• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 29
    • 下载费用:30 金币  

    重庆时时彩胆码分析: 处理安全内容的片上系统和包括片上系统的移动装置.pdf

    关 键 词:
    处理 安全 内容 系统 包括 移动 装置
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201310516723.2

    申请日:

    2013.10.28

    公开号:

    CN103793629A

    公开日:

    2014.05.14

    当前法律状态:

    授权

    有效性:

    有权

    法律详情: 授权|||实质审查的生效IPC(主分类):G06F 21/10申请日:20131028|||公开
    IPC分类号: G06F21/10(2013.01)I 主分类号: G06F21/10
    申请人: 三星电子株式会社
    发明人: 朴东珍; 康明熙; 金正泰; 吴在律; 元钟彬; 李润植
    地址: 韩国京畿道水原市
    优先权: 2012.10.26 KR 10-2012-0119719
    专利代理机构: 北京铭硕知识产权代理有限公司 11286 代理人: 韩明星;刘灿强
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201310516723.2

    授权公告号:

    ||||||

    法律状态公告日:

    2018.05.11|||2015.08.26|||2014.05.14

    法律状态类型:

    授权|||实质审查的生效|||公开

    摘要

    本发明提供了一种处理安全内容的片上系统和包括片上系统的移动装置。提供一种移动装置,所述移动装置包括:工作存储器,具有被划分成安全域和非安全域的存储区域;以及片上系统,被配置为访问和处理存储在安全域中的内容。片上系统包括:处理单元,由安全操作系统和非安全操作系统中的至少一个驱动;至少一个硬件块,被配置为根据处理单元的控制来访问所述内容,所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端口;至少一个存储器管理单元,被配置为控制所述至少一个硬件块对所述工作存储器的访问;以及访问控制单元,被配置为设置从端口和主端口的安全属性或者关于所述工作存储器的安全域和非安全域中的每个的访问权限。

    权利要求书

    权利要求书
    1.  一种移动装置,包括:
    工作存储器,具有被划分成安全域和非安全域的存储区域;以及
    片上系统,被配置为访问和处理存储在安全域中的内容,
    其中,芯片上系统包括:
    处理单元,由安全操作系统和非安全操作系统中的至少一个驱动;
    至少一个硬件块,被配置为根据处理单元的控制来访问所述内容,所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端口;
    至少一个存储器管理单元,被配置为控制所述至少一个硬件块对所述工作存储器的访问;以及
    访问控制单元,被配置为设置从端口和主端口的安全属性或者关于所述工作存储器的安全域和非安全域中的每个的访问权限。

    2.  如权利要求1所述的移动装置,其中,在非安全操作系统中执行用于控制所述至少一个硬件块的驱动器。

    3.  如权利要求1所述的移动装置,其中,所述至少一个硬件块的从端口被设置成非安全属性,并且所述至少一个硬件块的主端口被设置成安全属性。

    4.  如权利要求1所述的移动装置,其中,所述至少一个存储器管理单元允许在安全域中从所述至少一个硬件块启动的访问事务中的一部分。

    5.  如权利要求1所述的移动装置,其中,在安全操作系统中执行用于控制所述至少一个存储器管理单元和访问控制单元的防火墙驱动器。

    6.  如权利要求1所述的移动装置,其中,由处理单元在不同时隙执行安全操作系统和非安全操作系统。

    7.  如权利要求1所述的移动装置,其中,处理单元根据所述内容的安全属性来设置访问控制单元。

    8.  如权利要求1所述的移动装置,其中,访问控制单元包括:
    第一访问控制单元,被配置为限定所述至少一个硬件块的安全属性;
    第二访问控制单元,被配置为限定关于工作存储器的安全域和非安全域中的每个的访问权限。

    9.  如权利要求8所述的移动装置,其中,处理单元支持TrustZone安全 方式。

    10.  根据权利要求9所述的移动装置,其中,第一访问控制单元与TrustZone?;た刂破鱐ZPC相应,第二访问控制单元与TrustZone地址空间控制器TZASC相应。

    11.  一种移动装置,包括:
    工作存储器,包括具有非安全域和安全域的存储区域,安全域包括编解码器输入缓冲器、编解码器输出缓冲器和帧缓冲器;以及
    片上系统,被配置为根据TrustZone安全方式访问安全域或非安全域,
    其中,片上系统包括:
    处理单元,支持TrustZone安全方式的访问控制;
    硬件编解码器,被配置为根据处理单元的控制来处理存储在编解码器输入缓冲器中的数据,并且被配置为将处理后的数据存储在编解码器输出缓冲器;
    图像转换器,被配置为转换存储在编解码器输出缓冲器中的数据的图像格式,并且将图像格式被转换的数据存储在帧缓冲器中;
    LCD控制器,被配置为在显示器上显示存储在帧缓冲器中的图像格式被转换的数据;以及
    第一存储器管理单元至第三存储器管理单元,被配置为控制硬件编解码器、图像转换器和LCD控制器对工作存储器的访问,
    其中,硬件编解码器、图像转换器和LCD控制器中的每个的从端口和主端口被设置成具有不同的安全属性。

    12.  如权利要求11所述的移动装置,其中,在硬件编解码器、图像转换器和LCD控制器中的每个中,从端口被设置成非安全属性并且主端口被设置成安全属性。

    13.  如权利要求12所述的移动装置,还包括:
    第一访问控制单元,被配置为设置硬件编解码器、图像转换器和LCD控制器的安全属性。

    14.  如权利要求13所述的移动装置,还包括:
    第二访问控制单元,被配置为设置工作存储器的安全域和非安全域。

    15.  如权利要求11所述的移动装置,其中,地址转换表被配置为限定第一存储器管理单元至第三存储器管理单元中的每个的能够访问的区域。

    16.  一种访问工作存储器以处理安全内容的片上系统,包括:
    处理单元,专门被加载到工作存储器上的安全操作系统和非安全操作系统驱动;
    至少一个硬件块,被配置为根据处理单元的控制来重放安全内容;以及
    存储器?;さピ?,被配置为限制所述至少一个硬件块对工作存储器的访问,
    其中,所述至少一个硬件块的从端口被设置成非安全属性,并且所述至少一个硬件块的主端口被设置成安全属性。

    17.  如权利要求16所述的片上系统,还包括:
    访问控制单元,被配置为根据安全属性将处理单元和所述至少一个硬件块对工作存储器的访问事务进行逻辑上的分类。

    18.  如权利要求17所述的片上系统,其中,访问控制单元包括:
    TrustZone?;た刂破鱐ZPC,被配置为设置所述至少一个硬件块的主端口和从端口的安全属性。

    19.  如权利要求17所述的片上系统,其中,访问控制单元包括:
    TrustZone地址空间控制器TZASC,被配置为根据安全属性限制关于工作存储器的访问事务。

    20.  如权利要求17所述的片上系统,其中,由安全操作系统执行用于控制访问控制单元的驱动器软件。

    21.  一种根据TrustZone安全方式访问安全域或非安全域的片上系统,包括:
    处理单元,被配置为支持TrustZone安全方式的访问控制;
    硬件编解码器,被配置为根据处理单元的控制来处理存储在工作存储器中的数据,并且被配置为将处理后的数据存储在工作存储器中;
    图像转换器,被配置为转换存储在工作存储器中的处理后的数据的图像格式,并且被配置为将图像格式被转换的数据存储在工作存储器中;
    LCD控制器,被配置为在显示器上显示存储在工作存储器中的图像格式被转换的数据;以及
    第一存储器管理单元至第三存储器管理单元,被配置为控制硬件编解码器、图像转换器和LCD控制器对工作存储器的访问。

    22.  如权利要求21所述的片上系统,其中,硬件编解码器、图像转换器 和LCD控制器中的每个的从端口和主端口中的每个被设置成具有不同的安全属性。

    23.  如权利要求21所述的片上系统,其中,工作存储器包括存储区域的非安全域和存储区域的非安全域,并且
    其中,存储区域的安全域包括编解码器输入缓冲器、编解码器输出缓冲器和帧缓冲器。

    24.  如权利要求23所述的片上系统,其中,编解码器输入缓冲器被配置为存储数据,编解码器输出缓冲器被配置为存储处理后的数据,帧缓冲器被配置为存储图像格式被转换的数据。

    25.  如权利要求22所述的片上系统,其中,在硬件编解码器、图像转换器和LCD控制器中的每个中,从端口被配置为被设置成非安全属性并且主端口被配置为被设置成安全属性。

    说明书

    说明书处理安全内容的片上系统和包括片上系统的移动装置
    相关申请的交叉引用
    要求于2012年10月26日提交到韩国知识产权局的第10-2012-0119719号韩国专利申请的优先权,该申请的全部内容通过引用包含于此。
    技术领域
    示例性实施例涉及能够处理安全内容的片上系统和包括片上系统的移动装置。
    背景技术
    近年来,移动装置诸如智能电话、平板PC、数码相机、MP3播放器、PDA等已增加。移动装置可驱动用于处理各种类型的内容的应用程序。用于阻止非法用户进行访问的安全技术可应用于各种类型的内容??捎τ冒踩际醯哪谌荼怀莆踩谌?。安全内容的提供商会需要移动装置的支持,以能够?;つ谌莶槐环欠ㄓ没Щ蚋粗普叻梦?,并且使合法用户能够重放内容。
    此相关现有技术可能必需要针对包括移动装置的硬件和软件的整个系统的?;ぷ爸?。在相关技术中,在系统中可指定数字版权管理(下文中,称作“DRM”)。对于大多数移动装置,需要DRM??杀;ひ贫爸玫奶囟ㄈ砑蛴布馐芪淳嫉姆梦?,以满足DRM要求。举例来说,TrustZone可以是支持上述功能的内容安全方式。然而,在相关技术中,攻击智能电话的安全内容相对容易,在智能电话中,操作系统(OS)结构和代码是开放的。具体地讲,在相关技术中,在用户任意安装应用程序的智能电话环境下,必须安全地处理高质量内容,使其免受安全威胁。
    发明内容
    根据示例性实施例的一方面,提供了一种移动装置,所述移动装置包括:工作存储器,具有被划分成安全域和非安全域的存储区域;以及片上系统,被配置为访问和处理存储在安全域中的内容。片上系统包括:处理单元,由 安全操作系统和非安全操作系统中的至少一个驱动;至少一个硬件块,被配置为根据处理单元的控制来访问所述内容,所述至少一个硬件块包括被设置成具有不同安全属性的主端口和从端口;至少一个存储器管理单元,被配置为控制所述至少一个硬件块对所述工作存储器的访问;以及访问控制单元,被配置为设置从端口和主端口的安全属性或者关于工作存储器的安全域和非安全域中的每个的访问权限。
    根据示例性实施例的另一方面,提供了一种移动装置,所述移动装置包括:工作存储器,包括具有非安全域和安全域的存储区域,安全域包括编解码器输入缓冲器、编解码器输出缓冲器和帧缓冲器;以及片上系统,被配置为根据TrustZone安全方式访问安全域或非安全域。片上系统包括:处理单元,支持TrustZone安全方式的访问控制;硬件编解码器,被配置为根据处理单元的控制来处理存储在编解码器输入缓冲器中的数据,并且被配置为将处理后的数据存储在编解码器输出缓冲器中;图像转换器,被配置为转换存储在编解码器输出缓冲器中的数据的图像格式,并且被配置为将图像格式被转换的数据存储在帧缓冲器中;LCD控制器,被配置为在显示器上显示存储在帧缓冲器中的图像格式被转换的数据;以及第一存储器管理单元至第三存储器管理单元,被配置为控制硬件编解码器、图像转换器和LCD控制器对工作存储器的访问,其中,硬件编解码器、图像转换器和LCD控制器中的每个的从端口和主端口被设置成具有不同的安全属性。
    根据示例性实施例的另一方面,提供了一种访问工作存储器以处理安全内容的片上系统。所述片上系统包括:处理单元,专门被加载到工作存储器上的安全操作系统和非安全操作系统驱动;至少一个硬件块,被配置为根据处理单元的控制重放安全内容;以及存储器?;さピ?,被配置为限制所述至少一个硬件块对工作存储器的访问,其中,所述至少一个硬件块的从端口被设置成非安全属性,并且所述至少一个硬件块的主端口被设置成安全属性。
    根据示例性实施例的另一方面,提供了一种根据TrustZone安全方式访问安全域或非安全域的片上系统。所述片上系统包括:处理单元,被配置为支持TrustZone安全方式的访问控制;硬件编解码器,被配置为根据处理单元的控制来处理存储在工作存储器中的数据,并且被配置为将处理后的数据存储在工作存储器中;图像转换器,被配置为转换存储在工作存储器中的处理后的数据的图像格式,并且被配置为将图像格式被转换的数据存储在工作存 储器中;LCD控制器,被配置为在显示器上显示存储在工作存储器中的图像格式被转换的数据;以及第一存储器管理单元至第三存储器管理单元,被配置为控制硬件编解码器、图像转换器和LCD控制器对工作存储器的访问。
    示例性实施例可为安全内容提供高安全级别??赏ü薷南喙丶际醯挠布糜诳⒏甙踩侗鹚璧某杀窘档阶畹?。另外,可通过使安全域的变化最小来提高安全性和系统安全二者??赏ü拱踩蚝头前踩蛑涞那谢黄德首钚±唇档托阅芊矫娴目?。
    附图说明
    通过参照下面附图的以下描述,以上和其它目的和特征将变得清楚,其中,除非另外指明,否则在各个附图中,相同的参考标号始终表示相同的部件,并且其中:
    图1是示意性示出根据实施例的移动装置的框图;
    图2是示意性示出与图1的设置关联的软件架构的框图;
    图3是示意性示出根据实施例的移动装置的框图;
    图4是示意性示出图3的片上系统的软件架构的示图;
    图5是示意性示出根据实施例的存储器映射的示图;
    图6是示出硬件编解码器的可访问存储器映射的示图;
    图7是示出图像转换器的可访问存储器映射的示图;
    图8是示出LCD控制器的可访问存储器映射的示图;
    图9是示意性示出根据另一个实施例的片上系统的框图;
    图10是示意性示出根据又一个实施例的片上系统的框图;
    图11是示意性示出根据再一个实施例的片上系统的框图;
    图12是示意性示出包括片上系统的移动装置的框图;以及
    图13是示出包括安全功能的计算机系统的框图。
    具体实施方式
    将参照附图详细描述示例性实施例。然而,实施例可用各种不同形式实施,并且不应该被理解为只限于示出的实施例。相反,提供这些实施例作为示例,使得本公开将是彻底和完全的,并且将把本发明构思的构思充分传达给本领域的技术人员。因此,没有相对于一些实施例描述已知的过程、元件 和技术。除非另外指明,否则在附图和书面描述中,相同的参考标号始终表示相同的元件,并且参考标号将不重复。在附图中,为了清晰起见,可夸大层和区域的尺寸和相对尺寸。
    应该理解的是,尽管在这里可使用术语“第一”、“第二”、“第三”等来描述各种元件、组件、区域、层和/或部分,但是这些元件、组件、区域、层和/或部分应该不受这些术语的限制。这些术语只是用来将一个元件、组件、区域、层或部分与另一个区域、层或部分区分开来。因此,在不脱离本发明构思的教导的情况下,下面讨论的第一元件、组件、区域、层或部分可被称为第二元件、组件、区域、层或部分。
    为了便于描述,在这里可使用空间相对术语诸如“在...之下”、“下方”、“下面”、“在...下面”、“在...之上”、“上方”等来描述如图中所示的一个元件或特征与其它元件(一个或多个)或特征(一个或多个)的关系。应该理解的是,空间相对术语意在包含除了在附图中描述的方位之外的装置在使用或操作时的不同方位。例如,如果附图中的装置被翻转,则被描述为在其它元件或特征“下方”、“之下”或“下面”的元件随后将被定位为其它元件或特征“上面”。因此,示例性术语“下方”和“下面”可包含上方和下方这两种方位。装置可被另外定位(旋转90度或者在其它方位),相应地解释这里使用的空间相对描述符。另外,还应该理解,当层被称为“在”两个层“之间”时,它可以是这两个层之间的唯一层,或者可能还存在一个或多个中间层。
    这里使用的术语只是出于描述特定实施例的目的,不意图限制本发明构思。如这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式?;褂Ω美斫獾氖?,当在本说明书中使用术语“包含”和/或“包括”时,说明存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或附加一个或多个其它特征、整体、步骤、操作、元件、组件和/或其组合。如这里所使用的,术语“和/或”包括相关所列项中的一个或多个的任意组合和全部组合。另外,术语“示例性”意图指示例或例证。
    应该理解的是,当元件或层被称作在另一元件或层“上”、“连接到”、“耦接到”另一元件或层或“与”另一个元件或层“相邻”时,该元件或层可直接在其它元件或层上、直接连接到、耦合到其它元件或层、或者与其它元件或层直接相邻,或者可能存在中间元件或中间层。相反,当元件被称作“直 接在”另一元件或层“上”、“直接连接到”、“直接耦合到”另一元件或层或者“与”另一个元件或层“直接相邻”时,不存在中间元件或中间层。
    除非另有定义,否则这里使用的所有术语(包括技术术语和科技术语)具有与本发明构思所属领域的普通技术人员所通常理解的意思相同的意思。应该进一步理解,除非这里明确定义,否则术语诸如在通用字典中定义的术语应该被解释为具有与相关领域和/或本说明书的上下文中它们的意思一致的意思,而将不理想化地或者过于正式地解释它们的意思。
    以下,可示例性地使用片上系统来描述本发明构思的方面和功能。然而,本发明构思不限于此。
    图1是示意性示出根据实施例的移动装置的框图。参照图1,移动装置100可包括处理单元110、控制总线120、硬件块130、存储器管理单元140、数据总线150、访问控制单元160和工作存储器170。除了工作存储器170外的其余组件可被包括在片上系统(SoC)中。
    可由软件诸如应用或操作系统(OS)来控制处理单元110。处理单元110可被配置为驱动各种程序或硬件驱动器。处理单元110的操作模式可被划分成正常模式和安全模式。运行在处理单元110上的软件可使用抽象技术,在抽象技术中,软件看似是在两个单独的处理器中运行。例如,安全相关软件和普通软件可在由单核或多核形成的处理单元110上单独地驱动。处理单元110可以是支持TrustZone安全结构的嵌入式处理器。
    处理单元110可被配置为基于包括在所提供的内容中的安全状态位,设置硬件块130和存储器管理单元140的安全模式??捎煞梦士刂频ピ?60设置处理单元110的安全模式。
    例如,在安全内容被处理(例如,播放)的情况下,处理单元110可如下地设置硬件块130上的安全属性:如图1中所示,处理单元110可将硬件块130的从端口132设置成非安全模式NS,并将硬件块130的主端口134设置成安全模式S??赏ü刂谱芟?20完成处理单元110的以上控制操作。
    控制总线120可提供控制路径,处理单元110通过该控制路径控制硬件块130??捎煞梦士刂频ピ?60限定处理单元110通过控制总线120对硬件块130的访问权限。处理单元110可通过控制总线120自由地访问硬件块130。因为硬件块130的安全属性被相对于控制总线120设置成非安全模式NS,所以处理单元110可自由地访问硬件块130。
    硬件块130可以是重放被提供的内容的组件。例如,硬件块130可以是编解码器,编解码器被配置为解码经压缩的内容数据并且将解码结果作为移动画面或声音信号输出。硬件块130可以是被配置为将图像格式或尺寸转换成适于移动装置的图像转换器。另外,硬件块130可显示图像。然而,硬件块130的功能和详细结构可不限于本公开。硬件块130可被配置为包括用于处理数据以重放内容的各种组件。
    硬件块130可被设置成具有双重安全属性?;痪浠敖?,与控制总线120连接的硬件块130的从端口132可被设置成非安全模式NS。与数据总线150连接的硬件块130的主端口134可被设置成安全模式S。因此,可相对于在非安全模式下运行的主IP(知识产权(Intellectual Property))自由地控制硬件块130?;痪浠敖?,硬件块130可被处理单元110驱动的非安全域的软件自由地访问。
    存储器管理单元140可限制硬件块130所访问的在硬件块130和数据总线150之间的存储区域。在硬件块130的从端口132被设置成非安全模式NS并且硬件块130的主端口134被设置成安全模式S的情况下,将软件划分成安全域和非安全域的原理是不适合的。因为通过在非安全模式下运行的任何主IP产生与安全模式相应的事务,所以将软件划分成安全域和非安全域的原理在以上的示例中是不适合的。
    存储器管理单元140可解决与硬件块130的双重安全属性关联的缺陷??稍诎踩蛑型耆芾泶娲⑵鞴芾淼ピ?40。存储器管理单元140的存储器转换表可被设置成只映射由硬件块130访问的存储区域。存储器管理单元140的设置可使得处理单元110不能在操作系统OS执行期间访问在工作存储器170的安全存储区域中存在的内容。
    数据总线150可提供处理单元110或硬件块130的存储器访问路径。处理单元110或硬件块130可通过数据总线150访问工作存储器170。为了处理安全内容,硬件块130可读取并处理单位数据,以将处理后的结果存储在工作存储器170的指定地址区域中。
    访问控制单元160可根据处理单元110的控制来设置硬件块130的安全属性。访问控制单元160可根据处理单元110的控制来设置工作存储器170的安全属性。访问控制单元160可包括用于在片上系统中设置硬件块的安全属性的功能。访问控制单元160可选择性地控制由片上系统访问的工作存储 器170的安全属性。例如,访问控制单元160可包括ARM TrustZone技术。访问控制单元160可包括整体访问控制装置,整体访问控制装置被配置为在安全模式和非安全模式下管理硬件IP的安全属性和工作存储器170的安全属性。
    可将各种数据加载到工作存储器170上。例如,可将用于驱动硬件的操作系统或驱动器加载到工作存储器170上。具体地,可将工作存储器170的存储区域划分成安全域和非安全域。这可通过定义工作存储器170的属性的访问控制单元160的功能来实现。安全内容可在解码之后只被存储在工作存储器170的安全域上。
    采用上述移动装置100,甚至可在非安全模式下阻止对安全内容的访问。
    图2是示意性示出与图1的设置关联的软件架构的框图。参照图2,在移动装置100中驱动的操作系统OS可被划分成正常OS210和安全OS220。在以图1中描述的方式管理硬件块130的安全设置并且通过存储器管理单元140执行另外的访问控制的情况下,可减小安全OS220的负担。另一方面,可在正常OS210上驱动用于控制硬件块130的驱动器。因此,可使安全模式和正常模式之间的切换减到最少。正常模式可意味着非安全模式。
    用于驱动移动装置100的软件架构可被划分成安全模式和正常模式。由于移动装置100可由一个处理单元110来驱动,因此安全模式和正常模式可通过切换在不同的时隙执行。
    正常OS210可支持不要求安全的基础操作。正常OS210可以是Linux系统、Window系统、Android系统或iOS系统等中的至少一种。在根据示例性实施例的软件架构中,可在正常OS210中驱动硬件块驱动器215。这可使得能够重新使用合格软件。如果添加用于驱动硬件块130以使其在安全域中被驱动的驱动器软件,则可能不可避免地消耗安全OS220的可用资源。
    安全OS220可以是为了进行要求安全的数据处理而被单独驱动的操作系统。通常,相关IP的驱动器可在安全OS220上执行,以处理安全内容。然而,通过硬件块130的双重安全设置和存储器管理单元140的另外的设置,用于重放安全内容的硬件块驱动器215不需要在安全OS220上执行。因此,可在安全OS220上执行用于控制访问控制单元160或存储器管理单元140的防火墙驱动器225。
    通常,安全OS220不可被设计成处理内容。因此,不容易在安全OS220 上驱动硬件块驱动器215。另外,可能存在所需硬件驱动器可能得不到支持的情况。因此,在图像处理期间,必须在每帧将用于内容处理的IP的安全设置切换成安全模式和正常模式。因此,安全OS220处理对安全内容的重放是不舒服且不方便的。
    当在安全OS220上执行复杂计算(诸如内容重放)的软件时,难以使内容的安全性合格。难以使内容的安全性合格的原因是:对安全内容进行认证处理所花费的时间变长,并且由于认证处理所花费的时间而产生各种问题。
    采用示例性实施例,用于控制对硬件块130的访问的存储器管理单元140和用于控制访问控制单元160的防火墙驱动器225两者可在安全OS220上执行??稍诎踩蛑兄葱凶钚∪砑灾胤拍谌?。另外,当硬件块130处理用于在安全模式下重放内容的数据时,会造成时间延迟和功耗??赡苤葱卸啻谓布?30的执行区域切换至安全域和非安全域来处理帧。
    图3是示意性示出根据实施例的移动装置的框图。参照图3,移动装置可包括片上系统300、用作工作存储器的SDRAM370和外部非易失性存储器390。在图3中,示出片上系统300是采用TrustZone方式的芯片的示例,在TrustZone方式中,可设置在安全域和非安全域中驱动的处理器和硬件IP的安全性。
    ARM核310可以是支持TrustZone的处理单元。ARM核310可在安全模式和非安全模式下操作,并且可由软件驱动。ARM核310可相对于安全OS和正常OS在安全模式和非安全模式中的一种下操作。ARM核310可根据待处理内容的种类来设置访问控制单元TZPC和TZASC。
    控制总线320可通过ARM核310对片上系统300的组件提供控制路径。ARM核310可通过控制总线320向知识产权(IP)提供安全状态位S位??筛萃ü刂谱芟?20提供的安全状态位来逻辑上划分外围装置和存储装置的所有事务。事务的逻辑划分可使得可将外围或存储装置的操作严格划分成安全模式和非安全模式。
    硬件编解码器330a可访问SDRAM370,以读取SDRAM370中存储的数据的内容。硬件编解码器330a可通过读取和解码在SDRAM370的安全域中存储的内容数据来恢复图像信号以进行重放。具体地,硬件编解码器330a的主端口和从端口可被设置成具有不同属性的安全模式?;痪浠敖?,与控制总线320连接的硬件编解码器330a的从端口可被设置成非安全模式。与存储 器管理单元340a连接的硬件编解码器330a的主端口可被设置成安全模式。
    硬件编解码器330a的设置会使在ARM核驱动的非安全域的软件容易访问硬件编解码器330a。在非安全域中驱动的驱动器可容易地控制硬件编解码器330a。
    另一方面,用于与数据总线350或存储器管理单元340a交换事务的硬件编解码器330a的主端口可被设置成安全模式。硬件编解码器330a的从端口可被设置成非安全模式。举例来说,在非安全模式下在ARM核310驱动的恶意代码可利用硬件编解码器330a恶意地访问安全存储域。为了阻止这种情况,可在硬件编解码器330a的主端口和数据总线350之间插入存储器管理单元340a。
    图像转换器330b可转换格式诸如经硬件编解码器330a解码的图像的大小、色彩空间等。经硬件编解码器330a解码的原始数据可能与各种移动装置中的显示装置的格式不一致。在这种情况下,难以通过LCD控制器330c处理原始数据。图像转换器330b可将原始数据转换成针对移动装置300优化的格式。
    图像转换器330b的主端口和从端口可被设置成不同的安全模式?;痪浠敖?,与控制总线320连接的图像转换器330b的从端口可被设置成非安全模式。与存储器管理单元340b连接的图像转换器330b的主端口可被设置成安全模式。
    LCD控制器330c可通过显示器显示经硬件编解码器330a解码的原始图像数据或者经图像转换器330b转换的图像数据。图像数据可被传送到SDRAM370的帧缓冲器,以通过LCD控制器330c显示图像。然后,LCD控制器330c可从帧缓冲器读取图像数据,以在显示器上显示图像数据。
    在硬件编解码器330a或图像转换器330b中,LCD控制器330c的主端口和从端口可被设置成具有双重安全属性?;痪浠敖?,与控制总线320连接的LCD控制器330c的从端口可被设置成非安全模式。与存储器管理单元340c连接的LCD控制器330c的主端口可被设置成安全模式。
    可设置硬件编解码器330a、图像转换器330b和LCD控制器330c的双重安全属性。双重安全设置的目标可不限于本公开?;痪浠敖?,用于访问SDRAM370的安全域以重放安全内容的硬件IP可被设置成具有双重安全属性。
    存储器管理单元340a可根据硬件编解码器330a的主端口和从端口的双重安全设置来弥补潜在安全问题??稍诟髦窒低持惺褂么⑵鞴芾淼ピ?40a对虚拟地址与物理地址进行映射。然而,存储器管理单元340a可对从硬件编解码器330a输出的虚拟地址与SDRAM370的物理地址进行映射。尽管ARM核在非安全主状态下访问硬件编解码器330a,但硬件编解码器330a的安全事务实际访问的区域可限于由存储器管理单元340a映射的存储区域。因此,通过设置存储器管理单元340a的转换表,可阻止根据硬件编解码器330a的双重安全设置而潜在的安全问题??稍赟DRAM370的安全域中管理存储器管理单元340a的转换表。
    存储器管理单元340b和340c可弥补图像转换器330b和LCD控制器330c的潜在安全问题。通过设置存储器管理单元340b的转换表,可阻止根据图像转换器330b的双重安全设置而潜在的安全问题。通过设置存储器管理单元340c的转换表,可阻止根据LCD控制器330c的双重安全设置而潜在的安全问题??稍赟DRAM370的安全域中管理存储器管理单元340b和340c的转换表。
    数据总线350可提供ARM核310、硬件编解码器330a、图像转换器330b或LCD控制器330c的存储器访问路径。硬件可通过数据总线350访问布置在片上系统300外部的SDRAM370或外部非易失性存储器390。另外,针对片上系统300的内部RAM380,数据总线350可提供各种主IP的存储器访问路径。
    TZPC360a可用于设置硬件IP的安全属性。TZPC360a可以是采用用于将逻辑划分应用于外围IP的安全软件和正常软件的TrustZone方式的片上系统的组件。TZPC360a可设置硬件IP的所有安全属性??赏ü齌ZPC360a的程序将硬件IP的安全属性设置成安全模式和非安全模式??赏ü齌ZPC360a的程序设置诸如硬件编解码器330a、图像转换器330b、LCD控制器330c等IP的双重安全属性??捎砂ㄔ诎踩蛑械挠τ没蚯髦葱蠺ZPC360a的程序。
    TZPC360a可设置硬件编解码器330a、图像转换器330b和LCD控制器330c中的每个的从端口和主端口。另外,TZPC360a可设置包括用于重放安全内容的路径的硬件IP上的双重安全属性。TZPC360a可将与硬件IP的存储器管理单元340a、340b和340c连接的主端口设置成安全模式S,并且将与控 制总线320连接的从端口设置成非安全模式NS。
    TZASC360b可与用于工作存储器的安全设置的控制电路相应。TZASC360b可以是将SDRAM370的每个域的属性划分成安全域和非安全域的组件。在存储器映射中可能存在将在安全域中管理的数据和将在非安全域中管理的数据??捎蒚ZASC360b在安全域中管理与经解码的所有安全内容相应的数据。用于定义存储器管理单元340a、340b和340c的访问路径的转换表可被存储在SDRAM370的安全域中。
    用作工作存储器的SDRAM370可被包括作为移动装置的组件。SDRAM370的存储域可被划分成安全域和非安全域。随后,将描述SDRAM370的存储器映射。DRAM控制器375可被包括在片上系统中,以控制对SDRAM370的访问。DRAM控制器375可根据通过数据总线350和TZASC360b提供的硬件IP330a、330b和330c或ARM核310的访问请求来控制SDRAM370。这里,可通过控制总线320将TZASC360b和DRAM控制器375设置成安全模式。
    安全OS可被加载到内部RAM380上??赏ü齌ZPC360a将内部RAM380设置成安全模式。外部非易失性存储器390可存储各种内容或代码。用于控制外部非易失性存储器390的存储控制器395可被包括在片上系统300中。对存储控制器395的访问可被设置成非安全模式NS。
    采用示例性实施例的片上系统300,用于处理内容数据的硬件IP330a至330c可被设置成具有双重安全属性。用于驱动硬件IP330a至330c的驱动器可在非安全域(或正常OS)中执行。因此,可使用用于有效重放安全内容的资源??赏ü诎踩J较虏僮鞯拇娲⑵鞴芾淼ピ?40a、340b和340c消除根据硬件IP330a至330c的双重安全设置而潜在的安全威胁。根据示例性实施例的实施例的片上系统300可在处理安全内容时提供高安全性能。另外,通过使相关领域的片上系统的结构化改变最小,根据示例性实施例的实施例的片上系统300可提供高安全性能和内容重放质量。
    图4是示意性示出图3的片上系统的软件架构的示图。参照图4,支持TrustZone的片上系统的操作系统可被划分成正常OS410和安全OS420。另外,用于处理安全内容的硬件IP的驱动器可在正常OS410中驱动,并且防火墙驱动器425可在安全OS420中驱动。
    正常OS410可以是针对移动装置优化的任何操作系统。例如,正常OS 410可以是Linux、Android、iOS或Windows系统的操作系统。然而,正常OS410可包括能够支持TrustZone的各种操作系统。编解码器驱动器411、图像转换器驱动器412、LCD控制器驱动器413和TrustZone访问驱动器414等可在正常OS410中驱动。
    正常OS410或在正常OS410上驱动的各种应用程序可使用编解码器驱动器411控制硬件编解码器330a。正常OS410或在正常OS410上驱动的各种应用程序可使用图像转换器驱动器412控制图像转换器330b。正常OS410或在正常OS410上驱动的各种应用程序可使用LCD控制器驱动器413控制LCD控制器330c。
    TrustZone访问驱动器414可以在正常OS410中驱动。正常OS410或在正常OS410上驱动的各种应用程序可通过TrustZone访问驱动器414与安全OS420通信。
    安全OS420可以是包括集成了安全功能的安全内核(secure Kernel)的操作系统。在支持TrustZone的片上系统300中,与正常OS410类似,可通过ARM核300驱动安全OS420。然而,安全OS420可在与正常OS410的时隙不同的时隙具有系统控制权限。
    如果不存在存储器管理单元(MMU)的选择性访问控制,则用于重放安全内容的所有硬件IP的驱动器可在安全OS420中驱动。原因可能在于,指定给硬件IP的安全属性被统一地设置成安全模式,并且安全OS420存在控制硬件IP的权限。
    然而,在示例性实施例的情况下,只有防火墙驱动器425可在安全OS420中驱动。防火墙驱动器425可控制TZPC370a、TZASC370b和片上系统300的存储器管理单元340a、340b和340c??筛莘阑鹎角?25的控制来控制用于处理安全内容的硬件IP的操作?;痪浠敖?,可由防火墙驱动器425控制示例性实施例的安全操作。
    图5是示意性示出根据实施例的存储器图映射的示图。参照图5,示出了由ARM核310示出的存储器映射。存储器映射可被划分成安全域510、530和540以及非安全域520。这种划分可由上述TZASC360b进行。
    安全域510、530和540可包括存储器管理单元MMU、将被?;さ挠布嘟饴肫鞯幕撼迤?、安全OS、安全资源等的转换表。
    SDRAM370的安全域510可包括存储器管理单元340a、340b和340c 的转换表511、512和513。转换表511可与存储器管理单元340a的逻辑地址和物理地址的映射表相应??赏ü槐?11定义硬件编解码器330a的可访问域。由于硬件编解码器330a的从端口被设置成具有非安全属性,因此可通过任何软件访问硬件编解码器330a??赏ü簧柚贸煞前踩J降挠布嘟饴肫?30a的主IP产生安全事务。然而,相对于访问硬件编解码器330a的任何主IP,可能不允许超出存储器管理单元340a的转换表511的范围之外的存储器访问。转换表511的功能还可应用于与图像转换器330b和LCD控制器330c相应的转换表512和513。
    转换表511可限制硬件编解码器330a的访问域?;痪浠敖?,可通过转换表511决定硬件编解码器330a的可访问存储域。硬件编解码器330a可通过转换表511访问SDRAM370的安全域的一部分。例如,尽管硬件编解码器330a的主端口的属性被设置成安全模式S,但转换表511可被设置成使得SDRAM370的所有安全域510都不被访问。
    编解码器输入缓冲器514可存储将被硬件编解码器330a处理的内容数据。硬件编解码器330a可访问和处理在编解码器输入缓冲器514中存储的内容。用于移动画面的运动补偿的参考帧可被存储在参考帧缓冲器515中。通常,可在参考帧中使用数据的先前帧。编解码器固件516可以是支持硬件编解码器330a的功能的代码数据。编解码器输出缓冲器517可以是存储经编解码器处理的数据的存储域?;痪浠敖?,硬件编解码器330a可从SDRAM370的安全域中包括的编解码器输入缓冲器514和参考帧缓冲器515读取数据并且处理数据。经硬件编解码器330a处理的数据可被存储在编解码器输出缓冲器517中。
    帧缓冲器518可用于存储经图像转换器330b处理的图像数据。图像转换器330b可读取存储在编解码器输出缓冲器517中的数据,以将所述数据转换成与屏幕相应的像素数据。被转换成针对移动装置优化的格式的像素数据可再次被存储在帧缓冲器518中。
    存储图像内容的硬件编解码器330a和由图像转换器330b访问的SDRAM370的安全存储域510被描述为处理安全内容。
    UI帧缓冲器521、加密内容522和非安全OS523可被加载到非安全存储域520上。不管硬件IP的安全属性如何,可访问非安全存储域520中存储的数据。安全OS531可被加载到内部SRAM530上。安全OS531可驱动需 要安全性的应用程序。装置唯一密钥540可被设置成具有安全属性。尽管图5中未示出,但装置唯一密钥540可被包括在用于存储安全密钥的单独存储装置中。
    在ARM核310中示出存储器映射??赏ü鲜鯰ZASC360b控制存储器映射配置。
    图6是示出硬件编解码器的可访问存储器映射的示图。参照图6,硬件编解码器330a可通过存储器管理单元340a只访问安全域的部分514、515、516和517。
    如果安全内容的DRM被释放,则它可被记录在被指定给SDRAM370的安全域的编解码器输入缓冲器514。此时,硬件编解码器330a可读取并解码存储在编解码器输入缓冲器514中的内容。硬件编解码器330a可转换从编解码器输入缓冲器514读取的帧数据。硬件编解码器330a可将转换后的数据写入编解码器输出缓冲器517。用于转换数据的参考帧可被写入参考帧缓冲器515。在移动画面的情况下,参考帧可由先前的帧形成。因此,硬件编解码器330a可具有关于参考帧缓冲器515的读权限和写权限。硬件编解码器330a可具有关于固件代码域516的读权限。
    根据存储器管理单元340a的设置,硬件编解码器330a可具有关于编解码器输入缓冲器514和编解码器固件域516的读权限。根据存储器管理单元340a的设置,硬件编解码器330a可具有关于参考帧缓冲器515的读权限和写权限。根据存储器管理单元340a的设置,硬件编解码器330a可具有关于编解码器输出缓冲器517的写权限。
    图7是示出图像转换器的可访问存储器映射的示图。参照图7,图像转换器330b可通过存储器管理单元340a只访问SDRAM370的安全域的部分517和518。
    图像转换器330b可具有关于编解码器输出缓冲器517的读权限。经硬件编解码器330a处理的数据可被写入编解码器输出缓冲器517。图像转换器330b可从编解码输出缓冲器517读取数据,以将其转换成最佳格式。经图像转换器330b转换的图像数据可被写入帧缓冲器518。
    根据存储器管理单元340b的设置,图像转换器330b可具有关于编解码器输出缓冲器517的读权限和关于帧缓冲器518的写权限。
    图8是示出LCD控制器的可访问存储器映射的示图。参照图8,LCD控 制器330c可通过存储器管理单元340a只访问SDRAM370的安全域的部分518和SDRAM370的非安全域的部分521。
    LCD控制器330c可从帧缓冲器518读取经图像转换器330b转换的图像数据。与需要安全性的内容相应的图像数据可被存储在被设置成具有安全属性的帧缓冲器518中。
    LCD控制器330c可具有关于UI帧缓冲器521的读权限。UI帧缓冲器521可包括在显示器、触摸屏的各种输入等上实现的菜单项。UI帧缓冲器521中存储的数据可以是与安全内容不相关的数据。因此,UI帧缓冲器521中存储的数据不需要被作为被设置成具有安全属性的数据来管理。LCD控制器330c可具有关于被存储器管理单元340c指定的存储域的读权限。
    图9是示意性示出根据另一个实施例的片上系统的框图。参照图9,比较片上系统600和图3的片上系统300,可用存储器?;さピ?40a、640b和640c替换存储器管理单元340a、340b和340c。
    存储器?;さピ?40a、640b和640c可没有存储器管理单元340a、340b和340c的虚拟地址映射功能。因此,存储器?;さピ?40a、640b和640c可一直利用SDRAM670的物理地址来控制对SDRAM670的访问??稍赟DRAM670的安全域中管理存储器?;さピ?40a、640b和640c的地址映射表。片上系统600上的软件架构可与图4的片上系统的软件架构基本上相同。
    图10是示意性示出根据又一个实施例的片上系统的框图。参照图10,比较片上系统700和图9的片上系统600,存储器?;さピ?40a、640b和640c可由存储器?;さピ?40形成。
    存储器?;さピ?40可集成由存储器?;さピ?40a、640b和640c所执行的访问控制。尽管硬件编解码器730a、图像转换器730b和LCD控制器730c产生具有安全属性的事务,但存储器?;さピ?40可只允许访问有安全要求的存储域?;痪浠敖?,存储器?;さピ?40可只允许硬件编解码器730a访问编解码器输入缓冲器514、参考帧缓冲器515、编解码器固件516和编解码器输出缓冲器517。编解码器输入缓冲器514、参考帧缓冲器515、编解码器固件516和编解码器输出缓冲器517可被指定给SDRAM770的安全域。
    存储器?;さピ?40可允许图像转换器730b访问被指定给SDRAM770的安全域的编解码器输出缓冲器517和帧缓冲器518。具体地,图像转换器730b可通过存储器?;さピ?40的转换表具有关于编解码器输出缓冲器517 的读权限和关于帧缓冲器518的写权限。
    存储器?;さピ?40可允许LCD控制器730c访问被指定给SDRAM770的非安全域的UI帧缓冲器521和被指定给SDRAM770的安全域的帧缓冲器518。具体地,可通过存储器?;さピ?40的转换表将LCD控制器730c设置成具有关于UI帧缓冲器521和帧缓冲器518的读权限和写权限。
    这里,存储器?;さピ?40的转换表可被指定给SDRAM770的安全域。另外,片上系统700上的软件架构可与图4的片上系统的软件架构基本上相同。
    图11是示意性示出根据再一个实施例的片上系统的框图。参照图11,比较片上系统800和图10的片上系统700,可用存储器管理单元840替换存储器?;さピ?40。
    存储器管理单元840可执行图10的存储器?;さピ?40的访问控制。尽管硬件编解码器830a、图像转换器830b和LCD控制器830c产生具有安全属性的事务,但存储器管理单元840可只允许访问有安全要求的存储域?;痪浠敖?,存储器管理单元840可只允许硬件编解码器830a访问编解码器输入缓冲器514(参照图5)、参考帧缓冲器515(参照图5)、编解码器固件516(参照图5)和编解码器输出缓冲器517(参照图5)。编解码器输入缓冲器514、参考帧缓冲器515、编解码器固件516和编解码器输出缓冲器517可被指定给SDRAM770的安全域。
    存储器管理单元840可允许图像转换器830b访问被指定给SDRAM870的安全域的编解码器输出缓冲器517和帧缓冲器518。具体地,图像转换器830b可通过存储器管理单元840的转换表具有关于编解码器输出缓冲器517的读权限和关于帧缓冲器518的写权限。
    存储器管理单元840可允许LCD控制器830c访问被指定给SDRAM870的非安全域的UI帧缓冲器521和被指定给SDRAM870的安全域的帧缓冲器518。具体地,可通过存储器管理单元840的转换表将LCD控制器830c设置成具有关于UI帧缓冲器521和帧缓冲器518的读权限。
    存储器管理单元840的转换表可被指定给SDRAM870的安全域。另外,片上系统800上的软件架构可与图4的片上系统的软件架构基本上相同。
    图12是示意性示出包括片上系统的移动装置的框图。参照图12,作为手持终端的移动装置1000可包括图像处理单元1100、RF收发器1200、音频 处理单元1300、图像文件产生单元1400、SRAM1500、用户接口1600和控制器1700。
    图像处理单元1100可包括镜头1110、图像传感器1120、图像处理器1130和显示单元1140。RF收发器1200可包括天线1210、收发器1220和调制解调器1230。音频处理单元1300可包括音频处理器1310、麦克风1320和扬声器1330。
    手持终端1000可包括各种种类的半导体器件。具体地,可能需要执行控制器1700的功能的片上系统的低功率和高性能特性。用于处理安全内容的控制器1700可并行驱动示例性实施例的安全OS和正常OS。双重安全属性可被设置成用于处理图像内容的硬件IP,并且可使用存储器管理单元或存储器?;さピ拗乒赜诒簧柚贸伤匕踩粜缘挠布蘒P的访问权限。这种技术可使得能够在充分提供内容的安全性期间重放高质量内容。
    图13是示出根据示例性实施例的包括安全功能的计算机系统的框图。参照图13,计算机系统2000可包括与系统总线2060电连接的非易失性存储装置2010、CPU2020、RAM2030、用户接口2040和调制解调器(诸如基带芯片集)。
    如果计算机系统2000是移动装置,则它还可包括为计算机系统2000供电的电池(未示出)。尽管图13中未示出,但计算机系统2000还可包括应用芯片集、相机图像处理器(CIS)、移动DRAM等。
    CPU2020可被配置的基本上与图3和图9至图11的片上系统300、600、700和800中的至少一个相同?;痪浠敖?,CPU2020可通过TrustZone访问控制方式来控制硬件IP的存储器访问。另外,可将双重安全属性设置给CPU2020的硬件IP,并且可通过存储器管理单元MMU或存储器?;さピ狹PU限制被设置成双重安全属性的硬件IP对SDRAM1500的访问。因此,采用计算系统2000,可提供关于安全内容的高安全性和重放质量。
    半导体器件和/或控制器可通过从以下各种类型的封装中选择的一种来封装:诸如PoP(层叠封装)、球栅阵列(BGA)、芯片级封装(CSP)、塑料引线芯片载体(PLCC)、塑料双列直插式封装(PDIP)、裸片格栅封装(Die in Waffle Pack)、裸片级晶片形式(Die in Wafer Form)、板上芯片(COB)、陶瓷双列直插式封装(CERDIP)、塑料方形扁平封装(公制)(MQFP)、薄型方形扁平封装(TQFP)、小外形封装(SOIC)、窄间距小外形封装(SSOP)、 薄型小外形封装(TSOP)、系统级封装(SIP)、多芯片封装(MCP)、晶片级制造封装(WFP)、晶片级加工的堆叠式封装(WSP)等。
    根据示例性实施例的另一个方面,处理单元110、存储器管理单元140、访问控制单元160和存储器?;さピ?40a-640c中的任一个可包括用于执行它们各自功能的至少一个处理器。另外,处理单元110、存储器管理单元140、访问控制单元160和存储器?;さピ?40a-640c中的任一个可包括用于执行它们各自功能的电路、硬件??榛蛴布骷?。
    虽然已经描述了示例性实施例,但本领域的技术人员应该清楚,可在不脱离示例性实施例的精神和范围的情况下进行各种改变和修改。因此,应该理解,以上实施例不是限制性的,而是说明性的。

    关于本文
    本文标题:处理安全内容的片上系统和包括片上系统的移动装置.pdf
    链接地址://www.4mum.com.cn/p-6185424.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 辽宁体育 今日体彩开奖直播 双色球140期号码预测 极速快3全天开奖结果 北京赛车和值计划 内蒙古11选5官网走势图 开心棋牌975 北京股票融资合作 极速快3计划网 北京十一选五前三直走势 2018年海南环岛赛今日实况 体彩江苏7位数开奖直播 内蒙古十一选五每天开奖结果 加拿大28预测99 云南十一选五技巧视频 澳洲幸运8单双走势