[发明专利]芯片访问安全的控制装置及芯片系统

权利要求书

1.一种芯片访问安全的控制装置，其特征在于，包括：

多个安全主防火墙单元，其中，一个所述安全主防火墙单元对应一个总线主控单元，用于利用第一安全检测规则，控制自身对应的总线主控单元通过功能总线对总线受控单元的访问；所述第一安全检测规则包括所述总线主控单元的访问权限，其中，总线主控单元与功能总线之间传输的任何数据都需要经过总线主控单元对应的安全主防火墙单元；

多个安全从防火墙单元，其中，一个所述安全从防火墙单元对应一个总线受控单元，用于利用第二安全检测规则，控制自身对应的总线受控单元被所述总线主控单元通过所述功能总线的访问；所述第二安全检测规则包括所述总线受控单元的被访问权限，其中，总线受控单元与功能总线之间传输的任何数据都需要经过总线受控单元对应的安全从防火墙单元；

安全处理器，用于对每一个所述安全主防火墙单元配置所述第一安全检测规则，并用于对每一个所述安全从防火墙单元配置所述第二安全检测规则，所述安全处理器通过安全总线与安全主防火墙单元和安全从防火墙单元进行通信，其中，所述安全总线只能通过安全处理器访问，不允许通过安全处理器以外的其他器件访问，安全主防火墙单元和安全从防火墙单元只能由安全处理器通过安全总线建立并配置。

2.根据权利要求1所述的控制装置，其特征在于，所述安全处理器还用于调整每一个所述安全主防火墙单元中配置的第一安全检测规则，以及调整每一个所述安全从防火墙单元中配置的第二安全检测规则。

3.根据权利要求1所述的控制装置，其特征在于，所述第一安全检测规则的任务粒度大于所述第二安全检测规则。

4.根据权利要求1所述的控制装置，其特征在于，所述安全主防火墙单元利用第一安全检测规则，控制自身对应的总线主控单元通过功能总线对总线受控单元的访问时，用于：

检测出自身对应的总线主控单元满足所述第一安全检测规则要求，向所述功能总线传递所述自身对应的总线主控单元发送的事务信息；

检测出自身对应的总线主控单元不满足所述第一安全检测规则要求，则截断所述自身对应的总线主控单元发送的事务信息。

5.根据权利要求4所述的控制装置，其特征在于，所述安全主防火墙单元检测出自身对应的总线主控单元不满足所述第一安全检测规则要求，还用于：

向所述自身对应的总线主控单元返回响应信息；其中，所述响应信息包括表明访问正常的标志或者表明访问受限的标志。

6.根据权利要求1所述的控制装置，其特征在于，所述安全从防火墙单元利用第二安全检测规则，控制自身对应的总线受控单元被所述总线主控单元通过所述功能总线的访问时，用于：

检测出通过所述功能总线进行访问的总线主控单元满足所述第二安全检测规则要求，向自身对应的总线受控单元发送所述功能总线传输的事务信息；

检测出所述通过所述功能总线进行访问的总线主控单元不满足所述第二安全检测规则要求，截断所述功能总线传输的事务信息。

7.根据权利要求1所述的控制装置，其特征在于，所述安全从防火墙单元包括多个寄存器，每一个所述寄存器对应于一份可访问地址区间；其中，所述可访问地址区间由所述安全从防火墙单元对应的总线受控单元的可访问地址划分得到；

每一个所述寄存器用于：控制所述总线主控单元是否允许通过功能总线访问所述对应的可访问地址区间。

8.根据权利要求1所述的控制装置，其特征在于，所述安全主防火墙单元包括多个寄存器，每一个所述寄存器对应于所述安全主防火墙的一个线程；

每一个所述寄存器用于：控制所述对应的线程是否允许通过功能总线访问所述总线受控单元。

9.一种芯片系统，其特征在于，包括：

至少一条功能总线，对应每一条功能总线的总线主控单元和总线受控单元，以及对应每一条功能总线的芯片访问安全的控制装置；其中，所述芯片访问安全的控制装置如权利要求1至8中任意一项所述。