CN108959138B - 包括与通用输入/输出焊盘通信的知识产权电路的系统、对应设备和方法 - Google Patents
包括与通用输入/输出焊盘通信的知识产权电路的系统、对应设备和方法 Download PDFInfo
- Publication number
- CN108959138B CN108959138B CN201810451270.2A CN201810451270A CN108959138B CN 108959138 B CN108959138 B CN 108959138B CN 201810451270 A CN201810451270 A CN 201810451270A CN 108959138 B CN108959138 B CN 108959138B
- Authority
- CN
- China
- Prior art keywords
- circuit
- intellectual property
- state
- general purpose
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/20—Handling requests for interconnection or transfer for access to input/output bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4004—Coupling between buses
- G06F13/4022—Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/76—Architectures of general purpose stored program computers
- G06F15/78—Architectures of general purpose stored program computers comprising a single central processing unit
- G06F15/7807—System on chip, i.e. computer system on a single chip; System in package, i.e. computer system on one or more chips in a single package
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
Abstract
一种系统包括:知识产权电路;通用输入/输出电路,经由数据路径耦合至知识产权电路;以及开关,耦合至数据路径。开关经由在开关使能路径上传播的开关使能信号可启动,开关使能路径具有耦合至知识产权电路的第一端和耦合至通用输入/输出电路的第二端。系统还包括沿着开关使能路径耦合在知识产权电路与通用输入/输出电路之间的安全链路电路。安全链路电路对知识产权电路和通用输入/输出电路的安全性状态敏感,安全链路电路配置为响应于知识产权电路和通用输入/输出电路具有相同的安全性状态,而允许在开关使能路径上传播开关使能信号。
Description
相关申请的交叉引用
本申请要求2017年5月26日提交的意大利专利申请第102017000057307号的优先权,由此该申请以引用的方式并入本文。
技术领域
本说明书总体涉及包括与通用输入/输出(GPIO)焊盘进行通信的多个知识产权电路(IP)的系统。为了简洁起见,将在下文中将这种系统称为IP-GPIO系统。
背景技术
出于安全性原因,各种新兴应用场景(诸如物联网(IoT)或者汽车领域)助长了越来越多的兴趣来保护数据和代码不受潜在软件攻击。
因此,诸如采用微控制器的消费品(例如家用器具,诸如电视屏幕、冰箱、洗衣机等)的通用产品也需要一定程度的保护,以确保对这些方面的妥善处理。因此,越来越关注片上系统(SoC)中的模拟知识产权(IP)与通用输入/输出焊盘(GPIO)之间的互连,并且越来越关注在关联的硬件链路上交换的信息。
为了满足不同的应用需求,通用市场上的各种产品(例如微控制器)可以包括将多个模拟IP连接至相同GPIO从而允许从不同的内部源对相同的外部目的地进行访问的硬件能力。为此,通过嵌入GPIO中的专用模拟开关(一个专用模拟开关用于与GPIO连接的每个模拟IP),可以获得对GPIO内的共享路径的访问。可以借助于来自与模拟IP相关联的数字逻辑的数字使能信号,来控制这些开关,从而允许或者拒绝将与特定IP有关的模拟信号传输至由GPIO处理的输出焊盘。
可以通过在嵌入式核上运行的软件,来实现这多种可能的连接之间的电气免竞争。这可以根据某个选择的应用来配置产品,从而在一个或者多个模拟IP与特定GPIO之间使能适当的连接。
这种方法可以提供灵活性,因为:从模拟IP的角度看,连接至不同GPIO的可能性;以及从GPIO的角度看,由不同的模拟IP进行访问的可能性。
SoC支持多个封装和引脚数选项(适于涵盖从低成本、低功率装置跨到高性能、全连接性需求的应用)的能力可以表示一项有利条件,例如允许受软件控制的系统重新配置。欧洲专利申请17305250.7是本文所考虑的领域中的先前进展示例。
尽管在该领域中的大量活动,但仍需要其它改进解决方案,以在不使布置过于复杂(并且对应地,昂贵)的情况下提供合理的安全性水平。
发明内容
一个或者多个实施例可以提供一种系统,该系统包括:知识产权电路;通用输入/输出电路,该通用输入/输出电路经由数据路径耦合至知识产权电路;开关,该开关耦合至数据路径,开关控制数据路径上的信号传播,开关经由在开关使能路径上传播的开关使能信号可启动,该开关使能路径具有耦合至知识产权电路的第一端和耦合至通用输入/输出电路的第二端;以及安全链路电路,该安全链路电路沿着开关使能路径耦合在知识产权电路与通用输入/输出电路之间,安全链路电路对知识产权电路的安全性状态和通用输入/输出电路的安全性状态敏感,安全链路电路配置为响应于知识产权电路和通用输入/输出电路具有相同的安全性状态,而允许在开关使能路径上传播开关使能信号。
一个或者多个实施例可以涉及对应设备(例如消费品,诸如基于微控制器的消费品,诸如家用器具)和对应方法。
一个或者多个实施例可以适用于片上系统(SoC)布置。
附图说明
现在将参照附图仅以示例的方式来描述一个或者多个实施例,其中:
图1是包括多个模拟IP和单个共享GPIO的系统的框图示例,
图2至图5是针对图1所例示的系统可能带来的各种类型的攻击的示例,
图6是实施例的框图示例,
图7是一个或者多个实施例中的安全模拟链路实施方式的示例,以及
图8和图9是一个或者多个实施例在受到攻击时的可能行为的示例。
具体实施方式
在随后的说明中,说明了一个或者多个特定细节,目的在于提供对本说明书的实施例的示例的深入理解。可以在没有特定细节中的一个或者多个特定细节的情况下,或者利用其它方法、部件、材料等,来获得实施例。在其它情况下,未详细地图示或者描述已知的结构、材料或者操作,使得实施例的某些方面将不会被模糊。
在本说明书的框架中提及“实施例”或者“一个实施例”旨在指示关于实施例描述的特定配置、结构或者特征被包括在至少一个实施例中。因此,可能存在于本说明书的一个或者多个点中的诸如“在实施例中”或者“在一个实施例中”的短语不一定是指同一个实施例。而且,在一个或者多个实施例中,可以以任何适当的方式组合特定构造、结构或者特征。
本文使用的参考的提供仅仅是为了方便,并且因此不限定实施例的范围或者保护程度。
图1的框图是片上系统(SoC)布置的示例,例如,该片上系统(SoC)布置包括经由通用输入/输出(GPIO)块耦合至相同输入/输出焊盘(I/O PAD)的三个模拟IP(即,IPa、IPb、IPc)。
在图1中所例示的布置中,IP至GPIO数据路径包括三个模拟开关A、B、C,该三个模拟开关的一个端子短接至I/O焊盘(I/O PAD)并且另一个端子连接至对应模拟IP的输入(或者输出)(如由指定为AINa、AINb、AINc的连接所例示的)。
在如图1所例示的布置中,每个模拟IP还具有数字输出信号,该数字输出信号耦合至相应GPIO模拟开关的对应使能信号,以便使能或者禁用IP至焊盘的通信。这种使能信号(例如AIN_ENa、AIN_ENb、AIN_ENc)可以由软件通过系统的模拟IP数字接口进行管理,以便根据当前运行的应用选择性地启动IP。
可以提供可编程数字控制器(GPIO-C),以通过选择GPIO可支持的不同操作方式(例如与焊盘的数字连接或者模拟连接)(将了解,对这样的连接的参考仅仅是适于由控制器GPIO-C控制的功能的示例),来管理特定数量的GPIO的软件配置。
例如,可能经由特定数量的模拟开关,GPIO控制器GPIO-C可以对不同类型的GPIO(具有或者不具有模拟或者数字接口)进行处理。
在本文所考虑的上下文中,GPIO控制器GPIO-C可以促进以模拟模式配置GPIO,从而允许模拟IP访问被指示为I/O(PAD)的焊盘。
从功能角度看,经由互连信道IC,在SoC核处理器CP上运行的应用软件可以配置特定模拟IP(例如IPa),以便通过数据和控制信号(AINa、AIN_ENa)经由I/O焊盘与外部世界建立数据通信路径,同时禁用共享相同焊盘的其它模拟IP(例如IPb、IPc)。而且,核处理器CP可被编程(例如经由软件),以便还通过GPIO控制器GPIO-C的内部寄存器IOR在GPIO控制器GPIO-C上起作用,以生成针对GPIO部件的数字控制信号(GPIO controls)。这些信号可以使能其模拟电路部分,并且在不与其数字部分(在图中被指定为DS)竞争的情况下,允许通过GPIO在例如IPa与I/O焊盘之间进行通信。
在图1的图中,如通常包括在SoC中的,DMA表示直接存储器访问块,其适于与互连信道IC协作。
解决安全性问题(诸如将安全性覆盖范围扩展到模拟IP至GPIO数据路径)的方式可以涉及:分别使通信信道的起点和终点(即,IP和GPIO)安全。
该结果可以通过使用在SoC中已经可用的硬件部件和/或针对该特定目的实施的部件来促进。
例如,这些部件可以包括由安全应用软件可编程的安全性/保护数字控制器,该安全性/保护数字控制器可以限定SoC中的哪些IP被视作安全的、以及哪些IP不被视作安全的。另外或者可替代地,例如,这些部件可以包括特定数量的GPIO数字控制器(例如图1中例示的GPIO控制器GPIO-C)。这些通常在SoC中可用,并且通过借助于安全应用软件、例如经由其嵌入式寄存器(参见图1的图中的IOR)编程,可以专用于管理一组GPIO,以便配置GPIO并且将安全GPIO与非安全GPIO区分开。
这种方法可以利用IP与GPIO之间的单个点对点专用模拟连接来令人满意地操作。然而观测到,在包含通过相同焊盘的多个模拟IP连接的SoC架构的情况下,这种方法可能无法确保足够的安全性水平。例如通用微控制器可能是这种情况,其中,提供这种灵活性涉及嵌入GPIO的多个模拟开关。
说得更确切些,观测到这种方法针对如图2至图5中所例示的各种类型的攻击展现出各种弱点,在图2至图5中(除非另有说明),相同的附图标记表示与结合图1讨论的相同的部件/元件/信号。
例如,图2的图是如下情况的示例,其中如在I处所例示的,安全模拟IP(例如IPa)将其数据IPa Dout发送至对应GPIO,该对应GPIO已经由GPIO控制器GPIO-C配置为接受模拟通信(比对数字通信)。
在这些情况下,IPa还控制使能信号(AIN_ENa),该使能信号驱动GPIO内的模拟开关A,以便建立模拟连接,同时允许根据数据传输来动态控制输出焊盘。
在这种情况下,如在II处所例示的,软件攻击者可以通过对共享相同GPIO的非安全模拟IP(例如IPb)进行编程来控制它,以便通过对应使能信号AIN_ENb来启动GPIO中的对应模拟开关B。
以那种方式,恶意软件可以通过经由IPb的数字接口读取安全数据来捕获安全数据:如图2中由III所例示的,由IPa传输的安全数据已经通过非安全连接、通过专用于IPb的模拟开关B来路由,并且可以由非安全软件读取。
图3的图是补充情况的示例,其中,例如IPa朝向指派的GPIO通过如I所例示的安全连接再次传输模拟数据。在图3的示例情况下,如在IV处所指示的,软件攻击者可以迫使破坏值X(X value)通过IPb的数字接口。如在V处所例示的,可以通过IPb将该破坏值转换为模拟值,其中,嵌入在GPIO中的对应模拟开关B通过信号AIN_ENb被使能。如在VI处所例示的,由于多个驱动器迫使数据通过相同网络,这将在GPIO输出处产生电气竞争。
因此,在连接安全性丢失的情况下,来自IPa的安全数据可能会被破坏。
图4和图5的图例示了:在其中安全模拟IP(诸如例如IPa)正在通过指派的GPIO从外部板逻辑(Board Din)接收数据的补充情况下,通过数据窃听或者数据破坏的类似安全性违规。再次,安全连接完整性可能会被以上文讨论的相同方式起作用的恶意软件打破。
观测到,通过使SoC中的一些GPIO专用于与特定IP的安全模拟连接,并且通过使这种专用GPIO配备有(仅)一个模拟开关来去除焊盘共享的可能性,可以解决与由多个IP共享的(单个)GPIO特征有关的、如参照图2至图5所例示的安全性问题。
如先前讨论的,例如通过使仅一个IP(例如IPa)连接至GPIO,这可以避免破坏/窃听风险。另外观测到,这种方法可以包含各种缺点和/或限制。
第一种限制与使特定GPIO专用于安全模拟连接所产生的可用GPIO特征方面的损失有关。而且,将安全IP映射至GPIO的灵活性将降低,以至于用于安全通信的特定IP将变得不可用于映射在共享GPIO之上。由于将排除非安全IP对专用于安全连接的GPIO的访问,因此系统可配置性也将会受到不利影响。另外,具有不同产品封装的SoC资源可用性(IP、GPIO)将受到针对先前产品系列可能出现的兼容性问题的不利影响,该先前产品系列对IP-GPIO映射不具有限制。
解决如前文讨论的可能安全性问题的另一方法可以涉及将共享相同GPIO的所有模拟IP配置为安全的;例如,这可能通过安全性/保护控制器块而发生,从而避免安全/非安全GPIO的任何混合。在那种情况下(例如通过使先前示例中的IPb与IPa一样安全),将在保持共享GPIO特征的情况下降低安全性违规的风险。
然而,这将以降低的灵活性和其它类型的限制(诸如例如,对非安全软件的SoC资源可用性的负面影响)为代价发生,这是因为共享GPIO的IP具有安全IP,安全IP被配置为安全的,从而对非可信软件变得不可访问。作为一个示例,另一个限制可以是在GPIO之上的非安全IP映射的降低的灵活性,这是因为这些GPIO出于前文讨论的理由被迫使为安全状态,随之而来的是无法将其模拟连接用于其它可用但非安全的GPIO。作为一个示例,再一限制可能是对用户应用的负面影响,这是由于将IP配置为安全的涉及:鉴于从用户的角度不以任何功能原因镜像的SoC安全性架构约束,针对其他IP执行相同操作。
一个或者多个实施例可以适用如下大体想法:从系统安全性的角度,根据每个连接的起点和终点(IP和GPIO)的状态,允许或者拒绝模拟IP相对于可到达的共享GPIO的连接。
在一个或者多个实施例中,这种“门”控制可以通过应用充当安全模拟链路的硬件部件来执行。通过获取关于特定模拟IP和相关GPIO的安全性信息,这种部件可以决定是允许(并且因此建立)还是拒绝(并且因此禁止)这两个元件之间的连接/通信。
一个或者多个实施例可以提供以下优点中的一个或者多个优点:可以在不具有针对系统(例如SoC)中的所有GPIO和模拟IP的限制的情况下,使共享GPIO的特征可用;将模拟IP安全映射到例如SoC中的GPIO上的完全灵活性;将模拟IP非安全映射到例如SoC中的GPIO上的完全灵活性;对具有不同封装选项的资源可用性没有限制;针对先前产品系列没有兼容性限制;SoC级别下的可扩展性,适用于模拟IP和GPIO的整个集合或者根据应用需要仅适用于特定子集;由于扩展至模拟IP至GPIO连接,常规安全性架构框架(例如ARM TrustZone)的灵活覆盖增强;这可能是通用产品(比如,微控制器)的有利条件,通用产品可以展现出ASIC和专用产品方面的一些差异;独立于特定安全性解决方案和/或提供商,随之而来的是跨不同安全性架构的可移植性;和/或对可编程性的开放性,在模拟IP至GPIO映射安全性配置中,即使以动态方式也可以做出改变。
现在将参照图6至图9对一个或者多个实施例进行讨论,其中,相同的附图标记表示如已经结合图1至图5讨论的相同元件/部件/信号:因此,此处将不重复对应的详细说明。
图6示出了用于促进安全性完整性的、嵌入模拟IP-GPIO系统(例如SoC子系统)的安全模拟链路硬件部件(例如SAL1、SAL2)。
如图6所例示的安全模拟链路部件SAL1、SAL2被布置在与共享GPIO相关联的模拟IP(例如IPa、IPb)的使能信号路径中,以控制使能信号向嵌入在GPIO中的关联模拟开关A、B的传播。
相关控制动作取决于模拟通信信道的源和目的地(模拟IP和GPIO)的安全性状态。
这种信息可能已经对常规SoC的安全性硬件基础设施中的某些功能块可用。因此,可以使这种信息可用于安全模拟链路实例(诸如安全性保护控制器SC和GPIO控制器)。
安全性控制器SC可以配置为限定够资格由在安全环境中运行的应用使用的系统中的每个IP的安全/非安全状态,而GPIO控制器可以通过其寄存器来提供每个GPIO的安全/非安全状态。在一个或者多个实施例中,可以经由软件对这两个实例进行编程。
基于例如用二进制信号IP_sec(例如IP_sec=1->安全;IP_sec=0->非安全)和IO_sec(IO_sec=1->安全;IO_sec=0->非安全)表示的这种信息,每个安全模拟链路电路SAL1、SAL2可以基于以下原理(如先前引用的欧洲专利申请17305250.7中已经提出的)进行操作:如果IP和GPIO二者都是安全的,则允许将模拟开关使能信号从特定IP传播至GPIO;如果IP和GPIO二者都是非安全的,则允许将模拟开关使能信号从特定IP传播至GPIO;如果IP配置为安全的并且GPIO是非安全的,则拒绝将模拟开关使能信号从IP传播至GPIO;并且如果GPIO配置为安全的并且IP是非安全的,则拒绝将模拟开关使能信号从IP传播至GPIO。
因此,安全模拟链路部件SAL1、SAL2可以允许/拒绝模拟IP控制共享GPIO中的模拟开关A、B以便控制通过关联的模拟连接来发送和接收数据的可能性。
例如根据实现(封装)功能的应用上下文,如前文提供的可能操作的功能描述适用于各种类型的实际实施方式。
图7是电路SAL1、SAL2的简单低成本实施方式(具有减少的门计数)的示例,其包括异或非门(EX-NOR)20,该异或非门接收信号IP_sec、IO_sec(针对所考虑的相应链路)作为输入,其中来自门20的输出被馈送至与门22的输入中的一个输入。
与门22的另一个输入接收IP_enable信号,并且根据下表中再现的真值表提供信号IO_enable作为输出:
| IP_sec | IO_sec | IO_enable |
| 1 | 1 | IP_enable |
| 0 | 1 | 0 |
| 1 | 0 | 0 |
| 0 | 0 | IP_enable |
因此,输出信号IO_enable可以作为相应的控制信号AIN_ENa、AIN_ENb、…被馈送至GPIO中的关联的开关A、B,随之而来的是能够允许/拒绝相应的模拟IP与共享GPIO物理链路之间的通信。
上文中报告的真值表的示例性呈现基于以下假设:通过高态有效的使能信号来控制模拟开关A、B(即,使模拟开关A、B导通)。本领域的技术人员可以容易地设计出相同操作逻辑的可能替代实施方式。
在一个或者多个实施例中,安全性部件SAL1、SAL2可以仅被设置在可能预期在应用运行期间具有潜在的不同安全性状态的起点与终点之间操作的那些连接上。
例如,如果(例如对于特定应用)与相同的共享GPIO耦合的所有模拟IP具有相同安全/非安全状态,则不能实现通过安全模拟链路部件(诸如SAL1、SAL2)的传输保护。
该使用灵活性可以允许涵盖需要安全性的广泛应用。范围可以从全通用应用(其中,所有可能的模拟IP共享GPIO连接可以配备有安全模拟链路部件)到低成本或者专用情况(其中,模拟IP和GPIO的(仅)特定子集可以被选择为安全性感知,并且因此受到安全模拟链路部件(诸如SAL1、SAL2)的保护)。
图8和图9是如图6和图7所例示的布置的可能操作的示例,以提供保护而不受借助于恶意软件的可能攻击。
在图8和图9中,元件/部件/信号(比如已经结合图6和图7讨论的那些元件/部件/信号)由相同的符号/数字表示,因此不必重复详细说明。
图8是如何可以保护包括安全模拟链路部件(诸如SAL1、SAL2)的SoC不受经由恶意软件的可能攻击的示例,该恶意软件试图窃听安全连接之上的模拟数据传输。
为了解释,将再次假设IPa是安全的,而IPb是非安全的,其中GPIO和相关GPIO控制器也是安全的。
根据如分别由安全性控制器SC和GPIO控制器提供的关于IPa和GPIO安全性状态的信息,关联的安全模拟链路SAL1将通过将来自IPa的输入使能信号(即,IPa Enable)复制到输出,从而使能通过GPIO模拟开关A的连接,而允许在这两者之间进行通信(例如已经将通信的两个端点(源和目的地)都识别为安全的)。
同时,位于IPb与GPIO之间的另一连接(由于GPIO特征被共享而可用)上的安全模拟链路部件SAL2可以执行相同的检查,并且拒绝(即,阻止)IPb Enable信号向关联的模拟开关B的传播(例如,通过将其使能端子驱动为“0”,已经将IPb识别为非安全的)。
以那种方式,在GPIO中共享的IPa数据输出(IPa Dout)不会传播至IPb(非安全),这是因为关联的模拟开关B将不会闭合连接,使得安全数据无法被对IPb起作用的恶意软件窃听。
图9是如何可以保护配备有如本文所例示的安全模拟链路部件的系统(例如SoC)不受经由恶意软件的可能攻击的示例,该恶意软件试图破坏安全连接之上的模拟数据传输。
在图9的示例性情况下,考虑到通信的两个端点的安全状态,布置在IPa与共享GPIO之间的连接上的安全模拟链路部件SAL1将允许传播IPa使能信号(IPa Enable)。
另一方面,由于IPb非安全状态,布置在IPb(非安全)与共享GPIO之间的安全模拟链路部件SAL2将阻止IPb使能信号(IPbEnable)向关联的模拟开关B的传播,从而避免向共享GPIO传播可能由恶意软件通过IPb的数字接口注入的破坏数据(X_value)。以那种方式,将防止X_value破坏IPa与共享焊盘之间的安全模拟通信,从而使IPa Dout到达外部板逻辑。
图8和图9的示例涉及从IP到共享GPIO的安全模拟通信(发射模式,TX)。
要了解,刚刚讨论的相同标准可以适用于:经由布置在模拟开关使能路径(开关A、B)上的安全模拟链路部件SAL1、SAL2,在相反方向上(即,从共享GPIO到IP)(接收模式,RX)的安全模拟通信。
类似地,要了解,实施例不限于在安全性应用的环境下的应用,例如针对基于多用途微处理器的消费应用(诸如家用器具等)。
例如,一个或者多个实施例可以适用于其中可能需要将模拟硬件资源分开的情况。例如,这可以是在特定领域(诸如汽车行业)中的SoC硬件/软件分区的情况。
在这些情况下,用于实施如本文所例示的一个或者多个实施例的相同部件将通过软件编程或者经由硬件来接收关于IP和共享GPIO的配置信息,该配置信息包括关于IP和共享GPIO所属的分区的信息。如先前讨论的,这将使得允许或者拒绝IP与GPIO之间的模拟通信。
因此,一个或者多个实施例可以提供一种系统,该系统包括多个(模拟)知识产权电路(例如IPa、IPb)和由多个知识产权电路经由相应的模拟链路(例如AINa、AINb)共享的通用输入/输出电路(例如GPIO)。该系统还可以包括分别与模拟链路耦合的多个模拟开关(例如A、B)。模拟开关可以配置为控制相应模拟链路之上的信号传播,并且可以经由相应开关使能路径之上的开关使能信号(例如AIN_ENa、AIN_ENb)而可启动,每条开关使能路径可以具有耦合至知识产权电路中的相应知识产权电路的第一端和耦合至共享通用输入/输出电路的第二端。至少一条开关使能路径包括安全模拟链路电路(例如SAL1、SAL2),该安全模拟链路电路对耦合至至少一条开关使能路径的第一端和第二端的知识产权电路和通用输入/输出电路的安全/非安全状态(例如IP_sec、IO_sec)敏感。安全模拟链路电路可以配置为(例如20、22):由于耦合至至少一条开关使能路径的第一端和第二端的知识产权电路和通用输入/输出电路两者都具有安全状态或者两者都具有非安全状态,而允许传播开关使能信号。
在一个或者多个实施例中,模拟开关可以布置在开关使能路径的第二端处。
在一个或者多个实施例中,安全模拟链路电路可以包括第一逻辑门(例如20),该第一逻辑门具有输入和输出,该输入耦合至至少一条开关使能路径的第一端和第二端的输入(例如IP_sec、IO_sec),该输出根据所述输入具有相同的逻辑值和不同的逻辑值,而分别具有第一逻辑值和第二逻辑值。安全模拟链路电路还可以包括第二逻辑门(例如22),该第二逻辑门耦合至第一逻辑门的输出。第二逻辑门可以在第一状态与第二状态之间切换,从而分别允许和拒绝通过安全模拟链路电路传播开关使能信号。根据第一逻辑门的输出是处于所述第一逻辑值以及处于所述第二逻辑值,第二逻辑门可以分别具有所述第一状态和所述第二状态。
在一个或者多个实施例中,第一逻辑门和第二逻辑门可以分别包括异或非门和与门。
一个或者多个实施例可以包括知识产权安全性控制器(例如SC)和GPIO控制器(例如GPIO-C),它们配置用于向安全模拟链路电路提供安全性状态信号,安全性状态信号指示耦合至开关使能路径中的至少一条开关使能路径的第一端和第二端的知识产权电路和通用输入/输出电路的安全/非安全状态。
在一个或者多个实施例中,系统可以包括片上系统或者其子系统。
在一个或者多个实施例中,设备(例如基于微控制器的器具)可以包括借助于根据一个或者多个实施例的系统与输入/输出焊盘接口连接的处理器电路(例如CP)。
根据一个或者多个实施例的系统的操作方法可以包括:向安全模拟链路电路提供安全性状态信号,安全性状态信号指示耦合至开关使能路径中的至少一条开关使能路径的第一端和第二端的知识产权电路和通用输入/输出电路的安全/非安全状态。该方法还可以包括:由于耦合至开关使能路径中的至少一条开关使能路径的第一端和第二端的知识产权电路和通用输入/输出电路两者都具有安全状态或者两者都具有非安全状态,而通过安全模拟链路电路允许沿着安全模拟链路电路传播开关使能信号。
一个或者多个实施例避免了:在所选择的IP-GPIO连接上的安全模拟IP与安全GPIO之间的数据通信可能会被恶意软件通过利用到共享相同I/O焊盘的相同GPIO的另一个非安全模拟连接来窃听或者探听。
一个或者多个实施例避免了:在所选择的IP-GPIO连接上的安全模拟IP与安全GPIO之间的数据通信可能会被恶意软件通过迫使数据通过到共享相同I/O焊盘的相同GPIO的另一个非安全模拟连接而不期望地破坏。
在不影响底层原理的情况下,在不脱离保护范围的情况下,相对于仅通过示例方式描述的内容,可以(甚至显著地)改变细节和实施例。
Claims (20)
1.一种系统,包括:
知识产权电路;
通用输入/输出电路,所述通用输入/输出电路经由数据路径耦合至所述知识产权电路;
开关,所述开关耦合至所述数据路径,所述开关控制所述数据路径上的信号传播,所述开关能经由在开关使能路径上传播的开关使能信号启动,所述开关使能路径具有耦合至所述知识产权电路的第一端和耦合至所述通用输入/输出电路的第二端;以及
安全链路电路,所述安全链路电路沿着所述开关使能路径耦合在所述知识产权电路与所述通用输入/输出电路之间,所述安全链路电路对所述知识产权电路的安全性状态和所述通用输入/输出电路的安全性状态敏感,所述安全链路电路被配置为响应于所述知识产权电路和所述通用输入/输出电路具有相同的安全性状态,而允许在所述开关使能路径上传播所述开关使能信号。
2.根据权利要求1所述的系统,其中,所述通用输入/输出电路的所述安全性状态和所述知识产权电路的所述安全性状态包括安全状态或者非安全状态。
3.根据权利要求2所述的系统,其中,所述安全链路电路被配置为:响应于所述知识产权电路具有所述安全状态并且所述通用输入/输出电路具有所述安全状态,或者响应于所述知识产权电路具有所述非安全状态并且所述通用输入/输出电路具有所述非安全状态,而允许在所述开关使能路径上传播所述开关使能信号。
4.根据权利要求1所述的系统,其中,所述安全链路电路被配置为:响应于所述知识产权电路和所述通用输入/输出电路具有不同的安全性状态,而阻止在所述开关使能路径上传播所述开关使能信号。
5.根据权利要求1所述的系统,其中,所述开关被布置在所述开关使能路径的所述第二端处。
6.根据权利要求1所述的系统,其中,所述安全链路电路包括:
第一逻辑门,所述第一逻辑门具有被配置为接收指示所述知识产权电路和所述通用输入/输出电路的所述安全性状态的信号的输入,其中,根据所述输入具有相同的逻辑值和不同的逻辑值,所述第一逻辑门的输出分别具有第一逻辑值和第二逻辑值;以及
第二逻辑门,所述第二逻辑门具有耦合至所述第一逻辑门的所述输出的第一输入、耦合至所述开关使能路径的所述第一端的第二输入、以及耦合至所述开关使能路径的所述第二端的输出,所述第二逻辑门能在第一状态与第二状态之间切换,所述第一状态和所述第二状态分别允许和拒绝通过所述安全链路电路来传播开关使能信号,根据所述第一逻辑门的所述输出处于所述第一逻辑值和所述第二逻辑值,所述第二逻辑门分别具有所述第一状态和所述第二状态。
7.根据权利要求6所述的系统,其中,所述第一逻辑门和所述第二逻辑门分别包括异或非门和与门。
8.根据权利要求1所述的系统,还包括:
知识产权安全性控制器,所述知识产权安全性控制器被配置为向所述安全链路电路提供第一安全性状态信号,所述第一安全性状态信号指示所述知识产权电路的所述安全性状态;以及
通用输入/输出控制器,所述通用输入/输出控制器被配置为向所述安全链路电路提供第二安全性状态信号,所述第二安全性状态信号指示所述通用输入/输出电路的所述安全性状态。
9.根据权利要求1所述的系统,还包括:经由互连信道通信地耦合至所述知识产权电路的片上系统或者所述片上系统的子系统。
10.一种设备,包括:
处理器电路;
通信地耦合至所述处理器电路的系统,所述系统包括:
知识产权电路;
通用输入/输出电路,所述通用输入/输出电路经由数据路径耦合至所述知识产权电路;
开关,所述开关耦合至所述数据路径,所述开关控制所述数据路径上的信号传播,所述开关能经由在开关使能路径上传播的开关使能信号启动,所述开关使能路径具有耦合至所述知识产权电路的第一端和耦合至所述通用输入/输出电路的第二端;以及
安全链路电路,所述安全链路电路沿着所述开关使能路径耦合在所述知识产权电路与所述通用输入/输出电路之间,所述安全链路电路对所述知识产权电路的安全性状态和所述通用输入/输出电路的安全性状态敏感,所述安全链路电路被配置为响应于所述知识产权电路和所述通用输入/输出电路具有相同的安全性状态,而允许在所述开关使能路径上传播所述开关使能信号;以及
输入/输出焊盘,所述输入/输出焊盘耦合至所述通用输入/输出电路,其中,所述处理器电路被配置为经由所述系统与所述输入/输出焊盘进行通信。
11.根据权利要求10所述的设备,其中,所述通用输入/输出电路的所述安全性状态和所述知识产权电路的所述安全性状态包括安全状态或者非安全状态。
12.根据权利要求11所述的设备,其中,所述安全链路电路被配置为:响应于所述知识产权电路具有所述安全状态并且所述通用输入/输出电路具有所述安全状态,或者响应于所述知识产权电路具有所述非安全状态并且所述通用输入/输出电路具有所述非安全状态,而允许在所述开关使能路径上传播所述开关使能信号。
13.根据权利要求10所述的设备,其中,所述安全链路电路被配置为:响应于所述知识产权电路和所述通用输入/输出电路具有不同的安全性状态,而阻止在所述开关使能路径上传播所述开关使能信号。
14.根据权利要求10所述的设备,其中,所述开关被布置在所述开关使能路径的所述第二端处。
15.根据权利要求10所述的设备,其中,所述安全链路电路包括:
第一逻辑门,所述第一逻辑门具有被配置为接收指示所述知识产权电路和所述通用输入/输出电路的所述安全性状态的信号的输入,其中,根据所述输入具有相同的逻辑值和不同的逻辑值,所述第一逻辑门的输出分别具有第一逻辑值和第二逻辑值;以及
第二逻辑门,所述第二逻辑门具有耦合至所述第一逻辑门的所述输出的第一输入、耦合至所述开关使能路径的所述第一端的第二输入、以及耦合至所述开关使能路径的所述第二端的输出,所述第二逻辑门能在第一状态与第二状态之间切换,所述第一状态和所述第二状态分别允许和拒绝通过所述安全链路电路来传播开关使能信号,根据所述第一逻辑门的所述输出处于所述第一逻辑值和所述第二逻辑值,所述第二逻辑门分别具有所述第一状态和所述第二状态。
16.根据权利要求15所述的设备,其中,所述第一逻辑门和所述第二逻辑门分别包括异或非门和与门。
17.一种方法,包括:
通过知识产权安全性控制器生成指示知识产权电路的安全性状态的第一安全性状态信号;
通过通用输入/输出控制器生成指示通用输入/输出电路的安全性状态的第二安全性状态信号,所述通用输入/输出电路经由数据路径耦合至所述知识产权电路;
通过所述知识产权安全性控制器和所述通用输入/输出控制器向安全链路电路提供所述第一安全性状态信号和所述第二安全性状态信号,所述安全链路电路沿着开关使能路径耦合在所述知识产权电路与所述通用输入/输出电路之间,所述开关使能路径具有耦合至所述知识产权电路的第一端和耦合至所述通用输入/输出电路的第二端;以及通过所述安全链路电路响应于所述知识产权电路和所述通用输入/输出电路具有相同的安全性状态,而允许沿着所述开关使能路径传播开关使能信号。
18.根据权利要求17所述的方法,还包括:使用所述开关使能信号启动耦合至所述数据路径的开关,其中,所述开关被配置为控制所述数据路径上的信号传播。
19.根据权利要求17所述的方法,还包括:通过所述安全链路电路响应于所述知识产权电路和所述通用输入/输出电路具有不同的安全性状态,而阻止在所述开关使能路径上传播所述开关使能信号。
20.根据权利要求17所述的方法,其中,所述通用输入/输出电路的所述安全性状态和所述知识产权电路的所述安全性状态包括安全状态或者非安全状态。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IT102017000057307A IT201700057307A1 (it) | 2017-05-26 | 2017-05-26 | Sistema ip-gpio, apparecchiatura e procedimento corrispondenti |
| IT102017000057307 | 2017-05-26 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108959138A CN108959138A (zh) | 2018-12-07 |
| CN108959138B true CN108959138B (zh) | 2021-08-06 |
Family
ID=59974803
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201820703208.3U Withdrawn - After Issue CN208188832U (zh) | 2017-05-26 | 2018-05-11 | 包括知识产权电路和通用输入/输出电路的系统和设备 |
| CN201810451270.2A Active CN108959138B (zh) | 2017-05-26 | 2018-05-11 | 包括与通用输入/输出焊盘通信的知识产权电路的系统、对应设备和方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201820703208.3U Withdrawn - After Issue CN208188832U (zh) | 2017-05-26 | 2018-05-11 | 包括知识产权电路和通用输入/输出电路的系统和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10891399B2 (zh) |
| EP (1) | EP3407201B1 (zh) |
| CN (2) | CN208188832U (zh) |
| IT (1) | IT201700057307A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IT201700057307A1 (it) * | 2017-05-26 | 2018-11-26 | St Microelectronics Srl | Sistema ip-gpio, apparecchiatura e procedimento corrispondenti |
| IT201900002961A1 (it) * | 2019-02-28 | 2020-08-28 | St Microelectronics Srl | Sistema di elaborazione, corrispondente apparato e corrispondente procedimento |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638594A (zh) * | 2012-03-22 | 2012-08-15 | 惠州Tcl移动通信有限公司 | 便携式电子设备及其闪光灯控制电路 |
| CN103077362A (zh) * | 2012-12-27 | 2013-05-01 | 深圳先进技术研究院 | 具有安全机制的gpio ip核 |
| CN208188832U (zh) * | 2017-05-26 | 2018-12-04 | 意法半导体股份有限公司 | 包括知识产权电路和通用输入/输出电路的系统和设备 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6138240A (en) * | 1998-06-19 | 2000-10-24 | Compaq Computer Corporation | Secure general purpose input/output pins for protecting computer system resources |
| US20030025519A1 (en) * | 2001-08-06 | 2003-02-06 | Cheng-Ju Hsieh | Inspection apparatus and method for test ambient and test mode circuit on integrated circuit chip |
| US20040153982A1 (en) * | 2003-01-27 | 2004-08-05 | Pengfei Zhang | Signal flow driven circuit analysis and partition technique |
| DE102005024379A1 (de) * | 2005-05-27 | 2006-11-30 | Universität Mannheim | Verfahren zur Erzeugung und/oder Einprägung eines wiedergewinnbaren kryptographischen Schlüssels bei der Herstellung einer topographischen Struktur |
| US8547135B1 (en) * | 2009-08-28 | 2013-10-01 | Cypress Semiconductor Corporation | Self-modulated voltage reference |
| US9805221B2 (en) * | 2011-12-21 | 2017-10-31 | Intel Corporation | Incorporating access control functionality into a system on a chip (SoC) |
| US8692671B2 (en) * | 2012-08-03 | 2014-04-08 | Se-Kure Controls, Inc. | Integrated charger and alarm unit |
| US9817980B2 (en) * | 2013-03-14 | 2017-11-14 | New York University | System, method and computer-accessible medium for facilitating logic encryption |
| US9268948B2 (en) * | 2013-06-24 | 2016-02-23 | Intel Corporation | Secure access enforcement proxy |
| US10616333B2 (en) * | 2014-04-09 | 2020-04-07 | Stmicroelectronics S.R.L. | System for the management of out-of-order traffic in an interconnect network and corresponding method and integrated circuit |
| US9473144B1 (en) * | 2014-11-25 | 2016-10-18 | Cypress Semiconductor Corporation | Integrated circuit device with programmable analog subsystem |
| US10726162B2 (en) * | 2014-12-19 | 2020-07-28 | Intel Corporation | Security plugin for a system-on-a-chip platform |
| US10241953B2 (en) * | 2015-08-07 | 2019-03-26 | Qualcomm Incorporated | Dynamic data-link selection over common physical interface |
| US10438022B2 (en) * | 2016-12-16 | 2019-10-08 | Arm Limited | Logic encryption using on-chip memory cells |
-
2017
- 2017-05-26 IT IT102017000057307A patent/IT201700057307A1/it unknown
-
2018
- 2018-04-04 US US15/945,177 patent/US10891399B2/en active Active
- 2018-05-11 CN CN201820703208.3U patent/CN208188832U/zh not_active Withdrawn - After Issue
- 2018-05-11 CN CN201810451270.2A patent/CN108959138B/zh active Active
- 2018-05-14 EP EP18172089.7A patent/EP3407201B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638594A (zh) * | 2012-03-22 | 2012-08-15 | 惠州Tcl移动通信有限公司 | 便携式电子设备及其闪光灯控制电路 |
| CN103077362A (zh) * | 2012-12-27 | 2013-05-01 | 深圳先进技术研究院 | 具有安全机制的gpio ip核 |
| CN208188832U (zh) * | 2017-05-26 | 2018-12-04 | 意法半导体股份有限公司 | 包括知识产权电路和通用输入/输出电路的系统和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10891399B2 (en) | 2021-01-12 |
| IT201700057307A1 (it) | 2018-11-26 |
| CN108959138A (zh) | 2018-12-07 |
| EP3407201A1 (en) | 2018-11-28 |
| US20180341791A1 (en) | 2018-11-29 |
| CN208188832U (zh) | 2018-12-04 |
| EP3407201B1 (en) | 2019-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3373183B1 (en) | System with soc connections among ip and multiple gpios, and corresponding method | |
| Diguet et al. | NOC-centric security of reconfigurable SoC | |
| US10810036B1 (en) | Traffic management on an interconnect | |
| US10104096B1 (en) | Host-based, network enabled, integrated remote interrogation system | |
| CN112639788B (zh) | 安全感知总线系统上的外围设备访问 | |
| CN108959138B (zh) | 包括与通用输入/输出焊盘通信的知识产权电路的系统、对应设备和方法 | |
| Morgan et al. | Bypassing IOMMU protection against I/O attacks | |
| CN112859801A (zh) | 用以增加串行总线接口鲁棒性的时钟控制 | |
| Mulliner et al. | Taming Mr Hayes: Mitigating signaling based attacks on smartphones | |
| US20220164485A1 (en) | Method and configurable hardware module for monitoring a hardware-application | |
| CN110276214B (zh) | 一种基于从机访问保护的双核可信soc架构及方法 | |
| CN112602086A (zh) | 安全外设互连件 | |
| CN112016090A (zh) | 安全计算卡,基于安全计算卡的度量方法及系统 | |
| JP2021509192A (ja) | データセンタにおけるプログラマブルデバイス向けのセキュリティ | |
| CN116881987A (zh) | Pcie设备直通虚拟机的方法、装置及相关设备 | |
| US10216673B2 (en) | USB device firmware sanitization | |
| Rekha et al. | Logically Locked I2C Protocol for Improved Security | |
| CN112181860B (zh) | 具有快闪存储器仿真功能的控制器及其控制方法 | |
| US20230044219A1 (en) | A secure hardware programmable architecture | |
| KR100426304B1 (ko) | 스마트 카드 에뮬레이터 및 그 에뮬레이션 방법 | |
| JP7027664B2 (ja) | ハッキング耐性のあるコンピュータ設計 | |
| Schmitz et al. | (ReCo) Fuse your PRC or lose security: Finally reliable reconfiguration-based countermeasures on FPGAs | |
| Pacharla et al. | Protection of Firewall Rules Using Secure Storage for the Infotainment System | |
| KR101098381B1 (ko) | 포트 스위칭 회로를 포함한 네트워크 인터페이스 카드 | |
| KR101125023B1 (ko) | 포트 스위칭 회로를 포함한 네트워크 인터페이스 카드 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |