WO2015131446A1

WO2015131446A1 - 一种基于片内总线协议的安全访问控制方法和装置

Info

Publication number: WO2015131446A1
Application number: PCT/CN2014/077836
Authority: WO
Inventors: 刘卫
Original assignee: 深圳市中兴微电子技术有限公司
Priority date: 2014-03-04
Filing date: 2014-05-19
Publication date: 2015-09-11
Also published as: EP3115921A4; EP3115921A1; CN104899175A; US20170068811A1

Abstract

本发明公开了一种基于片内总线(AXI)协议的安全访问控制方法，将总线地址空间划分成一个以上区域，确定每个区域的安全属性；判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配；匹配时，将所述访问请求发送给目标从设备；本发明同时还公开了一种基于AXI协议的安全访问控制装置。

Description

一种基于片内总线协议的安全访问控制方法和装置技术领域

本发明涉及总线控制技术，尤其涉及一种基于片内总线（ AXI， Advanced extensible Interface )协议的安全访问控制方法和装置。背景技术

在 AXI协议中，主设备一般通过读地址通道信号 ARPROT或写地址通道信号 AWPROT，指示自身发出的读请求或写请求的安全类型，一般读请求或写请求分为安全类型或非安全类型两种。

目前，在没有安全应用需求的片上系统中，从设备通常会忽略接收到的 ARPROT或 AWPROT, 即，不论来自主设备的访问请求是安全类型或是非安全类型，从设备均会正常的接收所述访问请求，并根据所述访问请求完成读和 /或写操作；而在有安全应用需求的片上系统中，片上系统为了保护某些总线地址空间中的数据，使其不被任何主设备通过非安全的方式获取或改写，就要求主设备在发出任何访问请求时，必须通过 AWPROT/ARPROT给出有效的安全类型指示，从设备接收到所述访问请求后，既要遵循 AXI协议，向发出访问请求的主设备返回适当响应，同时，从设备必须不能忽略主设备发出的安全类型指示，要保证安全区域中的数据不被非安全的访问请求获取或改写。

按照上述要求，在有安全应用需求的片上系统中，从设备必须做到：对于读操作，如果是合法的访问请求，则正常向主设备返回读数据，如果是非法的访问请求，则向主设备返回全 0的数据；对于写操作，如果是合法的访问请求，则正常接收写数据，并更新目标地址空间，否则若是非法的访问请求，则要正常接收来自主设备的写数据，但不能用写数据更新目标地址空间。但是，由于一个片上系统中通常有大量的从设备，这样，对于有安全应用需求的片上系统，每个从设备都必须具备判断来自主设备的访问请求是否合法的功能。

另外，如果将已经设计好的、没有安全应用需求的片上系统中的从设备应用到具有安全应用需求的片上系统中，那么必须对从设备做必要的修改，使从设备能对主设备发出的访问请求的安全类型进行检查，保证安全区域中的数据不会被不合理的获取或改写，并向主设备返回适当的响应。而在片上系统中，通常存在数量多且种类不同的从设备，这样一个一个修改起来，将会很繁瑣，也容易出错。发明内容

有鉴于此，本发明实施例期望提供一种基于 AXI协议的安全访问控制方法和装置。

本发明实施例提供的一种基于 AXI协议的安全访问控制方法，所述方法包括：

将总线地址空间划分为一个以上区域，确定每个区域的安全属性；判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，匹配时，将所述访问请求发送给目标从设备。

上述方案中，所述确定每个区域的安全属性，包括：

确定每个区域是支持安全类型的访问或非安全类型的访问。

上述方案中，确定每个区域的安全属性之后，所述方法还包括：确定每个区域的大小，以及确定各区域接收到安全类型与所述区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和 ID。

上述方案中，所述判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，包括：所述目标区域的安全属性为支持安全类型的访问，仅当主设备发出的访问请求为安全类型的访问请求时，确定所述访问请求的安全类型与目标区域的安全属性相匹配；或者，

