CN118093503A - 用于管理片上系统的资源的隔离的方法以及对应片上系统 - Google Patents
用于管理片上系统的资源的隔离的方法以及对应片上系统 Download PDFInfo
- Publication number
- CN118093503A CN118093503A CN202311569888.6A CN202311569888A CN118093503A CN 118093503 A CN118093503 A CN 118093503A CN 202311569888 A CN202311569888 A CN 202311569888A CN 118093503 A CN118093503 A CN 118093503A
- Authority
- CN
- China
- Prior art keywords
- resource
- transaction
- auxiliary
- blocking
- notification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 52
- 238000000034 method Methods 0.000 title claims description 32
- 230000000903 blocking effect Effects 0.000 claims abstract description 29
- 230000004044 response Effects 0.000 claims description 20
- 230000006870 function Effects 0.000 description 12
- 230000008901 benefit Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 7
- 230000004913 activation Effects 0.000 description 4
- 230000009849 deactivation Effects 0.000 description 4
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- LHMQDVIHBXWNII-UHFFFAOYSA-N 3-amino-4-methoxy-n-phenylbenzamide Chemical compound C1=C(N)C(OC)=CC=C1C(=O)NC1=CC=CC=C1 LHMQDVIHBXWNII-UHFFFAOYSA-N 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/76—Architectures of general purpose stored program computers
- G06F15/78—Architectures of general purpose stored program computers comprising a single central processing unit
- G06F15/7807—System on chip, i.e. computer system on a single chip; System in package, i.e. computer system on one or more chips in a single package
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/20—Handling requests for interconnection or transfer for access to input/output bus
- G06F13/24—Handling requests for interconnection or transfer for access to input/output bus using interrupt
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种片上系统包括:至少一个主设备;至少一个从资源;包括错误通知通道的互连总线;以及资源隔离系统,该资源隔离系统针对每个资源包括保护电路,该保护电路被配置为根据资源的访问权限以及经由互连总线被寻址到资源的事务的访问权限,阻止或传输被寻址到资源的事务。保护电路能够在对事务进行阻止的情况下,在互连总线的错误通知通道上生成通知信号。
Description
相关申请的交叉引用
本申请要求于2022年11月25日提交的标题为“METHOD FOR MANAGING THERESOURCE ISOLATION IN A SYSTEM-ON-CHIP,AND CORRESPONDING SYSTEM-ON-CHIP”的法国专利申请第2212348号的优先权权益,该法国专利申请通过引用整体并入本文。
技术领域
本发明的实现和实施例涉及集成电路,特别是涉及片上系统,例如微控制器或微处理器,并且更特别地涉及用于隔离属于片上系统的资源的技术。
背景技术
为了保证片上系统的可靠性,资源隔离技术允许限制一个或多个主(即,主要)设备对特定从(即,辅助)资源的访问。当由主设备向从(即,辅助)资源发出的事务不符合既定的访问限制时,我们称为“非法”访问。
例如,公布FR 3103586 A1(2021年5月28日)描述了一种用于管理这些访问限制的技术,该技术易于设置和实现,特别是当这种管理是动态的时,即它取决于片上系统的不同应用。
在常规的资源隔离技术中,通常只有一个“可信域”(其通常负责管理限制和访问权限)通过用于管理非法访问的机制被告知对资源的非法访问。
因此,从已经在起源(origin)处发出事务的设备的角度来看,对非法访问的检测通常是静默的,因为非法写入访问通常被忽略,而非法权限访问通常接收可以作为读取内容被读取的“0”。
这可能会导致调试过程中的困难,因为可以知道哪个资源已经被非法访问,但是不知道通过哪个上下文(即,由哪个主设备或访问权限)。
此外,在一些产品中,可能需要立即停止有缺陷的主设备,这在常规上是不可能立即停止的,因为可信域应当在决定应当做什么之前首先处理错误。
最后,当有缺陷的主设备没有被告知错误时,它可能会重复相同的错误,并且可能例如通过在寄存器中累积不正确的配置破坏系统的稳定。在一些情况下,这种行为可能是不可接受的。
发明内容
因此,需要克服上述问题,特别是提供一种允许以下操作的解决方案:立即通知与非法访问错误相关的主设备,并且标识已经产生了非法访问错误的上下文、以及可能的代码行。
此外,需要能够例如由用户设置非法访问管理解决方案,特别是以便以非法访问的检测被通知的方式配置准确度。
在这方面,实施例和实现建议在非法访问的情况下在片上系统的互连总线的错误通知通道上生成被直接传输到相关主设备的通知信号。
此外,实施例和实现提供了针对每个资源来选择行为,以便决定非法访问应当是静默的还是引起通知信号的生成。
因此,根据一个方面,提供了一种片上系统,该片上系统包括:至少一个主设备;至少一个从资源;包括错误通知通道的互连总线;以及资源隔离系统,该资源隔离系统针对每个资源包括保护电路,该保护电路被配置为根据资源的访问权限以及经由互连总线被寻址到资源的事务的访问权限,阻止或传输被寻址到资源的事务。保护电路能够在对事务进行阻止的情况下,在互连总线的错误通知通道上生成通知信号。
例如,保护电路被配置为将上述通知信号寻址到上述被阻止的事务的起源处的主设备。
例如,互连总线是耦合在主设备与从资源之间的系统,该系统允许在主设备与从资源之间路由事务,例如写入或读取事务。
例如,在互连总线的错误通知通道上被传送的通知信号可以被旨在在被阻止的事务的起源处生成主设备的反应,有利地是立即反应。
主设备的反应可以包括中断正在进行的数据传输,或者通过强制生成数据中止异常来停止正在进行的过程(在非法访问的起源处)。
有利地,主设备的反应可以允许恢复已经引起非法访问的地址。特别地,数据中止异常的强制生成确实可以允许标识已经生成数据中止异常的地址。例如,通常可以为相应访问权限级别(例如,非安全和安全)提供数据中止管理过程。
保护电路对互连总线上的现有错误通知通道的使用(或重复使用)也可以避免专用于资源隔离系统的连接线的倍增。特别地,应当注意,能够使用总线的上述错误通知通道的是保护电路,而不是资源。确实,实际上是在对事务进行阻止的情况下,并且因此针对完全忽略该事务的存在的资源,保护电路能够在总线的错误通知通道上生成通知信号。因此,除了资源之外,总线的错误通知通道例如还被保护电路“过载”,因为保护电路能够独立于资源来使用该通道,而该通道通常可以被旨在由资源独立于保护电路来使用。
根据一个实施例,资源隔离系统针对每个资源在一组配置寄存器中包括用于包含通知的设置数据的位置,每个资源的保护电路被配置为根据针对资源的通知的设置数据,在对被寻址到该资源的事务进行阻止的情况下生成或不生成上述通知信号。
因此,通过总线的错误通知通道上的通知信号获得的检测非法访问的附加准确度可以根据资源隔离方面的需要被激活或停用,例如,由用户选择。事实上,针对每个资源并且根据产品的使用,可能希望受益于良好的控制和高安全性,并因此在对事务进行阻止的情况下激活通知信号;或者相反地,有利于简单性或性能并且停用该信号以便不使用总线的错误通知通道或中断主设备。
根据一个实施例,片上系统包括可信主设备,并且资源隔离系统包括中央管理单元,该中央管理单元能够在上述至少一个保护电路中的任何一个保护电路对事务进行阻止的情况下生成被寻址到可信主设备的中断信号。
事实上,在互连总线的错误通知通道上使用通知信号与使用被传输到可信主设备的中断的非法访问的中央管理相结合是兼容的。
根据一个实施例,资源隔离系统针对每个资源在一组配置寄存器中包括被旨在包含中断的设置数据的位置,中央管理单元被配置为根据针对资源的中断的设置数据,在对被寻址到资源的事务进行阻止的情况下生成或不生成上述中断信号。
因此,在此,中断信号可以根据资源隔离方面的需要被激活或停用,例如,由用户选择。
并且,结合通知的设置数据,片上系统在检测非法访问方面可以包括四个准确度级别,这四个准确度级别可以例如由用户根据资源隔离方面的需要来选择。
根据另一方面,提供了一种用于管理片上系统的资源隔离的方法,其中:片上系统包括至少一个主设备、至少一个从资源、以及包括错误通知通道的交互总线;并且该方法针对每个资源包括保护的实现,该保护的实现包括:根据资源的访问权限以及经由互连总线被寻址到资源的事务的访问权限,对被寻址到资源的事务进行阻止或传输,以及在对事务进行阻止的情况下在互连总线的错误通知通道上生成通知信号。
根据一种实现方式,上述通知信号被寻址到上述被阻止的事务的起源处的主设备。
根据一种实现,针对每个资源,通知的设置数据被包含在一组配置寄存器中,并且根据针对每个资源的通知的设置数据,在对被寻址到该资源的事务进行阻止的情况下,上述通知信号被生成或不被生成。
根据一种实现,片上系统包括可信主设备,并且该方法包括:在对被寻址到上述至少一个资源中的任何一个资源的事务进行阻止的情况下,生成被寻址到可信主设备的中断信号。
根据一种实现,针对每个资源,中断的设置数据被包含在一组配置寄存器中,并且根据针对每个资源的中断的设置数据,在对被寻址到该资源的事务进行阻止的情况下,上述中断信号被生成或不被生成。
附图说明
通过检查非限制性的实施例和实现的详细描述,并且从附图中,本发明的其他优点和特征将变得显而易见,在附图中:
图1是片上系统的实施例的框图;
图2是实施例方法的流程图;
图3是配置寄存器的示例;以及
图4是示出在非法访问通知中准确度的选择的可能性的表。
具体实施方式
图1示意性地示出了片上系统SOC(诸如微控制器或微处理器)的实施例,该SOC包括能够经由互连总线BUS通信的至少一个主(即,主要)设备MSTR和至少一个从(即,辅助)资源RES。
例如,主设备TDMSTR、MSTR可以包括:处理器或中央处理单元“CPU”(表示“中央处理单元”),适于实现软件功能;或者其他主设备,诸如用于直接存储器访问“DMA”(表示“直接存储器访问”)的部件。
在该示例中,片上系统SOC还包括所谓的“可信”主设备TDMSTR,该“可信”主设备TDMSTR特别是负责定义隔离规则的访问权限的配置和管理,该访问权限由下文更详细描述的资源隔离系统RIF建立。
例如,资源可以包括I2C型(表示“内部集成电路”)或SPI型(表示“串行外围设备接口”)、UART型(表示“通用异步收发器”)、实时时钟“RTC”型(表示实时时钟)外围设备、或者是存储器类型,诸如片上系统的内部存储器或用于片上系统外部的存储器的接口。
互连总线BUS被耦合在主设备与从资源之间,并且允许在主设备MSTR与从资源RES之间在可能具有专用功能的通道上路由事务(例如,写入或读取事务)以及更一般的信息。
例如,互连总线可以是“AXI”型(表示“高级可扩展接口”)或“AHB”型(表示“高级高性能总线”),总线是“AMBA”型(表示“高级微控制器总线架构”)微控制器总线类型。
特别地,互连总线BUS包括例如被旨在在接收到读取或写入事务之后传送从资源的响应信息的错误通知通道RREP。例如,响应信息可以在2个比特上被编码,以便实现4个不同状态的传送。例如,在事务已经被成功接收但是未被从资源理解的情况下,可能的信息RREP中的一个信息RREP可以被旨在通过从资源来传送错误通知。
片上系统SOC包括资源隔离系统RIF,该RIF被配置为限制一个或多个主设备对特定从资源的访问,特别是根据在这方面被定义的访问权限。
例如,在可以定义资源隔离规则的访问权限之中,可以提供对有利环境和非有利环境、以及可能累积的安全环境和非安全环境、以及可能的划分(compartmentalization)标识符的定义。
环境以及安全/非安全以及有利/非有利访问权限的概念对于本领域技术人员来说是众所周知的,并且在公布FR 3103586 A1(2021年5月28日)中特别教导了划分标识符的概念。当事务的访问权限与收件人资源的访问权限不一致时,我们称为“非法”访问。
例如,片上系统的资源隔离系统RIF可以被并入在公布FR 3103586 A1(2021年5月28日)中描述的资源隔离技术中。特别地,资源隔离系统RIF针对每个资源RES包括保护电路RISUP(有时称为“防火墙”),该RISUP被配置为根据资源的上述访问权限和事务的上述访问权限,阻止或传输经由互连总线BUS被寻址到资源RES的事务。
此外,根据本说明书的一般特征,保护电路RISUP可以在对事务进行阻止的情况下,在互连总线BUS的错误通知通道RREP上生成通知信号ILAC_BUS。
在这方面,参考图2。图2示出了由保护电路RISUP在参考图1描述的片上系统SOC的资源隔离管理RIF中实现的方法200。
因此,每个资源的保护200的实现包括:在接收到起源于互连总线BUS的事务210时,关于资源的访问权限,对该事务的访问权限进行验证220。
根据验证220,事务210可以被传输230到下游的资源RES,或者被上游的保护电路RISUP阻止240。并且,如果事务被阻止240,则由保护电路RISUP在互连总线BUS的错误通知通道RREP上生成250通知信号ILAC_BUS。
再次参考图1。有利地,通过总线的路由机制,通知信号ILAC_BUS被寻址到上述被阻止的事务的起源处的主设备MSTR。
例如,在这方面,通知信号可以包括上述信息,该信息被旨在在错误通知通道RREP上传送从资源的错误通知,其中事务已经被成功接收。
应当注意,在本示例中,总线的错误通知通道RREP通常被旨在由资源RES使用(如虚线中的箭头所示),而不是由保护电路RISUP自身使用。然而,在这种情况下,实际上是保护电路RISUP自身在总线BUS的错误通知通道上生成通知信号ILAC_BUS。确实,在对事务进行阻止240的情况下,资源RES没有被告知该事务的存在,并且因此不能生成通知信号ILAC_BUS。
因此,总线RREP的错误通知通道被称为“过载”,因为它被连接并且可以由两个不同的电路独立地使用,由保护电路RISUP和资源RES两者。特别地,保护电路RISUP对互连总线BUS的错误通知通道RREP的使用或“重复使用”允许避免引入用于资源隔离系统RIF的附加连接线。
此外,通知信号ILAC_BUS可以被旨在在被阻止的事务的起源处生成主设备MSTR的反应,有利地是立即反应。
主设备MSTR的反应可以包括通过强制生成数据中止异常来中断正在进行的数据传输或者停止正在进行的过程(在非法访问的起源处)。有利地,数据中止异常的强制生成允许标识已经生成它的地址,从而允许标识已经发生非法访问的地址。例如,通常可以为相应访问权限级别(例如,非安全和安全)提供数据中止管理过程。
此外,资源隔离系统RIF可以被配置为在片上系统SOC的不同外围设备(至少一个外围设备)的保护电路RISUP中的任何一个保护电路RISUP阻止事务的情况下,伴随地生成被寻址到可信主设备TRMSTR的中断信号ILAC_INTRPT。
例如,中断信号ILAC_INTRPT可以通过互连总线BUS的路由机制被传送到可信主设备TDMSTR。
在这方面,资源隔离系统RIF可以例如在资源隔离系统的控制设备RIFSC内包括用于管理非法访问的中央单元IAC。
在这种情况下,资源RES的保护电路RISUP被配置为生成非法访问(或者对对应事务进行阻止)的检测信号ILAC,并且将检测信号传送到用于管理非法访问的中央单元IAC。
进而,用于管理非法访问的中央单元IAC被配置为在接收到由保护电路RISUP中的任何一个保护电路传送的非法访问检测信号ILAC的情况下,生成被寻址到可信主设备TDMSTR的中断ILAC_INTRPT。
此外,资源隔离系统RIF可以例如在资源隔离系统的控制设备RIFSC内有利地包括配置寄存器CFGREG,该CFGREG能够包含资源隔离系统RIF的元件(特别是保护电路RISUP和中央管理单元IAC)的配置信息CONFIG。
在这方面,参考图3。
图3示出了分别专用于片上系统SOC的资源“RESy”的配置寄存器CFGREG_RESy的示例。
配置寄存器CFGREG_RESy包含32个位置“0”至“31”,这些位置用于针对相应资源RES包含与资源的隔离相关的设置数据。
例如并且任意地,位置“0”可以允许定义资源的安全或非安全访问权限SEC,而位置“1”可以允许定义资源的有利或非有利访问权限PRIV。
此外,例如,位置“4”到“6”可以允许包含资源的划分标识符。
在资源隔离系统RIF的有利实施例中,配置寄存器CFGREG_RESy包含位置“8”,位置“8”被旨在包含通知的设置数据ILAC_BUS_CFG。
通知的设置数据ILAC_BUS_CFG允许经由互连总线BUS的错误通知通道RREP来激活或停用(例如,当其被分别存储在值“1”或“0”时)非法访问通知ILAC_BUS功能。
例如,用户可以存储通知的设置数据ILAC_BUS_CFG的值,以便选择他希望从中受益的非法访问通知的准确度,而且选择性地针对片上系统SOC的每个资源RES。
例如,通知的设置数据ILAC_BUS_CFG的值也可以通过访问权限设置过程被存储,该访问权限设置过程通常由可信主设备TDMSTR在片上系统SOC启动时执行。
因此,每个资源RES的保护电路RISUP的操作根据被包含在配置寄存器的相应位置“8”中的设置数据ILAC_BUS_CFG被配置。
在这方面,保护电路RISUP被配置为:如果针对资源,通知的设置数据ILAC_BUS_CFG被激活(例如,在“1”),则在对被寻址到该资源的事务进行阻止的情况下生成通知信号ILAC_BUS,并且如果针对该资源,通知的设置数据ILAC_BUS_CFG被停用(例如,在“0”),则不生成通知信号ILAC_BUS。
此外,在如前所述,资源隔离系统RIF包括用于管理非法访问的中央单元IAC的情况下,配置寄存器CFGREG_RESy可以有利地包含位置“9”,位置“9”被旨在包含中断ILAC_INTRPT_CFG的设置数据。
中断ILAC_INTRPT_CFG的设置数据允许激活或停用(例如,当其被分别存储在值“1”或“0”时)用于管理非法访问的中央单元IAC的功能,在非法访问检测并且分别针对资源RES中的每个资源的情况下,IAC生成对可信主设备TDMSTR的中断ILAC_INTRPT。
例如,中断ILAC_INTRPT_CFG的设置数据的值可以由用户存储,在此再次为了选择他希望从中受益的非法访问通知的准确度,并且进一步选择性地针对片上系统SOC的每个资源RES。
因此,针对每个资源RES,根据被包含在配置寄存器的对应位置“9”中的设置数据ILAC_INTRPT_CFG,专门地配置用于管理非法访问的中央单元IAC的操作。
在这方面,用于管理非法访问的中央单元IAC针对每个资源被配置,以便:如果针对该资源的中断ILAC_INTRPT_CFG的设置数据被激活(例如,在“1”),则在对被寻址到该资源的事务进行阻止的情况下生成中断信号ILAC_INTRPT;以及如果针对该资源的中断ILAC_INTRPT_CFG的设置数据被停用(例如,在“0”),则不生成中断信号ILAC_INTRPT。
图4示出了一个表,该表示出了先前参考图1至图3描述的片上系统SOC的实施例的非法访问通知中的准确度的选择的可能性。
针对每个资源,通过配置通知的设置数据ILAC_BUS_CFG和中断ILAC_INTRPT_CFG的设置数据,分别定义非法访问通知的不同准确度。
非法访问通知的四个准确度是根据递增顺序由数字1、2、3、4指定的。
第一准确度“1”对应于在非法访问的情况下的静默,并且由可信主设备TDMSTR的中断功能的停用“ILAC_INTRPT_CFG=0”和故障主设备MSTR(即,已经在非法访问的起源处生成了事务的主设备)的通知功能的停用“ILAC_BUS_CFG=0”来定义。
第二准确度“2”对应于仅向可信主设备TDMSTR发出的通知,并且由可信主设备TDMSTR的中断功能的激活“ILAC_INTRPT_CFG=1”和故障主设备MSTR的通知功能的停用“ILAC_BUS_CFG=0”来定义。
第三准确度“3”对应于仅向故障主设备MSTR发出的通知,并且由可信主设备TDMSTR的中断功能的停用“ILAC_INTRPT_CFG=0”和故障主设备MSTR的通知功能的激活“ILAC_BUS_CFG=1”来定义。
第四准确度“4”对应于向可信主设备TDMSTR和故障主设备MSTR两者发出的通知,并且由可信主设备TDMSTR的中断功能的激活“ILAC_INTRPT_CFG=1”和故障主设备MSTR的通知功能的激活“ILAC_BUS_CFG=1”来定义。
总之,通过总线RREP的错误通知通道上的通知信号ILAC_BUS获得的非法访问的检测的特别有利的准确度可以根据资源隔离方面的需要被激活或停用,例如,由用户选择。
有利的是,这种选择也可以与中断信号ILAC_INTRPT的配置伴随地被完成,而不产生信息冗余。
非法访问通知的准确度的配置的选择可以在片上系统的使用期间动态地被完成,例如在使用片上系统SOC的资源的程序的设计或调试阶段期间以最大准确度被完成,并且在片上系统SOC的最终使用期间以较低准确度被完成。
更一般地,根据资源的功能并且动态地根据片上系统及其资源的使用,可以受益于良好的控制和高的安全性或者有利于简单性或性能。
Claims (20)
1.一种片上系统SoC,包括:
主电路;
辅助资源;
互连总线,包括错误通知通道,所述互连总线被配置为将所述主电路耦合到所述辅助资源;以及
资源隔离系统,包括用于所述辅助资源的保护电路,所述保护电路被配置为:
根据所述辅助资源的访问权限以及经由所述互连总线被寻址到所述辅助资源的事务的访问权限,传输或阻止所述事务,以及
响应于所述保护电路阻止所述事务,在所述错误通知通道上生成通知信号。
2.根据权利要求1所述的SoC,其中被阻止的所述事务起源于所述主电路,并且其中所述保护电路被配置为将所述通知信号寻址到所述主电路。
3.根据权利要求1所述的SoC,其中所述资源隔离系统针对所述辅助资源包括:用于包含针对通知的设置数据的一组配置资源,所述保护电路被配置为根据针对所述辅助资源的所述通知的所述设置数据,响应于对被寻址到所述辅助资源的所述事务进行阻止,生成所述通知信号。
4.根据权利要求1所述的SoC,还包括可信主电路,所述可信主电路被耦合到所述互连总线,所述资源隔离系统包括中央管理单元,所述中央管理单元被配置为响应于所述保护电路对所述事务进行阻止,生成被寻址到所述可信主电路的中断信号。
5.根据权利要求4所述的SoC,其中所述资源隔离系统针对所述辅助资源包括:用于包含针对中断的设置数据的一组配置寄存器,所述中央管理单元被配置为根据针对中断的所述设置数据,响应于对被寻址到所述辅助资源的所述事务进行阻止,生成所述中断信号。
6.根据权利要求1所述的SoC,其中所述资源隔离系统针对所述辅助资源包括:用于包含针对通知的设置数据的一组配置资源、以及用于包含针对中断的设置数据的一组配置寄存器。
7.根据权利要求6所述的SoC,还包括可信主电路,所述可信主电路被耦合到所述互连总线,所述资源隔离系统包括中央管理单元,所述中央管理单元被配置为响应于所述保护电路对所述事务进行阻止,生成被寻址到所述可信主电路的中断信号,并且其中所述保护电路被配置为根据针对所述辅助资源的所述通知的所述设置数据,响应于对被寻址到所述辅助资源的所述事务进行阻止,生成所述通知信号。
8.一种方法,包括:
由片上系统SoC中的资源隔离系统的保护电路,根据所述SoC的辅助资源的访问权限以及经由所述SoC的互连总线被寻址到所述SoC的所述辅助资源的事务的访问权限,传输或阻止所述事务,所述SoC还包括主电路,所述主电路经由所述互连总线被耦合到所述辅助资源,所述保护电路与所述辅助资源相关联;以及
响应于所述保护电路阻止所述事务,在所述互连总线的错误通知通道上生成通知信号。
9.根据权利要求8所述的方法,其中被阻止的所述事务起源于所述主电路,所述方法还包括:由所述保护电路,将所述通知信号寻址到所述主电路。
10.根据权利要求8所述的方法,其中针对所述辅助资源,所述资源隔离系统包括:用于包含针对通知的设置数据的一组配置资源,所述方法还包括:由所述保护电路根据针对所述辅助资源的所述通知的所述设置数据,响应于对被寻址到所述辅助资源的所述事务进行阻止,生成所述通知信号。
11.根据权利要求8所述的方法,其中所述SoC还包括可信主电路,所述可信主电路被耦合到所述互连总线,所述资源隔离系统还包括中央管理单元,所述方法还包括:由所述中央管理单元响应于所述保护电路对所述事务进行阻止,生成被寻址到所述可信主电路的中断信号。
12.根据权利要求11所述的方法,其中所述资源隔离系统针对所述辅助资源包括:用于包含针对中断的设置数据的一组配置寄存器,所述方法还包括:由所述中央管理单元根据针对中断的所述设置数据,响应于对被寻址到所述辅助资源的所述事务进行阻止,生成所述中断信号。
13.根据权利要求8所述的方法,其中所述资源隔离系统针对所述辅助资源包括:用于包含针对通知的设置数据的一组配置资源、以及用于包含针对中断的设置数据的一组配置寄存器。
14.根据权利要求13所述的方法,其中所述SoC还包括可信主电路,所述可信主电路被耦合到所述互连总线,所述资源隔离系统还包括中央管理单元,所述方法还包括:
由所述中央管理单元响应于所述保护电路对所述事务进行阻止,生成被寻址到所述可信主电路的中断信号;以及
由所述保护电路根据针对所述辅助资源的所述通知的所述设置数据,响应于对被寻址到所述辅助资源的所述事务进行阻止,生成所述通知信号。
15.一种包括片上系统SoC的设备,所述SoC包括:
辅助资源;
互连总线,包括错误通知通道,所述互连总线被耦合到所述辅助资源;以及
资源隔离系统,包括用于所述辅助资源的保护电路,所述保护电路被配置为:
根据所述辅助资源的访问权限以及经由所述互连总线被寻址到所述辅助资源的事务的访问权限,传输或阻止所述事务,以及
响应于所述保护电路阻止所述事务,在所述错误通知通道上生成通知信号。
16.根据权利要求15所述的设备,还包括主电路,所述主电路经由所述互连总线被耦合到所述辅助资源,其中被阻止的所述事务起源于所述主电路,并且其中所述保护电路被配置为将所述通知信号寻址到所述主电路。
17.根据权利要求15所述的设备,其中所述资源隔离系统针对所述辅助资源包括:用于包含针对通知的设置数据的一组配置资源,所述保护电路被配置为根据针对所述辅助资源的所述通知的所述设置数据,响应于对被寻址到所述辅助资源的所述事务进行阻止,生成所述通知信号。
18.根据权利要求15所述的设备,其中所述SoC还包括可信主电路,所述可信主电路被耦合到所述互连总线,所述资源隔离系统包括中央管理单元,所述中央管理单元被配置为响应于所述保护电路对所述事务进行阻止,生成被寻址到所述可信主电路的中断信号。
19.根据权利要求18所述的设备,其中所述资源隔离系统针对所述辅助资源包括:用于包含针对中断的设置数据的一组配置寄存器,所述中央管理单元被配置为根据针对中断的所述设置数据,响应于对被寻址到所述辅助资源的所述事务进行阻止,生成所述中断信号。
20.根据权利要求15所述的设备,其中所述SoC还包括可信主电路,所述可信主电路被耦合到所述互连总线,所述资源隔离系统包括中央管理单元,
其中所述资源隔离系统针对所述辅助资源包括:用于包含针对通知的设置数据的一组配置资源、以及用于包含针对中断的设置数据的一组配置寄存器,并且
其中所述保护电路被配置为根据针对所述辅助资源的所述通知的所述设置数据,响应于对被寻址到所述辅助资源的所述事务进行阻止,生成所述通知信号,并且
其中所述中央管理单元被配置为响应于所述保护电路对所述事务进行阻止,生成被寻址到所述可信主电路的中断信号。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2212348 | 2022-11-25 | ||
| US18/514,812 | 2023-11-20 | ||
| US18/514,812 US20240176689A1 (en) | 2022-11-25 | 2023-11-20 | Method for managing the isolation of resources of a system-on-chip, and corresponding system-on-chip |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118093503A true CN118093503A (zh) | 2024-05-28 |
Family
ID=91142815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311569888.6A Pending CN118093503A (zh) | 2022-11-25 | 2023-11-23 | 用于管理片上系统的资源的隔离的方法以及对应片上系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN118093503A (zh) |
-
2023
- 2023-11-23 CN CN202311569888.6A patent/CN118093503A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8537848B2 (en) | Flexibly integrating endpoint logic into varied platforms | |
| US8069288B2 (en) | Mechanism to flexibly support multiple device numbers on point-to-point interconnect upstream ports | |
| JP5182771B2 (ja) | 共有i/oにおけるリセットの変換 | |
| US20140223052A1 (en) | System and method for slave-based memory protection | |
| CN108132910B (zh) | 系统互连以及具有系统互连的片上系统 | |
| US20110320670A1 (en) | Connected input/output hub management | |
| JP2006523347A (ja) | 周辺装置アクセス保護を有するデータ処理システムおよびその方法 | |
| JP2020035419A (ja) | 第1のクロックドメインと第2のクロックドメインとの間で伝送される主信号のためのエラーチェック | |
| JP2001222503A (ja) | 周辺機器制御システム | |
| KR20200087679A (ko) | 인터럽트 제어기 및 인터럽트 제어기의 작동방법 | |
| CN113505016A (zh) | 总线传输故障检测方法、总线系统及芯片 | |
| CN112602086A (zh) | 安全外设互连件 | |
| US7028132B2 (en) | Distributed peer-to-peer communication for interconnect busses of a computer system | |
| CN118093503A (zh) | 用于管理片上系统的资源的隔离的方法以及对应片上系统 | |
| CN114925386B (zh) | 数据处理方法、计算机设备、数据处理系统及存储介质 | |
| US20240176689A1 (en) | Method for managing the isolation of resources of a system-on-chip, and corresponding system-on-chip | |
| CN114915499A (zh) | 数据传输方法、相关装置、系统及计算机可读存储介质 | |
| KR100801759B1 (ko) | 슬레이브의 디버깅 방법 및 시스템 | |
| US20240320359A1 (en) | System-on-chip including resource isolation framework and countermeasure circuit, and corresponding method | |
| CN118689836A (zh) | 包括资源隔离框架和对策电路的芯片上系统以及对应的方法 | |
| US20240176863A1 (en) | System-on-chip including a resource isolation system and method for managing the corresponding resource isolation | |
| US20060117226A1 (en) | Data communication system and data communication method | |
| JP3401729B2 (ja) | スプリットバス制御回路 | |
| CA1293328C (en) | Remote services console for digital data processing system | |
| EP4145318A1 (en) | System and method for monitoring delivery of messages passed between processes from different operating systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |