CN108958649A - 一种用于存储系统的安全隔离方法及装置 - Google Patents
一种用于存储系统的安全隔离方法及装置 Download PDFInfo
- Publication number
- CN108958649A CN108958649A CN201810475132.8A CN201810475132A CN108958649A CN 108958649 A CN108958649 A CN 108958649A CN 201810475132 A CN201810475132 A CN 201810475132A CN 108958649 A CN108958649 A CN 108958649A
- Authority
- CN
- China
- Prior art keywords
- write
- read
- legal
- buffering
- reading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0653—Monitoring storage devices or systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
- G06F3/0679—Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
Abstract
本发明公开了一种用于存储系统的安全隔离方法及装置,方法实施步骤包括截获片上网络对存储系统的读写请求并判断读写请求是否合法,合法则继续发送读写请求并等待及缓存响应报文;否则丢弃读写请求并生成响应报文,最终将具有相同响应通道编号的响应报文按照读写请求的发起顺序返回给片上网络;装置包括时钟转换单元和安全隔离装置,安全隔离装置包括控制寄存器单元、片上网络接口模块、写请求过滤单元、读请求过滤单元以及存储系统接口模块。本发明能够将存储系统划分出安全域并设置访问条件,只有满足访问条件的请求才能访问安全域、不满足访问条件请求将被阻塞,实现了存储系统的安全隔离,具有硬件实现代价小、扩展性好、结构简单、易于实现的优点。
Description
技术领域
本发明涉及微处理器设计技术,具体涉及一种用于存储系统的安全隔离方法及装置。
背景技术
随着计算机广泛的应用,社会对计算机的依赖也越来越大,信息安全问题正变得日益突出,敏感信息面临着巨大的泄露风险。因此,在现代微处理器设计中越来越多的关注信息安全,它往往采用多种软硬件安全技术共同保证敏感信息的安全。存储系统作为计算机系统中的关键部件,它的安全性对整个计算机系统的安全性至关重要。目前存储系统的安全主要技术是隔离和加密,由操作系统和MMU共同负责应用程序与应用程序之间、应用程序与操作系统之间的隔离,由加解密算法模块负责关键数据的加解密。但是一旦操作系统被攻破或者获取了密钥,整个系统的敏感信息都将被泄露。因此,如何实现存储系统的安全隔离,已经成为一项亟待解决的关键技术问题。
发明内容
本发明要解决的技术问题:针对现有技术的上述问题,提供一种用于存储系统的安全隔离方法及装置,本发明能够将存储系统划分出多个安全域并对这些安全域分别设置访问条件,只有满足访问条件的请求才能访问安全域、不满足访问条件请求将被阻塞,从而实现了存储系统的安全隔离,具有硬件实现代价小、扩展性好、结构简单、易于实现的优点。
为了解决上述技术问题,本发明采用的技术方案为:
本发明提供一种用于存储系统的安全隔离方法,实施步骤包括:
1)截获片上网络对存储系统的读写请求,根据读写地址是否访问安全域来判断读写请求是否合法,如果读写请求合法则跳转执行步骤2);否则跳转执行步骤3);
2)继续向存储系统发送读写请求、等待并缓存响应报文,跳转步骤4);
3)阻塞并丢弃读写请求、直接生成预设内容的响应报文,跳转步骤4);
4)将读写请求求具有相同响应通道编号的响应报文按照读写请求的发起顺序返回给片上网络。
本发明提供一种用于存储系统的安全隔离装置,包括时钟转换单元和安全隔离装置,所述安全隔离装置包括控制寄存器单元、片上网络接口模块、写请求过滤单元、读请求过滤单元以及存储系统接口模块,所述片上网络接口模块分别通过写请求过滤单元、读请求过滤单元和存储系统接口模块相连,且所述写请求过滤单元、读请求过滤单元分别与控制寄存器单元相连,所述控制寄存器单元与时钟转换单元相连。
优选地,所述写请求过滤单元包括写合法检查模块、写合法标识检查模块、写地址FIFO、维序缓冲、写数据控制FIFO、写数据FIFO、写返回FIFO以及写返回选择模块,所述写合法检查模块根据控制寄存器单元设置的安全域信息对进入写请求的写地址进行合法检查来判断写请求是否合法,将合法的写请求的写地址写入写地址FIFO以输出至存储系统接口模块,同时将所有写请求的写地址通道编号awid、写地址合法标志位awlegal写入维序缓冲、将所有写请求的合法检查结果作为合法标识位legal写入写数据控制FIFO,所述写合法标识检查模块根据写数据控制FIFO输出的合法标识位legal将非法的写请求的写数据丢弃、将合法的写请求的数据写入写数据FIFO中以输出至存储系统接口模块,所述写返回FIFO接收存储系统接口模块返回的响应报文,所述写返回选择模块根据维序缓冲中缓存项目输出的写地址合法标志位awlegal判断缓冲对应写请求的合法性,针对合法的写请求,则当写返回FIFO中输出写请求的响应报文时将维序缓冲中对应的项弹出并将写请求的响应报文返回给片上网络接口模块;针对非法的写请求,则根据维序缓冲输出数据中的写地址通道编号awid以及根据控制寄存器单元中的预设内容生成返回的响应报文并返回给片上网络接口模块。
优选地,所述维序缓冲包含一个01序列和一个缓冲器buffer,所述01序列中的每一位是一个bit位,所述缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,所述缓冲器buffer中的某一项对应的写地址通道编号awid与响应报文编号bid相等或者合法标志位awlegal为0,则其在01序列中对应的值为1、否则为0,01序列中值为1的缓冲项目表示为一个可被写返回选择模块处理的缓冲项目;当维序缓冲的空标志b_empty为1时,表示响应报文编号bid无效,此时的01序列只有最前端的一位为1,其余位均为0;当维序缓冲的读使能信号为1 时,通过01序列找到的项后面的项均需要前移一项;当维序缓冲的当写使能信号为1且读使能信号为0时,维序缓冲将输入信号写入尚未有有效数据的空间的最前端的位置处;当维序缓冲的读写使能信号均为1时,维序缓冲将输入信号写入最后一个有效数据所在的位置处。
优选地,所述读请求过滤单元包括读合法检查模块、读请求FIFO、合法读缓冲、非法读缓冲、读数据FIFO以及读数据选择模块,所述读合法检查模块根据控制寄存器单元设置的安全域信息对进入读请求的读地址进行合法检查来判断读请求是否合法,将合法的读请求写入读请求FIFO以输出至存储系统接口模块、并将读请求的度地址通道编号arid写入合法读缓冲,针对非法的读请求基于合法读缓冲统计得到具有相同地址通道编号arid且尚未返回的合法读请求的数目num,并将读址通道编号arid、长度len及其数目num写入非法读缓冲中,所述读数据FIFO接收存储系统接口模块返回的读数据,并将其输出数据中的返回通道编号rid分别输出给合法读缓冲用来选择可选弹出项、输出给非法读缓冲用来选择需要输出的项,并用输出数据中的用来标识当前数据为相应读请求的最后一拍数据的rlast来控制非法读缓冲的读使能,所述读数据选择模块检测非法读缓冲输出数据中的数目num,在数目num大于0时将读数据FIFO输出的数据返回给片上网络接口模块、在数目num为0时根据非法读缓冲输出数据中的读址通道编号arid、长度len以及控制寄存器单元中的预设内容生成返回的响应报文并返回给片上网络接口模块。
优选地,所述合法读缓冲包含一个01序列和一个缓冲器buffer,所述01序列中的每一位是一个bit位,所述缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,针对可选弹出项,若缓冲器buffer中某一项对应的地址通道编号arid与读响应报文编号rid相等则在01序列中对应的值为1、否则为0;当合法读缓冲的读使能信号为1时,则合法读缓冲中对应01序列找到的项后面的项均需要前移一项;当合法读缓冲的写使能信号为1且读使能信号为0时,合法读缓冲将输入信号写入尚未有有效数据的空间的最前端的位置处;当合法读缓冲的读写使能信号均为1时,合法读缓冲将输入信号写入最后一个有效数据所在的位置处;针对合法读缓冲,统计缓冲器buffer内的地址通道编号arid与输入合法读缓冲的缓冲报文编号din相同的项目的数目num并输出。
优选地,所述非法读缓冲包含一个01序列和一个缓冲器buffer,所述01序列中的每一位是一个bit位,所述缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,所述缓冲器buffer中的某一项对应的地址通道编号arid与读响应报文编号rid相等或者具有相同地址通道编号arid且尚未返回的合法读请求的数目num为零,则其在01序列中对应的值为1、否则为0;当非法读缓冲的读使能信号为1 时,通过01序列找到的项后面的项均需要前移一项;当非法读缓冲的写使能信号为1且读使能信号为0时,非法读缓冲将输入信号写入尚未有有效数据的空间的最前端的位置处;当非法读缓冲的读写使能信号均为1时,合法读缓冲将输入信号写入最后一个有效数据所在的位置处;当合法读缓冲的读使能信号为1时,则将非法读缓冲内地址通道编号arid与读响应报文编号rid相等的所有项中的数目num减1;针对非法读缓冲,在缓冲器buffer中找到第一次出现地址通道编号arid与读响应报文编号rid相等或者数目num为0的项,将该项对应的内容进行输出。
本发明用于存储系统的安全隔离方法具有下述优点:
1、本发明截获片上网络对存储系统的读写请求,根据读写地址是否访问安全域来判断读写请求是否合法,可通过存储系统中划分出多个安全域,将敏感信息存放在安全域中,普通信息存放在默认域中,从硬件上将敏感信息与普通信息隔离开来,从而保证敏感信息的安全。
2本发明实现的用于存储系统的安全隔离的部件阻止非法请求对存储系统的访问,有利于提升存储系统的效率,避免了因大量非法访问导致的工作效率低下的问题,同时本发明的实现方法具有硬件实现代价小的优点。
3、本发明对于各种存储系统均适用,具有良好的可扩展特性,且逻辑结构简单,易于实现。
本发明用于存储系统的安全隔离装置为与本发明用于存储系统的安全隔离实现方法相对应的装置,因此与用于存储系统的安全隔离实现方法相同的技术效果,在此不再赘述。
附图说明
图1为本发明实施例方法的基本流程示意图。
图2为本发明实施例装置的框架结构示意图。
图3为本发明实施例装置中写请求过滤单元的框架结构示意图。
图4为本发明实施例装置中维序缓冲的工作原理示意图。
图5为本发明实施例装置中读请求过滤单元的框架结构示意图。
图6为本发明实施例装置中合法读缓冲的工作原理示意图。
图7为本发明实施例装置中非法读缓冲的工作原理示意图。
图例说明:1、控制寄存器单元;2、片上网络接口模块;3、写请求过滤单元;31、写合法检查模块;32、写合法标识检查模块;33、写地址FIFO;34、维序缓冲;35、写数据控制FIFO;36、写数据FIFO;37、写返回FIFO;38、写返回选择模块;4、读请求过滤单元;41、读合法检查模块;42、读请求FIFO;43、合法读缓冲;44、非法读缓冲;45、读数据FIFO;46、读数据选择模块;5、存储系统接口模块。
具体实施方式
如图1所示,本实施例提供一种用于存储系统的安全隔离方法,实施步骤包括:
1)截获片上网络对存储系统的读写请求,根据读写地址是否访问安全域来判断读写请求是否合法,如果读写请求合法则跳转执行步骤2);否则跳转执行步骤3);
2)继续向存储系统发送读写请求、等待并缓存响应报文,跳转步骤4);
3)阻塞并丢弃读写请求、直接生成预设内容的响应报文,跳转步骤4);
4)将读写请求具有相同响应通道编号的响应报文按照读写请求的发起顺序返回给片上网络。
本实施例中,根据读写地址是否访问安全域来判断读写请求是否合法具体是依次扫描从安全域1到安全域N-1,每扫描一个安全域,则检查读写请求的地址是否在安全域的地址空间内,如果在该安全域内,则根据该域对应的安全控制寄存器检查该请求是否合法,并终止对后续安全域的扫描;否则进入下一个安全域进行检查,直到最多可支持的第N个域。
本实施例中,如果读写请求中的地址仍不在安全域N-1的地址空间内,则进入默认域0,访问地址落在默认域0的所有请求都是合法的。本实施例用于存储系统的安全隔离方法是基于AXI接口连接在片上网络和存储系统(DRAM)的控制器之间,AXI请求要求维序,所以步骤4)需要将读写请求的响应报文按照读写请求的发起顺序返回给片上网络,由于AXI的读写请求是相互独立的,所以对读写请求的维序设计也是独立的。对于写请求而言,包括写地址通道AW、写数据通道W和写返回通道B,首先在写地址通道AW上需要使用一个缓存记录请求是否合法及其ID,同时将合法请求转发出去;如果写数据通道W上数据对应的请求是合法的,将该数据进行转发,否则直接丢弃;接收到的B通道内返回的响应报文(response)都是合法请求的,内部需要根据之前的缓存的请求的合法性及ID来维护装置发出的写返回通道B内的相同ID的响应报文(response)是按照原请求顺序返回的。对于读请求而言,包括读地址通道AR、读数据通道R,首先在读地址通道AR上需要使用一个缓存记录请求是否合法及其ID,同时将合法请求转发出去;接收到的读数据通道R内返回的数据都是合法请求的,在装置内部需要根据之前的缓存的请求的合法性及ID来维护装置发出的读数据通道R内的相同ID的数据是按照原请求顺序返回的。
如图2所示,本实施例提供一种用于存储系统的安全隔离装置,包括时钟转换单元和安全隔离装置,安全隔离装置包括控制寄存器单元1、片上网络接口模块2、写请求过滤单元3、读请求过滤单元4以及存储系统接口模块5,片上网络接口模块2分别通过写请求过滤单元3、读请求过滤单元4和存储系统接口模块5相连,且写请求过滤单元3、读请求过滤单元4分别与控制寄存器单元1相连,控制寄存器单元1与时钟转换单元相连。写请求过滤单元3和读请求过滤单元4分别截获片上网络对存储系统的写、读请求,根据读写地址是否访问安全域来判断读写请求是否合法,如果读写请求合法则继续向存储系统发送读写请求、等待并缓存响应报文;否则阻塞并丢弃读写请求、直接生成预设内容的响应报文,最终将读写请求的响应报文按照读写请求的发起顺序返回给片上网络。
本实施例中,时钟转换单元为APB桥,用于将片上网络的APB总线上传输的信号从APB的时钟域转换到AXI时钟域,实现跨时钟转换。在开机上电时由BIOS或者uboot通过APB总线(如果APB的时钟域与AXI的时钟域不同,则需要使用APB桥1进行跨时钟域转换)配置存储系统的安全域,设置安全隔离装置内的控制寄存器,即配置安全域的起始地址、结束地址、使能信号、访问安全域需要满足的条件(如该安全域只能读、只能写、只有在AW通道或AR通道内的prot[1]信号为0时才能读写等)、非法请求返回何种数据等控制寄存器。分别获取AXI总线上有效的读写请求,根据地址找到所属的安全域或者默认域,然后根据该域的相关的配置寄存器检查该请求是否合法。安全隔离装置对非法请求进行过滤,但非法请求也必须返回报文,否则将造成系统的死锁,所以在安全隔离装置内部需要非法请求的返回报文进行处理,并对合法请求与非法请求的返回报文进行维序。AXI协议的读写请求是相互独立的,故在安全隔离装置内部对返回报文的处理也是独立设计的。
安全隔离装置即为本实施例用于存储系统的安全隔离装置的核心部件。
本实施例中,控制寄存器单元1内主要是一些控制寄存器,如安全域的起始地址寄存器、结束地址寄存器、使能寄存器等,这些控制寄存器用来表明每一个安全域的地址空间的起始地址、结束地址、使能等标志,进而控制写请求过滤单元3、读请求过滤单元4过滤的行为。
本实施例中,片上网络接口模块2为AXI slave接口,用于和片上网络的AXImaster接口相连;存储系统接口模块5则为AXI master接口相连,用于和存储系统(DRAM)的控制器DMC相连,安全隔离装置通过片上网络接口模块2、存储系统接口模块5实现了片上网络、存储系统(DRAM)的控制器DMC两者之间的媒介,从而可以利用写请求过滤单元3、读请求过滤单元4截获读写请求并进行过滤。
如图3所示,写请求过滤单元3包括写合法检查模块31、写合法标识检查模块32、写地址FIFO33、维序缓冲34、写数据控制FIFO35、写数据FIFO36、写返回FIFO37以及写返回选择模块38,写合法检查模块31根据控制寄存器单元1设置的安全域信息对进入写请求的写地址进行合法检查来判断写请求是否合法,将合法的写请求的写地址写入写地址FIFO33以输出至存储系统接口模块5,同时将所有写请求的写地址通道编号awid、写地址合法标志位awlegal写入维序缓冲34、将所有写请求的合法检查结果作为合法标识位legal写入写数据控制FIFO35,写合法标识检查模块32根据写数据控制FIFO35输出的合法标识位legal将非法的写请求的写数据丢弃、将合法的写请求的数据写入写数据FIFO36中以输出至存储系统接口模块5,写返回FIFO37接收存储系统接口模块5返回的响应报文,写返回选择模块38根据维序缓冲34中缓存项目输出的写地址合法标志位awlegal判断缓冲对应写请求的合法性,针对合法的写请求,则当写返回FIFO37中输出写请求的响应报文时将维序缓冲34中对应的项弹出并将写请求的响应报文返回给片上网络接口模块2;针对非法的写请求,则根据维序缓冲34输出数据中的写地址通道编号awid以及根据控制寄存器单元1中的预设内容生成返回的响应报文并返回给片上网络接口模块2。
本实施例中,写合法检查模块31用来判断写请求是否合法,写合法标识检查模块32用来根据写数据控制FIFO35输出的合法标识位legal选择将写数据丢弃或者写入写数据FIFO36,写地址FIFO33用来存储合法写请求,维序缓冲34用来存储写地址通道编号awid、写地址合法标志位awlegal,写数据控制FIFO35用来存储合法写请求的合法标识位legal,写数据FIFO36用来缓存合法请求的数据,写返回FIFO37用来缓存合法请求返回值,写返回选择模块38用来选择返回的响应报文。写合法检查模块31进行合法性判断后,且若写请求为合法请求,则将除握手信号ready和valid之外的请求信号(AXI协议中每个通道内都有一组握手信号ready和valid)均写入写地址FIFO33中。写返回选择模块38根据维序缓冲34输出的合法标志位awlegal判断是应该处理合法请求还是处理非法请求。若为合法请求,则处理写返回FIFO37内的数据;若为非法请求,则根据写返回FIFO37输出数据中的bid以及根据寄存器的内容生成返回的响应报文。经过写返回选择模块38处理后的B通道的数据通过AXIslave接口转发给片上网络。
其中,写地址FIFO33、写数据控制FIFO35、写数据FIFO36、写返回FIFO37均为标准FIFO(先进先出)队列结构。
如图4所示,维序缓冲34包含一个01序列和一个缓冲器buffer,01序列中的每一位是一个bit位,缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,缓冲器buffer中的某一项对应的写地址通道编号awid与响应报文编号bid相等或者合法标志位awlegal为0,则其在01序列中对应的值为1、否则为0,01序列中值为1的缓冲项目表示为一个可被写返回选择模块38处理的缓冲项目;当维序缓冲34的空标志b_empty为1时,表示响应报文编号bid无效,此时的01序列只有最前端的一位为1,其余位均为0;当维序缓冲34的读使能信号为1 时,通过01序列找到的项后面的项均需要前移一项;当维序缓冲34的当写使能信号为1且读使能信号为0时,维序缓冲34将输入信号写入尚未有有效数据的空间的最前端的位置处;当维序缓冲34的读写使能信号均为1时,维序缓冲34将输入信号写入最后一个有效数据所在的位置处。维序缓冲34用来对写返回通道B的信号进行维序的,它的端口中包括时钟信号、复位信号、空标志信号、满标志信号、写使能信号、读使能信号、输入信号、输出信号、bid信号以及b_empty信号,其中时钟和复位信号都来自AXI域的时钟和复位信号、空标志信号及满标志信号是维序缓冲34输出的空满标志、写使能信号(当前请求是否为有效请求)与输入信号(写地址通道编号awid及合法标志位awlegal)均来自写合法检查模块31、读使能信号来自b_empty及bready信号、bid用来选择需要输出的项,b_empty则用来表示bid是否有效,bid与b_empty均来自写返回FIFO37。
如图5所示,读请求过滤单元4包括读合法检查模块41、读请求FIFO42、合法读缓冲43、非法读缓冲44、读数据FIFO45以及读数据选择模块46,读合法检查模块41根据控制寄存器单元1设置的安全域信息对进入读请求的读地址进行合法检查来判断读请求是否合法,将合法的读请求写入读请求FIFO42以输出至存储系统接口模块5、并将读请求的度地址通道编号arid写入合法读缓冲43,针对非法的读请求基于合法读缓冲43统计得到具有相同地址通道编号arid且尚未返回的合法读请求的数目num,并将读址通道编号arid、长度len及其数目num写入非法读缓冲44中,读数据FIFO45接收存储系统接口模块5返回的读数据,并将其输出数据中的通道编号rid分别输出给合法读缓冲43用来选择可选弹出项、输出给非法读缓冲44用来选择需要输出的项,并用输出数据中的用来标识当前数据为相应读请求的最后一拍数据的rlast来控制非法读缓冲44的读使能,读数据选择模块46检测非法读缓冲44输出数据中的数目num,在数目num大于0时将读数据FIFO45输出的数据返回给片上网络接口模块2、在数目num为0时根据非法读缓冲44输出数据中的读址通道编号arid、长度len以及控制寄存器单元1中的预设内容生成返回的响应报文并返回给片上网络接口模块2。
本实施例中,读请求FIFO42用来存储合法请求,合法读缓冲43用来存储合法请求的读址通道编号arid(读地址通道内的ID),非法读缓冲44用来存储非法请求的arid、len(读地址通道内的LEN)及与当前的非法请求具有相同arid且尚未返回的合法请求的数目num,读数据FIFO45用来存储读数据通道R上的读数据。有效的读请求通道AR的信号经过读合法检查模块41后,若该请求为合法请求,则将除握手信号ready和valid之外的请求信号均写入读请求FIFO42中,且将请求中的arid信号写入合法读缓冲43中,若该请求为非法请求,则将请求中的arid、arlen以及当前的非法请求具有相同arid且尚未返回的合法请求的数目num(在合法读缓冲43中统计得到)写入非法读缓冲44中。读请求FIFO42内的数据信号通过AXI master接口转发给存储系统;存储系统对每一个读请求处理结束之后都将通过读数据通道R将处理结果返回,AXI master接口在接收到有效R通道的信号后直接写入读数据FIFO45中;读数据FIFO45的输出的数据中的rid进入合法读缓冲43、非法读缓冲44中,在合法读缓冲43中用来选择可选弹出项,而在非法读缓冲44中用来选择需要输出的项,读数据FIFO45的输出的数据中的用来标识当前数据为相应读请求的最后一拍数据的rlast则用来控制合法读缓冲43的读使能信号。读数据选择模块46根据非法读缓冲44输出数据中的数目num判断是应该处理合法请求还是处理非法请求。若num大于0,则处理读数据FIFO45内的数据,若num为0,则根据非法读缓冲44输出的arid、arlen以及控制非法请求输出的寄存器处理该非法请求。经过读数据选择模块46处理后的读数据通道R的数据通过AXI slave接口转发给片上网络。其中,读请求FIFO42、读数据FIFO45均为标准FIFO(先进先出)队列结构。
如图6所示,合法读缓冲43包含一个01序列和一个缓冲器buffer,01序列中的每一位是一个bit位,缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,针对可选弹出项,若缓冲器buffer中某一项对应的地址通道编号arid与读响应报文编号rid相等则在01序列中对应的值为1、否则为0;当合法读缓冲43的读使能信号为1 时,则合法读缓冲43中对应01序列找到的项后面的项均需要前移一项;当合法读缓冲43的写使能信号为1且读使能信号为0时,合法读缓冲43将输入信号写入尚未有有效数据的空间的最前端的位置处;当合法读缓冲43的读写使能信号均为1时,合法读缓冲43将输入信号写入最后一个有效数据所在的位置处;针对合法读缓冲43,统计缓冲器buffer内的地址通道编号arid与输入合法读缓冲43的缓冲报文编号din相同的项目的数目num并输出。合法读缓冲43用来对读数据通道R的信号进行维序,它的端口中包括时钟信号、复位信号、空标志信号、满标志信号、写使能信号、读使能信号、输入信号、输出信号(num信号)、rid信号,其中时钟和复位信号都来自AXI域的时钟和复位信号、空标志信号及满标志信号是合法读缓冲43输出的空满标志、写使能信号(当前请求是否为有效且合法请求)与输入信号(读地址通道编号arid)均来自检查模块41、读使能信号与读数据FIFO45的用来标识当前数据为相应读请求的最后一拍数据的rlast信号相关、输出信号将进入非法读缓冲44,rid用来选择需要输出的项,也来自读数据FIFO45。
如图7所示,非法读缓冲44包含一个01序列和一个缓冲器buffer,01序列中的每一位是一个bit位,缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,缓冲器buffer中的某一项对应的地址通道编号arid与读响应报文编号rid相等或者具有相同地址通道编号arid且尚未返回的合法读请求的数目num为零,则其在01序列中对应的值为1、否则为0;当非法读缓冲44的读使能信号为1 时,通过01序列找到的项后面的项均需要前移一项;当非法读缓冲44的写使能信号为1且读使能信号为0时,非法读缓冲44将输入信号写入尚未有有效数据的空间的最前端的位置处;当非法读缓冲44的读写使能信号均为1时,合法读缓冲43将输入信号写入最后一个有效数据所在的位置处;当合法读缓冲43的读使能信号为1时,则将非法读缓冲44内地址通道编号arid与读响应报文编号rid相等的所有项中的数目num减1(表示该项前面的尚未处理的且与该项具有相同ID的合法请求的数目少了一个);针对非法读缓冲44,在缓冲器buffer中找到第一次出现地址通道编号arid与读响应报文编号rid相等或者数目num为0的项,将该项对应的内容进行输出。buffer 73用来对读数据通道R的信号进行维序,它的端口中包括时钟信号、复位信号、空标志信号、满标志信号、写使能信号、读使能信号、输入信号、输出信号、rid信号,其中时钟和复位信号都来自AXI域的时钟和复位信号、空标志信号及满标志信号是非法读缓冲44输出的空满标志、写使能信号(当前请求是否为有效且非法请求)与输入信号(读地址通道编号arid、拍数len、来自合法读缓冲44的num)均来自检查模块41、读使能信号与读数据FIFO45的用来标识当前数据为相应读请求的最后一拍数据的rlast信号相关、输出信号将进入读数据选择模块46,rid用来选择需要输出的项,也来自读数据FIFO45。
综上,本实施例用于存储系统的安全隔离装置提出了从存储系统划分出安全域,以保证敏感信息的安全,且使用一种高效的、易于实现、低延迟的方法实现了AXI协议的维序。
以上所述仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种用于存储系统的安全隔离方法,其特征在于实施步骤包括:
1)截获片上网络对存储系统的读写请求,根据读写地址是否访问安全域来判断读写请求是否合法,如果读写请求合法则跳转执行步骤2);否则跳转执行步骤3);
2)继续向存储系统发送读写请求、等待并缓存响应报文,跳转步骤4);
3)阻塞并丢弃读写请求、直接生成预设内容的响应报文,跳转步骤4);
4)将读写请求具有相同响应通道编号的响应报文按照读写请求的发起顺序返回给片上网络。
2.一种用于存储系统的安全隔离装置,其特征在于,包括时钟转换单元和安全隔离装置,所述安全隔离装置包括控制寄存器单元(1)、片上网络接口模块(2)、写请求过滤单元(3)、读请求过滤单元(4)以及存储系统接口模块(5),所述片上网络接口模块(2)分别通过写请求过滤单元(3)、读请求过滤单元(4)和存储系统接口模块(5)相连,且所述写请求过滤单元(3)、读请求过滤单元(4)分别与控制寄存器单元(1)相连,所述控制寄存器单元(1)与时钟转换单元相连。
3.根据权利要求2所述的用于存储系统的安全隔离装置,其特征在于,所述写请求过滤单元(3)包括写合法检查模块(31)、写合法标识检查模块(32)、写地址FIFO(33)、维序缓冲(34)、写数据控制FIFO(35)、写数据FIFO(36)、写返回FIFO(37)以及写返回选择模块(38),所述写合法检查模块(31)根据控制寄存器单元(1)设置的安全域信息对进入写请求的写地址进行合法检查来判断写请求是否合法,将合法的写请求的写地址写入写地址FIFO(33)以输出至存储系统接口模块(5),同时将所有写请求的写地址通道编号awid、写地址合法标志位awlegal写入维序缓冲(34)、将所有写请求的合法检查结果作为合法标识位legal写入写数据控制FIFO(35),所述写合法标识检查模块(32)根据写数据控制FIFO(35)输出的合法标识位legal将非法的写请求的写数据丢弃、将合法的写请求的数据写入写数据FIFO(36)中以输出至存储系统接口模块(5),所述写返回FIFO(37)接收存储系统接口模块(5)返回的响应报文,所述写返回选择模块(38)根据维序缓冲(34)中缓存项目输出的写地址合法标志位awlegal判断缓冲对应写请求的合法性,针对合法的写请求,则当写返回FIFO(37)中输出写请求的响应报文时将维序缓冲(34)中对应的项弹出并将写请求的响应报文返回给片上网络接口模块(2);针对非法的写请求,则根据维序缓冲(34)输出数据中的写地址通道编号awid以及根据控制寄存器单元(1)中的预设内容生成返回的响应报文并返回给片上网络接口模块(2)。
4.根据权利要求3所述的用于存储系统的安全隔离装置,其特征在于,所述维序缓冲(34)包含一个01序列和一个缓冲器buffer,所述01序列中的每一位是一个bit位,所述缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,所述缓冲器buffer中的某一项对应的写地址通道编号awid与响应报文编号bid相等或者合法标志位awlegal为0,则其在01序列中对应的值为1、否则为0,01序列中值为1的缓冲项目表示为一个可被写返回选择模块(38)处理的缓冲项目;当维序缓冲(34)的空标志b_empty为1时,表示响应报文编号bid无效,此时的01序列只有最前端的一位为1,其余位均为0;当维序缓冲(34)的读使能信号为1 时,通过01序列找到的项后面的项均需要前移一项;当维序缓冲(34)的当写使能信号为1且读使能信号为0时,维序缓冲(34)将输入信号写入尚未有有效数据的空间的最前端的位置处;当维序缓冲(34)的读写使能信号均为1时,维序缓冲(34)将输入信号写入最后一个有效数据所在的位置处。
5.根据权利要求4所述的用于存储系统的安全隔离装置,其特征在于,所述读请求过滤单元(4)包括读合法检查模块(41)、读请求FIFO(42)、合法读缓冲(43)、非法读缓冲(44)、读数据FIFO(45)以及读数据选择模块(46),所述读合法检查模块(41)根据控制寄存器单元(1)设置的安全域信息对进入读请求的读地址进行合法检查来判断读请求是否合法,将合法的读请求写入读请求FIFO(42)以输出至存储系统接口模块(5)、并将读请求的度地址通道编号arid写入合法读缓冲(43),针对非法的读请求基于合法读缓冲(43)统计得到具有相同地址通道编号arid且尚未返回的合法读请求的数目num,并将读址通道编号arid、长度len及其数目num写入非法读缓冲(44)中,所述读数据FIFO(45)接收存储系统接口模块(5)返回的读数据,并将其输出数据中返回通道编号rid分别输出给合法读缓冲(43)用来选择可选弹出项、输出给非法读缓冲(44)用来选择需要输出的项,并用输出数据中的用来标识当前数据为相应读请求的最后一拍数据的rlast来控制非法读缓冲(44)的读使能,所述读数据选择模块(46)检测非法读缓冲(44)输出数据中的数目num,在数目num大于0时将读数据FIFO(45)输出的数据返回给片上网络接口模块(2)、在数目num为0时根据非法读缓冲(44)输出数据中的读址通道编号arid、长度len以及控制寄存器单元(1)中的预设内容生成返回的响应报文并返回给片上网络接口模块(2)。
6.根据权利要求5所述的用于存储系统的安全隔离装置,其特征在于,所述合法读缓冲(43)包含一个01序列和一个缓冲器buffer,所述01序列中的每一位是一个bit位,所述缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,针对可选弹出项,若缓冲器buffer中某一项对应的地址通道编号arid与读响应报文编号rid相等则在01序列中对应的值为1、否则为0;当合法读缓冲(43)的读使能信号为1 时,则合法读缓冲(43)中对应01序列找到的项后面的项均需要前移一项;当合法读缓冲(43)的写使能信号为1且读使能信号为0时,合法读缓冲(43)将输入信号写入尚未有有效数据的空间的最前端的位置处;当合法读缓冲(43)的读写使能信号均为1时,合法读缓冲(43)将输入信号写入最后一个有效数据所在的位置处;针对合法读缓冲(43),统计缓冲器buffer内的地址通道编号arid与输入合法读缓冲(43)的缓冲报文编号din相同的项目的数目num并输出。
7.根据权利要求6所述的用于存储系统的安全隔离装置,其特征在于,所述非法读缓冲(44)包含一个01序列和一个缓冲器buffer,所述01序列中的每一位是一个bit位,所述缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,所述缓冲器buffer中的某一项对应的地址通道编号arid与读响应报文编号rid相等或者具有相同地址通道编号arid且尚未返回的合法读请求的数目num为零,则其在01序列中对应的值为1、否则为0;当非法读缓冲(44)的读使能信号为1 时,通过01序列找到的项后面的项均需要前移一项;当非法读缓冲(44)的写使能信号为1且读使能信号为0时,非法读缓冲(44)将输入信号写入尚未有有效数据的空间的最前端的位置处;当非法读缓冲(44)的读写使能信号均为1时,合法读缓冲(43)将输入信号写入最后一个有效数据所在的位置处;当合法读缓冲(43)的读使能信号为1时,则将非法读缓冲(44)内地址通道编号arid与读响应报文编号rid相等的所有项中的数目num减1;针对非法读缓冲(44),在缓冲器buffer中找到第一次出现地址通道编号arid与读响应报文编号rid相等或者数目num为0的项,将该项对应的内容进行输出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810475132.8A CN108958649B (zh) | 2018-05-17 | 2018-05-17 | 一种用于存储系统的安全隔离方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810475132.8A CN108958649B (zh) | 2018-05-17 | 2018-05-17 | 一种用于存储系统的安全隔离方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108958649A true CN108958649A (zh) | 2018-12-07 |
| CN108958649B CN108958649B (zh) | 2021-03-23 |
Family
ID=64499240
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810475132.8A Active CN108958649B (zh) | 2018-05-17 | 2018-05-17 | 一种用于存储系统的安全隔离方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108958649B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109753248A (zh) * | 2019-01-22 | 2019-05-14 | 上海微小卫星工程中心 | 存储访问控制器和访问存储器的方法 |
| CN112181871A (zh) * | 2020-09-28 | 2021-01-05 | 中国人民解放军国防科技大学 | 处理器与内存间写阻塞式通信控制方法、部件、设备及介质 |
| CN112214945A (zh) * | 2020-10-13 | 2021-01-12 | 安徽芯纪元科技有限公司 | 一种axi总线隔离保护结构及其保护方法 |
| CN112231250A (zh) * | 2019-06-30 | 2021-01-15 | 微软技术许可有限责任公司 | 存储设备的性能隔离 |
| CN113722750A (zh) * | 2021-07-20 | 2021-11-30 | 南京航空航天大学 | 基于认证加密和组密钥的片上网络安全域构建方法 |
| CN113923207A (zh) * | 2021-09-28 | 2022-01-11 | 广东女子职业技术学院 | 计算机网络监控方法和终端 |
| CN114384856A (zh) * | 2021-12-06 | 2022-04-22 | 山东爱普电气设备有限公司 | 一种可编程控制器Modbus串口通讯的多请求处理方法 |
| CN115189977A (zh) * | 2022-09-09 | 2022-10-14 | 太初(无锡)电子科技有限公司 | 一种基于axi协议的广播传输方法、系统及介质 |
| CN116521095A (zh) * | 2023-07-03 | 2023-08-01 | 摩尔线程智能科技(北京)有限责任公司 | 响应输出系统、方法、电子设备、存储介质及程序产品 |
| CN116912079A (zh) * | 2023-09-12 | 2023-10-20 | 北京象帝先计算技术有限公司 | 数据处理系统、电子组件、电子设备及数据处理方法 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102184365A (zh) * | 2011-06-07 | 2011-09-14 | 郑州信大捷安信息技术有限公司 | 基于SoC芯片外部数据安全存储架构及存取控制方法 |
| CN102930185A (zh) * | 2012-11-28 | 2013-02-13 | 中国人民解放军国防科学技术大学 | 运行时程序安全关键数据的完整性验证方法及装置 |
| CN103699498A (zh) * | 2013-11-25 | 2014-04-02 | 南京大学 | 一种应用程序关键数据保护系统及其保护方法 |
| CN104463033A (zh) * | 2014-12-29 | 2015-03-25 | 宇龙计算机通信科技(深圳)有限公司 | 存储区域设置方法、存储区域设置装置与终端 |
| CN104636085A (zh) * | 2015-01-27 | 2015-05-20 | 北京理工大学 | 一种片上网络消息缓冲区的存储管理模块 |
| CN104679813A (zh) * | 2013-11-28 | 2015-06-03 | 三星电子株式会社 | 数据储存设备、数据储存方法和数据储存系统 |
| US20150178204A1 (en) * | 2013-12-24 | 2015-06-25 | Joydeep Ray | Common platform for one-level memory architecture and two-level memory architecture |
| CN105511591A (zh) * | 2015-12-31 | 2016-04-20 | 天津飞腾信息技术有限公司 | 基于双阈值功耗自适应的dvfs调节算法 |
| CN105740168A (zh) * | 2016-01-23 | 2016-07-06 | 中国人民解放军国防科学技术大学 | 一种容错目录高速缓存控制器 |
| CN106326130A (zh) * | 2015-06-16 | 2017-01-11 | 联芯科技有限公司 | 寄存器地址空间的控制方法、控制器及片上系统 |
| US20170192689A1 (en) * | 2015-12-30 | 2017-07-06 | Arteris, Inc. | System to reduce directory information storage |
| CN107066311A (zh) * | 2017-03-20 | 2017-08-18 | 中国科学院软件研究所 | 一种内核数据访问控制方法与系统 |
| CN107707491A (zh) * | 2017-09-28 | 2018-02-16 | 中国人民解放军国防科技大学 | 一种实现多级片上互连的装置及方法 |
| CN107851170A (zh) * | 2015-07-20 | 2018-03-27 | 英特尔公司 | 支持用于存储器地址范围的可配置安全级别 |
-
2018
- 2018-05-17 CN CN201810475132.8A patent/CN108958649B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102184365A (zh) * | 2011-06-07 | 2011-09-14 | 郑州信大捷安信息技术有限公司 | 基于SoC芯片外部数据安全存储架构及存取控制方法 |
| CN102930185A (zh) * | 2012-11-28 | 2013-02-13 | 中国人民解放军国防科学技术大学 | 运行时程序安全关键数据的完整性验证方法及装置 |
| CN103699498A (zh) * | 2013-11-25 | 2014-04-02 | 南京大学 | 一种应用程序关键数据保护系统及其保护方法 |
| CN104679813A (zh) * | 2013-11-28 | 2015-06-03 | 三星电子株式会社 | 数据储存设备、数据储存方法和数据储存系统 |
| US20150178204A1 (en) * | 2013-12-24 | 2015-06-25 | Joydeep Ray | Common platform for one-level memory architecture and two-level memory architecture |
| CN104463033A (zh) * | 2014-12-29 | 2015-03-25 | 宇龙计算机通信科技(深圳)有限公司 | 存储区域设置方法、存储区域设置装置与终端 |
| CN104636085A (zh) * | 2015-01-27 | 2015-05-20 | 北京理工大学 | 一种片上网络消息缓冲区的存储管理模块 |
| CN106326130A (zh) * | 2015-06-16 | 2017-01-11 | 联芯科技有限公司 | 寄存器地址空间的控制方法、控制器及片上系统 |
| CN107851170A (zh) * | 2015-07-20 | 2018-03-27 | 英特尔公司 | 支持用于存储器地址范围的可配置安全级别 |
| US20170192689A1 (en) * | 2015-12-30 | 2017-07-06 | Arteris, Inc. | System to reduce directory information storage |
| CN105511591A (zh) * | 2015-12-31 | 2016-04-20 | 天津飞腾信息技术有限公司 | 基于双阈值功耗自适应的dvfs调节算法 |
| CN105740168A (zh) * | 2016-01-23 | 2016-07-06 | 中国人民解放军国防科学技术大学 | 一种容错目录高速缓存控制器 |
| CN107066311A (zh) * | 2017-03-20 | 2017-08-18 | 中国科学院软件研究所 | 一种内核数据访问控制方法与系统 |
| CN107707491A (zh) * | 2017-09-28 | 2018-02-16 | 中国人民解放军国防科技大学 | 一种实现多级片上互连的装置及方法 |
Non-Patent Citations (2)
| Title |
|---|
| XIUKUN WEI; KUN GUO; HAI LIU; LIMIN JIA: "Fault isolation for light rail vehicle suspension system based on multi-sensor information fusion", 《 2013 25TH CHINESE CONTROL AND DECISION CONFERENCE (CCDC)》 * |
| 王熙友: "ARM TrustZone安全隔离技术研究与应用", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109753248A (zh) * | 2019-01-22 | 2019-05-14 | 上海微小卫星工程中心 | 存储访问控制器和访问存储器的方法 |
| CN112231250A (zh) * | 2019-06-30 | 2021-01-15 | 微软技术许可有限责任公司 | 存储设备的性能隔离 |
| CN112181871A (zh) * | 2020-09-28 | 2021-01-05 | 中国人民解放军国防科技大学 | 处理器与内存间写阻塞式通信控制方法、部件、设备及介质 |
| CN112214945B (zh) * | 2020-10-13 | 2023-11-14 | 安徽芯纪元科技有限公司 | 一种axi总线隔离保护结构及其保护方法 |
| CN112214945A (zh) * | 2020-10-13 | 2021-01-12 | 安徽芯纪元科技有限公司 | 一种axi总线隔离保护结构及其保护方法 |
| CN113722750A (zh) * | 2021-07-20 | 2021-11-30 | 南京航空航天大学 | 基于认证加密和组密钥的片上网络安全域构建方法 |
| CN113722750B (zh) * | 2021-07-20 | 2024-03-19 | 南京航空航天大学 | 基于认证加密和组密钥的片上网络安全域构建方法 |
| CN113923207A (zh) * | 2021-09-28 | 2022-01-11 | 广东女子职业技术学院 | 计算机网络监控方法和终端 |
| CN114384856A (zh) * | 2021-12-06 | 2022-04-22 | 山东爱普电气设备有限公司 | 一种可编程控制器Modbus串口通讯的多请求处理方法 |
| CN114384856B (zh) * | 2021-12-06 | 2024-04-09 | 山东爱普电气设备有限公司 | 一种可编程控制器Modbus串口通讯的多请求处理方法 |
| CN115189977A (zh) * | 2022-09-09 | 2022-10-14 | 太初(无锡)电子科技有限公司 | 一种基于axi协议的广播传输方法、系统及介质 |
| CN115189977B (zh) * | 2022-09-09 | 2023-01-06 | 太初(无锡)电子科技有限公司 | 一种基于axi协议的广播传输方法、系统及介质 |
| CN116521095A (zh) * | 2023-07-03 | 2023-08-01 | 摩尔线程智能科技(北京)有限责任公司 | 响应输出系统、方法、电子设备、存储介质及程序产品 |
| CN116521095B (zh) * | 2023-07-03 | 2023-09-08 | 摩尔线程智能科技(北京)有限责任公司 | 响应输出系统、方法、电子设备、存储介质及程序产品 |
| CN116912079A (zh) * | 2023-09-12 | 2023-10-20 | 北京象帝先计算技术有限公司 | 数据处理系统、电子组件、电子设备及数据处理方法 |
| CN116912079B (zh) * | 2023-09-12 | 2024-02-20 | 北京象帝先计算技术有限公司 | 数据处理系统、电子组件、电子设备及数据处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108958649B (zh) | 2021-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108958649A (zh) | 一种用于存储系统的安全隔离方法及装置 | |
| Lee et al. | An {Off-Chip} attack on hardware enclaves via the memory bus | |
| TWI596475B (zh) | 使用簽名之位址驗證 | |
| US8190665B2 (en) | Random cache line refill | |
| US7363389B2 (en) | Apparatus and method for enhanced channel adapter performance through implementation of a completion queue engine and address translation engine | |
| US7571294B2 (en) | NoDMA cache | |
| Zhang et al. | SENSS: Security enhancement to symmetric shared memory multiprocessors | |
| CN105512055A (zh) | 用于减少存储器信息泄漏的系统和方法 | |
| US20060184804A1 (en) | Data processing apparatus security | |
| US11456855B2 (en) | Obfuscating data at-transit | |
| US20130111073A1 (en) | Network processor with distributed trace buffers | |
| Brumley | Cache storage attacks | |
| US6298394B1 (en) | System and method for capturing information on an interconnect in an integrated circuit | |
| US7861104B2 (en) | Methods and apparatus for collapsing interrupts | |
| JP2014211813A (ja) | トレース収集回路及びトレース収集方法 | |
| CN107861895B (zh) | 基于分布式仲裁的可编程输入输出pio写合并装置和方法 | |
| CN114912107A (zh) | 访问管理方法、相关装置、系统及计算机可读存储介质 | |
| US6473844B1 (en) | System and method to protect vital memory space from non-malicious writes in a multi domain system | |
| US6349371B1 (en) | Circuit for storing information | |
| US7089387B2 (en) | Methods and apparatus for maintaining coherency in a multi-processor system | |
| US7266728B1 (en) | Circuit for monitoring information on an interconnect | |
| JPH02254553A (ja) | 情報処理装置 | |
| US20230020359A1 (en) | System, method and apparatus for reducing latency of receiver operations during a containment mode of operation | |
| CN111143897A (zh) | 数据安全处理装置、系统及处理方法 | |
| JPH07107671B2 (ja) | 情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 300452 Building 5, Xin'an pioneer Plaza, Binhai New Area marine high tech Development Zone, Tianjin Patentee after: Feiteng Information Technology Co.,Ltd. Address before: 300452 Building 5, Xin'an pioneer Plaza, Binhai New Area marine high tech Development Zone, Tianjin Patentee before: TIANJIN FEITENG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |