一種基于片內(nèi)總線協(xié)議的安全訪問控制方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及總線控制技術(shù),尤其涉及一種基于片內(nèi)總線(AXI, Advancedextensible Interface)協(xié)議的安全訪問控制方法和裝置。
【背景技術(shù)】
[0002]在AXI總線協(xié)議中,主設(shè)備一般通過讀地址通道信號ARPROT或?qū)懙刂吠ǖ佬盘朅WPR0T,指示自身發(fā)出的讀請求或?qū)懻埱蟮陌踩愋?一般讀請求或?qū)懻埱蠓譃榘踩愋突蚍前踩愋蛢煞N。
[0003]目前,在沒有安全應(yīng)用需求的片上系統(tǒng)中,從設(shè)備通常會忽略接收到的ARPROT或AWPR0T,即,不論來自主設(shè)備的訪問請求是安全類型或是非安全類型,從設(shè)備均會正常的接收所述訪問請求,并根據(jù)所述訪問請求完成讀和/或?qū)懖僮鳎欢谟邪踩珣?yīng)用需求的片上系統(tǒng)中,片上系統(tǒng)為了保護(hù)某些總線地址空間中的數(shù)據(jù),使其不被任何主設(shè)備通過非安全的方式獲取或改寫,就要求主設(shè)備在發(fā)出任何訪問請求時,必須通過AWPR0T/ARPR0T給出有效的安全類型指示,從設(shè)備接收到所述訪問請求后,既要遵循AXI總線協(xié)議,向發(fā)出訪問請求的主設(shè)備返回適當(dāng)響應(yīng),同時,從設(shè)備必須不能忽略主設(shè)備發(fā)出的安全類型指示,要保證安全區(qū)域中的數(shù)據(jù)不被非安全的訪問請求獲取或改寫。
[0004]按照上述要求,在有安全應(yīng)用需求的片上系統(tǒng)中,從設(shè)備必須做到:對于讀操作,如果是合法的訪問請求,則正常向主設(shè)備返回讀數(shù)據(jù),如果是非法的訪問請求,則向主設(shè)備返回全O的數(shù)據(jù);對于寫操作,如果是合法的訪問請求,則正常接收寫數(shù)據(jù),并更新目標(biāo)地址空間,否則若是非法的訪問請求,則要正常接收來自主設(shè)備的寫數(shù)據(jù),但不能用寫數(shù)據(jù)更新目標(biāo)地址空間。但是,由于一個片上系統(tǒng)中通常有大量的從設(shè)備,這樣,對于有安全應(yīng)用需求的片上系統(tǒng),每個從設(shè)備都必須具備判斷來自主設(shè)備的訪問請求是否合法的功能。
[0005]另外,如果將已經(jīng)設(shè)計好的、沒有安全應(yīng)用需求的片上系統(tǒng)中的從設(shè)備應(yīng)用到具有安全應(yīng)用需求的片上系統(tǒng)中,那么必須對從設(shè)備做必要的修改,使從設(shè)備能對主設(shè)備發(fā)出的訪問請求的安全類型進(jìn)行檢查,保證安全區(qū)域中的數(shù)據(jù)不會被不合理的獲取或改寫,并向主設(shè)備返回適當(dāng)?shù)捻憫?yīng)。而在片上系統(tǒng)中,通常存在數(shù)量多且種類不同的從設(shè)備,這樣一個一個修改起來,將會很繁瑣,也容易出錯。
【發(fā)明內(nèi)容】
[0006]有鑒于此,本發(fā)明實施例期望提供一種基于AXI總線協(xié)議的安全訪問控制方法和裝置,能夠?qū)χ髟O(shè)備發(fā)出的訪問請求進(jìn)行過濾,簡化從設(shè)備的工作內(nèi)容。
[0007]本發(fā)明的技術(shù)方案是這樣實現(xiàn)的:
[0008]本發(fā)明實施例提供的一種基于片內(nèi)總線AXI協(xié)議的安全訪問控制方法,所述方法包括:
[0009]將總線地址空間劃分為一個以上區(qū)域,確定每個區(qū)域的安全屬性;判斷主設(shè)備發(fā)出的對目標(biāo)區(qū)域的訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配,匹配時,將所述訪問請求發(fā)送給目標(biāo)從設(shè)備。
[0010]上述方案中,所述確定每個區(qū)域的安全屬性,包括:
[0011]確定每個區(qū)域是支持安全類型的訪問還是非安全類型的訪問。
[0012]上述方案中,確定每個區(qū)域的安全屬性之后,所述方法還包括:
[0013]確定每個區(qū)域的大小,以及確定各個區(qū)域接收到安全類型與所述區(qū)域的安全屬性不匹配的訪問請求時是否需要發(fā)出中斷、是否記錄所述訪問請求的地址和ID。
[0014]上述方案中,所述判斷主設(shè)備發(fā)出的對目標(biāo)區(qū)域的訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配,包括:
[0015]所述目標(biāo)區(qū)域的安全屬性為支持安全類型的訪問,僅當(dāng)主設(shè)備發(fā)出的訪問請求為安全類型的訪問請求時,確定所述訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性相匹配;當(dāng)主設(shè)備發(fā)出的訪問請求為非安全類型的訪問請求時,確定所述訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性不匹配;
[0016]所述目標(biāo)區(qū)域的安全屬性為支持非安全類型的訪問,主設(shè)備發(fā)出的訪問請求為安全類型或者非安全類型時,均確定所述訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性相匹配。
[0017]上述方案中,當(dāng)主設(shè)備發(fā)出的對目標(biāo)區(qū)域的訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性不匹配時,產(chǎn)生錯誤響應(yīng)信息,并發(fā)送給主設(shè)備,不將所述訪問請求發(fā)送給目標(biāo)從設(shè)備。
[0018]本發(fā)明實施例提供的一種基于AXI總線協(xié)議的安全訪問控制裝置,所述裝置包括:區(qū)域劃分模塊、匹配模塊和信息轉(zhuǎn)發(fā)模塊;其中,
[0019]所述區(qū)域劃分模塊,用于將總線地址空間劃分為一個以上區(qū)域,并確定每個區(qū)域的安全屬性;
[0020]所述匹配模塊,用于判斷主設(shè)備發(fā)出的對目標(biāo)區(qū)域的訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配,匹配時觸發(fā)信息轉(zhuǎn)發(fā)模塊;
[0021]所述信息轉(zhuǎn)發(fā)模塊,用于被匹配模塊觸發(fā)時,將所述訪問請求發(fā)送給目標(biāo)從設(shè)備。
[0022]上述裝置中,所述確定每個區(qū)域的安全屬性,包括:
[0023]確定每個區(qū)域是支持安全類型的訪問還是非安全類型的訪問。
[0024]上述裝置中,所述區(qū)域劃分模塊還用于確定每個區(qū)域的大小,以及確定各個區(qū)域接收到安全類型與所述區(qū)域的安全屬性不匹配的訪問請求時是否需要發(fā)出中斷、是否記錄所述訪問請求的地址和ID。
[0025]上述裝置中,所述匹配模塊判斷主設(shè)備發(fā)出的對目標(biāo)區(qū)域的訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配,包括:
[0026]所述目標(biāo)區(qū)域的安全屬性為支持安全類型的訪問,當(dāng)主設(shè)備發(fā)出的訪問請求為安全類型的訪問請求時,確定所述訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性相匹配;當(dāng)主設(shè)備發(fā)出的訪問請求為非安全類型的訪問請求時,確定所述訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性不匹配;
[0027]所述目標(biāo)區(qū)域的安全屬性為支持非安全類型的訪問,主設(shè)備發(fā)出的訪問請求為安全類型或者非安全類型時,均確定所述訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性相匹配。
[0028]上述裝置還包括:告警模塊,用于當(dāng)主設(shè)備發(fā)出的對目標(biāo)區(qū)域的訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性不匹配時,產(chǎn)生錯誤響應(yīng)信息,并經(jīng)由信息轉(zhuǎn)發(fā)模塊發(fā)送給主設(shè)備。
[0029]本發(fā)明實施例所提供的基于AXI總線協(xié)議的安全訪問控制方法,將總線地址空間劃分為一個以上區(qū)域,確定每個區(qū)域的安全屬性;判斷主設(shè)備發(fā)出的對目標(biāo)區(qū)域的訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配,匹配時,將所述訪問請求發(fā)送給目標(biāo)從設(shè)備;如此,能夠?qū)χ髟O(shè)備發(fā)出的訪問請求進(jìn)行過濾,只將主設(shè)備發(fā)出的安全類型與目標(biāo)區(qū)域的安全屬性相匹配的訪問請求發(fā)送給從設(shè)備,從而大大簡化了從設(shè)備的工作內(nèi)容;另外,將沒有安全應(yīng)用需求的片上系統(tǒng)中的從設(shè)備應(yīng)用到有安全應(yīng)用需求的片上系統(tǒng)上時,也不需要對原有的從設(shè)備一一進(jìn)行改造。
【附圖說明】
[0030]圖1為本發(fā)明至少一個實施例提供的基于AXI總線協(xié)議的安全訪問控制方法流程圖;
[0031]圖2為本發(fā)明至少一個實施例提供的基于AXI總線協(xié)議的安全訪問控制裝置的基本結(jié)構(gòu)圖。
【具體實施方式】
[0032]本發(fā)明實施例中,將總線地址空間劃分為一個以上區(qū)域,確定每個區(qū)域的安全屬性;判斷主設(shè)備發(fā)出的對目標(biāo)區(qū)域的訪問請求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配,匹配時,將所述訪問請求發(fā)送給目標(biāo)