專利名稱：信息處理設(shè)備，恢復(fù)設(shè)備，程序和恢復(fù)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及由多個(gè)處理器形成的信息處理設(shè)備，具體涉及一種信 息處理設(shè)備、恢復(fù)設(shè)備、程序和恢復(fù)方法，該信息處理設(shè)備包括具有 處理器的域，該處理器能夠執(zhí)行從外部獲得的附加處理操作。
背景技術(shù)：
在移動(dòng)電話等信息通信終端設(shè)備中，用于實(shí)現(xiàn)終端設(shè)備基本功能 (例如，呼叫處理功能、用于互聯(lián)網(wǎng)訪問的瀏覽功能、電子郵件功能、 屏幕控制功能等)的基本處理通常是預(yù)先與操作系統(tǒng)安裝在一起的， 而除上述基本處理之外的其他附加處理(程序)是通過用戶操作等從 例如網(wǎng)絡(luò)等外部下載到終端設(shè)備中，并執(zhí)行以實(shí)現(xiàn)安裝的。然而，當(dāng) 執(zhí)行下載的附加處理時(shí)，操作系統(tǒng)、基本處理等可能容易受到附加處 理的攻擊。
圖42是示出了信息通信終端設(shè)備的典型結(jié)構(gòu)的一個(gè)示例的示意 圖，其中信息通信終端設(shè)備執(zhí)行下載的附加處理。圖42中示意性地示 出了典型的現(xiàn)有設(shè)備結(jié)構(gòu)框圖。下面將描述如下情況附加處理是由 本機(jī)代碼(native code)(在提供方端編譯或經(jīng)過匯編處理的二進(jìn)制代 碼)提供的應(yīng)用程序或設(shè)備驅(qū)動(dòng)器(發(fā)出訪問設(shè)備的請求和對來自設(shè)
備的中斷進(jìn)行處理的軟件，也被稱為"i/o驅(qū)動(dòng)器")。
在圖42所示的結(jié)構(gòu)中，當(dāng)下載并執(zhí)行附加處理23時(shí)(在附加處 理23是設(shè)備驅(qū)動(dòng)器的情況下，當(dāng)該處理合并到操作系統(tǒng)中并被執(zhí)行 時(shí))，基本操作22、操作系統(tǒng)(稱作"OS") 21、 CPU (控制處理單元)
10、存儲(chǔ)器50和輸入/輸出設(shè)備(I/O) 60可能受到附加處理23的直 接攻擊。這是因?yàn)闆]有安裝任何裝置來限制附加處理23對基本處理 22、 CPU 10、 OS 21、存儲(chǔ)器50或輸入輸出設(shè)備(I/O)的攻擊，以 實(shí)現(xiàn)安全的執(zhí)行環(huán)境。具體而言，在圖42所示結(jié)構(gòu)的情況下，認(rèn)為附 加處理23能夠任意地向基本處理22、 OS 21、 CPU 10、存儲(chǔ)器50和 輸入/輸出設(shè)備60發(fā)出處理請求，并被允許自由地訪問每一個(gè)硬件或 軟件資源。由此，允許了惡意的附加處理23 (或無惡意但受到病毒等 發(fā)生的附加處理)自由地攻擊毫無防備的OS 21和基本處理22等。
例如，存在如下情況附加設(shè)備驅(qū)動(dòng)器合并到OS21內(nèi)核中，作 為駐留驅(qū)動(dòng)器。在這種情況下，該設(shè)備驅(qū)動(dòng)器的可靠性將直接影響OS 21的可靠性和性能。從設(shè)備驅(qū)動(dòng)器的屬性也清楚可見，程序驅(qū)動(dòng)器包 括處理對設(shè)備的設(shè)置和在來自設(shè)備的中斷時(shí)要由調(diào)度程序啟動(dòng)的中斷 服務(wù)，并且由于處理性能，中斷服務(wù)的執(zhí)行時(shí)間(在此期間禁止時(shí)間 重調(diào)度)限制為非常短(例如，少于l毫秒)的時(shí)間。換言之，如果 附加設(shè)備驅(qū)動(dòng)器是具有惡意的驅(qū)動(dòng)器，則信息處理設(shè)備的處理性能可 能很容易降低。對于并非駐留驅(qū)動(dòng)器的可加載驅(qū)動(dòng)器(可選擇向存儲(chǔ) 器加載或從存儲(chǔ)器卸載的驅(qū)動(dòng)器)也是如此。因此，當(dāng)作為附加處理 而安裝的惡意驅(qū)動(dòng)器發(fā)起攻擊時(shí)，OS 21的內(nèi)核受到直接的致命攻擊 (基本上無法進(jìn)行操作)。
在上述情況下，目前提出了多種設(shè)計(jì)構(gòu)架，通過限制下載的附加 處理的執(zhí)行環(huán)境來保護(hù)基本處理等。下面，將對照幾個(gè)典型示例進(jìn)行 概述。
圖43是示出了一個(gè)典型結(jié)構(gòu)示例的圖，該結(jié)構(gòu)提供了通過軟件 保護(hù)附加處理的執(zhí)行的環(huán)境。在圖43所示的示例中，由本機(jī)代碼實(shí)現(xiàn) 的附加處理23設(shè)計(jì)為在虛擬機(jī)24上執(zhí)行。例如，假設(shè)附加處理23 是用JAVA (注冊商標(biāo))字節(jié)代碼描述的，下載的JAVA (注冊商標(biāo)) 字節(jié)代碼將在形成虛擬機(jī)24的JVM (JAVA (注冊商標(biāo))虛擬機(jī))上 執(zhí)行。
在這種結(jié)構(gòu)中，在軟件上將基本處理22、 OS 21等與附加處理23 相分離，以確保它們的安全。具體而言，附加處理23只通過虛擬機(jī)
24訪問OS 21、 CPU 10、存儲(chǔ)器50、 I/O 60等。通常，虛擬機(jī)24是 不被授權(quán)在OS21的內(nèi)核模式下執(zhí)行操作(例如，執(zhí)行特許指令)等 的，所以不允許附加處理23直接操作OS 21。此外，因?yàn)樘摂M機(jī)24 通常以解釋程序模式執(zhí)行附加處理23的指令代碼，所以容易監(jiān)控附加 處理23的指令/操作的適當(dāng)性，并且例如通過限制附加處理23對硬件 資源和軟件資源的未授權(quán)訪問(例如，在網(wǎng)絡(luò)或屏幕等上輸出多個(gè)數(shù) 據(jù))，允許虛擬機(jī)23用作保護(hù)過濾器或保護(hù)屏障器、或者從軟件方面 來說用作保護(hù)門。因此，在軟件上通過虛擬機(jī)24將基本處理22、 OS 21等與附加處理23分離開來。
但是，圖43所示的虛擬機(jī)系統(tǒng)具有如下問題。
當(dāng)下載的附加處理23通過漏洞(例如，安全漏洞)攻擊虛擬機(jī) 24時(shí)，系統(tǒng)安全將受到破壞。
此外，因?yàn)橹T如JAVA (注冊商標(biāo))虛擬機(jī)等虛擬機(jī)24—般采用 逐指令地解釋和執(zhí)行JAVA (注冊商標(biāo))字節(jié)代碼等指令代碼的解釋 程序方法，所以其執(zhí)行速率比較低。
此外，雖然虛擬機(jī)24在執(zhí)行附加處理23時(shí)通過發(fā)出系統(tǒng)調(diào)用， 向OS21進(jìn)行處理請求，但是由于系統(tǒng)調(diào)用的開銷較高，所以處理執(zhí) 行速度較慢。例如，在虛擬機(jī)24中，發(fā)出與附加處理23的一條指令 相對應(yīng)的一個(gè)或多個(gè)系統(tǒng)調(diào)用。執(zhí)行一系列這種控制會(huì)產(chǎn)生較高的開 銷，例如通過發(fā)出系統(tǒng)調(diào)用從用戶模式到系統(tǒng)模式的上下文切換、在 OS 21的系統(tǒng)調(diào)用進(jìn)入單元處對系統(tǒng)調(diào)用分組數(shù)據(jù)的解碼、對參數(shù)等 的驗(yàn)證檢查(錯(cuò)誤檢測處理)、處理的分配(分派)、在處理結(jié)束時(shí)傳 輸處理結(jié)果、上下文切換、從內(nèi)核空間向用戶空間的切換等。
在圖43所示結(jié)構(gòu)的情況下，無法將作為附加處理23的設(shè)備驅(qū)動(dòng) 器合并到OS21中。從圖43清楚可見，虛擬機(jī)24位于OS21之上的 上層。當(dāng)虛擬機(jī)24構(gòu)造為基于附加處理23的代碼向OS 21發(fā)出處理 請求、接收來自O(shè)S 21的處理結(jié)果并在需要時(shí)向附加處理23返回該 結(jié)果時(shí)，將作為設(shè)備驅(qū)動(dòng)器的附加處理合并到OS21中需要將控制附 加處理的執(zhí)行的虛擬機(jī)也合并到OS 21中，理論上來說，圖43所示 的虛擬機(jī)系統(tǒng)中無法實(shí)現(xiàn)上述結(jié)構(gòu)。
例如，圖44示出了作為另一種軟件安全性管理系統(tǒng)的已知結(jié)構(gòu)。 如圖44所示，將附加處理23下載到終端(信息處理設(shè)備)中，附加 處理23上附著有證書25，用于證明該附加處理23是可信任的。終端 方構(gòu)造為檢查所附證書25的內(nèi)容，并在認(rèn)證所附證書25是正確證書 時(shí)，允許安裝并運(yùn)行下載的附加處理23?？梢允褂脭?shù)字簽名(ITU-T XS09)作為證書25。例如，利用要證明的組織及其公鑰以及證書25 中存儲(chǔ)的CA (證明授權(quán))(用CA的秘密密鑰對要證明的組織或公鑰 進(jìn)行加密)數(shù)據(jù)簽名，在認(rèn)證該證書時(shí)，用CA公鑰對CA —部分?jǐn)?shù) 字簽名進(jìn)行解碼，以檢査解碼的內(nèi)容是否符合證書的數(shù)據(jù)內(nèi)容，并在 兩者彼此符合時(shí)確定證書數(shù)據(jù)是可靠的。備選地，只要證書25證明真 實(shí)的出售方，證書25可以是任意證書。例如，在Windows (注冊商 標(biāo))2000上也安裝有設(shè)備驅(qū)動(dòng)器的驅(qū)動(dòng)器簽名。
在圖44所示系統(tǒng)的情況下，可以通過本機(jī)代碼提供附加處理23， 這能夠進(jìn)行比圖43所示的虛擬機(jī)系統(tǒng)高速的運(yùn)行。應(yīng)用程序和設(shè)備驅(qū) 動(dòng)器也可以作為附加處理23運(yùn)行。但是，系統(tǒng)可靠性完全依賴于附加 處理23的安全性。換言之，當(dāng)附加處理23有預(yù)先未覺察到的問題時(shí)， 系統(tǒng)可能受到致命破壞。
圖45是示出了通過軟件執(zhí)行安全性管理的處理器結(jié)構(gòu)的圖。參 照圖45， CPU 11具有安全模式12和非安全模式13，下載的附加處理 23和對應(yīng)于附加處理23的OS 21B主要運(yùn)行在非安全模式13下。存 儲(chǔ)器管理單元14與在安全模式12下訪問的存儲(chǔ)區(qū)(地址空間)相分 離地管理在非安全模式13下訪問的存儲(chǔ)區(qū)，從而禁止在非安全模式 13下對安全模式12下的存儲(chǔ)區(qū)進(jìn)行訪問。換言之，存儲(chǔ)器管理單元 14執(zhí)行對非安全模式13的存儲(chǔ)器訪問控制，并禁止在非安全模式13 下對安全模式12下的存儲(chǔ)區(qū)進(jìn)行訪問。
因此，在圖45所示的結(jié)構(gòu)中，在安全模式12下執(zhí)行基本處理22， 虛擬地將執(zhí)行附加處理23的CPU與另一 CPU相分離，從而提高安全 性。
但是，在CPU上，安全模式和非安全模式是以時(shí)分形式執(zhí)行的， 并且除非是從非安全模式返回的，否則不執(zhí)行安全模式下的系統(tǒng)操作。
此外，因?yàn)榉前踩Ｊ胶桶踩Ｊ绞且詴r(shí)分形式處理的，所以在 模式切換時(shí)會(huì)產(chǎn)生諸如模式切換等開銷。
此外，當(dāng)在非安全模式下將附加處理23作為設(shè)備驅(qū)動(dòng)器合并到 OS21B中時(shí)，如果該驅(qū)動(dòng)器是惡意的，則可能無法返回安全模式，從 而導(dǎo)致對系統(tǒng)的致命破壞。
PCT國際申請No. 2004-500666 (文獻(xiàn)1)的日文版本中引述了類 似圖45所示結(jié)構(gòu)的處理器，其具有在系統(tǒng)存儲(chǔ)器中提供的分離區(qū)，并 包括正常執(zhí)行模式和分離執(zhí)行模式。文獻(xiàn)l中描述的設(shè)備具有正常執(zhí) 行模式，這是在普通操作模式下可操作的模式，而并沒有在非安全環(huán) 境下向處理器提供的安全性功能，即分離執(zhí)行模式。該設(shè)備構(gòu)造為禁 止從正常執(zhí)行模式訪問分離區(qū)，并在分離執(zhí)行模式下支持預(yù)定分離指 令的執(zhí)行。即使采用這種結(jié)構(gòu)，由于以時(shí)分形式處理正常執(zhí)行模式和 分離執(zhí)行模式，也會(huì)在切換時(shí)產(chǎn)生模式切換等開銷。
此外，還公開了一種包括兩個(gè)處理器單元和開關(guān)單元的結(jié)構(gòu)，其 中一個(gè)處理器單元與公共數(shù)據(jù)通信網(wǎng)絡(luò)連接，另一個(gè)處理器單元不與 公共數(shù)據(jù)通信網(wǎng)絡(luò)連接，而作為數(shù)據(jù)安全性單元進(jìn)行操作(見PCT國 際申請No. 2002-542537 (文獻(xiàn)2)日文版本)。文獻(xiàn)2中記載的系統(tǒng) 具有與公共數(shù)據(jù)通信網(wǎng)絡(luò)連接的處理器單元和通過開關(guān)分離的數(shù)據(jù)安 全性單元，從而確保了數(shù)據(jù)安全性單元的安全性。但是，對于由上述 附加處理(從網(wǎng)絡(luò)等下載的附加處理)的執(zhí)行造成的對連接至公共數(shù) 據(jù)通信網(wǎng)絡(luò)連接的處理器單元的攻擊，該設(shè)備沒有考慮任何對策。雖 然數(shù)據(jù)安全性單元是安全的，但是與公共數(shù)據(jù)通信網(wǎng)絡(luò)連接的處理器 單元沒有能夠有效對抗附加處理引起的攻擊的安全性機(jī)制。因此，為 了在與公共數(shù)據(jù)通信網(wǎng)絡(luò)連接的處理器單元中實(shí)現(xiàn)安全性管理，有必 要采用上述任何系統(tǒng)。
此外，在PCT國際申請No. 2002-533791 (文獻(xiàn)3)日文版本中記 載了一種在處理器上同時(shí)運(yùn)行執(zhí)行程序或分離的操作系統(tǒng)的系統(tǒng)，其 中為了保護(hù)錯(cuò)誤程序運(yùn)行環(huán)境，在運(yùn)行第一程序時(shí)設(shè)定只能由第一程 序使用的存儲(chǔ)空間，通過單鏈接執(zhí)行第一程序與計(jì)算機(jī)執(zhí)行環(huán)境之間 的通信，單鏈接包括使用共享存儲(chǔ)空間、專用中斷或?qū)Ｓ?/0端口，并且除了在有限運(yùn)行環(huán)境下訪問設(shè)定的存儲(chǔ)空間和單鏈接，第一程序 對處理器上資源的訪問是受制約的。在文獻(xiàn)3所述方法的情況下，因 為除了在有限運(yùn)行環(huán)境下訪問設(shè)定的存儲(chǔ)空間和單鏈接(使用共享存 儲(chǔ)空間、專用中斷或?qū)Ｓ?/0端口)，第一程序?qū)μ幚砥魃腺Y源的訪問 是受制約的，所以第一程序無法用作設(shè)備驅(qū)動(dòng)器，從而無法應(yīng)用于包 括設(shè)備驅(qū)動(dòng)器在內(nèi)的附加處理。
作為公開了用于稍后所述的本發(fā)明中的處理器間通信單元有關(guān)
技術(shù)的公開技術(shù)，日本專利公開No.H6-332864 (文獻(xiàn)4)公開了一種 在多處理器系統(tǒng)中進(jìn)行CPU之間的通信的系統(tǒng)。文獻(xiàn)4中引述作為其 背景技術(shù)的是如下結(jié)構(gòu)當(dāng)多處理器使用共享存儲(chǔ)器執(zhí)行CPU之間的 通信時(shí)，CPU2在產(chǎn)生對于CPU1的中斷時(shí)，將通信信息寫入到針對 CPU1的固定域中為其自身所用的內(nèi)置CPU通信信息寫入?yún)^(qū)，以產(chǎn)生 中斷，并在中斷發(fā)生時(shí)，CPU1訪問與CPU2相對應(yīng)的內(nèi)置CPU通信 信息寫入?yún)^(qū)，以執(zhí)行中斷處理。在文獻(xiàn)4中還引述了用于減少對共享 存儲(chǔ)器的訪問次數(shù)的發(fā)明。
日本專利公開No. 2001-154999 (文獻(xiàn)5)提出了并行計(jì)算系統(tǒng)， 其中處理器分析電路在其自身的處理器啟動(dòng)時(shí)檢測到故障，要求服務(wù) 處理器進(jìn)行恢復(fù)，服務(wù)處理器執(zhí)行恢復(fù)處理。
文獻(xiàn)1: PCT國際申請No. 2004-500666日文版本 文獻(xiàn)2: PCT國際申請No. 2002-542537日文版本 文獻(xiàn)3: PCT國際申請No. 2002-533791日文版本 文獻(xiàn)4:日本專利公開No. H6-332864 文獻(xiàn)5:日本專利公開No. 2001-154999
如上所述，為了對抗來自下載的惡意或錯(cuò)誤的附加處理以確保安 全性，具有這種對策措施的相關(guān)設(shè)備實(shí)際上具有多種尚未解決的問題， 例如處理性能問題、無法運(yùn)行設(shè)備驅(qū)動(dòng)器的問題、以及確保安全性的 問題。具體而言，如圖43和45所示，與信息處理設(shè)備有關(guān)的設(shè)計(jì)構(gòu) 架禁止從設(shè)備外部下載附加的設(shè)備驅(qū)動(dòng)器，該設(shè)計(jì)構(gòu)架表明無法附加 設(shè)備和附加功能，從而在這方面來說可用性是有限的。
另一方面，如上所述，因?yàn)樵诶鐑?nèi)核模式下操作附加設(shè)備驅(qū)動(dòng)器時(shí)，OS和系統(tǒng)的可靠性受到直接影響，所以在確保安全性和可靠
性方面需要大幅度改進(jìn)。
此外，相關(guān)并行計(jì)算系統(tǒng)中的恢復(fù)處理的一個(gè)示例是文獻(xiàn)5中公 開的技術(shù)，這種恢復(fù)處理的問題在于恢復(fù)是響應(yīng)于惡意請求而執(zhí)行的， 例如被通知包括病毒的恢復(fù)請求。
因此，本發(fā)明的目的是提供一種信息處理設(shè)備、 一種恢復(fù)設(shè)備、 程序和恢復(fù)方法，能夠恢復(fù)受到附加應(yīng)用程序和設(shè)備驅(qū)動(dòng)器造成的發(fā) 生錯(cuò)誤的域得到恢復(fù)，從而確保安全性和可靠性。

發(fā)明內(nèi)容
根據(jù)本發(fā)明第一典型方面， 一種信息處理設(shè)備包括多個(gè)處理器， 其中所述多個(gè)處理器根據(jù)要執(zhí)行的處理內(nèi)容，形成多個(gè)域，并且不同 域中的處理器通過通信單元彼此通信；所述信息處理設(shè)備還包括恢復(fù) 單元，用于針對發(fā)生錯(cuò)誤的域，基于由所述域通知的故障恢復(fù)請求和 為每個(gè)域預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
根據(jù)本發(fā)明第二典型方面， 一種恢復(fù)設(shè)備，用于在具有由多個(gè)處 理器形成的多個(gè)域的信息處理設(shè)備上，恢復(fù)域上發(fā)生的故障，其中所 述多個(gè)處理器，根據(jù)要執(zhí)行的處理內(nèi)容，形成多個(gè)域；所述恢復(fù)設(shè)備 包括恢復(fù)單元，用于針對發(fā)生錯(cuò)誤的域，基于由所述域通知的故障恢 復(fù)請求和為每個(gè)域預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
根據(jù)本發(fā)明第三典型方面， 一種程序，在信息處理設(shè)備上執(zhí)行以 恢復(fù)所述信息處理設(shè)備的功能，所述信息處理設(shè)備作為由多個(gè)處理器 形成的計(jì)算機(jī)處理設(shè)備，所述程序使所述信息處理設(shè)備利用所述多個(gè) 處理器執(zhí)行如下功能，其中所述多個(gè)處理器根據(jù)要執(zhí)行的處理內(nèi)容形 成多個(gè)域-
通信功能，使不同域中的處理器彼此通信；以及
恢復(fù)功能，針對發(fā)生錯(cuò)誤的域，基于由所述域通知的故障恢復(fù)請
求和為每個(gè)域預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
根據(jù)本發(fā)明第四典型方面， 一種恢復(fù)方法，用于恢復(fù)由多個(gè)處理
器形成的信息處理設(shè)備的處理功能，其中
所述多個(gè)處理器根據(jù)要執(zhí)行的處理內(nèi)容形成多個(gè)域；以及 不同域中的處理器通過通信步驟進(jìn)行通信，
所述恢復(fù)方法包括恢復(fù)步驟針對發(fā)生錯(cuò)誤的域，基于由所述域 通知的故障恢復(fù)請求和為每個(gè)域預(yù)先設(shè)定的恢復(fù)條件，由所述信息處 理設(shè)備上的恢復(fù)單元執(zhí)行故障恢復(fù)處理。


圖1是示出了本發(fā)明第一示例的信息處理設(shè)備硬件結(jié)構(gòu)的圖2是示出了第一示例的處理器間通信單元結(jié)構(gòu)的圖3是用于說明第一示例的處理器間通信單元的操作的圖4是示出了第一示例的訪問控制單元結(jié)構(gòu)的圖5是示出了第一示例的訪問控制單元的訪問允許數(shù)據(jù)的示例
圖6是用于說明第一示例的訪問控制單元的操作的圖7是示出了第一示例的訪問控制單元30的另一結(jié)構(gòu)的圖8是示出了第一示例的訪問控制單元30的又一結(jié)構(gòu)的圖9是示出了本發(fā)明第二示例的信息處理設(shè)備硬件結(jié)構(gòu)的圖IO是示出了本發(fā)明第三示例的信息處理設(shè)備硬件結(jié)構(gòu)的圖11是示出了第三示例的信息處理設(shè)備的變化示例硬件結(jié)構(gòu)的
