一种基于PassID的安全访问方法和装置与流程

本申请属于芯片安全领域，特别涉及一种基于passid的安全访问方法和装置。

背景技术：

1、trust zone技术提供了芯片级别对硬件资源的保护和隔离，在芯片领域已被广泛应用。参见图1，为了控制处理器在不同状态下对硬件资源访问的权限，arm对axi(高级可扩展接口)的系统总线进行了扩展。在原有axi总线基础上对每个读写信道增加一个额外的控制信号awprot或arprot，用来表示当前的读写操作是安全操作还是非安全操作。其中awprot表示总线写事务控制信号，低电平为安全写事务，高电平为非安全写事务。arprot为总线读事务控制信号，低电平为安全读事务，高电平为非安全读事务。当设备向总线提出读写事务请求时必须将该控制信号发送到总线上。总线根据该信号和cpu当前所属世界来判断能否读写，防止非安全程序/设备读写安全设备。

2、现有技术中，以arterist公司开发的flexnoc为例，其内部包含firmwall地址和内存，但是需要用户手动撰写代码，地址配置方式比较复杂，并且还需要遵循该厂商的ip的特有时序协议，易用性和通用性较低。

技术实现思路

1、本申请的目的在于提供一种基于passid的安全访问方法和装置，旨在通过寄存器配置访问权限，降低安全模块设计难度。

2、根据本申请的第一方面，提供了一种基于passid的安全访问方法，包括：

3、为总线互联架构中的每个主设备和从属设备分别配置passid标签，当第一主设备发起对目标从属设备的访问请求时，通过桥解码器模块接收所述访问请求，判断所述目标从属设备的passid标签是否被cpu修改；

4、如果所述目标从属设备的passid标签未被cpu修改，则将所述第一主设备的passid标签通过所述桥解码器模块透传给所述目标从属设备，如果所述目标从属设备的passid标签已被cpu修改，则通过所述桥解码器模块解析所述目标从属设备的passid标签；

5、将所述第一主设备的passid标签与所述目标从属设备的passid标签进行匹配，基于匹配结果处理所述访问请求。

6、在可选的实施方式中，所述基于匹配结果处理所述访问请求，进一步包括：

7、如果所述第一主设备的passid标签为预先约定的值，则所述目标从属设备允许读写访问，并向所述第一主设备返回数据。

8、在可选的实施方式中，所述基于匹配结果处理所述访问请求，进一步包括：

9、如果所述第一主设备的passid标签与所述目标从属设备的passid标签一致，则所述目标从属设备允许访问，并向所述第一主设备返回数据。

10、在可选的实施方式中，如果所述第一主设备的passid标签不是预先约定的值，并且所述第一主设备的passid标签与所述目标从属设备的passid标签不一致，则所述目标从属设备不允许访问，向所述第一主设备返回错误信息。

11、在可选的实施方式中，所述桥解码器模块的安全属性由安全世界的cpu和安全属性加密模块来配置。

12、根据本申请的第二方面，提供了一种基于passid的安全访问装置，包括：

13、访问请求接收单元，用于为总线互联架构中的每个主设备和从属设备分别配置passid标签，当第一主设备发起对目标从属设备的访问请求时，接收所述访问请求，判断所述目标从属设备的passid标签是否被cpu修改；

14、标签解析单元，用于如果所述目标从属设备的passid标签未被cpu修改，则将所述第一主设备的passid标签通过所述桥解码器模块透传给所述目标从属设备，如果所述目标从属设备的passid标签已被cpu修改，则通过所述桥解码器模块解析所述目标从属设备的passid标签；

15、匹配单元，用于将所述第一主设备的passid标签与所述目标从属设备的passid标签进行匹配，基于匹配结果处理所述访问请求。

16、相比于相关技术，本申请的技术方案至少具备以下优点：

17、利用已有的寄存器互联总线结构实现了一种简便易行的安全访问寄存器的方法，通过寄存器灵活配置访问权限，对约定的编码和解码的协议进行保密，降低了模块设计难度，节省了总线资源，减少芯片的设计面积，并且支持不同的寄存器定义方式和cpu处理地址映射的方式，实现ddr访问和bootrom、bootram的访问，合理利用存储空间和地址空间。

18、本申请的其它特征和优点将在随后的说明书中阐述，并且部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可以通过在说明书以及附图中所指出的结构和流程来实现和获取。

技术特征：

1.一种基于passid的安全访问方法，其特征在于，包括：

2.根据权利要求1所述的基于passid的安全访问方法，其特征在于，所述基于匹配结果处理所述访问请求，进一步包括：

3.根据权利要求2所述的基于passid的安全访问方法，其特征在于，所述基于匹配结果处理所述访问请求，进一步包括：

4.根据权利要求3所述的基于passid的安全访问方法，其特征在于，还包括：

5.根据权利要求1所述的基于passid的安全访问方法，其特征在于，所述桥解码器模块的安全属性由安全世界的cpu和安全属性加密模块来配置。

6.一种基于passid的安全访问装置，其特征在于，包括：

7.根据权利要求6所述的基于passid的安全访问装置，其特征在于，所述匹配单元，进一步用于：

8.根据权利要求7所述的基于passid的安全访问装置，其特征在于，所述匹配单元，进一步用于：

9.根据权利要求8所述的基于passid的安全访问装置，其特征在于，所述匹配单元，进一步用于：

10.根据权利要求6所述的基于passid的安全访问装置，其特征在于，所述桥解码器模块的安全属性由安全世界的cpu和安全属性加密模块来配置。

技术总结本申请提供了一种基于PassID的安全访问方法和装置，该方法包括：为总线互联架构中的每个主设备和从属设备分别配置PassID标签，当主设备发起对目标从属设备的访问请求时，通过桥解码器模块接收访问请求，判断目标从属设备的PassID标签是否被CPU修改；如果目标从属设备的PassID标签未被CPU修改，则将主设备的PassID标签通过桥解码器模块透传给目标从属设备，如果目标从属设备的PassID标签已被CPU修改，则通过桥解码器模块解析目标从属设备的PassID标签；将主设备的PassID标签与目标从属设备的PassID标签进行匹配，基于匹配结果处理访问请求。本申请的技术方案实现了通用并且低成本的寄存器和存储器安全访问。技术研发人员：邹运,宁佐林,苑东朝,王强,李晓欢,李世元受保护的技术使用者：无锡众星微系统技术有限公司技术研发日：技术公布日：2024/9/12