CN110390214A - 通过汇流排安全存取周边装置的安全装置及方法 - Google Patents
通过汇流排安全存取周边装置的安全装置及方法 Download PDFInfo
- Publication number
- CN110390214A CN110390214A CN201910293938.XA CN201910293938A CN110390214A CN 110390214 A CN110390214 A CN 110390214A CN 201910293938 A CN201910293938 A CN 201910293938A CN 110390214 A CN110390214 A CN 110390214A
- Authority
- CN
- China
- Prior art keywords
- busbar connector
- data
- peripheral device
- disposition
- safety device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
Abstract
本发明公开了一种通过汇流排安全存取周边装置的安全装置及方法,所述安全装置包含接口与处理器。接口设置为用于连接到服务于一个或多个周边装置的汇流排。汇流排传输包含一个或多个专用信号,分别专用于相应的一个或多个周边装置,以及一个或多个共享信号,共享于汇流排所服务的一个或多个周边装置之间。处理器连接到汇流排,并作为一个或多个周边装置之外的附加设备,并且通过中断与给定周边装置相关联的专用信号,藉此在汇流排上中断汇流排主装置试图存取给定周边装置的数据处置。
Description
交叉引用:本申请案为在2016年3月21日提交的美国专利申请号15/075,219的部分延续申请案(Continuation-In-Part,CIP),其要求于2015年6月8日提交的美国临时专利申请62/172,298,其公开内容通过引用并入本文。
技术领域
本发明一般涉及电子系统安全,特别涉及用于保护对周边装置的存取的方法和安全装置。
背景技术
电子系统使用各种汇流排接口以在主机装置与周边装置间通信。例如汇流排接口包含内部集成电路(Inter-Integrated-Circuit,I2C)汇流排及串行外设接口(SPI)汇流排。I2C汇流排的相关内容,例如在“I2C汇流排规范和用户手册”UM10204,NXP半导体,修订版6,2014年4月4日,其通过引用并入本文。
发明内容
此处描述的本发明的实施例提供了一种包含接口与处理器的安全装置。接口设置为用于连接到服务于一个或多个周边装置的汇流排。汇流排传输包含(i)一个或多个专用信号,分别专用于相应的一个或多个周边装置,以及(ii)一个或多个共享信号,共享于汇流排所服务的一个或多个周边装置之间。处理器连接到汇流排,并且作为一个或多个周边装置之外的附加设备,并且通过中断与给定周边装置相关联的专用信号,藉此在汇流排上中断汇流排主装置试图存取给定周边装置的数据处置(transaction)。
在一些实施例中,处理器在中断数据处置时维持汇流排上的共享信号不中断。在一实施例中,接口包含:(i)用以从汇流排主装置接收专用信号的输入部,以及(ii)用以输出该专用信号至给定周边装置的输出部,且处理器通过防止输入接收的专用信号被该输出部发送,藉此中断数据处置。在一些实施例中,处理器设置为当专用信号被中断时,回应汇流排主装置而不回应给定周边装置。在例示性实施例中,专用信号包含芯片选择信号。
在揭露的实施例中,处理器监视汇流排来检测要中断的数据处置。在一替代的实施例中,处理器通过在汇流排外部的辅助接口与汇流排主装置进行通信来检测要中断的数据处置。
在一实施例中,处理器设置为持续中断该专用信号,直到重置信号出现。在另一实施例中,处理器设置为在检测到数据处置后的有限时间段内中断专用信号。在一实施例中,藉由中断数据处置,处理器设置为在一个或多个周边装置处产生数据处置中止(transaction abort)。在一些实施例中,处理器设置为在数据处置中断后恢复汇流排的正常操作。
依据本发明的实施例,还提供了一种包含接口跟处理器的安全装置。接口用于连接到服务于一个或多个周边装置的汇流排。处理器除了连接到一个或多个周边装置外也连接到汇流排,并且通过回应于汇流排主装置而不回应一个或多个周边装置的方式,以中断汇流排主装置尝试存取给定周边装置的数据处置。
在一实施例中,汇流排传输包含(i)一个或多个专用信号,分别专用于相应的一个或多个周边装置,以及(ii)一个或多个共享信号,共享于汇流排所服务的一个或多个周边装置之间,其中处理器通过(i)中断与给定周边装置相关的专用信号,以及(ii)当专用信号被中断时回应该汇流排主装置来中断数据处置。
在一些实施例中,给定周边装置包含存储器装置,其中处理器设置为在数据处置中识别来自汇流排主装置的用以该存储器装置读取数据的请求,以及以储存于安全装置的替代数据回应该请求。在例示性实施例中,处理器设置为识别到汇流排主装置请求存取存储器装置中的预定义地址区时,中断数据处置并以替代数据回应。
在另一实施例中,处理器设置为基于从给定周边装置在数据处置中回传给汇流排主装置的数据,以识别汇流排主装置尝试存取给定周边装置的数据处置。在另一实施例中,处理器设置为基于数据处置中使用的指令代码来识别汇流排主装置尝试存取给定周边装置的数据处置。
根据本发明的实施例,还提供了一种通过汇流排安全存取周边装置的方法,包含使用安全装置经由汇流排进行通信,其中安全装置连接到汇流排,且作为一个或多个周边装置之外的附加设备,其中汇流排上传输包含(i)一个或多个专用信号,分别专用于相应的一个或多个周边装置,以及(ii)一个或多个共享信号,共享于汇流排所服务的一个或多个周边装置之间;使用该安全装置,藉由中断与给定周边装置相关联的专用信号,藉此以在汇流排上中断汇流排主装置试图存取给定周边装置的数据处置。
根据本发明的实施例,还提供了一种通过汇流排安全存取周边装置的方法,使用安全装置经由汇流排进行通信,安全装置连接到汇流排,且作为一个或多个周边装置之外的附加设备;以及使用安全装置通过回应汇流排主装置而不回应给定周边装置的方式,以在汇流排上中断汇流排主装置试图存取给定周边装置的数据处置。
在另一实施例中,提供了一种装置包含接口跟处理器。接口设置为通过汇流排通信,处理器设置为在汇流排主装置未通过授权要存取周边装置时,强制地并行写入一个或多个虚拟值至汇流排的至少一条线上以中断至少一部分数据处置。
