述的信息處理設備,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述第一域通過經(jīng)由所述通信單元至所述第二域的數(shù)據(jù)傳輸,感 測所述第二域中的故障,以向所述特定域通知所述第二域故障的恢復 請求;以及所述特定域向所述恢復單元發(fā)出所述故障的恢復請求。
10. 根據(jù)權利要求7所述的信息處理設備,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述第一域通過經(jīng)由所述通信單元至所述第二域的數(shù)據(jù)傳輸,感 測所述第二域中的故障,以向所述恢復單元通知所述第二域故障的恢 復請求,而不通過所述特定域;以及針對發(fā)生錯誤的所述第二域,所述恢復單元基于由所述第一域通 知的所述故障的恢復請求和為每個所述其他域預先設定的恢復條件, 執(zhí)行故障恢復處理。
11. 根據(jù)權利要求4所述的信息處理設備,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述第二域通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸,感 測所述第一域中的故障,以向所述特定域通知所述第一域故障的恢復請求;以及所述特定域通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸,感 測所述第一域的故障,以向所述恢復單元發(fā)出所述故障的恢復請求。
12. 根據(jù)權利要求7所述的信息處理設備,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述第二域通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸,感 測所述第一域中的故障,以向所述恢復單元通知所述第一域故障的恢 復請求,而不通過所述特定域;以及所述恢復單元通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸, 感測所述第一域的故障,以針對發(fā)生錯誤的所述第一域,并基于由所 述第二域通知的所述故障的恢復請求和為每個所述其他域預先設定的 恢復條件,執(zhí)行故障恢復處理。
13. 根據(jù)權利要求ll所述的信息處理設備,其中 根據(jù)在預定時間段或預定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù)傳輸?shù)哪康牡氐挠虻捻憫?,?zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y;以及對于所述第二域通過至所述第一域的數(shù)據(jù)傳輸?shù)墓收细袦y,設定 比所述預定時間段長的時間段,或者設定比所述預定次數(shù)多的次數(shù)。
14. 根據(jù)權利要求2所述的信息處理設備,其中所述恢復單元無條件地接受來自所述特定域的恢復請求,并拒絕 來自所述其他域的恢復請求。
15. 根據(jù)權利要求1所述的信息處理設備,其中 當被通知來自所述域的故障恢復請求時,所述恢復單元通過至待恢復域的數(shù)據(jù)傳輸,感測所述待恢復域中的故障,以針對發(fā)生故障的 所述域,基于所述故障恢復請求和所述恢復條件,執(zhí)行故障恢復處理。
16. 根據(jù)權利要求1所述的信息處理設備,其中所述恢復單元 包括確定單元,用于確定是否允許由所述域通知的故障恢復請求,以及基于由所述確定單元允許的恢復請求,執(zhí)行針對發(fā)生錯誤的域的 故障恢復處理。
17. 根據(jù)權利要求16所述的信息處理設備,其中所述確定單元 包括有關故障恢復的數(shù)據(jù),所述數(shù)據(jù)是針對每個所述域設定的,以及基于由所述域通知的故障恢復請求和所述數(shù)據(jù),確定是否允許所 述故障恢復請求。
18. 根據(jù)權利要求17所述的信息處理設備,其中所述數(shù)據(jù)是基 于為每個處理內(nèi)容設定的安全性級別而設定的,所述處理內(nèi)容由來自 所述域的故障恢復請求指示。
19. 根據(jù)權利要求1所述的信息處理設備,其中所述恢復單元 包括確定單元,用于確定是否允許由所述域通知的故障恢復請求,以及基于由所述確定單元允許的恢復請求,通過至待恢復域的數(shù)據(jù)傳 輸,感測所述待恢復域中的故障,以針對發(fā)生故障的所述域,執(zhí)行故 障恢復處理。
20. —種恢復設備,用于在具有由多個處理器形成的多個域的信 息處理設備上恢復所述域上發(fā)生的故障,其中所述多個處理器根據(jù)要執(zhí)行的處理內(nèi)容,形成多個域; 所述恢復設備包括恢復單元,用于針對發(fā)生錯誤的域,基于由所述域通知的故障恢復請求和為每個所述域預先設定的恢復條件,執(zhí)行故障恢復處理。
21. 根據(jù)權利要求20所述的恢復設備,其中根據(jù)要執(zhí)行的處理內(nèi)容,將所述多個域分離地構造為特定域和其 他域;以及針對發(fā)生錯誤的域,所述恢復單元基于由所述特定域或所述其他 域通知的故障恢復請求和為所述特定域和所述其他域中每一個而預先 設定的恢復條件,執(zhí)行故障恢復處理。
22. 根據(jù)權利要求20所述的恢復設備,其中 根據(jù)針對每個處理內(nèi)容設定的安全性級別,定義所述恢復條件,其中所述每個處理內(nèi)容是在來自所述域的故障恢復請求中指示的,以 及針對發(fā)生錯誤的域,所述恢復單元基于由所述域通知的故障恢復 請求和所述恢復條件,執(zhí)行故障恢復處理。
23. 根據(jù)權利要求21所述的恢復設備,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述第二域通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸,感 測所述第一域中的故障,以向所述恢復單元通知所述第一域故障的恢 復請求,而不通過所述特定域;以及所述恢復單元通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸, 感測所述第一域的故障,以針對發(fā)生錯誤的所述第一域,并基于由所 述第二域通知的所述故障的恢復請求和為每個所述其他域預先設定的 恢復條件,執(zhí)行故障恢復處理。
24. 根據(jù)權利要求21所述的恢復設備,其中 所述恢復單元無條件地接受來自所述特定域的恢復請求,并拒絕來自所述其他域的恢復請求。
25. 根據(jù)權利要求20所述的恢復設備,其中 當被通知來自所述域的故障恢復請求時,所述恢復單元通過至待恢復域的數(shù)據(jù)傳輸,感測所述待恢復域中的故障,以針對發(fā)生故障的 所述域,基于所述故障恢復請求和所述恢復條件,執(zhí)行故障恢復處理。
26. 根據(jù)權利要求20所述的恢復設備,其中所述恢復單元 包括確定單元,用于確定是否允許由所述域通知的故障恢復請求,以及 基于由所述確定單元允許的恢復請求,針對發(fā)生故障的域,執(zhí)行 故障恢復處理。
27. 根據(jù)權利要求26所述的恢復設備,其中所述確定單元 包括有關故障恢復的數(shù)據(jù),所述數(shù)據(jù)是針對每個所述域設定的,以及基于由所述域通知的故障恢復請求和所述數(shù)據(jù),確定是否允許所 述故障恢復請求。
28. 根據(jù)權利要求27所述的恢復設備,其中所述數(shù)據(jù)是基于為 每個處理內(nèi)容設定的安全性級別而設定的,所述處理內(nèi)容由來自所述 域的故障恢復請求指示。
29. 根據(jù)權利要求20所述的恢復設備,其中所述恢復單元 包括確定單元,用于確定是否允許由所述域通知的故障恢復請求,以及基于由所述確定單元允許的恢復請求,通過至待恢復域的數(shù)據(jù)傳 輸,感測所述待恢復域中的故障,以針對發(fā)生故障的所述域,執(zhí)行故 障恢復處理。
30. —種程序,在信息處理設備上執(zhí)行以恢復所述信息處理設備 的功能,所述信息處理設備作為由多個處理器形成的計算機處理設備, 所述多個處理器根據(jù)要執(zhí)行的處理內(nèi)容形成多個域,所述程序使所述 信息處理設備如下功能通信功能,使不同域中的處理器彼此通信;以及 恢復功能,針對發(fā)生錯誤的域,基于由所述域通知的故障恢復請 求和為每個所述域預先設定的恢復條件,執(zhí)行故障恢復處理。
31. 根據(jù)權利要求30所述的程序,其中根據(jù)要執(zhí)行的處理內(nèi)容,將所述多個域分離地構造為特定域和其 他域;所述程序還包括如下功能使所述恢復功能針對發(fā)生錯誤的域,并基于由所述特定域或所述 其他域通知的故障恢復請求和為所述特定域和所述其他域中每一個而 預先設定的恢復條件,執(zhí)行故障恢復處理。
32. 根據(jù)權利要求30所述的程序,其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別,所述程序還包括如下功能使所述特定域通過經(jīng)由所述通信功能至所述其他域的數(shù)據(jù)傳輸, 感測所述其他域中的故障,以向所述恢復功能發(fā)出所述故障的恢復請 求。
33. 根據(jù)權利要求30所述的程序,其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別,所述程序還包括如下功能使所述其他域感測任何所述其他域中的故障,以向所述特定域通 知所述其他域的故障恢復請求,以及使所述特定域通過經(jīng)由所述通信功能至所述其他域的數(shù)據(jù)傳輸, 感測所述其他域中的故障,以向所述恢復功能發(fā)出所述故障的恢復請 求。
34. 根據(jù)權利要求32所述的程序,還包括如下功能 根據(jù)在預定時間段或預定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù)傳輸?shù)哪康牡氐挠虻捻憫?,?zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y,使所述特定域執(zhí)行基本處理,所述基本處理作為所述安全性級別等于或高于固定安全性級別的處理,以及當所述故障感測功能利用所述特定域,通過至所述其他域的數(shù)據(jù)傳輸感測到故障時,設定比所述預定時間段短的時間段,或者設定比所述預定次數(shù)少的次數(shù)。
35. 根據(jù)權利要求30所述的程序,其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別,所述程序還包括如下功能使所述其他域感測任何所述其他域中的故障,以向所述特定域通 知所述其他域的故障恢復請求,以及使所述特定域向所述恢復功能發(fā)出所述故障的恢復請求。
36. 根據(jù)權利要求31所述的程序,其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別,所述程序還包括如下功能使所述其他域感測任何所述其他域中的故障,以向所述恢復功能 發(fā)出所述故障的恢復請求,而不通過所述特定域,以及使所述恢復功能針對發(fā)生錯誤的所述其他域,基于由所述其他域 通知的所述故障的恢復請求和為每個所述其他域預先設定的恢復條 件,執(zhí)行故障恢復處理。
37. 根據(jù)權利要求30所述的程序,其中根據(jù)針對每個處理內(nèi)容設定的安全性級別,定義所述恢復條件, 其中所述每個處理內(nèi)容是在來自所述域的故障恢復請求中指示的,所述程序還包括如下功能使所述恢復功能針對發(fā)生錯誤的域,基于由所述域通知的故障恢 復請求和所述恢復條件,執(zhí)行故障恢復處理。
38. 根據(jù)權利要求35所述的程序,其中根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第 二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述程序還包括如下功能使所述第一域通過經(jīng)由所述通信功能至所述第二域的數(shù)據(jù)傳輸, 感測所述第二域中的故障,以向所述特定域通知所述第二域故障的恢復請求;以及 使所述特定域向所述恢復功能發(fā)出所述故障的恢復請求。
39. 根據(jù)權利要求36所述的程序,其中根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第 二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述程序還包括如下功能使所述第一域通過經(jīng)由所述通信功能至所述第二域的數(shù)據(jù)傳輸, 感測所述第二域中的故障,以向所述恢復功能通知所述第二域故障的 恢復請求,而不通過所述特定域;以及使所述恢復功能針對發(fā)生錯誤的所述第二域,基于由所述第一域 通知的所述故障的恢復請求和為每個所述其他域預先設定的恢復條 件,執(zhí)行故障恢復處理。
40. 根據(jù)權利要求33所述的程序,其中根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第 二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述程序還包括如下功能-使所述第二域通過經(jīng)由所述通信功能至所述第一域的數(shù)據(jù)傳輸, 感測所述第一域中的故障,以向所述特定域通知所述第一域故障的恢 復請求;以及使所述特定域通過經(jīng)由所述通信功能至所述第一域的數(shù)據(jù)傳輸, 感測所述第一域的故障,以向所述恢復功能發(fā)出所述故障的恢復請求。
41. 根據(jù)權利要求36所述的程序,其中根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第 二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的處理的安全性級別;所述程序還包括如下功能使所述第二域通過經(jīng)由所述通信功能至所述第一域的數(shù)據(jù)傳輸, 感測所述第一域中的故障,以向所述恢復功能通知所述第一域故障的 恢復請求,而不通過所述特定域;以及使所述恢復功能通過經(jīng)由所述通信功能至所述第一域的數(shù)據(jù)傳 輸,感測所述第一域的故障,以針對發(fā)生錯誤的所述第一域,并基于 由所述第二域通知的所述故障的恢復請求和為每個所述其他域預先設 定的恢復條件,執(zhí)行故障恢復處理。
42. 根據(jù)權利要求40所述的程序,還包括如下功能 根據(jù)在預定時間段或預定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù)傳輸?shù)哪康牡氐挠虻捻憫瑘?zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y;以及當所述故障感測功能利用所述第二域,通過至所述第一域的數(shù)據(jù) 傳輸感測到故障時,設定比所述預定時間段長的時間段,或者設定比 所述預定次數(shù)多的次數(shù)。
43. 根據(jù)權利要求31所述的程序,還包括如下功能 使所述恢復功能無條件地接受來自所述特定域的恢復請求,并拒絕來自所述其他域的恢復請求。
44. 根據(jù)權利要求30所述的程序,還包括如下功能使所述恢復功能在被通知了來自所述域的故障恢復請求時,通過 至待恢復域的數(shù)據(jù)傳輸,感測所述待恢復域中的故障,以針對發(fā)生故 障的所述域,基于所述故障恢復請求和所述恢復條件,執(zhí)行故障恢復 處理。
45. 根據(jù)權利要求30所述的程序,其中所述恢復功能包括確定 功能,用于確定是否允許由所述域通知的故障恢復請求,以及所述程序還包括如下功能基于由所述確定功能允許的恢復請求,執(zhí)行針對發(fā)生錯誤的域的 故障恢復處理。
46. 根據(jù)權利要求45所述的程序,還包括如下功能使所述確定功能基于由所述域通知的故障恢復請求和針對所述 域的每個處理內(nèi)容而設定的安全性級別,確定是否允許所述故障恢復 請求。
47. 根據(jù)權利要求30所述的程序,其中所述恢復功能包括確定功能,用于確定是否允許由所述域通知的 故障恢復請求,以及所述程序還包括如下功能-基于由所述確定功能允許的恢復請求,通過經(jīng)由所述通信功能至 待恢復域的數(shù)據(jù)傳輸,感測所述待恢復域中的故障,以針對發(fā)生故障 的所述域,執(zhí)行故障恢復處理。
48. —種恢復方法,用于恢復由多個處理器形成的信息處理設備 的處理功能,其中所述多個處理器根據(jù)要執(zhí)行的處理內(nèi)容形成多個域;以及 不同域中的處理器通過通信步驟進行通信,所述恢復方法包括恢復步驟針對發(fā)生錯誤的域,基于由所述域 通知的故障恢復請求和為每個域預先設定的恢復條件,由所述信息處 理設備上的恢復單元執(zhí)行故障恢復處理。
49. 根據(jù)權利要求48所述的恢復方法,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述多個域分離地構造為特定域和其他域;在所述恢復步驟,針對發(fā)生錯誤的域,基于由所述特定域或所述 其他域通知的故障恢復請求和為所述特定域和所述其他域中每一個而 預先設定的恢復條件,執(zhí)行故障恢復處理。
50. 根據(jù)權利要求48所述的恢復方法,其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別,所述恢復方法包括感測步驟,所述特定域通過經(jīng)由所述通信步驟至所述其他域的數(shù) 據(jù)傳輸,感測所述其他域中的故障;以及步驟,所述特定域向所述恢復單元發(fā)出在所述感測步驟感測到的 所述故障的恢復請求。
51. 根據(jù)權利要求48所述的恢復方法,其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別,所述恢復方法包括感測步驟,所述其他域感測任何所述其他域中的故障;通知步驟,所述其他域向所述特定域通知所述其他域在所述感測 步驟感測到的故障的恢復請求;感測步驟,所述特定域通過經(jīng)由所述通信步驟至所述其他域的數(shù) 據(jù)傳輸,感測所述其他域中的故障;以及步驟,所述特定域向所述恢復單元發(fā)出在所述感測步驟感測到的 所述故障的恢復請求。
52. 根據(jù)權利要求50所述的恢復方法,包括步驟,根據(jù)在預定時間段或預定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù) 傳輸?shù)哪康牡氐挠虻捻憫?,?zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y;其中所述特定域是執(zhí)行基本處理的域,所述基本處理作為所述安全性 級別等于或高于固定安全性級別的處理,以及在所述步驟,當所述特定域通過至所述其他域的數(shù)據(jù)傳輸感測到 故障時,設定比所述預定時間段短的時間段,或者設定比所述預定次 數(shù)少的次數(shù)。
53. 根據(jù)權利要求49所述的恢復方法,其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別, 所述恢復方法包括感測步驟,所述其他域感測任何所述其他域中的故障; 通知步驟,所述其他域向所述特定域通知在所述感測步驟感測到 的所述其他域的故障的恢復請求;以及步驟,所述特定域向所述恢復單元發(fā)出在所述通知步驟通知的所 述故障的恢復請求。
54. 根據(jù)權利要求49所述的恢復方法,其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域,所述其他域是具有至少一個處理的域,所述至少一個處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別, 所述恢復方法包括感測步驟,所述其他域感測任何所述其他域中的故障;以及 步驟,所述其他域向所述恢復單元發(fā)出在所述感測步驟感測到的所述故障的恢復請求而不通過所述特定域的步驟,其中在所述恢復步驟,針對發(fā)生錯誤的所述其他域,基于由所述其他域通知的所述故障的恢復請求和為每個所述其他域預先設定的恢復條件,執(zhí)行故障恢復處理。
55. 根據(jù)權利要求48所述的恢復方法,其中根據(jù)針對每個處理內(nèi)容設定的安全性級別,定義所述恢復條件, 其中所述每個處理內(nèi)容是在來自所述域的故障恢復請求中指示的,以 及在所述恢復步驟,針對發(fā)生錯誤的域,基于由所述域通知的故障 恢復請求和所述恢復條件,執(zhí)行故障恢復處理。
56. 根據(jù)權利要求53所述的恢復方法,其中根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第 二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述恢復方法包括感測步驟,所述第一域通過經(jīng)由所述通信步驟至所述第二域的數(shù) 據(jù)傳輸,感測所述第二域中的故障;通知步驟,所述第一域向所述特定域通知在所述感測步驟感測到 的所述第二域故障的恢復請求;以及步驟,所述特定域向所述恢復單元發(fā)出在所述通知步驟通知的所 述故障的恢復請求。
57. 根據(jù)權利要求54所述的恢復方法,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述恢復方法包括感測步驟,所述第一域通過經(jīng)由所述通信步驟至所述第二域的數(shù) 據(jù)傳輸,感測所述第二域中的故障;以及通知步驟,所述第一域向所述恢復單元通知在所述感測步驟感測 到的所述第二域故障的恢復請求,而不通過所述特定域;其中,在所述恢復步驟,針對發(fā)生錯誤的所述第二域,基于由所 述第一域通知的所述故障的恢復請求和為每個所述其他域預先設定的 恢復條件,執(zhí)行故障恢復處理。
58. 根據(jù)權利要求51所述的恢復方法,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述恢復方法包括感測步驟,所述第二域通過經(jīng)由所述通信步驟至所述第一域的數(shù) 據(jù)傳輸,感測所述第一域中的故障;通知步驟,所述第二域向所述特定域通知在所述感測步驟感測到 的所述第一域故障的恢復請求;感測步驟,所述特定域通過經(jīng)由所述通信步驟至所述第一域的數(shù) 據(jù)傳輸,感測所述第一域的故障;以及步驟,所述特定域向所述恢復單元發(fā)出在所述感測步驟感測到的所述故障的恢復請求。
59. 根據(jù)權利要求54所述的恢復方法,其中 根據(jù)要執(zhí)行的處理內(nèi)容,將所述其他域分離地構造為第一域和第二域,所述第一域具有至少一個處理,所述至少一個處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別,所述第二域具有至少 一個處理,所述至少一個處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別;所述恢復方法包括感測步驟,所述第二域通過經(jīng)由所述通信步驟至所述第一域的數(shù) 據(jù)傳輸,感測所述第一域中的故障;以及通知步驟,所述第二域向所述恢復單元通知在所述感測步驟感測 到的所述第一域故障的恢復請求,而不通過所述特定域;其中,在所述恢復步驟,通過經(jīng)由所述通信步驟至所述第一域的 數(shù)據(jù)傳輸,感測所述第一域的故障,以針對發(fā)生錯誤的所述第一域, 并基于由所述第二域通知的所述故障的恢復請求和為每個所述其他域 預先設定的恢復條件,執(zhí)行故障恢復處理。
60. 根據(jù)權利要求58所述的恢復方法,包括步驟,根據(jù)在預定時間段或預定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù) 傳輸?shù)哪康牡氐挠虻捻憫?,?zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y;其中,在所述步驟,當由所述第二域通過至所述第一域的數(shù)據(jù)傳 輸感測到故障時,在比所述預定時間長的時間上感測故障或者以比所 述預定次數(shù)多的次數(shù)感測故障。
61. 根據(jù)權利要求49所述的恢復方法,其中在所述恢復步驟,無條件地接受來自所述特定域的恢復請求,并 拒絕來自所述其他域的恢復請求。
62. 根據(jù)權利要求48所述的恢復方法,包括感測步驟,所述恢復單元在被通知了來自所述域的故障恢復請求 時,通過經(jīng)由所述通信步驟至待恢復域的數(shù)據(jù)傳輸,感測所述待恢復 域中的故障;其中,在所述感測步驟的感測之后,在所述恢復步驟,針對發(fā)生故障的所述域,基于所述故障恢復請求和所述恢復條件,執(zhí)行故障恢 復處理。
63. 根據(jù)權利要求48所述的恢復方法,其中在所述恢復步驟,基 于由所述恢復單元的所述確定步驟允許的恢復請求,執(zhí)行針對發(fā)生錯 誤的域的故障恢復處理,其中所述確定步驟用于確定是否允許從所述 域通知的故障恢復請求。
64. 根據(jù)權利要求63所述的恢復方法,其中在所述確定步驟, 基于由所述域通知的故障恢復請求和針對所述域的每個處理內(nèi)容而設 定的安全性級別,確定是否允許所述故障恢復請求。
65. 根據(jù)權利要求48所述的恢復方法,其中 在所述恢復步驟,基于由所述恢復單元的確定步驟允許的恢復請求,通過經(jīng)由所述通信步驟至待恢復域的數(shù)據(jù)傳輸,感測所述待恢復 域中的故障,以針對發(fā)生故障的所述域,執(zhí)行故障恢復處理,所述確 定步驟用于確定是否允許由所述域通知的故障恢復請求。
全文摘要
一種信息處理設備,用于恢復由于附加應用和設備驅(qū)動器而發(fā)生錯誤的域,同時保持安全性和可靠性,該信息處理設備包括多個處理器,其中所述多個處理器根據(jù)要執(zhí)行的處理內(nèi)容,形成多個域,并且不同域中的處理器通過通信單元彼此通信;該信息處理設備還包括恢復單元,用于針對發(fā)生錯誤的域,基于由所述域通知的故障恢復請求和為每個域預先設定的恢復條件,執(zhí)行故障恢復處理。
文檔編號G06F11/00GK101198934SQ20068002105
公開日2008年6月11日 申請日期2006年2月23日 優(yōu)先權日2005年6月17日
發(fā)明者上久保雅規(guī), 井上浩明, 枝廣正人, 酒井淳嗣, 鈴木紀章, 阿部剛 申請人:日本電氣株式會社
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1