圖12是示出了第三示例的信息處理設(shè)備軟件結(jié)構(gòu)的圖13是用于說明第三示例的操作的圖14是用于說明第三示例的操作的圖15是用于說明第三示例的操作的圖16是用于說明第三示例的操作的圖17是用于說明第三示例的操作的圖18是用于說明第三示例的操作的圖19是用于說明第三示例的操作的圖20是用于說明第三示例的操作的圖21是示出了本發(fā)明第四示例的信息處理設(shè)備結(jié)構(gòu)的圖22是用于說明第四示例的操作的圖； 圖23是用于說明第四示例的操作的圖24是示出了根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備結(jié) 構(gòu)的圖25是示出了本發(fā)明第一典型實(shí)施方式中可靠性設(shè)定的一個(gè)示 例的圖26是示出了根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備的 域停止恢復(fù)單元400的結(jié)構(gòu)圖27是示出了通信處理內(nèi)容(處理內(nèi)容)與根據(jù)本發(fā)明第一典 型實(shí)施方式的信息處理設(shè)備處的通信分層結(jié)構(gòu)之間的對應(yīng)關(guān)系的一個(gè) 示例圖28是示出了根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備硬 件結(jié)構(gòu)的一個(gè)示例的方框圖29是用于說明根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備 的一個(gè)操作示例的圖30是用于說明根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備 的一個(gè)操作示例的圖31是用于說明根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備 的一個(gè)操作示例的圖32是用于說明根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備 的一個(gè)操作示例的圖33是用于說明根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備 的一個(gè)操作示例的圖34是示出了根據(jù)本發(fā)明第二典型實(shí)施方式的信息處理設(shè)備的 域停止恢復(fù)單元400的結(jié)構(gòu)圖35是用于說明根據(jù)本發(fā)明第二典型實(shí)施方式的信息處理設(shè)備 的一個(gè)操作示例的圖36是用于說明根據(jù)本發(fā)明第二典型實(shí)施方式的信息處理設(shè)備 的一個(gè)操作示例的圖37是用于說明根據(jù)本發(fā)明第二典型實(shí)施方式的信息處理設(shè)備
的一個(gè)操作示例的圖38是示出了根據(jù)本發(fā)明第三典型實(shí)施方式的信息處理設(shè)備的 域停止恢復(fù)單元400的結(jié)構(gòu)圖39是示出了根據(jù)本發(fā)明第三典型實(shí)施方式的信息處理設(shè)備的 恢復(fù)處理允許數(shù)據(jù)404a的一個(gè)內(nèi)容示例的圖40是用于說明根據(jù)本發(fā)明第三典型實(shí)施方式的信息處理設(shè)備 的恢復(fù)處理控制單元404的一個(gè)操作示例的圖41是示出了根據(jù)本發(fā)明第四典型實(shí)施方式的信息處理設(shè)備的 域停止恢復(fù)單元400的結(jié)構(gòu)圖42是示出了相關(guān)系統(tǒng)結(jié)構(gòu)的一個(gè)示例的圖43是示出了相關(guān)系統(tǒng)結(jié)構(gòu)的另一示例的圖44是示出了相關(guān)系統(tǒng)結(jié)構(gòu)的又一示例的圖；以及
圖45是示出了相關(guān)系統(tǒng)結(jié)構(gòu)的再一示例的圖。
具體實(shí)施例方式
首先，將描述本發(fā)明應(yīng)用于的信息處理設(shè)備的基本結(jié)構(gòu)。 根據(jù)該基本結(jié)構(gòu)的第一示例，在具有包括多個(gè)CPU的多CPU結(jié)
構(gòu)的信息處理設(shè)備中，根據(jù)要執(zhí)行的程序(處理)的安全性級別，將
多個(gè)CPU劃分成多個(gè)域(例如，基本域、可信域、不可信域等)。
基本域被認(rèn)為是執(zhí)行安全性級別比固定級別高的處理的域，可信 域被認(rèn)為是具有安全性級別比基本域執(zhí)行的處理低的至少一個(gè)處理的 域，不可信域被認(rèn)為是具有安全性級別比可信域執(zhí)行的處理低的至少 一個(gè)處理的域。
備選地，基本域可以具有固定安全性級別等于或高于可信域中的 執(zhí)行處理的安全性級別的每個(gè)執(zhí)行處理，并包括安全性級別更高的至 少一個(gè)處理，作為基本域的執(zhí)行處理集合。
可信域可以具有固定安全性級別等于或高于不可信域中的執(zhí)行 處理的安全性級別的每個(gè)執(zhí)行處理，并包括安全性級別更高的至少一 個(gè)處理，作為每個(gè)域的執(zhí)行處理集合。在這種情況下，基本域執(zhí)行安 全性級別比可信域高的處理，可信域執(zhí)行安全性級別比不可信域高的處理。
每個(gè)域構(gòu)造為包括一個(gè)或多個(gè)CPU，并通過處理器間通信單元 (例如，圖1中的40)執(zhí)行不同域之間的CPU通信，其中當(dāng)屬于執(zhí)
行低安全性處理(例如附加處理)的域的CPU針對相關(guān)訪問請求，訪
問執(zhí)行高安全性處理的域的存儲(chǔ)器和輸入/輸出設(shè)備時(shí)，由訪問控制單
元(例如，圖1中的30)確定訪問允許/不允許，從而只進(jìn)行允許的 訪問。
通過由低安全性域端且硬件結(jié)構(gòu)不同于高安全性域的CPU執(zhí)行 下載的附加處理(包括設(shè)備驅(qū)動(dòng)器和應(yīng)用程序)，由此構(gòu)造的第一示例 確保了高安全性域的安全性。
這里，下載不僅包括通過由移動(dòng)電話運(yùn)營商提供的數(shù)據(jù)通信網(wǎng)絡(luò) 以及常用無線電LAN網(wǎng)絡(luò)進(jìn)行到信息設(shè)備的下載，還包括通過累積 型介質(zhì)和有線通信介質(zhì)等連接進(jìn)行到信息設(shè)備的下載，累積型介質(zhì)的 代表是SD卡，有線通信介質(zhì)的代表是USB。
根據(jù)第一示例，并非通過開關(guān)等分離地控制高安全性域和低安全 性域的CPU，而是通過能夠?qū)崿F(xiàn)彼此通信的處理器間通信單元連接這 些CPU,從而能夠?qū)崿F(xiàn)高安全性域和低安全性域的CPU之間的同步 和協(xié)同操作，同時(shí)確保安全性。
處理器間通信單元(圖1的40)構(gòu)造為從一個(gè)域的CPU向其他 域的CPU傳輸數(shù)據(jù)(命令)，而不是構(gòu)造為對其他域的CPU等進(jìn)行直 接攻擊。例如，即使在通過從低安全性域端CPU向高安全性域端CPU 連續(xù)傳輸大量數(shù)據(jù)以試圖引起高安全性域的CPU性能下降、緩沖上溢 等，處理器間通信單元也抑制相關(guān)數(shù)據(jù)，阻止向高安全性域的CPU傳 輸。
此外，在第一示例中，訪問控制單元(圖1的30)執(zhí)行如下訪問
控制只允許低安全性域端CPU對預(yù)先允許的存儲(chǔ)空間、輸入/輸出
設(shè)備等進(jìn)行預(yù)先允許形式的訪問。這能夠防止下載的附加處理對高安
全性域的攻擊。備選地，通過訪問控制單元按需對頻帶、數(shù)據(jù)流(band、 flow)等的控制，可以防止下載的附加處理對高安全性域的多種攻擊。 以下對照第一示例進(jìn)行描述。
圖1是示出了第一示例結(jié)構(gòu)的圖。參照圖l，提供了CPU組IOA， 執(zhí)行包括基本處理22和OS 21A的軟件20A; CPU組IOB，執(zhí)行包括 附加處理23和附加處理兼容OS 21B的軟件20B;處理器間通信單元 401和402，執(zhí)行CPU組10A和10B之間的通信；以及訪問控制單元 30，控制CPU組10B對存儲(chǔ)器50和/或輸入/輸出設(shè)備(I/O) 60的訪 問。雖然圖1中示出的CPU組10A和10B各自由多個(gè)(3個(gè))CPU 形成，但是顯而易見的是每個(gè)組可以由一個(gè)CPU形成。此外，很顯然， 在CPU組10A和10B中，CPU的數(shù)目無需相同。下面，將CPU組 IOA和10B簡稱為CPU IOA和10B。在第一示例中，要下載的附加處 理23由二進(jìn)制格式的本機(jī)代碼形成。附加處理23可以具有通過對下 載的源程序進(jìn)行編譯處理(匯編處理)而獲得的二進(jìn)制格式。
根據(jù)第一示例，CPU 10B與執(zhí)行基本處理22的CPU 10A相分 離地向執(zhí)行提供的附加處理23，可獨(dú)立操作的CPU IOA和CPU 10B 實(shí)現(xiàn)了高速運(yùn)行，同時(shí)提高了安全性，從而執(zhí)行應(yīng)用程序和設(shè)備驅(qū)動(dòng) 器。顯然，如下結(jié)構(gòu)也是可以的執(zhí)行基本處理22的CPU IOA作為 主方，執(zhí)行附加處理23的CPU IOB作為從方，從方在主方的監(jiān)督下 進(jìn)行操作。在這種情況下，例如，通過經(jīng)由處理器間通信單元402接 收來自CPU10A的命令，實(shí)現(xiàn)CPU10B對附加處理23的執(zhí)行。
處理器間通信單元401和402控制CPU 10A和CPU 10B之間的 數(shù)據(jù)發(fā)送和接收。由于彼此獨(dú)立放置，所以CPU 10A和CPU 10B可 以彼此并行地執(zhí)行各自的處理(程序)，同時(shí)也能夠通過處理器間通信 單元401和402實(shí)現(xiàn)CPU IOA和CPU 10B之間的同步處理和協(xié)同(重 點(diǎn))處理。例如，當(dāng)用戶在顯示設(shè)備的屏幕上指示執(zhí)行附加處理時(shí)， 執(zhí)行基本處理22的CPU 10A通過處理器間通信單元401向CPU 10B 發(fā)送啟動(dòng)附加處理23的請求，從而在CPU 10B上執(zhí)行附加處理23， 通過處理器間通信單元402從CPU 10B向CPU10A發(fā)送執(zhí)行結(jié)果， 并且形成基本處理22的屏幕控制例程等向用戶呈現(xiàn)反映附加處理23 的執(zhí)行結(jié)果的信息。
第一示例構(gòu)造為在CPU10B執(zhí)行附加處理時(shí)，當(dāng)發(fā)出對存儲(chǔ)器 50或輸入/輸出設(shè)備(I/O) 60的訪問請求時(shí)，訪問控制單元30執(zhí)行
訪問允許控制，以只執(zhí)行對存儲(chǔ)器50或輸入/輸出設(shè)備(I/O) 60的允 許的訪問請求。在CPU10B中，附加處理23是在OS21B上執(zhí)行的， 當(dāng)從附加處理23發(fā)出對基本處理22或OS 21A的處理請求時(shí)，通過 處理器間通信單元401向CPU IOA通知該請求。換言之，不允許附加 處理23直接操作基本處理22。例如，即使在惡意附加處理器23試圖 通過向CPU IOA頻繁發(fā)出請求，給出負(fù)荷，從而顯著降低CPU 10A 端的基本處理執(zhí)行性能時(shí)，也可以通過處理器間通信單元401的控制 來阻止向CPU 10A端發(fā)送這種請求，從而防止上述攻擊，確保安全性。 在圖1所示的示例中，處理器間通信單元401控制從CPU10B向 CPU 10A的信息傳輸，處理器間通信單元402控制從CPU 10A向CPU 10B的信息傳輸。顯然，可以備選地構(gòu)造一個(gè)處理器間通信設(shè)備，以 執(zhí)行交互式的數(shù)據(jù)發(fā)送和接收。在第一示例中，當(dāng)執(zhí)行基本處理22 的多個(gè)CPU10A要求CPU之間的通信時(shí)，執(zhí)行CPU之間的通信，而 不使用處理器間通信單元40。對于執(zhí)行附加處理23的多個(gè)CPU IOB， 情況也是如此。如后所述，當(dāng)形成CPU組10B的多個(gè)CPU中的一些 動(dòng)態(tài)地切換為CPU組10A的元件時(shí)，雖然CPU組10B在邏輯上屬于 CPU組IOA，但是可以通過處理器間通信單元40執(zhí)行CPU之間的通 信。
第一示例能夠下載、安裝和執(zhí)行作為附加處理23執(zhí)行的應(yīng)用程 序和設(shè)備驅(qū)動(dòng)器。將添加的設(shè)備驅(qū)動(dòng)器合并到OS 21B中，并在CPU 10B上執(zhí)行，對輸入/輸出設(shè)備60的訪問控制是在訪問控制單元30的 監(jiān)控下執(zhí)行的。
在移動(dòng)電話和PDA等便攜式信息通信設(shè)備中，圖1中的基本處 理22和OS 21A —般存儲(chǔ)在未示出的可重寫非易失性存儲(chǔ)器 (EEPROM:電可編程可擦除ROM)中，CPU 10A從EEPROM獲取、 解碼和執(zhí)行指令代碼。換言之，分別存儲(chǔ)有執(zhí)行基本處理22和附加處 理23的OS 21A和21B的存儲(chǔ)器在硬件上是彼此分離的，分別在基本 處理端和附加處理端。當(dāng)執(zhí)行EEPROM中存儲(chǔ)的基本處理、OS等指 令代碼時(shí)，在每個(gè)OS啟動(dòng)時(shí)，CPU10A和IOB將由執(zhí)行的程序安裝、 參考并更新的表等數(shù)據(jù)擴(kuò)展到由DRAM (動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器)形成 的存儲(chǔ)器50。對于CPU IOB，訪問控制單元30管理要讀/寫的存儲(chǔ)區(qū)， 以限制對CPU10A參考的存儲(chǔ)區(qū)的訪問。此外，在便攜式信息通信終 端之外的其他常用信息處理設(shè)備中，顯然，可以分離地設(shè)置如下兩種 存儲(chǔ)器第一種是其中加載有基本處理22和OS21A，其指令代碼由 CPU10A獲取；第二種是其中加載由附加處理23和OS21B，其指令 代碼由CPU10B獲取。備選地，在常用信息處理設(shè)備中，可以在存儲(chǔ) 器50中彼此分離地設(shè)置加載有基本處理22和OS 21A的區(qū)、以及加 載有附加處理23和OS 21B的區(qū)，以便由訪問控制單元30管理CPU 10B對存儲(chǔ)器50的讀/寫訪問。在這種情況下，因?yàn)镃PU 10A和CPU 10B均參考的代碼只存儲(chǔ)在共用存儲(chǔ)區(qū)，所以訪問控制單元30可以執(zhí) 行訪問控制，以便只允許CPU 10B從共用存儲(chǔ)區(qū)讀取數(shù)據(jù)。
此外，在便攜式信息處理設(shè)備中，當(dāng)安裝的電池的剩余電能減少 時(shí)，通過強(qiáng)行關(guān)閉除了執(zhí)行基本處理的CPU之外的其他CPU，或者 根據(jù)要執(zhí)行的處理的可靠性，優(yōu)先關(guān)閉執(zhí)行低可靠性處理的CPU，可 以節(jié)約剩余電能。例如，這可以通過基于剩余電池能量的有關(guān)信息來 確定執(zhí)行基本處理的CPU并執(zhí)行關(guān)閉而實(shí)現(xiàn)，其中剩余電池能量的有 關(guān)信息是由檢測剩余電池能量的單元和通知檢測結(jié)果的單元獲得的。
此外，因?yàn)楸銛y式信息處理設(shè)備中的資源，例如與外部通信的帶 寬或非易失性存儲(chǔ)器的容量等進(jìn)一步受限，所以可以根據(jù)可靠性改變 資源的相對確保率。例如，這可以通過進(jìn)行如下確定來實(shí)現(xiàn)在執(zhí)行 基本處理的CPU中，當(dāng)要執(zhí)行的處理可靠性較高時(shí)，優(yōu)先允許確保資 源，而當(dāng)可靠性較低時(shí)，限制資源。
圖2是示出了第一示例中處理器間通信單元硬件結(jié)構(gòu)的一個(gè)示例 圖。參照圖2，在相對側(cè)的CPU (執(zhí)行基本處理的CPU和執(zhí)行附加處 理的CPU)之間放置的一組中斷控制設(shè)備41和共享存儲(chǔ)器42形成圖 1中的整個(gè)處理器間通信單元401和402。中斷控制設(shè)備41包括針對 CPU#0、 CPU#1、 ...、 CPU#n的n個(gè)中斷控制設(shè)備410-41n，每一個(gè) 中斷控制設(shè)備包括中斷指令單元411、中斷狀態(tài)保持單元412和中斷 取消單元413。共享存儲(chǔ)器42包括針對CPU糾、CPU#1、 ...、 CPU#n 的n個(gè)通信區(qū)420-42n，每一個(gè)通信區(qū)包括用于排列或緩沖傳輸信息
(數(shù)據(jù)、消息)的通信隊(duì)列421和用于執(zhí)行互斥控制的互斥控制區(qū)422。
例如，對于兩個(gè)區(qū)CPU#0和CPU#1， CPU#1的中斷控制設(shè)備411 和CPU#1的通信區(qū)421形成從CPU#0向CPU#1的處理器間通信單元 401 ， CPU#0的中斷控制設(shè)備410和CPU#0的通信區(qū)420形成從CPU#1 向CPU#0的處理器間通信單元402。
假設(shè)中斷控制設(shè)備41和共享存儲(chǔ)器42通過總線與CPU#0、 CPU#1、 ...、 CPl^n連接。在共享存儲(chǔ)器42的通信隊(duì)列421中，可 以設(shè)定存儲(chǔ)傳輸數(shù)據(jù)的緩沖器指針(例如，存儲(chǔ)器50的緩沖區(qū)地址)， 而不是傳輸數(shù)據(jù)本身。
在第一示例中，共享存儲(chǔ)器42中CPU糾的互斥控制區(qū)422i設(shè)置 為執(zhí)行互斥控制，以在CPU#i的通信區(qū)42i已被特定CPU占用時(shí)阻止 其他CPU使用CPU#i的通信區(qū)42i。具體而言，CPU#i的互斥控制區(qū) 422i用于存儲(chǔ)同步管理信息，例如包括互斥量或標(biāo)志的信號(hào)量。
共享存儲(chǔ)器42上安裝的互斥控制機(jī)制確保發(fā)送CPU和接收CPU 之間的數(shù)據(jù)一致性。
此外，由于該互斥控制機(jī)制，當(dāng)互斥控制區(qū)422鎖定時(shí)，不允許 發(fā)送端CPU接受至發(fā)送CPU的中斷請求，從而阻止不合理中斷產(chǎn)生， 例如從發(fā)送CPU到接收CPU的頻繁數(shù)據(jù)傳輸。
互斥控制區(qū)422可以用于對形成隊(duì)列和解除隊(duì)列的鎖定管理。
在圖2中，當(dāng)結(jié)構(gòu)為通過中斷控制控制設(shè)備41允許對一個(gè)接收 CPU進(jìn)行多個(gè)中斷時(shí)，可以在共享存儲(chǔ)器422中將每個(gè)CPU的通信 區(qū)中的通信隊(duì)列421和互斥控制區(qū)422設(shè)置為多個(gè)。
雖然沒有特別限制，但是對于共享存儲(chǔ)器42，圖1中存儲(chǔ)器50 的預(yù)定存儲(chǔ)區(qū)可以用作共享存儲(chǔ)器，或者可以與存儲(chǔ)器50相分離地在 處理器間通信單元40中設(shè)置共享存儲(chǔ)器。此外，雖然圖中未示出，但 是來自中斷控制設(shè)備410-41n的中斷請求線可以并行地連接至接收 CPU (增加中斷數(shù)目)或以卑級鏈(daisy chain)的方式連接。
當(dāng)從中斷控制設(shè)備41接收到中斷請求時(shí)，接收CPU向中斷控制 設(shè)備41通知該請求，中斷控制設(shè)備41向數(shù)據(jù)線(未示出)發(fā)送中斷 設(shè)備號(hào)(中斷矢量信息)，接收CPU根據(jù)中斷設(shè)備號(hào)產(chǎn)生中斷矢量，
從而通過調(diào)度程序啟動(dòng)在接收CPU上執(zhí)行的中斷服務(wù)例程，該中斷服 務(wù)例程執(zhí)行如下一系列控制從相應(yīng)共享存儲(chǔ)器42的通信隊(duì)列中獲得 數(shù)據(jù)，并釋放(解鎖)互斥控制區(qū)中的互斥量等信號(hào)量，以從中斷返 回。
圖3是用于說明圖2所示第一示例的處理器間通信單元的操作過 程的圖，示出了從CPU弁k向CPUO傳送數(shù)據(jù)時(shí)的過程。在圖3中，箭 頭旁邊的數(shù)字表示步驟編號(hào)。
步驟1:發(fā)送CPl^k鎖定共享存儲(chǔ)器42中針對CPU弁0的通信區(qū) 的互斥控制區(qū)。當(dāng)指示針對CPl^O的通信區(qū)的互斥控制區(qū)被其他CPU 鎖定時(shí)，例如，等待該鎖定的釋放。
步驟2:在鎖定共享存儲(chǔ)器42中針對CPU#0的通信區(qū)的互斥控 制區(qū)之后，發(fā)送CPU#k向共享存儲(chǔ)器42中CPU#0通信區(qū)的通信隊(duì)列 中寫入要向接收CPU#0發(fā)送的數(shù)據(jù)。
步驟3:發(fā)送CPl^k向中斷控制設(shè)備41中CPU#0中斷控制設(shè)備 的中斷指令單元通知中斷請求。
步驟4:CPU糾中斷控制設(shè)備的中斷指令單元更新CPU糾中斷控 制設(shè)備的中斷狀態(tài)保持單元，以設(shè)定"中斷請求存在"。
步驟5: CPU#0中斷控制設(shè)備的中斷指令單元引起針對接收 CPU#0的中斷。
步驟6:接收CPU#0接收來自CPU#0中斷控制設(shè)備的中斷指令 單元的中斷，從共享存儲(chǔ)器42中CPU#0通信區(qū)的通信隊(duì)列中取出數(shù) 據(jù)。此時(shí)，在接收CPl^O中，執(zhí)行上述中斷服務(wù)例程的處理。
步驟7:在從共享存儲(chǔ)器42中CPU#0通信區(qū)的通信隊(duì)列中獲得 數(shù)據(jù)之后，接收CPU弁0向CPU#0的中斷取消單元通知中斷處理完成。
步驟8: CPU#0中斷控制設(shè)備的中斷指令單元在接收到來自接收 CPU#0的處理完成通知之后，更新CPU#0中斷控制設(shè)備的中斷狀態(tài) 保持單元。
步驟9:接收CPU#0解鎖共享存儲(chǔ)器42中針對CPU#0的通信區(qū) 的互斥控制區(qū)。
在第一示例中，當(dāng)確認(rèn)中斷請求集中在特定接收CPU上時(shí)，可
以執(zhí)行諸如對到接收CPU的中斷請求進(jìn)行控制等流控制或帶控制。換
言之，可以在中斷控制設(shè)備41中設(shè)置QoS (服務(wù)質(zhì)量)保證功能， 以限制從發(fā)送CPU端向接收CPU端連續(xù)/頻繁地傳送中斷請求。例如， 與至接收CPU的數(shù)據(jù)傳送無關(guān)的中斷請求不能被認(rèn)為是互斥控制的 目標(biāo)，而可以相繼地發(fā)出多個(gè)這種中斷請求。當(dāng)接收CPU端的中斷處 理尚待完成時(shí)，產(chǎn)生了來自發(fā)送CPU端的中斷請求，使中斷控制設(shè)備 41中中斷狀態(tài)保持單元的"中斷請求存在"超過固定值，在這種情況 下，可以執(zhí)行控制，以便不允許來自發(fā)送CPU端的下一中斷請求。該 結(jié)構(gòu)能夠防止如下攻擊由于發(fā)送CPU產(chǎn)生大量與至接收CPU的數(shù) 據(jù)傳送無關(guān)的中斷請求，導(dǎo)致接收CPU的性能下降。
圖4是示出了圖1所示第一示例中訪問控制單元30的結(jié)構(gòu)圖。 參照圖4，訪問控制單元30包括訪問允許單元31，通過基本端總線 70A與執(zhí)行基本處理(圖1中22)的CPU IOA連接，并通過附加端 總線70B與執(zhí)行附加處理(圖1中23)的CPU IOB連接；以及存儲(chǔ) 單元，存儲(chǔ)訪問允許數(shù)據(jù)32。
允許CPU 10A讀/寫訪問允許數(shù)據(jù)32。至允許從訪問允許單元31 進(jìn)行讀取。不允許CPU 10B對訪問允許數(shù)據(jù)32進(jìn)行讀取或?qū)懭搿Q 言之，訪問允許數(shù)據(jù)32與CPU 10B之間不存在數(shù)據(jù)總線。
訪問允許單元31基于傳送到附加端總線70B的地址信號(hào)線和控 制信號(hào)線的、至存儲(chǔ)器50 (見圖l)的訪問地址信號(hào)和控制信號(hào)(訪 問命令)，確定的訪問類型(讀/寫)，并參考訪問允許數(shù)據(jù)32的信息， 以確定當(dāng)前訪問是否適當(dāng)。作為確定結(jié)果，當(dāng)確定該訪問不合理時(shí)， 訪問允許單元31制止向基本端總線70A發(fā)送訪問地址和控制信號(hào)(訪 問命令)，從而阻止從CPU 10B端訪問基本端總線70A。在這種情況 下，向附加端總線70B發(fā)出了訪問地址的CPU IOB端通過總線錯(cuò)誤 或沒有來自存儲(chǔ)器50的讀/寫地址的重演等，知道當(dāng)前訪問失敗。
當(dāng)輸入/輸出設(shè)備(I/O) 60是存儲(chǔ)器映射I/O時(shí)，訪問允許單元 31監(jiān)控附加端總線70B,并檢測訪問地址是對應(yīng)于輸入/輸出設(shè)備的地 址，當(dāng)檢測到數(shù)據(jù)總線上的I/0命令(讀/寫等)時(shí)，參照訪問允許數(shù) 據(jù)32的信息，確定當(dāng)前訪問是否適當(dāng)。當(dāng)輸入/輸出設(shè)備不是存儲(chǔ)器映射I/O時(shí)，該單元對要傳送至附加端總線70B的輸入/輸出設(shè)備的設(shè) 備號(hào)和I/0命令進(jìn)行解碼，并參考訪問允許數(shù)據(jù)32的信息，確定是否 允許訪問。
在第一示例中，訪問控制單元30可以包括帶制約單元，用于控 制每單位時(shí)間的數(shù)據(jù)傳送量。例如，訪問控制單元30可以包括對 CPUIOB在訪問操作時(shí)從CPUIOB向附加端總線70B傳送的數(shù)據(jù)量進(jìn) 行測量和監(jiān)控的單元，從而在例如傳送的數(shù)據(jù)的字節(jié)數(shù)目超過預(yù)先設(shè) 定的每單位時(shí)間的閾值時(shí)，執(zhí)行控制以停止從CPU IOB向CPU 10A 的數(shù)據(jù)傳送。此時(shí)，即使當(dāng)CPU 10B知道至CPU 10A的數(shù)據(jù)傳送失 敗并重新嘗試時(shí)，訪問控制單元30也制止從CPU 10B向CPU 10A傳 送數(shù)據(jù)。備選地，訪問控制單元30可以構(gòu)造為包括緩沖器，以在該緩 沖器中累積從CPU 10B向附加端總線70B傳送的數(shù)據(jù)，并控制要傳 送至CPU10A的數(shù)據(jù)流。
圖5是示出了第一示例中訪問允許數(shù)據(jù)32的一個(gè)示例的圖。參 照圖5，訪問允許數(shù)據(jù)以表格式存儲(chǔ)，包括執(zhí)行附加處理的CPU (圖 4中與附加端中線連接的CPU)、由允許被訪問的范圍的起始點(diǎn)地址和 結(jié)束點(diǎn)地址形成的允許范圍地址、以及允許訪問類型(讀、讀/寫和寫 類型)。在不同CPU中，允許范圍地址可以彼此交疊。在圖5所示示 例中，第二行中CPU#2和#3的允許范圍地址是從0xC000000到 0xF000000，是可讀/寫(R/W)的，第三行中CPU#3的允許范圍地址 是從0xE000000到0xF000000，這與第二行的地址交疊。地址允許數(shù) 據(jù)的數(shù)目越大，表中的條目數(shù)目相應(yīng)地越大，可以進(jìn)行更加精細(xì)的訪 問。雖然圖5示出了 R (可讀)、W (可寫)和R/W (可讀/寫)作為 進(jìn)行說明的示例，R (可讀)指示信息只允許讀而不允許寫，從而當(dāng) W設(shè)定為可寫(也可讀)時(shí)，不必設(shè)定R/W。此外，不允許讀(也不 允許寫)的地址范圍并未存儲(chǔ)在地址允許數(shù)據(jù)32中。雖然在圖5所示 的示例中，訪問允許數(shù)據(jù)具有針對允許進(jìn)行訪問的每個(gè)CPU的地址范 圍和范圍類型，但是訪問允許數(shù)據(jù)還可以具有指示作為訪問類型的不 允許信息的信息，以存儲(chǔ)對于執(zhí)行附加處理的CPU不被允許訪問的地 址范圍。
圖4中的訪問允許單元31接收來自附加端CPU的訪問請求(地 址、讀命令)，并參考訪問允許數(shù)據(jù)32的允許范圍地址和訪問類型， 在允許訪問的情況下，允許該訪問。另一方面，當(dāng)不允許訪問時(shí)，該 單元不允許進(jìn)行訪問。在圖5所示示例中，對于CPU弁4，設(shè)定從起始 點(diǎn)地址1000到結(jié)束點(diǎn)地址2000 (十六進(jìn)制)，并將訪問類型設(shè)定為讀 (R)。對于CPl^2或W，設(shè)定從起始點(diǎn)地址0xC000000到結(jié)束點(diǎn)地 址0xF000000 (十六進(jìn)制)，并將訪問類型設(shè)定為讀和寫(R/W)。對 于CPl^3，設(shè)定從起始點(diǎn)地址0xE000000到結(jié)束點(diǎn)地址0xF000000(十 六進(jìn)制)這一范圍的訪問類型為寫(W)。
圖6是用于說明圖4中訪問控制單元30的一個(gè)操作示例的圖。 在圖6中，箭頭旁邊的數(shù)字指示步驟編號(hào)。
步驟l:執(zhí)行基本處理的CPU 10A引起訪問控制單元30的訪問 允許數(shù)據(jù)32禁止執(zhí)行所有附加處理的CPU 10B讀取特定地址范圍。
步驟2:假設(shè)CPU 10B通過執(zhí)行附加處理23等，發(fā)出對禁止讀 取的地址范圍進(jìn)行讀取的請求。
步驟3:訪問允許單元31讀取訪問允許數(shù)據(jù)32，以檢查相關(guān)訪 問是否適當(dāng)。
步驟4:訪問允許單元31向CPU 10B返回錯(cuò)誤。這是因?yàn)镃PU 10B對相關(guān)地址范圍的讀取是禁止的。
步驟5: CPU 10B發(fā)出對上述地址范圍之外的其他范圍進(jìn)行讀取 的請求。
步驟6:訪問允許單元31讀取并檢査訪問允許數(shù)據(jù)32。 步驟7:訪問允許單元31允許CPU 10B的讀取訪問請求，并向 基本端總線70A發(fā)出讀取請求。
雖然在第一示例中描述了訪問控制單元30包括訪問允許單元31 和訪問允許數(shù)據(jù)32并基于訪問允許信息來執(zhí)行訪問控制的情況，但是 結(jié)構(gòu)不只限于第一示例中所示的結(jié)構(gòu)，可以設(shè)置取代訪問允許數(shù)據(jù)的 訪問拒絕數(shù)據(jù)(反轉(zhuǎn))和訪問拒絕單元。在這種情況下，當(dāng)來自執(zhí)行 附加處理的CPU 10B的訪問地址符合訪問拒絕數(shù)據(jù)中定義的訪問拒 絕的地址范圍時(shí)，訪問拒絕單元執(zhí)行拒絕訪問的控制。
作為第一示例的修改示例，訪問允許單元31可以包括高速緩存。 在這種情況下，用于訪問確定的訪問地址和訪問允許數(shù)據(jù)存儲(chǔ)在高速 緩存中，以在其后的訪問控制確定中確定高速緩存中是否存在相關(guān)訪 問地址(地址范圍)的訪問允許數(shù)據(jù)，并在高速緩存擊中的情況下， 加速訪問確定。高速緩存構(gòu)造為包括于訪問地址范圍和訪問允許數(shù)據(jù) 相對應(yīng)的標(biāo)簽地址，并包括高速緩存擊中確定電路，用于確定附加端
總線70B的訪問地址是否擊中高速緩存。
此外，作為第一示例的修改示例，訪問控制單元30可以包括新 的訪問允許數(shù)據(jù)33和訪問允許數(shù)據(jù)更新單元34。參照圖7，除了圖6 所示第一示例的組件之外，訪問控制單元30還包括與基本端總線70A 連接的訪問允許數(shù)據(jù)更新單元34和用于存儲(chǔ)新訪問允許數(shù)據(jù)33的存 儲(chǔ)單元。將詳細(xì)描述這兩個(gè)單元的功能。
新訪問允許數(shù)據(jù)33是存儲(chǔ)單元，除了具有圖6所示訪問允許數(shù) 據(jù)32的相同特征之外，還允許只從訪問允許數(shù)據(jù)更新單元34進(jìn)行讀 取。
訪問允許數(shù)據(jù)更新單元34響應(yīng)于通過基本端總線70A來自CPU IOA的請求，利用新訪問允許數(shù)據(jù)33內(nèi)容，以原子形式對新訪問允許 數(shù)據(jù)34進(jìn)行覆寫。
在第一示例的該修改示例中，可以設(shè)置單元，該單元不執(zhí)行訪問 允許數(shù)據(jù)32的更新，而切換到新訪問允許數(shù)據(jù)33。
上述結(jié)構(gòu)能夠更新訪問允許數(shù)據(jù)32，由CPU以原子形式對其進(jìn) 行覆寫，從而能夠動(dòng)態(tài)改變訪問控制單元30要保護(hù)的區(qū)和要限制的 區(qū)。
圖8是示出了第一示例的訪問控制單元30的另一結(jié)構(gòu)的圖。參 照圖8，除了圖6所示第一示例的組件之外，訪問控制單元30還包括 與附加端總線70B連接的訪問監(jiān)控單元35和學(xué)習(xí)單元36。將具體描 述這些單元的功能。
類似于訪問允許單元31，訪問監(jiān)控單元35通過附加端總線70B， 從CPU 10B獲得訪問信息。
基于從訪問監(jiān)控單元35提供的訪問信息，學(xué)習(xí)單元36確定參考是否適當(dāng)。例如，當(dāng)預(yù)先計(jì)數(shù)的對用戶保持?jǐn)?shù)據(jù)的參考數(shù)目超過預(yù)先
指定的閾值時(shí)，識(shí)別出該情況是異常狀況，并向訪問監(jiān)控單元35通知 該狀況，以根據(jù)單獨(dú)設(shè)定的規(guī)則，動(dòng)態(tài)改變訪問允許數(shù)據(jù)32。依據(jù)情 況不同，通知于基本端總線70A連接的CPU IOA在異常狀況下開始 要執(zhí)行的處理。
上述結(jié)構(gòu)能夠通過累積可靠性視為較低的CPU的操作，作為在 實(shí)際所謂模式之中的歷史信息，實(shí)現(xiàn)自發(fā)限制，從而能夠基于實(shí)際操 作中CPU的操作情況，實(shí)現(xiàn)更加安全的操作控制。
此外，作為結(jié)構(gòu)示例，除了圖6所示組件之外，訪問控制單元30 還可以同時(shí)包括上述新訪問允許數(shù)據(jù)33、訪問允許數(shù)據(jù)更新單元34、 訪問監(jiān)控單元35和學(xué)習(xí)單元36。
圖9是示出了作為基本結(jié)構(gòu)的第二示例結(jié)構(gòu)的圖。參照圖9，除 了圖1結(jié)構(gòu)之外，第二示例還具有附加處理端的一組軟件、OS和CPU。 具體而言，第二附加處理端的CPU 10C通過處理器間通信單元與第一 附加處理的CPU 10B進(jìn)行通信。第二附加處理端的CPU 10C通過第 二訪問控制單元302與基本端總線70A連接。
由執(zhí)行基本處理22的CPU 10A執(zhí)行訪問控制單元301和302的 設(shè)置。換言之，執(zhí)行基本處理22的CPU 10A用作主處理器。CPU 10A 執(zhí)行對存儲(chǔ)器50和輸入/輸出設(shè)備(I/O) 60的集中式管理。
執(zhí)行第二附加處理23C的CPU 10C通過處理器間通信單元403 與執(zhí)行第一附加處理23B的CPU 10B進(jìn)行通信(傳輸數(shù)據(jù)和命令)， 執(zhí)行第一附加處理23B的CPU 10B通過處理器間通信單元401與執(zhí) 行基本處理22的CPU 10A通信(傳輸數(shù)據(jù)和命令)。此外，執(zhí)行第二 附加處理23C的CPU IOC在第二訪問控制單元302的監(jiān)控下，只執(zhí) 行允許的對存儲(chǔ)器50和輸入/輸出設(shè)備(I/O)的訪問。執(zhí)行第一附加 處理23B的CPU 10B在第一訪問控制單元301的監(jiān)控下，只執(zhí)行允 許的對存儲(chǔ)器50和輸入/輸出設(shè)備(I/O)的訪問。CPUIOA執(zhí)行對第 一訪問控制單元301和第二訪問控制單元302的訪問允許數(shù)據(jù)的設(shè)置。 采用這種結(jié)構(gòu)，執(zhí)行集中式管理，以通過處理器間通信單元40在CPU 之間傳送處理。此外，在第二示例中，可以阻止附加處理23B和23C
對執(zhí)行基本處理22的CPU10A進(jìn)行直接攻擊等。具體而言，類似于 上述第一示例，不允許附加處理23B和23C直接啟動(dòng)基本處理22或 調(diào)用子例程。例如，經(jīng)由處理器間通信單元通過CPU10B從CPU10C 向CPU 10A發(fā)送啟動(dòng)基本處理22的請求，CPU 10A接收到當(dāng)前請求 之后，當(dāng)該請求來自未授權(quán)的CPU，則不接受當(dāng)前請求(具體細(xì)節(jié)將 在稍后所述的軟件典型實(shí)施方式中描述)。因此，除了在附加處理端 CPU和基本處理端CPU中設(shè)置授權(quán)層，通過例如處理器間通信單元 40和訪問控制單元30等硬件機(jī)制進(jìn)行處理，能夠避免對基本處理等 的直接攻擊。因?yàn)榧僭O(shè)第二示例中處理器間通信單元401 404具有與 圖2所示第一示例相同的結(jié)構(gòu)，并且假設(shè)訪問控制單元301和302具 有與圖4所示第一示例中相同的結(jié)構(gòu)，所以不再重復(fù)對其結(jié)構(gòu)和操作 的詳細(xì)描述。
圖IO是示出了作為基本結(jié)構(gòu)的第三示例結(jié)構(gòu)的圖。參照圖10， 類似圖9所示結(jié)構(gòu)，第三示例是通過向圖1所示結(jié)構(gòu)添加附加處理端 CPU10C和訪問控制單元302而得到的。與圖9所示的上述第二示例 不同，第三示例具有為每一組(域)的每一個(gè)CPU組準(zhǔn)備的存儲(chǔ)器和 輸入/輸出設(shè)備(I/O)。
第二附加處理CPU 10C被允許自由地訪問被允許的存儲(chǔ)器50C 和輸入/輸出裝置(I/O) 60C，而不受到訪問限制。第一附加處理CPU 10B被允許自由地訪問被允許的存儲(chǔ)器50B和輸入/輸出裝置(I/O) 60B，而不受到訪問限制。
由第二訪問控制單元302和第一訪問控制單元301的雙級結(jié)構(gòu)控 制第二附加處理CPU 10C對基本處理端存儲(chǔ)器50A和輸入/輸出裝置 (I/O) 60A的訪問。
是否允許第一附加處理CPU 10B對基本處理端存儲(chǔ)器50A和輸 入/輸出裝置(I/O) 60的訪問是由第一訪問控制單元301確定的。
第一訪問控制單元301的訪問允許數(shù)據(jù)和第二訪問控制單元302 的訪問允許數(shù)據(jù)由基本處理CPU 10A設(shè)定。第二訪問控制單元302 的訪問允許數(shù)據(jù)可以由第一附加處理CPU10B設(shè)定。根據(jù)第三示例， 基于域?qū)⒋鎯?chǔ)器和輸入/輸出設(shè)備(I/O)分離，并通過處理器間通信
單元40以多級形式連接CPU，這能夠增強(qiáng)防止附加處理攻擊的功能， 從而確保安全性。
圖11是示出了第三示例的修改示例的圖，其中將圖1所示第一 示例應(yīng)用于兩個(gè)或多個(gè)芯片。參照圖11，除了放置的多個(gè)芯片80，每 一個(gè)由CPU IOA、 IOB、 IOC和10D以及訪問控制單元301的組合形 成，單個(gè)芯片80由訪問控制單元303連接。換言之，多個(gè)芯片80A 和80B設(shè)置為通過訪問控制單元303而連接。
將一部分CPU設(shè)置在一個(gè)特定芯片80上，以用于執(zhí)行基本處理， 這能夠在一個(gè)芯片80中通過訪問控制單元301實(shí)現(xiàn)訪問限制，同時(shí)也 可以將至少一部分CPU設(shè)置在每個(gè)芯片80上，以用于執(zhí)行基本處理。
也可以形成橋接不同芯片80的域，以在各個(gè)芯片80之間由訪問 控制單元303控制執(zhí)行。
在任何情況下，對訪問控制單元30的適當(dāng)設(shè)置能夠?qū)崿F(xiàn)信息處 理設(shè)備的基本結(jié)構(gòu)中的執(zhí)行控制，在該信息處理設(shè)備中，本發(fā)明也應(yīng) 用于多個(gè)芯片80之間。
在上述第三示例總，主要描述了本發(fā)明的硬件結(jié)構(gòu)，下面將描述 本發(fā)明的軟件結(jié)構(gòu)。
圖12是示出了實(shí)現(xiàn)本發(fā)明的軟件結(jié)構(gòu)的一個(gè)示例圖，包括基本 域、可信擴(kuò)展域和不可信擴(kuò)展域?？梢圆捎冒ㄈMCPU等的圖10 結(jié)構(gòu)作為圖12所示的硬件結(jié)構(gòu)。在這種情況下，作為執(zhí)行基本處理的 執(zhí)行環(huán)境的基本域可以對應(yīng)于圖10中的軟件20和OS 21A，可信擴(kuò)展 域?qū)?yīng)于圖10中的軟件20B和OS 21B，不可信擴(kuò)展域?qū)?yīng)于圖10 中的軟件20C和OS21C。
參照圖12，基本域100A包括基本軟件110，包括基本應(yīng)用程 序(稱作"基本應(yīng)用")111和基本性能112; OS 101A;專用文件系 統(tǒng)103、外部設(shè)備102A、本機(jī)代碼下載管理功能104A和安全性政策 數(shù)據(jù)庫105。雖然未具體限定，但是當(dāng)?shù)谌纠男畔⑻幚碓O(shè)備是便 攜式信息通信終端時(shí)，基本功能112實(shí)現(xiàn)便攜式信息通信終端的基本 性能，包括呼叫和呼入處理等呼叫處理、互聯(lián)網(wǎng)訪問和屏幕處理，這 與圖l基本處理22相對應(yīng)。基本應(yīng)用111調(diào)用基本功能112執(zhí)行處理， 基本功能112通過OS執(zhí)行對文件系統(tǒng)或外部設(shè)備的訪問。外部設(shè)備 包括諸如無線通信接口等通信接口、顯示設(shè)備接口、諸如按鍵或定點(diǎn) 設(shè)備等輸入接口、 SD (安全數(shù)字)存儲(chǔ)卡接口和聲音接口等。
可信擴(kuò)展域100B包括本機(jī)代碼下載執(zhí)行功能104B、下載應(yīng)用程 序(稱作"下載應(yīng)用")120B、基本性能庫(包裝程序)113、 OS 101B 和允許的外部設(shè)備102B。
OS 101B包括具有證書的下載驅(qū)動(dòng)器121B。具有證書的下載驅(qū)動(dòng) 器121B執(zhí)行對允許的外部設(shè)備102B的輸入/輸出控制。
不可信擴(kuò)展域100C包括本機(jī)代碼下載執(zhí)行功能104C、下載應(yīng)用 120C、 OS 101C和允許的外部設(shè)備102C。合并到OS IOIC中的下載 驅(qū)動(dòng)器121C執(zhí)行允許的外部設(shè)備102C的輸入/輸出控制。
對于來自基本域100A的外部設(shè)備102A以及下載的文件輸入， 本機(jī)代碼下載管理功能104A參考安全性政策數(shù)據(jù)庫105的內(nèi)容，以 向可信擴(kuò)展域100B傳送可信(具有可信電子證書)本機(jī)代碼的應(yīng)用， 并將可信(具有可信電子證書)本機(jī)代碼的下載驅(qū)動(dòng)器121B合并到
OS 101B中。
本機(jī)代碼下載管理功能104A通過可信擴(kuò)展域100B向不可信擴(kuò)展 域100C傳送不可信(例如，沒有電子證書或證書內(nèi)容不正確等)應(yīng) 用，以將不可信(無電子證書)下載驅(qū)動(dòng)器合并到不可信擴(kuò)展域的OS 101C中。
允許從可信擴(kuò)展域IOOB調(diào)用基本功能112，而不允許從不可信擴(kuò) 展域100C調(diào)用基本功能112。不可信擴(kuò)展域100C和可信擴(kuò)展域100B 可以協(xié)同工作。
僅當(dāng)用戶對來自不可信域的數(shù)據(jù)進(jìn)行了確認(rèn)(OK)時(shí)，在可信 域中運(yùn)行的應(yīng)用程序才向基本功能112傳送數(shù)據(jù)。未經(jīng)用戶確認(rèn)，不 向基本功能112傳送來自不可信域的數(shù)據(jù)。無法從可信擴(kuò)展域100B 直接向基本域100A的基本功能112發(fā)出處理請求。
圖13是用于說明圖12所示第三示例的操作的圖，示出了基本應(yīng) 用的執(zhí)行。在圖13中，每個(gè)箭頭所附的數(shù)字代表步驟編號(hào)，在這些步 驟中，在當(dāng)前線上傳送信息。
步驟l:基本域100A的基本應(yīng)用111向基本功能112發(fā)出處理請
求(例如，添加地址簿)。
步驟2:基本功能112使用OS 101A處理當(dāng)前請求。
步驟3:基本功能112向基本應(yīng)用111通知該請求是否被允許。
圖14是用于說明圖12所示第三示例的操作的圖，示出了下載可 信應(yīng)用的執(zhí)行狀態(tài)。在圖14中，每個(gè)箭頭所附的數(shù)字代表步驟編號(hào)， 在這些步驟中，在線上傳送信息。
步驟1:下載數(shù)據(jù)從基本域100A上的外部設(shè)備102A(網(wǎng)絡(luò)或SD 存儲(chǔ)卡等)到達(dá)OS 101A。
步驟2:在基本功能112處，根據(jù)屬性信息等識(shí)別出下載數(shù)據(jù)是 附加應(yīng)用(下載應(yīng)用)。
步驟3:基本功能112向本機(jī)代碼下載管理功能104A傳送附加 應(yīng)用，本機(jī)代碼下載管理功能104A參考安全性政策數(shù)據(jù)庫105，檢査 附加應(yīng)用上所附電子證書。如上所述，例如，利用電子證書中存儲(chǔ)的 公鑰和數(shù)字簽名(用秘密密鑰對要證明的組織或公鑰的加密)，當(dāng)本機(jī) 代碼下載管理功能104A認(rèn)證該證書時(shí)，用公鑰對一部分?jǐn)?shù)字簽名進(jìn) 行解密，以檢查解密是否符合證書的數(shù)據(jù)內(nèi)容，當(dāng)在符合時(shí)，確定證 書的數(shù)據(jù)是可信的。進(jìn)一步附加由應(yīng)用的摘要形成的數(shù)字簽名，能夠 檢查下載的應(yīng)用是否已改變。
步驟4:本機(jī)代碼下載管理功能104A將下載信息連同電子證書 一起保存在安全性政策數(shù)據(jù)庫105中。
步驟5:當(dāng)檢查結(jié)果是電子證書正確時(shí)，基本域100A的本機(jī)代 碼下載管理功能104A向可信擴(kuò)展域100B的本機(jī)代碼下載管理功能 104B傳輸下載應(yīng)用，以請求執(zhí)行。從基本域100A的本機(jī)代碼下載管 理功能104A向可信擴(kuò)展域100B的本機(jī)代碼下載管理功能104B的數(shù) 據(jù)傳輸是使用圖9或10中的處理器間通信單元40來執(zhí)行的。
步驟6:可信擴(kuò)展域100B的本機(jī)代碼下載管理功能104B執(zhí)行擴(kuò) 展，以運(yùn)行接收到的下載應(yīng)用。
步驟7:在可信擴(kuò)展域上執(zhí)行下載應(yīng)用。
圖15是用于說明圖12所示第三示例的操作的圖，示出了可信驅(qū)
動(dòng)器的下載執(zhí)行。例如，可信驅(qū)動(dòng)器表示其所附電子證書具有正確校 對結(jié)果的下載的驅(qū)動(dòng)器。在圖15中，每個(gè)箭頭所附的數(shù)字代表步驟編 號(hào)，在這些步驟中，在相關(guān)線上傳送信息。
步驟1:下載數(shù)據(jù)從基本域100A上的外部設(shè)備102A(網(wǎng)絡(luò)或SD 存儲(chǔ)卡等)到達(dá)OS IOIA。
步驟2:在基本功能112處，根據(jù)屬性信息、自動(dòng)安裝信息等識(shí) 別出下載數(shù)據(jù)是附加設(shè)備驅(qū)動(dòng)器(下載驅(qū)動(dòng)器)。