在一个实施例中,处理器设置为强制写入虚拟值至汇流排上的数据线以阻断其通过数据线接收或传送周边装置的分别数据值。附加地或替代地,处理器设置为强制写入虚拟值至汇流排上的时钟线,以中断数据处置所使用的时钟信号。进一步附加地或替代地,处理器设置为强制写入虚拟值至汇流排上的芯片选择线,以中断汇流排主装置选择周边装置。
在一些实施例中,汇流排包含一个具有预设逻辑值的集电极开路汇流排或漏极开路汇流排,且处理器设置为强制写入与预设逻辑值相反的虚拟值至汇流排上的至少一线。
在一些实施例中,通过强制写入虚拟值,处理器设置为覆写汇流排主装置或周边装置上被写入的至少一线的对应值。在一个举例的实施例中,处理器设置为通过驱动驱动强度大于汇流排主装置或周边装置的至少一线来覆写汇流排主装置或周边装置上被写入的至少一线的对应值。在另一个实施例中,装置包含至少一电阻,其设置于至少一线上,电阻设置用以将被写入至汇流排主装置或周边装置的值减弱至较处理器所写入的虚拟值弱。
在一些实施例中,处理器设置为仅通过被用于在汇流排主装置与周边装置之间通信的汇流排的现有的一线上强制写入虚拟值。在一些实施例中,处理器设置为通过监视汇流排来检测要中断的数据处置。在一个实施例中,处理器设置为通过在汇流排主装置外部的辅助接口上与汇流排主装置通信来检测要中断的数据处置。
在一个公开的实施例中,处理器设置为无限制的强制写入虚拟值直到此装置被重置。在另一个实施例中,处理器设置为在检测到数据处置时,在有限时间内强制写入虚拟值。在一个实施例中,处理器设置为在数据处置被中断后,适度地恢复汇流排的正常操作。
根据本发明的实施例,还提供了一种包含周边装置和安全装置的系统。周边装置可以通过汇流排存取一个或多个汇流排主装置。此安全装置通过当汇流排主装置未通过授权要存取周边装置时,强制地并行写入一个或多个虚拟值至汇流排的至少一条线上以中断至少一部分数据处置。
依据实施例,本发明还提供了一种方法,包含使用耦合到汇流排的安全装置,决定是否中断汇流排主装置未经授权尝试存取周边装置的数据处置,并通过强制地并行写入一个或多个虚拟值至汇流排的至少一条线上以中断至少一部分数据处置。
附图说明
从下面结合附图对其实施例的详细描述中,将更全面地理解本发明:
图1是本发明实施例中多个装置通过I2C汇流排通信的安全系统的方块示意图。
图2是本发明实施例通过I2C汇流排保护对周边装置的存取的方法的流程图。
图3至图5是本发明的一个替代的实施例中,多个装置通过SPI汇流排通信的安全系统的方块示意图。
图6是根据本发明的实施例的安全装置的方块示意图。
图7是根据本发明的实施例的用于主机装置的安全启动(secure booting)的方法的流程图。
附图标记:
20、70、110、130:系统
24、74:主机装置
28、78:周边装置
32:I2C汇流排
36、86:安全装置
40、90:接口
44、94:处理器
48、98:存储器
50:监视步骤
54:检测步骤
58:检查步骤
62:准许步骤
66:中断步骤
82:SPI汇流排
91:从接口逻辑电路
92:接口监视逻辑电路
100:串联电阻
102:维持复位步骤
104:初始读取步骤
108:覆盖步骤
112:复位释放步骤
116:启动步骤
120:区域存取子步骤
CS1#:芯片选择线
CS2#:芯片选择线
CS2_O#:芯片选择线
CLK:时钟线
MASK_CS2#:控制信号
MOSI:主输出从输入线
MISO:主输入从输出线
具体实施方式
本发明的实施例为叙述改进的方法与装置如何通过汇流排接口保护对周边装置的存取。周边装置可包含加密引擎、储存敏感数据的储存装置、或任何可通过汇流排存取的装置。
在一些被揭露的实施例中,安全装置监视汇流排上的数据处置,并且在主机装置或其他汇流排主装置试图存取周边装置却未经授权时将其识别出。数据处置可通过各种合适的标准或政策被分类为经授权或未经授权。
当识别出未经授权的数据处置时,安全装置平行的通过在汇流排上的一条或多条线上强制写入数据或信号至某个虚拟值以将其中断。强制写入虚拟值可被执行在如:时钟信号、数据信号及/或芯片选择(Chip-Select)信号。
强制写入虚拟值适用于中断汇流排上的信号,例如对于有漏极开路或集电极开路的汇流排,例如I2C汇流排或推挽式的汇流排,例如SPI汇流排。与汇流排上的数据处置并行地强制写入虚拟值使与周边装置的通信中断,且/或中断各自的时钟信号。
本文描述了用于中断I2C和SPI汇流排上的未授权数据处置的几种技术范例,还描述了用于在中断之后恢复正常操作的技术。在一些实施例中,安全装置可以中断数据处置,但不须先在汇流排上检测到此数据处置,或者甚至根本不监视汇流排。例如,安全装置可以强行输入某个主机的芯片选择(CS)线上的虚拟值,直到或者除非该主机被授权。
在一些实施例中,例如,在SPI中,由安全装置保护的汇流排传输包含(i)一个或多个专用信号,每个专用信号专用于相应的周边装置,以及(ii)在汇流排所服务的周边装置之间共享的一个或多个共享信号。共享信号的例子是数据和时钟信号。专用信号的例子是CS信号。在一些实施例中,安全装置通过中断与受保护的周边装置相关联的专用信号来中断数据处置,同时维持汇流排上的共享信号不中断。应注意的是,并非所有汇流排都有专用信号。例如,在I2C汇流排中,所有信号都是共享信号。
在其他实施例中,安全装置通过回应未授权主机而不回应受保护周边装置的方式来中断数据处置。在例示性实施例中,周边装置包含快闪存储器,快闪存储器包含被分配为用于存储诸如密钥、设置数据及/或启动代码之类的敏感数据的一个或多个地址区。藉由选择性地驱动快闪存储器的CS信号,安全装置能够驱动对快闪存储器处的数据的存取。相反,安全装置使用储存在安全装置内部的数据来回应主机。这里描述了这种安全启动过程。
此处揭露的技术在事务级(transaction-by-transaction level)上提供即时的安全选择性存取至周边装置。在本文所描述的大多数技术中,仅使用汇流排的现有信号来执行数据处置的识别和中断。因此,所揭露的技术不需要额外的引线或互连,从而减小了整个系统尺寸和成本。
通过I2C汇流排对周边装置安全存取数据。
图1是本发明实施例中安全系统20的方块示意图。在本发明的实施例中,系统20包含主机装置24及周边装置28,且都连接至I2C汇流排32。为了简洁起见,主机装置24和周边装置28在这里也被称为主机和周边,主机装置24也可为汇流排主装置。
安全装置36通过监视I2C汇流排32上的数据交易保护对周边装置28的数据存取,并避免主机装置24或其他具有汇流排主装置能力的装置尝试未经授权的存取周边装置28。安全装置36有时也被称为控制装置或信任平台模块(TPM)。在本发明的实施例中,安全装置36包含接口40,其用于连结至I2C汇流排32;处理器44,其设置为执行本发明的技术;及存储器48,其设置为用于储存一个或多个由处理器44所实行的安全政策。
处理器44可依据任何预先定义或是设定政策来将数据处置分类为未经授权的。通常未经授权的数据处置可以尝试覆写周边装置28的数据、读取周边装置28的数据、设置或发送命令至周边装置28,或是以其他合适的方式存取周边装置28。由安全装置36所实施的政策可包含肯定政策(如:白名单)、否定政策(如:黑名单)、取决于装置地址或寄存器偏移(register offset)的政策、或其他任何形式的政策。
例如,安全装置36可以要求主机在经授权存取周边装置28之前,对主机装置24的身份进行认证,由未经授权的主机所尝试的数据处置可被视为未授权。认证可以通过如在主机与安全装置间进行挑战应答程序(challenge-response process)来执行。另外地或可选择地,可以要求主机以其他的某种合适方式证明其身份,或成功的完成安全开机程序。
此外,附加的或替代的,有些类型的数据处置(如:读取数据处置)可被视为被授权的,而其他类型的数据处置(如:写入数据处置)可被视为未经授权的。在另一个实施例中,对被选定的周边装置的地址存取可被视为被授权的,而存取其他地址则可被视为未经授权的。作为另一个实施例,汇流排上的位序列(bit sequences)可以被显示为未授权数据处置。
通常处理器44可通过任何合适的方法分辨数据处置是否经授权。存储器48储存了一个或多个政策以分辨数据处置是否经授权。
I2C汇流排32包含带有串列数据(SDA)信号的串列数据线及带有串列时钟信号(SCL)的串列时钟线。术语“线”与“信号”在本文中可被交互使用。通过监视SDA线及SCL线,处理器44得以监视I2C汇流排32上的所有数据处置,并辨识出未经授权的数据处置。
在识别出未经授权数据处置后,处理器44通过强行写入一个或多个虚拟值至I2C汇流排32上的SDA线及/或SCL线以中断数据处置。此机制由于I2C汇流排具有漏极开路/集电极开路结构而可能实现。通常SDA线与SCL线都使用上拉电阻而被预设上拉至逻辑"1"的状态。任何装置都可随时在SDA线或SCL线上写入逻辑"0"值,而不管其他装置可能同时写入的值。
因此,在一些实施例中,当识别出未经授权的数据处置时,安全装置36中的处理器44会通过接口40在I2C汇流排32的SDA线或SCL线上强行输入逻辑值"0"(预设逻辑值"1"的相反值)。在本文中"0"值被视为虚拟值。在SDA线上强制写入的"0"值将改写任何同时由主机装置24送至周边装置28的值或主机装置24从周边装置28读取的值,或预设的逻辑值"1"。强制写入"0"值在SCL线上将使时钟信号停止,在上述任一情况之下,数据处置将被中断。
在一些实施例中,处理器44将持续强制写入"0"值,直到装置被重置。在其他实施例中,处理器44允许从中断中适度恢复,即允许主机装置24和周边装置28从中断中恢复数据处置,并恢复正常运作。一些主机及/或周边装置无法从计时器暂停中恢复。因此,若之后需要对简单主机及周边装置适度恢复时,则较佳的是在SDA线上强行写入虚拟值而非在SCL线上。
在一个实施例中,为了在中断数据处置后恢复正常运作,处理器44会在汇流排上生成I2C停止或I2C重新启动条件。在本文中,I2C停止或I2C重新启动条件可包含任何汇流排信号值序列,其可指示该装置汇流排处于闲置状态且可以开始数据处置。
处理器44可使用各种技术允许数据处置被中断后进行适度恢复。在一个实施例中,处理器44在预定时间长度内持续强制写入"0"值,其被视为足以中断未经授权的数据处置。任何预定时间长度都可被使用。例如,系统管理(SM)汇流排定义的暂停时间长度为25mS。因此,在SM汇流排于I2C的应用中,将预定义的持续时间设置为至少25mS是有意义的,以便触发暂停。
在另一个实施例中,处理器44在预定时间内持续在SDA线上强制写入“0”值,直到检测到SCL线为逻辑高值(即非扰动(not toggling))。此条件可以指示主机中止或舍弃数据处置。处理器44可以接着释放SDA线,并且可能产生I2C停止条件。
在另一个实施例中,对于中断从周边装置读取的数据处置有用的是,将安全装置36设置为具有跟周边装置28同样地址的I2C从装置。安全装置36中的处理器44使用"0"数据值来回应任何未经授权的读取要求。周边装置28同样会并行回应这些读取要求至处理器44,但其数据值会被安全装置36所传的"0"值覆写。此过程会持续至主机中止数据处置,例如通过停止条件。须注意,依据I2C规范,I2C从装置在发送数据时并不会驱动ACK/NEGACK位。
在另一个实施例中,同时对于中断读及写的数据处置有用的是由处理器44在SDA线上强制写入"0"值。接着,若主机装置24不识别此中断,则此数据处置通过汇流排上的"0"数据正常中止,而非从周边装置28发送的数据。若主机装置24检测到此中断(例如,其支持I2C多主机仲裁(multi-master arbitration))并舍弃数据处置,则处理器44则可接管主机装置24舍弃的数据处置,通常通过在SCL线上生成额外的时钟周期。处理器44可以接着完成正在被传送的当前字节,并通过发出停止条件来中止此数据处置。
上面描述的中断和恢复技术仅通过实施例来描述。在一个替代的实施例中,安全装置36的处理器44可以通过任何其他技术来中断数据处置及/或从中断中进行恢复。
在上述实施例中,仅使用汇流排的现有线路来实现对未经授权数据处置的检测、中断及中断后的恢复。在一个替代的实施例中,安全装置36和主机装置24也通过在汇流排32外部的一些辅助接口连接。例如,当安全装置36和主机装置24集成在同一集成电路(IC)中并且共享IC的SDA和SCL引线时,这种机制是可行的。
在这些实施例中,安全装置36和主机装置24使用辅助接口来验证没有其他主机装置存取周边装置28。在一个示范的实施例中,当主机装置24存取周边装置28时,主机装置24通过辅助接口通知安全装置36。为回应该通知,处理器44不强制写入虚拟值"0"至汇流排,并允许数据处置实行。在检测到存取周边装置28但未在辅助接口上报告的数据处置时,处理器44会假定该数据处置由一些未经授权的主机发出,并且通过强制写入“0”值来中断它。
图2是本发明实施例通过I2C汇流排32保护对周边装置28的存取的方法的流程图。此方法在监视步骤50时启动,安全装置36上的处理器44通过接口40监视I2C汇流排32上的数据处置。
在数据处置检测步骤54时,处理器44识别出主机装置24试图存取周边装置28的数据处置。在检查步骤58时,处理器44检查数据处置是否经过授权。例如,处理器44可以检查此数据处置是否违反储存于存储器48的安全政策。
若此数据处置被授权,则在准许步骤62,处理器44将允许数据处置正常进行,否则,若检测出此数据处置未经授权,则在中断步骤66时处理器44会通过强制写入虚拟值"0"至I2C汇流排32的SCL及/或SDA线以中断此数据处置。
通过SPI汇流排安全存取周边装置
图3是本发明的一个替代的实施例中,安全系统70的方块示意图。如图3所示,系统70包含主机装置74、周边装置78以及安全装置86,均连结至SPI汇流排82。
在主机装置74未经授权的尝试存取周边装置78时,安全装置86会识别并中断此数据处置。在本发明的实施例中,安全装置86包含接口90,其连接于SPI汇流排82;处理器94,其设置为执行本发明的技术;存储器98,其设置为储存一个或多个由处理器94所实行的安全政策。
用于区分授权和未经授权的数据处置的安全政策,以及安全装置86的处理器94识别未经授权的数据处置的方式,基本上与上述系统20所描述的相似。后述技术与上述技术的不同点在于,安全装置86在汇流排82上强制写入虚拟值以中断未经授权的数据处置。
SPI汇流排82包含时钟(CLK)线、及被称为主输出从输入线(MOSI)和主输入从输出线(MISO)的两条数据传输线。CLK,MISO和MOSI线对于所有装置(在本实施例中为主机装置74、78和86)是共用的。此外,每个从装置可通过专用的芯片选择线来选择。在本实施例中,主机装置74使用标记为CS2#的CS线来选择周边装置78,并且使用标记为CS1#的CS线来选择安全装置86。
作为主控装置的主机装置74连接到所有CS线。另一方面,由于周边装置78是从属装置,因此每个周边装置78仅连接到其自己的CS线。通常,主机装置74通过使用相应的CS线选择期望的周边装置78来启动数据处置,然后使用CLK、MOSI和MISO线与装置通信。MOSI线用于从主机装置74向周边装置78发送信号,MISO线则用于从周边装置78发送信号至主机装置74。
安全装置86与常规SPI从装置不同,其被定义为从装置但能驱动所有CS线。如图3所示,安全装置86的接口90设置为与主机装置74并行地驱动CS2#线。当系统70包含多个具有相对应CS线的周边装置78时,安全装置86通常设置为平行地驱动任何连结至主机装置74的CS线。
在一些实施例中,系统70被设计为当主机装置74与安全装置86以相反逻辑值驱动CS线时,安全装置86所驱动的逻辑值将覆写主机装置74所驱动的逻辑值。也可以说,当主机装置74与安全装置86在CS线上驱动相反的逻辑值时,周边装置78会收到并执行由安全装置86所驱动的逻辑值。
覆盖CS线是阻止汇流排上的数据处置以中断主机和周边装置78之间的未经授权数据处置的另一种范例。上述覆盖机制可通过各种方式实现。下面的描述涉及用于选择周边装置78的CS2#线,但当使用多个周边装置78及多个相对应的CS线时,应使用同样的机制。
在一个实施例中,安全装置86通过接口90驱动CS2#线的线驱动器比主机装置74驱动CS2#线的线驱动器要强。在一个替代的实施例中,串联电阻100可以在主机装置74的输出处插入CS2#线中。相对于安全装置86对CS2#的线驱动器的输出部,串联电阻100减弱主机装置74对CS2#的线驱动器的输出。另外,安全装置86可以设置为以其他任何合适的方式覆盖主机装置74驱动CS2#线的信号。
安全装置86的处理器94可以通过监视SPI汇流排82的CS#线、CLK、MISO及/或MOSI线,并以任何合适的方式识别未经授权的数据处置。在一些实施例中,在标识主机装置74未授权地尝试存取某个周边装置78的数据处置时,安全装置86的处理器94通过使周边装置78的CS线失效来中断数据处置。由于安全装置86设置为在覆写主机装置74对CS2#线的驱动,所以周边装置78将被取消选择,且数据处置中断。另一方面,当确定数据处置已被授权时,处理器94将停止自己的CS2#驱动器,从而使主机不被中断的存取周边装置78。
图4是本发明另一个实施例中安全系统110的方块示意图。系统110同样基于SPI汇流排82,与图3的系统70相似。然而,在系统110中,安全装置86通过在CLK线、MISO线及/或MOSI线上强制写入虚拟值来破坏未经授权的数据处置,而不是覆写CS线。
在本实施例中,系统110设置为在安全装置86驱动CLK线、MISO线及/或MOSI线时优先于主机装置74。如图所示,为达成此目的,将串联电阻100插入CLK线、MISO线及MOSI线。由于本实施例中的CS2#线并不被覆写,所以没有在CS2#线插入串联电阻100。
在一个替代的实施例中,可以通过使安全装置86中对CLK线、MISO线及/或MOSI线的对应线驱动器更强,来实现覆写机制。
在其他实施例中,同时使用覆写CS线(如图3所示)及覆写CLK线、MISO线及/或MOSI线(如图4所示)的混合方案也是可行的。
藉由覆盖专用的点对点信号来保护对周边装置的存取
汇流排(例如SPI)的信号可以分为共享信号和专用信号。共享信号是与汇流排上的多个(例如,所有)周边装置并联连接的信号。共享SPI信号的例子是数据(MOSI和MISO)和时钟(CLK)信号。专用信号是专用于特定的周边装置的信号。作为汇流排一部分的专用信号的一个例子是芯片选择(Chip-Select)信号。另外,汇流排可以用带外(out-of-band)专用信号增强,例如写入保护信号(Write Protect signal)(当周边装置包含储存设备时)。专用信号也可以称为点对点(point to point,PTP)线。
在一些实施例中,一个或多个专用信号在到达周边装置之前通过安全装置86。相反的,共享信号通常路由到周边装置,并且不通过安全装置。这种互连方案使得安全装置能够有效地保护周边装置,详述如下。
图5是示意性地画出的根据本发明的替代实施例的安全系统130的方块图。此系统类似于图3的系统70。然而,在本实施例中,CS2#信号不直接驱动周边装置78的输入部。相反的,来自主机装置74的CS2#线被输入到安全装置86,并且安全装置86又驱动表示为CS2_O#的信号,其连接到周边装置78的输入部。CS2_O#的功能与CS2#相同,都是用于传送芯片选择(Chip select)信号。
在本实施例中,CS2#信号用作专用PTP信号的例子,其在途中通过安全装置路由到被保护的周边装置。从图中可以看出,共享信号(MOSI、MISO和CLK)在主机装置74和周边装置78之间是不间断的。
安全装置86设置为通过选择性地使CS2#信号到达周边装置或者防止CS2#信号到达周边装置来中断主机装置74和周边装置78之间的数据处置。在图5的例子中,通过对表示为MASK_CS2#的控制信号断言或取消断言来执行选择。
图6是根据本发明实施例的图5中描述的系统130的安全装置86的方块图。在本实施例中,安全装置86包含用于连接到SPI汇流排82的接口90,设置为执行所公开的技术的处理器94,以及设置为储存由处理器94强制执行的一个或多个安全策略的存储器98。处理器94包含从接口逻辑电路(slave interface logic)91和接口监视逻辑电路(interfacemonitor logic,IML)92。从接口逻辑电路91处理安全装置86和主机装置74之间的通信。接口监视逻辑电路92监视、控制并选择性地覆盖主机装置74对周边装置78的存取。
在一个实施例中,安全装置86识别并中断主机装置74在未经授权的情况下尝试存取SPI汇流排82上的周边装置78的数据处置。从图5和图6可以理解,图3中描述的系统中可能的任何安全特征,也可以实现在图5的系统中。
在上述实施例中,安全装置连接到汇流排,并设置为附加从设备。然而,在其他实施例中,安全装置可以连接并设置为主装置。例如,这种实现适用于支持多主机(multi-master)能力的汇流排协议。
藉由代表周边装置回应的安全装置以对于未经授权的数据处置进行保护
在另一个实施例中,安全装置86代表周边装置78回应所选择的主机数据处置。以下描述主要涉及图5和图6的设置,其单纯作为举例。通常,所揭露的技术不限于该特定系统设置,并且可以使用任何其他设置来应用,例如,上面的图3或图4的设置。
在涉及图5和图6的设置的例示性实施例中,当从周边装置78的地址空间内的某个地址区域检测到读取命令时,接口监视逻辑电路92可以强制设定CS2_O#为“高”并从安全装置的存储器98内部提供主机读取命令(或读取命令的一部分)。主机装置74通常无从得知回应不是源自周边装置。在一些实施例中,该场景也适用于图4的系统110,例如当安全装置覆盖MISO信号时。
这种机制的一个使用例是一种系统,其中周边装置78包含SPI快闪存储器装置,并且安全装置86设置为覆盖部分快闪存储器地址空间,并且以这种方式为地址区域提供安全的快闪存储器仿真(emulation)。例如,安全装置86可以包含TPM,其使用接口监视逻辑电路92来覆盖包含初始主机启动代码的快闪存储器地址区域(在启动时由主机提取的第一启动命令)。TPM可以使用自包含的经过身份验证的初始启动代码覆盖此快闪存储器地址区域,例如,在跳转到代码之前对其余代码进行验证。
在一些实施例中,安全装置86还包含到SPI快闪存储器装置的主接口。另外,安全装置86可以包含合适的接口和电路,以在存取SPI快闪存储器装置时维持主机装置74复位,其通常作为系统启动过程的一部分。安全装置86可以是例如嵌入式控制器(EC),super I/O(SIO)或基板管理控制器(BMC)装置。
图7是示意性地画出的根据本发明的实施例的这种安全启动过程的例子的流程图。该方法从启动开始,即断言系统功率。在维持复位步骤102中,安全装置86将主机装置74维持在复位状态并且可选地从SPI快闪存储器(周边装置78)启动。在(可选的)初始读取步骤104中,安全装置86从SPI快闪存储器读取数据块,验证数据块的真实性并将其储存在存储器98中。
在覆盖步骤108中,安全装置86设置接口监视逻辑电路92以覆盖对SPI快闪存储器中的至少一个预定义地址区的存取(在本实施例中为周边装置78)。所述的地址区可以包含例如一个或多个密钥、设置数据及/或主机装置74的初始启动块。
在复位释放步骤112中,安全装置86从复位释放主机。因此,在启动步骤116中,主机装置74开始其启动过程。作为启动过程的一部分,在区域存取子步骤120中,安全装置86从内部存储器98服务对预定义地址区的存取。
以这种方式,可以从安全装置安全地提供诸如密钥、设置数据及/或初始启动代码之类的敏感信息。主机装置74无从得知该信息是从安全装置而不是从SPI快闪存储器提供的。
图7的方法画出了安全装置如何能够覆盖对周边装置的预定义地址区的存取的例子。在替代实施例中,任何其他合适的方法可用于此目的。作为SPI快闪存储器装置伪装的替代方案,安全装置可以藉由覆盖及/或中断任何其他合适的未授权数据处置来保护快闪存储器装置(或其他周边装置)。
此外,未授权数据处置的覆盖不限于保护特定的预定义地址区域。例如,可以基于来自受保护外部设备的回传数据或SPI的命令代码来触发覆盖。例如,安全装置可以实施安全策略,其对快闪存储器装置禁用程序、抹除、写入启用、状态/设置及/或任何其他指令或功能。有关SPI快闪存储器命令和指令的规范例由Winbond Electronics Corporation在“SPI快闪存储器-具有双/四SPI和QPI的3V串联快闪存储器(SPI Flash–3V Serial FlashMemory with Dual/Quad SPI and QPI)”中指定,发表于2015年8月24日。
作为另一例子,在图7的方法中,敏感信息始终存在于快闪存储器装置中,并且作为启动过程的一部分由安全装置读取。在替代实施例中,敏感信息可以最初储存在安全装置(除了快闪存储器之外或不储存在快闪存储器)中。在这样的实施例中,不需要将该信息从快闪存储器装置读取到安全装置。
在另一例子中,参考SPI汇流排描述图7的方法。在替代实施例中,安全装置可以使用任何专用信号(如果有的话)及/或汇流排的共享信号来覆盖其他汇流排和协议中的对周边装置的预定义地址区的存取。例如,I2C汇流排是一种上拉双向汇流排(pull-upbidirectional bus),旨在支持多个从装置和多个主装置。因此,该协议具有嵌入式机制来处理设备之间的争用(contention)。例如,当I2C设备在尝试设置'1'(上拉)时在SDA线上检测到“0”,装置假定其为争用中并释放汇流排直到下一次数据处置。在一个实施例中,I2C安全装置(例如,图1的安全装置36)设置为重叠(overlap)另一个外围从设备(例如,图1的周边装置28)的一些地址空间。安全装置可以,例如,设置为回应与其他周边装置相同的数据。如果安全装置检测到数据不匹配(例如,尝试上拉'1'但在SDA线上检测到'0'),则安全装置可以发起回应动作(例如,产生停止条件,在一条或多条数据线上驱动'0',设置无限时钟拉伸(endless clock stretching),或任何其他合适的动作)。该技术可以利用传统的I2C从设备(物理层中没有硬件改变)来监视设备到数据等级(data level)。
在另一个实施例中,安全装置86(使用接口监视逻辑电路92)还监视SPI地址的数据阶段(data phase)。在识别出数据不匹配时,安全装置可以启动回应动作,例如,通过中断数据处置、重置系统、锁定对密钥的存取或任何其他合适的动作。
在例示性的情境中,安全装置86保存储存在SPI快闪存储器中的特定代码段的签名或摘要。安全装置在计算签名或背景中此代码部分的哈希值时监视主机装置74对SPI快闪存储器的存取。如果检测到错误的签名、哈希值或SPI获取序列,则安全装置86可以发起适当的回应动作。
在另一个实施例中,安全装置可以监视汇流排82上的多于一个的周边装置78,并且例如验证对不同设备的存取顺序是否如预期。
在另一个实施例中,安全装置86使用一个或多个信号(除CS之外)来限制对周边装置78的存取,或在检测到与周边装置78的授权数据处置时强制执行某个系统状态。这种信号的非限制性例子包含:
如图4的系统说明的任何信号。
快闪存储器中的写入保护信号。
控制复位信号。
控制电源管理信号。
控制电源至一个或多个装置。
停止系统通信(例如,停止网路接口控制器)。
系统复位。
在图1及图3至图6所示的系统20、70、110及130的配置,以及各种系统器件诸如安全装置36、86及汇流排32、82都是为了清楚描述而绘制的示意图在一个替代的实施例中,可以使用任何其他合适的配置。
例如,为了清楚起见,附图仅示出单个周边装置和单个主机装置。在一些实施例中,系统可以包含两个或更多个周边装置及/或两个或更多个主机装置。此处描述的实施例参考使用I2C及SPI汇流排的范例。在一个替代的实施例中,被揭露的技术可经过必要的修改而使用于其他适合的种类的汇流排。
系统20、70、110及130的不同器件可以使用任何合适的硬件来执行,如专用集成电路(Application-Specific Integrated Circuit,ASIC)或现场可编程门阵列(Field-Programmable Gate Array,FPGA)。在一些实施例中,安全装置36和86的一些器件(例如处理器44或处理器94)可以使用软件或使用硬件和软件器件的组合来实现。存储器48及98可以使用任何合适类型的存储器装置,如随机存取存储器(Random Access Memory,RAM)或快闪存储器(Flash memory)。
在一些实施例中,处理器44及/或处理器94包含通用可编程处理器,其在软件中编程以执行本文所述的功能。可以通过网络将软件以电子形式下载到处理器,或者可附加的或可替换的以非暂态的有形媒体(non-transitory tangible media)如磁、光、电子存储器储存。
在上述实施例中,安全装置先通过监视汇流排以检测出未经授权的数据处置,接着中断数据处置。在一个替代的实施例中,安全装置不须先检测到数据处置便可以中断数据处置,甚至不须监视汇流排。例如,安全装置可以覆写某个主机的芯片选择(CS)线,直到或者除非该主机被授权。授权可以以任何合适的方式执行,并非必须使用相同的汇流排。
作为非限制性实施例,本文描述的方法和系统可用于各种应用,例如在安全存储器应用、物联网(IoT)应用、嵌入式应用或汽车应用中,在此仅举几个例子。
因此,应当理解的是,上述实施例以实施例的方式引用,并且本发明不限于上述具体示出和描述的内容。相反的,本发明的范围包含上述各种特征的组合及子组合,以及本领域的技术人员在阅读前述描述时将想到的未揭露的技术。通过引用并入本申请的文件为本申请的一部分,除非在这些被并入的文件中有任何术语的定义与本文明确地或隐含地与本文相冲突时,应参考本文的定义。
Claims (34)
1.一种通过汇流排安全存取周边装置的安全装置,其特征在于,包含:
一接口,用于连接到服务于一个或多个周边装置的一汇流排,其中该汇流排传输包含一个或多个专用信号,分别专用于相应的该一个或多个周边装置,以及一个或多个共享信号,共享于该汇流排所服务的该一个或多个周边装置之间;以及
一处理器,连接到该汇流排,并作为该一个或多个周边装置之外的一附加设备,并且通过中断与一给定周边装置相关联的该专用信号,藉此在该汇流排上中断一汇流排主装置试图存取该给定周边装置的一数据处置。
2.如权利要求1所述的安全装置,其特征在于,该处理器在中断该数据处置时维持该汇流排上的该共享信号不中断。
3.如权利要求1所述的安全装置,其特征在于,该接口包含:
一输入部,用以从该汇流排主装置接收该专用信号;以及
一输出部,用以输出该专用信号至该给定周边装置,其中该处理器通过防止该输入部接收的该专用信号被从该输出部发送,藉此来中断该数据处置。
4.如权利要求1所述的安全装置,其特征在于,该处理器设置为当该专用信号被中断时,回应该汇流排主装置而不回应该给定周边装置。
5.如权利要求1所述的安全装置,其特征在于,该专用信号包含一芯片选择CS信号。
6.如权利要求1所述的安全装置,其特征在于,该处理器监视该汇流排,以检测要中断的该数据处置。
7.如权利要求1所述的安全装置,其特征在于,该处理器通过在该汇流排外部的一辅助接口与该汇流排主装置进行通信,来检测要中断的该数据处置。
8.如权利要求1所述的安全装置,其特征在于,该处理器设置为持续中断该专用信号,直到一重置信号出现。
9.如权利要求1所述的安全装置,其特征在于,该处理器设置为在检测到该数据处置后的一有限时间段内中断该专用信号。
10.如权利要求1所述的安全装置,其特征在于,藉由中断该数据处置,该处理器设置为在该一个或多个周边装置处产生一数据处置中止。
11.如权利要求1所述的安全装置,其特征在于,该处理器设置为在该数据处置中断后恢复该汇流排的正常操作。
12.一种通过汇流排安全存取周边装置的安全装置,其特征在于,包含:
一接口,用于连接到服务于一个或多个周边装置的一汇流排;以及
一处理器,除了连接到该一个或多个周边装置外也连接到该汇流排,并且通过回应于一汇流排主装置而不回应该一个或多个周边装置的方式,以中断该汇流排主装置尝试存取一给定周边装置的一数据处置。
13.如权利要求12所述的安全装置,其特征在于,该汇流排传输包含一个或多个专用信号,分别专用于相应的该一个或多个周边装置,以及一个或多个共享信号,共享于该汇流排所服务的该一个或多个周边装置之间;
其中该处理器通过中断与该给定周边装置相关的该专用信号,以及当该专用信号被中断时回应该汇流排主装置,藉此以中断该数据处置。
14.如权利要求12所述的安全装置,其特征在于,该给定周边装置包含一存储器装置,其中该处理器设置为在该数据处置中识别来自该汇流排主装置的用以从该存储器装置读取数据的一请求,以及以储存于该安全装置的一替代数据回应该请求。
15.如权利要求14所述的安全装置,其特征在于,该处理器设置为识别到该汇流排主装置请求存取该存储器装置中的一预定义地址区时,中断该数据处置并以该替代数据回应。
16.如权利要求12所述的安全装置,其特征在于,该处理器设置为基于从该给定周边装置在该数据处置中回传给该汇流排主装置的数据,以识别该汇流排主装置尝试存取该给定周边装置的该数据处置。
17.如权利要求12所述的安全装置,其特征在于,该处理器设置为基于该数据处置中使用的指令代码来识别该汇流排主装置尝试存取该给定周边装置的该数据处置。
18.一种通过汇流排安全存取周边装置的方法,其特征在于,包含:
使用一安全装置经由一汇流排进行通信,其中该安全装置通过一接口连接到该汇流排且作为一个或多个周边装置之外的一附加设备,其中该汇流排传输包含一个或多个专用信号,分别专用于相应的该一个或多个周边装置,以及一个或多个共享信号,共享于该汇流排所服务的该一个或多个周边装置之间;
使用该安全装置通过中断与一给定周边装置相关联的该专用信号,藉此以在该汇流排上中断一汇流排主装置试图存取该给定周边装置的一数据处置。
19.如权利要求18所述的方法,其特征在于,中断该数据处置包含维持该汇流排上的该共享信号不中断。
20.如权利要求18所述的方法,其特征在于,该接口包含:
一输入部,用以从该汇流排主装置接收该专用信号;以及
一输出部,用以输出该专用信号至该给定周边装置;
其中中断该数据处置包含防止在该输入部接收的该专用信号被从该输出部发送。
21.如权利要求18所述的方法,其特征在于,中断该数据处置包含当该专用信号被中断时,回应该汇流排主装置而不回应该给定周边装置。
22.如权利要求18所述的方法,其特征在于,该专用信号包含一芯片选择CS信号。
23.如权利要求18所述的方法,其特征在于,进一步包含藉由监控该汇流排来检测要中断的该数据处置。
24.如权利要求18所述的方法,其特征在于,进一步包含藉由在该汇流排外部的一辅助接口与该汇流排主装置进行通信来检测要中断的该数据处置。
25.如权利要求18所述的方法,其特征在于,中断该数据处置包含持续中断该专用信号,直到一重置信号出现。
26.如权利要求18所述的方法,其特征在于,中断该数据处置包含在检测到该数据处置后的一有限时间段内中断该专用信号。
27.如权利要求18所述的方法,其特征在于,中断该数据处置包含在该一个或多个周边装置处产生一数据处置中止。
28.如权利要求18所述的方法,其特征在于,进一步包含在该数据处置中断后恢复该汇流排的正常操作。
29.一种通过汇流排安全存取周边装置的方法,其特征在于,包含:
使用一安全装置经由一汇流排进行通信,其中该安全装置连接到该汇流排且作为一个或多个周边装置之外的一附加设备;以及
使用该安全装置通过回应一汇流排主装置而不回应一给定周边装置,藉此以在该汇流排上中断该汇流排主装置试图存取该给定周边装置的一数据处置。
30.如权利要求29所述的方法,其特征在于,该汇流排传输包含一个或多个专用信号,分别专用于相应的该一个或多个周边装置,以及一个或多个共享信号,共享于该汇流排所服务的该一个或多个周边装置之间;
其中中断该数据处置包含中断与该给定周边装置相关的该专用信号,以及当该专用信号被中断时回应该汇流排主装置。
31.如权利要求29所述的方法,其特征在于,该给定周边装置包含一存储器装置,其中中断该数据处置包含在该数据处置中识别来自该汇流排主装置的用以从该存储器装置读取数据的一请求,以及以储存于该安全装置的一替代数据回应该请求。
32.如权利要求31所述的方法,其特征在于,识别到该汇流排主装置请求存取该存储器装置中的一预定义地址区时,中断该数据处置并以该替代数据回应。
33.如权利要求29所述的方法,其特征在于,进一步包含基于从该给定周边装置在该数据处置中回传给该汇流排主装置的数据,以识别该汇流排主装置尝试存取该给定周边装置的该数据处置。
34.如权利要求29所述的方法,其特征在于,进一步包含基于该数据处置中使用的指令代码来识别该汇流排主装置尝试存取该给定周边装置的该数据处置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/955,715 | 2018-04-18 | ||
US15/955,715 US10452582B2 (en) | 2015-06-08 | 2018-04-18 | Secure access to peripheral devices over a bus |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110390214A true CN110390214A (zh) | 2019-10-29 |
CN110390214B CN110390214B (zh) | 2022-11-25 |
Family
ID=68284341
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910293938.XA Active CN110390214B (zh) | 2018-04-18 | 2019-04-12 | 通过汇流排安全存取周边装置的安全装置及方法 |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP7086891B2 (zh) |
CN (1) | CN110390214B (zh) |
TW (1) | TWI698769B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113064663A (zh) * | 2019-12-31 | 2021-07-02 | 新唐科技股份有限公司 | 电脑装置及基于信任链的权限管理方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05204768A (ja) * | 1992-01-28 | 1993-08-13 | Tokimec Inc | データ記憶システム |
WO2012135192A2 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
US20130031290A1 (en) * | 2011-07-27 | 2013-01-31 | Raytheon Company | System and Method for Implementing a Secure Processor Data Bus |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006067729A1 (en) * | 2004-12-21 | 2006-06-29 | Philips Intellectual Property & Standards Gmbh | Integrated circuit with improved device security |
US8978132B2 (en) * | 2008-05-24 | 2015-03-10 | Via Technologies, Inc. | Apparatus and method for managing a microprocessor providing for a secure execution mode |
JP6586765B2 (ja) * | 2015-04-21 | 2019-10-09 | 株式会社ソシオネクスト | アクセス遮断回路、半導体集積回路およびアクセス遮断方法 |
US10095891B2 (en) * | 2015-06-08 | 2018-10-09 | Nuvoton Technology Corporation | Secure access to peripheral devices over a bus |
-
2019
- 2019-03-11 TW TW108108029A patent/TWI698769B/zh active
- 2019-04-12 CN CN201910293938.XA patent/CN110390214B/zh active Active
- 2019-04-17 JP JP2019078917A patent/JP7086891B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05204768A (ja) * | 1992-01-28 | 1993-08-13 | Tokimec Inc | データ記憶システム |
WO2012135192A2 (en) * | 2011-03-28 | 2012-10-04 | Mcafee, Inc. | System and method for virtual machine monitor based anti-malware security |
US20130031290A1 (en) * | 2011-07-27 | 2013-01-31 | Raytheon Company | System and Method for Implementing a Secure Processor Data Bus |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113064663A (zh) * | 2019-12-31 | 2021-07-02 | 新唐科技股份有限公司 | 电脑装置及基于信任链的权限管理方法 |
CN113064663B (zh) * | 2019-12-31 | 2024-04-09 | 新唐科技股份有限公司 | 电脑装置及基于信任链的权限管理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110390214B (zh) | 2022-11-25 |
TWI698769B (zh) | 2020-07-11 |
JP7086891B2 (ja) | 2022-06-20 |
TW201944281A (zh) | 2019-11-16 |
JP2019212293A (ja) | 2019-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6703064B2 (ja) | バスを介して周辺デバイスを安全にアクセスするための方法 | |
US10452582B2 (en) | Secure access to peripheral devices over a bus | |
US10691807B2 (en) | Secure system boot monitor | |
CN105205401B (zh) | 基于安全密码芯片的可信计算机系统及其可信引导方法 | |
US10776527B2 (en) | Security monitoring of SPI flash | |
CN109670319B (zh) | 一种服务器flash安全管理方法及其系统 | |
US11003801B2 (en) | Functional device and control apparatus | |
WO2022028057A1 (zh) | 一种基于tpm服务器资产信息多层保护的装置及方法 | |
CN110390214A (zh) | 通过汇流排安全存取周边装置的安全装置及方法 | |
CN108595939A (zh) | 一种授权外接设备权限的方法及系统 | |
CN111797440B (zh) | 安全装置、方法及其系统 | |
CN111797442B (zh) | 安全装置及方法 | |
CN115129511A (zh) | 处理系统、相关集成电路、设备和方法 | |
WO2005029272A2 (en) | Method and device for data protection and security in a gaming machine | |
TWI791138B (zh) | 序列周邊介面快閃記憶體之安全裝置 | |
CN115795490B (zh) | 可信启动方法、装置、工控主机及可读存储介质 | |
EP2839405B1 (fr) | Systeme de gestion d'applications securisees et non securisees sur un meme microcontroleur | |
CN115549952A (zh) | 车机回收处理方法、装置、系统、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |