【技术实现步骤摘要】
一种用于存储系统的安全隔离方法及装置
本专利技术涉及微处理器设计技术,具体涉及一种用于存储系统的安全隔离方法及装置。
技术介绍
随着计算机广泛的应用,社会对计算机的依赖也越来越大,信息安全问题正变得日益突出,敏感信息面临着巨大的泄露风险。因此,在现代微处理器设计中越来越多的关注信息安全,它往往采用多种软硬件安全技术共同保证敏感信息的安全。存储系统作为计算机系统中的关键部件,它的安全性对整个计算机系统的安全性至关重要。目前存储系统的安全主要技术是隔离和加密,由操作系统和MMU共同负责应用程序与应用程序之间、应用程序与操作系统之间的隔离,由加解密算法模块负责关键数据的加解密。但是一旦操作系统被攻破或者获取了密钥,整个系统的敏感信息都将被泄露。因此,如何实现存储系统的安全隔离,已经成为一项亟待解决的关键技术问题。
技术实现思路
本专利技术要解决的技术问题:针对现有技术的上述问题,提供一种用于存储系统的安全隔离方法及装置,本专利技术能够将存储系统划分出多个安全域并对这些安全域分别设置访问条件,只有满足访问条件的请求才能访问安全域、不满足访问条件请求将被阻塞,从而实现了存储系统的安全隔离,具有硬件实现代价小、扩展性好、结构简单、易于实现的优点。为了解决上述技术问题,本专利技术采用的技术方案为:本专利技术提供一种用于存储系统的安全隔离方法,实施步骤包括:1)截获片上网络对存储系统的读写请求,根据读写地址是否访问安全域来判断读写请求是否合法,如果读写请求合法则跳转执行步骤2);否则跳转执行步骤3);2)继续向存储系统发送读写请求、等待并缓存响应报文,跳转步骤4);3)阻塞并 ...
【技术保护点】
1.一种用于存储系统的安全隔离方法,其特征在于实施步骤包括:1)截获片上网络对存储系统的读写请求,根据读写地址是否访问安全域来判断读写请求是否合法,如果读写请求合法则跳转执行步骤2);否则跳转执行步骤3);2)继续向存储系统发送读写请求、等待并缓存响应报文,跳转步骤4);3)阻塞并丢弃读写请求、直接生成预设内容的响应报文,跳转步骤4);4)将读写请求具有相同响应通道编号的响应报文按照读写请求的发起顺序返回给片上网络。
【技术特征摘要】
1.一种用于存储系统的安全隔离方法,其特征在于实施步骤包括:1)截获片上网络对存储系统的读写请求,根据读写地址是否访问安全域来判断读写请求是否合法,如果读写请求合法则跳转执行步骤2);否则跳转执行步骤3);2)继续向存储系统发送读写请求、等待并缓存响应报文,跳转步骤4);3)阻塞并丢弃读写请求、直接生成预设内容的响应报文,跳转步骤4);4)将读写请求具有相同响应通道编号的响应报文按照读写请求的发起顺序返回给片上网络。2.一种用于存储系统的安全隔离装置,其特征在于,包括时钟转换单元和安全隔离装置,所述安全隔离装置包括控制寄存器单元(1)、片上网络接口模块(2)、写请求过滤单元(3)、读请求过滤单元(4)以及存储系统接口模块(5),所述片上网络接口模块(2)分别通过写请求过滤单元(3)、读请求过滤单元(4)和存储系统接口模块(5)相连,且所述写请求过滤单元(3)、读请求过滤单元(4)分别与控制寄存器单元(1)相连,所述控制寄存器单元(1)与时钟转换单元相连。3.根据权利要求2所述的用于存储系统的安全隔离装置,其特征在于,所述写请求过滤单元(3)包括写合法检查模块(31)、写合法标识检查模块(32)、写地址FIFO(33)、维序缓冲(34)、写数据控制FIFO(35)、写数据FIFO(36)、写返回FIFO(37)以及写返回选择模块(38),所述写合法检查模块(31)根据控制寄存器单元(1)设置的安全域信息对进入写请求的写地址进行合法检查来判断写请求是否合法,将合法的写请求的写地址写入写地址FIFO(33)以输出至存储系统接口模块(5),同时将所有写请求的写地址通道编号awid、写地址合法标志位awlegal写入维序缓冲(34)、将所有写请求的合法检查结果作为合法标识位legal写入写数据控制FIFO(35),所述写合法标识检查模块(32)根据写数据控制FIFO(35)输出的合法标识位legal将非法的写请求的写数据丢弃、将合法的写请求的数据写入写数据FIFO(36)中以输出至存储系统接口模块(5),所述写返回FIFO(37)接收存储系统接口模块(5)返回的响应报文,所述写返回选择模块(38)根据维序缓冲(34)中缓存项目输出的写地址合法标志位awlegal判断缓冲对应写请求的合法性,针对合法的写请求,则当写返回FIFO(37)中输出写请求的响应报文时将维序缓冲(34)中对应的项弹出并将写请求的响应报文返回给片上网络接口模块(2);针对非法的写请求,则根据维序缓冲(34)输出数据中的写地址通道编号awid以及根据控制寄存器单元(1)中的预设内容生成返回的响应报文并返回给片上网络接口模块(2)。4.根据权利要求3所述的用于存储系统的安全隔离装置,其特征在于,所述维序缓冲(34)包含一个01序列和一个缓冲器buffer,所述01序列中的每一位是一个bit位,所述缓冲器buffer中的每一项对应01序列中的一位,且01序列在每一拍更新一次,所述缓冲器buffer中的某一项对应的写地址通道编号awid与响应报文编号bid相等或者合法标志位awlegal为0,则其在01序列中对应的值为1、否则为0,01序列中值为1的缓冲项目表示为一个可被写返回选择模块(38)处理的缓冲项目;当维序缓冲(34)的空标志b_empty为1时,表示响应报文编号bid无效,此时的01序列只有最前端的一位为1,其余位均为0;当维序缓冲(34)的读使能信号为1时,通过01序列找到的项后面的项均需要前移一项;当维序缓冲(34)的当写使能信号为1且读使能信号为0时,维序缓冲(34)将输入信号写入尚未有有效数据的空间的最前端的位置处;当维序缓冲(34)的读写使能信号均为1时,维序缓冲(34)将输入信号写入最后一个有效数据所在的位置处。5.根据权利要求4所述的用于存储...
【专利技术属性】
技术研发人员:冯彦朝,郭御风,马卓,张明,胡乔乔,刘艳丽,侯英乐,胡权,李连鹤,闫思哲,
申请(专利权)人:天津飞腾信息技术有限公司,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。