访问权限检测装置、方法及设备制造方法及图纸

本申请提供一种访问权限检测装置、方法及设备，该装置包括防火墙单元、第一网络接口单元和第二网络接口单元，其中：第一网络接口单元用于接收主访问单元发送的访问数据包，并向防火墙单元发送访问数据包，访问数据包用于请求访问从访问单元中的目标寄存器；防火墙单元用于根据访问数据包中的包头信息，确定主访问单元是否具有对目标寄存器的访问权限；根据主访问单元是否具有对目标寄存器的访问权限，确定是否通过第二网络接口单元向目标寄存器发送访问数据包。本申请的方案，提供了一种灵活的安全机制，实现访问权限的检测。实现访问权限的检测。实现访问权限的检测。

【技术实现步骤摘要】
访问权限检测装置、方法及设备


[0001]本申请涉及芯片安全
，尤其涉及一种访问权限检测装置、方法及设备。

技术介绍

[0002]片上网络(Network on Chip，NoC)是片上系统(System on Chip，SoC)的一种新的通信方式，是多核技术的主要组成部分，能够实现数字电路中各模块之间的通信。
[0003]为了提高NoC中数据访问的安全性，NoC中需要设置相应的安全机制。因此，亟需提供一种访问权限检测方案，实现安全访问。

技术实现思路

[0004]本申请提供一种访问权限检测装置、方法及设备，实现访问权限的检测。
[0005]第一方面，本申请提供一种访问权限检测装置，包括防火墙单元、第一网络接口单元和第二网络接口单元，其中：
[0006]所述第一网络接口单元，用于接收主访问单元发送的访问数据包，并向所述防火墙单元发送所述访问数据包，所述访问数据包用于请求访问从访问单元中的目标寄存器；
[0007]所述防火墙单元，用于根据所述访问数据包中的包头信息，确定所述主访问单元是否具有对所述目标寄存器的访问权限；根据所述主访问单元是否具有对所述目标寄存器的访问权限，确定是否通过所述第二网络接口单元向所述目标寄存器发送所述访问数据包。
[0008]在一种可能的实施方式中，所述防火墙单元包括第一检测子单元和第二检测子单元，所述包头信息包括与所述从访问单元关联的标签信息；其中：
[0009]所述第一检测子单元，用于根据所述标签信息，确定检测结果，所述检测结果用于指示所述主访问单元是否具有对所述从访问单元的访问权限；
[0010]所述第二检测子单元，用于根据所述检测结果确定所述主访问单元是否具有对所述目标寄存器的访问权限。
[0011]在一种可能的实施方式中，所述标签信息包括从访问单元标签、安全标签和读写标签；所述第一检测子单元具体用于：
[0012]在所述安全标签指示所述访问数据包属于安全访问数据包，或，所述从访问单元标签指示所述从访问单元具有安全保护机制的情况下，确定所述主访问单元具有对所述从访问单元的直通访问权限；
[0013]在所述安全标签指示所述访问数据包不属于安全访问数据包，且，所述从访问单元标签指示所述从访问单元不具有安全保护机制的情况下，根据所述读写标签确定所述主访问单元是否具有对所述从访问单元的访问权限。
[0014]在一种可能的实施方式中，所述防火墙单元还包括第一寄存器单元；其中：
[0015]所述第一寄存器单元，用于存储所述从访问单元的单元读写权限信息；
[0016]所述第一检测子单元根据所述读写标签确定所述主访问单元是否具有对所述从
访问单元的访问权限的步骤，包括：
[0017]根据所述读写标签，确定所述主访问单元对所述目标寄存器的目标访问操作，所述目标访问操作为读访问或写访问；
[0018]根据所述从访问单元的单元读写权限信息，确定是否允许对所述从访问单元执行所述目标访问操作；
[0019]在允许对所述从访问单元执行所述目标访问操作的情况下，确定所述主访问单元具有对所述从访问单元的访问权限；
[0020]在不允许对所述从访问单元执行所述目标访问操作的情况下，确定所述主访问单元不具有对所述从访问单元的访问权限。
[0021]在一种可能的实施方式中，所述包头信息中还包括所述目标寄存器的地址信息；所述第二检测子单元具体用于：
[0022]在所述主访问单元具有对所述从访问单元的直通访问权限的情况下，确定所述主访问单元具有对所述目标寄存器的访问权限；
[0023]在所述主访问单元具有对所述从访问单元的访问权限的情况下，根据所述地址信息确定所述主访问单元是否具有对所述目标寄存器的访问权限；
[0024]在所述主访问单元不具有对所述从访问单元的访问权限的情况下，确定所述主访问单元不具有对所述目标寄存器的访问权限。
[0025]在一种可能的实施方式中，所述第二检测子单元根据所述地址信息确定所述主访问单元是否具有对所述目标寄存器的访问权限的步骤，包括：
[0026]根据所述地址信息确定所述目标寄存器的类型，所述目标寄存器的类型为普通寄存器、仅安全访问寄存器或访问权限可变寄存器中的一种；
[0027]若所述目标寄存器的类型为所述普通寄存器，则确定所述主访问单元具有对所述目标寄存器的访问权限；
[0028]若所述目标寄存器的类型为所述仅安全访问寄存器，则确定所述主访问单元不具有对所述目标寄存器的访问权限；
[0029]若所述目标寄存器的类型为所述访问权限可变寄存器，则根据所述读写标签，确定所述主访问单元是否具有对所述目标寄存器的访问权限。
[0030]在一种可能的实施方式中，所述防火墙单元还包括第二寄存器单元；其中：
[0031]所述第二寄存器单元，用于存储所述从访问单元内的寄存器的寄存器读写权限信息；
[0032]所述第二检测子单元根据所述读写标签，确定所述主访问单元是否具有对所述目标寄存器的访问权限的步骤，包括：
[0033]根据所述读写标签，确定所述主访问单元对所述目标寄存器的目标访问操作，所述目标访问操作为读访问或写访问；
[0034]根据所述目标寄存器的寄存器读写权限信息，确定是否允许对所述目标寄存器执行所述目标访问操作；
[0035]在允许对所述目标寄存器执行所述目标访问操作的情况下，确定所述主访问单元具有对所述目标寄存器的访问权限；
[0036]在不允许对所述目标寄存器执行所述目标访问操作的情况下，确定所述主访问单
元不具有对所述目标寄存器的访问权限。
[0037]第二方面，本申请提供一种访问权限检测方法，所述方法包括：
[0038]通过第一网络接口单元接收主访问单元发送的访问数据包，所述访问数据包用于请求访问从访问单元中的目标寄存器；
[0039]根据所述访问数据包中的包头信息，确定所述主访问单元是否具有对所述目标寄存器的访问权限；
[0040]根据所述主访问单元是否具有对所述目标寄存器的访问权限，确定是否通过所述第二网络接口单元向所述目标寄存器发送所述访问数据包。
[0041]在一种可能的实施方式中，所述包头信息包括与所述从访问单元关联的标签信息；所述根据所述访问数据包中的包头信息，确定所述主访问单元是否具有对所述目标寄存器的访问权限，包括：
[0042]根据所述标签信息，确定检测结果，所述检测结果用于指示所述主访问单元是否具有对所述从访问单元的访问权限；
[0043]根据所述检测结果确定所述主访问单元是否具有对所述目标寄存器的访问权限。
[0044]在一种可能的实施方式中，所述标签信息包括从访问单元标签、安全标签和读写标签；所述根据所述标签信息，确定检测结果，包括：
[0045]在所述安全标签指示所述访问数据包属于安全访问数据包，或，所述从访问单元标签指示所述从本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问权限检测装置，其特征在于，包括防火墙单元、第一网络接口单元和第二网络接口单元，其中：所述第一网络接口单元，用于接收主访问单元发送的访问数据包，并向所述防火墙单元发送所述访问数据包，所述访问数据包用于请求访问从访问单元中的目标寄存器；所述防火墙单元，用于根据所述访问数据包中的包头信息，确定所述主访问单元是否具有对所述目标寄存器的访问权限；根据所述主访问单元是否具有对所述目标寄存器的访问权限，确定是否通过所述第二网络接口单元向所述目标寄存器发送所述访问数据包。2.根据权利要求1所述的装置，其特征在于，所述防火墙单元包括第一检测子单元和第二检测子单元，所述包头信息包括与所述从访问单元关联的标签信息；其中：所述第一检测子单元，用于根据所述标签信息，确定检测结果，所述检测结果用于指示所述主访问单元是否具有对所述从访问单元的访问权限；所述第二检测子单元，用于根据所述检测结果确定所述主访问单元是否具有对所述目标寄存器的访问权限。3.根据权利要求2所述的装置，其特征在于，所述标签信息包括从访问单元标签、安全标签和读写标签；所述第一检测子单元具体用于：在所述安全标签指示所述访问数据包属于安全访问数据包，或，所述从访问单元标签指示所述从访问单元具有安全保护机制的情况下，确定所述主访问单元具有对所述从访问单元的直通访问权限；在所述安全标签指示所述访问数据包不属于安全访问数据包，且，所述从访问单元标签指示所述从访问单元不具有安全保护机制的情况下，根据所述读写标签确定所述主访问单元是否具有对所述从访问单元的访问权限。4.根据权利要求3所述的装置，其特征在于，所述防火墙单元还包括第一寄存器单元；其中：所述第一寄存器单元，用于存储所述从访问单元的单元读写权限信息；所述第一检测子单元根据所述读写标签确定所述主访问单元是否具有对所述从访问单元的访问权限的步骤，包括：根据所述读写标签，确定所述主访问单元对所述目标寄存器的目标访问操作，所述目标访问操作为读访问或写访问；根据所述从访问单元的单元读写权限信息，确定是否允许对所述从访问单元执行所述目标访问操作；在允许对所述从访问单元执行所述目标访问操作的情况下，确定所述主访问单元具有对所述从访问单元的访问权限；在不允许对所述从访问单元执行所述目标访问操作的情况下，确定所述主访问单元不具有对所述从访问单元的访问权限。5.根据权利要求3或4所述的装置，其特征在于，所述包头信息中还包括所述目标寄存器的地址信息；所述第二检测子单元具体用于：在所述主访问单元具有对所述从访问单元的直通访问权限的情况下，确...

【专利技术属性】
技术研发人员：占瑜毅，
申请(专利权)人：北京奕斯伟计算技术股份有限公司，
类型：发明
国别省市：