一種基于片內(nèi)總線協(xié)議的安全訪問控制方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及總線控制技術(shù)�����,尤其涉及一種基于片內(nèi)總線(AXI, Advancedextensible Interface)協(xié)議的安全訪問控制方法和裝置�����。
【背景技術(shù)】
[0002]在AXI總線協(xié)議中,主設(shè)備一般通過讀地址通道信號(hào)ARPROT或?qū)懙刂吠ǖ佬盘?hào)AWPR0T,指示自身發(fā)出的讀請(qǐng)求或?qū)懻?qǐng)求的安全類型,一般讀請(qǐng)求或?qū)懻?qǐng)求分為安全類型或非安全類型兩種��。
[0003]目前����,在沒有安全應(yīng)用需求的片上系統(tǒng)中,從設(shè)備通常會(huì)忽略接收到的ARPROT或AWPR0T��,即�,不論來自主設(shè)備的訪問請(qǐng)求是安全類型或是非安全類型,從設(shè)備均會(huì)正常的接收所述訪問請(qǐng)求����,并根據(jù)所述訪問請(qǐng)求完成讀和/或?qū)懖僮鳎欢谟邪踩珣?yīng)用需求的片上系統(tǒng)中�,片上系統(tǒng)為了保護(hù)某些總線地址空間中的數(shù)據(jù),使其不被任何主設(shè)備通過非安全的方式獲取或改寫�,就要求主設(shè)備在發(fā)出任何訪問請(qǐng)求時(shí),必須通過AWPR0T/ARPR0T給出有效的安全類型指示���,從設(shè)備接收到所述訪問請(qǐng)求后,既要遵循AXI總線協(xié)議����,向發(fā)出訪問請(qǐng)求的主設(shè)備返回適當(dāng)響應(yīng)�����,同時(shí)��,從設(shè)備必須不能忽略主設(shè)備發(fā)出的安全類型指示�,要保證安全區(qū)域中的數(shù)據(jù)不被非安全的訪問請(qǐng)求獲取或改寫�����。
[0004]按照上述要求�,在有安全應(yīng)用需求的片上系統(tǒng)中,從設(shè)備必須做到:對(duì)于讀操作����,如果是合法的訪問請(qǐng)求,則正常向主設(shè)備返回讀數(shù)據(jù)��,如果是非法的訪問請(qǐng)求��,則向主設(shè)備返回全O的數(shù)據(jù)��;對(duì)于寫操作,如果是合法的訪問請(qǐng)求��,則正常接收寫數(shù)據(jù)����,并更新目標(biāo)地址空間,否則若是非法的訪問請(qǐng)求�,則要正常接收來自主設(shè)備的寫數(shù)據(jù),但不能用寫數(shù)據(jù)更新目標(biāo)地址空間���。但是����,由于一個(gè)片上系統(tǒng)中通常有大量的從設(shè)備�����,這樣�����,對(duì)于有安全應(yīng)用需求的片上系統(tǒng)��,每個(gè)從設(shè)備都必須具備判斷來自主設(shè)備的訪問請(qǐng)求是否合法的功能��。
[0005]另外,如果將已經(jīng)設(shè)計(jì)好的�、沒有安全應(yīng)用需求的片上系統(tǒng)中的從設(shè)備應(yīng)用到具有安全應(yīng)用需求的片上系統(tǒng)中��,那么必須對(duì)從設(shè)備做必要的修改�,使從設(shè)備能對(duì)主設(shè)備發(fā)出的訪問請(qǐng)求的安全類型進(jìn)行檢查,保證安全區(qū)域中的數(shù)據(jù)不會(huì)被不合理的獲取或改寫�����,并向主設(shè)備返回適當(dāng)?shù)捻憫?yīng)����。而在片上系統(tǒng)中,通常存在數(shù)量多且種類不同的從設(shè)備�,這樣一個(gè)一個(gè)修改起來,將會(huì)很繁瑣��,也容易出錯(cuò)��。
【發(fā)明內(nèi)容】
[0006]有鑒于此����,本發(fā)明實(shí)施例期望提供一種基于AXI總線協(xié)議的安全訪問控制方法和裝置,能夠?qū)χ髟O(shè)備發(fā)出的訪問請(qǐng)求進(jìn)行過濾�����,簡(jiǎn)化從設(shè)備的工作內(nèi)容。
[0007]本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0008]本發(fā)明實(shí)施例提供的一種基于片內(nèi)總線AXI協(xié)議的安全訪問控制方法��,所述方法包括:
[0009]將總線地址空間劃分為一個(gè)以上區(qū)域�,確定每個(gè)區(qū)域的安全屬性;判斷主設(shè)備發(fā)出的對(duì)目標(biāo)區(qū)域的訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配��,匹配時(shí)�����,將所述訪問請(qǐng)求發(fā)送給目標(biāo)從設(shè)備��。
[0010]上述方案中�����,所述確定每個(gè)區(qū)域的安全屬性��,包括:
[0011]確定每個(gè)區(qū)域是支持安全類型的訪問還是非安全類型的訪問���。
[0012]上述方案中���,確定每個(gè)區(qū)域的安全屬性之后�����,所述方法還包括:
[0013]確定每個(gè)區(qū)域的大小����,以及確定各個(gè)區(qū)域接收到安全類型與所述區(qū)域的安全屬性不匹配的訪問請(qǐng)求時(shí)是否需要發(fā)出中斷�、是否記錄所述訪問請(qǐng)求的地址和ID�。
[0014]上述方案中,所述判斷主設(shè)備發(fā)出的對(duì)目標(biāo)區(qū)域的訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配�����,包括:
[0015]所述目標(biāo)區(qū)域的安全屬性為支持安全類型的訪問��,僅當(dāng)主設(shè)備發(fā)出的訪問請(qǐng)求為安全類型的訪問請(qǐng)求時(shí)�,確定所述訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性相匹配;當(dāng)主設(shè)備發(fā)出的訪問請(qǐng)求為非安全類型的訪問請(qǐng)求時(shí)��,確定所述訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性不匹配�;
[0016]所述目標(biāo)區(qū)域的安全屬性為支持非安全類型的訪問,主設(shè)備發(fā)出的訪問請(qǐng)求為安全類型或者非安全類型時(shí)�����,均確定所述訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性相匹配。
[0017]上述方案中�����,當(dāng)主設(shè)備發(fā)出的對(duì)目標(biāo)區(qū)域的訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性不匹配時(shí)��,產(chǎn)生錯(cuò)誤響應(yīng)信息��,并發(fā)送給主設(shè)備�����,不將所述訪問請(qǐng)求發(fā)送給目標(biāo)從設(shè)備�����。
[0018]本發(fā)明實(shí)施例提供的一種基于AXI總線協(xié)議的安全訪問控制裝置��,所述裝置包括:區(qū)域劃分模塊��、匹配模塊和信息轉(zhuǎn)發(fā)模塊����;其中,
[0019]所述區(qū)域劃分模塊�,用于將總線地址空間劃分為一個(gè)以上區(qū)域��,并確定每個(gè)區(qū)域的安全屬性�����;
[0020]所述匹配模塊���,用于判斷主設(shè)備發(fā)出的對(duì)目標(biāo)區(qū)域的訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配,匹配時(shí)觸發(fā)信息轉(zhuǎn)發(fā)模塊���;
[0021]所述信息轉(zhuǎn)發(fā)模塊,用于被匹配模塊觸發(fā)時(shí)����,將所述訪問請(qǐng)求發(fā)送給目標(biāo)從設(shè)備。
[0022]上述裝置中�����,所述確定每個(gè)區(qū)域的安全屬性����,包括:
[0023]確定每個(gè)區(qū)域是支持安全類型的訪問還是非安全類型的訪問。
[0024]上述裝置中�����,所述區(qū)域劃分模塊還用于確定每個(gè)區(qū)域的大小,以及確定各個(gè)區(qū)域接收到安全類型與所述區(qū)域的安全屬性不匹配的訪問請(qǐng)求時(shí)是否需要發(fā)出中斷�����、是否記錄所述訪問請(qǐng)求的地址和ID���。
[0025]上述裝置中����,所述匹配模塊判斷主設(shè)備發(fā)出的對(duì)目標(biāo)區(qū)域的訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配�����,包括:
[0026]所述目標(biāo)區(qū)域的安全屬性為支持安全類型的訪問���,當(dāng)主設(shè)備發(fā)出的訪問請(qǐng)求為安全類型的訪問請(qǐng)求時(shí)�,確定所述訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性相匹配��;當(dāng)主設(shè)備發(fā)出的訪問請(qǐng)求為非安全類型的訪問請(qǐng)求時(shí)��,確定所述訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性不匹配;
[0027]所述目標(biāo)區(qū)域的安全屬性為支持非安全類型的訪問�,主設(shè)備發(fā)出的訪問請(qǐng)求為安全類型或者非安全類型時(shí),均確定所述訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性相匹配��。
[0028]上述裝置還包括:告警模塊�,用于當(dāng)主設(shè)備發(fā)出的對(duì)目標(biāo)區(qū)域的訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性不匹配時(shí),產(chǎn)生錯(cuò)誤響應(yīng)信息��,并經(jīng)由信息轉(zhuǎn)發(fā)模塊發(fā)送給主設(shè)備����。
[0029]本發(fā)明實(shí)施例所提供的基于AXI總線協(xié)議的安全訪問控制方法,將總線地址空間劃分為一個(gè)以上區(qū)域�����,確定每個(gè)區(qū)域的安全屬性���;判斷主設(shè)備發(fā)出的對(duì)目標(biāo)區(qū)域的訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配,匹配時(shí)�����,將所述訪問請(qǐng)求發(fā)送給目標(biāo)從設(shè)備��;如此����,能夠?qū)χ髟O(shè)備發(fā)出的訪問請(qǐng)求進(jìn)行過濾����,只將主設(shè)備發(fā)出的安全類型與目標(biāo)區(qū)域的安全屬性相匹配的訪問請(qǐng)求發(fā)送給從設(shè)備���,從而大大簡(jiǎn)化了從設(shè)備的工作內(nèi)容��;另外����,將沒有安全應(yīng)用需求的片上系統(tǒng)中的從設(shè)備應(yīng)用到有安全應(yīng)用需求的片上系統(tǒng)上時(shí)���,也不需要對(duì)原有的從設(shè)備一一進(jìn)行改造�����。
【附圖說明】
[0030]圖1為本發(fā)明至少一個(gè)實(shí)施例提供的基于AXI總線協(xié)議的安全訪問控制方法流程圖�;
[0031]圖2為本發(fā)明至少一個(gè)實(shí)施例提供的基于AXI總線協(xié)議的安全訪問控制裝置的基本結(jié)構(gòu)圖����。
【具體實(shí)施方式】
[0032]本發(fā)明實(shí)施例中,將總線地址空間劃分為一個(gè)以上區(qū)域,確定每個(gè)區(qū)域的安全屬性�;判斷主設(shè)備發(fā)出的對(duì)目標(biāo)區(qū)域的訪問請(qǐng)求的安全類型與目標(biāo)區(qū)域的安全屬性是否匹配,匹配時(shí)���,將所述訪問請(qǐng)求發(fā)送給目標(biāo)