CN106657052B - 一种存储数据的访问管理方法及系统 - Google Patents

Abstract

本发明是关于一种存储数据的访问管理方法及系统，包括接收访问存储请求，其中，访问存储请求包括访问地址和身份信息；判断是否存在与访问地址相匹配的存储单元；如果存在与访问地址相匹配的存储单元，则判断身份信息是否有存储单元的访问权限；如果身份信息有存储单元的访问权限，则根据访问存储请求，对存储单元进行数据访问。本发明实施例中，存储模块不需要主动对数据访问端进行身份采集，降低了硬件实现代价，提高了数据访问的效率，通过对存储单元和访问权限的双重匹配，确定数据访问端能否进行数据访问，能有效保护存储数据的安全。

Description

一种存储数据的访问管理方法及系统

技术领域

本发明涉及数据安全技术领域，尤其涉及一种存储数据的访问管理方法及系统。

背景技术

随着信息安全越来越受到人们的重视，对终端设备中各种应用数据进行加解密传输成为了保障信息安全的一个重要手段。加解密传输是指利用加解密装置，对终端设备中芯片发送端的不同应用类别数据进行加密，将加密数据发送至芯片接收端，芯片接收端再利用加解密装置对接收的加密数据进行解密，解密得到还原的应用数据，还原的应用数据保存在芯片的存储模块中，供相关的应用消费模块去读取消费。为防止还原的应用数据被恶意应用窃取，造成不必要的损失，需要对芯片存储模块中的数据做一定的权限限制，提高芯片存储数据的安全性。

现有技术中，通常采用设置加解密权限的方法提高存储数据的安全性，具体为：芯片接收端在接收加密数据之后，对访问加密数据的数据访问端进行身份信息采集，判断采集的身份信息是否符合预设的访问权限，如果符合，则利用加解密装置进行解密操作，将还原的应用数据提供给数据访问端，如果不符合，则不进行解密操作。

但是，由于对访问加密数据的应用进行身份信息采集通常需要耗费一定时间，同时也给硬件实现带来一定的难度，进而导致根据采集的身份信息进行判断是否进行数据加解密操作，在一定程度上增加了数据加解密所需的时间以及实现成本。

发明内容

为克服相关技术中存在的问题，本发明提供一种存储数据的访问管理方法及系统。

根据本发明实施例的第一方面，提供一种存储数据的访问管理方法，包括：

接收访问存储请求，其中，所述访问存储请求包括访问地址和身份信息；

判断是否存在与所述访问地址相匹配的存储单元；

如果存在与所述访问地址相匹配的存储单元，则判断所述身份信息是否有所述存储单元的访问权限；

如果所述身份信息有所述存储单元的访问权限，则根据所述访问存储请求，对所述存储单元进行数据访问。

优选地，所述接收访问存储请求之前，还包括：

将用于存储数据的存储模块分设为消费数据存储子模块和非消费数据存储子模块；

将所述非消费数据存储子模块分设为多个非消费数据存储单元，多个所述非消费数据存储单元分别用于存储不同应用加密数据；

将所述消费数据存储子模块分设为多个消费数据存储单元，多个所述消费数据存储单元分别用于存储所述加密数据对应原始数据，所述消费数据存储单元的数量与所述非消费数据存储单元的数量相同；

将所述非消费数据存储单元和消费数据存储单元设置所述身份信息的访问权限。

优选地，根据所述访问存储请求，对所述存储单元进行数据访问包括：

识别所述访问存储请求的类型，当所述访问存储请求为写存储请求，且所述存储单元为非消费数据存储单元时，将所述访问存储请求中携带的应用数据进行加密得到加密数据，将所述加密数据存储至所述非消费数据存储单元。

优选地，根据所述访问存储请求，对所述存储单元进行数据访问包括：

识别所述访问存储请求的类型，当所述访问存储请求为读存储请求，且所述存储单元为消费数据存储单元、所述消费数据存储单元内不包含原始数据时，将所述消费数据存储单元对应的所述非消费数据存储单元中的加密数据解密为所述原始数据，将所述原始数据存储至所述消费数据存储单元，供发出所述访问存储请求的数据访问端消费。

优选地，根据所述访问存储请求，对所述存储单元进行数据访问包括：

识别所述访问存储请求的类型，当所述访问存储请求为读存储请求，且所述存储单元为消费数据存储单元、所述消费数据存储单元内包含原始数据时，将所述原始数据供发出所述访问存储请求的数据访问端消费。

根据本发明实施例的第二方面，提供一种存储数据的访问管理系统，包括存储模块、信息加解密接收模块、访问地址判断模块和访问权限识别模块，其中：

所述信息加解密接收模块，用于接收访问存储请求，并将所述访问存储请求发送至所述访问地址判断模块，其中，所述访问存储请求包括访问地址和身份信息；

所述访问地址判断模块，与所述信息加解密接收模块连接，用于判断所述存储模块中是否存在与所述访问地址相匹配的存储单元，如果存在与所述访问地址相匹配的存储单元，则将所述访问存储请求发送至所述访问权限识别模块；

所述访问权限识别模块，与所述访问地址判断模块连接，用于判断所述身份信息是否有所述存储单元的访问权限，如果所述身份信息有所述存储单元的访问权限，则将所述访问存储请求发送至所述存储模块；

所述存储模块，与所述访问权限识别模块连接，用于根据所述访问存储请求，对所述存储单元进行数据访问。

优选地，所述存储模块包括消费数据存储子模块和非消费数据存储子模块，所述非消费数据存储子模块包括多个非消费数据存储单元，多个所述非消费数据存储单元分别用于存储不同应用加密数据，所述消费数据存储子模块包括多个消费数据存储单元，多个所述消费数据存储单元分别用于存储所述加密数据对应的原始数据，所述消费数据存储单元的数量与所述非消费数据存储单元的数量相同，所述非消费数据存储单元和消费数据存储单元设置有所述身份信息的访问权限。

优选地，还包括数据搬移模块，其中：

所述数据搬移模块，分别与所述访问地址判断模块和信息加解密接收模块连接，用于向所述访问地址判断模块发送访问存储请求；

当所述访问存储请求的访问地址和身份信息均匹配时，所述数据搬移模块用于将所述加密数据从所述非消费数据存储单元中搬移进所述信息加解密接收模块中进行解密，再将解密出的所述原始数据存放入对应的消费数据存储单元中，或者用于将所述原始数据从消费存储存储单元中搬移进信息加解密模块中进行加密，再将加密的数据存放入对应的非消费数据存储单元中。

优选地，还包括控制模块，其中：

所述控制模块，与所述数据搬移模块连接，当所述非消费数据存储单元中存在上次访问所存储的上次加密数据，且对应消费数据存储单元中也存在对应的上次原始数据时，则判断所述上次原始数据是否被消费完毕，如果所述上次原始数据被消费完毕，则所述控制模块控制所述数据搬移模块将本次访问的消费数据存储单元对应的非消费数据存储单元中的加密数据搬移进所述信息加解密接收模块中，解密为所述原始数据，并将所述原始数据存储至所述消费数据存储单元，供发出所述访问存储请求的数据访问端消费。

优选地，还包括控制模块，其中：

所述控制模块，与所述数据搬移模块连接，当所述非消费数据存储单元中存在上次访问所存储的上次加密数据，且对应消费数据存储单元中也存在对应的上次消费数据、且本次所述访问存储请求所请求的存储数据为实时数据时，则所述控制模块控制所述数据搬移模块将所述上次消费数据搬移进所述信息加解密接收模块中，加密为上次加密数据，并将所述上次加密数据存入所述对应的非消费数据存储单元，将所述消费数据存储单元对应的非消费数据存储单元中、本次访问的加密数据解密为所述原始数据，放入对应的消费数据存储单元，供发出所述访问存储请求的数据访问端消费。

本发明的实施例提供的技术方案可以包括以下有益效果：

本发明实施例提供的存储数据的访问管理方法，通过判断数据访问端发出的访问存储请求中的访问地址是否与存储单元相匹配，判断访问存储请求中的身份信息是否与存储单元的访问权限相匹配，如果存储单元和访问权限均匹配，则根据访问存储请求，对存储单元进行数据访问。本发明实施例提供的存储数据的访问管理系统，包括存储模块、信息加解密接收模块、访问地址判断模块和访问权限识别模块，实现对数据访问端发出访问存储请求的接收与双重匹配判断，进而实现数据访问端对存储模块的数据访问。本发明实施例中，数据访问端发出的访问存储请求中包含访问地址与身份信息，上述访问地址与身份信息分别与存储模块的存储单元和访问权限进行匹配，存储模块不需要主动对数据访问端进行身份采集，降低了硬件实现代价，提高了数据访问的效率；进一步的，通过存储单元和访问权限的双重匹配，判断数据访问端能否进行数据访问，有效保护了存储数据的安全性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种存储模块的结构示意图；

图2为本发明实施例提供的一种存储数据的访问管理方法的流程示意图；

图3为本发明实施例提供的一种存储数据的访问管理系统的结构示意图；

图4为本发明实施例提供的一种存储数据传输的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

本发明实施例提供的存储数据的访问管理方法及系统，可用于智能安全芯片，在芯片上电时，首先将芯片中用于存储数据的存储模块进行划分，然后对数据访问端发出的访问存储请求进行访问地址和身份信息的双重匹配，双重匹配均成功后，则根据访问存储请求对芯片的存储模块进行数据访问。

其中，对存储模块进行划分包括：将存储模块分设为消费数据存储子模块和非消费数据存储子模块；将非消费数据存储子模块分设为多个非消费数据存储单元，多个非消费数据存储单元分别用于存储不同应用加密数据；将消费数据存储子模块分设为多个消费数据存储单元，多个消费数据存储单元分别用于存储上述加密数据对应的原始数据，消费数据存储单元的数量与非消费数据存储单元的数量相同，消费数据存储单元的区域大小与非消费数据存储单元的区域大小相同；将非消费数据存储单元和消费数据存储单元分别设置数据访问端身份信息的访问权限。

具体的，参见图1，为本发明实施例提供的一种存储模块的结构示意图，如图1所示，存储模块包括非消费数据存储子模块C、非消费数据存储子模块B和消费数据存储子模块A。其中，非消费数据存储子模块B，包括多个非消费数据存储单元B0、B1、…、Bx，消费数据存储子模块A，包括多个消费数据存储单元A0、A1、…、Ax。本实施例中，消费数据存储单元A0、A1、…、Ax的存储空间大小A0 size0、A1 size1、…、Ax sizex分别与对应的非消费数据存储单元B0、B1、…、Bx的存储空间大小B0 size0、B1 size1、…、Bx sizex相同，存储空间大小由CPU进行配置；消费数据存储单元的数量与非消费数据存储单元均为x。消费数据存储单元A0的基地址由芯片上电时确定，A0的末地址由A0的基地址和A0 size0相加得到，相应的非消费数据存储单元B0的基地址为A0的末地址，B0的末地址由B0的基地址与A0 size0信息相加得到。A1的基地址为B0的末地址，A1的末地址由B0的末地址与A1的size1信息相加得到。B1的基地址为A1的末地址，B1的末地址由A1的末地址与A1的size1信息相加得到。Ax与Bx的地址关系与上述A1、B1的地址关系相同，在此不再赘述。

进一步的，非消费数据存储子模块C内不进行存储单元的划分，可用于放置其他信息，如code信息(密钥信息)，或者为各数据消费模块、数据处理发送模块等提供数据中转的存储空间。

本实施例中，对存储模块划分完成后，将对各数据访问端进行存储数据的访问管理。参见图2，为本实施例提供的一种存储数据的访问管理方法的流程示意图。如图2所示，本发明实施例提供的存储数据的访问管理方法，包括：

S110：接收访问存储请求，其中，访问存储请求包括访问地址和身份信息。

具体的，访问存储请求由数据访问端发出，数据访问端包括数据消费模块、数据处理发送模块、数据搬移模块，访问存储请求包括数据消费模块、数据处理发送模块、数据搬移模块的访问地址和身份信息。本实施例中，数据搬移模块优选为DMA(Direct MemoryAccess，直接内存存取)数据搬移模块。

S120：判断是否存在与访问地址相匹配的存储单元。

具体的，将数据消费模块、数据处理发送模块、DMA数据搬移模块的访问地址与存储模块中的存储单元进行匹配，实现访问地址验证，有效防止数据消费模块、数据处理发送模块、DMA数据搬移模块直接读取存储模块中的存储数据或向存储模块写入存储数据，提高了存储数据的安全性。

S130：如果存在与访问地址相匹配的存储单元，则判断身份信息是否有存储单元的访问权限。

具体的，当数据消费模块、数据处理发送模块、DMA数据搬移模块的访问地址与存储模块中的存储单元匹配成功时，进一步对数据消费模块、数据处理发送模块、DMA数据搬移模块的身份信息进行验证，身份信息验证包括将访问存储请求中的身份信息与存储单元中预设的访问权限进行匹配，从而快速获得数据消费模块、数据处理发送模块、DMA数据搬移模块是否有其访问存储单元的访问权限，进一步提高了存储数据的安全性。

当数据消费模块、数据处理发送模块、DMA数据搬移模块的访问地址与存储模块中的存储单元匹配失败时，则产生中断，结束数据消费模块、数据处理发送模块、DMA数据搬移模块对该存储单元的访问。

本实施例中，对数据消费模块、数据处理发送模块、DMA数据搬移模块的身份信息验证在存储地址匹配成功的基础上进行，当然，还可同时进行访问地址验证和存储地址验证，任一验证失败，均产生中断，结束数据访问端对该存储单元的访问，或在身份验证成功的基础上再进行访问地址验证，均应属于本发明的保护范围。

S140：如果身份信息有存储单元的访问权限，则根据访问存储请求，对存储单元进行数据访问。

具体的，当数据访问端的身份信息与存储单元预设的访问权限匹配成功时，则根据访问存储请求，对存储单元进行数据访问，包括：

识别访问存储请求的类型，如果访问存储请求为数据处理发送模块发出的写存储请求，且数据处理发送模块访问的存储单元为非消费数据存储单元时，将访问存储请求中携带的发送端数据进行加密得到加密数据，将加密数据存储至非消费数据存储子模块。

识别访问存储请求的类型，如果访问存储请求为数据消费模块发出的读存储请求，且数据消费模块访问的存储单元为消费数据存储单元、该消费数据存储单元内不包含原始数据时，将该消费数据存储单元对应的非消费数据存储单元中的加密数据解密为原始数据，再将原始数据存储至该消费数据存储单元，供发出访问存储请求的数据消费模块消费。

识别访问存储请求的类型，如果访问存储请求为数据消费模块发出的读存储请求，且数据消费模块访问的存储单元为消费数据存储单元、该消费数据存储单元内包含原始数据时，将原始数据供发出访问存储请求的数据消费模块消费。

识别访问存储请求的类型，如果访问存储请求为DMA数据搬移模块发出的读非消费数据存储单元、写与该非消费数据存储单元相对应的消费数据存储单元时，将该非消费数据存储单元的加密数据解密为原始数据，再将原始数据存储至与之对应的消费数据存储单元，供数据消费模块消费。

识别访问存储请求的类型，如果DMA数据搬移模块发出的访问存储请求为读消费数据存储单元，写与该读消费数据存储单元相对应的非消费数据存储单元时，将消费数据存储单元的原始数据加密成加密数据，再将加密数据存储至与之对应的非消费数据存储单元，供数据消费模块下一次消费时解密还原消费。

当数据处理发送模块的身份信息与存储单元预设的访问权限匹配失败时，则数据处理发送模块发送的应用数据不能进行加密，以及将加密数据存放进相应的非消费数据存储单元，数据处理发送模块对存储单元的访问失败。

当数据消费模块的身份信息与存储单元预设的访问权限匹配失败时，则数据消费模块对存储单元的访问失败，数据消费模块无法获取存储单元内的存储数据。

当DMA数据搬移模块的身份信息与存储单元预设的访问权限匹配失败时，则DMA数据搬移模块对存储单元的访问失败，DMA数据搬移模块无法从非消费数据存储单元搬移数据到相应的消费数据存储单元，或者DMA数据搬移模块无法从消费数据存储单元搬移数据到相应的非消费数据存储单元。

与本发明实施例提供的存储数据的访问管理方法相对应的，本发明还提供一种存储数据的访问管理系统，参见图3，为本发明实施例提供的一种存储数据的访问管理系统的结构示意图，如图3所示，本发明实施例提供的访问管理系统包括存储模块、信息加解密接收模块、访问地址判断模块、DMA数据搬移模块、访问权限识别模块和控制模块。具体的：

信息加解密接收模块，用于接收数据处理发送模块、DMA数据搬移模块、数据消费模块的访问存储请求，以及对数据处理发送模块发送的数据进行加密处理，对DMA数据搬移模块搬移的数据进行加密或者解密处理，并将访问存储请求发送至访问地址判断模块，其中，访问存储请求包括访问地址和身份信息；

访问地址判断模块，与信息加解密接收模块连接，包括写访问地址判断模块和读访问地址判断模块，用于根据访问存储请求的类型，如访问存储请求为读存储请求，则将访问存储请求在读地址判断模块中进行判断，判断存储模块中是否存在与访问地址相匹配的存储单元，如果存在与访问地址相匹配的存储单元，则将访问存储请求发送至访问权限识别模块；

DMA数据搬移模块，与信息加解密信息模块连接，用于将加密数据从非消费数据存储单元中搬移进信息加解密模块中进行解密，再将解密出的原始数据存放入对应的消费数据存储单元中，或者用于将原始数据从消费数据存储单元中搬移进信息加解密模块中进行加密，再将加密的数据存放入对应的非消费数据存储单元中；

访问权限识别模块，分别与读访问地址判断模块和写访问地址判断模块连接，用于判断身份信息是否有存储单元的访问权限，如果身份信息有存储单元的访问权限，则将访问存储请求发送至存储模块；

存储模块，用于根据访问存储请求，对存储单元进行数据访问。

控制模块，与DMA数据搬移模块连接，用于控制DMA数据搬移模块进行数据搬移。本实施例中，控制模块为CPU控制模块。具体的，当非消费数据存储单元中存在非消费数据(加密数据)，且对应消费数据存储单元不存在消费数据(原始数据)时，将消费数据存储单元对应的非消费数据存储单元中的加密数据解密为原始数据，将原始数据存储至消费数据存储单元，供发出访问存储请求的数据消费模块消费；当非消费数据存储单元中存在上次访问所存储的上次加密数据，且对应消费数据存储单元中也存在上次消费数据，则暂不将消费数据存储单元对应的非消费数据存储单元中的加密数据解密为原始数据，等上次消费数据被数据消费模块消费完毕，再将本次访问的消费数据存储单元对应的非消费数据存储单元中的加密数据解密为本次原始数据，并将本次原始数据存储至消费数据存储单元，供发出访问存储请求的数据访问端消费；当非消费数据存储单元中存在上次访问所存储的上次加密数据，且对应消费数据存储单元也存在上次消费数据，当访问存储请求的数据消费模块需优先选择消费最新的消费数据、即实时数据时，则需将消费数据存储单元上次消费数据加密存入对应的非消费数据存储单元，再将消费数据存储单元对应的非消费数据存储单元中本次访问的加密数据解密为原始数据，放入对应消费数据存储单元，供发出访问存储请求的数据消费端进行优先消费。

关于上述实施例中的系统，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本实施例中，访问管理系统中的存储模块、信息加解密接收模块、写访问地址判断模块、DMA数据搬移模块、读访问地址判定模块、访问权限识别模块和CPU控制模块集成于智能芯片中，智能芯片中存储模块与CPU控制模块、数据消费模块和数据处理发送模块的数据传输过程参见图4，为本发明实施例提供的智能芯片中存储数据传输的结构示意图。

如图4所示，数据发送端将芯片接收的有线或者无线模拟信号转换成数字信号，将数字信号发送到不同的数据处理模块中，经过不同数据处理模块，如数据处理模块B0、B1…Bx模块，处理的数字信号转换成各种不同应用的数据，如音频数据、视频数据等应用数据，而后将这些应用数据发送到数据接收端进行加密处理、并存入相应的非消费数据存储单元，CPU负责对各个数据处理模块进行命令配置，同时接收各个数据处理模块的反馈信息，如中断，读寄存器信息等，数据发送端与CPU的交互为CPU通信1。

数据接收端包括信息接收加解密模块、DMA数据搬移模块、地址判断模块与存储模块。其中，信息接收加解密模块内部涵盖了业界主流的加密算法，如AES、DES、TDES、国密等算法，信息接收加解密模块根据应用通过CPU控制模块灵活运用算法进行不同应用数据的加密工作，而后通过地址判断模块、访问权限识别模块将加密后的数据放入到相应的非消费数据存储单元中，其中，加密工作中的KEY来源于上层，而对数据处理模块B0发送过来的应用数据用KEY0进行加密工作，对数据处理模块B1发送过来的应用数据用KEY1进行加密工作…对数据处理模块Bx发送过来的应用数据用KEYx进行加密工作，不同数据处理模块发送过来的数据为不同应用类型的数据，加密后的应用数据分别存放至不同的非消费数据存储单元。

例如，数据处理发送模块B0发送应用数据、并将应用数据存储到非消费数据存储单元B0，数据发送过程中的访问存储请求中包含的地址与身份信息B0_ID的权限均匹配成功，则发送数据经过加解密模块与密钥KEY0进行加密后存入非消费数据存储单元B0，否则数据处理发送模块B0请求写应用数据到存储失败。

例如，数据处理发送模块B1发送应用数据、并将应用数据存储到非消费数据存储单元B1，数据发送过程中的访问存储请求中包含的地址与身份信息B1_ID的权限均匹配成功，则发送数据经过加解密模块与密钥KEY1进行加密后存入非消费数据存储单元B1，否则数据处理发送模块B1请求写应用数据到存储失败。

例如，数据处理模块Bx发送应用数据、并将应用数据存储到非消费数据存储单元Bx，数据发送过程中的访问存储请求中包含的地址与身份信息Bx_ID的权限均匹配成功，则发送数据经过加解密模块与密钥KEYx进行加密后存入非消费数据存储单元Bx，否则数据处理模块Bx请求写应用数据到存储失败。

数据消费模块进行数据消费的具体过程包括：当数据消费模块发出的访问存储请求中的访问地址、身份信息均与相应的消费数据存储单元匹配成功，且访问存储请求为读存储请求时，如果相应消费数据存储单元包含消费数据，则数据消费模块直接读取消费数据进行消费；如果访问存储请求中的访问地址与身份信息均匹配成功，且访问存储请求为读存储请求，数据消费模块访问的存储单元为消费数据存储单元、该消费数据存储单元内不包含消费数据，则CPU控制模块启动DMA数据搬移模块工作，DMA数据搬移模块所读非消费数据存储单元及所写与之对应的消费数据存储单元的存储地址均由CPU控制模块进行配置，当DMA数据搬移模块读非消费数据存储单元的存储地址与对应写消费数据存储单元的存储地址均匹配成功，且DMA数据搬移模块的身份信息对相应存储单元的访问权限匹配成功，则将非消费数据存储单元的加密数据通过DMA数据搬移模块搬出，依次经过访问权限识别模块、访问地址判断模块、经过信息接收加解密模块进行解密，再将解密的原始数据通过DMA数据搬移模块搬进对应的消费数据存储单元，供数据消费模块读取。

例如，DMA数据搬移模块搬移非消费数据存储单元B0内存储的加密数据经过访问权限识别模块、访问地址判断模块、信息接收加解密模块进行处理，其中，在信息接收加解密模块中将加密数据与KEY0进行解密，解密后的原始数据传输到DMA数据搬移模块内，再由DMA数据搬移模块将原始数据经过访问地址判断模块、访问权限识别模块搬移进相应消费数据存储单元A0中。在整个过程中当DMA数据搬移模块读B0与写A0的存储地址匹配成功，写A0的访问权限DMA_ID匹配成功，DMA数据搬移模块读写存储以及解密操作正常进行，否则DMA请求读写存储失败。

例如，DMA数据搬移模块搬移非消费数据存储单元B1内的存储加密数据经过访问权限识别模块、访问地址判断模块、信息处理加解密模块，在信息处理模块中将加密数据与KEY1进行解密，解密后的原始数据传输到DMA数据搬移模块内，再由DMA数据搬移模块将原始数据经过访问地址判断模块、访问权限识别模块搬移进相应消费数据存储单元A1中。在整个过程中当DMA数据搬移模块读B1与写A1的存储地址匹配成功，写A1的访问权限DMA_ID匹配成功，DMA读写存储以及解密操作正常进行，否则DMA请求读写存储失败。

例如，DMA数据搬移模块搬移非消费数据存储单元Bx内的存储加密数据经过访问权限识别模块、访问地址判断模块、信息处理加解密模块，在信息处理模块中将加密数据与KEYx进行解密，解密后的原始数据传输到DMA数据搬移模块内，再由DMA数据搬移模块将原始数据经过访问地址判断模块、访问权限识别模块搬移进相应消费数据存储单元Ax中。在整个过程中当DMA数据搬移模块读Bx与写Ax的存储地址匹配成功，写Ax的访问权限DMA_ID匹配成功，DMA读写存储以及解密操作正常进行，否则DMA请求读写存储失败。

本实施例中，各种不同应用数据消费模块如数据消费模块1、数据消费模块2、…、数据消费模块x，读取消费存储模块A中各存储单元A0、A1、…、Ax的存储数据时，需根据各数据消费模块身份信息的访问权限大小，以及存储地址匹配情况进行相应的数据读取。例如，数据消费模块2的访问权限最大，数据消费模块3的访问权限次之…数据消费模块x的存储限最小，即当数据消费模块2的访问地址为消费数据存储子模块A的全部存储单元，且数据消费模块2的访问权限匹配上述全部存储单元时，数据消费模块2可以读取消费数据存储子模块A内的全部存储数据，数据消费模块3在存储地址匹配消费数据存储单元A3…Ax以及访问权限匹配这些消费数据存储单元的情况下，可以去消费A3…Ax的存储数据，数据消费模块x在读地址命中消费数据存储单元Ax区域以及访问权限匹配的情况下，可以去消费Ax的存储数据。反之，如果存储地址匹配失败，产生中断，CPU终止读请求，存储地址匹配成功但访问权限不匹配，则读存储请求失败。

本实施例中，消费数据存储子模块A内的存储数据为重点保护对象，DMA数据搬移模块在读写匹配配套存储单元的存储地址及访问权限匹配的情况下，具有读写权限。数据消费模块需在存储地址匹配与访问权限匹配相应存储单元时才具有读权限，如数据消费模块2只有访问地址与消费数据存储单元A0匹配，访问权限与消费数据存储单元A0权限匹配时才具有读权限，否则没有读权限，数据消费模块对消费存储A没有写权限。其余任何模块没有读写权限，包括CPU模块，数据处理模块等。

进一步的，当消费数据存储子模块A中的原始数据在预设时间内没有数据消费模块进行消费时，CPU可控制将原始数据进行加密后存储至非消费数据存储子模块B中。例如，CPU控制启动DMA数据搬移模块工作，DMA数据搬移模块所读消费数据存储单元A0与所写与之对应的非消费数据存储对应单元B0的存储地址均由CPU控制模块配置，当DMA数据搬移模块读消费数据存储单元A0的存储地址与写对应的非消费数据存储单元B0的存储地址均匹配成功，且DMA数据搬移模块身份信息的访问权限匹配成功，则将消费数据存储单元A0的数据通过DMA数据搬移模块搬出，依次经过访问权限识别模块、访问地址判断模块、经过信息接受加解密模块进行加密，再将加密数据通过DMA数据搬移模块搬进对应非消费数据存储单元B0内，在整个过程中当写B0与读A0的存储地址匹配成功，DMA读A0的访问权限DMA_ID匹配成功时，DMA读写存储以及加密操作正常进行，否则DMA请求读写存储失败。

本实施例中，对于非消费数据存储子模块C，任意模块都具有读写权限，包括数据处理模块、CPU模块、DMA数据搬移模块、数据消费模块；对于非消费数据存储子模块B，数据处理模块只要发送过来的数据不是应用数据(数据处理模块传输过来的数据是应用数据还是非应用数据受CPU控制)，可以直接将数据写入存储模块且写入过程中不需要地址、身份识别双重匹配以及数据加密，其它模块也可以直接写入数据到存储模块，写入过程中也不需地址、身份识别双重匹配以及数据加密，当数据处理模块发送过来的数据是应用数据，则数据写入存储的过程中需要地址身份匹配成功，而后应用数据经过加密间接写入存储模块，如数据处理模块1写数据到非消费数据存储子模块B0，则需写地址匹配B0地址，权限匹配B0存储，数据经过加密后存入存储模块中，任意模块，包括数据处理模块、DMA数据搬移模块、CPU模块、数据消费模块都对非消费数据存储子模块B具有读权限；对于非消费数据存储子模块A，上面已经进行了说明，在此不再赘述。

需要说明的是，在本实施例中，访问权限包括读权限、写权限和读写权限，访问权限匹配成功即代表有相应的读权限、写权限或者读写权限，双重匹配是指访问地址与相应存储单元匹配、身份信息与相应访问权限的匹配。数据消费模块在读取消费数据存储子模块A中的数据、DMA数据搬移模块在消费数据存储子模块A和非消费数据存储子模块B之间搬移数据均需要通过双重匹配。对应的非消费数据存储子模块B0和消费数据存储单元A0的加密或解密的密钥为密钥KEY0，非消费数据存储子模块B1和消费数据存储单元A1的加密或解密的密钥为密钥KEY1，以此类推，所有密钥来自于上层，不需要芯片产生。因此，对于非消费数据存储子模块B与非消费数据存储子模块C的数据，DMA数据搬移可以在它们之间任意的搬移，包括在非消费数据存储子模块B内部的存储单元之间搬移，如B0到B1之间，B0到Bx之间，B1到Bx之间，在非消费数据存储子模块C内部搬移，以及在非消费数据存储子模块B到非消费数据存储子模块C之间搬移。DMA数据搬移模块在非消费存储模块B的存储单元之间进行数据搬移时，如果非消费存储模块B中存放的数据是应用加密数据，则当B0的数据错误的搬移到B1内，由于B0到A0与B1到A1进行解密时的KEY不同，因此B1的数据还原不到原始数据，可在一定程度上保护了B0内部的数据，B0数据搬移到Bx，B1数据搬移到Bx，B1数据搬移到B0，Bx数据搬移到B0，Bx数据搬移到B1的存储保护原理与此相同，在此不再赘述。

由上述实施例可见，本发明实施例提供的存储数据的访问管理方法，通过判断数据访问端发出的访问存储请求中的访问地址是否与存储单元相匹配，判断访问存储请求中的身份信息是否与存储单元的访问权限相匹配，如果存储单元和访问权限均匹配，则根据访问存储请求，对存储单元进行数据访问。本发明实施例提供的存储数据的访问管理系统，包括存储模块、信息加解密接收模块、写访问地址判断模块、DMA数据搬移模块、读访问地址判定模块和访问权限识别模块，通过对数据访问端发出访问存储请求的接收与双重匹配判断，进而实现对存储模块的数据访问。本发明实施例中，数据访问端发出的访问存储请求中包含访问地址与身份信息，上述访问地址与身份信息分别与存储模块的存储单元和访问权限进行匹配，存储模块不需要主动对数据访问端进行身份采集，降低了硬件实现代价，提高了数据访问的效率；进一步的，通过存储单元和访问权限的双重匹配，确定数据访问端能否进行数据访问，有效保护了存储数据的安全性。

本领域技术人员在考虑说明书及实践这里发明的公开后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。

应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。

Claims (6)

1.一种存储数据的访问管理方法，其特征在于，包括：

将用于存储数据的存储模块分设为消费数据存储子模块和非消费数据存储子模块；

将所述非消费数据存储子模块分设为多个非消费数据存储单元，多个所述非消费数据存储单元分别用于存储不同应用加密数据；

将所述消费数据存储子模块分设为多个消费数据存储单元，多个所述消费数据存储单元分别用于存储所述加密数据对应原始数据，所述消费数据存储单元的数量与所述非消费数据存储单元的数量相同，且存储加密数据的所述非消费数据存储单元的地址与存储所述加密数据对应的原始数据的所述消费数据存储单元中的地址一一对应，对应的非消费数据存储单元和消费数据存储单元之间设置有密钥，不同对应关系的非消费数据存储单元和消费数据存储单元之间的密钥不同；

将所述非消费数据存储单元和消费数据存储单元设置对应数据访问端的身份信息的访问权限，其中，所述访问权限包括读权限、写权限和读写权限，所述数据访问端包括数据消费模块、数据处理发送模块和数据搬移模块，同一个所述数据访问端对应的所述数据消费模块、数据处理发送模块和数据搬移模块分别具有不同的身份信息，不同所述身份信息对应所述存储模块的访问权限大小不同，对于消费数据存储子模块，数据搬移模块在读写匹配配套存储单元的存储地址及访问权限匹配的情况下，具有读写权限，所述数据消费模块没有写权限，在存储地址匹配与访问权限匹配相应存储单元时具有读权限，所述数据处理发送模块没有读写权限；对于非消费数据存储子模块，任意模块具有读权限，各数据访问端分别设置有对应应用数据的写权限；

接收所述数据访问端的访问存储请求，其中，所述访问存储请求包括访问地址和身份信息；

判断是否存在与所述访问地址相匹配的存储单元；

如果存在与所述访问地址相匹配的存储单元，则对所述数据访问端的数据消费模块、数据处理发送模块和数据搬移模块分别进行身份信息验证，判断所述数据访问端对应的所述数据消费模块、数据处理发送模块和数据搬移模块的身份信息是否均有所述存储单元的访问权限；

如果所述身份信息均有所述存储单元的访问权限，则根据所述访问存储请求，对所述存储单元进行数据访问，其中，当所述访问存储请求为读存储请求，且所述存储单元为消费数据存储单元、所述消费数据存储单元内不包含原始数据时，将所述消费数据存储单元对应的所述非消费数据存储单元中的加密数据解密为所述原始数据，将所述原始数据存储至所述消费数据存储单元，供发出所述访问存储请求的数据访问端消费。

2.根据权利要求1所述的访问管理方法，其特征在于，根据所述访问存储请求，对所述存储单元进行数据访问包括：

识别所述访问存储请求的类型，当所述访问存储请求为写存储请求，且所述存储单元为非消费数据存储单元时，将所述访问存储请求中携带的应用数据进行加密得到加密数据，将所述加密数据存储至所述非消费数据存储单元。

3.根据权利要求1所述的访问管理方法，其特征在于，根据所述访问存储请求，对所述存储单元进行数据访问包括：

识别所述访问存储请求的类型，当所述访问存储请求为读存储请求，且所述存储单元为消费数据存储单元、所述消费数据存储单元内包含原始数据时，将所述原始数据供发出所述访问存储请求的数据访问端消费。

4.一种存储数据的访问管理系统，其特征在于，包括存储模块、信息加解密接收模块、访问地址判断模块和访问权限识别模块，其中：

所述信息加解密接收模块，用于接收数据访问端的访问存储请求，并将所述访问存储请求发送至所述访问地址判断模块，其中，所述访问存储请求包括访问地址和身份信息，所述数据访问端包括数据消费模块、数据处理发送模块和数据搬移模块，同一个所述数据访问端对应的所述数据消费模块、数据处理发送模块和数据搬移模块分别具有不同的身份信息，不同所述身份信息对应所述存储模块的访问权限大小不同，所述访问权限包括读权限、写权限和读写权限；

所述访问地址判断模块，与所述信息加解密接收模块连接，用于判断所述存储模块中是否存在与所述访问地址相匹配的存储单元，如果存在与所述访问地址相匹配的存储单元，则将所述访问存储请求发送至所述访问权限识别模块；

所述访问权限识别模块，与所述访问地址判断模块连接，用于判断所述数据访问端的数据消费模块、数据处理发送模块和数据搬移模块的身份信息是否均有所述存储单元的访问权限，如果所述数据访问端的数据消费模块、数据处理发送模块和数据搬移模块的身份信息均有所述存储单元的访问权限，则将所述访问存储请求发送至所述存储模块；

所述存储模块，与所述访问权限识别模块连接，用于根据所述数据访问端的访问存储请求，对所述存储单元进行数据访问，所述存储模块包括消费数据存储子模块和非消费数据存储子模块，所述非消费数据存储子模块包括多个非消费数据存储单元，多个所述非消费数据存储单元分别用于存储不同应用加密数据，所述消费数据存储子模块包括多个消费数据存储单元，多个所述消费数据存储单元分别用于存储所述加密数据对应的原始数据，所述消费数据存储单元的数量与所述非消费数据存储单元的数量相同，且存储加密数据的所述非消费数据存储单元的地址与存储所述加密数据对应的原始数据的所述消费数据存储单元中的地址一一对应，对应的非消费数据存储单元和消费数据存储单元之间设置有密钥，不同对应关系的非消费数据存储单元和消费数据存储单元之间的密钥不同，所述非消费数据存储单元和消费数据存储单元设置有对应所述数据访问端的身份信息的访问权限，其中，对于消费数据存储子模块，DMA数据搬移模块在读写匹配配套存储单元的存储地址及访问权限匹配的情况下，具有读写权限，所述数据消费模块没有写权限，在存储地址匹配与访问权限匹配相应存储单元时具有读权限，所述数据处理发送模块没有读写权限；对于非消费数据存储子模块，任意模块具有读权限，各数据访问端分别设置有对应应用数据的写权限；

还包括数据搬移模块，其中：

所述数据搬移模块，分别与所述访问地址判断模块和信息加解密接收模块连接，用于向所述访问地址判断模块发送访问存储请求；

当所述访问存储请求的访问地址和身份信息均匹配时，所述数据搬移模块用于将所述加密数据从所述非消费数据存储单元中搬移进所述信息加解密接收模块中进行解密，再将解密出的所述原始数据存放入对应的消费数据存储单元中，或者用于将所述原始数据从消费存储存储单元中搬移进信息加解密模块中进行加密，再将加密的数据存放入对应的非消费数据存储单元中。

5.根据权利要求4所述的访问管理系统，其特征在于，还包括控制模块，其中：

所述控制模块，与所述数据搬移模块连接，当所述非消费数据存储单元中存在上次访问所存储的上次加密数据，且对应消费数据存储单元中也存在对应的上次原始数据时，则判断所述上次原始数据是否被消费完毕，如果所述上次原始数据被消费完毕，则所述控制模块控制所述数据搬移模块将本次访问的消费数据存储单元对应的非消费数据存储单元中的加密数据搬移进所述信息加解密接收模块中，解密为所述原始数据，并将所述原始数据存储至所述消费数据存储单元，供发出所述访问存储请求的数据访问端消费。

6.根据权利要求4所述的访问管理系统，其特征在于，还包括控制模块，其中：

所述控制模块，与所述数据搬移模块连接，当所述非消费数据存储单元中存在上次访问所存储的上次加密数据，且对应消费数据存储单元中也存在对应的上次消费数据、且本次所述访问存储请求所请求的存储数据为实时数据时，则所述控制模块控制所述数据搬移模块将所述上次消费数据搬移进所述信息加解密接收模块中，加密为上次加密数据，并将所述上次加密数据存入所述对应的非消费数据存储单元，将所述消费数据存储单元对应的非消费数据存储单元中、本次访问的加密数据解密为所述原始数据，放入对应的消费数据存储单元，供发出所述访问存储请求的数据访问端消费。

Images