[发明专利]一种访问控制设备和包含该设备的处理器

说明书

本发明公开了一种访问控制设备，包括访问判断单元和访问控制单元。访问判断单元适于根据访问请求要访问的地址和与该访问请求相关联的用户属性来确定访问请求的访问权限；以及访问控制单元耦接到访问判断单元，适于接收该访问请求，根据访问判断单元为该访问请求确定的访问权限来控制所述访问请求。本发明还公开了相应的方法控制方法、包括该存储控制设备的处理器、片上系统和智能设备。

技术领域

本发明涉及处理器领域，尤其涉及处理器中的数据访问控制领域。

背景技术

随着物联网和嵌入式系统的快速发展，在处理器领域，为了安全考虑，需要保护在一些特定存储设备或者存储设备的特定区域中的数据，以防止未经许可的访问以及被篡改。诸如EFUSE(电子熔丝)这样的一次性可编程非易失性的存储器，能够在跟随设备出厂之后，仍然可以写入一些不被篡改的数据，而越来越广范地被应用。

这类存储器可以用于存放芯片调整信息、启动设定信息及其他特定设置信息，甚至还可存储一些安全相关敏感信息，比如加解密密钥等。这样随之出现的问题是，在这类存储上存储的数据，在没有有效保护的前提下很容易被读取或者篡改，可能会造成巨大损失。因此，需要专门针对这类存储的安全保护方案。

现有的针对这类存储器的数据保护方法是在芯片内设定一个开关，如果开关打开则可以读写存储器，否则就不可读写。这种类似锁定的方式不够灵活，而且很容易被绕过。

一些芯片采用TEE(可信执行环境)，将芯片中的执行环境划分为可信状态和非可信状态，并分别为可信状态和不可信状态设置不同的访问权限，解决了针对各种系统资源的存储安全问题。但在TEE中并没有定义针对诸如EFUSE这样的一次性可编程非易失性的存储器的安全访问机制，因此也没用解决针对这类存储设备的安全访问问题。

因此，需要一种新的访问控制方案，可以针对诸如EFUSE这样的一次性可编程非易失性的存储器提供灵活并且可靠的访问方式，以防止数据被未经许可读取或者篡改。

发明内容

为此，本发明提供了一种新的方法控制设备、方法控制方法、处理器和片上系统，以力图解决或者至少缓解上面存在的至少一个问题。

根据本发明的一个方面，提供了一种访问控制设备，适于控制对存储设备的访问，该存储设备划分为多个存储区域，每个存储区域具有相应的访问权限。该访问控制设备包括访访问判断单元和访问控制单元。访问判断单元适于根据访问请求要访问的地址来确定要访问的存储区域，并根据与该访问请求相关联的用户属性来确定访问请求访问所确定的存储区域的访问权限以作为该访问请求访问存储设备的访问权限。访问控制单元耦接到访问判断单元，适于接收该访问请求，根据访问判断单元为该访问请求确定的访问权限来控制该访问请求。

可选地，在根据本发明的访问控制设备中，访问判断单元包括区域划分装置、权限设置装置和判断装置。区域划分装置适于将存储设备划分为多个存储区域，每个存储区域不重叠，并具有相应的位置和大小。权限设置装置为每个存储区域设置与用户属性相对应的访问权限。判断装置耦接到区域划分装置和权限设置装置，适于接收访问请求要访问的存储位置，确定该访问请求要访问的存储区域，以及为所确定的存储区域确定与访问请求相关联的用户属性相对应的访问权限，并将所确定的访问权限设置为该访问请求的访问权限。

可选地，在根据本发明的访问控制设备中，该访问请求包括读取请求，区域划分装置包括读区域划分装置，适于将存储设备划分为多个读存储区域。权限设置装置包括读权限设置装置，适于为每个读存储区域设置与用户属性相对应的读访问权限。判断装置包括读判断装置，适于确定读取请求要访问的存储位置所属的读存储区域，以及为所确定的读存储区域确定与读取请求相关联的用户属性相对应的读访问权限，并将所确定的读访问权限设置为读取请求的访问权限。