所述目标区域的安全属性为支持安全类型的访问，且当主设备发出的访问请求为非安全类型的访问请求时，确定所述访问请求的安全类型与目标区域的安全属性不匹配；或者，

所述目标区域的安全属性为支持非安全类型的访问，且主设备发出的访问请求为安全类型或者非安全类型时，确定所述访问请求的安全类型与目标区域的安全属性相匹配。

上述方案中，所述方法还包括：

当主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时，产生错误响应信息，并发送给主设备；并不将所述访问请求发送给目标从设备。

上述方案中，当确定各区域接收到安全类型与所述区域的安全属性不匹配的访问请求时需要发出中断，且需要记录所述访问请求的地址和 ID时，所述方法还包括：

确定主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时，向主设备发出中断，并记录所述访问请求的地址和 ID。

本发明实施例还提供了一种基于 AXI协议的安全访问控制装置，所述装置包括：区域划分模块、匹配模块和信息转发模块；其中，

所述区域划分模块，配置为将总线地址空间划分为一个以上区域，并确定每个区域的安全属性；

所述匹配模块，配置为判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，匹配时触发所述信息转发模块；所述信息转发模块，配置为被所述匹配模块触发时，将所述访问请求发送给目标从设备。

上述装置中，所述确定每个区域的安全属性，包括：

确定每个区域是支持安全类型的访问或非安全类型的访问。

上述装置中，所述区域划分模块还配置为确定每个区域的大小，以及确定各区域接收到安全类型与所述区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和 ID。

上述装置中，所述匹配模块判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，包括：

所述目标区域的安全属性为支持安全类型的访问，且主设备发出的访问请求为安全类型的访问请求时，确定所述访问请求的安全类型与目标区域的安全属性相匹配；或者，

上述装置还包括：告警模块，配置为当主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时，产生错误响应信息，并经由所述信息转发模块发送给主设备。

上述方案中，所述装置还包括：中断处理模块，配置为当确定各区域接收到安全类型与所述区域的安全属性不匹配的访问请求时需要发出中断，并需要记录所述访问请求的地址和 ID，且确定主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时，向主设备发出中断，并记录所述访问请求的地址和 ID。本发明实施例又提供了一种计算机存储介质，所述计算机存储介质包括一组指令，当执行所述指令时，引起至少一个处理器执行上述的基于 AXI 协议的安全访问控制方法。

本发明实施例所提供的基于 AX协议的安全访问控制方法及装置，将总线地址空间划分为一个以上区域，确定每个区域的安全属性；判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，匹配时，将所述访问请求发送给目标从设备；如此，能够对主设备发出的访问请求进行过滤，只将主设备发出的安全类型与目标区域的安全属性相匹配的访问请求发送给从设备，从而大大简化了从设备的工作内容；另外，将没有安全应用需求的片上系统中的从设备应用到有安全应用需求的片上系统上时，也不需要对原有的从设备——进行改造。附图说明

图 1为本发明实施例提供的基于 AX协议的安全访问控制方法流程图；图 2为本发明实施例提供的基于 AXI协议的安全访问控制装置的基本结构图。具体实施方式

本发明的各种实施例中：将总线地址空间划分为一个以上区域，确定每个区域的安全属性；判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，匹配时，将所述访问请求发送给目标从设备。

下面通过附图及具体实施例对本发明作进一步的详细说明。

实施例一

本发明实施例中的片上系统中涉及两种设备：主设备和从设备，其中，主设备是指片上系统中能够主动发出读写命令的设备，比如：处理器、直接存储器访问（DMA, Direct Memory Access )模块等；从设备是指片上系统中不能主动发出读写命令，而只能被动接受读写命令的设备，比如：存储器、外设控制器等。

本发明实施例一提供了一种基于 AXI协议的安全访问控制方法，如图 1所示，该方法包括以下步骤：

步骤 101 : 将总线地址空间划分为一个以上区域，确定每个区域的安全属性；

本步骤中，可以根据用户的实际需要将片上系统中的总线地址空间划分为一个以上区域，并且可以根据需要设定每个区域的安全属性，即：确定所述区域是支持安全类型的访问还是非安全类型的访问；例如，一个片上系统的总线地址空间为 32k，假设用户 A在总线地址空间中需要存储的信息全部为敏感信息，这里的敏感信息也就是不允许通过非法手段随意更改和获取的信息，则只需要将整个总线地址空间划分为一个 32k的区域，并设定该区域的安全属性为支持安全类型的访问；同样是 32k的总线地址空间中，假设用户 B需要存储的敏感信息分为三类，这三类敏感信息分别需要预留 5k、 3k、 7k的地址空间，用户 B需要存储的其他非敏感信息为四类，这四类非敏感信息分别需要预留 3k、 4k、 5k和 5k的地址空间，则可以将总线地址空间划分成七个区域，其中，用于存储敏感信息的三个区域需要设定为支持安全类型的访问；用于存储非敏感信息的四个区域需要设定为支持非安全类型的访问。

更进一步地，在对总线地址空间进行划分时，还可以才艮据用户的实际需要对每一个区域的大小以及确定各区域接收到安全类型与该区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录该访问请求的地址和 ID等特性进行设置。

步骤 102:判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，匹配时，将所述访问请求发送给目标从设备。这里，从设备通常占用总线地址空间上的一段地址空间，所以这里所说的一段地址空间可以与本发明实施例步骤 101 中所划分的区域中的一个以上区域对应，主设备一般通过从设备访问目标区域，即：主设备向从设备发送访问请求，从设备收到所述访问请求后，根据所述访问请求对自身所占用的相应目标区域进行读和 /或写操作，这里，主设备发送给从设备的访问请求可以为读 /或写请求。

这一步骤中，由片上系统对主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配进行判断，并根据判断结果执行后续操作。这里的后续操作至少包括：片上系统将所述访问请求发送给目标从设备，或片上系统不执行访问请求的发送而仅向主设备返回一个错误消息；

具体地，当目标区域的安全属性为支持安全类型的访问，且主设备发出的访问请求为安全类型的访问请求时，确定所述访问请求的安全类型与目标区域的安全属性相匹配。此时，对于读操作，片上系统可以直接接收所述读请求，并将所述读请求发送给目标从设备，由目标从设备对其占用的相应区域进行读操作；进一步地，片上系统在读操作完成之后，可以接收目标从设备返回的读数据和读响应，并将所述读数据和读响应转发给主设备；对于写操作，片上系统直接接收所述写请求，并将所述写请求转发给目标从设备，由目标从设备对其占用的相应区域进行写操作；进一步地，片上系统在写操作完成之后，可以接收目标从设备返回的写响应，并将所述写响应转发给主设备；

当目标区域的安全属性为支持非安全类型的访问时，则不管主设备发出的访问请求为安全类型或者非安全类型，所述访问请求的安全类型与目标区域的安全属性都是匹配的。此时，对于读操作，片上系统可以直接接收所述读请求，并将所述读请求发送给目标从设备，由目标从设备对其占用的相应区域进行读操作；进一步地，片上系统在读操作完成之后，可以接收目标从设备返回的读数据和读响应，并将所述读数据和读响应转发给主设备；对于写操作，片上系统直接接收所述写请求，并将所述写请求转发给目标从设备，由目标从设备对其占用的相应区域进行写操作；进一步地，片上系统在写操作完成之后，可以接收目标从设备返回的写响应，并将所述写响应转发给主设备；

相应地，当目标区域的安全属性为支持安全类型的访问，且主设备发出的对目标区域的访问请求为非安全类型时，确定所述访问请求的安全类型与目标区域的安全属性不匹配。此时，对于读操作或写操作，片上系统将直接接收该读请求或写请求，但不会将所述读请求或写请求发送给目标从设备；