步驟3:基本功能112向本機(jī)代碼下載管理功能104A傳送接收 到的驅(qū)動(dòng)器，本機(jī)代碼下載管理功能104A參考安全性政策數(shù)據(jù)庫 105，檢查下載數(shù)據(jù)上所附電子證書。
步驟4:本機(jī)代碼下載管理功能104A將下載信息連同電子證書 一起保存在安全性政策數(shù)據(jù)庫105中。
步驟5:本機(jī)代碼下載管理功能104A向可信擴(kuò)展域100B的本機(jī) 代碼下載管理功能104B傳輸下載應(yīng)用，以請求執(zhí)行安裝。從基本域 100A的本機(jī)代碼下載管理功能104A向可信擴(kuò)展域100B的本機(jī)代碼 下載管理功能104B的數(shù)據(jù)傳輸是使用圖9或10中的處理器間通信單 元40來執(zhí)行的。
步驟6:可信擴(kuò)展域100B的本機(jī)代碼下載管理功能104B自動(dòng)安 裝接收到的下載驅(qū)動(dòng)器。雖然未具體限定，但是第三示例中的下載驅(qū) 動(dòng)器可以是駐留型驅(qū)動(dòng)器，在安裝之后，通過重新啟動(dòng)CPU將該駐留 型驅(qū)動(dòng)器合并到OS 101B的特定區(qū)中。
步驟7:可信擴(kuò)展域的OS 101B向已執(zhí)行的應(yīng)用通知或顯示下載 驅(qū)動(dòng)器已安裝。
步驟8:在可信擴(kuò)展域中，已執(zhí)行的應(yīng)用102B參考安裝的下載驅(qū)動(dòng)器。
圖9:安裝并加載到可信擴(kuò)展域的OS 101B中的下載驅(qū)動(dòng)器121B 訪問允許的外部設(shè)備102B。
步驟10:下載驅(qū)動(dòng)器121B將來自外部設(shè)備102B的數(shù)據(jù)返回到 下載應(yīng)用120B。
圖16是用于說明圖12所示第三示例的操作的圖，示出了當(dāng)可信擴(kuò)展域的可信應(yīng)用(下載應(yīng)用)使用基本域的基本功能時(shí)執(zhí)行的操作。 在圖16中，每個(gè)箭頭所附的數(shù)字代表步驟編號(hào)，在這些步驟中，在相 關(guān)線上傳送信息。
步驟1:在可信擴(kuò)展域100B中，下載應(yīng)用120B請求基本功能庫 113執(zhí)行基本域100A的基本功能112處理?；竟δ軒?13是收集有 用于執(zhí)行基本域100A的基本功能112處理的例程的庫，由下載應(yīng)用 120B啟動(dòng)。
步驟2:可信擴(kuò)展域100B的基本功能庫113使用下載應(yīng)用120B 持有的電子證書的密鑰(公鑰等)，對該請求加密，并將加密請求傳輸 至基本域100A的本機(jī)代碼下載管理功能104A。從可信擴(kuò)展域100B 的基本功能庫113到基本域100A的本機(jī)代碼下載管理功能104A的請 求傳輸是通過圖9或10中的處理器間通信單元40來執(zhí)行的。
步驟3:基本域IOOA的本機(jī)代碼下載管理功能104A對接收到的 請求進(jìn)行解碼，以使用電子證書來檢査該請求的請求發(fā)送源是否適當(dāng)。 在本示例中，雖然使用請求的加密和解碼來檢査該請求，但是顯而易 見的是可以使用能夠?qū)?yīng)用和電子證書相關(guān)的任何方法。
步驟4:當(dāng)檢查結(jié)果是發(fā)現(xiàn)該請求適當(dāng)時(shí)，基本域100A的本機(jī) 代碼下載管理功能104A向基本功能112發(fā)出請求。
步驟5:基本域100A的基本功能112處理從本機(jī)代碼下載管理 功能104A接收到的當(dāng)前請求，并在完成處理之后，向基本域100A的 本機(jī)代碼下載管理功能104A通知處理完成。
步驟6:基本域100A的本機(jī)代碼下載管理功能104A向可信擴(kuò)展 域100B的基本功能庫113通知處理完成。從基本域100A的本機(jī)代碼 下載管理功能104A向可信擴(kuò)展域100B的基本功能庫113的通知傳輸 是通過圖9或10中的處理器間通信單元40來執(zhí)行的。
步驟7:作為對該請求的響應(yīng)，可信擴(kuò)展域100B的基本功能庫 113向下載應(yīng)用120B通知處理完成。
圖17是用于說明圖12所示第三示例的操作的圖，示出了用于下 載不可信擴(kuò)展域的不可信應(yīng)用的執(zhí)行過程。在圖17中，每個(gè)箭頭所附 的數(shù)字代表步驟編號(hào)，在這些步驟中，在相關(guān)線上傳送信息。
步驟1:下載數(shù)據(jù)從基本域100A上的外部設(shè)備102A(網(wǎng)絡(luò)或SD 存儲(chǔ)卡等)到達(dá)OS IOIA。
步驟2:基本域100A的基本功能112分析屬性信息等，以識(shí)別 出下載數(shù)據(jù)是應(yīng)用(下載應(yīng)用)。
步驟3:基本域100A的基本功能112向本機(jī)代碼下載管理功能 104A傳送下載應(yīng)用。本機(jī)代碼下載管理功能104A確定該應(yīng)用上未附 加電子證書或電子證書不正確。
步驟4:基本域100A的本機(jī)代碼下載管理功能104A將下載信息 保存在安全性政策數(shù)據(jù)庫105中。
步驟5:基本域100A的本機(jī)代碼下載管理功能104A向可信擴(kuò)展 域100B的本機(jī)代碼下載管理功能104B傳輸下載應(yīng)用。從基本域100A 的本機(jī)代碼下載管理功能104A向可信擴(kuò)展域100B的本機(jī)代碼下載管 理功能104B的應(yīng)用傳輸是使用圖9或10中的處理器間通信單元40 來執(zhí)行的。
步驟6:可信擴(kuò)展域100B的本機(jī)代碼下載管理功能104B向不可 信擴(kuò)展域100C的本機(jī)代碼下載管理功能104C傳輸該應(yīng)用。從可信擴(kuò) 展域100B的本機(jī)代碼下載管理功能104B向不可信擴(kuò)展域100C的本 機(jī)代碼下載管理功能104C的應(yīng)用傳輸是使用圖9或10中的處理器間 通信單元40來執(zhí)行的。
步驟7:不可信擴(kuò)展域100C的本機(jī)代碼下載管理功能104C啟動(dòng) 接收到的下載應(yīng)用120C。
步驟8:下載應(yīng)用120C在不可信擴(kuò)展域100C中開始運(yùn)行。在這 種情況下，不可信擴(kuò)展域的下載應(yīng)用120C運(yùn)行在不可信擴(kuò)展域的OS IOIC上，從而只允許訪問允許的外部設(shè)備102C。
圖18是用于說明圖12所示第三示例的操作的圖，示出了不可信 驅(qū)動(dòng)器的下載執(zhí)行狀態(tài)。在圖18中，每個(gè)箭頭所附的數(shù)字代表步驟編 號(hào)，在這些步驟中，在相關(guān)線上傳送信息。
步驟1:下載數(shù)據(jù)從基本域IOOA上的外部設(shè)備102A(網(wǎng)絡(luò)或SD 存儲(chǔ)卡等)到達(dá)OS IOIA。
步驟2:當(dāng)由下載數(shù)據(jù)的到達(dá)而啟動(dòng)時(shí)，基本功能112分析屬性信息、安裝信息等下載數(shù)據(jù)，識(shí)別出數(shù)據(jù)是設(shè)備驅(qū)動(dòng)器(下載驅(qū)動(dòng)器)。
步驟3:基本功能112向本機(jī)代碼下載管理功能104A傳送下載 驅(qū)動(dòng)器，本機(jī)代碼下載管理功能104A發(fā)現(xiàn)下載驅(qū)動(dòng)器上未附有電子 證書、或者雖附有電子證書但是內(nèi)容不正確。
步驟4:本機(jī)代碼下載管理功能104A只將下載信息保存在安全 性政策數(shù)據(jù)庫105中。
步驟5:本機(jī)代碼下載管理功能104A向可信擴(kuò)展域100B的本機(jī) 代碼下載管理功能104B傳輸下載驅(qū)動(dòng)器。從基本域100A的本機(jī)代碼 下載管理功能104A向可信擴(kuò)展域100B的本機(jī)代碼下載管理功能 104B的下載驅(qū)動(dòng)器傳輸是通過圖9或10中的處理器間通信單元40 來執(zhí)行的。
步驟6:可信擴(kuò)展域100B的本機(jī)代碼下載管理功能104B向不可 信擴(kuò)展域100C的本機(jī)代碼下載管理功能104C傳送接收到的下載驅(qū)動(dòng) 器。從可信擴(kuò)展域100B的本機(jī)代碼下載管理功能104B向不可信擴(kuò)展 域100C的本機(jī)代碼下載管理功能104C的下載驅(qū)動(dòng)器傳送是通過圖9 或10中的處理器間通信單元40來執(zhí)行的。
步驟7:不可信擴(kuò)展域100C的本機(jī)代碼下載管理功能104C安裝 接收到的下載驅(qū)動(dòng)器121C。
步驟8: OS 101C向已執(zhí)行的應(yīng)用120C通知驅(qū)動(dòng)器121C已安裝 或?qū)⑵滹@示在屏幕上(為了通知用戶)。
步驟9:在不可信擴(kuò)展域100C中，已執(zhí)行的應(yīng)用102C參考安裝 的下載驅(qū)動(dòng)器121C。
步驟10:在不可信擴(kuò)展域100C中，安裝的下載驅(qū)動(dòng)器121C通 過不可信擴(kuò)展域的OS101C訪問允許的外部設(shè)備102C。
步驟11:在不可信擴(kuò)展域中，下載驅(qū)動(dòng)器121C將從外部設(shè)備102C 獲得的數(shù)據(jù)返回到下載應(yīng)用120C。
圖19是用于說明圖12所示第三示例的操作的圖，示出了可信應(yīng) 用與不可信應(yīng)用之間的協(xié)作狀態(tài)。在圖19中，每個(gè)箭頭所附的數(shù)字代
表步驟編號(hào)，在這些步驟中，在相關(guān)線上傳送信息。
步驟1:不可信擴(kuò)展域100C上的下載應(yīng)用120C向可信擴(kuò)展域
100B上的下載應(yīng)用120B傳輸數(shù)據(jù)。數(shù)據(jù)傳輸通常是通過圖9或10 中的處理器間通信單元40來執(zhí)行的。
步驟2:可信擴(kuò)展域100B上的下載應(yīng)用120B基于接收到的數(shù)據(jù) 執(zhí)行處理，以請求基本功能庫113執(zhí)行基本功能處理，包括與不可信 擴(kuò)展域協(xié)作的信息。
步驟3:可信擴(kuò)展域IOOB上的基本功能庫113使用該應(yīng)用持有的 電子證書對請求加密，以將該加密密碼傳輸至基本域100A上的本機(jī) 代碼下載管理功能104A。請求傳輸通常是通過圖9或10中的處理器 間通信單元40來執(zhí)行的。
步驟4:基本域100A的本機(jī)代碼下載管理功能104A使用安全性 政策數(shù)據(jù)庫105中存儲(chǔ)的電子證書，對請求進(jìn)行解碼，以檢查該請求 的安全性。作為檢測結(jié)果，當(dāng)該請求正確時(shí)，本機(jī)代碼下載管理功能 104A通過基本應(yīng)用111要求用戶確認(rèn)?；緫?yīng)用111包括屏幕顯示和 輸出應(yīng)用。在本示例中，雖然使用請求的加密和解碼來檢査該請求， 但是顯而易見的是可以使用能夠?qū)?yīng)用和電子證書相關(guān)的任何方法。
步驟5:假設(shè)輸入"NO"，作為來自用戶的確認(rèn)。
步驟6:本機(jī)代碼下載管理功能104A向可信擴(kuò)展域100B的基本 功能庫113通知不允許。不允許通知通常由圖9或10中的處理器間通 信單元40進(jìn)行。
步驟7:基本功能庫113向下載應(yīng)用120B通知不允許。
步驟8:可信擴(kuò)展域100B上的下載應(yīng)用120B向不可信擴(kuò)展域 100C上的下載應(yīng)用120C通知不允許。不允許通知通常由圖9或10 中的處理器間通信單元40進(jìn)行。
圖20是用于說明圖12所示第三示例的操作的圖，示出了可信應(yīng) 用與不可信應(yīng)用之間的協(xié)作狀態(tài)。在圖20中，每個(gè)箭頭所附的數(shù)字代 表步驟編號(hào)，在這些步驟中，在相關(guān)線上傳送信息。
步驟1:不可信擴(kuò)展域100C上的下載應(yīng)用120C向可信擴(kuò)展域 100B上的下載應(yīng)用120B傳輸數(shù)據(jù)。數(shù)據(jù)傳輸通常是通過圖9或10 中的處理器間通信單元40來執(zhí)行的。
步驟2:可信擴(kuò)展域100B上的下載應(yīng)用120B基于接收到的數(shù)據(jù)執(zhí)行處理，以請求基本功能庫IB執(zhí)行基本功能處理，包括與不可信 擴(kuò)展域協(xié)作的信息。
步驟3:可信擴(kuò)展域100B上的基本功能庫113使用該應(yīng)用持有的 電子證書對請求加密，以將該加密請求傳輸至基本域100A上的本機(jī) 代碼下載管理功能104A。該請求通常由圖9或10中的處理器間通信 單元40進(jìn)行。
步驟4:基本域100A的本機(jī)代碼下載管理功能104A使用安全性 政策數(shù)據(jù)庫105中存儲(chǔ)的電子證書，對請求進(jìn)行解碼，以檢査該請求 的安全性。作為檢測結(jié)果，當(dāng)該請求正確時(shí)，本機(jī)代碼下載管理功能 104A通過基本應(yīng)用111要求用戶確認(rèn)。基本應(yīng)用lll包括屏幕顯示和 輸出應(yīng)用。在本示例中，雖然使用請求的加密和解碼來檢查該請求， 但是顯而易見的是可以使用能夠?qū)?yīng)用和電子證書相關(guān)的任何方法。
步驟5:在該情況下，輸入"YES"，作為用戶的確認(rèn)。
步驟6:基本域100A的本機(jī)代碼下載管理功能104A請求基本功 能112。
步驟7:基本功能112處理該請求，并向本機(jī)代碼下載管理功能 104A通知處理完成。
步驟8:基本域100A的本機(jī)代碼下載管理功能104A向可信擴(kuò)展 域100B的基本功能庫113通知該完成。完成通知由圖9或10中的處 理器間通信單元40進(jìn)行。
步驟9:可信擴(kuò)展域100B的基本功能庫113向下載應(yīng)用120B通 知該完成。
步驟10:可信擴(kuò)展域100B的下載應(yīng)用120B向不可信擴(kuò)展域100C 上的下載應(yīng)用120C通知該完成。完成通知由圖9或10中的處理器間 通信單元40進(jìn)行。
圖21是示出了作為基本結(jié)構(gòu)的第四示例結(jié)構(gòu)的圖。在OS和CPU 之間設(shè)置有虛擬機(jī)監(jiān)視器(由CPU和OS執(zhí)行的設(shè)置在其間的軟件 層)。這使CPU、 1/0和存儲(chǔ)器資源成為虛擬的。在OS與CPU之間， 虛擬機(jī)監(jiān)視器將虛擬硬件(例如，虛擬輸入/輸出設(shè)備)映射到真實(shí)硬 件設(shè)備上。對于基本域、可信擴(kuò)展域和不可信擴(kuò)展域中每一個(gè)，OS
利用虛擬CPU 200A、 200B和200C以及OS和CPU之間設(shè)置的虛擬 機(jī)監(jiān)視器210A、 210B和210C，控制與虛擬專用文件系統(tǒng)和虛擬外部 設(shè)備的輸入/輸出(1/0)，將虛擬專用文件系統(tǒng)103，、虛擬外部設(shè)備 102A，、 102B，和102，映射到相應(yīng)的真實(shí)文件系統(tǒng)和真實(shí)外部設(shè)備。
根據(jù)第四示例，與圖IO所示硬件結(jié)構(gòu)和圖12所示軟件結(jié)構(gòu)不同， 例如，對應(yīng)于基本域的虛擬CPU并非固定的，而可以將可信擴(kuò)展域等 的CPU映射為基本域的虛擬CPU。在進(jìn)行封裝時(shí)，虛擬機(jī)監(jiān)視器不 需要修改現(xiàn)有OS、應(yīng)用程序、CPU等。根據(jù)第四示例，每個(gè)域中CPU 的數(shù)目是可變的，以形成虛擬CPU。在軟件結(jié)構(gòu)方面，基本域、可信 擴(kuò)展域和不可信擴(kuò)展域的結(jié)構(gòu)與圖12所示結(jié)構(gòu)相同，僅有的不同是設(shè) 備和文件系統(tǒng)是虛擬設(shè)備和虛擬文件系統(tǒng)。
圖22是示出了圖21所示第四示例的處理過程的一個(gè)示例圖。在 圖22中，每個(gè)箭頭上所附的數(shù)字代表步驟編號(hào)。
步驟1:基本域100A的虛擬機(jī)監(jiān)視器210A向可信擴(kuò)展域100B 上的虛擬機(jī)監(jiān)視器210B請求CPU轉(zhuǎn)換。
步驟2:可信擴(kuò)展域100B上的虛擬機(jī)監(jiān)視器210B減少虛擬CPU 資源。
步驟3:可信擴(kuò)展域100B上的虡擬機(jī)監(jiān)視器210B向基本域100A 上的虛擬機(jī)監(jiān)視器210A通知可轉(zhuǎn)換的CPU。
步驟4:基本域100A上的虛擬機(jī)監(jiān)視器210A設(shè)置訪問擴(kuò)展單元 等，以增加虛擬CPU的數(shù)目。
第四示例使另一組的CPU作為基本域的CPU進(jìn)行操作。因?yàn)閼?yīng) 用下載處理與上述第三示例的處理操作(圖13到20)相同，所以不 再對其進(jìn)行描述。
作為第四示例的修改示例，虛擬機(jī)監(jiān)視器可以運(yùn)行在安全模式 下。這種設(shè)置進(jìn)一步增強(qiáng)了安全性。
在上述每一個(gè)軟件示例中，每個(gè)域的CPU組作為多處理器進(jìn)行 操作時(shí)，將硬件方面所有可協(xié)同操作的通道設(shè)計(jì)為由基本域IOOA控 制，例如將TLB (轉(zhuǎn)換后備緩沖器地址管理單元中設(shè)置的地址轉(zhuǎn)換 表)的所有條目清空的全部否定操作(shoot-down)，以使保持高速緩
存一致性的總線和虛擬多處理器無效。此外，如圖23所示，每個(gè)域的
CPU組(例如，圖1所示具有多CPU結(jié)構(gòu)的CPU組10A和10B)可 以構(gòu)造為通過分離單元15進(jìn)行劃分操作。這便于在將特定域的CPU 轉(zhuǎn)換至其他域時(shí)進(jìn)行控制，從而處理失靈多處理器的性能下降等。
雖然相對于從設(shè)備外部(例如網(wǎng)絡(luò))下載并執(zhí)行本機(jī)代碼的附加 處理(應(yīng)用、設(shè)備驅(qū)動(dòng)器)的信息處理終端設(shè)備，作為示例而描述了 上述第一到第四示例，但是本發(fā)明不限于這種信息處理終端設(shè)備，而 可應(yīng)用于任何信息處理設(shè)備。
(第一典型實(shí)施方式)
將描述第一典型實(shí)施方式，其中本發(fā)明應(yīng)用于前述作為基本結(jié)構(gòu) 的任何信息處理設(shè)備。對于基本結(jié)構(gòu)中示出的相同結(jié)構(gòu)和操作，將適 當(dāng)省略對其的描述。
(第一典型實(shí)施方式的結(jié)構(gòu))
如圖24所示，根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備由 多處理器形成，包括最高可靠性域150A、中等可靠性域150B和低可 靠性域150C、數(shù)據(jù)傳輸單元301、 302和303、低可靠性域數(shù)據(jù)傳輸 單元304和305、中等可靠性域數(shù)據(jù)傳輸單元306和307、以及域停止 恢復(fù)單元400，并具有在被通知來自域的恢復(fù)請求等時(shí)執(zhí)行與所通知 的請求相對應(yīng)的處理的功能、或者在該請求合理時(shí)執(zhí)行與所通知的請 求相對應(yīng)的處理的功能。
根據(jù)本發(fā)明第一典型實(shí)施方式的信息處理設(shè)備可以是通過單處 理器的OS的并行處理系統(tǒng)，這使每個(gè)域具有的單處理器的OS和現(xiàn) 有應(yīng)用能夠在多處理器上運(yùn)行而無需任何修改，并使現(xiàn)有應(yīng)用能夠?qū)?現(xiàn)多處理器的并行處理。
在這種情況下，相比于在單處理器運(yùn)行應(yīng)用的情況，能夠?qū)崿F(xiàn)更 高速的處理，還可以采用比多處理器中每一個(gè)均包括獨(dú)立OS的并行 處理系統(tǒng)更簡單的結(jié)構(gòu)，實(shí)現(xiàn)并行處理。
最高可靠性域150A對應(yīng)于上述由圖9第二示例和圖10第三示例 中軟件20A和CPU 10A形成的結(jié)構(gòu)、以及由圖21第四示例中基本域100A、虛擬CPU 200A和虛擬機(jī)監(jiān)控程序210A形成的結(jié)構(gòu)，并類似 于基本域IOOA，具有基本應(yīng)用或基本軟件。在這些基本應(yīng)用和基本軟 件中有諸如郵件箱、瀏覽器、i-mode (注冊商標(biāo))和地址簿。
最高可靠性域150A也具有如下功能通過其自己的CPU和0S， 與中等可靠性域150B和低可靠性域150C通信與域中發(fā)出的處理請求 有關(guān)的數(shù)據(jù)、與控制有關(guān)的數(shù)據(jù)等。
因?yàn)樽罡呖煽啃杂?50A執(zhí)行安全性級別等于或高于固定級別的 處理，并與其他域分離設(shè)置，例如，由于最高可靠性域150A執(zhí)行從
外部下載的本機(jī)代碼失敗并且它具有最高可靠性，所以對于所有其他 域，該域能夠從諸如停止?fàn)顟B(tài)等故障中恢復(fù)。
此外，因?yàn)樽罡呖煽啃杂?50A與專用于域通信路徑的低可靠性 域數(shù)據(jù)傳輸單元304和中等可靠性域數(shù)據(jù)傳輸單元306連接，而不是 最高可靠性域150A與專用于從最高可靠性域150A之外的其他域開始 的通信路徑的數(shù)據(jù)傳輸單元302和303連接，并且到每一個(gè)域的通信 路徑是分離設(shè)置的，所以允許只對最高可靠性域150A寫入多種數(shù)據(jù)。
中等可靠性域150B對應(yīng)于上述由圖9第二示例和圖10第三示例 中軟件20B和CPU10B形成的結(jié)構(gòu)、以及由圖21第四示例中可信擴(kuò) 展域IOOB、虛擬CPU 200B和虛擬機(jī)監(jiān)控程序210B形成的結(jié)構(gòu)。
中等可靠性域150B具有如下功能通過其自己的CPU和0S， 與最高可靠性域150A和低可靠性域150C通信與域中發(fā)出的處理請求 有關(guān)的數(shù)據(jù)、與控制有關(guān)的數(shù)據(jù)等。
中等可靠性域150B具有安全性級別低于由最高可靠性域150A執(zhí) 行的處理的至少一個(gè)處理，并與其他域分離設(shè)置，例如，只執(zhí)行下載 的本機(jī)代碼中保證可信的代碼。
低可靠性域150C對應(yīng)于上述由圖9第二示例和圖10第三示例中 軟件20C和CPU 10C形成的結(jié)構(gòu)、以及由圖21第四示例中不可信擴(kuò) 展域IOOC、虛擬CPU 200C和虛擬機(jī)監(jiān)控程序210C形成的結(jié)構(gòu)。
低可靠性域150C具有如下功能通過其自己的CPU和OS，與 最高可靠性域150A和中等可靠性域150B通信與域中發(fā)出的處理請求 有關(guān)的數(shù)據(jù)、與控制有關(guān)的數(shù)據(jù)等。低可靠性域150C具有安全性級別低于由中等可靠性域150B執(zhí)行 的處理的至少一個(gè)處理，并與其他域分離設(shè)置，例如，執(zhí)行下載的本 機(jī)代碼中除保證可信的代碼之外的其他代碼。
可以如下所述地形成最高可靠性域150A、中等可靠性域150B和 低可靠性域150C。
假設(shè)最高可靠性域150A為如下域具有最高可靠性域150A的 安全性級別的每一個(gè)執(zhí)行處理的安全性級別等于或高于中等可靠性域 150B的執(zhí)行處理的安全性級別，包括安全性級別較高的至少一個(gè)處 理，作為基本域執(zhí)行處理集合；假設(shè)中等可靠性域150B為如下域 具有中等可靠性域150B的安全性級別的每一個(gè)執(zhí)行處理的安全性級 別等于或高于低可靠性域150C的執(zhí)行處理的安全性級別，包括安全 性級別較高的至少一個(gè)處理，作為每一個(gè)域執(zhí)行處理集合；假設(shè)低可 靠性域150C為如下域具有低可靠性域150C的安全性級別的每一個(gè) 執(zhí)行處理的安全性級別等于或低于中等可靠性域150B的執(zhí)行處理的 安全性級別，包括安全性級別較低的至少一個(gè)處理，作為每一個(gè)域執(zhí) 行處理集合。
在這種情況下，最高可靠性域150A執(zhí)行安全性級別比中等可靠
性域150B的安全性級別相對較高的處理，中等可靠性域150B執(zhí)行安
全性級別比低可靠性域150C的安全性級別相對較高的處理。
本發(fā)明第一典型實(shí)施方式中的可靠性表示基于對應(yīng)用于每個(gè)處
理的安全程度進(jìn)行指示的電子證書、或根據(jù)特定安全性政策的安全性 級別每一級的一種設(shè)置。例如，對于被應(yīng)用了數(shù)字簽名的每個(gè)處理， 基于特定安全性政策設(shè)定安全性級別。
圖25是示出了功能重要性設(shè)置表700的圖，示出了本發(fā)明第一 典型實(shí)施方式中可靠性設(shè)定的一個(gè)示例。
如圖25所示，設(shè)定可靠性為根據(jù)每一級別的重要性的安全性級 別，例如，分級地，級別A:需要口令；級別B:無需確認(rèn)兩次；級 別C:每次執(zhí)行時(shí)確認(rèn)；級別D:每次訪問時(shí)確認(rèn)。
使用上表，根據(jù)要執(zhí)行的功能向域應(yīng)用可靠性。具體而言，根據(jù) 域的故障恢復(fù)請求內(nèi)容的重要性，設(shè)定可靠性。
由此，能夠?qū)崿F(xiàn)靈活的恢復(fù)處理，例如，允許針對微小故障的恢復(fù)請求，而不是始終拒絕來自低可靠性域150C的恢復(fù)請求。
雖然可以在一個(gè)域中只設(shè)置同一種安全性級別，例如，級別A針 對最高可靠性域150A，級別B針對中等可靠性域150B，級別C針對 低可靠性域150C，但是，例如，如圖25所示，能夠?qū)崿F(xiàn)靈活恢復(fù)處 理的可靠性設(shè)置可以是根據(jù)要執(zhí)行的功能，將等于或高于級別A和 等于或高于級別B的級別設(shè)置為針對最高可靠性域150A;根據(jù)要執(zhí) 行的功能，將等于或高于級別B和等于或高于級別C的級別設(shè)置為針 對中等可靠性域150B;根據(jù)要執(zhí)行的功能，將等于或高于級別C和 等于或高于級別D的級別設(shè)置為針對低可靠性域150C。
例如，可以由最高可靠性域150A管理由此設(shè)定的可靠性，在這 種情況下，最高可靠性域150A的確定能夠根據(jù)可靠性來定義要執(zhí)行 的功能或處理的優(yōu)先級。
只要能夠進(jìn)行上述設(shè)置，則可以基于任何證書或任何安全性政策 設(shè)定可靠性，并可以根據(jù)要執(zhí)行的功能或域數(shù)目來任意設(shè)定可靠性。
數(shù)據(jù)傳輸單元301、 302和303具有傳輸與域中發(fā)出的處理請求 有關(guān)的數(shù)據(jù)、與控制有關(guān)的數(shù)據(jù)等的功能，其結(jié)構(gòu)示例包括共享存儲(chǔ) 器和處理器間中斷、FIFO或隊(duì)列、雙端口存儲(chǔ)器、LAN等網(wǎng)絡(luò)、有 線通信、無線電通信等，這些都可以由具有數(shù)據(jù)傳輸功能的常用相關(guān) 技術(shù)來實(shí)現(xiàn)，只要能夠進(jìn)行數(shù)據(jù)傳輸，其結(jié)構(gòu)是不受特別限制的。
通過數(shù)據(jù)傳輸單元301、 302和303傳輸?shù)臄?shù)據(jù)包括用于標(biāo)識(shí)發(fā) 出了處理請求的請求源域的信息、用于標(biāo)識(shí)要處理的域的信息、用于 標(biāo)識(shí)處理內(nèi)容的信息等，依據(jù)不同情況，還包括與要處理域的實(shí)際故 障狀況有關(guān)的信息。
數(shù)據(jù)傳輸單元301、 302和303包括用于執(zhí)行向傳輸目的地域中 的更高層進(jìn)行錯(cuò)誤通知或錯(cuò)誤處理的機(jī)構(gòu)(未示出)。這是因?yàn)閭鬏斈?的地域處于恢復(fù)處理時(shí)的數(shù)據(jù)傳輸需要消除無用的等待，直到這種機(jī) 構(gòu)完成了數(shù)據(jù)傳輸。
對于稍后描述的數(shù)據(jù)傳輸單元304a、 305a、 306a和307a也是如此。
數(shù)據(jù)傳輸單元301具有向域停止恢復(fù)單元400通知處理請求的功 能，該處理請求請求恢復(fù)中等可靠性域150B或低可靠性域150C等， 并是由最高可靠性域150A發(fā)出的。
數(shù)據(jù)傳輸單元302具有向最高可靠性域150A通知處理請求的功 能，該處理請求請求恢復(fù)中等可靠性域150B或低可靠性域150C等， 并是由中等可靠性域150B發(fā)出的。
數(shù)據(jù)傳輸單元303具有向最高可靠性域150A通知處理請求的功 能，該處理請求請求恢復(fù)中等可靠性域150B或低可靠性域150C等， 并是由低可靠性域150C發(fā)出的。
低可靠性域數(shù)據(jù)傳輸單元304和305分別包括數(shù)據(jù)傳輸單元304a 和305a以及低可靠性域停止感測單元304b和305b，并具有如下功能 在向作為目標(biāo)域的低可靠性域150C傳輸數(shù)據(jù)時(shí)，感測低可靠性域 150C實(shí)際上具有的故障狀況。
中等可靠性域數(shù)據(jù)傳輸單元306和307分別包括數(shù)據(jù)傳輸單元 306a和307a以及中等可靠性域停止感測單元306b和307b，并具有如 下功能在向作為目標(biāo)域的中等可靠性域150B傳輸數(shù)據(jù)時(shí)，感測中 等可靠性域150B實(shí)際上具有的故障狀況。
數(shù)據(jù)傳輸單元304a、 305a、 306a和307a的功能與上述數(shù)據(jù)傳輸 單元301、 302和303的功能相同。
低可靠性域停止感測單元304b和305b具有如下功能在通過數(shù) 據(jù)傳輸單元304a和305a向低可靠性域150C傳輸數(shù)據(jù)時(shí)，感測低可 靠性域150C是否實(shí)際上處于停止?fàn)顟B(tài)。
對于感測功能，例如，通過確定作為傳輸目的地域的低可靠性域 150C是否接收到當(dāng)前數(shù)據(jù)，感測低可靠性域150C是否處于停止?fàn)顟B(tài)。 具體而言，通過測量低可靠性域150C接收當(dāng)前數(shù)據(jù)中失敗的時(shí)間或 次數(shù)，實(shí)現(xiàn)感測。為了防止增加最高可靠性域150A和中等可靠性域 150B的處理負(fù)荷，當(dāng)前感測處理所需的時(shí)間應(yīng)該盡量地短。
當(dāng)感測到可靠性域150C處于停止?fàn)顟B(tài)時(shí)，低可靠性域停止感測 單元304b和305b向最高可靠性域150A通知可靠性域150C處于停止 狀態(tài)。 中等可靠性域停止感測單元306b的結(jié)構(gòu)和功能與低可靠性域停 止感測單元304b和305b的相同，并具有如下功能在通過數(shù)據(jù)傳輸 單元3066向中等可靠性域150B傳輸數(shù)據(jù)時(shí)，感測中等可靠性域150B 是否實(shí)際上處于停止?fàn)顟B(tài)(感測該域的故障內(nèi)容)。
對于感測功能，例如，通過確定作為傳輸目的地域的中等可靠性 域150B是否接收到當(dāng)前數(shù)據(jù)，感測中等可靠性域150B是否處于停止 狀態(tài)。具體而言，通過測量中等可靠性域150B接收當(dāng)前數(shù)據(jù)中失敗 的時(shí)間或次數(shù)，實(shí)現(xiàn)感測。為了防止增加最高可靠性域150A的處理 負(fù)荷，當(dāng)前感測處理所需的時(shí)間應(yīng)該盡量地短。
當(dāng)確認(rèn)中等可靠性域150B處于停止?fàn)顟B(tài)時(shí)，中等可靠性域停止 感測單元306b向最高可靠性域150A通知中等可靠性域150B處于停 止?fàn)顟B(tài)。
如上所述，當(dāng)被授權(quán)允許進(jìn)行中等可靠性域150B的恢復(fù)處理時(shí)， 中等可靠性域停止感測單元306b可以直接向域停止恢復(fù)單元400通知 中等可靠性域150B處于停止?fàn)顟B(tài)，以使用域停止恢復(fù)單元400來執(zhí) 行中等可靠性域150B的恢復(fù)處理。
在這種情況下，因?yàn)樽罡呖煽啃杂?50A無法執(zhí)行與允許恢復(fù)處 理有關(guān)的處理，所以可以獲得減輕最高可靠性域150A的處理負(fù)荷的 效果。
另一方面，中等可靠性域停止感測單元307b是用于感測可靠性 高于其自身域的域是否停止的單元，具有如下功能在通過數(shù)據(jù)傳輸 單元3066向中等可靠性域150B傳輸數(shù)據(jù)時(shí)，感測中等可靠性域150B 是否實(shí)際上處于停止?fàn)顟B(tài)。
對于感測功能，例如，通過確定作為傳輸目的地域的中等可靠性 域150B是否接收到當(dāng)前數(shù)據(jù)，感測中等可靠性域150B是否處于停止 狀態(tài)。具體而言，可以通過測量中等可靠性域150B接收當(dāng)前數(shù)據(jù)中 失敗的時(shí)間或次數(shù)，來進(jìn)行確定。因?yàn)楫?dāng)前感測處理的時(shí)間越短，由 低可靠性域150C向最高可靠性域150A通知的信息的真實(shí)性的可靠性 越低，所以需要為當(dāng)前感測處理提供較長時(shí)間。
當(dāng)確認(rèn)中等可靠性域150B處于停止?fàn)顟B(tài)時(shí)，中等可靠性域停止
感測單元307b向最高可靠性域150A通知中等可靠性域150B處于停 止?fàn)顟B(tài)。
此外，上述每一個(gè)域停止單元被允許通過如下所述的方法來感測 其停止尚待感測的域是否實(shí)際上處于停止?fàn)顟B(tài)。
(1) 通過對由傳輸源域向作為停止感測目標(biāo)的傳輸目的地域周 期性傳輸?shù)臋z査分組的響應(yīng)的存在/不存在進(jìn)行計(jì)數(shù)，實(shí)現(xiàn)感測。具體 而言，對未接收到響應(yīng)時(shí)的時(shí)間和次數(shù)進(jìn)行計(jì)數(shù)。要計(jì)數(shù)的當(dāng)前時(shí)間 和次數(shù)可以根據(jù)可靠性不同而改變。
(2) 通過對由傳輸目的地域顯示的停止/失控(mn-away)信息 進(jìn)行計(jì)數(shù)，實(shí)現(xiàn)感測。具體而言，對由傳輸目的地域周期性更新的信 息的停息進(jìn)行計(jì)數(shù)。
可以由可靠性高于傳輸目的地域可靠性的域設(shè)置上述時(shí)間和次 數(shù)、更新信息計(jì)數(shù)頻率等。但是，設(shè)置的改變不可能超過最低閾值。
上述每一個(gè)域停止感測單元可以通過將上述感測處理方式、相關(guān) 時(shí)間、次數(shù)、更新信息等進(jìn)行組合，檢査其停止尚待感測的域是否實(shí) 際上處于停止?fàn)顟B(tài)。
鄰域停止恢復(fù)單元400具有如下功能執(zhí)行多種處理請求，包括 恢復(fù)處理，例如目標(biāo)域中CPU復(fù)位、OS重新引導(dǎo)、該域本身的重新 引導(dǎo)、以及對例如月和天等特定時(shí)間和日期的環(huán)境的回退；或者根據(jù) 最高可靠性域150A通過數(shù)據(jù)傳輸單元301通知的恢復(fù)請求等，恢復(fù) 通信路徑和重啟動(dòng)應(yīng)用。此外，該單元構(gòu)造為只能是最高可靠性域 150A可訪問的，以無條件地接受來自最高可靠性域150A的處理請求。
當(dāng)最高可靠性域150A之外的其他域發(fā)出進(jìn)行恢復(fù)處理等請求 時(shí)，域停止恢復(fù)單元400拒絕所有此類請求。
具體而言，可以通過對來自單獨(dú)域的恢復(fù)請求的允許或拒絕，根 據(jù)該域的可靠性，確定恢復(fù)條件。例如，本典型實(shí)施方式中的恢復(fù)條 件定義為允許所有來自最高可靠性域的恢復(fù)請求，拒絕所有來自其他 域的恢復(fù)請求。
圖26示出了域停止恢復(fù)單元400的結(jié)構(gòu)。
如圖26所示，域停止恢復(fù)單元400包括恢復(fù)請求接收單元401
和域停止恢復(fù)處理單元402。
恢復(fù)請求接收單元401的功能是通過數(shù)據(jù)傳輸單元301接收來自 最高可靠性域150A的恢復(fù)請求(處理請求)，以向域停止恢復(fù)處理單 元402通知該處理請求。
基于恢復(fù)請求接收單元401通知的處理請求，域停止恢復(fù)處理單 元402識(shí)別諸如要處理哪一個(gè)域和請求哪些處理等處理內(nèi)容，以要求 相關(guān)域提供相關(guān)處理內(nèi)容。
例如，在最高可靠性域150A通知的處理請求是用于停止中等可 靠性域150B的恢復(fù)處理的請求的情況下，域停止恢復(fù)處理單元402 要求停止中等可靠性域150B，以進(jìn)行恢復(fù)處理。
在通信方面，因?yàn)槊恳粚又卸x有通信伙伴，所以處理內(nèi)容根據(jù) 每一層中感測的故障類型而改變。例如，恢復(fù)內(nèi)容隨著每一層中感測 的停止?fàn)顟B(tài)而改變。
圖27示出了通信處理內(nèi)容(處理內(nèi)容)與其分層結(jié)構(gòu)之間對應(yīng) 關(guān)系的一個(gè)示例。
如圖27所示，例如，每個(gè)域的分層結(jié)構(gòu)從高層開始由應(yīng)用層、 庫層、OS層和CPU層依次形成，域停止恢復(fù)處理單元402執(zhí)行與預(yù) 先確定的每一層相對應(yīng)的停止感測處理，以執(zhí)行通信處理(恢復(fù)處理)。
通信處理內(nèi)容(恢復(fù)處理內(nèi)容)包括應(yīng)用層中應(yīng)用的再啟動(dòng)、庫 層中向特定時(shí)間點(diǎn)的回退、OS層中OS重新引導(dǎo)、以及CPU層中CPU 回退。
因?yàn)橛糜诓僮鞯谝坏湫蛯?shí)施方式的信息處理設(shè)備的程序需要穩(wěn) 定地實(shí)現(xiàn)由上述每一個(gè)單元和裝置實(shí)施的功能，所以優(yōu)選地在最高可 靠性域150A中存儲(chǔ)和執(zhí)行該程序，最高可靠性域150A不會(huì)受到從外 部下載的附加處理的影響。
這里，將描述根據(jù)第一典型實(shí)施方式的信息處理設(shè)備的硬件結(jié)構(gòu)。
圖28是示出了根據(jù)第一典型實(shí)施方式的信息處理設(shè)備的硬件結(jié) 構(gòu)的一個(gè)示例的方框圖。
參照圖28，根據(jù)第一典型實(shí)施方式的信息處理設(shè)備可以實(shí)現(xiàn)為包括與通用計(jì)算機(jī)設(shè)備相同的硬件結(jié)構(gòu)，即包括多個(gè)CPU(中央處理 單元)501;用作數(shù)據(jù)工作區(qū)或數(shù)據(jù)臨時(shí)保存區(qū)的主存儲(chǔ)單元502，作 為RAM (隨機(jī)存取存儲(chǔ)器)等主存儲(chǔ)器；通信單元503，用于通過互 聯(lián)網(wǎng)600發(fā)送和接收數(shù)據(jù)；呈現(xiàn)單元504，諸如液晶顯示器、打印機(jī) 或揚(yáng)聲器；輸入單元505，諸如按鍵操作單元；接口單元506，與外圍 設(shè)備連接，用于發(fā)送和接收數(shù)據(jù)；輔助存儲(chǔ)單元507，作為由ROM(只 讀存儲(chǔ)器)等非易失性存儲(chǔ)器、磁盤或半導(dǎo)體存儲(chǔ)器形成的硬盤設(shè)備; 以及系統(tǒng)總線508，將上述本信息處理設(shè)備中的每個(gè)組件彼此連接。 根據(jù)第一典型實(shí)施方式的信息處理設(shè)備不僅通過安裝由諸如LSI
(大規(guī)模集成)等硬件部分形成的電路部分來作為硬件實(shí)現(xiàn)其操作， 其中將實(shí)現(xiàn)該功能的程序合并到信息處理設(shè)備內(nèi)，而且通過在計(jì)算機(jī) 處理設(shè)備上的CPU 501上執(zhí)行用于提供上述每一個(gè)裝置和單元的每一 個(gè)功能的程序，以軟件形式實(shí)現(xiàn)其操作。
(第一典型實(shí)施方式的操作)
(最高可靠性域150A的處理請求)
圖29是用于說明圖24所示第一典型實(shí)施方式的一個(gè)操作示例的 圖，示出了通過最高可靠性域150A的中等可靠性域150B的停止感測 恢復(fù)處理。在圖29中，每個(gè)箭頭所附的數(shù)字代表步驟編號(hào)，在這些步 驟中，在相關(guān)線上傳送信息。
首先，假設(shè)中等可靠性域150B異常停止，作為初始狀態(tài)。 步驟1:最高可靠性域150A通過具有中等可靠性域停止感測功 能的數(shù)據(jù)傳輸單元306A的數(shù)據(jù)傳輸單元306a向中等可靠性域150B 發(fā)送數(shù)據(jù)。
步驟2:具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306的 中等可靠性域停止感測單元306b感測中等可靠性域150B的停止。
步驟3:當(dāng)中等可靠性域停止感測單元306b感測到中等可靠性域 150B停止時(shí)，最高可靠性域150A通過數(shù)據(jù)傳輸單元301請求域停止 恢復(fù)單元400恢復(fù)中等可靠性域150B。
步驟4:基于來自最高可靠性域150A的恢復(fù)請求，域停止恢復(fù) 單元400恢復(fù)中等可靠性域150B。
圖30是用于說明圖24所示第一典型實(shí)施方式的一個(gè)操作示例的 圖，示出了通過最高可靠性域150A的低可靠性域150C的停止感測恢 復(fù)處理。在圖30中，每個(gè)箭頭所附的數(shù)字代表步驟編號(hào)，在這些步驟 中，在相關(guān)線上傳送信息。
首先，假設(shè)低可靠性域150C異常停止，作為初始狀態(tài)。
步驟1:最高可靠性域150A通過具有低可靠性域停止感測功能 的數(shù)據(jù)傳輸單元304的數(shù)據(jù)傳輸單元304a向低可靠性域150C發(fā)送數(shù) 據(jù)。
步驟2:具有低可靠性域停止感測功能的數(shù)據(jù)傳輸單元304的低 可靠性域停止感測單元304b感測低可靠性域150C的停止。
步驟3:當(dāng)?shù)涂煽啃杂蛲Ｖ垢袦y單元304b感測到低可靠性域150C 停止時(shí)，最高可靠性域150A通過數(shù)據(jù)傳輸單元301請求域停止恢復(fù) 單元400恢復(fù)低可靠性域150C。
步驟4:基于來自最高可靠性域150A的恢復(fù)請求，域停止恢復(fù) 單元400恢復(fù)低可靠性域150C。
(中等可靠性域150B的處理請求)
圖31是用于說明圖24所示第一典型實(shí)施方式的一個(gè)操作示例的 圖，示出了通過中等可靠性域150B的低可靠性域150C的停止感測恢 復(fù)處理。在圖31中，每個(gè)箭頭所附的數(shù)字代表步驟編號(hào)，在這些步驟 中，在相關(guān)線上傳送信息。
首先，假設(shè)低可靠性域150C異常停止，作為初始狀態(tài)。
步驟1:中等可靠性域150B通過具有低可靠性域停止感測功能的 數(shù)據(jù)傳輸單元305的數(shù)據(jù)傳輸單元305a向低可靠性域150C發(fā)送數(shù)據(jù)。
步驟2:具有低可靠性域停止感測功能的數(shù)據(jù)傳輸單元305的低 可靠性域停止感測單元305b感測低可靠性域150C的停止。
步驟3:當(dāng)?shù)涂煽啃杂蛲Ｖ垢袦y單元305b感測到低可靠性域150C 停止時(shí)，中等可靠性域150B通過數(shù)據(jù)傳輸單元302請求最高可靠性 域150A恢復(fù)低可靠性域150C。
步驟4:最高可靠性域150A通過數(shù)據(jù)傳輸單元301請求域停止 恢復(fù)單元400恢復(fù)低可靠性域150C。
步驟5:基于來自最高可靠性域150A的恢復(fù)請求，域停止恢復(fù) 單元400恢復(fù)低可靠性域150C。
在步驟3與4之間，為了確認(rèn)上述請求被恢復(fù)的低可靠性域150C 確實(shí)停止，最高可靠性域150A可以通過使用具有低可靠性域停止感 測功能的數(shù)據(jù)傳輸單元304，感測停止存在/不存在。
備選地，在步驟4與5之間，為了確認(rèn)上述請求被恢復(fù)的低可靠 性域150C確實(shí)停止，域停止恢復(fù)單元400可以通過使用具有低可靠 性域停止感測功能的數(shù)據(jù)傳輸單元304，感測停止存在/不存在。
(低可靠性域150C的處理請求)
圖32是用于說明圖24所示第一典型實(shí)施方式的一個(gè)操作示例的 圖，示出了通過低可靠性域150C的中等可靠性域150B的停止感測恢 復(fù)處理。在圖32中，每個(gè)箭頭所附的數(shù)字代表步驟編號(hào)，在這些步驟 中，在相關(guān)線上傳送信息。
首先，假設(shè)中等可靠性域150B異常停止，作為初始狀態(tài)。 步驟l:低可靠性域150C通過具有中等可靠性域停止感測功能的 數(shù)據(jù)傳輸單元307的數(shù)據(jù)傳輸單元307a向中等可靠性域150B發(fā)送數(shù) 據(jù)。
步驟2:具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元307的 中等可靠性域停止感測單元307b感測中等可靠性域150B的停止。
步驟3:當(dāng)中等可靠性域停止感測單元307b感測到中等可靠性域 150B停止時(shí)，低可靠性域150C通過數(shù)據(jù)傳輸單元303請求最高可靠 性域150A恢復(fù)中等可靠性域150B。
步驟4:因?yàn)樽鳛榛謴?fù)請求源域的低可靠性域150C的可靠性低于 作為恢復(fù)目標(biāo)域的中等可靠性域150B的可靠性，并且該可靠性較低， 所以為了確認(rèn)恢復(fù)請求的目標(biāo)或內(nèi)容的真實(shí)性，最高可靠性域150A 通過具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306的中等可靠 性域停止感測單元306b向中等可靠性域150B發(fā)送數(shù)據(jù)。
步驟5:具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306的 中等可靠性域停止感測單元306b感測中等可靠性域150B的停止，以 確認(rèn)中等可靠性域150B確實(shí)停止。
步驟6:當(dāng)確認(rèn)了中等可靠性域150B確實(shí)停止時(shí)，最高可靠性域 150A通過數(shù)據(jù)傳輸單元301請求域停止恢復(fù)單元400恢復(fù)中等可靠性 域150B。
步驟7:基于來自最高可靠性域150A的恢復(fù)請求，域停止恢復(fù) 單元400恢復(fù)中等可靠性域150B。
在步驟4到步驟6中，如果最高可靠性域150A未執(zhí)行相關(guān)確認(rèn) 處理，則域停止恢復(fù)單元400可以在步驟6和7之間通過使用具有中 等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306，感測停止存在/不存在， 以確認(rèn)上述請求被恢復(fù)的中等可靠性域150B確實(shí)停止。 (相同可靠性域的處理請求)
圖33是用于說明圖24所示第一典型實(shí)施方式的一個(gè)操作示例的 圖，示出了通過中等可靠性域150B的其他可靠性域的停止感測恢復(fù) 處理，作為相同可靠性域中停止感測恢復(fù)處理的示例。在圖33中，每 個(gè)箭頭所附的數(shù)字代表步驟編號(hào)，在這些步驟中，在相關(guān)線上傳送信 息。
首先，假設(shè)中等可靠性域150B的組中至少有一個(gè)中等可靠性域 150B異常停止，作為初始狀態(tài)。
步驟1:其他未停止的中等可靠性域150B向中等可靠性域150B 組中的上述中等可靠性域150B發(fā)送數(shù)據(jù)。
步驟2:感測作為數(shù)據(jù)傳輸目的地的上述中等可靠性域150B的停 止。相同可靠性域中的停止感測處理與在未設(shè)置可靠性的域之中的同 一域中的停止感測處理一樣。因此，由于這種停止感測處理是常用技 術(shù)，所以不對其進(jìn)行描述。
步驟3:當(dāng)感測到作為數(shù)據(jù)傳輸目的地的上述中等可靠性域150B 停止時(shí)，作為數(shù)據(jù)傳輸源的中等可靠性域150B通過數(shù)據(jù)傳輸單元302 請求最高可靠性域150A恢復(fù)上述處于停止?fàn)顟B(tài)的中等可靠性域 150B。
步驟4:最高可靠性域150A通過數(shù)據(jù)傳輸單元301請求域停止 恢復(fù)單元400恢復(fù)上述處于停止?fàn)顟B(tài)的中等可靠性域150B。
步驟5:域停止恢復(fù)單元400基于來自最高可靠性域150A的恢
復(fù)請求，恢復(fù)上述處于停止?fàn)顟B(tài)的中等可靠性域150B。
在步驟3與4之間，為了確認(rèn)上述請求被恢復(fù)的處于停止?fàn)顟B(tài)的 中等可靠性域150B確實(shí)停止，最高可靠性域150A可以通過使用具有 中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306，感測停止存在/不存在。
備選地，在步驟4與5之間，為了確認(rèn)上述請求被恢復(fù)的處于停 止?fàn)顟B(tài)的中等可靠性域150B確實(shí)停止，域停止恢復(fù)單元400可以通 過使用具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306，感測停 止存在/不存在。
(第一典型實(shí)施方式的有益效果)
根據(jù)本發(fā)明第一典型實(shí)施方式，因?yàn)榛诳煽啃詫⒚總€(gè)域分離開 來，所以具有郵件箱或?yàn)g覽器等基本處理的最高可靠性域150A不會(huì) 受到來自最高可靠性域150A之外的其他域的攻擊的影響，即使當(dāng)最 高可靠性域150A之外的其他域停止時(shí)，信息處理設(shè)備的郵件箱或?yàn)g 覽器等基本處理也不會(huì)凍結(jié)。換言之，因?yàn)椴粫?huì)從可靠性較低的域接 受諸如包含病毒的惡意處理請求或?qū)﹀e(cuò)誤恢復(fù)的處理請求，所以可以 防止信息處理設(shè)備的基本處理被凍結(jié)。
此外，因?yàn)樽罡呖煽啃杂?50A與專用于域通信路徑的低可靠性 域數(shù)據(jù)傳輸單元304和中等可靠性域數(shù)據(jù)傳輸單元306連接，而不是 最高可靠性域150A與專用于從最高可靠性域150A之外的其他域開始 的通信路徑的數(shù)據(jù)傳輸單元302和303連接，并且設(shè)置有到每一個(gè)域 的通信路徑，所以允許只對最高可靠性域150A寫入多種數(shù)據(jù)，消除 了對各個(gè)域之間互斥控制的需要。
此外，因?yàn)榭梢酝ㄟ^域停止恢復(fù)單元恢復(fù)最高可靠性域150A之 外的、發(fā)生停止等類似錯(cuò)誤的其他域，所以可以確保最高可靠性域 150A的安全性，同時(shí)能夠?qū)崿F(xiàn)信息處理設(shè)備的連續(xù)操作。
此外，通過監(jiān)視定時(shí)器(watchdog timer)等的自發(fā)性域恢復(fù)的問 題在于，因?yàn)椴磺宄糜诨謴?fù)數(shù)據(jù)傳輸目的地域所需的時(shí)間，所以處 理錯(cuò)誤會(huì)導(dǎo)致性能下降，引起無法啟動(dòng)自發(fā)性域恢復(fù)的情況發(fā)生，而 根據(jù)本發(fā)明第一典型實(shí)施方式，在向中等可靠性域150B或低可靠性
域150C傳輸數(shù)據(jù)時(shí)，允許最高可靠性域150A利用低可靠性域數(shù)據(jù)傳 輸單元304和中等可靠性域數(shù)據(jù)傳輸單元306來感測這些域中發(fā)生的 故障，所以能夠在數(shù)據(jù)傳輸時(shí)恢復(fù)這些故障，避免上述問題。
此外，因?yàn)樽罡呖煽啃杂?50A包括兩種停止感測單元，即低可 靠性域停止感測單元304和中等可靠性域停止感測單元，所以可以分 散通過最高可靠性域150A的停止感測處理，從而提高速度。
此外，因?yàn)樵试S最高可靠性域150A基于可靠性優(yōu)先級，通過其 自身確定來執(zhí)行恢復(fù)處理，所以能夠?qū)崿F(xiàn)信息處理設(shè)備的適當(dāng)恢復(fù)， 例如以必要功能開始的優(yōu)先恢復(fù)。例如，即使在向發(fā)生錯(cuò)誤的域同時(shí) 發(fā)出多個(gè)恢復(fù)請求時(shí)，也能夠基于作為恢復(fù)請求的請求源的域的可靠 性，或者基于由恢復(fù)請求指示的處理內(nèi)容的可靠性優(yōu)先級，進(jìn)行靈活 和有效的恢復(fù)處理。也可以抑制不必要恢復(fù)處理的產(chǎn)生或執(zhí)行最少量 的必要恢復(fù)處理。
(第二典型實(shí)施方式) 第二典型實(shí)施方式對應(yīng)于圖24所示的第一典型實(shí)施方式，其采 用與第一典型實(shí)施方式相同的結(jié)構(gòu)，但是具有如下不同域停止恢復(fù) 單元400具有停止確認(rèn)單元403，用于接收在多種域中發(fā)出的請求。
下面，將主要描述與上述第一典型實(shí)施方式的不同之處，并不再 描述與第一典型實(shí)施方式共有的組件。
(第二典型實(shí)施方式的結(jié)構(gòu))
圖34是示出了根據(jù)第二典型實(shí)施方式的域停止恢復(fù)單元400的 結(jié)構(gòu)圖。
如圖34所示，根據(jù)第二典型實(shí)施方式的域停止恢復(fù)單元400與 第一典型實(shí)施方式的不同之處在于具有停止確認(rèn)單元403。
停止確認(rèn)單元403具有如下功能通過恢復(fù)請求接收單元401， 從由多種域通知的信息中獲得用于標(biāo)識(shí)發(fā)出了恢復(fù)請求(處理請求)的 請求源域的信息、用于標(biāo)識(shí)要處理的域的信息、用于標(biāo)識(shí)處理內(nèi)容等 的信息，并使用低可靠性域停止感測單元304和中等可靠性域停止感 測單元306來感測要處理的域的實(shí)際故障狀況，以確認(rèn)獲得的處理內(nèi)
容的真實(shí)性。
當(dāng)由此確認(rèn)了獲得的處理內(nèi)容是真實(shí)的時(shí)，停止確認(rèn)單元403向 域停止恢復(fù)處理單元402通知從多種域通知的信息，以請求處理。
當(dāng)被停止確認(rèn)單元請求進(jìn)行處理時(shí)，域停止恢復(fù)處理單元402基 于由停止確認(rèn)單元403通知的信息，要求要處理的域中的預(yù)定單元進(jìn) 行恢復(fù)等處理。
在第二典型實(shí)施方式中，域停止恢復(fù)單元400具有的停止確認(rèn)單 元403可以包括低可靠性域停止感測單元304和中等可靠性域停止感 測單元306，備選地，停止確認(rèn)單元403可以設(shè)置在域停止恢復(fù)單元 400外部，以基于從多種域通知的信息來執(zhí)行上述感測處理，并向域 停止恢復(fù)單元400中的域停止恢復(fù)處理單元402發(fā)出處理請求。
(第二典型實(shí)施方式的操作)
(中等可靠性域150B的處理請求)
圖35是用于說明當(dāng)圖24所示第一典型實(shí)施方式包括圖34所示 的域停止恢復(fù)單元400時(shí)執(zhí)行的一個(gè)操作示例的圖，示出了通過中等 可靠性域150B的低可靠性域150C的停止感測恢復(fù)處理。在圖35中， 每個(gè)箭頭所附的數(shù)字代表步驟編號(hào)，在這些步驟中，在相關(guān)線上傳送 信息。
這與圖24所示的第一典型實(shí)施方式的不同之處在于，中等可靠 性域150B通過數(shù)據(jù)傳輸單元302請求域停止恢復(fù)單元400恢復(fù)低可 靠性域150C。
首先，假設(shè)低可靠性域150C異常停止，作為初始狀態(tài)，并且允 許中等可靠性域150B使用域停止恢復(fù)單元400或具有使用域停止恢 復(fù)單元400的授權(quán)。
步驟1:中等可靠性域150B通過具有低可靠性域停止感測功能的 數(shù)據(jù)傳輸單元305的數(shù)據(jù)傳輸單元305a向低可靠性域150C發(fā)送數(shù)據(jù)。
步驟2:具有低可靠性域停止感測功能的數(shù)據(jù)傳輸單元305的低 可靠性域停止感測單元305b感測低可靠性域150C的停止。
步驟3:當(dāng)?shù)涂煽啃杂蛲Ｖ垢袦y單元305b感測到低可靠性域150C 停止時(shí)，被允許使用域停止恢復(fù)單元400的中等可靠性域150B通過數(shù)據(jù)傳輸單元302請求域停止恢復(fù)單元400恢復(fù)低可靠性域150C。
步驟4:基于來自中等可靠性域150B的恢復(fù)請求，域停止恢復(fù)單
元400恢復(fù)低可靠性域150C。
在步驟3與4之間，為了確認(rèn)上述請求被恢復(fù)的低可靠性域150C
確實(shí)停止，域停止恢復(fù)單元400可以通過使用具有低可靠性域停止感
測功能的數(shù)據(jù)傳輸單元304，感測停止存在/不存在。
備選地，理論上，為了確認(rèn)上述請求被恢復(fù)的低可靠性域150C
確實(shí)停止等故障，在步驟3和4之間，域停止恢復(fù)單元400可以通過
使用具有低可靠性域停止感測功能的數(shù)據(jù)傳輸單元304，感測停止存
在/不存在，并且在中等可靠性域150B發(fā)出恢復(fù)請求時(shí)，基于可靠性
設(shè)置，不再感測上述停止等故障的存在/不存在。 (低可靠性域150C的處理請求)
圖36是用于說明當(dāng)圖24所示第一典型實(shí)施方式包括圖34所示 的域停止恢復(fù)單元400時(shí)執(zhí)行的一個(gè)操作示例的圖，示出了通過低可 靠性域150C的中等可靠性域150B的停止感測恢復(fù)處理。在圖36中， 每個(gè)箭頭所附的數(shù)字代表步驟編號(hào)，在這些步驟中，在相關(guān)線上傳送
倍息o
這與圖24所示的第一典型實(shí)施方式的不同之處在于低可靠性 域150C通過數(shù)據(jù)傳輸單元303請求域停止恢復(fù)單元400恢復(fù)中等可 靠性域150B，域停止恢復(fù)單元400通過使用具有中等可靠性域停止感 測功能的數(shù)據(jù)傳輸單元307，感測到中等可靠性域150B的數(shù)據(jù)傳輸和 中等可靠性域150B的停止。
首先，假設(shè)中等可靠性域150B異常停止，作為初始狀態(tài)，并且 允許低可靠性域150C使用域停止恢復(fù)單元400或具有使用域停止恢 復(fù)單元400的授權(quán)。
步驟l:低可靠性域150C通過具有中等可靠性域停止感測功能的 數(shù)據(jù)傳輸單元307的數(shù)據(jù)傳輸單元307a向中等可靠性域150B發(fā)送數(shù) 據(jù)。
步驟2:具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元307的 低可靠性域停止感測單元307b感測中等可靠性域150B的停止。
步驟3:當(dāng)中等可靠性域停止感測單元307b感測到低可靠性域 150C停止時(shí)，低可靠性域150C通過數(shù)據(jù)傳輸單元303請求域停止恢 復(fù)單元400恢復(fù)中等可靠性域150B。
步驟4:因?yàn)樽鳛榛謴?fù)請求源域的低可靠性域150C的可靠性低于 作為恢復(fù)目標(biāo)域的中等可靠性域150B的可靠性，并且該可靠性較低， 所以為了確認(rèn)恢復(fù)請求的目標(biāo)或內(nèi)容的真實(shí)性，域停止恢復(fù)單元400 通過具有中等可靠性域停止感測功能的數(shù)據(jù)傳輸單元306的數(shù)據(jù)傳輸 單元306a向中等可靠性域150B發(fā)送數(shù)據(jù)。
步驟5:當(dāng)具有中等可靠性域停止感測功能的、數(shù)據(jù)傳輸單元306 的中等可靠性域停止感測單元306b感測到中等可靠性域150B的停止 時(shí)，域停止恢復(fù)單元400確認(rèn)中等可靠性域150B確實(shí)停止。
步驟6:當(dāng)確認(rèn)了中等可靠性域150B確實(shí)停止時(shí)，域停止恢復(fù)單 元400基于來自低可靠性域150C的恢復(fù)請求，恢復(fù)中等可靠性域 150B。
(相同可靠性域的處理請求)
圖37是用于說明當(dāng)圖24所示第一典型實(shí)施方式包括圖34所示 的域停止恢復(fù)單元400時(shí)執(zhí)行的一個(gè)操作示例的圖，示出了通過中等 可靠性域150B的其他可靠性域的停止感測恢復(fù)處理，作為相同可靠 性域中停止感測恢復(fù)處理的示例。在圖37中，每個(gè)箭頭所附的數(shù)字代 表步驟編號(hào)，在這些步驟中，在相關(guān)線上傳送信息。
這與圖24所示的第一典型實(shí)施方式的不同之處在于，中等可靠 性域150B通過數(shù)據(jù)傳輸單元302請求域停止恢復(fù)單元400恢復(fù)其他 中等可靠性域150B。
首先，假設(shè)中等可靠性域150B的組中至少有一個(gè)中等可靠性域 150B被允許使用域停止恢復(fù)單元400或具有使用域停止恢復(fù)單元400 的授權(quán)，作為初始狀態(tài)。
步驟1:其他未停止的中等可靠性域150B向中等可靠性域150B 組中的上述中等可靠性域150B發(fā)送數(shù)據(jù)。
步驟2:感測作為數(shù)據(jù)傳輸目的地的上述中等可靠性域150B的停止。
步驟3:當(dāng)感測到作為數(shù)據(jù)傳輸目的地的上述中等可靠性域150B 停止時(shí)，被允許使用域停止恢復(fù)單元400的、作為數(shù)據(jù)傳輸源的中等 可靠性域150B通過數(shù)據(jù)傳輸單元302請求域停止恢復(fù)單元400恢復(fù) 上述處于停止?fàn)顟B(tài)的中等可靠性域150B。
步驟5:域停止恢復(fù)單元400基于來自作為當(dāng)前數(shù)據(jù)傳輸源的最 高可靠性域150A的恢復(fù)請求，恢復(fù)上述處于停止?fàn)顟B(tài)的中等可靠性 域150B。
在步驟3與4之間，為了確認(rèn)上述請求被恢復(fù)的中等可靠性域 150B確實(shí)停止，域停止恢復(fù)單元400可以通過使用具有中等可靠性域 停止感測功能的數(shù)據(jù)傳輸單元306，感測停止存在/不存在。 (第二典型實(shí)施方式的有益效果)
根據(jù)第二典型實(shí)施方式，停止確認(rèn)單元403基于由多種域通知的
信息，執(zhí)行上述感測處理。因此，即使當(dāng)中等可靠性域150B或低可 靠性域150C向最高可靠性域150A通知處理請求時(shí)，也無需感測要處 理的域的實(shí)際故障狀況和確認(rèn)處理內(nèi)容的真實(shí)性，從而可以減輕最高 可靠性域150A的處理負(fù)荷。
(第三典型實(shí)施方式)
第三典型實(shí)施方式對應(yīng)于圖24所示的第一典型實(shí)施方式，其采 用與第一典型實(shí)施方式相同的結(jié)構(gòu)，但是具有如下不同域停止恢復(fù) 單元400具有恢復(fù)處理控制單元404，用于接收由多種域發(fā)出的請求。 下面，將主要描述與上述第一典型實(shí)施方式的不同之處。
(第三典型實(shí)施方式的結(jié)構(gòu))
圖38是示出了根據(jù)第三典型實(shí)施方式的域停止恢復(fù)單元400的 結(jié)構(gòu)圖。
如圖38所示，根據(jù)第三典型實(shí)施方式的域停止恢復(fù)單元400與 第一典型實(shí)施方式的不同之處在于具有恢復(fù)處理控制單元404。
恢復(fù)處理控制單元404具有與圖4所示訪問控制單元30相同的 結(jié)構(gòu)和功能，包括存儲(chǔ)有恢復(fù)處理允許數(shù)據(jù)404a和恢復(fù)處理允許單元 404b的存儲(chǔ)單元，并具有確定是否允許通過恢復(fù)請求接收單元401從最高可靠性域150A之外的其他域通知處理請求的功能。
此外，當(dāng)被通知了處理請求時(shí)，恢復(fù)處理控制單元404只向域停 止恢復(fù)單元400通知所允許的處理請求。
這里，對于從每一域接收的恢復(fù)請求(處理請求)，恢復(fù)請求接 收單元401向域停止恢復(fù)處理單元402通知從最高可靠性域150A接 收的恢復(fù)請求(處理請求)，并向恢復(fù)處理允許單元404b通知從最高 可靠性域150A之外的其他域接收的恢復(fù)請求(處理請求)。
恢復(fù)處理控制單元404執(zhí)行控制，以僅允許最高可靠性域150A 之外的其他域中具有要求的低安全性級別的域向預(yù)先允許的域發(fā)出預(yù) 先允許形式的處理請求。
恢復(fù)處理允許數(shù)據(jù)404a是由最高可靠性域150A預(yù)先設(shè)定的數(shù) 據(jù)，其中將從最高可靠性域150A之外的其他域通知的處理請求和預(yù) 定處理內(nèi)容與預(yù)定域彼此相關(guān)，可以從最高可靠性域150A讀取或向 其最高可靠性域150A寫入該數(shù)據(jù)。只允許從恢復(fù)處理允許單元404b 進(jìn)行讀取。此外，不允許從最高可靠性域150A之外的其他域進(jìn)行讀 寫。換言之，恢復(fù)處理允許數(shù)據(jù)404a與最高可靠性域150A之外的其 他域不存在數(shù)據(jù)總線。
圖39示出了恢復(fù)處理允許數(shù)據(jù)404a的內(nèi)容的一個(gè)示例。 如圖39所示，對于作為請求恢復(fù)端域的特定請求源域，恢復(fù)處 理允許數(shù)據(jù)404a定義作為恢復(fù)處理目標(biāo)的恢復(fù)目的地域及其恢復(fù)方 法。
在請求源域是域#1的情況下，不定義任何恢復(fù)目的地域和恢復(fù)方法。
在請求源域是域#2的情況下，只定義域#1為恢復(fù)目的地域，只 定義OS重新引導(dǎo)為恢復(fù)方法。
在請求源域是域#3的情況下，只定義域#2為恢復(fù)目的地域，定 義復(fù)位和回退為恢復(fù)方法。
恢復(fù)處理允許單元404b具有如下功能當(dāng)通過恢復(fù)請求接收單 元接收到來自最高可靠性域150A之外的其他域的處理請求時(shí)，參考 恢復(fù)處理允許數(shù)據(jù)404a的請求源域、恢復(fù)目的地域和恢復(fù)方法，以確
定該處理請求是否相關(guān)，當(dāng)該請求是被允許的處理請求時(shí)，向域停止
恢復(fù)單元400發(fā)出處理請求。另一方面，當(dāng)確定為不允許時(shí)，恢復(fù)處 理允許單元404b不向域停止恢復(fù)單元400發(fā)出處理請求。
換言之，除了如第一典型實(shí)施方式所述的根據(jù)域可靠性允許或拒 絕來自單獨(dú)域的恢復(fù)請求，還可以根據(jù)恢復(fù)目的地域和恢復(fù)處理等處 理內(nèi)容來確定恢復(fù)條件。例如，除了第一典型實(shí)施方式中用于拒絕來 自域#1的所有恢復(fù)請求的條件設(shè)置，作為本典型實(shí)施方式的恢復(fù)條 件，還可以定義根據(jù)每個(gè)恢復(fù)目的地域和處理內(nèi)容，部分地允許來自 域#2和域#3的恢復(fù)請求。因此，特征在于能夠?qū)崿F(xiàn)精細(xì)的恢復(fù)條件設(shè) 置。
(
第三實(shí)施方式的操作)
圖40是用于說明恢復(fù)處理控制單元404的一個(gè)操作示例的圖。 在圖40中，箭頭旁邊的數(shù)字表示步驟編號(hào)。
首先，最高可靠性域150A定義恢復(fù)處理允許數(shù)據(jù)404a的內(nèi)容， 作為初始設(shè)置。
步驟1:假設(shè)最高可靠性域150A之外的其他域發(fā)出與恢復(fù)處理 允許數(shù)據(jù)404a不相符合的處理請求。
步驟2:恢復(fù)處理控制單元404b通過獲得該處理請求，讀取恢復(fù) 處理允許數(shù)據(jù)404a，以確定是否允許該處理請求。
步驟3:恢復(fù)處理允許單元404b向最高可靠性域150A之外的其 他域返回錯(cuò)誤。這是因?yàn)樵撎幚碚埱蟛环献x取恢復(fù)處理允許數(shù)據(jù) 404a。
步驟4:最高可靠性域150A之外的其他域發(fā)出不同于上述處理 請求的其他處理請求。
步驟5:恢復(fù)處理允許單元404b通過獲得該處理請求來讀取恢復(fù) 處理允許數(shù)據(jù)404a，以確定是否允許該處理請求。
步驟6:當(dāng)允許來自最高可靠性域150A之外的其他域的該處理 請求時(shí)，恢復(fù)處理允許單元404b向域停止恢復(fù)處理單元402發(fā)出處理 請求。
雖然相對于基于恢復(fù)處理允許數(shù)據(jù)404a來控制處理請求的示例
