CN104899175A - 一种基于片内总线协议的安全访问控制方法和装置 - Google Patents

一种基于片内总线协议的安全访问控制方法和装置 Download PDF

Info

Publication number
CN104899175A
CN104899175A CN201410077578.7A CN201410077578A CN104899175A CN 104899175 A CN104899175 A CN 104899175A CN 201410077578 A CN201410077578 A CN 201410077578A CN 104899175 A CN104899175 A CN 104899175A
Authority
CN
China
Prior art keywords
access request
security
target area
type
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201410077578.7A
Other languages
English (en)
Inventor
刘卫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen ZTE Microelectronics Technology Co Ltd
Original Assignee
Shenzhen ZTE Microelectronics Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen ZTE Microelectronics Technology Co Ltd filed Critical Shenzhen ZTE Microelectronics Technology Co Ltd
Priority to CN201410077578.7A priority Critical patent/CN104899175A/zh
Priority to US15/123,315 priority patent/US20170068811A1/en
Priority to EP14884832.8A priority patent/EP3115921A4/en
Priority to PCT/CN2014/077836 priority patent/WO2015131446A1/zh
Publication of CN104899175A publication Critical patent/CN104899175A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/20Handling requests for interconnection or transfer for access to input/output bus
    • G06F13/24Handling requests for interconnection or transfer for access to input/output bus using interrupt
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于AXI总线协议的安全访问控制方法,将总线地址空间划分成一个以上区域,确定每个区域的安全属性;判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配;匹配时,将所述访问请求发送给目标从设备;本发明同时还公开了一种基于AXI总线协议的安全访问控制装置。

Description

一种基于片内总线协议的安全访问控制方法和装置
技术领域
本发明涉及总线控制技术,尤其涉及一种基于片内总线(AXI,AdvancedeXtensible Interface)协议的安全访问控制方法和装置。
背景技术
在AXI总线协议中,主设备一般通过读地址通道信号ARPROT或写地址通道信号AWPROT,指示自身发出的读请求或写请求的安全类型,一般读请求或写请求分为安全类型或非安全类型两种。
目前,在没有安全应用需求的片上系统中,从设备通常会忽略接收到的ARPROT或AWPROT,即,不论来自主设备的访问请求是安全类型或是非安全类型,从设备均会正常的接收所述访问请求,并根据所述访问请求完成读和/或写操作;而在有安全应用需求的片上系统中,片上系统为了保护某些总线地址空间中的数据,使其不被任何主设备通过非安全的方式获取或改写,就要求主设备在发出任何访问请求时,必须通过AWPROT/ARPROT给出有效的安全类型指示,从设备接收到所述访问请求后,既要遵循AXI总线协议,向发出访问请求的主设备返回适当响应,同时,从设备必须不能忽略主设备发出的安全类型指示,要保证安全区域中的数据不被非安全的访问请求获取或改写。
按照上述要求,在有安全应用需求的片上系统中,从设备必须做到:对于读操作,如果是合法的访问请求,则正常向主设备返回读数据,如果是非法的访问请求,则向主设备返回全0的数据;对于写操作,如果是合法的访问请求,则正常接收写数据,并更新目标地址空间,否则若是非法的访问请求,则要正常接收来自主设备的写数据,但不能用写数据更新目标地址空间。但是,由于一个片上系统中通常有大量的从设备,这样,对于有安全应用需求的片上系统,每个从设备都必须具备判断来自主设备的访问请求是否合法的功能。
另外,如果将已经设计好的、没有安全应用需求的片上系统中的从设备应用到具有安全应用需求的片上系统中,那么必须对从设备做必要的修改,使从设备能对主设备发出的访问请求的安全类型进行检查,保证安全区域中的数据不会被不合理的获取或改写,并向主设备返回适当的响应。而在片上系统中,通常存在数量多且种类不同的从设备,这样一个一个修改起来,将会很繁琐,也容易出错。
发明内容
有鉴于此,本发明实施例期望提供一种基于AXI总线协议的安全访问控制方法和装置,能够对主设备发出的访问请求进行过滤,简化从设备的工作内容。
本发明的技术方案是这样实现的:
本发明实施例提供的一种基于片内总线AXI协议的安全访问控制方法,所述方法包括:
将总线地址空间划分为一个以上区域,确定每个区域的安全属性;判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,匹配时,将所述访问请求发送给目标从设备。
上述方案中,所述确定每个区域的安全属性,包括:
确定每个区域是支持安全类型的访问还是非安全类型的访问。
上述方案中,确定每个区域的安全属性之后,所述方法还包括:
确定每个区域的大小,以及确定各个区域接收到安全类型与所述区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和ID。
上述方案中,所述判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,包括:
所述目标区域的安全属性为支持安全类型的访问,仅当主设备发出的访问请求为安全类型的访问请求时,确定所述访问请求的安全类型与目标区域的安全属性相匹配;当主设备发出的访问请求为非安全类型的访问请求时,确定所述访问请求的安全类型与目标区域的安全属性不匹配;
所述目标区域的安全属性为支持非安全类型的访问,主设备发出的访问请求为安全类型或者非安全类型时,均确定所述访问请求的安全类型与目标区域的安全属性相匹配。
上述方案中,当主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时,产生错误响应信息,并发送给主设备,不将所述访问请求发送给目标从设备。
本发明实施例提供的一种基于AXI总线协议的安全访问控制装置,所述装置包括:区域划分模块、匹配模块和信息转发模块;其中,
所述区域划分模块,用于将总线地址空间划分为一个以上区域,并确定每个区域的安全属性;
所述匹配模块,用于判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,匹配时触发信息转发模块;
所述信息转发模块,用于被匹配模块触发时,将所述访问请求发送给目标从设备。
上述装置中,所述确定每个区域的安全属性,包括:
确定每个区域是支持安全类型的访问还是非安全类型的访问。
上述装置中,所述区域划分模块还用于确定每个区域的大小,以及确定各个区域接收到安全类型与所述区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和ID。
上述装置中,所述匹配模块判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,包括:
所述目标区域的安全属性为支持安全类型的访问,当主设备发出的访问请求为安全类型的访问请求时,确定所述访问请求的安全类型与目标区域的安全属性相匹配;当主设备发出的访问请求为非安全类型的访问请求时,确定所述访问请求的安全类型与目标区域的安全属性不匹配;
所述目标区域的安全属性为支持非安全类型的访问,主设备发出的访问请求为安全类型或者非安全类型时,均确定所述访问请求的安全类型与目标区域的安全属性相匹配。
上述装置还包括:告警模块,用于当主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时,产生错误响应信息,并经由信息转发模块发送给主设备。
本发明实施例所提供的基于AXI总线协议的安全访问控制方法,将总线地址空间划分为一个以上区域,确定每个区域的安全属性;判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,匹配时,将所述访问请求发送给目标从设备;如此,能够对主设备发出的访问请求进行过滤,只将主设备发出的安全类型与目标区域的安全属性相匹配的访问请求发送给从设备,从而大大简化了从设备的工作内容;另外,将没有安全应用需求的片上系统中的从设备应用到有安全应用需求的片上系统上时,也不需要对原有的从设备一一进行改造。
附图说明
图1为本发明至少一个实施例提供的基于AXI总线协议的安全访问控制方法流程图;
图2为本发明至少一个实施例提供的基于AXI总线协议的安全访问控制装置的基本结构图。
具体实施方式
本发明实施例中,将总线地址空间划分为一个以上区域,确定每个区域的安全属性;判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,匹配时,将所述访问请求发送给目标从设备。
下面通过附图及具体实施例对本发明作进一步的详细说明。
实施例一
本发明实施例中的片上系统中涉及两种设备:主设备和从设备,其中,主设备是指片上系统中能够主动发出读写命令的设备,比如:处理器、直接存储器访问(DMA,Direct Memory Access)模块等;从设备是指片上系统中不能主动发出读写命令,而只能被动接受读写命令的设备,比如:存储器、外设控制器等。
本发明实施例一提供了一种基于AXI总线协议的安全访问控制方法,如图1所示,该方法包括以下步骤:
步骤101:将总线地址空间划分为一个以上区域,确定每个区域的安全属性;
本步骤中,用户可以根据实际需要将片上系统中的总线地址空间划分为一个以上区域,并且可以根据需要设定每个区域的安全属性,即:确定所述区域是支持安全类型的访问还是非安全类型的访问;例如,一个片上系统的总线地址空间为32k,假设用户A在总线地址空间中需要存储的信息全部为敏感信息,这里的敏感信息也就是不允许通过非法手段随意更改和获取的信息,则用户只需要将整个总线地址空间划分为一个32k的区域,并设定该区域的安全属性为支持安全类型的访问;同样是32k的总线地址空间中,假设用户B需要存储的敏感信息分为三类,这三类敏感信息分别需要预留5k、3k、7k的地址空间,用户B需要存储的其他非敏感信息为四类,这四类非敏感信息分别需要预留3k、4k、5k和5k的地址空间,则该用户B可以将总线地址空间划分成七个区域,其中,用于存储敏感信息的三个区域需要设定为支持安全类型的访问;用于存储非敏感信息的四个区域需要设定为支持非安全类型的访问;
更进一步的,在对总线地址空间进行划分时,用户还可以根据实际需要对每一个区域的大小以及确定各个区域接收到的安全类型与该区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录该访问请求的地址和ID等特性进行设置。
步骤102:判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,匹配时,将所述访问请求发送给目标从设备;
从设备通常占用总线地址空间上的一段地址空间,这里所说的一段地址空间可以与本发明实施例步骤101中所划分的区域中的一个以上区域对应,主设备一般通过从设备访问目标区域,即,主设备向从设备发送访问请求,从设备接收到所述访问请求之后,根据所述访问请求对自身所占用的相应目标区域进行读和/或写操作,这里,主设备发送给从设备的访问请求可以为读/或写请求。
这一步骤中,由片上系统对主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配进行判断,并根据判断结果执行后续操作,这里的后续操作至少包括:片上系统将所述访问请求发送给目标从设备,或片上系统不执行访问请求的发送而仅向主设备返回一个错误消息;
具体的,当目标区域的安全属性为支持安全类型的访问时,则仅当主设备发出的访问请求为安全类型的访问请求时,所述访问请求的安全类型才能与目标区域的安全属性相匹配,此时,对于读操作,片上系统可以直接接收所述读请求,并将所述读请求发送给目标从设备,由目标从设备对其占用的相应区域进行读操作,进一步的,片上系统在读操作完成之后,可以接收目标从设备返回的读数据和读响应,并将所述读数据和读响应转发给主设备;对于写操作,片上系统直接接收所述写请求,并将所述写请求转发给目标从设备,由目标从设备对其占用的相应区域进行写操作,进一步的,片上系统在写操作完成之后,可以接收目标从设备返回的写响应,并将所述写响应转发给主设备;
当目标区域的安全属性为支持非安全类型的访问时,则不管主设备发出的访问请求为安全类型或者非安全类型,所述访问请求的安全类型与目标区域的安全属性都是匹配的,此时,对于读操作,片上系统可以直接接收所述读请求,并将所述读请求发送给目标从设备,由目标从设备对其占用的相应区域进行读操作,进一步的,片上系统在读操作完成之后,可以接收目标从设备返回的读数据和读响应,并将所述读数据和读响应转发给主设备;对于写操作,片上系统直接接收所述写请求,并将所述写请求转发给目标从设备,由目标从设备对其占用的相应区域进行写操作,进一步的,片上系统在写操作完成之后,可以接收目标从设备返回的写响应,并将所述写响应转发给主设备;
相应的,当目标区域的安全属性为支持安全类型的访问,而主设备发出的对目标区域的访问请求为非安全类型时,则确定所述访问请求的安全类型与目标区域的安全属性不匹配,此时,对于读操作或写操作,片上系统将直接接收该读请求或写请求,但不会将所述读请求或写请求发送给目标从设备;
进一步的,当接收到的访问请求的安全类型与目标区域的安全属性不匹配时,片上系统还会产生错误响应信息,并发送给主设备;具体的,当所述访问请求为读请求时,所产生的错误响应信息包括:错误读数据和错误读响应消息,其中所述错误读数据可以是值为0的读数据,所述错误读响应消息用于指示有错误产生,这里,可以根据实际需要对错误读响应消息的值进行设置,例如:可以将值为01的响应消息作为错误读响应消息;当所述访问请求为写请求时,所产生的错误响应信息包括:错误写响应消息,所述错误写响应消息用于指示有错误产生,这里,可以根据实际需要对错误写响应的值进行设置,例如:可以将值为00的响应消息作为错误写响应消息;
进一步的,如果用户事先设置目标区域在接收到安全类型与所述区域的安全属性不匹配的访问请求时需要发出中断且记录该访问请求的地址和ID,则片上系统将向主设备发出中断,并记录所述访问请求的地址和ID。
实施例二
本发明实施例二还提供了一种基于AXI总线协议的安全访问控制装置,如图2所示,所述装置包括:区域划分模块21、匹配模块22以及信息转发模块23;
所述区域划分模块21,用于将总线地址空间划分为一个以上区域,并确定每个区域的安全属性;
具体的,区域划分模块21可以根据用户的实际需要将总线地址空间划分为一个以上区域,并确定每一个区域的安全属性,即,确定所述区域支持安全类型的访问还是非安全类型的访问;
更进一步的,在对总线地址空间进行划分时,所述区域划分模块21还可以根据用户实际需要对每一个区域的大小以及确定各个区域当接收到安全类型与该区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和ID等特性进行设置。
所述匹配模块22,用于判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,匹配时触发信息转发模块23;
信息转发模块23,用于被匹配模块22触发时,将所述访问请求发送给目标从设备;
具体的,当目标区域的安全属性为支持安全类型的访问时,则仅当主设备发出的访问请求为安全类型的访问请求时,所述访问请求的安全类型才能与目标区域的安全属性相匹配,此时,对于读操作,可以直接接收所述读请求,并由信息转发模块23将所述读请求发送给目标从设备,由目标从设备对其占用的相应区域进行读操作,进一步的,在读操作完成之后,所述信息转发模块23可以接收目标从设备返回的读数据和读响应,并将所述读数据和读响应转发给主设备;对于写操作,信息转发模块23直接接收所述写请求,并将所述写请求转发给目标从设备,由目标从设备对其占用的相应区域进行写操作,进一步的,在写操作完成之后,信息转发模块23可以接收目标从设备返回的写响应,并将所述写响应转发给主设备;
当目标区域的安全属性为支持非安全类型的访问时,则不管主设备发出的访问请求为安全类型或者非安全类型,所述访问请求的安全类型与目标区域的安全属性都是匹配的,此时,对于读操作,信息转发模块23可以直接将接收到的读请求转发给目标从设备,由目标从设备对其占用的相应区域进行读操作,进一步的,在读操作完成之后,信息转发模块23可以接收目标从设备返回的读数据和读响应,并将所述读数据和读响应转发给主设备;对于写操作,直接接收所述写请求,并由信息转发模块23将所述写请求转发给目标从设备,由目标从设备对其占用的相应区域进行写操作,进一步的,在写操作完成之后,接收目标从设备返回的写响应,并将所述写响应转发给主设备;
相应的,当目标区域的安全属性为支持安全类型的访问,而主设备发出的对目标区域的访问请求为非安全类型时,则匹配模块22确定所述访问请求的安全类型与目标区域的安全属性不匹配,此时,对于读操作或写操作,信息转发模块23直接接收该读请求或写请求,但不会将所述读请求或写请求发送给目标从设备;
进一步的,所述装置还包括:告警模块24,用于当接收到的访问请求的安全类型与目标区域的安全属性不匹配时,产生错误响应信息,并经由信息转发模块23发送给主设备;具体的,当所述访问请求为读请求时,所产生的错误响应信息包括:错误读数据和错误读响应消息,其中所述错误读数据可以是值为0的读数据,所述错误读响应消息用于指示有错误产生,这里,可以根据实际需要对错误读响应消息的值进行设置,例如:可以将值为01的响应消息作为错误读响应消息;当所述访问请求为写请求时,所产生的错误响应信息包括:错误写响应消息,所述错误写响应消息用于指示有错误产生,这里,可以根据实际需要对错误写响应的值进行设置,例如:可以将值为00的响应消息作为错误写响应消息;
进一步的,所述装置还包括:中断处理模块25,当用户事先设置目标区域在接收到安全类型与所述区域的安全属性不匹配的访问请求时需要发出中断且记录该访问请求的地址和ID时,所述中断处理模块25将在接收到的访问请求的安全类型与目标区域的安全属性不匹配时被触发,并在被触发时向主设备发出中断,并记录所述访问请求的地址和ID。
实施例三
本发明实施例三还提供了一种片上系统,所述片上系统包括主设备、从设备以及实施例二中的一种基于AXI总线协议的安全访问控制装置。
在实际应用中,所述区域划分模块21、匹配模块22、信息转发模块23、告警模块24以及中断处理模块25均可在片上系统中由专用集成电路(ASIC)、或现场可编程门阵列(FPGA)实现。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (10)

1.一种基于片内总线AXI协议的安全访问控制方法,其特征在于,所述方法包括:
将总线地址空间划分为一个以上区域,确定每个区域的安全属性;判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,匹配时,将所述访问请求发送给目标从设备。
2.根据权利要求1所述的方法,其特征在于,所述确定每个区域的安全属性,包括:
确定每个区域是支持安全类型的访问还是非安全类型的访问。
3.根据权利要求1所述的方法,其特征在于,确定每个区域的安全属性之后,所述方法还包括:
确定每个区域的大小,以及确定各个区域接收到安全类型与所述区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和ID。
4.根据权利要求1所述的方法,其特征在于,所述判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,包括:
所述目标区域的安全属性为支持安全类型的访问,仅当主设备发出的访问请求为安全类型的访问请求时,确定所述访问请求的安全类型与目标区域的安全属性相匹配;当主设备发出的访问请求为非安全类型的访问请求时,确定所述访问请求的安全类型与目标区域的安全属性不匹配;
所述目标区域的安全属性为支持非安全类型的访问,主设备发出的访问请求为安全类型或者非安全类型时,均确定所述访问请求的安全类型与目标区域的安全属性相匹配。
5.根据权利要求4所述的方法,其特征在于,当主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时,产生错误响应信息,并发送给主设备,不将所述访问请求发送给目标从设备。
6.一种基于AXI总线协议的安全访问控制装置,其特征在于,所述装置包括:区域划分模块、匹配模块和信息转发模块;其中,
所述区域划分模块,用于将总线地址空间划分为一个以上区域,并确定每个区域的安全属性;
所述匹配模块,用于判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,匹配时触发信息转发模块;
所述信息转发模块,用于被匹配模块触发时,将所述访问请求发送给目标从设备。
7.根据权利要求6所述的装置,其特征在于,所述确定每个区域的安全属性,包括:
确定每个区域是支持安全类型的访问还是非安全类型的访问。
8.根据权利要求6所述的装置,其特征在于,所述区域划分模块还用于确定每个区域的大小,以及确定各个区域接收到安全类型与所述区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和ID。
9.根据权利要求6所述的装置,其特征在于,所述匹配模块判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配,包括:
所述目标区域的安全属性为支持安全类型的访问,当主设备发出的访问请求为安全类型的访问请求时,确定所述访问请求的安全类型与目标区域的安全属性相匹配;当主设备发出的访问请求为非安全类型的访问请求时,确定所述访问请求的安全类型与目标区域的安全属性不匹配;
所述目标区域的安全属性为支持非安全类型的访问,主设备发出的访问请求为安全类型或者非安全类型时,均确定所述访问请求的安全类型与目标区域的安全属性相匹配。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:告警模块,用于当主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时,产生错误响应信息,并经由信息转发模块发送给主设备。
CN201410077578.7A 2014-03-04 2014-03-04 一种基于片内总线协议的安全访问控制方法和装置 Withdrawn CN104899175A (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201410077578.7A CN104899175A (zh) 2014-03-04 2014-03-04 一种基于片内总线协议的安全访问控制方法和装置
US15/123,315 US20170068811A1 (en) 2014-03-04 2014-05-19 Method and device for secure access control based on on-chip bus protocol
EP14884832.8A EP3115921A4 (en) 2014-03-04 2014-05-19 Method and device for secure access control based on on-chip bus protocol
PCT/CN2014/077836 WO2015131446A1 (zh) 2014-03-04 2014-05-19 一种基于片内总线协议的安全访问控制方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410077578.7A CN104899175A (zh) 2014-03-04 2014-03-04 一种基于片内总线协议的安全访问控制方法和装置

Publications (1)

Publication Number Publication Date
CN104899175A true CN104899175A (zh) 2015-09-09

Family

ID=54031846

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410077578.7A Withdrawn CN104899175A (zh) 2014-03-04 2014-03-04 一种基于片内总线协议的安全访问控制方法和装置

Country Status (4)

Country Link
US (1) US20170068811A1 (zh)
EP (1) EP3115921A4 (zh)
CN (1) CN104899175A (zh)
WO (1) WO2015131446A1 (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106610906A (zh) * 2015-10-27 2017-05-03 深圳市中兴微电子技术有限公司 一种数据访问方法及总线
CN107547513A (zh) * 2017-07-14 2018-01-05 新华三信息安全技术有限公司 报文处理方法、装置、网络设备及存储介质
CN107835167A (zh) * 2017-10-31 2018-03-23 努比亚技术有限公司 一种数据保护的方法、终端及计算机可读存储介质
CN108140005A (zh) * 2015-09-21 2018-06-08 美光科技公司 在存储器系统协议中提供文件信息的系统及方法
CN110727636A (zh) * 2019-10-10 2020-01-24 天津飞腾信息技术有限公司 片上系统及片上系统的设备隔离方法
CN113468098A (zh) * 2020-03-30 2021-10-01 芯海科技(深圳)股份有限公司 一种安全访问方法、集成电路及计算机可读存储介质
CN115438364A (zh) * 2022-11-07 2022-12-06 南京芯驰半导体科技有限公司 通用输入输出接口的访问方法、系统芯片及车载设备
CN115659379A (zh) * 2022-12-15 2023-01-31 芯动微电子科技(珠海)有限公司 一种总线访问权限控制方法及装置

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108171041B (zh) * 2016-12-07 2020-03-27 澜起科技股份有限公司 用于对访问存储器的应用程序进行身份验证的方法和装置
CN110674075B (zh) * 2019-09-27 2023-03-10 山东华芯半导体有限公司 一种axi总线广播机制的实现方法和系统
US11546336B1 (en) * 2019-10-22 2023-01-03 Amazon Technologies, Inc. Independently configurable access device stages for processing interconnect access requests
CN116303142B (zh) * 2023-03-21 2024-03-19 摩尔线程智能科技(北京)有限责任公司 内存访问控制方法、安全控制器、内存访问控制装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1647046A (zh) * 2002-04-18 2005-07-27 国际商业机器公司 集成系统中基于请求主动方标识符和数据地址的控制功能
CN1759557A (zh) * 2003-03-07 2006-04-12 飞思卡尔半导体公司 具有外围设备访问保护的数据处理系统及其方法
CN103092798A (zh) * 2012-12-28 2013-05-08 华为技术有限公司 片上系统及总线下的访问设备的方法
US8549633B2 (en) * 2011-08-03 2013-10-01 Arm Limited Security controller

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7934046B2 (en) * 2008-07-02 2011-04-26 International Business Machines Corporation Access table lookup for bus bridge
CN102184366B (zh) * 2011-06-07 2013-01-02 郑州信大捷安信息技术股份有限公司 基于SoC芯片外部程序安全访问控制系统及控制方法
CN102592083B (zh) * 2011-12-27 2014-12-10 深圳国微技术有限公司 用于提高soc芯片系统安全的存储保护控制器及方法
US9015437B2 (en) * 2012-02-28 2015-04-21 Smsc Holdings S.A.R.L. Extensible hardware device configuration using memory
US9292959B2 (en) * 2012-05-16 2016-03-22 Digizig Media Inc. Multi-dimensional stacking with self-correction

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1647046A (zh) * 2002-04-18 2005-07-27 国际商业机器公司 集成系统中基于请求主动方标识符和数据地址的控制功能
CN1759557A (zh) * 2003-03-07 2006-04-12 飞思卡尔半导体公司 具有外围设备访问保护的数据处理系统及其方法
US8549633B2 (en) * 2011-08-03 2013-10-01 Arm Limited Security controller
CN103092798A (zh) * 2012-12-28 2013-05-08 华为技术有限公司 片上系统及总线下的访问设备的方法

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108140005A (zh) * 2015-09-21 2018-06-08 美光科技公司 在存储器系统协议中提供文件信息的系统及方法
CN106610906A (zh) * 2015-10-27 2017-05-03 深圳市中兴微电子技术有限公司 一种数据访问方法及总线
WO2017071429A1 (zh) * 2015-10-27 2017-05-04 深圳市中兴微电子技术有限公司 一种数据访问方法及总线
CN107547513A (zh) * 2017-07-14 2018-01-05 新华三信息安全技术有限公司 报文处理方法、装置、网络设备及存储介质
CN107547513B (zh) * 2017-07-14 2021-02-05 新华三信息安全技术有限公司 报文处理方法、装置、网络设备及存储介质
CN107835167A (zh) * 2017-10-31 2018-03-23 努比亚技术有限公司 一种数据保护的方法、终端及计算机可读存储介质
CN110727636A (zh) * 2019-10-10 2020-01-24 天津飞腾信息技术有限公司 片上系统及片上系统的设备隔离方法
CN110727636B (zh) * 2019-10-10 2024-02-06 飞腾信息技术有限公司 片上系统的设备隔离方法
CN113468098A (zh) * 2020-03-30 2021-10-01 芯海科技(深圳)股份有限公司 一种安全访问方法、集成电路及计算机可读存储介质
CN115438364A (zh) * 2022-11-07 2022-12-06 南京芯驰半导体科技有限公司 通用输入输出接口的访问方法、系统芯片及车载设备
CN115659379A (zh) * 2022-12-15 2023-01-31 芯动微电子科技(珠海)有限公司 一种总线访问权限控制方法及装置

Also Published As

Publication number Publication date
WO2015131446A1 (zh) 2015-09-11
EP3115921A1 (en) 2017-01-11
US20170068811A1 (en) 2017-03-09
EP3115921A4 (en) 2017-01-11

Similar Documents

Publication Publication Date Title
CN104899175A (zh) 一种基于片内总线协议的安全访问控制方法和装置
US8661306B2 (en) Baseboard management controller and memory error detection method of computing device utilized thereby
US9678760B2 (en) Memory card and storage system having authentication program and method for operating thereof
JP7213879B2 (ja) 間接アクセスメモリコントローラ用のメモリ保護装置
US10565370B2 (en) System and method for enabling secure memory transactions using enclaves
CN103999055A (zh) 访问命令/地址寄存器装置中存储的数据
CN110997442B (zh) 用于提供对硬件资源的访问控制的计算装置
CN111191214B (zh) 一种嵌入式处理器及数据保护方法
JP7487372B2 (ja) 改良されたデータ制御及びアクセスの方法及びシステム
US20090271861A1 (en) Data processing apparatus and access control method therefor
JP7201686B2 (ja) 間接アクセスメモリコントローラ向けの保護機能を追加するための機器
US20160092375A1 (en) Data access protection for computer systems
US20230297725A1 (en) Technologies for filtering memory access transactions received from one or more i/o devices
US20150227755A1 (en) Encryption and decryption methods of a mobile storage on a file-by-file basis
CN101620652B (zh) 一种保护存储器数据的主板、计算机和方法
US9514040B2 (en) Memory storage device and memory controller and access method thereof
US20110173412A1 (en) Data processing device and memory protection method of same
CN104636271A (zh) 访问命令/地址寄存器装置中存储的数据
US7246213B2 (en) Data address security device and method
JP2021022061A (ja) ストレージ装置、メモリアクセス制御システムおよびメモリアクセス制御方法
US20170322891A1 (en) Device and method for secure data storage
JP2008250386A (ja) アクセス制御装置及びコンピュータシステム
US20160034331A1 (en) Memory system and data protection method thereof

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20150909

WW01 Invention patent application withdrawn after publication