CN111143897B - 数据安全处理装置、系统及处理方法 - Google Patents
数据安全处理装置、系统及处理方法 Download PDFInfo
- Publication number
- CN111143897B CN111143897B CN201911347639.6A CN201911347639A CN111143897B CN 111143897 B CN111143897 B CN 111143897B CN 201911347639 A CN201911347639 A CN 201911347639A CN 111143897 B CN111143897 B CN 111143897B
- Authority
- CN
- China
- Prior art keywords
- data
- security
- access request
- data access
- mode hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 18
- 230000004044 response Effects 0.000 claims description 68
- 239000000872 buffer Substances 0.000 claims description 66
- 230000001960 triggered effect Effects 0.000 claims description 47
- 230000005540 biological transmission Effects 0.000 claims description 25
- 238000000034 method Methods 0.000 claims description 23
- 231100000279 safety data Toxicity 0.000 claims description 6
- 230000008569 process Effects 0.000 description 15
- 238000007726 management method Methods 0.000 description 14
- 238000002955 isolation Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 230000004048 modification Effects 0.000 description 8
- 238000012986 modification Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 238000013500 data storage Methods 0.000 description 6
- 230000003139 buffering effect Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000013478 data encryption standard Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
数据安全处理装置、系统及处理方法,所述数据安全处理装置包括:数个安全模式硬件单元,各安全模式硬件单元之间依次通过总线进行串行连接,且选取位于首部的安全模式硬件单元作为第一安全模式硬件单元,用以通过总线获取数据访问请求,各安全模式硬件单元之间依次通过总线传输所述数据访问请求,其中:任一安全模式硬件单元,适于根据所述数据访问请求中包含的安全模式状态信息,确定是否触发使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。采用上述方案可以提高系统采用的多种安全协议之间的兼容性。
Description
技术领域
本说明书实施例涉及数据处理技术领域,尤其涉及一种数据安全处理装置、系统及处理方法。
背景技术
目前,为了防止恶意程序拿到存储器中的明文信息,可以根据实际采用的安全协议,做出对应的数据安全保护方案,在片上系统(System on Chip,SOC)上设计相关的硬件架构和软件架构,实现对存储器中的数据的安全保护。
然而,发明人经研究发现,多种安全协议之间兼容性较差,需要反复调试对应的SOC的硬件架构和软件架构,才能实现各种安全协议对应的数据安全保护方案,增加硬件修改成本和调试时间。
发明内容
有鉴于此,本说明书实施例提供一种数据安全处理装置、系统及处理方法,提高系统采用的多种安全协议之间的兼容性。
本说明书实施例提供了一种数据安全处理装置,包括:数个安全模式硬件单元,各安全模式硬件单元之间依次通过总线进行串行连接,且选取位于首部的安全模式硬件单元作为第一安全模式硬件单元,用以通过总线获取数据访问请求,各安全模式硬件单元之间依次通过总线传输所述数据访问请求,其中:
任一安全模式硬件单元,适于根据所述数据访问请求中包含的安全模式状态信息,确定是否触发使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
可选地,还包括命令缓存单元,设置于总线与所述第一安全模式硬件单元之间,适于接收总线上传输的数据访问请求;
所述第一安全模式硬件单元,适于在通过总线接收到访问响应信号后,获取所述命令缓存单元中对应于所述访问响应信号的数据访问请求。
可选地,还包括安全控制单元,通过总线与各安全模式硬件单元分别连接;
所述安全控制单元,适于基于各使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。
可选地,所述安全控制单元包括第一控制子单元和第二控制子单元,其中:
所述第一控制子单元,适于在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果均有效时,将位于尾部的安全模式硬件单元输出的安全数据基于所述数据访问请求进行对应的有效处理操作;
所述第二控制子单元,适于在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果中有任意一个无效时,对所述数据访问请求进行对应的无效处理操作。
可选地,所述总线的数据帧包括扩展位,适于传输所述安全模式状态信息。
可选地,所述总线的传输信道包括安全模式状态信息传输信道,适于传输所述安全模式状态信息。
可选地,各安全模式硬件单元之间依次采用相同接口协议的总线进行串行连接。
本说明书实施例还提供了一种数据安全处理系统,包括通过总线互相连接的处理器和数据安全处理装置,所述数据安全处理装置包括:数个安全模式硬件单元,各安全模式硬件单元之间依次通过总线进行串行连接,且选取位于首部的安全模式硬件单元作为第一安全模式硬件单元,用以通过总线获取数据访问请求,各安全模式硬件单元之间依次通过总线传输所述数据访问请求,其中:
所述处理器,适于向所述数据安全处理装置发送数据访问请求;
任一安全模式硬件单元,适于根据所述数据访问请求中包含的安全模式状态信息,确定是否触发使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
可选地,所述系统还包括存储器,通过总线分别与所述处理器和所述数据安全处理装置连接,适于接收所述处理器发送的数据访问请求,并在确定存在所述数据访问请求相应的存储区域时,向所述数据安全处理装置发送所述数据访问请求对应的访问响应信号;
所述数据安全处理装置还包括命令缓存单元,所述命令缓存单元通过总线分别与所述第一安全模式硬件单元和所述处理器连接,其中:
所述命令缓存单元,适于接收所述处理器发送的数据访问请求;
所述第一安全模式硬件单元,适于在接收到所述访问响应信号后,获取所述命令缓存单元中对应于所述访问响应信号的数据访问请求。
可选地,所述系统还包括存储管理单元,通过总线分别与所述处理器和所述数据安全处理装置连接,适于接收所述处理器发送的数据访问请求,并在确定存在所述数据访问请求相应的存储区域时,向所述数据安全处理装置发送所述数据访问请求对应的访问响应信号;
所述数据安全处理装置还包括命令缓存单元,所述命令缓存单元通过总线分别与所述第一安全模式硬件单元和所述处理器连接,其中:
所述命令缓存单元,适于接收所述处理器发送的数据访问请求;
所述第一安全模式硬件单元,适于在接收到所述访问响应信号后,获取所述命令缓存单元中对应于所述访问响应信号的数据访问请求。
可选地,所述数据安全处理装置还包括安全控制单元,分别通过总线与各安全模式硬件单元连接;
所述安全控制单元,适于基于各使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。
可选地,所述安全控制单元,还适于在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果均有效时,将位于尾部的安全模式硬件单元输出的安全数据基于所述数据访问请求进行对应的有效处理操作;在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果中有任意一个无效时,对所述数据访问请求进行对应的无效处理操作。
可选地,所述总线的数据帧包括扩展位,适于传输所述安全模式状态信息。
可选地,所述总线的传输信道包括安全模式状态信息传输信道,适于传输所述安全模式状态信息。
本说明书实施例还提供了一种数据安全处理方法,包括:
通过总线获取数据访问请求;
基于所述数据访问请求中包含的安全模式状态信息,依次通过总线串行连接的多级安全模式硬件单元确定是否自身是否使能,并在使能后,对所述数据访问请求对应的数据进行相应安全模式的数据处理;在未使能时,将接收到的数据传输至下一级安全模式硬件单元。
可选地,数据安全处理方法还包括:采用命令缓存单元接收总线上传输的数据访问请求;
在通过总线接收到访问响应信号后,所述多级安全模式硬件单元中位于首部的第一安全模式硬件单元从所述命令缓存单元中获取对应于所述访问响应信号的数据访问请求。
可选地,数据安全处理方法还包括:
基于各使能后的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。
可选地,所述基于各使能后的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作,包括:
在确定所述各使能后的安全模式硬件单元输出的数据处理结果均有效时,将位于尾部的安全模式硬件单元输出的安全数据基于所述数据访问请求进行对应的有效处理操作;
在确定所述各使能后的安全模式硬件单元输出的数据处理结果中有任意一个无效时,对所述数据访问请求进行对应的无效处理操作。
可选地,所述总线的数据帧包括扩展位,适于传输所述安全模式状态信息。
可选地,所述总线的传输信道包括安全模式状态信息传输信道,适于传输所述安全模式状态信息。
可选地,各级安全模式硬件单元之间采用相同接口协议的总线进行串行连接。
采用本说明书实施例的数据处理方案,由于各安全模式硬件单元之间串行连接,使得各安全模式硬件单元之间可以依次传输相同的数据访问请求,并且,各安全模式硬件单元通过所述数据访问请求中包含的安全模式状态信息确定是否使能,因而各安全模式硬件单元可以单独使用,也可以结合使用,故可以实现安全模式硬件单元的复用,通过修改所述数据访问请求中包含的安全模式状态信息,即可灵活设置不同的安全模式,得到实现相应安全协议的数据安全保护方案,因此可以降低硬件修改成本和调试时间,提高多种安全协议之间的兼容性。
进一步地,通过所述命令缓存单元缓存所述总线发送的数据访问请求,便于所述第一安全模式硬件单元根据接收到的访问响应信号,快速获取对应的数据访问请求,且可以根据不同的访问响应信号异步获取多个数据访问请求,提高总线利用率,提升所述数据安全处理装置的数据处理的效率。
进一步地,通过安全控制单元可以通过总线与各安全模式硬件单元分别连接,并通过使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作,。
进一步地,通过在所述总线的数据帧设置扩展位,或者在所述总线上设置安全模式状态信息传输信道来传输所述安全模式状态信息,从而使得通过总线连接的装置可以获得数据访问请求包含的安全模式状态信息。
进一步地,通过各安全模式硬件单元之间可以依次采用相同接口协议的总线进行串行连接,各安全模式硬件单元之间进行数据传输时,相邻级别的安全模式硬件单元无须进行接口协议的转换,并且,相对于并行数个不同接口协议的接口来分别接收总线上的数据访问请求,可以简化SOC的硬件架构和软件架构。
附图说明
为了更清楚地说明本说明书实施例的技术方案,下面将对本说明书实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书实施例中一种数据安全处理装置的结构示意图。
图2是本说明书实施例中一种总线传输安全模式状态信息的示意图。
图3是本说明书实施例中另一种总线传输安全模式状态信息的示意图。
图4是本说明书实施例中一种数据安全处理系统的结构示意图。
图5是本说明书实施例中另一种数据安全处理系统的结构示意图。
图6是本说明书实施例中另一种数据安全处理装置的结构示意图。
图7是本说明书实施例中一种数据安全处理方法的流程图。
图8是本说明书实施例中一种获取数据访问请求的流程图。
具体实施方式
如前所述,为了防止恶意程序拿到存储器中的明文信息,可以根据实际采用的安全协议,做出对应的数据安全保护方案,在SOC上设计相关的硬件架构和软件架构,实现对存储器中的数据的安全保护。例如,可以利用存储安全加密(Secure Memory Encryption,SME)技术对内存实现加密控制,对存储器中的数据进行加密处理,保护存储器中的明文信息。
然而,发明人经研究发现,目前虽然有多种安全协议,但是多种安全协议之间兼容性较差,在SOC采用多种安全协议时,需要反复调试对应的SOC的硬件架构和软件架构,才能得到实现分别通过各种安全协议对数据进行安全保护的方案,增加硬件修改成本和调试时间。
针对上述问题,本说明书实施例提供了相应的数据处理方案,各安全模式硬件单元之间可以依次通过总线进行串行连接,并且各安全模式硬件单元之间依次通过总线传输所述数据访问请求,根据通过总线获取的所述数据访问请求中包含的安全模式状态信息,任一安全模式硬件单元可以确定是否触发使能端,并在触发所述使能端后,可以对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
采用本说明书实施例方案,由于各安全模式硬件单元之间串行连接,使得各安全模式硬件单元之间可以依次传输相同的数据访问请求,并且,各安全模式硬件单元通过所述数据访问请求中包含的安全模式状态信息确定是否使能,因而各安全模式硬件单元可以单独使用,也可以结合使用,故可以实现安全模式硬件单元的复用,通过修改所述数据访问请求中包含的安全模式状态信息,即可灵活设置不同的安全模式,得到实现相应安全协议的数据安全保护方案,因此可以降低硬件修改成本和调试时间,提高多种安全协议之间的兼容性。
为使本领域技术人员更加清楚地了解及实施本说明书实施例的构思、实现方案及优点,以下参照附图,通过具体应用场景进行详细说明。
参照图1所示的本说明书实施例中一种数据安全处理装置的结构示意图,在本说明书实施例中,所述数据安全处理装置10可以包括:
数个安全模式硬件单元1~N,N为大于1的自然数。各安全模式硬件单元之间依次通过总线进行串行连接,形成级联的安全模式硬件单元集群1A,且选取位于首部的安全模式硬件单元1作为第一安全模式硬件单元,用以通过总线获取数据访问请求,各安全模式硬件单元之间依次通过总线传输所述数据访问请求。
其中,任一安全模式硬件单元,适于根据所述数据访问请求中包含的安全模式状态信息,确定是否触发使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
在本说明书实施例中,如图1所示,所述处理器13可以通过总线向所述数据安全处理装置10发送数据访问请求。其中,所述处理器13可以是任意具有数据处理功能的芯片或数据处理模块、数据处理模组、数据处理装置等,如可以是中央处理器(CentralProcessing Unit,CPU)、安全处理器(Platform Security Processor,PSP)、单片机等。
在具体实施中,可以根据相应的安全协议构建相应的安全模式硬件单元,各安全模式硬件单元在使能后可以实现相应的安全模式。
例如,可以构建相应的安全硬件电路对输入安全模式硬件单元的数据进行相应安全模式的数据处理。也可以在安全模式硬件单元中运行在根据相应的安全协议编写的执行程序,执行相应的安全处理算法或运算逻辑,来对输入安全模式硬件单元的数据进行相应安全模式的数据处理,从而可以获得相应的安全数据。或者,可以根据相应的安全协议设置相应的安全硬件电路及适配的执行程序,对输入安全模式硬件单元的数据进行安全处理,获得相应的安全数据。
在具体实施中,所述安全模式硬件单元可以包括带有预设加密算法的处理芯片,可以采用以下至少一种方式对输入安全模式硬件单元的数据进行加密或解密:
处理芯片与相应的安全加解密硬件电路连接,可以通过安全加解密硬件电路对输入的数据进行相应数据加解密处理;
处理芯片中包含根据相应的加解密协议编写的执行程序,可以通过运行所述执行程序对输入的数据进行相应数据加解密处理。
经上述处理,所述安全模式硬件单元可以将明文信息、密钥信息、地址信息等信息进行相应的加解密运算,得到加密或解密后的数据,实现相应的数据加解密模式。
在具体实施中,所述安全模式硬件单元可以采用现有的数据加密技术对应的加密算法,如数据加密标准(Data Encryption Standard,DES)加密算法、高级加密标准(Advanced Encryption Standard,AES)加密算法、RSA加密算法、Base64加密算法、安全散列算法(Secure Hash Algorithm,SHA)系列加密算法等,也可以根据现有的数据加密技术自定义加密算法,本说明书实施例对此不做限制。其中,RSA加密算法是一种非对称加密算法,Base64加密算法是一种基于64个可打印字符来表示二进制数据的加密算法。
在具体实施中,所述安全模式硬件单元可以包括带有数据隔离功能的处理芯片。例如,可以采用以下至少一种方式对输入安全模式硬件单元的数据进行隔离:
处理芯片可以与相应的安全隔离电路连接,可以通过安全隔离电路对输入的数据进行相应数据隔离处理;
处理芯片中可以包含根据相应的数据隔离协议编写的执行程序,可以通过运行所述执行程序对输入的数据进行相应数据隔离处理。
经上述数据处理,所述安全模式硬件单元可以将数据通过对应的接口传输至指定区域,通过访问主体的身份信息来确定是否可以进行访问操作,实现相应的数据隔离模式。
可以理解的是,所述安全模式硬件单元可以采用现有的网络隔离技术实现数据隔离,如物理隔离技术、逻辑隔离技术、数据安全隔离(Data Security Area,DSA)技术等,也可以自定义隔离方式,本说明书实施例对此不做限制。
在具体实施中,所述安全模式硬件单元可以包括访问控制功能的处理芯片。例如,可以采用以下至少一种方式对输入安全模式硬件单元的数据进行加密或解密:
处理芯片可以与相应的安全访问控制硬件电路连接,可以通过安全访问控制硬件电路对输入的数据进行相应数据访问控制处理;
处理芯片中可以包含根据相应的访问控制协议编写的执行程序,可以通过运行所述执行程序对输入的数据进行相应数据访问控制处理。
具体地,可以通过访问主体的身份信息及其所归属的某项定义组来限制访问主体对某些信息项的访问权限。例如,访问主体可以归属于多级访问组,通过将各个访问主体设置为不同访问级别,从而使得低于或者等于许可级别的访问主体可以对相应访问客体进行数据读取,高于或者等于许可级别的访问主体可以对相应访问客体进行数据写入,实现相应的访问控制模式。
可以理解的是,可以根据实际情景对访问主体的访问等级进行调整,或者,也可以采用其他定义组来限制访问主体对访问客体的访问权限、使用权限等,本说明书实施例对此不做限制。
以所述数据安全处理装置包括3个安全模式硬件单元示例说明,继续参照图1,所述数据安全处理装置10包括安全模式硬件单元1、安全模式硬件单元2和安全模式硬件单元3。所述安全模式硬件单元1、安全模式硬件单元2和安全模式硬件单元3之间依次通过总线进行串行连接。所述安全模式硬件单元1可以实现相应的第一安全模式,所述安全模式硬件单元2可以实现相应的第二安全模式;所述安全模式硬件单元3可以实现相应的第三安全模式。
其中,所述安全模式硬件单元1通过总线获取数据访问请求,所述安全模式硬件单元1、安全模式硬件单元2和安全模式硬件单元3之间依次通过总线传输所述数据访问请求,并根据所述数据访问请求中包含的安全模式状态信息,确定是否触发使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
在具体实施时,可以通过安全模式状态信息中的3个比特位来表示对应的安全模式硬件单元是否处于使能状态。例如,可以设置所述安全模式硬件单元1、安全模式硬件单元2和安全模式硬件单元3依次对应安全模式状态信息中从低位到高位的第1位、第2位和第3位,所述安全模式硬件单元可以在对应的安全模式状态信息位设置为1时使能,即所述安全模式硬件单元触发使能端,在对应的安全模式状态信息位设置为0时未使能,即所述安全模式硬件单元不触发使能端。
当所述安全模式状态信息的第1位设置为1,所述安全模式状态信息的第2位设置为0,所述安全模式状态信息的第3位设置为1,即所述安全模式状态信息为“101”时,以下依次介绍对应的安全模式硬件单元1、安全模式硬件单元2和安全模式硬件单元3具体如何处理:
首先,所述安全模式硬件单元1通过总线获取数据访问请求后,根据所述数据访问请求中包含的安全模式状态信息,确定触发使能端,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的第一安全数据。
接着,所述安全模式硬件单元2通过总线接收所述安全模式硬件单元1发送的数据访问请求和所述数据访问请求对应的第一安全数据后,根据所述数据访问请求中包含的安全模式状态信息,确定不触发使能端。
最后,所述安全模式硬件单元3通过总线接收所述安全模式硬件单元2发送的数据访问请求和所述数据访问请求对应的第一安全数据后,根据所述数据访问请求中包含的安全模式状态信息,确定触发使能端,对所述数据访问请求对应的第一安全数据进行相应安全模式的数据处理,得到相应的第三安全数据。
由此,通过二进制数据为“101”安全模式状态信息,可以获得第一安全模式加第三安全模式的安全模式组合,从而先后进行第一安全模式与第三安全模式下的数据处理,使得所述安全模式硬件单元1和所述安全模式硬件单元3采用的安全协议可以互相兼容。
以此类推,通过修改所述安全模式状态信息中表示对应的安全模式硬件单元使能状态的比特位,可以灵活设置上述3个安全模式硬件单元1~3的使能状态。例如,所述安全模式状态信息为“001”,则所述安全模式硬件单元1可以触发使能端,所述安全模式硬件单元2和3不触发使能端;又例如,所述安全模式状态信息为“110”,则所述安全模式硬件单元2和3可以触发使能端,所述安全模式硬件单元1不触发使能端;还例如,所述安全模式状态信息为“111”,则所述安全模式硬件单元1-3均可以触发使能端。
通过安全模式状态信息可以获得不同的安全模式或不同的安全模式组合,从而可以在不改变数据安全处理装置架构的前提下,复用共同的3个安全模式硬件单元1~3,灵活设置出7种数据安全保护方案,使得不同的安全协议可以互相兼容。
可以理解的是,本说明书中的“第一”、“第二”、“第三”等名词前缀仅用于区分不同作用的名词,并不代表顺序、大小或重要性等。例如,“第一安全数据”表示安全模式硬件单元1进行相应安全模式的数据处理后,得到的相应的安全数据,“第三安全数据”表示安全模式硬件单元3进行相应安全模式的数据处理后,得到的相应的安全数据。
还可以理解的是,根据实际需求,可以设置不同数量、不同安全模式的安全模式硬件单元,从而可以获得多种不同安全模式或不同安全模式组合的数据安全保护方案,所述安全模式状态信息也可以采用其他进制来表示。本说明书实施例对表示安全模式状态信息的数据进制或者表示形式等均不做任何限制。
采用上述方案,各安全模式硬件单元之间串行连接,使得各安全模式硬件单元之间可以依次传输相同的数据访问请求,并且,任一安全模式硬件单元通过所述数据访问请求中包含的安全模式状态信息确定是否使能,并对所述数据访问请求对应的数据进行相应的安全模式的数据处理,因此,各安全模式硬件单元可以用于安全协议中对其有需求的数据访问请求,使得系统可以根据安全协议选择使得相应的安全模式硬件单元,故安全模式硬件单元可以得到复用,且通过修改所述数据访问请求中包含的安全模式状态信息,即可灵活设置不同的安全模式,得到实现多种安全协议的数据安全保护方案,降低硬件修改成本和调试时间,提高多种安全协议之间的兼容性。
在具体实施中,可能有多个数据访问请求发送至数据安全处理装置,为避免数据访问请求在未处理时丢失,可以先将接收到的数据访问请求进行缓存。
在本说明书一些实施例中,参考图1,所述数据安全处理装置10还可以包括命令缓存单元11,所述命令缓存单元11可以设置于与处理器13通信的总线与所述第一安全模式硬件单元(即安全模式硬件单元1)之间,适于接收总线上传输的数据访问请求。
其中,所述命令缓存单元11可以根据预设的缓存规则对数据访问请求进行缓存,所述数据安全处理装置10可以根据预设的处理顺序对所述命令缓存单元11中缓存的数据访问请求进行数据处理。
例如,所述命令缓存单元11可以按照接收到数据访问请求的顺序进行缓存,相应地,所述数据安全处理装置10可以按照先进进出的顺序对所述命令缓存单元11中缓存的数据访问请求队列中包含的数据访问请求依序处理。例如,所述命令缓存单元11先收到数据访问请求A,再收到数据访问请求B,所述命令缓存单元11按照先进先出的缓存原则,依次缓存数据访问请求A和B,相应地,所述数据安全处理装置10可以预设的先进先出的处理顺序,先处理所述数据访问请求A,再处理所述数据访问请求B。
又例如,所述命令缓存单元11可以按照预设的优先级别表对接收到的数据访问请求进行排序,且所述数据安全处理装置10可以按照相应的排序对所述数据访问请求进行处理。例如,所述命令缓存单元11先收到数据访问请求A,再收到数据访问请求B,根据预设的优先级别表,所述数据访问请求B优先于所述数据访问请求A,则所述命令缓存单元11将数据访问请求B排在所述数据访问请求A之前,所述数据安全处理装置10可以按照相应的排序,先处理所述数据访问请求B,再处理所述数据访问请求A。
还例如,可以通过外部信号触发所述数据安全处理装置10对相应的数据访问请求进行处理,减少所述命令缓存单元的运算量。在具体实施中,所述第一安全模式硬件单元(即所述安全模式硬件单元1),适于在通过总线接收到访问响应信号后,获取所述命令缓存单元11中对应于所述访问响应信号的数据访问请求。为了便于本领域技术人员更加清楚地了解上述方案,以下通过具体实施例来进行详细说明。
在本说明书实施例中,如图1所示,所述命令缓存单元11可以从与处理器13通信的总线上依次接收数据访问请求A和B,并缓存于自身的存储区域中。
当所述第一安全模式硬件单元(即所述安全模式硬件单元1)在通过总线接收到访问响应信号A’时,获取所述命令缓存单元11中对应于所述访问响应信号A’的数据访问请求A,并且,安全模式硬件单元1~N之间依次通过总线传输所述数据访问请求A,并根据所述数据访问请求A中包含的安全模式状态信息,确定是否触发各自的使能端,并在触发所述使能端后,对所述数据访问请求A对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
同样地,当所述第一安全模式硬件单元(即所述安全模式硬件单元1)在通过总线接收到访问响应信号B’时,获取所述命令缓存单元11中对应于所述访问响应信号B’的数据访问请求B,并且,安全模式硬件单元1~N之间依次通过总线传输所述数据访问请求B,并根据所述数据访问请求B中包含的安全模式状态信息,确定是否触发各自的使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
其中,如图1所示,所述存储器14基于总线上传输的数据访问请求,在确定存在所述数据访问请求相应的存储区域时,可以向所述数据安全处理装置10发送访问响应信号。
在具体实施中,也可以是其他具有确定存储区域的功能的设备通过总线上传输的数据访问请求,向所述数据安全处理装置10发送访问响应信号。例如,参照图6所示,存储管理单元(Memory Management Unit,MMU)15与所述存储器14通过总线连接,所述存储管理单元15可以基于总线上传输的数据访问请求,在确定所述存储器14中存在所述数据访问请求相应的存储区域时,可以向所述数据安全处理装置10发送访问响应信号。
可以理解的是,本说明书实施例对接收到多个数据访问请求的时机和顺序不做限制,对接收到多个访问响应信号的时机和顺序也不做限制。
由上可知,所述命令缓存单元可用于缓存所述总线发送的数据访问请求,便于所述第一安全模式硬件单元根据接收到的访问响应信号,快速获取对应的数据访问请求,且可以根据不同的访问响应信号异步获取多个数据访问请求,提高总线利用率,提升所述数据安全处理装置的数据处理的效率。
继续参考图1,在具体实施中,使能端触发的安全模式硬件单元在数据处理过程中可能输出告警信号,从而未完成相应安全模式的数据处理,此时得到的安全数据并不具有相应的安全保护功能,为了提高数据访问结果的可靠性,所述数据安全处理装置10还可以包括安全控制单元12,所述安全控制单元12可以通过总线与各安全模式硬件单元分别连接,其中:
所述安全控制单元12,适于通过使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。
具体地,所述预设的处理操作可以根据具体情景进行设定,例如,可以包括:处理结果有效时对应的有效处理操作,处理结果无效时对应的无效处理操作。以下通过具体实施例进行详细的阐述。
在本说明书一实施例中,假设所述数据安全处理装置包括3个安全模式硬件单元,即安全模式硬件单元1、安全模式硬件单元2和安全模式硬件单元3,且所述数据访问请求中包含的安全模式状态信息为二进制数据,故可以通过3个比特位数据表示相应的安全模式硬件单元是否使能而对数据进行相应安全模式的处理。
那么,所述安全控制单元12可以通过总线与安全模式硬件单元1~3分别连接,所述安全模式硬件单元1、安全模式硬件单元2和安全模式硬件单元3可以依次对应安全模式状态信息中的第1位、第2位和第3位。
作为示例,可以设置所述安全模式硬件单元可以在对应的安全模式状态信息位设置为1时使能,即所述安全模式硬件单元触发使能端,在对应的安全模式状态信息位设置为0时未使能,即所述安全模式硬件单元不触发使能端。可以理解的是,也可以进行相反设置,只要能够根据预先设置能够区分相应的安全模式硬件单元是否使能即可。
所述安全模式硬件单元在触发使能端后,若完成对所述数据访问请求对应的数据进行相应安全模式的数据处理,则可以输出有效的数据处理结果,例如,可以对指定的有效位设置为1;若未完成对所述数据访问请求对应的数据进行相应安全模式的数据处理,则可以输出无效的数据处理结果,例如,可以对指定的有效位设置为0。
当所述安全模式状态信息的第1位设置为0,所述安全模式状态信息的第2位设置为1,所述安全模式状态信息的第3位设置为1,即所述安全模式状态信息为“110”时,所述安全模式硬件单元1通过总线获取数据访问请求后,根据所述数据访问请求中包含的安全模式状态信息,确定不触发使能端;所述安全模式硬件单元2通过总线接收所述安全模式硬件单元1发送的数据访问请求和所述数据访问请求对应的数据后,根据所述数据访问请求中包含的安全模式状态信息,确定触发使能端,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的第二安全数据;所述安全模式硬件单元3通过总线接收所述安全模式硬件单元2发送的数据访问请求和所述数据访问请求对应的第二安全数据后,根据所述数据访问请求中包含的安全模式状态信息,确定触发使能端,对所述数据访问请求对应的第二安全数据进行相应安全模式的数据处理,得到相应的第三安全数据。所述安全控制单元12分别接收安全模式硬件单元2和安全模式硬件单元3输出的数据处理结果。
若所述安全模式硬件单元2完成对所述数据访问请求对应的数据进行相应安全模式的数据处理,且所述安全模式硬件单元3完成对所述数据访问请求对应的第一安全数据进行相应安全模式的数据处理,则所述安全模式硬件单元2和安全模式硬件单元3输出的数据处理结果均为有效,所述安全控制单元12可以进行对应的有效处理操作。
若所述安全模式硬件单元2未完成对所述数据访问请求对应的数据进行相应安全模式的数据处理,或所述安全模式硬件单元3未完成对所述数据访问请求对应的第一安全数据进行相应安全模式的数据处理,相应地,所述安全模式硬件单元2或安全模式硬件单元3输出的数据处理结果为无效,可以进行对应的无效处理操作。
采用上述方案,安全控制单元可以通过总线获得使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作,从而可以提高数据访问的可靠性。
在具体实施中,所述安全控制单元12可以包括第一控制子单元121和第二控制子单元122,其中:
所述第一控制子单元121,适于在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果均有效时,将位于尾部的安全模式硬件单元N输出的安全数据基于所述数据访问请求进行对应的有效处理操作。
所述第二控制子单元122,适于在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果中有任意一个无效时,对所述数据访问请求进行对应的无效处理操作。
在本说明书具体实施例中,所述第一控制子单元121可以在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果均有效时,可以根据所述数据访问请求中包含的目标对象信息,将位于尾部的安全模式硬件单元N输出的安全数据传输至所述目标设备。
同样地,所述第二控制子单元122可以在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果中有任意一个无效时,进行以下至少一种处理操作:
请求中断所述数据访问请求;
记录使能端被触发的安全模式硬件单元输出的数据处理结果,用于后续查看。
采用上述方案,第一控制子单元可以将具有安全保护功能的数据进行对应的有效处理操作,第二控制子单元可以将不具有安全保护功能的数据进行对应的无效处理操作,从而可以提高数据访问的可靠性。
在具体实施中,可以结合上述命令缓存单元11和安全控制单元12,使得所述数据安全处理装置10可以高效处理多个数据访问请求,以下通过具体实施例进行详细说明。
在本发明实施例中,如图1所示,所述处理器13通过总线发送数据访问请求A和B。
所述数据安全处理装置10通过总线可以获取到所述数据访问请求A和B。
所述存储器14在总线上接收所述处理器13或所述数据安全处理装置10发送的数据访问请求A和B,可以确定是否存在所述数据访问请求A或B相应的存储区域,经查询,存储器内存储区域141对应于数据访问请求A,存储器内存储区域142对应于数据访问请求B。由此,可以通过总线向所述数据安全处理装置10发送相应的访问响应信号A’或B’。
为避免访问响应信号冲突和丢失,所述命令缓存单元11也可以缓存从总线上接收的访问响应信号,例如,所述命令缓存单元11根据预设的缓存规则,存储访问响应信号A’或B’。然后,所述数据安全处理装置10可以根据预设的处理顺序进行数据处理,接着,安全控制单元12可以根据使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。具体过程可参考上述内容,此处不再赘述。
可以理解的是,根据实际需求,所述数据安全处理装置10可以包括命令缓存单元11和安全控制单元12中的至少一个。例如,为了提升所述数据安全处理装置的处理效率,所述数据安全处理装置10可以包括所述命令缓存单元11;为了提高数据访问的可靠性,所述数据安全处理装置10可以包括所述安全控制单元12;为了同时确保处理效率和数据访问的可靠性,所述数据安全处理装置10可以同时包括所述命令缓存单元11和所述安全控制单元12。
在一具体实施中,所述总线的数据帧可以包括扩展位,适于传输所述安全模式状态信息。
假设所述数据安全处理装置包括3个安全模式硬件单元,即安全模式硬件单元1、安全模式硬件单元2和安全模式硬件单元3,且所述数据访问请求中包含的安全模式状态信息为二进制数据。那么,所述总线的数据帧可以包括3位扩展位b0~b2,在具体实施中,参考图2所示,根据总线上传输的脉冲信号来传输数据帧,设时钟周期为T,从低位到高位发送所述数据帧中的扩展位b0~b2,从而可以在总线上传输所述安全模式状态信息,如图2中总线数据帧的扩展位b0~b2对应的安全模式状态信息为“101”。
在另一具体实施中,所述总线的传输信道可以包括安全模式状态信息传输信道,适于传输所述安全模式状态信息。
例如,假设所述数据安全处理装置包括3个安全模式硬件单元,即安全模式硬件单元1、安全模式硬件单元2和安全模式硬件单元3,且所述数据访问请求中包含的安全模式状态信息为二进制数据。
那么,参考图3所示,所述总线30可以包括多个传输信道,将其中一个传输信道设置为安全模式状态信息传输信道31,或者所述总线30上可以增加专门的安全模式状态信息传输信道31,从而可以进行安全模式状态信息的传输。
采用上述任意一种方案,总线在传输数据访问请求的同时,可以传输数据访问请求对应的安全模式状态信息。
在具体实施中,各安全模式硬件单元之间可以依次采用相同接口协议的总线进行串行连接,各安全模式硬件单元之间进行数据传输时,相邻级别的安全模式硬件单元无需进行接口协议的转换,并且,相对于并行数个不同接口协议的接口来分别接收总线上的数据访问请求,可以简化SOC的硬件架构和软件架构。
为使本领域人员更好地理解和实现本说明书中的数据安全处理装置,本说明书实施例还提供了相应的数据安全处理系统,以下通过具体实施例对包括上述数据安全处理装置的数据安全处理系统进行相应的描述。
在本说明书实施例中,继续参照图1,所述数据安全处理系统可以包括:通过总线互相连接的处理器13和数据安全处理装置10,所述数据安全处理装置10包括:数个安全模式硬件单元1~N,N为大于1的自然数。各安全模式硬件单元之间依次通过总线进行串行连接,且选取位于首部的安全模式硬件单元1作为第一安全模式硬件单元,用以通过总线获取数据访问请求,各安全模式硬件单元之间依次通过总线传输所述数据访问请求。其中:
所述处理器13,适于向所述数据安全处理装置10发送数据访问请求;
任一安全模式硬件,适于根据所述数据访问请求中包含的安全模式状态信息,确定是否触发使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
在具体实施中,所述处理器可以通过查询页表的方式,获得需要访问的存储区域的虚拟地址对应的物理地址和需要访问的存储区域的安全模式状态信息。
其中,所述处理器发送的数据访问请求中可以包含查询得到的物理地址和安全模式状态信息,所述处理器发送的数据访问请求可以是数据写入请求或数据读取请求。当所述处理器发送的数据访问请求是数据写入请求时,所述数据访问请求还可以包括需要写入存储区域的写入数据;当所述处理器发送的数据访问请求是数据读取请求时,所述数据访问请求还可以包括目标对象信息,以将所述数据访问请求对应的安全数据输出至所述数据请求访问指定的目标设备。
在具体实施中,根据相应的安全协议构建相应的安全模式硬件单元,各安全模式硬件单元在使能后可以实现相应的安全模式。
采用上述方案,各安全模式硬件单元之间串行连接,使得各安全模式硬件单元之间可以依次传输相同的数据访问请求,并且,各安全模式硬件单元通过所述数据访问请求中包含的安全模式状态信息确定是否使能,因而各安全模式硬件单元可以单独使用,也可以结合使用,故可以实现安全模式硬件单元的复用,通过修改所述数据访问请求中包含的安全模式状态信息,即可灵活设置不同的安全模式,得到实现相应的安全协议的数据安全保护方案,因而可以降低硬件修改成本和调试时间,提高多种安全协议之间的兼容性。
继续参考图1,在具体实施中,为了为避免数据访问请求在未处理时丢失,所述数据安全处理装置10还可以包括命令缓存单元11,通过总线分别与所述第一安全模式硬件单元(即安全模式硬件单元1)和所述处理器13连接,其中:
所述命令缓存单元11,适于接收所述处理器13发送的数据访问请求。
其中,所述命令缓存单元11可以根据预设的存储规则进行存储,所述数据安全处理装置10可以根据预设的处理顺序获取数据访问请求对应的数据,并按照相应的安全模式对数据进行安全处理。
如图1所示,所述系统40还可以包括存储器14,适于接收总线上的数据访问请求,并在确定自身存在所述数据访问请求相应的存储区域时,向通过总线发送所述数据访问请求对应的访问响应信号。
在具体实施中,所述处理器13、存储器14和数据安全处理装置10之间的总线架构可以根据实际设定进行改变。
例如,如图4所示,为一种数据安全处理系统的结构示意图,在所述数据安全处理系统40中,所述处理器13、存储器14和数据安全处理装置10通过总线互联,由此,所述处理器13、存储器14和数据安全处理装置10之间可以互相通信。
所述处理器13可以通过总线将数据访问请求分别发送给存储器14和数据安全处理装置10,所述存储器14接收所述处理器13发送的数据访问请求,并在确定存在所述数据访问请求中包含的数据存储地址信息相应的存储区域时,向所述数据处理装置10发送所述数据访问请求对应的访问响应信号,所述第一安全模式硬件单元适于在接收到所述访问响应信号后,获取所述命令缓存单元11中对应于所述访问响应信号的数据访问请求,进行相应的数据处理。
或者,处理器13也可以先将数据访问请求发送给存储器14,所述存储器14在确定存在所述数据访问请求中包含的数据存储地址信息相应的存储区域时,向所述处理器13发送所述数据访问请求对应的访问响应信号,所述处理器13通过总线将该数据访问请求发送给数据安全处理装置10,所述命令缓存单元11对接收到的数据访问请求进行缓存,所述数据安全处理装置10通过获取所述命令缓存单元11中的数据访问请求,进行相应的数据处理。
又例如,如图5所示,为另一种数据安全处理系统的结构示意图,在所述数据安全处理系统50中,所述处理器13、数据安全处理装置10和存储器14通过总线串联,由此,所述处理器13、数据安全处理装置10和存储器14之间可以进行串行通信。
所述处理器13可以通过总线将数据访问请求发送给数据安全处理装置10,所述数据安全处理装置10通过总线将数据访问请求发送给存储器14。所述存储器14接收所述数据安全处理装置10发送的数据访问请求,并在确定存在所述数据访问请求中包含的数据存储地址信息相应的存储区域时,向所述数据处理装置10发送所述数据访问请求对应的访问响应信号,所述第一安全模式硬件单元适于在接收到所述访问响应信号后,获取所述命令缓存单元11中对应于所述访问响应信号的数据访问请求,进行相应的数据处理。
在本说明书实施例中,继续参考图1和图4,所述处理器13通过总线分别向所述数据安全处理装置10和存储器14发送数据访问请求A和B,并存储于自身的存储区域中。
当所述存储器14在确定存在所述数据访问请求A相应的存储区域时,通过总线向所述数据安全处理装置10发送所述数据访问请求A对应的访问响应信号A’,所述第一安全模式硬件单元(即所述安全模式硬件单元1)在通过总线接收到访问响应信号A’时,获取所述命令缓存单元11中对应于所述访问响应信号A’的数据访问请求A,并且,安全模式硬件单元1~N之间依次通过总线传输所述数据访问请求A,并根据所述数据访问请求A中包含的安全模式状态信息,确定是否触发各自的使能端,并在触发所述使能端后,对所述数据访问请求A对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
当所述存储器14在确定存在所述数据访问请求B相应的存储区域时,通过总线向所述数据安全处理装置10发送所述数据访问请求B对应的访问响应信号B’,所述第一安全模式硬件单元(即所述安全模式硬件单元1)在通过总线接收到访问响应信号B’时,获取所述命令缓存单元11中对应于所述访问响应信号B’的数据访问请求B,并且,安全模式硬件单元1~N之间依次通过总线传输所述数据访问请求B,并根据所述数据访问请求B中包含的安全模式状态信息,确定是否触发各自的使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
当所述存储器14在确定不存在所述数据访问请求A或B相应的存储区域时,可以不向所述数据安全处理装置10发送所述数据访问请求A或B对应的访问响应信号,所述数据安全处理装置不会处理所述数据访问请求A或B;也可以直接发送中断请求至指定的处理器,请求中断所述数据访问请求A或B。
可以理解的是,本说明书实施例对所述处理器向所述存储器和所述数据安全处理装置发送多个数据访问请求的时机和顺序不做限制,且所述处理器可以先将数据访问请求发送至所述存储器或所述数据安全处理装置,也可以同时将数据访问请求发送至所述存储器和所述数据安全处理装置。本说明书实施例对此均不作限制。
还可以理解的是,本说明书实施例对所述存储器向所述数据安全处理装置发送多个访问响应信号的时机和顺序也不做限制,且所述存储器在不存在所述数据访问请求相应的存储区域时,可以采取上述操作以外的处理操作。本说明书实施例对此均不作限制。
在具体实施中,也可以是其他具有确定存储区域的功能的装置基于总线上传输的数据访问请求,向所述处理器13或者数据安全处理装置10发送访问响应信号。
例如,参照图6所示,为另一种数据安全处理系统的结构示意图,在所述数据安全处理系统60中,所述处理器13、存储管理单元15和数据安全处理装置10通过总线互联,所述存储器14通过总线连接所述存储管理单元15和数据安全处理装置10。
其中,所述处理器13、存储管理单元15和数据安全处理装置10之间可以互相通信,所述存储器14、存储管理单元15和数据安全处理装置10之间也可以互相通信。
在本说明书一具体实施例中,所述处理器13可以通过总线将数据访问请求分别发送给存储管理单元15和数据安全处理装置10,所述存储管理单元15接收所述处理器13发送的数据访问请求,并在确定所述存储器14中存在所述数据访问请求中包含的数据存储地址信息相应的存储区域时,向所述数据处理装置10发送所述数据访问请求对应的访问响应信号,所述第一安全模式硬件单元适于在接收到所述访问响应信号后,获取所述命令缓存单元11中对应于所述访问响应信号的数据访问请求,进行相应的数据处理。
在本说明书另一具体实施例中,处理器13也可以通过总线先将数据访问请求发送给存储管理单元15,所述存储管理单元15在确定存储器14中存在所述数据访问请求中包含的数据存储地址信息相应的存储区域时,向所述处理器13发送所述数据访问请求对应的访问响应信号,所述处理器13通过总线将该数据访问请求发送给数据安全处理装置10,所述命令缓存单元11对接收到的进行数据访问请求缓存,所述数据处理装置10通过获取所述命令缓存单元11中的数据访问请求,进行相应的数据处理。
在本说明书又一具体实施例中,所述处理器13可以通过总线将数据访问请求发送给数据安全处理装置10,所述数据安全处理装置10通过总线将数据访问请求发送给存储管理单元15。所述存储管理单元15接收所述数据安全处理装置10发送的数据访问请求,并在确定存在所述数据访问请求中包含的数据存储地址信息相应的存储区域时,向所述数据处理装置10发送所述数据访问请求对应的访问响应信号,所述第一安全模式硬件单元适于在接收到所述访问响应信号后,获取所述命令缓存单元11中对应于所述访问响应信号的数据访问请求,进行相应的数据处理。
由上可知,所述命令缓存单元可用于缓存所述总线发送的数据访问请求,便于所述第一安全模式硬件单元根据接收到的访问响应信号,快速获取对应的数据访问请求,且可以根据不同的访问响应信号异步获取多个数据访问请求,提高总线利用率,提升所述数据安全处理装置的数据处理的效率。
继续参考图1,在具体实施中,使能端触发的安全模式硬件单元在数据处理过程中可能输出告警信号,从而未完成相应安全模式的数据处理,此时得到的安全数据并不具有相应的安全保护功能,为了提高数据访问结果的可靠性,所述数据安全处理装置10还可以包括安全控制单元12,所述安全控制单元12可以通过总线与各安全模式硬件单元连接,其中:
所述安全控制单元12,适于通过使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。
具体地,所述预设的处理操作可以根据具体情景进行设定,例如,所述安全控制单元,还适于在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果均有效时,将位于尾部的安全模式硬件单元输出的安全数据基于所述数据访问请求进行对应的有效处理操作;在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果中有任意一个无效时,对所述数据访问请求进行对应的无效处理操作。以下通过具体实施例进行详细的阐述。
在本说明书实施例中,所述数据安全处理装置可以包括一个带有访问控制模式的安全模式硬件单元X,其中X为自然数,位于1~N之间,适于表示在安全模式硬件单元集群中的位置或顺序。
当所述安全模式硬件单元根据获取的数据访问请求中包含的安全模式状态信息,确定触发使能端后,可以根据所述数据访问请求中包含的访问主体的访问级别,确定是否对相应的访问客体进行访问。
例如,所述数据访问请求为数据写入请求,若所述处理器的访问级别高于或者等于许可级别时,则允许所述处理器对相应处理器进行数据写入,所述安全模式硬件单元X输出有效的数据处理结果。若所述处理器的访问级别低于于许可级别时,则不允许所述处理器对相应存储器进行数据写入,所述安全模式硬件单元X输出无效的数据处理结果。
所述安全模式硬件单元X和其他使能端被触发的安全模式硬件单元分别对所述数据写入请求对应的写入数据进行数据处理。所述安全控制单元12分别接收使能端被触发的安全模式硬件单元输出的数据处理结果。
若所述安全模式硬件单元X和其他使能端被触发的安全模式硬件单元输出的数据处理结果均为有效,则所述安全控制单元12可以进行对应的有效处理操作,如将所述数据访问请求对应的安全数据写入所述存储器中相应存储区域内。
若所述安全模式硬件单元X和其他使能端被触发的安全模式硬件单元输出的数据处理结果中有任意一个无效时,则所述安全控制单元12可以对所述数据访问请求进行对应的无效处理操作,如向指定的处理器请求中断所述数据访问请求,或者,记录使能端被触发的安全模式硬件单元输出的数据处理结果,用于后续查看等。
又例如,所述数据访问请求为数据读取请求,若所述处理器的访问级别高于或者等于许可级别时,则允许所述处理器对相应处理器进行数据读取,所述安全模式硬件单元X输出有效的数据处理结果。若所述处理器的访问级别低于许可级别时,则不允许所述处理器对相应存储器进行数据读取,所述安全模式硬件单元X输出无效的数据处理结果。
所述安全模式硬件单元X和其他使能端被触发的安全模式硬件单元分别对所述数据读取请求对应的存储区域中的存储数据进行数据处理。所述安全控制单元12分别接收使能端被触发的安全模式硬件单元输出的数据处理结果。
若所述安全模式硬件单元X和其他使能端被触发的安全模式硬件单元输出的数据处理结果均为有效,则所述安全控制单元12可以进行对应的有效处理操作,如根据所述数据请求访问包含的目标对象信息,将所述数据访问请求对应的安全数据输出至所述数据请求访问指定的目标设备,其中,所述目标设备可以是所述处理器13,也可以是其他处理器或处理设备。
若所述安全模式硬件单元X和其他使能端被触发的安全模式硬件单元输出的数据处理结果中有任意一个无效时,则所述安全控制单元12可以对所述数据读取请求进行对应的无效处理操作,如向指定的处理器请求中断所述数据读取请求,或者,记录使能端被触发的安全模式硬件单元输出的数据处理结果,用于后续查看等。
其中,所述指定的处理器可以是发送所述数据访问请求的处理器,也可以是安全处理器(Platform Security Processor,PSP),或者是指定的其他处理器。
采用上述方案,安全控制单元可以通过总线获得使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作,从而可以提高数据访问的可靠性。
可以理解的是,根据实际需求,所述数据安全处理装置10可以包括命令缓存单元11和安全控制单元12中的至少一个。例如,为了提升所述数据安全处理装置的处理效率,所述数据安全处理装置10可以包括所述命令缓存单元11;为了提高数据访问的可靠性,所述数据安全处理装置10可以包括所述安全控制单元12;为了同时确保处理效率和数据访问的可靠性,所述数据安全处理装置10可以同时包括所述命令缓存单元11和所述安全控制单元12。
在具体实施中,参照图2和3,可以通过在总线的数据帧上设置扩展位或在总线上设置专门的安全模式状态信息传输信道的方式,用以传输所述安全模式状态信息。
可以理解的是,所述处理器、数据安全处理装置和存储器可以位于同一片上系统内,也可以位于不同的片上系统中,不同的片上系统之间可以通过总线进行连接;所述数据安全处理装置可以独立设置于片上系统内,也可以位于片上系统的MMU中,本说明书实施例对所述处理器、数据安全处理装置和存储器的位置不做任何限定。
为使本领域人员更好地理解和实现本说明书中的数据安全处理装置,本说明书实施例还提供了相应的数据安全处理方法,以下通过具体实施例对数据安全处理方法进行相应的描述。
参照图7所示的本说明书实施例中一种数据安全处理方法的流程图,所述方法可以包括:
S71,通过总线获取数据访问请求。
在具体实施中,数据访问请求中可以包含访问地址以及对应的安全模式状态信息。
S72,基于所述数据访问请求中包含的安全模式状态信息,依次通过总线串行连接的多级安全模式硬件单元确定是否自身是否使能,并在使能后,对所述数据访问请求对应的数据进行相应安全模式的数据处理;在未使能时,将接收到的数据传输至下一级安全模式硬件单元。
其中,可以根据相应的安全协议构建相应的安全模式硬件单元,各安全模式硬件单元在使能后可以实现相应的安全模式。
由上可知,各安全模式硬件单元之间串行连接,得到串行连接的多级安全模式硬件单元,使得各安全模式硬件单元之间可以依次传输相同的数据访问请求,并且,各安全模式硬件单元通过所述数据访问请求中包含的安全模式状态信息确定是否使能,因而各安全模式硬件单元可以单独使用,也可以结合使用,故可以实现安全模式硬件单元的复用,通过修改所述数据访问请求中包含的安全模式状态信息,即可灵活设置不同的安全模式,得到实现各种安全协议的数据安全保护方案,降低硬件修改成本和调试时间,提高各安全协议之间的兼容性。
在具体实施中,如图7所示,所述方法还可以包括:
S73,基于使能后的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。
具体地,上述步骤S73可以包括如下步骤:
S731,在确定所述使能后的安全模式硬件单元输出的数据处理结果均有效时,将位于尾部的安全模式硬件单元输出的安全数据基于所述数据访问请求进行对应的有效处理操作;
S732,在确定所述使能后的安全模式硬件单元输出的数据处理结果中有任意一个无效时,对所述数据访问请求进行对应的无效处理操作。
由此,可以通过使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作,从而可以提高数据访问的可靠性。
具体地,上述步骤S731和S732之间没有先后顺序,可以根据实际情况同时进行判断,或者根据实际情况设定判断条件,通过是否满足条件来触发相应的步骤。例如,设定判断条件为:数据处理结果均有效,若是,则进行步骤S731,若否,则进行步骤S732。
在具体实施中,如前述实施例所述,所述数据安全处理装置还可以包括命令缓存单元,可以设置于总线与位于所述多级安全模式硬件单元中位于首部的第一安全模式硬件单元之间。
具体地,如图8所示,针对上述结构的数据安全处理装置,上述步骤S71具体可以包括如下:
S711,采用命令缓存单元接收总线上传输的数据访问请求。
S712,在通过总线接收到访问响应信号后,第一安全模式硬件单元获取所述命令缓存单元中对应于所述访问响应信号的数据访问请求。
由上可知,所述命令缓存单元可用于缓存所述总线发送的数据访问请求,便于所述第一安全模式硬件单元根据接收到的访问响应信号,快速获取对应的数据访问请求,且可以根据不同的访问响应信号异步获取多个数据访问请求,提高总线利用率,提升所述数据安全处理装置的数据处理的效率。
在具体实施中,所述总线的数据帧可以包括扩展位,用以传输所述安全模式状态信息;或者所述总线的传输信道可以包括安全模式状态信息传输信道,用以传输所述安全模式状态信息。
采用上述任意一种方案,即可实现总线上可以传输数据访问请求的安全模式状态信息。
在具体实施中,各级安全模式硬件单元之间可以采用相同接口协议的总线进行串行连接,各安全模式硬件单元之间进行数据传输时,可以无需根据相邻级别的安全模式硬件单元的接口协议进行协议转换并且,相对于并行数个不同接口协议的接口来分别接收总线上的数据访问请求,可以简化SOC的硬件架构和软件架构。
本说明书实施例中的数据安全处理方法均可以通过上述数据处理设备或数据安全处理系统来实现,可参见上述数据处理设备部分和数据安全处理系统部分,此处不再赘述。
在本说明书实施例中,所述处理器可以为单核处理器,也可以为多核处理器。如果所述处理器为多核处理器,则所述处理器还可以为多核处理器中的指定的某个处理器核,或者为多核处理器中的任意一个或多个CPU核。
虽然本说明书实施例披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (21)
1.一种数据安全处理装置,其特征在于,包括:数个安全模式硬件单元,各安全模式硬件单元之间依次通过总线进行串行连接,且选取位于首部的安全模式硬件单元作为第一安全模式硬件单元,所述第一安全模式硬件单元用以通过总线获取处理器发送的数据访问请求,各串行连接的安全模式硬件单元之间依次通过总线传输相同的所述数据访问请求,其中:
任一安全模式硬件单元,适于根据所述数据访问请求中包含的安全模式状态信息,确定是否触发使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
2.根据权利要求1所述的数据安全处理装置,其特征在于,还包括命令缓存单元,设置于总线与所述第一安全模式硬件单元之间,适于接收总线上传输的数据访问请求;
所述第一安全模式硬件单元,适于在通过总线接收到访问响应信号后,获取所述命令缓存单元中对应于所述访问响应信号的数据访问请求。
3.根据权利要求1所述的数据安全处理装置,其特征在于,还包括安全控制单元,通过总线与各安全模式硬件单元分别连接;
所述安全控制单元,适于基于各使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。
4.根据权利要求3所述的数据安全处理装置,其特征在于,所述安全控制单元包括第一控制子单元和第二控制子单元,其中:
所述第一控制子单元,适于在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果均有效时,将位于尾部的安全模式硬件单元输出的安全数据基于所述数据访问请求进行对应的有效处理操作;
所述第二控制子单元,适于在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果中有任意一个无效时,对所述数据访问请求进行对应的无效处理操作。
5.根据权利要求1-4任一项所述的数据安全处理装置,其特征在于,所述总线的数据帧包括扩展位,适于传输所述安全模式状态信息。
6.根据权利要求1-4任一项所述的数据安全处理装置,其特征在于,所述总线的传输信道包括安全模式状态信息传输信道,适于传输所述安全模式状态信息。
7.根据权利要求1-4任一项所述的数据安全处理装置,其特征在于,各安全模式硬件单元之间依次采用相同接口协议的总线进行串行连接。
8.一种数据安全处理系统,其特征在于,包括通过总线互相连接的处理器和数据安全处理装置,所述数据安全处理装置包括:数个安全模式硬件单元,各安全模式硬件单元之间依次通过总线进行串行连接,且选取位于首部的安全模式硬件单元作为第一安全模式硬件单元,所述第一安全模式硬件单元用以通过总线获取数据访问请求,各串行连接的安全模式硬件单元之间依次通过总线传输相同的所述数据访问请求,其中:
所述处理器,适于向所述数据安全处理装置发送数据访问请求;
任一安全模式硬件单元,适于根据所述数据访问请求中包含的安全模式状态信息,确定是否触发使能端,并在触发所述使能端后,对所述数据访问请求对应的数据进行相应安全模式的数据处理,得到相应的安全数据。
9.根据权利要求8所述的数据安全处理系统,其特征在于,所述系统还包括存储器,通过总线分别与所述处理器和所述数据安全处理装置连接,适于接收所述处理器发送的数据访问请求,并在确定存在所述数据访问请求相应的存储区域时,向所述数据安全处理装置发送所述数据访问请求对应的访问响应信号;
所述数据安全处理装置还包括命令缓存单元,所述命令缓存单元通过总线分别与所述第一安全模式硬件单元和所述处理器连接,其中:
所述命令缓存单元,适于接收所述处理器发送的数据访问请求;
所述第一安全模式硬件单元,适于在接收到所述访问响应信号后,获取所述命令缓存单元中对应于所述访问响应信号的数据访问请求。
10.根据权利要求8所述的数据安全处理系统,其特征在于,所述系统还包括存储管理单元,通过总线分别与所述处理器和所述数据安全处理装置连接,适于接收所述处理器发送的数据访问请求,并在确定存在所述数据访问请求相应的存储区域时,向所述数据安全处理装置发送所述数据访问请求对应的访问响应信号;
所述数据安全处理装置还包括命令缓存单元,所述命令缓存单元通过总线分别与所述第一安全模式硬件单元和所述处理器连接,其中:
所述命令缓存单元,适于接收所述处理器发送的数据访问请求;
所述第一安全模式硬件单元,适于在接收到所述访问响应信号后,获取所述命令缓存单元中对应于所述访问响应信号的数据访问请求。
11.根据权利要求8所述的数据安全处理系统,其特征在于,所述数据安全处理装置还包括安全控制单元,分别通过总线与各安全模式硬件单元连接;
所述安全控制单元,适于基于各使能端被触发的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。
12.根据权利要求11所述的数据安全处理系统,其特征在于,所述安全控制单元,还适于在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果均有效时,将位于尾部的安全模式硬件单元输出的安全数据基于所述数据访问请求进行对应的有效处理操作;在确定所述使能端被触发的安全模式硬件单元输出的数据处理结果中有任意一个无效时,对所述数据访问请求进行对应的无效处理操作。
13.根据权利要求8-12任一项所述的数据安全处理系统,其特征在于,所述总线的数据帧包括扩展位,适于传输所述安全模式状态信息。
14.根据权利要求8-12任一项所述的数据安全处理系统,其特征在于,所述总线的传输信道包括安全模式状态信息传输信道,适于传输所述安全模式状态信息。
15.一种数据安全处理方法,其特征在于,包括:
通过总线获取处理器发送的数据访问请求;
基于所述数据访问请求中包含的安全模式状态信息,依次通过总线串行连接的多级安全模式硬件单元确定是否自身是否使能,并在使能后,对所述数据访问请求对应的数据进行相应安全模式的数据处理;在未使能时,将接收到的数据访问请求传输至下一级安全模式硬件单元,以使得串行连接的多级安全模式硬件单元之间依次传输相同的数据访问请求。
16.根据权利要求15所述的数据安全处理方法,其特征在于,还包括:采用命令缓存单元接收总线上传输的数据访问请求;
在通过总线接收到访问响应信号后,所述多级安全模式硬件单元中位于首部的第一安全模式硬件单元从所述命令缓存单元中获取对应于所述访问响应信号的数据访问请求。
17.根据权利要求15所述的数据安全处理方法,其特征在于,还包括:
基于各使能后的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作。
18.根据权利要求17所述的数据安全处理方法,其特征在于,所述基于各使能后的安全模式硬件单元输出的数据处理结果,确定是否对所述数据访问请求进行预设的处理操作,包括:
在确定所述各使能后的安全模式硬件单元输出的数据处理结果均有效时,将位于尾部的安全模式硬件单元输出的安全数据基于所述数据访问请求进行对应的有效处理操作;
在确定所述各使能后的安全模式硬件单元输出的数据处理结果中有任意一个无效时,对所述数据访问请求进行对应的无效处理操作。
19.根据权利要求15-18任一项所述的数据安全处理方法,其特征在于,所述总线的数据帧包括扩展位,适于传输所述安全模式状态信息。
20.根据权利要求15-18任一项所述的数据安全处理方法,其特征在于,所述总线的传输信道包括安全模式状态信息传输信道,适于传输所述安全模式状态信息。
21.根据权利要求15-18任一项所述的数据安全处理方法,其特征在于,各级安全模式硬件单元之间采用相同接口协议的总线进行串行连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911347639.6A CN111143897B (zh) | 2019-12-24 | 2019-12-24 | 数据安全处理装置、系统及处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911347639.6A CN111143897B (zh) | 2019-12-24 | 2019-12-24 | 数据安全处理装置、系统及处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111143897A CN111143897A (zh) | 2020-05-12 |
CN111143897B true CN111143897B (zh) | 2023-11-17 |
Family
ID=70519617
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911347639.6A Active CN111143897B (zh) | 2019-12-24 | 2019-12-24 | 数据安全处理装置、系统及处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111143897B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024174121A1 (zh) * | 2023-02-22 | 2024-08-29 | 声龙(新加坡)私人有限公司 | 一种写数据通路结构和芯片 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101561857A (zh) * | 2009-04-28 | 2009-10-21 | 苏州国芯科技有限公司 | 多模式启动的安全嵌入式系统 |
CN102521155A (zh) * | 2011-12-12 | 2012-06-27 | 盛科网络(苏州)有限公司 | 实现表项在物理存储器上动态分配的方法和装置 |
CN105045695A (zh) * | 2015-08-17 | 2015-11-11 | 大唐微电子技术有限公司 | 一种芯片进入测试模式的保护方法和系统 |
CN109032980A (zh) * | 2018-06-30 | 2018-12-18 | 唯捷创芯(天津)电子技术股份有限公司 | 串行通信装置及串行通信方法 |
CN110113147A (zh) * | 2019-04-11 | 2019-08-09 | 深圳市致宸信息科技有限公司 | 一种数字加密装置及方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW406229B (en) * | 1997-11-06 | 2000-09-21 | Hitachi Ltd | Data process system and microcomputer |
US20080005359A1 (en) * | 2006-06-30 | 2008-01-03 | Khosravi Hormuzd M | Method and apparatus for OS independent platform based network access control |
GB201806465D0 (en) * | 2018-04-20 | 2018-06-06 | Nordic Semiconductor Asa | Memory-access controll |
-
2019
- 2019-12-24 CN CN201911347639.6A patent/CN111143897B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101561857A (zh) * | 2009-04-28 | 2009-10-21 | 苏州国芯科技有限公司 | 多模式启动的安全嵌入式系统 |
CN102521155A (zh) * | 2011-12-12 | 2012-06-27 | 盛科网络(苏州)有限公司 | 实现表项在物理存储器上动态分配的方法和装置 |
CN105045695A (zh) * | 2015-08-17 | 2015-11-11 | 大唐微电子技术有限公司 | 一种芯片进入测试模式的保护方法和系统 |
CN109032980A (zh) * | 2018-06-30 | 2018-12-18 | 唯捷创芯(天津)电子技术股份有限公司 | 串行通信装置及串行通信方法 |
CN110113147A (zh) * | 2019-04-11 | 2019-08-09 | 深圳市致宸信息科技有限公司 | 一种数字加密装置及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111143897A (zh) | 2020-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8683221B2 (en) | Configurable memory encryption with constant pipeline delay in a multi-core processor | |
US6101255A (en) | Programmable cryptographic processing system and method | |
CN107256363B (zh) | 一种由加解密模块阵列组成的高速加解密装置 | |
CN107766270B (zh) | 用于PCIe设备的数据读取管理方法及装置 | |
CN111930676B (zh) | 多处理器间的通信方法、装置、系统及存储介质 | |
JP6676027B2 (ja) | ネットワークプロセッサにおけるマルチコア相互接続 | |
US10261854B2 (en) | Memory integrity violation analysis method and apparatus | |
CN102724035B (zh) | 一种加密卡的加解密方法 | |
CN112329038B (zh) | 一种基于usb接口的数据加密控制系统及芯片 | |
CN107092835B (zh) | 一种虚拟存储盘的计算机数据加密装置及方法 | |
US8943507B2 (en) | Packet assembly module for multi-core, multi-thread network processors | |
US8467534B2 (en) | Method and system for secure access and processing of an encryption/decryption key | |
US20120030421A1 (en) | Maintaining states for the request queue of a hardware accelerator | |
US20200099670A1 (en) | Secure In-line Received Network Packet Processing | |
CN112052483B (zh) | 一种密码卡的数据通信系统及方法 | |
CN111143897B (zh) | 数据安全处理装置、系统及处理方法 | |
KR100799305B1 (ko) | 다중 암호엔진을 사용하는 고성능 암호화 장치 | |
CN111181874A (zh) | 一种报文处理方法、装置及存储介质 | |
US10095643B2 (en) | Direct memory access control device for at least one computing unit having a working memory | |
US20040247128A1 (en) | Method and system for data encryption/decryption key generation and distribution | |
US20180307626A1 (en) | Hardware-assisted memory encryption circuit | |
US20100191982A1 (en) | Device | |
KR101642211B1 (ko) | 프로세서와 디바이스들 사이에 안전한 데이터 채널을 구현하기 위한 방법 | |
CN112035866B (zh) | 一种数据加密方法、装置、设备和计算机可读存储介质 | |
EP0546354B1 (en) | Interprocessor communication system and method for multiprocessor circuitry |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 300384 industrial incubation-3-8, North 2-204, No. 18, Haitai West Road, Tianjin Huayuan Industrial Zone, Binhai New Area, Tianjin Applicant after: Haiguang Information Technology Co.,Ltd. Address before: 300384 industrial incubation-3-8, North 2-204, No. 18, Haitai West Road, Tianjin Huayuan Industrial Zone, Binhai New Area, Tianjin Applicant before: HAIGUANG INFORMATION TECHNOLOGY Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |