[发明专利]一种片上访存保护系统及方法

说明书

本发明公开了一种片上访存保护系统及方法，其中系统包括访存主设备、片上存储器模块和随机密钥发生器；所述随机密钥发生器用于定期生成权限密钥，并将权限密钥发送至访存主设备和片上存储器模块；所述访存主设备用于根据权限密钥生成访存请求，将访存请求发送至片上存储器模块，以进行访存操作；所述片上存储器模块用于接收权限密钥和访存请求，以及结合访存请求和权限密钥进行验证操作，并在验证通过时，执行访存操作。本发明将权限密钥单独发送至访存主设备和片上存储器模块，无需经过总线进行通讯，很好地避免了非可信IP的监听窃取；另外，定期更新权限密钥，有效地防止了总线监听带来的数据泄露/篡改问题，可广泛应用于信息技术领域。

技术领域

本发明涉及信息技术领域，尤其涉及一种片上访存保护系统及方法。

背景技术

现有的片上存储器访问保护系统，主要是预先对访存模块进行ID分配和权限设置，在存储器模块中设置访问权限表用以存储各访存模块的ID及相应访存权限(是否只可读、只可写、可读写、不可读写)，每当访存模块进行访存时，存储器模块对访存模块的ID进行识别、判断访存权限。若权限与请求不一致，则拒绝访存要求；若权限与请求一致，则进行后续访存操作。

随着片上系统和专用微处理器如神经网络加速器等的迅猛发展，神经网络权值或其他敏感数据存储在片内时，需要防止数据泄露、攻击篡改等行为的发生。现有的访存保护系统通过预设访存模块的ID或密钥和访存权限，这样可以一定程度上避免存储器中的内容被带有恶意的访存模块读取或篡改；但是，现行的技术由于预设了访存模块的ID或密钥，没有定期更新，并不能有效地应对总线监听的攻击方法。一旦恶意模块对总线进行长时间监听，侦测得到拥有可读写访存权限的模块ID或密钥，就可以轻松地使用相应ID或密钥对存储器进行访问，从而导致神经网络权值等敏感数据的泄露或被篡改。

发明内容

为了解决上述技术问题，本发明的目的是提供一种安全性更高的片上访存保护系统及方法。

本发明所采用的第一技术方案是：

一种片上访存保护系统，包括访存主设备、片上存储器模块和随机密钥发生器，所述随机密钥发生器分别与访存主设备和片上存储器模块连接，所述访存主设备通过总线与片上存储器模块连接；

所述随机密钥发生器用于定期生成权限密钥，并将权限密钥发送至访存主设备和片上存储器模块；

所述访存主设备用于根据权限密钥生成访存请求，将访存请求发送至片上存储器模块，以进行访存操作；

所述片上存储器模块用于接收权限密钥和访存请求，以及结合访存请求和权限密钥进行验证操作，并在验证通过时，执行访存操作。

进一步，所述片上存储器模块包括访存密钥寄存器、权限密钥验证单元和存储单元；

所述访存密钥寄存器用于更新存储接收到的权限密钥；

所述权限密钥验证单元用于根据访存请求获取第一密钥，将第一密钥与预存的权限密钥进行比对，若比对一致，由访存主设备对存储单元进行访存操作；反之，禁止访存主设备对存储单元进行访存操作。

进一步，所述访存主设备包括CPU、GPU、神经网络加速器或数字信号处理单元。

进一步，所述随机密钥发生器为伪随机数发生器。

本发明所采用的第二技术方案是：

一种片上访存保护方法，包括以下步骤：

根据权限密钥生成访存请求，将访存请求通过总线发送至片上存储器模块，以使片上存储器模块结合访存请求和预存的权限密钥进行验证操作，并在验证通过时，执行访存操作；

其中，所述权限密钥定期进行更新。

进一步，所述权限密钥为采用伪随机数发生器定期产生的伪随机数。