描述了第三典型實(shí)施方式，作為恢復(fù)處理控制單元404的結(jié)構(gòu)，并且 恢復(fù)處理允許數(shù)據(jù)404a包括恢復(fù)處理允許單元404b，但是本發(fā)明不 限于上述結(jié)構(gòu)，可以設(shè)置恢復(fù)處理拒絕數(shù)據(jù)和恢復(fù)處理拒絕單元，取 代恢復(fù)處理允許數(shù)據(jù)(反轉(zhuǎn))。在這種情況下，當(dāng)來自最高可靠性域 150A之外的其他域的處理請求符合所有預(yù)定請求源域或任一預(yù)定請 求源域中的預(yù)定條件，并且在預(yù)定請求源域中由恢復(fù)處理拒絕數(shù)據(jù)、 恢復(fù)拒絕目的地域和恢復(fù)方法定義對恢復(fù)處理的拒絕時(shí)，恢復(fù)處理拒 絕單元執(zhí)行控制，拒絕當(dāng)前處理請求。
(第三典型實(shí)施方式的有益效果)
因?yàn)楦鶕?jù)本發(fā)明第三典型實(shí)施方式，恢復(fù)處理控制單元404的恢 復(fù)處理允許單元404b基于恢復(fù)處理允許數(shù)據(jù)404a執(zhí)行控制，只允許 至預(yù)先允許的域并具有預(yù)先允許的形式的處理請求，所以可以阻止由 最高可靠性域150A之外的其他域通過下載等從外部獲得的附加處理 對要求高安全性級別的最高可靠性域150A的多種攻擊。
此外，恢復(fù)處理控制單元404分散了域停止恢復(fù)單元400的恢復(fù)
處理，以加速恢復(fù)處理。
作為第三典型實(shí)施方式的變化示例，恢復(fù)處理允許單元404b可
以包括高速緩存。在這種情況下，用于確定允許/不允許處理請求的恢 復(fù)處理允許數(shù)據(jù)404a存儲(chǔ)在高速緩存中，以在確定允許/不允許隨后 的處理請求中，確定高速緩存在是否存在該相關(guān)處理請求的恢復(fù)處理 允許數(shù)據(jù)404a，并在高速緩存擊中的情況下，加快對允許/不允許處理 請求的確定速度。
(第四典型實(shí)施方式)
第四典型實(shí)施方式對應(yīng)于圖24所示的第一典型實(shí)施方式，其采 用與第一典型實(shí)施方式相同的結(jié)構(gòu)，但是具有如下不同域停止恢復(fù) 單元400具有停止確定單元403和恢復(fù)處理控制單元404。
下面，將主要描述與上述第一典型實(shí)施方式的不同之處。
圖41是示出了根據(jù)第四典型實(shí)施方式的域停止恢復(fù)單元400的 結(jié)構(gòu)圖。
如圖41所示，根據(jù)第四典型實(shí)施方式的域停止恢復(fù)單元400與 第一典型實(shí)施方式的不同之處在于具有停止確定單元403和恢復(fù)處理 控制單元404。
這里，因?yàn)橥Ｖ勾_定單元403的結(jié)構(gòu)與第二典型實(shí)施方式中的停 止確定單元403的結(jié)構(gòu)相同，并且恢復(fù)處理控制單元404的結(jié)構(gòu)與第 三典型實(shí)施方式中的恢復(fù)處理控制單元404的結(jié)構(gòu)相同，所以不再對 其進(jìn)行描述。
(第四典型實(shí)施方式的操作)
在根據(jù)第四典型實(shí)施方式的域停止恢復(fù)單元400中，類似于第三 典型實(shí)施方式，恢復(fù)處理控制單元404確定允許或不允許來自最高可 靠性域150A之外的其他域的處理請求，并且類似于第二典型實(shí)施方 式，停止確定單元403獲得被恢復(fù)處理控制單元404允許的處理請求， 確認(rèn)與獲得的處理請求有關(guān)的處理內(nèi)容的真實(shí)性，并在確認(rèn)其真實(shí)時(shí)， 向域停止恢復(fù)處理單元402通知所獲得的處理請求的有關(guān)信息。 (第四典型實(shí)施方式的有益效果)
根據(jù)本發(fā)明的第四典型實(shí)施方式，因?yàn)榛謴?fù)處理控制單元404的 恢復(fù)處理允許單元404b基于恢復(fù)處理允許數(shù)據(jù)404a執(zhí)行控制，只允 許至預(yù)先允許的域并具有預(yù)先允許的形式的處理請求，所以可以阻止 由最高可靠性域150A之外的其他域通過下載等從外部獲得的附加處 理對要求高安全性級別的最高可靠性域150A的多種攻擊，從增強(qiáng)了 最高可靠性域150A的安全性。
此外，因?yàn)榛謴?fù)處理控制單元404分散了域停止恢復(fù)單元400的 恢復(fù)處理，所以可以加速恢復(fù)處理。
此外，停止確定單元403基于與恢復(fù)處理控制單元404允許的處 理請求有關(guān)的信息，執(zhí)行上述感測處理。因此，即使當(dāng)中等可靠性域 150B或低可靠性域150C向最高可靠性域150A通知處理請求時(shí)，也 無需感測要處理的域的實(shí)際故障狀況和確認(rèn)處理內(nèi)容的真實(shí)性，從而 可以減輕最高可靠性域150A的處理負(fù)荷，并在確保最高可靠性域 150A的安全性的同時(shí)，適當(dāng)恢復(fù)域中實(shí)際發(fā)生的故障。
雖然相對于上述多個(gè)優(yōu)選的典型實(shí)施方式描述了本發(fā)明，但是本 發(fā)明不限于上述典型實(shí)施方式，而可以在其技術(shù)構(gòu)思范圍內(nèi)作出改變。
例如，雖然相對于由例如三個(gè)域形成的信息處理設(shè)備描述了本典 型實(shí)施方式，但是域數(shù)目不限于三個(gè)，而可以是兩個(gè)或不少于四個(gè)， 只要如本典型實(shí)施方式中所述的一樣將各個(gè)域分離開來。
此外，例如，相對于將恢復(fù)處理控制單元404設(shè)置在域停止恢復(fù) 單元400中的結(jié)構(gòu)，描述了本典型實(shí)施方式，而恢復(fù)處理控制單元404 的位置不限于在域停止恢復(fù)單元400內(nèi)，而可以在域停止恢復(fù)單元400 外部、最高可靠性域150A內(nèi)或多個(gè)位置處。當(dāng)恢復(fù)處理控制單元404 設(shè)置在最高可靠性域150A中時(shí)，最高可靠性域150A可以確定是否允 許來自最高可靠性域150A內(nèi)之外的其他域的處理請求，并向域停止 恢復(fù)處理單元402通知所允許的處理請求的信息。
根據(jù)本發(fā)明典型實(shí)施方式，可以獲得以下有益效果。 第一效果是在恢復(fù)請求滿足預(yù)先設(shè)定的恢復(fù)條件時(shí)，恢復(fù)每個(gè)域 中發(fā)生的故障。
這是因?yàn)?，根?jù)要執(zhí)行的處理內(nèi)容設(shè)置多個(gè)處理器，以形成多個(gè) 域，不同域中的處理器通過通信單元彼此通信，以基于從域通知的故 障恢復(fù)請求和針對每個(gè)域預(yù)先設(shè)定的恢復(fù)條件，對發(fā)生錯(cuò)誤的域執(zhí)行 故障恢復(fù)處理，所以對于每個(gè)域中發(fā)生的每個(gè)故障，可以響應(yīng)于滿足 預(yù)先設(shè)置的恢復(fù)條件的恢復(fù)請求，恢復(fù)故障。
第二效果在于，可以根據(jù)與其他域不同的恢復(fù)條件來恢復(fù)多個(gè)域 中的預(yù)定域。
這是因?yàn)槎鄠€(gè)域是由根據(jù)要執(zhí)行的處理內(nèi)容而分離的特定域和 其他域形成的，基于從特定域或其他域通知的故障恢復(fù)請求和針對各 個(gè)特定域和其他域而預(yù)先設(shè)定的恢復(fù)條件，對發(fā)生錯(cuò)誤的域執(zhí)行故障 恢復(fù)處理。因?yàn)槎鄠€(gè)域是由根據(jù)要執(zhí)行的處理內(nèi)容而分離的特定域和 其他域形成的，所以基于從特定域或其他域通知的故障恢復(fù)請求和針 對各個(gè)特定域和其他域而預(yù)先設(shè)定的恢復(fù)條件，對發(fā)生錯(cuò)誤的域執(zhí)行故障恢復(fù)處理，可以根據(jù)不同恢復(fù)條件恢復(fù)特定域和其他域。
第三效果是可以確保用于執(zhí)行安全級別高于特定固定級別的處 理的域的安全性。
原因在于，特定域是用于執(zhí)行安全級別高于特定固定級別的處理 的域，其他域是具有安全性級別低于特定域中執(zhí)行的處理的至少一個(gè) 處理的域，特定域通過經(jīng)由通信單元至其他域的數(shù)據(jù)傳輸，感測其他 域中的故障，以向恢復(fù)單元發(fā)出故障恢復(fù)請求。因此，用于執(zhí)行安全 級別高于特定固定級別的處理的特定域、以及具有安全性級別低于特 定域中執(zhí)行的處理的至少一個(gè)處理的其他域是彼此分離地形成的，檢 測到其他域中發(fā)生的故障并且用于執(zhí)行安全級別高于特定固定級別的 處理的特定域通過恢復(fù)單元，恢復(fù)具有安全性級別低于特定域中執(zhí)行 的處理的至少一個(gè)處理的其他域。
第四效果是提高了信息處理設(shè)備的可用性。
原因在于，安全性得到保證并且用于執(zhí)行安全級別高于特定固定 級別的處理的域檢測具有安全性級別低于特定域中執(zhí)行的處理的至少 一個(gè)處理的其他域中發(fā)生的故障，以通過恢復(fù)單元恢復(fù)故障。
第五效果是可以確保的預(yù)定安全性級別，恢復(fù)每個(gè)域中發(fā)生的故障。
原因在于，恢復(fù)條件是基于來自域的故障恢復(fù)請求中指示的針對 每個(gè)處理內(nèi)容而設(shè)定的安全性級別來定義的，恢復(fù)單元基于從發(fā)生錯(cuò) 誤的域通知的故障恢復(fù)請求和恢復(fù)條件，對該域執(zhí)行故障恢復(fù)處理。 因此，接受滿足恢復(fù)條件的恢復(fù)請求，恢復(fù)條件是基于針對每個(gè)處理 內(nèi)容設(shè)定的安全性級別而定義的。
雖然參照典型實(shí)施方式具體示出并描述了本發(fā)明，但是本發(fā)明不 限于這些實(shí)施方式。本域普通技術(shù)人員將理解，在背離由權(quán)利要求限 定的本發(fā)明精神和范圍的前提下，可以進(jìn)行形式和細(xì)節(jié)上的多種修改。
權(quán)利要求
1.一種信息處理設(shè)備，包括多個(gè)處理器，其中所述多個(gè)處理器根據(jù)要執(zhí)行的處理內(nèi)容，形成多個(gè)域；以及不同域中的處理器通過通信單元彼此通信；所述信息處理設(shè)備還包括恢復(fù)單元，用于針對發(fā)生錯(cuò)誤的域，基于由所述域通知的故障恢復(fù)請求和為每個(gè)所述域預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
2. 根據(jù)權(quán)利要求1所述的信息處理設(shè)備，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述多個(gè)域分離地構(gòu)造為特定域和其他域；以及針對發(fā)生錯(cuò)誤的域，所述恢復(fù)單元基于由所述特定域或所述其他 域通知的故障恢復(fù)請求和為所述特定域和所述其他域中每一個(gè)而預(yù)先 設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
3. 根據(jù)權(quán)利要求2所述的信息處理設(shè)備，其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的安全 性級別低于在所述特定域中執(zhí)行的處理的安全性級別，以及所述特定域通過經(jīng)由所述通信單元至所述其他域的數(shù)據(jù)傳輸，感 測所述其他域中的故障，以向所述恢復(fù)單元發(fā)出所述故障的恢復(fù)請求。
4. 根據(jù)權(quán)利要求2所述的信息處理設(shè)備，其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的安全 性級別低于在所述特定域中執(zhí)行的處理的安全性級別，所述其他域感測任何所述其他域中的故障，以向所述特定域通知 所述其他域的故障恢復(fù)請求，以及所述特定域通過經(jīng)由所述通信單元至所述其他域的數(shù)據(jù)傳輸，感 測所述其他域中的故障，以向所述恢復(fù)單元發(fā)出所述故障的恢復(fù)請求。
5. 根據(jù)權(quán)利要求3所述的信息處理設(shè)備，其中 根據(jù)在預(yù)定時(shí)間段或預(yù)定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù)傳輸?shù)哪康牡氐挠虻捻憫?yīng)，執(zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y，所述特定域是執(zhí)行基本處理的域，所述基本處理作為所述安全性級別等于或高于固定安全性級別的處理，以及對于所述特定域通過至所述其他域的數(shù)據(jù)傳輸?shù)墓收细袦y，設(shè)定比所述預(yù)定時(shí)間段短的時(shí)間段，或者設(shè)定比所述預(yù)定次數(shù)少的次數(shù)。
6. 根據(jù)權(quán)利要求2所述的信息處理設(shè)備，其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的安全 性級別低于在所述特定域中執(zhí)行的處理的安全性級別，所述其他域感測任何所述其他域中的故障，以向所述特定域通知 所述其他域的故障恢復(fù)請求，以及所述特定域向所述恢復(fù)單元發(fā)出所述故障的恢復(fù)請求。
7. 根據(jù)權(quán)利要求2所述的信息處理設(shè)備，其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的安全 性級別低于在所述特定域中執(zhí)行的處理的安全性級別，所述其他域感測任何所述其他域中的故障，以向所述恢復(fù)單元發(fā) 出所述故障的恢復(fù)請求，而不通過所述特定域，以及針對發(fā)生錯(cuò)誤的所述其他域，所述恢復(fù)單元基于由所述其他域通 知的所述故障的恢復(fù)請求和為每個(gè)所述其他域預(yù)先設(shè)定的恢復(fù)條件， 執(zhí)行故障恢復(fù)處理。
8. 根據(jù)權(quán)利要求l所述的信息處理設(shè)備，其中 根據(jù)針對每個(gè)處理內(nèi)容設(shè)定的安全性級別，定義所述恢復(fù)條件，其中所述每個(gè)處理內(nèi)容是在來自所述域的故障恢復(fù)請求中指示的，以 及 針對發(fā)生錯(cuò)誤的域，所述恢復(fù)單元基于由所述域通知的故障恢復(fù) 請求和所述恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
9. 根據(jù)權(quán)利要求6所述的信息處理設(shè)備，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述第一域通過經(jīng)由所述通信單元至所述第二域的數(shù)據(jù)傳輸，感 測所述第二域中的故障，以向所述特定域通知所述第二域故障的恢復(fù) 請求；以及所述特定域向所述恢復(fù)單元發(fā)出所述故障的恢復(fù)請求。
10. 根據(jù)權(quán)利要求7所述的信息處理設(shè)備，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述第一域通過經(jīng)由所述通信單元至所述第二域的數(shù)據(jù)傳輸，感 測所述第二域中的故障，以向所述恢復(fù)單元通知所述第二域故障的恢 復(fù)請求，而不通過所述特定域；以及針對發(fā)生錯(cuò)誤的所述第二域，所述恢復(fù)單元基于由所述第一域通 知的所述故障的恢復(fù)請求和為每個(gè)所述其他域預(yù)先設(shè)定的恢復(fù)條件， 執(zhí)行故障恢復(fù)處理。
11. 根據(jù)權(quán)利要求4所述的信息處理設(shè)備，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述第二域通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸，感 測所述第一域中的故障，以向所述特定域通知所述第一域故障的恢復(fù)請求；以及所述特定域通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸，感 測所述第一域的故障，以向所述恢復(fù)單元發(fā)出所述故障的恢復(fù)請求。
12. 根據(jù)權(quán)利要求7所述的信息處理設(shè)備，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述第二域通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸，感 測所述第一域中的故障，以向所述恢復(fù)單元通知所述第一域故障的恢 復(fù)請求，而不通過所述特定域；以及所述恢復(fù)單元通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸， 感測所述第一域的故障，以針對發(fā)生錯(cuò)誤的所述第一域，并基于由所 述第二域通知的所述故障的恢復(fù)請求和為每個(gè)所述其他域預(yù)先設(shè)定的 恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
13. 根據(jù)權(quán)利要求ll所述的信息處理設(shè)備，其中 根據(jù)在預(yù)定時(shí)間段或預(yù)定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù)傳輸?shù)哪康牡氐挠虻捻憫?yīng)，執(zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y；以及對于所述第二域通過至所述第一域的數(shù)據(jù)傳輸?shù)墓收细袦y，設(shè)定 比所述預(yù)定時(shí)間段長的時(shí)間段，或者設(shè)定比所述預(yù)定次數(shù)多的次數(shù)。
14. 根據(jù)權(quán)利要求2所述的信息處理設(shè)備，其中所述恢復(fù)單元無條件地接受來自所述特定域的恢復(fù)請求，并拒絕 來自所述其他域的恢復(fù)請求。
15. 根據(jù)權(quán)利要求1所述的信息處理設(shè)備，其中 當(dāng)被通知來自所述域的故障恢復(fù)請求時(shí)，所述恢復(fù)單元通過至待恢復(fù)域的數(shù)據(jù)傳輸，感測所述待恢復(fù)域中的故障，以針對發(fā)生故障的 所述域，基于所述故障恢復(fù)請求和所述恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
16. 根據(jù)權(quán)利要求1所述的信息處理設(shè)備，其中所述恢復(fù)單元 包括確定單元，用于確定是否允許由所述域通知的故障恢復(fù)請求，以及基于由所述確定單元允許的恢復(fù)請求，執(zhí)行針對發(fā)生錯(cuò)誤的域的 故障恢復(fù)處理。
17. 根據(jù)權(quán)利要求16所述的信息處理設(shè)備，其中所述確定單元 包括有關(guān)故障恢復(fù)的數(shù)據(jù)，所述數(shù)據(jù)是針對每個(gè)所述域設(shè)定的，以及基于由所述域通知的故障恢復(fù)請求和所述數(shù)據(jù)，確定是否允許所 述故障恢復(fù)請求。
18. 根據(jù)權(quán)利要求17所述的信息處理設(shè)備，其中所述數(shù)據(jù)是基 于為每個(gè)處理內(nèi)容設(shè)定的安全性級別而設(shè)定的，所述處理內(nèi)容由來自 所述域的故障恢復(fù)請求指示。
19. 根據(jù)權(quán)利要求1所述的信息處理設(shè)備，其中所述恢復(fù)單元 包括確定單元，用于確定是否允許由所述域通知的故障恢復(fù)請求，以及基于由所述確定單元允許的恢復(fù)請求，通過至待恢復(fù)域的數(shù)據(jù)傳 輸，感測所述待恢復(fù)域中的故障，以針對發(fā)生故障的所述域，執(zhí)行故 障恢復(fù)處理。
20. —種恢復(fù)設(shè)備，用于在具有由多個(gè)處理器形成的多個(gè)域的信 息處理設(shè)備上恢復(fù)所述域上發(fā)生的故障，其中所述多個(gè)處理器根據(jù)要執(zhí)行的處理內(nèi)容，形成多個(gè)域； 所述恢復(fù)設(shè)備包括恢復(fù)單元，用于針對發(fā)生錯(cuò)誤的域，基于由所述域通知的故障恢復(fù)請求和為每個(gè)所述域預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
21. 根據(jù)權(quán)利要求20所述的恢復(fù)設(shè)備，其中根據(jù)要執(zhí)行的處理內(nèi)容，將所述多個(gè)域分離地構(gòu)造為特定域和其 他域；以及針對發(fā)生錯(cuò)誤的域，所述恢復(fù)單元基于由所述特定域或所述其他 域通知的故障恢復(fù)請求和為所述特定域和所述其他域中每一個(gè)而預(yù)先 設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
22. 根據(jù)權(quán)利要求20所述的恢復(fù)設(shè)備，其中 根據(jù)針對每個(gè)處理內(nèi)容設(shè)定的安全性級別，定義所述恢復(fù)條件，其中所述每個(gè)處理內(nèi)容是在來自所述域的故障恢復(fù)請求中指示的，以 及針對發(fā)生錯(cuò)誤的域，所述恢復(fù)單元基于由所述域通知的故障恢復(fù) 請求和所述恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
23. 根據(jù)權(quán)利要求21所述的恢復(fù)設(shè)備，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述第二域通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸，感 測所述第一域中的故障，以向所述恢復(fù)單元通知所述第一域故障的恢 復(fù)請求，而不通過所述特定域；以及所述恢復(fù)單元通過經(jīng)由所述通信單元至所述第一域的數(shù)據(jù)傳輸， 感測所述第一域的故障，以針對發(fā)生錯(cuò)誤的所述第一域，并基于由所 述第二域通知的所述故障的恢復(fù)請求和為每個(gè)所述其他域預(yù)先設(shè)定的 恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
24. 根據(jù)權(quán)利要求21所述的恢復(fù)設(shè)備，其中 所述恢復(fù)單元無條件地接受來自所述特定域的恢復(fù)請求，并拒絕來自所述其他域的恢復(fù)請求。
25. 根據(jù)權(quán)利要求20所述的恢復(fù)設(shè)備，其中 當(dāng)被通知來自所述域的故障恢復(fù)請求時(shí)，所述恢復(fù)單元通過至待恢復(fù)域的數(shù)據(jù)傳輸，感測所述待恢復(fù)域中的故障，以針對發(fā)生故障的 所述域，基于所述故障恢復(fù)請求和所述恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
26. 根據(jù)權(quán)利要求20所述的恢復(fù)設(shè)備，其中所述恢復(fù)單元 包括確定單元，用于確定是否允許由所述域通知的故障恢復(fù)請求，以及 基于由所述確定單元允許的恢復(fù)請求，針對發(fā)生故障的域，執(zhí)行 故障恢復(fù)處理。
27. 根據(jù)權(quán)利要求26所述的恢復(fù)設(shè)備，其中所述確定單元 包括有關(guān)故障恢復(fù)的數(shù)據(jù)，所述數(shù)據(jù)是針對每個(gè)所述域設(shè)定的，以及基于由所述域通知的故障恢復(fù)請求和所述數(shù)據(jù)，確定是否允許所 述故障恢復(fù)請求。
28. 根據(jù)權(quán)利要求27所述的恢復(fù)設(shè)備，其中所述數(shù)據(jù)是基于為 每個(gè)處理內(nèi)容設(shè)定的安全性級別而設(shè)定的，所述處理內(nèi)容由來自所述 域的故障恢復(fù)請求指示。
29. 根據(jù)權(quán)利要求20所述的恢復(fù)設(shè)備，其中所述恢復(fù)單元 包括確定單元，用于確定是否允許由所述域通知的故障恢復(fù)請求，以及基于由所述確定單元允許的恢復(fù)請求，通過至待恢復(fù)域的數(shù)據(jù)傳 輸，感測所述待恢復(fù)域中的故障，以針對發(fā)生故障的所述域，執(zhí)行故 障恢復(fù)處理。
30. —種程序，在信息處理設(shè)備上執(zhí)行以恢復(fù)所述信息處理設(shè)備 的功能，所述信息處理設(shè)備作為由多個(gè)處理器形成的計(jì)算機(jī)處理設(shè)備， 所述多個(gè)處理器根據(jù)要執(zhí)行的處理內(nèi)容形成多個(gè)域，所述程序使所述 信息處理設(shè)備如下功能通信功能，使不同域中的處理器彼此通信；以及 恢復(fù)功能，針對發(fā)生錯(cuò)誤的域，基于由所述域通知的故障恢復(fù)請 求和為每個(gè)所述域預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
31. 根據(jù)權(quán)利要求30所述的程序，其中根據(jù)要執(zhí)行的處理內(nèi)容，將所述多個(gè)域分離地構(gòu)造為特定域和其 他域；所述程序還包括如下功能使所述恢復(fù)功能針對發(fā)生錯(cuò)誤的域，并基于由所述特定域或所述 其他域通知的故障恢復(fù)請求和為所述特定域和所述其他域中每一個(gè)而 預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
32. 根據(jù)權(quán)利要求30所述的程序，其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別，所述程序還包括如下功能使所述特定域通過經(jīng)由所述通信功能至所述其他域的數(shù)據(jù)傳輸， 感測所述其他域中的故障，以向所述恢復(fù)功能發(fā)出所述故障的恢復(fù)請 求。
33. 根據(jù)權(quán)利要求30所述的程序，其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別，所述程序還包括如下功能使所述其他域感測任何所述其他域中的故障，以向所述特定域通 知所述其他域的故障恢復(fù)請求，以及使所述特定域通過經(jīng)由所述通信功能至所述其他域的數(shù)據(jù)傳輸， 感測所述其他域中的故障，以向所述恢復(fù)功能發(fā)出所述故障的恢復(fù)請 求。
34. 根據(jù)權(quán)利要求32所述的程序，還包括如下功能 根據(jù)在預(yù)定時(shí)間段或預(yù)定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù)傳輸?shù)哪康牡氐挠虻捻憫?yīng)，執(zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y，使所述特定域執(zhí)行基本處理，所述基本處理作為所述安全性級別等于或高于固定安全性級別的處理，以及當(dāng)所述故障感測功能利用所述特定域，通過至所述其他域的數(shù)據(jù)傳輸感測到故障時(shí)，設(shè)定比所述預(yù)定時(shí)間段短的時(shí)間段，或者設(shè)定比所述預(yù)定次數(shù)少的次數(shù)。
35. 根據(jù)權(quán)利要求30所述的程序，其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別，所述程序還包括如下功能使所述其他域感測任何所述其他域中的故障，以向所述特定域通 知所述其他域的故障恢復(fù)請求，以及使所述特定域向所述恢復(fù)功能發(fā)出所述故障的恢復(fù)請求。
36. 根據(jù)權(quán)利要求31所述的程序，其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別，所述程序還包括如下功能使所述其他域感測任何所述其他域中的故障，以向所述恢復(fù)功能 發(fā)出所述故障的恢復(fù)請求，而不通過所述特定域，以及使所述恢復(fù)功能針對發(fā)生錯(cuò)誤的所述其他域，基于由所述其他域 通知的所述故障的恢復(fù)請求和為每個(gè)所述其他域預(yù)先設(shè)定的恢復(fù)條 件，執(zhí)行故障恢復(fù)處理。
37. 根據(jù)權(quán)利要求30所述的程序，其中根據(jù)針對每個(gè)處理內(nèi)容設(shè)定的安全性級別，定義所述恢復(fù)條件， 其中所述每個(gè)處理內(nèi)容是在來自所述域的故障恢復(fù)請求中指示的，所述程序還包括如下功能使所述恢復(fù)功能針對發(fā)生錯(cuò)誤的域，基于由所述域通知的故障恢 復(fù)請求和所述恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
38. 根據(jù)權(quán)利要求35所述的程序，其中根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第 二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述程序還包括如下功能使所述第一域通過經(jīng)由所述通信功能至所述第二域的數(shù)據(jù)傳輸， 感測所述第二域中的故障，以向所述特定域通知所述第二域故障的恢復(fù)請求；以及 使所述特定域向所述恢復(fù)功能發(fā)出所述故障的恢復(fù)請求。
39. 根據(jù)權(quán)利要求36所述的程序，其中根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第 二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述程序還包括如下功能使所述第一域通過經(jīng)由所述通信功能至所述第二域的數(shù)據(jù)傳輸， 感測所述第二域中的故障，以向所述恢復(fù)功能通知所述第二域故障的 恢復(fù)請求，而不通過所述特定域；以及使所述恢復(fù)功能針對發(fā)生錯(cuò)誤的所述第二域，基于由所述第一域 通知的所述故障的恢復(fù)請求和為每個(gè)所述其他域預(yù)先設(shè)定的恢復(fù)條 件，執(zhí)行故障恢復(fù)處理。
40. 根據(jù)權(quán)利要求33所述的程序，其中根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第 二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述程序還包括如下功能-使所述第二域通過經(jīng)由所述通信功能至所述第一域的數(shù)據(jù)傳輸， 感測所述第一域中的故障，以向所述特定域通知所述第一域故障的恢 復(fù)請求；以及使所述特定域通過經(jīng)由所述通信功能至所述第一域的數(shù)據(jù)傳輸， 感測所述第一域的故障，以向所述恢復(fù)功能發(fā)出所述故障的恢復(fù)請求。
41. 根據(jù)權(quán)利要求36所述的程序，其中根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第 二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的處理的安全性級別；所述程序還包括如下功能使所述第二域通過經(jīng)由所述通信功能至所述第一域的數(shù)據(jù)傳輸， 感測所述第一域中的故障，以向所述恢復(fù)功能通知所述第一域故障的 恢復(fù)請求，而不通過所述特定域；以及使所述恢復(fù)功能通過經(jīng)由所述通信功能至所述第一域的數(shù)據(jù)傳 輸，感測所述第一域的故障，以針對發(fā)生錯(cuò)誤的所述第一域，并基于 由所述第二域通知的所述故障的恢復(fù)請求和為每個(gè)所述其他域預(yù)先設(shè) 定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
42. 根據(jù)權(quán)利要求40所述的程序，還包括如下功能 根據(jù)在預(yù)定時(shí)間段或預(yù)定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù)傳輸?shù)哪康牡氐挠虻捻憫?yīng)，執(zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y；以及當(dāng)所述故障感測功能利用所述第二域，通過至所述第一域的數(shù)據(jù) 傳輸感測到故障時(shí)，設(shè)定比所述預(yù)定時(shí)間段長的時(shí)間段，或者設(shè)定比 所述預(yù)定次數(shù)多的次數(shù)。
43. 根據(jù)權(quán)利要求31所述的程序，還包括如下功能 使所述恢復(fù)功能無條件地接受來自所述特定域的恢復(fù)請求，并拒絕來自所述其他域的恢復(fù)請求。
44. 根據(jù)權(quán)利要求30所述的程序，還包括如下功能使所述恢復(fù)功能在被通知了來自所述域的故障恢復(fù)請求時(shí)，通過 至待恢復(fù)域的數(shù)據(jù)傳輸，感測所述待恢復(fù)域中的故障，以針對發(fā)生故 障的所述域，基于所述故障恢復(fù)請求和所述恢復(fù)條件，執(zhí)行故障恢復(fù) 處理。
45. 根據(jù)權(quán)利要求30所述的程序，其中所述恢復(fù)功能包括確定 功能，用于確定是否允許由所述域通知的故障恢復(fù)請求，以及所述程序還包括如下功能基于由所述確定功能允許的恢復(fù)請求，執(zhí)行針對發(fā)生錯(cuò)誤的域的 故障恢復(fù)處理。
46. 根據(jù)權(quán)利要求45所述的程序，還包括如下功能使所述確定功能基于由所述域通知的故障恢復(fù)請求和針對所述 域的每個(gè)處理內(nèi)容而設(shè)定的安全性級別，確定是否允許所述故障恢復(fù) 請求。
47. 根據(jù)權(quán)利要求30所述的程序，其中所述恢復(fù)功能包括確定功能，用于確定是否允許由所述域通知的 故障恢復(fù)請求，以及所述程序還包括如下功能-基于由所述確定功能允許的恢復(fù)請求，通過經(jīng)由所述通信功能至 待恢復(fù)域的數(shù)據(jù)傳輸，感測所述待恢復(fù)域中的故障，以針對發(fā)生故障 的所述域，執(zhí)行故障恢復(fù)處理。
48. —種恢復(fù)方法，用于恢復(fù)由多個(gè)處理器形成的信息處理設(shè)備 的處理功能，其中所述多個(gè)處理器根據(jù)要執(zhí)行的處理內(nèi)容形成多個(gè)域；以及 不同域中的處理器通過通信步驟進(jìn)行通信，所述恢復(fù)方法包括恢復(fù)步驟針對發(fā)生錯(cuò)誤的域，基于由所述域 通知的故障恢復(fù)請求和為每個(gè)域預(yù)先設(shè)定的恢復(fù)條件，由所述信息處 理設(shè)備上的恢復(fù)單元執(zhí)行故障恢復(fù)處理。
49. 根據(jù)權(quán)利要求48所述的恢復(fù)方法，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述多個(gè)域分離地構(gòu)造為特定域和其他域；在所述恢復(fù)步驟，針對發(fā)生錯(cuò)誤的域，基于由所述特定域或所述 其他域通知的故障恢復(fù)請求和為所述特定域和所述其他域中每一個(gè)而 預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
50. 根據(jù)權(quán)利要求48所述的恢復(fù)方法，其中所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處 理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別，所述恢復(fù)方法包括感測步驟，所述特定域通過經(jīng)由所述通信步驟至所述其他域的數(shù) 據(jù)傳輸，感測所述其他域中的故障；以及步驟，所述特定域向所述恢復(fù)單元發(fā)出在所述感測步驟感測到的 所述故障的恢復(fù)請求。
51. 根據(jù)權(quán)利要求48所述的恢復(fù)方法，其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別，所述恢復(fù)方法包括感測步驟，所述其他域感測任何所述其他域中的故障；通知步驟，所述其他域向所述特定域通知所述其他域在所述感測 步驟感測到的故障的恢復(fù)請求；感測步驟，所述特定域通過經(jīng)由所述通信步驟至所述其他域的數(shù) 據(jù)傳輸，感測所述其他域中的故障；以及步驟，所述特定域向所述恢復(fù)單元發(fā)出在所述感測步驟感測到的 所述故障的恢復(fù)請求。
52. 根據(jù)權(quán)利要求50所述的恢復(fù)方法，包括步驟，根據(jù)在預(yù)定時(shí)間段或預(yù)定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù) 傳輸?shù)哪康牡氐挠虻捻憫?yīng)，執(zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y；其中所述特定域是執(zhí)行基本處理的域，所述基本處理作為所述安全性 級別等于或高于固定安全性級別的處理，以及在所述步驟，當(dāng)所述特定域通過至所述其他域的數(shù)據(jù)傳輸感測到 故障時(shí)，設(shè)定比所述預(yù)定時(shí)間段短的時(shí)間段，或者設(shè)定比所述預(yù)定次 數(shù)少的次數(shù)。
53. 根據(jù)權(quán)利要求49所述的恢復(fù)方法，其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別， 所述恢復(fù)方法包括感測步驟，所述其他域感測任何所述其他域中的故障； 通知步驟，所述其他域向所述特定域通知在所述感測步驟感測到 的所述其他域的故障的恢復(fù)請求；以及步驟，所述特定域向所述恢復(fù)單元發(fā)出在所述通知步驟通知的所 述故障的恢復(fù)請求。
54. 根據(jù)權(quán)利要求49所述的恢復(fù)方法，其中 所述特定域是執(zhí)行安全性級別等于或高于固定安全性級別的處理的域，所述其他域是具有至少一個(gè)處理的域，所述至少一個(gè)處理的 安全性級別低于在所述特定域中執(zhí)行的處理的安全性級別， 所述恢復(fù)方法包括感測步驟，所述其他域感測任何所述其他域中的故障；以及 步驟，所述其他域向所述恢復(fù)單元發(fā)出在所述感測步驟感測到的所述故障的恢復(fù)請求而不通過所述特定域的步驟，其中在所述恢復(fù)步驟，針對發(fā)生錯(cuò)誤的所述其他域，基于由所述其他域通知的所述故障的恢復(fù)請求和為每個(gè)所述其他域預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
55. 根據(jù)權(quán)利要求48所述的恢復(fù)方法，其中根據(jù)針對每個(gè)處理內(nèi)容設(shè)定的安全性級別，定義所述恢復(fù)條件， 其中所述每個(gè)處理內(nèi)容是在來自所述域的故障恢復(fù)請求中指示的，以 及在所述恢復(fù)步驟，針對發(fā)生錯(cuò)誤的域，基于由所述域通知的故障 恢復(fù)請求和所述恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
56. 根據(jù)權(quán)利要求53所述的恢復(fù)方法，其中根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第 二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述恢復(fù)方法包括感測步驟，所述第一域通過經(jīng)由所述通信步驟至所述第二域的數(shù) 據(jù)傳輸，感測所述第二域中的故障；通知步驟，所述第一域向所述特定域通知在所述感測步驟感測到 的所述第二域故障的恢復(fù)請求；以及步驟，所述特定域向所述恢復(fù)單元發(fā)出在所述通知步驟通知的所 述故障的恢復(fù)請求。
57. 根據(jù)權(quán)利要求54所述的恢復(fù)方法，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述恢復(fù)方法包括感測步驟，所述第一域通過經(jīng)由所述通信步驟至所述第二域的數(shù) 據(jù)傳輸，感測所述第二域中的故障；以及通知步驟，所述第一域向所述恢復(fù)單元通知在所述感測步驟感測 到的所述第二域故障的恢復(fù)請求，而不通過所述特定域；其中，在所述恢復(fù)步驟，針對發(fā)生錯(cuò)誤的所述第二域，基于由所 述第一域通知的所述故障的恢復(fù)請求和為每個(gè)所述其他域預(yù)先設(shè)定的 恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
58. 根據(jù)權(quán)利要求51所述的恢復(fù)方法，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述恢復(fù)方法包括感測步驟，所述第二域通過經(jīng)由所述通信步驟至所述第一域的數(shù) 據(jù)傳輸，感測所述第一域中的故障；通知步驟，所述第二域向所述特定域通知在所述感測步驟感測到 的所述第一域故障的恢復(fù)請求；感測步驟，所述特定域通過經(jīng)由所述通信步驟至所述第一域的數(shù) 據(jù)傳輸，感測所述第一域的故障；以及步驟，所述特定域向所述恢復(fù)單元發(fā)出在所述感測步驟感測到的所述故障的恢復(fù)請求。
59. 根據(jù)權(quán)利要求54所述的恢復(fù)方法，其中 根據(jù)要執(zhí)行的處理內(nèi)容，將所述其他域分離地構(gòu)造為第一域和第二域，所述第一域具有至少一個(gè)處理，所述至少一個(gè)處理的安全性級 別低于由所述特定域執(zhí)行的處理的安全性級別，所述第二域具有至少 一個(gè)處理，所述至少一個(gè)處理的安全性級別低于由所述第一域執(zhí)行的 處理的安全性級別；所述恢復(fù)方法包括感測步驟，所述第二域通過經(jīng)由所述通信步驟至所述第一域的數(shù) 據(jù)傳輸，感測所述第一域中的故障；以及通知步驟，所述第二域向所述恢復(fù)單元通知在所述感測步驟感測 到的所述第一域故障的恢復(fù)請求，而不通過所述特定域；其中，在所述恢復(fù)步驟，通過經(jīng)由所述通信步驟至所述第一域的 數(shù)據(jù)傳輸，感測所述第一域的故障，以針對發(fā)生錯(cuò)誤的所述第一域， 并基于由所述第二域通知的所述故障的恢復(fù)請求和為每個(gè)所述其他域 預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
60. 根據(jù)權(quán)利要求58所述的恢復(fù)方法，包括步驟，根據(jù)在預(yù)定時(shí)間段或預(yù)定次數(shù)內(nèi)是否有來自作為所述數(shù)據(jù) 傳輸?shù)哪康牡氐挠虻捻憫?yīng)，執(zhí)行通過數(shù)據(jù)傳輸?shù)墓收细袦y；其中，在所述步驟，當(dāng)由所述第二域通過至所述第一域的數(shù)據(jù)傳 輸感測到故障時(shí)，在比所述預(yù)定時(shí)間長的時(shí)間上感測故障或者以比所 述預(yù)定次數(shù)多的次數(shù)感測故障。
61. 根據(jù)權(quán)利要求49所述的恢復(fù)方法，其中在所述恢復(fù)步驟，無條件地接受來自所述特定域的恢復(fù)請求，并 拒絕來自所述其他域的恢復(fù)請求。
62. 根據(jù)權(quán)利要求48所述的恢復(fù)方法，包括感測步驟，所述恢復(fù)單元在被通知了來自所述域的故障恢復(fù)請求 時(shí)，通過經(jīng)由所述通信步驟至待恢復(fù)域的數(shù)據(jù)傳輸，感測所述待恢復(fù) 域中的故障；其中，在所述感測步驟的感測之后，在所述恢復(fù)步驟，針對發(fā)生故障的所述域，基于所述故障恢復(fù)請求和所述恢復(fù)條件，執(zhí)行故障恢 復(fù)處理。
63. 根據(jù)權(quán)利要求48所述的恢復(fù)方法，其中在所述恢復(fù)步驟，基 于由所述恢復(fù)單元的所述確定步驟允許的恢復(fù)請求，執(zhí)行針對發(fā)生錯(cuò) 誤的域的故障恢復(fù)處理，其中所述確定步驟用于確定是否允許從所述 域通知的故障恢復(fù)請求。
64. 根據(jù)權(quán)利要求63所述的恢復(fù)方法，其中在所述確定步驟， 基于由所述域通知的故障恢復(fù)請求和針對所述域的每個(gè)處理內(nèi)容而設(shè) 定的安全性級別，確定是否允許所述故障恢復(fù)請求。
65. 根據(jù)權(quán)利要求48所述的恢復(fù)方法，其中 在所述恢復(fù)步驟，基于由所述恢復(fù)單元的確定步驟允許的恢復(fù)請求，通過經(jīng)由所述通信步驟至待恢復(fù)域的數(shù)據(jù)傳輸，感測所述待恢復(fù) 域中的故障，以針對發(fā)生故障的所述域，執(zhí)行故障恢復(fù)處理，所述確 定步驟用于確定是否允許由所述域通知的故障恢復(fù)請求。
全文摘要
一種信息處理設(shè)備，用于恢復(fù)由于附加應(yīng)用和設(shè)備驅(qū)動(dòng)器而發(fā)生錯(cuò)誤的域，同時(shí)保持安全性和可靠性，該信息處理設(shè)備包括多個(gè)處理器，其中所述多個(gè)處理器根據(jù)要執(zhí)行的處理內(nèi)容，形成多個(gè)域，并且不同域中的處理器通過通信單元彼此通信；該信息處理設(shè)備還包括恢復(fù)單元，用于針對發(fā)生錯(cuò)誤的域，基于由所述域通知的故障恢復(fù)請求和為每個(gè)域預(yù)先設(shè)定的恢復(fù)條件，執(zhí)行故障恢復(fù)處理。
文檔編號(hào)G06F11/00GK101198934SQ20068002105
公開日2008年6月11日 申請日期2006年2月23日 優(yōu)先權(quán)日2005年6月17日
發(fā)明者上久保雅規(guī), 井上浩明, 枝廣正人, 酒井淳嗣, 鈴木紀(jì)章, 阿部剛 申請人:日本電氣株式會(huì)社