一种半导体器件,具有包括以下部件的电路:嵌入式存储器;嵌入式处理器,用于执行应用程序代码;以及功能硬件元件,经由受保护总线与嵌入式存储器相连,并且经由未受保护总线与嵌入式处理器相连,所述硬件元件配置为保护受保护总线,并且包括锁定装置,所述锁定装置包括至少一个锁定比特,用于在执行应用程序代码之前全局地锁定所述锁定装置的至少一部分。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种嵌入半导体器件内部的功能硬件元件,用于保护器件免于未授权的访问。
技术介绍
诸如集成电路之类的现代半导体器件包括大量的功能,尤其在用于数据处理的电路中需要保护一定的器件功能免于未授权的访问。这是因为全部功能、电路和携带信息的总线在器件内部。对于存储器或附加到半导体器件的其他外围器件的访问一般是通过安全设备来进行路由,以提供密钥形式的保护。例如,US 2002/0059518 A1公开了一种用于确保对于电子系统中多个功能的安全、受控访问的方法和设备,这些功能的每一个均具有与其相关联的对应密钥。所述方法包括以下步骤选择与所需功能相对应的密钥;进行认证过程,包括验证选定的密钥,并且根据认证过程的结果来允许或拒绝访问所需功能。此外,诸如加密和解密例行程序、移动电话中用于实现特定特征的代码等的不同功能可以具有不同的访问策略。在具有嵌入式处理器的许多器件中,可以通过诸如JAVA程序之类在嵌入式处理器上运行的任意应用程序,读取嵌入式存储器中的程序代码或信息数据。嵌入式存储器可以包含必须保护免于不必要访问的重要信息。密钥的使用具有可以被恶意代码进行黑客攻击的缺点。因此,被认为不具有这种访问的外部器件可以获得对受保护功能的访问,因此危及器件安全性。
技术实现思路
本专利技术的目的是改进器件安全性。根据本专利技术,该目的是通过如独立权利要求1所述的半导体器件实现的。半导体器件具有包括以下部件的电路嵌入式存储器;嵌入式处理器,用于执行应用程序代码;以及功能硬件元件,经由受保护总线与嵌入式存储器相连,并且经由未受保护总线与嵌入式处理器相连,所述硬件元件被配置为保护受保护总线,并且包括锁定装置,所述锁定装置包括至少一个锁定比特,用于在执行应用程序代码之前全局地锁定所述锁定装置的至少一部分。在另外的实施例中,所述锁定装置被配置为保护嵌入式存储器的区域。功能硬件元件通过限制对于受保护总线的未授权访问来执行防火墙的作用,因此优选地,可以限制对于需要保护的嵌入式存储器区域的访问。在这种情况下,功能硬件元件通过锁定嵌入式存储器的这种区域,优选地使用锁定装置,来防止未授权的访问。在初始化嵌入式处理器上的任意应用程序代码之前,锁定装置本身可以被附加的锁定比特锁定。将至少一个锁定比特配置为全局地锁定所述锁定装置的至少一部分,这有效地冻结了锁定装置的至少一部分的状态。一旦被锁定,只要存在嵌入式处理器上运行的任意代码,就不能更改锁定比特的状态。因此,在处理器上运行的程序代码不能改变锁定装置的状态。由于提供给受保护总线的保护,对于诸如嵌入式存储器之类与受保护总线相连的器件,试图获得对于这种器件访问的未受保护总线上的器件不能影响到它。具体地,在嵌入式处理器上运行的恶意代码不能直接地访问嵌入式存储器的锁定区域。在另外的实施例中,锁定装置包括锁定寄存器,并且将至少一个锁定比特配置为全局地锁定所述锁定寄存器的至少一部分。在另一个实施例中,功能硬件元件包括配置装置,所述配置装置包括配置寄存器,用于存储针对受保护总线的访问,条件;以及锁定寄存器,所述锁定寄存器与配置寄存器中至少一个有关联,用于选择性地允许或拒绝对于配置寄存器中所述至少一个的访问。优选地,锁定装置包括至少一个锁定寄存器。将至少一个锁定比特配置为全局地锁定所述锁定寄存器的至少一部分,使得这些寄存器从未受保护总线不再是可用的。优选地,配置装置包括多组配置寄存器,可以用于针对受保护总线上的器件、以及具体地嵌入式存储器的区域来限定保护级别。将用于允许或拒绝对于受保护总线(具体地,受保护总线上的器件)访问的条件存储在配置寄存器中。优选地,锁定寄存器与一个或更多配置寄存器相关联,并且选择性地允许或拒绝从未受保护总线上的器件(例如运行应用程序代码的嵌入式处理器)对与其相关联的配置寄存器的访问。在另外的实施例中,激活的锁定寄存器表示将配置寄存器中相关联的至少一个配置为只读,并且未激活的锁定寄存器表示将配置寄存器中相关联的至少一个配置为读和写。优选地,锁定寄存器根据锁定寄存器的激活和去激活来设定对于配置寄存器的保护。根据锁定寄存器的状态,因此可以允许或拒绝对于相应的配置寄存器的访问。优选地,当没有激活锁定寄存器时,相应的配置寄存器可以由未受保护总线上的器件或者读取或者写入;而当激活锁定寄存器时,相应的配置寄存器仅可以由从未受保护总线进行读取。在另一个实施例中,将配置寄存器配置为限定受保护的嵌入式存储器区域。优选地,例如,配置寄存器通过存储嵌入式存储器的起始地址和结束地址来限定嵌入式存储器的受保护区域。包括硬件防火墙的另一个实施例的特征在于在设定锁定比特之后,锁定装置的未锁定部分从未受保护总线仍然是可访问的。如在上文中所讨论的,优选地,将锁定比特配置为全局地锁定所述锁定寄存器的至少一部分,使得这些寄存器对于试图获得受保护总线(具体地对于嵌入式存储器的受保护部分)的访问的任意恶意代码是不可用的。在设定锁定比特时没有保护的受保护总线上的器件和嵌入式存储器对于寻求访问的未受保护总线上的器件仍然是可用的。在优选实施例中,功能硬件元件包括与配置装置相连的条件检查装置,用于将对于受保护总线的访问请求与在配置装置中存储的访问条件进行比较,并且根据所述比较的结果,向锁定装置提供信号用于允许或拒绝所述访问请求。条件检查装置与配置装置相连。其将对于受保护总线的访问请求与在配置装置中编程且存储的访问条件进行比较。条件检查装置通常连续地在未受保护总线上检查任意访问请求。在检测到访问请求之后,进行比较,然后条件检查装置可以根据比较的结果向锁定装置提供相关信号,用于允许或拒绝对于受保护总线的访问请求。在另外的实施例中,将锁定装置配置为当从条件检查装置接收访问拒绝信号时,禁用对于受保护总线的访问。在另一个实施例中,将条件检查装置配置为当所述访问请求无效时,向未受保护总线发送空数据。当条件检查装置确定需要禁用对于受保护总线的访问时,可以将锁定装置配置为阻塞对受保护总线的读取访问和/或写入访问。优选地,当做出针对读取访问的无效请求时,条件检查装置将向未受保护总线发送空数据。在另一个实施例中,将条件检查装置配置为向嵌入式处理器发送违反信号,用于开始反抗恶意应用程序代码的防卫机制。优选地,条件检查装置可以向发出无效请求的未受保护总线提供指示。例如,可以将诸如中断、错误、或中止之类的违反信号发送到嵌入式处理器,用于开始反抗在处理器上运行的可能的恶意代码的防卫机制。附图说明根据下文中描述的实施例,本专利技术的这些和其他方面是显而易见的,并且参考下文中描述的实施例进行阐述。图中图1示意性地示出了包括硬件防火墙的集成电路体系结构的概述;以及图2示意性地示出了集成电路中结合的所建议防火墙体系结构的概述。附图说明了本专利技术的实施例,与说明书一起用于解释本专利技术的原理。应该注意的是,上述实施例所示并非限制本专利技术,并且在不脱离所附权利要求所限定范围的情况下,本领域的普通技术人员能够设计替代的实施例。在权利要求中,任意参考符号不应该限制权利要求的范围。本专利技术可以通过包括几个不同元件的硬件来实现。具体实施例方式防火墙用于提供对于系统或器件攻击的保护。攻击可以来自于系统上运行的软件或应用程序代码。操作系统软件不能完全地防止来自系统上运行的外部代码的攻击。因此,本本文档来自技高网...
【技术保护点】
一种半导体器件100,具有包括以下部件的电路:嵌入式存储器110;嵌入式处理器150,用于执行应用程序代码;以及功能硬件元件105,经由受保护总线125与嵌入式存储器110相连,并且经由未受保护总线115与嵌入式处理器150相连,所述硬件元件105配置为保护受保护总线125,并且包括锁定装置235,所述锁定装置235包括至少一个锁定比特211,用于在执行应用程序代码之前全局地锁定所述锁定装置235的至少一部分。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:帕特里克富尔彻里,哈拉尔德N鲍尔,让菲利普佩兰,
申请(专利权)人:NXP股份有限公司,
类型:发明
国别省市:NL[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。