[发明专利]一种为间接访问存储控制器增加保护功能的装置

说明书

一种为间接访问存储控制器增加保护功能的装置，包括：总线监视单元，用于监测总线地址，如果监测到控制寄存器操作则进行权限鉴别；如果监测到配置权限表操作，就进行表项配置；权限表单元，用于将存储空间划分为若干个存储保护区，并独立设置每个存储区的访问权限属性；窗口寄存器信息总线，用于窗口寄存器信息传递，将存储控制器里的窗口寄存器信息传到保护装置，包括读窗口地址、写窗口地址和擦除窗口地址，多个窗口地址可以对应同一总线窗口寄存器；越权操作处理单元，用于处理发生权限违法访问时进行的后续操作。本发明只需将其做简单的修改就可以增加存储保护功能，以达到存储保护的目的。

技术领域

本发明涉及SOC芯片安全技术，尤其涉及一种在SOC芯片中提高存储安全性的保护装置。

背景技术

随着移动互联网和物联网快速发展，芯片安全的重要性日益提升，芯片内关键的数据和资源都需要被保护。具体可分为中断保护、外设保护、存储保护等，其中，存储保护是极其重要的一部分。存储保护一般指给不同的地址范围划分不同的访问权限，特权态的访问者可以限制非特权态的访问者的访问范围和访问类型。通过这种分级，将敏感数据放在只有特权态能访问的区域，限制非特权态用户的访问权限，达到存储保护的目的。

在现有技术中，针对直接访问的存储器已经有了很多的防护装置，比如RAM的保护装置，这类保护单元的特点是存储单元的访问地址就是总线传过来的地址，保护单元只需对总线上地址进行鉴权，就可防止越权访问发生。但还存在着另一些存储器，因为存取速度比较低，其控制器不支持直接访问，即不能直接用总线地址进行访问，而要将访问目标地址存到控制器内指定的地址窗口寄存器，再配置控制器内对应触发寄存器才能触发存储控制器对存储器进行访问，比如一些低速flash控制器，E2PROM控制器，间接访问DDR控制器等。目前，针对这类存储的保护，通常需要重新开发新的安全存储控制器，这会增加工作量，延长芯片开发周期。而随着芯片安全重要性日益提升，有大量普通芯片升级安全功能的需求，怎么加快安全升级过程成为一个重要的课题。

发明内容

为了克服已有间接存储控制器的安全性较低的不足，本发明提供一种为间接访问存储控制器增加保护功能的装置，只需将其做简单的修改就可以增加存储保护功能，以达到存储保护的目的。

本发明解决其技术问题所采用的技术方案是：

一种为间接访问存储控制器增加保护功能的装置，所述装置包括：

总线监视单元，用于监测总线地址，如果监测到控制寄存器操作则进行权限鉴别；如果监测到配置权限表操作，就进行表项配置；

权限表单元，用于将存储空间划分为若干个存储保护区，并独立设置每个存储区的访问权限属性；

窗口寄存器信息总线，用于窗口寄存器信息传递，将存储控制器里的窗口寄存器信息传到保护装置，包括读窗口地址、写窗口地址和擦除窗口地址，多个窗口地址可以对应同一总线窗口寄存器；

越权操作处理单元，用于处理发生权限违法访问时进行的后续操作。

进一步，特权态由权限指示输入位指示，该输入信号有效才能对保护装置进行使能和配置，包括各个表项地址范围和权限属性寄存器进行配置。

所述窗口寄存器信息总线与原存储控制器里的窗口寄存器相连，多个窗口地址可以对应同一总线。

所述总线监视单元中，检测到配置权限表就将总线值传到权限表单元里对应的权限表，即对安全区范围和属性进行配置。

所述总线监视单元中，检测到控制寄存器操作则把对应的窗口地址信息值作为地址输入到权限表项进性鉴权。

所述权限表包含一个或多个表项，每个表项内容包括：表项使能位，地址范围，权限属性；表项使能位指示该表项是否有效；地址范围表示该表项保护的地址范围，包括基地址和地址段大小信息；权限属性表示该段地址的权限。比如是否可读，是否可写或是否可擦除等。