进一步地，当收到的访问请求的安全类型与目标区域的安全属性不匹配时，片上系统还会产生错误响应信息，并发送给主设备。具体地，当所述访问请求为读请求时，所产生的错误响应信息包括：错误读数据和错误读响应消息；其中，所述错误读数据可以是值为 0 的读数据，所述错误读响应消息用于指示有错误产生。这里，可以根据实际需要对错误读响应消息的值进行设置，例如：可以将值为 01的响应消息作为错误读响应消息；当所述访问请求为写请求时，所产生的错误响应信息包括：错误写响应消息，所述错误写响应消息用于指示有错误产生。这里，可以根据实际需要对错误写响应的值进行设置，例如：可以将值为 00的响应消息作为错误写响应消息。

进一步地，如果事先设置了目标区域在收到安全类型与所述区域的安全属性不匹配的访问请求时需要发出中断且记录该访问请求的地址和 ID，则片上系统将向主设备发出中断，并记录所述访问请求的地址和 ID。实施例二

本发明实施例二提供了一种基于 AXI协议的安全访问控制装置，如图 2所示，所述装置包括：区域划分模块 21、匹配模块 22以及信息转发模块 23; 其中，

区域划分模块 21，配置为将总线地址空间划分为一个以上区域，并确定每个区域的安全属性；

具体地，区域划分模块 21可以根据用户的实际需要将总线地址空间划分为一个以上区域，并确定每一个区域的安全属性，即：确定所述区域支持安全类型的访问还是非安全类型的访问；

更进一步地，在对总线地址空间进行划分时，区域划分模块 21还可以根据用户的实际需要对每一个区域的大小以及确定各区域接收到安全类型与该区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和 ID等特性进行设置。

匹配模块 22，配置为判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，匹配时触发信息转发模块 23;

信息转发模块 23，配置为被匹配模块 22触发时，将所述访问请求发送给目标从设备。

具体地，当目标区域的安全属性为支持安全类型的访问，且主设备发出的访问请求为安全类型的访问请求时，匹配模块 22确定所述访问请求的安全类型与目标区域的安全属性相匹配。此时，对于读操作，可以直接接收所述读请求，并由信息转发模块 23将所述读请求发送给目标从设备，由目标从设备对其占用的相应区域进行读操作；进一步地，在读操作完成之后，所述信息转发模块 23可以接收目标从设备返回的读数据和读响应，并将所述读数据和读响应转发给主设备；对于写操作，信息转发模块 23直接接收所述写请求，并将所述写请求转发给目标从设备，由目标从设备对其占用的相应区域进行写操作；进一步地，在写操作完成之后，信息转发模块 23可以接收目标从设备返回的写响应，并将所述写响应转发给主设备；当目标区域的安全属性为支持非安全类型的访问时，则不管主设备发出的访问请求为安全类型或者非安全类型，所述访问请求的安全类型与目标区域的安全属性都是匹配的。此时，对于读操作，信息转发模块 23可以直接将接收到的读请求转发给目标从设备，由目标从设备对其占用的相应区域进行读操作；进一步地，在读操作完成之后，信息转发模块 23可以接收目标从设备返回的读数据和读响应，并将所述读数据和读响应转发给主设备；对于写操作，直接接收所述写请求，并由信息转发模块 23将所述写请求转发给目标从设备，由目标从设备对其占用的相应区域进行写操作；进一步地，在写操作完成之后，接收目标从设备返回的写响应，并将所述写响应转发给主设备；

相应地，当目标区域的安全属性为支持安全类型的访问，且主设备发出的对目标区域的访问请求为非安全类型时，匹配模块 22确定所述访问请求的安全类型与目标区域的安全属性不匹配。此时，对于读操作或写操作，信息转发模块 23直接接收该读请求或写请求，但不会将所述读请求或写请求发送给目标从设备；

进一步地，所述装置还包括：告警模块 24，配置为当收到的访问请求的安全类型与目标区域的安全属性不匹配时，产生错误响应信息，并经由信息转发模块 23发送给主设备。具体地，当所述访问请求为读请求时，所产生的错误响应信息包括：错误读数据和错误读响应消息；其中，所述错误读数据可以是值为 0 的读数据，所述错误读响应消息配置为指示有错误产生。这里，可以根据实际需要对错误读响应消息的值进行设置，例如：可以将值为 01的响应消息作为错误读响应消息；当所述访问请求为写请求时，所产生的错误响应信息包括：错误写响应消息，所述错误写响应消息用于指示有错误产生。这里，可以根据实际需要对错误写响应的值进行设置，例如：可以将值为 00的响应消息作为错误写响应消息；

