实施例和实现方式涉及用于隔离属于片上系统的资源的技术,并且出于安全性目的或可靠性目的被提供。
背景技术:
1、更具体地,在可靠性方面,例如,为了助于确保片上系统的可信度,或者在安全性方面,例如,为了助于保护秘密信息,一个或多个主(即,主要)设备对特定从(即,辅助)资源的访问可能需要被限制。这样的限制被本领域技术人员称为“隔离”。
2、例如,公布fr 3103586 a1(2021年5月28日)描述了用于管理这些访问限制的技术,特别是当该管理是动态的时,即,当它取决于片上系统的不同应用时,该技术易于设置和实现。
3、具体地,支持安全性(security-enabled)的片上系统常规地包括安全环境和非安全环境,安全环境和非安全环境中的每个环境可以具有特权或非特权状态。此外,该类型的片上系统的资源(例如,主设备和从设备)可以经由划分(compartmentalization)被隔离。这三个“安全性-特权-划分”维度允许特定可靠性或安全性资源被隔离。为了访问资源,根据与针对每个资源的“安全性-特权-划分”三者相对应的“访问权限”来定义规则。
4、如果访问权限规则被违反,则重要的是这被通知以记录事件并采取一切必要措施。对非法访问(例如,诸如在公布fr 3103586 a1(2021年5月28日)中被描述的非法访问)的检测和处理允许这样的违反被检测。
5、然而,在常规隔离技术中,非法访问事件的管理由中央处理单元集中在“可信域”(例如,处于所谓的“可信”中央微处理器的特权状态的安全环境)中。
6、根据“非对称”多微处理器架构中的常规示例(即,其中微处理器之一被认为就安全性而言在等级上高于其他微处理器并且被标记为“可信”),非法访问事件在可信微处理器和其他微处理器之间的传送通常是复杂的,并且由于功能延迟而减慢。
7、根据在“对称”多微处理器架构中的另一常规示例(即,其中微处理器在它们之间没有特定的等级体系并且没有一个微处理器被标记为“可信”),非法访问事件的传送可能是不可能的,因为目标通常是提供完全独立的微处理器域。
8、因此,需要提供用于将访问权限违反事件分发到受这些事件影响的相应微处理器和操作系统的解决方案。
技术实现思路
1、实施例和实现方式提出了使用资源隔离系统来生成新的信号,以标识访问权限的哪些属性(安全性、特权、或划分属性)与涉及资源访问权限的违反事件有关。
2、实施例和实现方式提出了使用资源隔离系统来向一个或多个微处理器生成新的中断,以通知操作系统(os)关注访问权限违反事件的存在和属性。
3、根据一个方面,本发明提出了一种片上系统,该片上系统包括:至少一个微处理器域,其包括微处理器和至少一个资源;以及资源隔离系统,其包括用于每个资源的滤波电路并且被配置为检测由到达资源的事务对资源的安全性、特权和可选的划分访问权限违反,滤波电路被配置为在事务违反对资源的至少一个访问权限的情况下,生成表示被违反的对资源的访问权限的第一错误信号以及表示该事务的至少一个访问权限的第二错误信号。
4、更具体地,应注意,本文所限定的方面可以在不必提供划分访问权限的情况下应用。
5、例如,第二错误信号有利地表示除了被违反的对资源的访问权限之外的至少一个访问权限。例如,第二错误信号有利地表示事务的至少一个安全性访问权限。例如,第二错误信号有利地表示事务的安全性和划分访问权限。
6、安全性和特权访问权限是本领域技术人员所熟知的概念。例如,对于处于安全模式的微处理器,操作系统可以与在非安全模式下无法访问的资源一起被使用。在特权模式下,微处理器可以具有访问在非特权模式下将不具有的资源的特权。
7、划分访问权限例如允许至少一个主设备被分配给资源(从)中的至少一些资源,或者允许资源中的至少一些资源被分配给至少一个主设备。当片上系统包括多个微处理器域以及同一域中的多个主设备(诸如例如微处理器和直接存储器访问(dma)电路)时,划分访问权限尤其适用。
8、因此,第一错误信号和第二错误信号,与由访问权限所限定的隔离规则的知识组合,能够有利地被用于推断访问权限违反事件是否在安全环境与非安全环境之间发生,或者在非安全环境中的特权状态和非特权状态之间发生,或者在安全环境中的特权状态和非特权状态之间发生,以及被用于标识导致事件的事务的来源。
9、根据一个实施例,资源隔离系统还包括非法访问控制器,非法访问控制器被配置为基于第一错误信号和第二错误信号,在由微处理器可读的状态寄存器中,将对资源的安全性访问权限的违反、对安全环境的资源的特权访问权限的违反、以及对非安全环境的资源的特权访问权限的违反进行编码。
10、根据一个实施例,非法访问控制器被配置为根据检测到的访问权限违反情况,将第一中断传送到微处理器的非安全环境,或者将第二中断传送到安全的微处理器环境。
11、根据一个实施例,非法访问控制器被配置为在对非安全环境的资源的访问权限被违反时生成第一中断,并且在对安全环境的资源的访问权限被违反时生成第二中断。
12、根据一个实施例,滤波电路被配置为在事务违反了对资源的安全性或特权访问权限时,生成表示该事务的安全性访问权限的第二错误信号。
13、根据一个实施例,片上系统包括第一微处理器域和至少一个第二微处理器域,并且第一微处理器域的资源和至少一个第二微处理器域的资源具有相应的划分访问权限。
14、根据一个实施例,第一微处理器域被标记为可信,并且非法访问控制器被配置为在由第一可信域的微处理器可读的状态寄存器中,将从任何域发起的事务对任何域的资源的访问权限的违反的每个情况进行编码。
15、根据一个实施例,非法访问控制器被配置为将第一中断和第二中断传送到第一可信域的微处理器。
16、根据一个实施例,非法访问控制器被配置为在专用于每个域的、由相应域的微处理器可读的状态寄存器中,将从相应域发起的事务对任何域的资源的访问权限的违反的每个情况进行编码。
17、根据一个实施例,非法访问控制器被配置为将第一中断和第二中断传送到相应域的微处理器。
18、根据一个实施例,第一微处理器域被标记为可信,并且非法访问控制器被配置为在检测到划分访问权限违反时,将第三中断传送到第一可信域的微处理器。
19、根据一个实施例,滤波电路被配置为在事务违反了对资源的安全性或特权访问权限时,生成第二错误信号,该第二错误信号也表示该事务的划分访问权限。
20、根据另一方面,本发明提出了一种用于管理片上系统的资源隔离的方法,其中:片上系统包括至少一个微处理器域,至少一个微处理器域包括微处理器和至少一个资源;并且该方法包括:针对每个资源,检测由到达资源的事务对资源的安全性、特权和可选的划分访问权限违反,以及在事务违反了对资源的至少一个访问权限的情况下,生成表示被违反的对资源的访问权限的第一错误信号、以及表示该事务的至少一个访问权限的第二错误信号。
21、根据一个实现方式,该方法还包括:基于第一错误信号和第二错误信号,在由微处理器可读的状态寄存器中,将对资源的安全性访问权限的违反、对安全环境的资源的特权访问权限的违反、以及对非安全环境的资源的特权访问权限的违反进行编码。
22、根据一个实现方式,该方法还包括:根据检测到的访问权限违反情况,将第一中断传送到微处理器的非安全环境,或者将第二中断传送到微处理器的安全环境。
23、根据一个实现方式,第一中断在违反了对非安全环境的资源的访问权限时被生成,并且第二中断在违反了对安全环境的资源的访问权限时被生成。
24、根据一个实现方式,当事务违反了对资源的安全性或特权访问权限时,第二错误信号表示该事务的安全性访问权限。
25、根据一个实现方式,片上系统包括第一微处理器域和至少一个第二微处理器域,并且第一微处理器域的资源和至少一个第二微处理器域的资源具有相应的划分访问权限。
26、根据一个实现方式,在第一微处理器域被标记为可信的情况下,针对由从任何域发起的事务对任何域的资源的访问权限的违反的每个情况,在由第一可信域的微处理器可读的状态寄存器中执行编码。
27、根据一个实现方式,第一中断和第二中断被传送到第一可信域的微处理器。
28、根据一个实现方式,针对由从相应域发起的事务对任何域的资源的访问权限的违反的每个情况,在专用于每个域的、由相应域的微处理器可读的状态寄存器中执行编码。
29、根据一个实现方式,第一中断和第二中断被传送到相应域的微处理器。
30、根据一个实现方式,在第一微处理器域被标记为可信的情况下,该方法还包括:在检测到划分访问权限违反时,将第三中断传送到第一可信域的微处理器。
31、根据一个实现方式,在事务违反了对资源的安全性或特权访问权限时,第二错误信号也表示该事务的划分访问权限。
1.一种片上系统soc,包括:
2.根据权利要求1所述的soc,其中所述资源隔离电路还包括非法访问控制器,所述非法访问控制器被配置为:
3.根据权利要求2所述的soc,其中所述非法访问控制器被配置为:基于所检测到的被违反的访问权限的类型:
4.根据权利要求3所述的soc,其中所述非法访问控制器被配置为:
5.根据权利要求1所述的soc,其中所述滤波电路被配置为:响应于检测到对所述安全性访问权限的违反或者对所述特权访问权限的违反,生成指示与所述事务相对应的安全性访问权限的所述第二错误信号。
6.根据权利要求1所述的soc,其中所述微处理器域是第一微处理器域,所述soc还包括第二微处理器域,其中所述第一微处理器域的资源和所述第二微处理器域的资源中的每个资源都具有相应的划分访问权限。
7.根据权利要求6所述的soc,其中所述第一微处理器域是可信域,其中所述资源隔离电路还包括非法访问控制器,所述非法访问控制器被配置为:针对由从所述第一微处理器域或者所述第二微处理器域中的任一微处理器域发起的事务对所述第一微处理器域或者所述第二微处理器域中的任一微处理器域的资源的访问权限的违反的每个情况,对能够由所述可信域读取的状态寄存器进行编码。
8.根据权利要求7所述的soc,其中所述非法访问控制器被配置为:基于所检测到的被违反的访问权限的类型:
9.根据权利要求6所述的soc,其中所述资源隔离电路还包括非法访问控制器,所述非法访问控制器被配置为:在专用于所述第一微处理器域和所述第二微处理器域中的相应一个微处理器域的状态寄存器中,将由从所述第一微处理器域或者所述第二微处理器域中的相应一个微处理器域发起的事务对所述第一微处理器域或者所述第二微处理器域中的任一微处理器域的辅助资源的访问权限的违反的情况中的每个情况进行编码,所述状态寄存器能够由所述第一微处理器域和所述第二微处理器域中的所述微处理器中的相应一个微处理器读取。
10.根据权利要求6所述的soc,其中所述资源隔离电路还包括非法访问控制器,所述非法访问控制器被配置为:基于所检测到的被违反的访问权限的类型:
11.根据权利要求6所述的soc,其中所述第一微处理器域是可信域,其中所述资源隔离电路还包括非法访问控制器,所述非法访问控制器被配置为:基于检测到对所述划分访问权限的违反,将第三中断信号传送到所述可信域的所述微处理器。
12.根据权利要求1所述的soc,其中所述滤波电路被配置为:响应于检测到由事务针对辅助资源对所述安全性访问权限的违反或者对所述特权访问权限的违反,生成所述第二错误信号,所述第二错误信号指示与所述事务相对应的安全性访问权限以及与所述事务相对应的划分访问权限。
13.一种方法,包括:
14.根据权利要求13所述的方法,还包括:
15.根据权利要求14所述的方法,还包括:
16.根据权利要求15所述的方法,还包括:
17.根据权利要求13所述的方法,还包括:由所述滤波电路,响应于检测到对所述安全性访问权限的违反或者对所述特权访问权限的违反,生成指示与所述事务相对应的安全性访问权限的所述第二错误信号。
18.根据权利要求13所述的方法,其中所述微处理器域是第一微处理器域,所述soc还包括第二微处理器域,其中所述第一微处理器域的资源和所述第二微处理器域的资源中的每个资源都具有相应的划分访问权限。
19.根据权利要求18所述的方法,其中所述第一微处理器域是可信域,其中所述资源隔离电路还包括非法访问控制器,所述非法访问控制器被配置为:针对由从所述第一微处理器域或者所述第二微处理器域中的任一微处理器域发起的事务对所述第一微处理器域或者所述第二微处理器域中的任一微处理器域的资源的访问权限的违反的每个情况,对能够由所述可信域读取的状态寄存器进行编码。
20.一种包括片上系统soc的设备,所述soc包括:
