[发明专利]芯片访问安全的控制装置及芯片系统

说明书

本发明提供了一种芯片安全访问的控制装置及芯片系统，包括与总线单元一一对应的多个防火墙单元和安全处理器，其中，总线单元包括总线主控单元和总线受控单元，防火墙单元包括安全主防火墙单元和安全从防火墙单元，分别对应于总线主控单元和总线受控单元。防火墙单元用于根据特定的检测规则控制自身对应的总线单元的访问和被访问行为，安全处理器用于配置所述检测规则。上述技术方案中，防火墙单元将自身对应的总线单元（总线主控单元或总线受控单元）与功能总线分隔，并控制该总线单元的访问权限或被访问权限，使得任意两个总线单元之间都不存在直接的硬件通路，即使控制软件失效也不会导致数据泄露，有效提高了芯片的安全性。

技术领域

本发明涉及芯片检测技术领域，特别涉及一种芯片访问安全的控制装置及芯片系统。

背景技术

随着芯片技术的发展，目前市面上的芯片一般都被设计为多用户芯片，即一个芯片可以被分配给多个用户访问和使用。一个多用户芯片要为每个用户提供安全的服务，就必须建立可靠的芯片访问安全的控制机制，控制用户的访问行为，使每个用户都只能访问自己的数据，而不能访问其他用户的数据。

现有的一种芯片访问安全的控制方法是，在芯片中写入具有访问权限控制功能的软件，通过运行该软件控制用户的访问行为。在采用这种控制方法的芯片中，由于并未对芯片的硬件结构进行修改，不同用户的数据之间仍然存在硬件通路，一旦权限控制软件失效，芯片中的数据就可能发生泄露。因此，这种基于软件的访问安全的控制方法安全性较低。

发明内容

基于上述现有技术的不足，本发明提出一种芯片访问安全的控制装置及芯片系统，以提高多用户芯片的芯片访问的安全性。

本发明第一方面公开了一种芯片访问安全的控制装置，包括：

多个安全主防火墙单元，其中，一个所述安全主防火墙单元对应一个总线主控单元，用于利用第一安全检测规则，控制自身对应的总线主控单元通过功能总线对总线受控单元的访问；所述第一安全检测规则包括所述总线主控单元的访问权限；

多个安全从防火墙单元，其中，一个所述安全从防火墙单元对应一个总线受控单元，用于利用第二安全检测规则，控制自身对应的总线受控单元被所述总线主控单元通过所述功能总线的访问；所述第二安全检测规则包括所述总线受控单元的被访问权限；

安全处理器，用于对每一个所述安全主防火墙单元配置所述第一安全检测规则，并用于对每一个所述安全从防火墙单元配置所述第二安全检测规则。

可选的，所述安全处理器还用于调整每一个所述安全主防火墙单元中配置的第一安全检测规则，以及调整每一个所述安全从防火墙单元中配置的第二安全检测规则。

可选的，所述安全处理器通过安全总线，与每一个所述安全主防火墙单元和每一个所述安全从防火墙单元进行通信。

可选的，所述第一安全检测规则的任务粒度大于所述第二安全检测规则。

可选的，所述安全主防火墙单元利用第一安全检测规则，控制自身对应的总线主控单元通过功能总线对总线受控单元的访问时，用于：

检测出自身对应的总线主控单元满足所述第一安全检测规则要求，向所述功能总线传递所述自身对应的总线主控单元发送的事务信息；

检测出自身对应的总线主控单元不满足所述第一安全检测规则要求，则截断所述自身对应的总线主控单元发送的事务信息。

可选的，所述安全主防火墙单元检测出自身对应的总线主控单元不满足所述第一安全检测规则要求，还用于：

向所述自身对应的总线主控单元返回响应信息；其中，所述响应信息包括表明访问正常的标志或者表明访问受限的标志。

可选的，所述安全从防火墙单元利用第二安全检测规则，控制自身对应的总线受控单元被所述总线主控单元通过所述功能总线的访问时，用于：