安全外设互连件制造技术

一种集成电路设备(1)包括：连接至处理器(4)的总线系统(2)；多个外设(12、14、16、17)，每个外设均被连接至总线系统(2)；硬件滤波器逻辑(24、26)；以及与总线系统(2)分开并且被连接至外设(12、14、16、17)的外设互连件系统(28)。对于每个外设，硬件滤波器逻辑(24、26)存储确定该外设是否处于安全状态的相应值。外设互连件系统(28)提供一组一个或多个信道以用于用信号发送外设(12、14、16、17)之间的事件。至少一个信道是安全信道(34)或可配置为安全信道(34)。外设互连件系统(28)被配置为允许来自处于安全状态的外设(12、14、16、17)的事件信号通过安全信道(34)被发送，并且防止来自处于非安全状态的外设(12、14、16、17)的事件信号通过安全信道(34)被发送。

【技术实现步骤摘要】
【国外来华专利技术】安全外设互连件
本专利技术涉及具有外设互连件(peripheralinterconnect)的集成电路设备及其操作方法。
技术介绍
诸如片上无线电设备的集成电路设备通常包括一个或多个处理器以及一定数量的外设，这些外设通过总线(诸如ArmTMAMBA(高级微控制器总线体系结构)总线系统)被连接至处理器。外设的示例包括计时器、密码协处理器、串行接口(例如，SPI或UART)和嵌入式无线电收发器。在简单的体系结构中，处理器通过总线直接与每个外设进行通信。这些外设仅与处理器通信，而不与彼此直接通信。这是低效的。申请人先前已经在WO2013/088121中描述了外设到外设的通信系统。这样提供可编程外设互连件(PPI)，其能够由处理器进行配置，以便第一外设可以向第二外设发送事件信号，以使第二外设响应于第一外设的事件执行任务。PPI中的信道可以配置为通过写入与事件输出以及与任务输入相关联的地址值作为映射表中的条目，将第一外设的事件输出连接至第二外设的任务输入。例如，可以对这样的PPI进行编程，以在串行接口外设的事件输出和密码处理器的任务输入之间创建信道。当外设完成通过串行接口的数据接收并将数据写入预定的存储器地址时，事件信号可用于发出信号。任务信号可以使密码处理器从预定的存储器地址中读取数据，并且将该数据输入到加密操作。PPI信道将事件连接至任务，以便响应于串行接口外设信令已完成将数据写入存储器的操作来启动加密操作。可以在发生信令时发生这种信令，而不必唤醒处理器，从而节省功率，并且有可能还带来更快且更准确的设备时序。在US5579531A(三菱)中提供了外设互连件系统的另一个示例。它公开了一组信号线或事件总线，可使用多路复用器将外设连接至该组信号线或事件总线，以便可以在外设之间传输信号。但是，申请人已经认识到外设互连件系统在某些情况下会带来安全风险。集成电路设备的存储器可以包含应当被限制访问的敏感信息，诸如数据或软件代码。同样，某些外设(诸如，密码加速器)可能会处理敏感数据或提供其他敏感功能。因此，可能希望将对某些存储器区域和/或某些外设的访问限制为仅对“受信任的”软件代码(诸如由设备制造商开发的代码)进行访问，并且阻止对其他代码的访问(诸如由第三方开发的应用程序代码)。ArmTMTrustZone为兼容性ArmTM微控制器(例如，CortexTM-M33)提供两种操作状态：“安全”和“非安全”。产品设计人员可以将存储器的某些区域和/或某些外设(例如，密码处理器)指定为“安全世界”资源，而存储器和外设的其他区域则没有这样指定。可以将设备存储器映射(涵盖所有系统存储器和所有存储器映射的外设寄存器)划分为安全和非安全地址范围。外设可能是永久性的“安全”或“非安全”，或者其状态可以通过软件通过外设保护控制(PPC)寄存器进行配置。总线结构中的硬件逻辑确保“非安全世界”软件无法直接访问“安全世界”资源，从而在敏感资源周围提供安全范围。总线基础结构部件可以支持对存储器部件中的存储器空间进行分区，以阻止对安全存储器的非安全访问。安全事务只能通过安全软件或经过测试的授权调试器生成。非安全(不可信)软件应用无法直接访问安全(可信)资源，但必须通过由安全软件提供的API请求访问。这些API可以实施认证检查，以决定是否允许访问安全服务。这种方法使得可能已经损害非安全软件代码的一部分的攻击者更难以访问此类设备上存储的敏感信息或者或者使软件错误无意间无法访问安全资源。但是，申请人已经认识到，攻击者有可能使用外设互连件系统来损害这种设备或其他安全设备的安全性。本专利技术旨在提供一种外设到外设的通信的更安全方法。
技术实现思路
根据第一方面，本专利技术提供了一种集成电路设备，其包括：总线系统；被连接至所述总线系统的处理器；多个外设，每个外设均被连接至所述总线系统；硬件滤波器逻辑；以及与所述总线系统分开并且被连接至所述多个外设的外设互连件系统，其中：对于所述多个外设中的每个外设，所述硬件滤波器逻辑存储确定该外设是否处于安全状态的相应值；所述外设互连件系统提供一组一个或多个信道以用于用信号发送(signalling)所述多个外设之间的外设之间的事件；所述一组信道中的至少一个信道是安全信道，或者可配置为安全信道；所述外设互连件系统被配置为允许来自处于所述安全状态的外设的事件信号通过一组信道中的安全信道被发送；并且所述外设互连件系统被配置为防止来自不处于所述安全状态的外设的事件信号通过所述安全信道被发送。根据第二方面，本专利技术提供了一种操作集成电路设备的方法，其中所述集成电路设备包括：总线系统；被连接至所述总线系统的处理器；多个外设，每个外设均被连接至所述总线系统；硬件滤波器逻辑；以及外设互连件系统，其与所述总线系统分开并且被连接至所述多个外设，提供一组一个或多个信道以用于用信号发送所述多个外设的外设之间的事件，其中：对于所述多个外设中的每个外设，所述硬件滤波器逻辑存储确定该外设是否处于安全状态的相应值；并且一组信道中的一个信道是安全信道，或者可配置为安全信道，所述方法包括：所述外设互连件系统允许来自处于所述安全状态的外设的事件信号通过所述安全信道被发送；并且所述外设互连件系统防止来自不处于所述安全状态的外设的事件信号通过所述安全信道被发送。因此，将看到，根据本专利技术，集成电路设备具有外设互连件系统，该外设互连件系统提供一个或多个安全信道，只有安全外设可以在通过所述一个或多个安全信道用信号发送事件。这样，安全外设可以被安全地预订到安全信道，以便通过安全信道接收事件信号，并且响应该事件信号执行任务，而不必担心该事件信号可能已经由非安全外设发送。这样防止外设互连件系统用于从非安全外设(即，处于非安全状态的外设)触发安全外设上的任务。如果没有这种保护，现有技术的系统可能会潜在地允许恶意非安全代码使用PPI触发安全外设来执行非安全代码无法访问的任务(例如，将有害数据写入安全存储器区域)。外设互连件系统可以进一步被配置为允许处于安全状态的外设通过安全信道接收事件信号，但是防止未处于安全状态的外设通过安全信道接收事件信号。这样可以通过阻止非安全外设预订安全信道来提供进一步的安全性，否则该非安全外设可能会通过检测事件来允许信息从“安全世界”泄漏到“非安全世界”来自非安全外设的安全外设的信号。总线系统可以被配置为承载总线事务并且承载安全状态信号以用于区分安全总线事务和非安全总线事务。硬件滤波器逻辑可以被连接至总线系统。硬件滤波器逻辑可以被配置为至少取决于：i)每个总线事务的安全状态，以及ii)总线事务是否寻址处于安全状态的外设，以允许或阻止总线系统上的总线事务。该组信道可以包括多个信道，例如，两个、五个、十个或更多个信道。外设互连件系统可以被配置为防止来自未处于安全状态的外设的事件信号通过任何安全信道发本文档来自技高网...

【技术保护点】
1.一种集成电路设备，其包括：/n总线系统；/n被连接至所述总线系统的处理器；/n多个外设，每个外设均被连接至所述总线系统；/n硬件滤波器逻辑；以及/n与所述总线系统分开并且被连接至所述多个外设的外设互连件系统，/n其中：/n对于所述多个外设中的每个外设，所述硬件滤波器逻辑存储确定该外设是否处于安全状态的相应值；/n所述外设互连件系统提供一组一个或多个信道以用于用信号发送所述多个外设的外设之间的事件；/n所述一组信道中的至少一个信道是安全信道，或者可配置为安全信道；/n所述外设互连件系统被配置为允许来自处于所述安全状态的外设的事件信号通过一组信道中的安全信道被发送；并且/n所述外设互连件系统被配置为防止来自不处于所述安全状态的外设的事件信号通过所述安全信道被发送。/n

【技术特征摘要】
【国外来华专利技术】20180628 GB 1810653.41.一种集成电路设备，其包括：
总线系统；
被连接至所述总线系统的处理器；
多个外设，每个外设均被连接至所述总线系统；
硬件滤波器逻辑；以及
与所述总线系统分开并且被连接至所述多个外设的外设互连件系统，
其中：
对于所述多个外设中的每个外设，所述硬件滤波器逻辑存储确定该外设是否处于安全状态的相应值；
所述外设互连件系统提供一组一个或多个信道以用于用信号发送所述多个外设的外设之间的事件；
所述一组信道中的至少一个信道是安全信道，或者可配置为安全信道；
所述外设互连件系统被配置为允许来自处于所述安全状态的外设的事件信号通过一组信道中的安全信道被发送；并且
所述外设互连件系统被配置为防止来自不处于所述安全状态的外设的事件信号通过所述安全信道被发送。


2.根据权利要求1所述的集成电路设备，其中，所述外设互连件系统进一步被配置为：
允许处于所述安全状态的外设通过安全信道接收事件信号；并且
防止处于所述非安全状态的外设通过安全信道接收事件信号。


3.根据权利要求1或2所述的集成电路设备，其中，所述总线系统被配置为承载总线事务并且承载用于区分安全总线事务和非安全总线事务的安全状态信号，并且其中，所述硬件滤波器逻辑被连接至所述总线系统，并且被配置为至少根据以下项允许或阻止所述总线系统上的总线事务：i)每个总线事务的所述安全状态，以及ii)所述总线事务是否寻址处于安全状态的外设。


4.根据权利要求1至3中任一项所述的集成电路设备，其中，所述多个外设中的每个外设包括一个或多个相应的事件输出，或者一个或多个相应的任务输入，其中，每个事件输出可连接至所述一个或多个信道中的任一个，并且其中，每个任务输入可连接至所述信道中的任一个。


5.根据权利要求4所述的集成电路设备，其中，具有事件输出的每个外设包括用于将所述事件输出连接至所述信道中的可选信道的多路复用器，其中，具有任务输入的每个外设包括用于将所述信道中的可选信道连接至所述任务输入的多路分配器，并且其中，所述外设互连件提供用于选择所述事件输出信道和任务输入信道的寄存器接口。


6.根据权利要求1至5中任一项所述的集成电路设备，其中，所述外设互连件系统提供多个信道，其中，未被配置为安全信道的每个信道是非安全信道，并且其中，所述多个信道中的至少一个信道是非安全信道，或者可配置为非安全信道。


7.根据权利要求1至6中任一项所述的集成电路设备，其中，所述外设互连件系统被配置为允许来自安全外设和来自非安全外设的事件信号通过所述一组信...

【专利技术属性】
技术研发人员：罗南·巴尔齐克，安德斯·诺尔，维加德·安德瑞森，
申请(专利权)人：北欧半导体公司，
类型：发明
国别省市：挪威;NO