[发明专利]嵌入系统总线防火墙

权利要求书

1.一种嵌入系统总线防火墙，其特征在于：在嵌入式处理器接口总线(100)与其外设接口(200)之间串联进一个利用FPGA逻辑集成技术实现的总线IP核，实施对嵌入系统关键端口指令的实时监控，采用正向规则映射方法识别正常端口指令并拦截异常端口指令；

该总线IP核分为三层组织架构：由总线适配接口(1)、设在防火层内的总线防火墙(2)和标准总线接口(3)组成；

该总线防火墙(2)的功能是由嵌在IP核防火层内的总线防火墙(2)中的专用功能模块实现，该专用功能模块包括有：工作模式选择模块(5)，该工作模式选择模块(5)中包括有直通模式模块(11)和过滤模式模块(12)、规则学习模块(6)、总线监控模块(7)、信号缓冲模块(8)、状态编码模块(9)、检测状态机模块(10)；模块之间的连接关系如下：

总线防火墙(2)包括如下和总线适配接口(1)的连接端口：总线适配接口复位信号连接端口(31)、总线适配接口外设访问有效信号连接端口(32)、总线适配接口读信号连接端口(33)、总线适配接口写信号连接端口(34)、总线适配接口数据总线连接端口(35)、总线适配接口地址总线连接端口(36)、总线适配接口主机读写规则库允许信号连接端口(37)、总线适配接口外部时钟信号连接端口(38)、总线适配接口系统中断信号连接端口(39)；该端口(31)、端口(32)、端口(33)、端口(34)、端口(35)、端口(36)和工作模式选择模块(5)、规则学习模块(6)连接；端口(38)提供时钟信号(16)，该时钟信号输入信号缓冲模块(8)和检测状态机模块(10)；端口(37)和规则学习模块(6)连接；端口(39)接收系统中断信号(13)，和检测状态机模块(10)连接；

总线防火墙(2)包括如下和标准总线接口(3)的连接端口：标准总线接口复位信号连接端口(40)、标准总线接口外设访问有效信号连接端口(41)、标准总线接口读信号连接端口(42)、标准总线接口写信号连接端口(43)、标准总线接口地址总线连接端口(44)、标准总线接口数据总线连接端口(45)；上述端口分别和工作模式选择模块(5)、信号缓冲模块(8)对应端连接；

总线防火墙(2)包括如下和规则库(4)的连接端口：规则库存储器写信号连接端口(46)、规则库存储器读信号连接端口(47)、规则库存储器1片选信号连接端口(48)、规则库存储器片选信号连接端口(49)、规则库存储器地址总线连接端口(50)、规则库存储器数据总线连接端口(51)；上述端口和规则学习模块(6)连接；

总线防火墙(2)内部和总线信息相关的信号连接情况如下；

受监控复位信号(52)、受监控外设访问有效信号(53)、受监控读信号(54)、受监控写信号(55)、受监控地址总线信号(56)、受监控数据总线信号(57)：由工作模式选择模块(5)输出到总线监控模块(7)；

缓冲复位信号(58)、缓冲外设访问有效信号(59)、缓冲读信号(60)、缓冲写信号(61)、缓冲地址总线信号(62)、缓冲数据总线信号(63)：由总线监控模块(7)输出到信号缓冲模块(8)；

编码复位信号(64)、编码外设访问有效信号(65)、编码读信号(66)、编码写信号(67)、编码地址总线信号(68)、编码数据总线信号(69)：由信号缓冲模块(8)输出到状态编码模块(9)；

指令类别状态编码(28)、端口地址状态编码(29)、操作数状态编码(30)：由状态编码模块(9)输出到检测状态机模块(10)；

规则特征码(23)、指令类别规则(24)、端口地址规则(25)、操作数上限规则(26)、操作数下限规则(27)：由规则学习模块(6)输出到检测状态机模块(10)；

总线防火墙(2)内部各模块握手信号连接情况如下：

工作模式选择信号(15)：由总线监控模块(7)输出，输入到工作模式选择模块(5)；

信号缓冲开始读标志(21)：由检测状态机模块(10)输出到信号缓冲模块(8)；

信号缓冲写信号(17)：由总线监控模块(7)输出到规则学习模块(6)；

信号缓冲读信号(18)：由检测状态机模块(10)输出到状态编码模块(9)和规则学习模块(6)，同时和信号缓冲模块(8)连接；

缓冲区空标志信号(19)：由信号缓冲模块(8)输出到检测状态机模块(10)；

隔离/释放标志信号(14)：由检测状态机模块(10)输出到信号缓冲模块(8)；

检测完毕信号(20)：由检测状态机模块(10)输出到信号缓冲模块(8)；

防火墙系统复位信号(22)：由复位模块(71)输出，连接到总线监控模块(7)、信号缓冲模块(8)和检测状态机模块(10)；

规则库位置指针(70)：由检测状态机模块(10)输出到规则学习模块(6)。