WO2016106911A1 - 一种mcu芯片的信息保护方法和装置 - Google Patents

Abstract

一种MCU芯片的信息保护方法和装置，所述MCU芯片包括指令总线、数据总线、闪存控制器和闪存用户区；所述闪存控制器用于将闪存用户区划分为第一分区和第二分区；所述的方法包括：当所述指令总线访问所述闪存用户区时，判断所述指令总线是否访问所述第一分区（101）；若是，则进入第一分区工作状态（102）；当处于所述第一分区工作状态下，所述指令总线访问所述第二分区，则进入过渡状态（103）；判断处于所述过渡状态下的时间是否达到预设的等待时间（104）；若是，则进入第二分区工作状态（105）；所述方法和装置用以保护程序不被客户窃取，同时保护合作开发程序的公司不能相互窃取对方的程序。

Description

一种MCU芯片的信息保护方法和装置

本申请要求在2014年12月30日提交中国专利局、申请号为201410851200.8、发明名称为“一种MCU芯片的信息保护方法和装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及电子电路技术领域，特别是涉及一种MCU芯片的信息保护方法和一种MCU芯片的信息保护装置。

背景技术

随着集成电路技术的不断提高，MCU(Micro Control Unit，微控制单元)芯片的应用越来越广泛，小到儿童玩具，大到工程机械，都需要用到MCU芯片。MCU芯片通常包含CPU(Central Processing Unit，中央处理器)、闪存(Flash Memory)、SRAM(Static Random Access Memory，静态随机存储器)和各种外围设备。在MCU芯片掉电时，闪存的内容不会丢失，而SRAM的内容则会丢失。闪存通常会被分为两个独立的区域：一个是闪存用户区，用来存储用户的程序；另一个是闪存信息区，用来存放MCU芯片的配置信息。SRAM一般用作片上缓存。

对于MCU芯片的方案商而言，也就是基于MCU芯片开发程序和外围电路的厂商，程序最终会烧写到MCU芯片的闪存用户区中，由于方案商的核心价值在于所开发的程序，故需要保证程序绝对安全，不能被他人窃取。MCU芯片的信息保护方案的目标就是保护闪存用户区的内容不被他人窃取。目前市场上的MCU芯片的产品在信息保护方案方面，都只是对其闪存用户区的内容整体地保护，无法满足两家公司合作开发程序的需求。因为它只能保护闪存用户区的内容不被客户窃取，而不能阻止合作开发程序的公司相互窃取对方的程序。

因此，目前需要本领域技术人员迫切解决的一个技术问题就是：提出一种MCU芯片的信息保护方案，用以保护程序不被客户窃取，同时保护合作开发程序的公司不能相互窃取对方的程序。

发明内容

本申请实施例所要解决的技术问题是提供一种MCU芯片的信息保护方法，用以保护程序不被客户窃取，同时保护合作开发程序的公司不能相互窃取对方的程序。

相应的，本申请实施例还提供了一种MCU芯片的信息保护装置，用以保证上述方法的实现及应用。

为了解决上述问题，本申请公开了一种MCU芯片的信息保护方法，所述MCU芯片包括指令总线、数据总线、闪存控制器和闪存用户区；所述闪存控制器用于将闪存用户区划分为第一分区和第二分区；所述的方法包括：

当所述指令总线访问所述闪存用户区时，判断所述指令总线是否访问所述第一分区；

若是，则进入第一分区工作状态；在所述第一分区工作状态下，允许所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

当处于所述第一分区工作状态下，所述指令总线访问所述第二分区，则进入过渡状态；在所述过渡状态下，暂停所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

判断处于所述过渡状态下的时间是否达到预设的等待时间；

若是，则进入第二分区工作状态；在所述第二分区工作状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区，但允许所述数据总线访问所述第二分区。

优选地，所述方法还包括：

在所述MCU芯片复位后，进入初始状态；在所述初始状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区和第二分区。

优选地，所述MCU芯片包括CPU，所述CPU为哈佛结构；所述预 设的等待时间与CPU的特性相关；若所述CPU为ARM Cortex-M3，则所述预设的等待时间为20个CPU时钟周期。

优选地，所述MCU芯片包括闪存信息区，所述闪存信息区包括选项字节；所述的方法还包括：

依据所述选项字节确定所述闪存用户区的读保护状态；

若为零级读保护状态，则允许对所述闪存用户区进行读取、写入和擦除；

若为一级读保护状态，则允许对所述第一分区进行读取、写入和擦除，仅在所述闪存用户区启动时允许对所述第二分区进行读取、写入和擦除；

若为二级读保护状态，则仅在所述闪存用户区启动时允许对所述第一分区和第二分区进行读取、写入和擦除。

优选地，

在所述零级读保护状态下，所述选项字节允许修改；

在所述一级读保护状态下，所述选项字节允许修改，若基于所述选项字节从所述一级读保护状态修改为零级读保护状态，则所述闪存用户区中的全部信息将被擦除；

在所述二级读保护状态下，所述选项字节禁止修改。

优选地，所述MCU芯片设计有私有设备，仅在输出有第一分区使能信号时正常工作的私有设备为第一设备，以及，仅在输出有第二分区使能信号时正常工作的私有设备为第二设备；所述方法还包括：

若处于所述第一分区工作状态，或者，第一分区过渡状态，则输出第一分区使能信号；若处于所述第二分区工作状态，或者，第二分区过渡状态，则输出第二分区使能信号。

优选地，所述设备包括静态随机存储器SRAM。

优选地，所述第一分区位于闪存用户区的前半段地址空间，所述第二分区位于闪存用户区的后半段地址空间。

本申请实施例还公开了一种MCU芯片的信息保护装置，所述MCU芯片包括指令总线、数据总线、闪存控制器和闪存用户区；所述闪存控制器用于将闪存用户区划分为第一分区和第二分区；所述的装置包括：

第一判断模块，配置为当所述指令总线访问所述闪存用户区时，判断所述指令总线是否访问所述第一分区；若是，则调用第一进入模块；

第一进入模块，配置为进入第一分区工作状态；在所述第一分区工作状态下，允许所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

第二进入模块，配置为当处于所述第一分区工作状态下，所述指令总线访问所述第二分区，则进入过渡状态；在所述过渡状态下，暂停所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

第二判断模块，配置为判断处于所述过渡状态下的时间是否达到预设的等待时间；若是，则调用第三进入模块；

第三进入模块，配置为进入第二分区工作状态；在所述第二分区工作状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区，但允许所述数据总线访问所述第二分区。

优选地，所述装置还包括：

第四进入模块，配置为在所述MCU芯片复位后，进入初始状态；在所述初始状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区和第二分区。

优选地，所述MCU芯片包括闪存信息区，所述闪存信息区包括选项字节；所述的装置还包括：

确定模块，配置为依据所述选项字节确定所述闪存用户区的读保护状态；

第一保护模块，配置为在为零级读保护状态时，允许对所述闪存用户区进行读取、写入和擦除；

第二保护模块，配置为在为一级读保护状态时，允许对所述第一分 区进行读取、写入和擦除，仅在所述闪存用户区启动时允许对所述第二分区进行读取、写入和擦除；

第三保护模块，配置为在为二级读保护状态时，仅在所述闪存用户区启动时允许对所述第一分区和第二分区进行读取、写入和擦除。

优选地，

在所述零级读保护状态下，所述选项字节允许修改；

在所述一级读保护状态下，所述选项字节允许修改，若基于所述选项字节从所述一级读保护状态修改为零级读保护状态，则所述闪存用户区中的全部信息将被擦除；

在所述二级读保护状态下，所述选项字节禁止修改。

优选地，所述MCU芯片设计有私有设备，仅在输出有第一分区使能信号有效时正常工作的私有设备为第一设备，以及，仅在输出有第二分区使能信号有效时正常工作的私有设备为第二设备；所述装置还包括：

第一输出模块，配置为在处于所述第一分区工作状态，或者，第一分区过渡状态时，输出第一分区使能信号；

第二输出模块，配置为在处于所述第二分区工作状态，或者，第二分区过渡状态时，输出第二分区使能信号。

本申请实施例还公开了一种在其上记录有用于执行权利要求1所述方法的程序的计算机可读记录介质。

与现有技术相比，本申请实施例包括以下优点：

在本申请实施例中，在MCU芯片中的闪存控制器将闪存用户区划分为第一分区和第二分区，当指令总线访问闪存用户区时，闪存用户区可以正常接受指令总线的访问，但是数据总线访问分区将受到限制。例如，当指令总线访问第一分区时，数据总线只能访问第一分区，不能访问第二分区。如果指令总线从访问第一分区转为访问第二分区，则暂停指令总线访问闪存用户区，并且在达到预设的等待时间时，指令总线又可以 访问闪存用户区，此时数据总线不能访问第一分区，只能访问第二分区。本申请实施例在指令总线访问闪存用户区时，只允许数据总线访问指令总线所访问的分区，可以保护在闪存用户区中的程序不被合作开发程序的其他公司窃取。

在本申请实施例中，还对MCU芯片设置有读保护级别，根据闪存信息区中的选项字节，确定该MCU芯片对闪存的读保护级别，限制对于闪存用户区的操作。在两家公司合作开发MCU芯片中的程序时，当某个公司开发完毕后，可以提高闪存用户区的读保护级别，以限制其他公司读取器烧录到闪存用户区的程序，从而避免合作开发程序的公司相互窃取对方的程序。此外，如果有人想通过降低读保护级别的方式去窃取获得访问闪存用户区的程序的权限，闪存用户区中的全部程序都将被擦除，进一步保护了公司的开发成果。

在本申请实施例中，可以将分区划分给不同合作开发的公司，并且可以将外围设备设计为某一分区的私有设备，每个分区具有对应的分区使能信号，而分区使能信号可以控制其所对应的私有设备。例如，根据分区使能信号，可以开启或关闭对应私有设备的部分或全部功能，避免了合作开发的公司所开发的程序运行的中间结果，被其他合作公司得到。

附图说明

图1是本申请的一种MCU芯片的信息保护方法实施例的步骤流程图；

图2是本申请的一种基于哈佛结构CPU的MCU芯片的系统结构示意图；

图3是本申请的一种MCU芯片闪存控制器的工作流程示意图；

图4是本申请的一种MCU芯片的信息保护装置实施例的结构框图。

具体实施方式

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

下面介绍了本申请实施例的一种MCU芯片的信息保护方案。

通过闪存信息区的若干控制位来控制闪存控制器的读保护级别。闪存控制器的读保护级别分三级，各级别的特征如下：

零级读保护：闪存用户区完全开放，可以任意读、写和擦除。闪存信息区也一样完全开放。

一级读保护：从闪存用户区启动可以正常访问闪存用户区；其他启动方式(包括从其他位置启动以及JTAG(Joint Test Action Group，联合测试工作组))等调试手段均不能访问闪存用户区，读、写和擦除等操作都不行。在此级别下，可以访问闪存信息区，但如果修改控制位将闪存控制器的读保护级别改为零级，闪存用户区的内容会全部被擦除。

二级读保护：从闪存用户区启动可以正常访问闪存用户区；其他启动方式(包括从其他位置启动以及JTAG等调试手段)均不可用。在此级别下，闪存信息区只可读，不可写，也不可擦除。

在上述的MCU芯片的信息保护方案中，将闪存用户区作为一个整体来保护的。如果MCU芯片的程序完全由一家公司来开发，采用此方案可以满足需求。但随着MCU芯片应用日趋复杂，MCU芯片的程序会越来越复杂。将会有两家公司甚至多家公司合作开发程序的需求。而该MCU芯片信息保护方案是满足不了的。因为它只能保护闪存用户区的内容不被客户窃取，不能阻止合作开发程序的公司之间相互窃取对方的程序。基于这样的需求，本申请实施例进一步提出了一种MCU芯片的信息保护方案。

应用本申请实施例的MCU信息保护方案，可以满足两家公司合作开发MCU芯片程序的需求。本申请实施例将闪存用户区分为两个分区，合作开发程序的两家公司可分别将自己开发的程序烧写到属于自己的分区中。本申请实施例可以保证两家公司的程序之间既可以正常实现相互调用，又不能相互窃取对方分区中的程序，同时保护程序不被客户窃取。另外，如果SRAM和其他外围设备都由是合作的两家公司共享，程序有可能通过这些共享资源被合作方窃取。对此，本申请实施例还可以将特定SRAM或外围设备划分给某一方作为私有设备，扩宽了本申请实施例 的应用范围。

参照图1，示出了本申请的一种MCU芯片的信息保护方法实施例的步骤流程图，所述MCU芯片可以包括指令总线、数据总线、闪存控制器和闪存用户区；所述闪存控制器可以用于将闪存用户区划分为第一分区和第二分区；

参照图2所示的本申请的一种基于哈佛结构CPU的MCU芯片的系统结构示意图，MCU芯片通常包含CPU、总线、闪存、闪存控制器、SRAM、各种主设备和从设备(外围设备)等等。其中，所述总线可以包括指令总线、数据总线和系统总线。在具体实现中，CPU通过指令总线、数据总线和系统总线与总线互联矩阵相连。指令总线负责读取指令；数据总线负责数据访问；系统总线负责访问外围设备。

MCU芯片的闪存控制器是连接总线和闪存的桥梁。闪存控制器有同样的三条总线与总线互联矩阵相连，其中指令总线负责接受CPU的取指令访问；数据总线负责接受CPU的数据访问；它的配置寄存器是通过系统总线被访问的。SRAM以及各种外围设备都是连接在总线互联矩阵上的。在本申请实施例中，在两家公司合作开发MCU芯片的程序时，可以将两个分区分别划分给合作开发程序的两家公司，并且可以将外围设备设计为某一分区的私有设备，每个分区具有对应的分区使能信号，私有设备会受闪存控制器输出的分区使能信号控制。

在具体实现中，“访问”包含所有的操作。MCU芯片的总线有读操作和写操作，那么总线访问包含读操作和写操作。闪存有读操作、写操作和擦除操作，那么对闪存的访问就包含读操作、写操作和擦除操作。

所述的方法具体可以包括如下步骤：

步骤101，当所述指令总线访问所述闪存用户区时，判断所述指令总线是否访问所述第一分区；若是，则执行步骤102；

步骤102，进入第一分区工作状态；在所述第一分区工作状态下，允许所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一 分区，但禁止所述数据总线访问所述第二分区；

步骤103，当处于所述第一分区工作状态下，所述指令总线访问所述第二分区，则进入过渡状态；在所述过渡状态下，暂停所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

步骤104，判断处于所述过渡状态下的时间是否达到预设的等待时间；若是，则执行步骤105；

步骤105，进入第二分区工作状态；在所述第二分区工作状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区，但允许所述数据总线访问所述第二分区。

应用本申请实施例，至少具有如下两个优点：第一，保护闪存的内容不被终端客户窃取；第二，确保合作开发程序的两家公司不能相互窃取对方的程序。

合作开发程序的两家公司一定有一家是开发主程序的，另一家是开发库函数的。此处将开发主程序的公司称为第一公司，开发库函数的公司称为第二公司。两家公司对应的分区分别是第一分区和第二分区。第一分区位于前半段地址空间，第二分区位于后半段地址空间。这样便于MCU芯片启动时率先执行第一公司的程序。本申请实施例的MCU芯片信息保护的方法可以分为三部分来描述：第一部分是分区保护工作方式；第二部分是读保护级别的定义及使用方法；第三部分是私有设备的实现方法。前两部分是在闪存控制器中实现的；第三部分是根据闪存控制器输出的分区使能信号在私有设备中实现的。

第一部分：分区保护工作方式。

在闪存用户区启动时，闪存用户区可以正常接受CPU指令总线的访问，并可以受限制的接受CPU数据总线的访问，但不接受其他主设备的访问。参照图3所示的本申请的一种MCU芯片闪存控制器的工作流程示意图，具体的步骤如下所示：

1、MCU芯片复位，闪存控制器处于初始状态。在所述初始状态下， 指令总线可以访问所有分区，数据总线不能访问任何分区。

2、判断指令总线是否在访问闪存用户区；若是，则执行步骤3，若否，则返回步骤1。

3、判断指令总线访问的是否为第一分区；若是，则执行步骤4，若否，则执行步骤9。

4、进入第一分区工作状态。在所述第一分区工作状态下，指令总线可以访问所有分区，数据总线可以访问第一分区但不能访问第二分区(若访问第二分区，返回错误响应)。

5、判断指令总线是否在访问闪存用户区；若否，则返回步骤4，即如果指令总线没有访问闪存用户区，则保持在当前状态(第一分区工作状态)；若是，执行步骤6。

6、判断指令总线访问的是否为其他分区(第二分区)；如果指令总线访问的是当前工作的分区(第一分区)，保持当前状态，即返回步骤4，如果指令总线访问的是其他分区(第二分区)，则执行步骤7。

7、进入第一分区过渡状态。在所述第一分区过渡状态下，暂停响应指令总线，数据总线可以访问第一分区但不能访问第二分区(若访问第二分区，返回错误响应)。

8、在过渡状态下等待时间是否已到达预设的等待时间；若是，则执行步骤9；若否，则返回步骤7。

9、进入第二分区工作状态。在所述第二分区工作状态下，指令总线可以访问所有分区，数据总线可以访问第二分区但不能访问第一分区(访问第一分区，返回错误响应)。

10、判断指令总线是否在访问闪存用户区；若否，则返回步骤9，即如果指令总线没有访问闪存用户区，则保持在当前状态(第二分区工作状态)；若是，执行步骤11。

11、判断指令总线访问的是否为其他分区(第一分区)；如果指令总线访问的是当前工作的分区(第二分区)，保持当前状态，即返回步骤9，如果指令总线访问的是其他分区(第一分区)，则执行步骤12。

12、进入第二分区过渡状态。在所述第二分区过渡状态下，暂停响应指令总线，数据总线可以访问第二分区但不能访问第一分区(若访问第一分区，返回错误响应)。

13、在过渡状态下等待时间是否已到达预设的等待时间；若是，则执行步骤4；若否，则返回步骤12。

在本申请的具体应用的一种示例中，在过渡状态中的预设等待时间的长短与MCU芯片的CPU的特性相关。哈佛结构CPU通过指令总线读取指令，通过数据总线完成数据访问，两者是并行工作的。CPU通过指令总线取得要执行的指令，经过指令解析得出是否需要数据访问以及需要访问哪个地址的数据，然后通过数据总线完成相应数据访问。

从指令总线读取指令到数据总线完成相应数据访问要经过若干周期。过渡状态的作用就是在阻止针对其他分区的指令总线访问完成的同时，让之前针对当前工作分区的指令所对应的数据访问都完成，然后再跳转到新的工作分区。等待时间需足够长，以确保之前针对当前工作分区的指令所对应的数据访问都完成。以ARM Cortex-M3为例，等待时间可设置为20个CPU时钟周期。

第二部分：读保护级别的定义及使用方法。

在本申请的一种优选实施例中，所述MCU芯片可以包括闪存信息区，所述闪存信息区可以包括选项字节；所述的方法还可以包括如下步骤：

步骤S11，依据所述选项字节确定所述闪存用户区的读保护状态；

步骤S12，若为零级读保护状态，则允许对所述闪存用户区进行读取、写入和擦除；

步骤S13，若为一级读保护状态，则允许对所述第一分区进行读取、写入和擦除，仅在所述闪存用户区启动时允许对所述第二分区进行读取、写入和擦除；

步骤S14，若为二级读保护状态，则仅在所述闪存用户区启动时允许对所述第一分区和第二分区进行读取、写入和擦除。

在本申请的一种优选实施例中，其特征在于，

在所述零级读保护状态下，所述选项字节允许修改；

在所述一级读保护状态下，所述选项字节允许修改，若基于所述选项字节从所述一级读保护状态修改为零级读保护状态，则所述闪存用户区中的全部信息将被擦除(为确保闪存用户区的内容不被窃取，用户区内容擦除完毕之后，零级读保护才生效)。

在所述二级读保护状态下，所述选项字节禁止修改。

在具体实现中，读保护级别可以由闪存信息区中的若干字节来控制，这些字节为选项字节。在本申请实施例中对于控制的方法随意，只要能区分不同的读保护级别并且方便读保护级别之间的切换即可。例如，用1个字节来控制，当该字节的值为A5时，读保护状态为零级；当该字节的值为CC时，读保护级别为二级；当该字节为除A5和CC之外的其他值时，读保护级别为一级。

在MCU芯片程序的开发过程中，读保护级别的使用方法可以为如下所示。刚出厂的MCU芯片先交到第二公司，此时读保护级别为零级保护状态，闪存用户区是空的。第二公司将他们开发的程序烧写到闪存用户区的第二分区中。第二公司可以在零级读保护状态下调试程序。正式生产时，第二公司要在把芯片交给第一公司之前将读保护级别修改为一级读保护。第一公司将他们开发的程序烧写到闪存用户区的第一分区。此时，闪存用户区的第一分区存有第一公司的程序，第二分区存有第二公司的程序，读保护级别为一级读保护。第一公司要在此状态下完成两家公司程序的联合调试。正式生产时，第一公司要在把芯片交给客户之前将读保护级别修改为二级读保护。

第三部分：私有设备的实现方法。

在本申请的一种优选实施例中，所述MCU芯片可以根据特定需求设计私有设备，仅在输出有第一分区使能信号时正常工作的私有设备为第一设备，以及，仅在输出有第二分区使能信号时正常工作的私有设备为 第二设备；所述方法还可以包括如下步骤：

步骤S21，若处于所述第一分区工作状态，或者，第一分区过渡状态，则输出第一分区使能信号；

步骤S22，若处于所述第二分区工作状态，或者，第二分区过渡状态，则输出第二分区使能信号。

在本申请实施例中，私有设备是通过闪存控制器输出的分区使能信号控制的设备。每个分区可以对应1比特分区使能信号。分区使能信号表示对应分区处于工作状态。第一分区使能信号在第一分区工作状态和第一分区过渡状态下为1，其他状态下为0；第二分区使能信号在第二分区工作状态和第二分区过渡状态下为1，其他状态下为0。控制的方法就是根据特定分区使能信号的状态，开启或关闭相应设备的部分或全部功能。

例如，若想让某私有SRAM只允许第一公司的程序读，可以用第一分区使能信号来作为SRAM读通路的使能信号；若想让某私有设备的运算结果寄存器只允许第二公司的程序读，可以用第二分区使能信号来选通结果寄存器的读通路；若想让某私有设备只允许第一公司的程序配置，可以用第一分区使能信号来作为设备寄存器的配置使能信号。

当然，在实际中也可以不设计私有设备。比如全部的设备可以为共享，本申请实施例对此不加以限制。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请实施例所必须的。

参照图4，示出了本申请的一种MCU芯片的信息保护装置实施例的结构框图，所述MCU芯片可以包括指令总线、数据总线、闪存控制器和 闪存用户区。所述闪存控制器用于将闪存用户区划分为第一分区和第二分区；具体可以包括如下模块：

第一判断模块201，配置为当所述指令总线访问所述闪存用户区时，判断所述指令总线是否访问所述第一分区；若是，则调用第一进入模块202；

第一进入模块202，配置为进入第一分区工作状态；在所述第一分区工作状态下，允许所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

在本申请的一种优选实施例中，所述第一分区位于闪存用户区的前半段地址空间，所述第二分区位于闪存用户区的后半段地址空间。

第二进入模块203，配置为当处于所述第一分区工作状态下，所述指令总线访问所述第二分区，则进入过渡状态；在所述过渡状态下，暂停所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

第二判断模块204，配置为判断处于所述过渡状态下的时间是否达到预设的等待时间；若是，则调用第三进入模块205；

第三进入模块205，配置为进入第二分区工作状态；在所述第二分区工作状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区，但允许所述数据总线访问所述第二分区。

在本申请的一种优选实施例中，所述MCU芯片包括CPU，所述CPU为哈佛结构；所述预设的等待时间与CPU的特性相关；若所述CPU为ARM Cortex-M3，则所述预设的等待时间为20个CPU时钟周期。

在本申请的一种优选实施例中，所述装置还可以包括如下模块：

第四进入模块，配置为在所述MCU芯片复位后，进入初始状态；在所述初始状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区和第二分区。

在本申请的一种优选实施例中，所述MCU芯片包括闪存信息区，所述闪存信息区包括选项字节；所述的装置还可以包括如下模块：

确定模块，配置为依据所述选项字节确定所述闪存用户区的读保护状态；

第一保护模块，配置为在为零级读保护状态时，允许对所述闪存用户区进行读取、写入和擦除；

第二保护模块，配置为在为一级读保护状态时，允许对所述第一分区进行读取、写入和擦除，仅在所述闪存用户区启动时允许对所述第二分区进行读取、写入和擦除；

第三保护模块，配置为在为二级读保护状态时，仅在所述闪存用户区启动时允许对所述第一分区和第二分区进行读取、写入和擦除。

在本申请的一种优选实施例中，

在所述零级读保护状态下，所述选项字节允许修改；

在所述一级读保护状态下，所述选项字节允许修改，若基于所述选项字节从所述一级读保护状态修改为零级读保护状态，则所述闪存用户区中的全部信息将被擦除；

在所述二级读保护状态下，所述选项字节禁止修改。

在本申请的一种优选实施例中，所述MCU芯片可以根据特定需求设计私有设备，仅在输出有第一分区使能信号时正常工作的私有设备为第一设备，以及，仅在输出有第二分区使能信号时正常工作的私有设备为第二设备；所述装置还包括：

第一输出模块，配置为在处于所述第一分区工作状态，或者，第一分区过渡状态时，输出第一分区使能信号；

第二输出模块，配置为在处于所述第二分区工作状态，或者，第二分区过渡状态时，输出第二分区使能信号。

在本申请的一种优选实施例中，所述外围设备可以包括静态随机存储器SRAM。

对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本申请实施例还提供了一种在其上记录有用于上述实施例的程序的计算机可读记录介质。

所述计算机可读记录介质包括用于以计算机(例如计算机)可读的形式存储或传送信息的任何机制。例如，机器可读介质包括只读存储器(ROM)、随机存取存储器(RAM)、磁盘存储介质、光存储介质、闪速存储介质、电、光、声或其他形式的传播信号(例如，载波、红外信号、数字信号等)等。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在 流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本申请所提供的一种MCU芯片的信息保护方法和一种MCU芯片的信息保护装置，进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

Claims (14)

1. 一种MCU芯片的信息保护方法，其特征在于，所述MCU芯片包括指令总线、数据总线、闪存控制器和闪存用户区；所述闪存控制器用于将闪存用户区划分为第一分区和第二分区；所述的方法包括：

   当所述指令总线访问所述闪存用户区时，判断所述指令总线是否访问所述第一分区；

   若是，则进入第一分区工作状态；在所述第一分区工作状态下，允许所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

   当处于所述第一分区工作状态下，所述指令总线访问所述第二分区，则进入过渡状态；在所述过渡状态下，暂停所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

   判断处于所述过渡状态下的时间是否达到预设的等待时间；

   若是，则进入第二分区工作状态；在所述第二分区工作状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区，但允许所述数据总线访问所述第二分区。
2. 根据权利要求1所述的方法，其特征在于，所述方法还包括：

   在所述MCU芯片复位后，进入初始状态；在所述初始状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区和第二分区。
3. 根据权利要求1所述的方法，其特征在于，所述MCU芯片包括CPU，所述CPU为哈佛结构；所述预设的等待时间与CPU的特性相关；若所述CPU为ARM Cortex-M3，则所述预设的等待时间为20个CPU时钟周期。
4. 根据权利要求1所述的方法，其特征在于，所述MCU芯片包括闪存信息区，所述闪存信息区包括选项字节；所述的方法还包括：

   依据所述选项字节确定所述闪存用户区的读保护状态；

   若为零级读保护状态，则允许对所述闪存用户区进行读取、写入和 擦除；

   若为一级读保护状态，则允许对所述第一分区进行读取、写入和擦除，仅在所述闪存用户区启动时允许对所述第二分区进行读取、写入和擦除；

   若为二级读保护状态，则仅在所述闪存用户区启动时允许对所述第一分区和第二分区进行读取、写入和擦除。
5. 根据权利要求4所述的方法，其特征在于，

   在所述零级读保护状态下，所述选项字节允许修改；

   在所述一级读保护状态下，所述选项字节允许修改，若基于所述选项字节从所述一级读保护状态修改为零级读保护状态，则所述闪存用户区中的全部信息将被擦除；

   在所述二级读保护状态下，所述选项字节禁止修改。
6. 根据权利要求1所述的方法，其特征在于，所述MCU芯片设计有私有设备，仅在输出有第一分区使能信号时正常工作的私有设备为第一设备，以及，仅在输出有第二分区使能信号时正常工作的私有设备为第二设备；所述方法还包括：

   若处于所述第一分区工作状态，或者，第一分区过渡状态，则输出第一分区使能信号；若处于所述第二分区工作状态，或者，第二分区过渡状态，则输出第二分区使能信号。
7. 根据权利要求6所述的方法，其特征在于，所述设备包括静态随机存储器SRAM。
8. 根据权利要求1所述的方法，其特征在于，所述第一分区位于闪存用户区的前半段地址空间，所述第二分区位于闪存用户区的后半段地址空间。
9. 一种MCU芯片的信息保护装置，其特征在于，所述MCU芯片包括指令总线、数据总线、闪存控制器和闪存用户区；所述闪存控制器用于将闪存用户区划分为第一分区和第二分区；所述的装置包括：

   第一判断模块，配置为当所述指令总线访问所述闪存用户区时，判断所述指令总线是否访问所述第一分区；若是，则调用第一进入模块；

   第一进入模块，配置为进入第一分区工作状态；在所述第一分区工作状态下，允许所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

   第二进入模块，配置为当处于所述第一分区工作状态下，所述指令总线访问所述第二分区，则进入过渡状态；在所述过渡状态下，暂停所述指令总线访问所述闪存用户区，允许所述数据总线访问所述第一分区，但禁止所述数据总线访问所述第二分区；

   第二判断模块，配置为判断处于所述过渡状态下的时间是否达到预设的等待时间；若是，则调用第三进入模块；

   第三进入模块，配置为进入第二分区工作状态；在所述第二分区工作状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区，但允许所述数据总线访问所述第二分区。
10. 根据权利要求9所述的装置，其特征在于，所述装置还包括：

    第四进入模块，配置为在所述MCU芯片复位后，进入初始状态；在所述初始状态下，允许所述指令总线访问所述闪存用户区，禁止所述数据总线访问所述第一分区和第二分区。
11. 根据权利要求9所述的装置，其特征在于，所述MCU芯片包括闪存信息区，所述闪存信息区包括选项字节；所述的装置还包括：

    确定模块，配置为依据所述选项字节确定所述闪存用户区的读保护状态；

    第一保护模块，配置为在为零级读保护状态时，允许对所述闪存用户区进行读取、写入和擦除；

    第二保护模块，配置为在为一级读保护状态时，允许对所述第一分区进行读取、写入和擦除，仅在所述闪存用户区启动时允许对所述第二分区进行读取、写入和擦除；

    第三保护模块，配置为在为二级读保护状态时，仅在所述闪存用户 区启动时允许对所述第一分区和第二分区进行读取、写入和擦除。
12. 根据权利要求11所述的装置，其特征在于，

    在所述零级读保护状态下，所述选项字节允许修改；

    在所述一级读保护状态下，所述选项字节允许修改，若基于所述选项字节从所述一级读保护状态修改为零级读保护状态，则所述闪存用户区中的全部信息将被擦除；

    在所述二级读保护状态下，所述选项字节禁止修改。
13. 根据权利要求9所述的装置，其特征在于，所述MCU芯片设计有私有设备，仅在输出有第一分区使能信号有效时正常工作的私有设备为第一设备，以及，仅在输出有第二分区使能信号有效时正常工作的私有设备为第二设备；所述装置还包括：

    第一输出模块，配置为在处于所述第一分区工作状态，或者，第一分区过渡状态时，输出第一分区使能信号；

    第二输出模块，配置为在处于所述第二分区工作状态，或者，第二分区过渡状态时，输出第二分区使能信号。
14. 一种在其上记录有用于执行权利要求1所述方法的程序的计算机可读记录介质。

Images