进一步地，所述装置还包括：中断处理模块 25，配置为当事先设置了目标区域在收到安全类型与所述区域的安全属性不匹配的访问请求时需要发出中断且记录该访问请求的地址和 ID，且在接收到的访问请求的安全类型与目标区域的安全属性不匹配时被触发时，向主设备发出中断，并记录所述访问请求的地址和 ID。

实施例三

本发明实施例三提供了一种片上系统，所述片上系统包括主设备、从设备以及实施例二中的基于 AXI协议的安全访问控制装置。

在实际应用中，所述区域划分模块 21、匹配模块 22、信息转发模块 23、告警模块 24 以及中断处理模块 25 均可在片上系统中由专用集成电路 ( ASIC , Application Specific Integrated Circuit ) , 或现场可编程门阵列 ( FPGA, Field - Programmable Gate Array ) 实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质 (包括但不限于磁盘存储器和光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。

Claims

权利要求书

1、一种基于片内总线 AXI协议的安全访问控制方法，所述方法包括：将总线地址空间划分为一个以上区域，确定每个区域的安全属性；判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，匹配时，将所述访问请求发送给目标从设备。

2、根据权利要求 1所述的方法，其中，所述确定每个区域的安全属性，包括：

确定每个区域是支持安全类型的访问或非安全类型的访问。

3、根据权利要求 1所述的方法，其中，确定每个区域的安全属性之后，所述方法还包括：

确定每个区域的大小，以及确定各区域接收到安全类型与所述区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和 ID。

4、根据权利要求 1所述的方法，其中，所述判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，包括：

所述目标区域的安全属性为支持安全类型的访问，且主设备发出的访问请求为非安全类型的访问请求时，确定所述访问请求的安全类型与目标区域的安全属性不匹配；或者，

5、根据权利要求 4所述的方法，其中，所述方法还包括：当主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时，产生错误响应信息，并发送给主设备；并不将所述访问请求发送给目标从设备。

6、根据权利要求 3所述的方法，其中，当确定各区域接收到安全类型与所述区域的安全属性不匹配的访问请求时需要发出中断，且需要记录所述访问请求的地址和 ID时，所述方法还包括：

7、一种基于 AXI协议的安全访问控制装置，所述装置包括：区域划分模块、匹配模块和信息转发模块；其中，

8、根据权利要求 7所述的装置，其中，所述确定每个区域的安全属性，包括：

确定每个区域是支持安全类型的访问或非安全类型的访问。

9、根据权利要求 7所述的装置，其中，所述区域划分模块还配置为确定每个区域的大小，以及确定各区域接收到安全类型与所述区域的安全属性不匹配的访问请求时是否需要发出中断、是否记录所述访问请求的地址和 ID。

10、根据权利要求 7 所述的装置，其中，所述匹配模块判断主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性是否匹配，包括：

11、根据权利要求 10所述的装置，其中，所述装置还包括：告警模块，配置为当主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时，产生错误响应信息，并经由所述信息转发模块发送给主设备。

12、根据权利要求 9所述的装置，其中，所述装置还包括：中断处理模块，配置为当确定各区域接收到安全类型与所述区域的安全属性不匹配的访问请求时需要发出中断，并需要记录所述访问请求的地址和 ID，且确定主设备发出的对目标区域的访问请求的安全类型与目标区域的安全属性不匹配时，向主设备发出中断，并记录所述访问请求的地址和 ID。

13、一种计算机存储介质，所述计算机存储介质包括一组指令，当执行所述指令时，引起至少一个处理器执行如权利要求 1至 6任一项所述的基于 AXI协议的安全访问控制方法。