本公开涉及具有自适应默认拒绝(DBD)访问控制的硬件防火墙。在一实施例中,一种系统级芯片(SoC)可以包括:多个核心域;以及通过硬件防火墙耦合到所述多个核心域的存储器,其中所述硬件防火墙被配置成响应于事件而执行自适应默认拒绝(DBD)访问策略。在另一实施例中,一种电路可以包括:被配置成产生自适应DBD策略的访问控制策略生成器;以及耦合到所述访问控制策略生成器的硬件防火墙,所述硬件防火墙被配置成执行所述自适应DBD策略。在又一实施例中,一种方法可以包括:存储第一DBD配置状态的指示,所述第一DBD配置状态可用以执行第一DBD访问控制策略;以及将所述所存储指示改变为第二DBD配置状态,所述第二DBD配置状态可用以执行第二DBD访问控制策略。行第二DBD访问控制策略。行第二DBD访问控制策略。
【技术实现步骤摘要】
具有自适应默认拒绝(DBD)访问控制的硬件防火墙
[0001]本公开大体上涉及电子电路,并且更特别地,涉及用于具有自适应默认拒绝(DBD)访问控制的硬件防火墙的系统和方法。
技术介绍
[0002]用于使用硬件防火墙实施访问控制的机制在嵌入式计算空间中是众所周知的。通常,硬件防火墙在每次重置时禁用,并且在启动后即刻显式地编程。在被完全编程与启用之后,硬件防火墙针对以下各项检查存储器事务:(a)正确访问模式,和/或(b)与每个寻址存储器空间相关联的读取、写入与执行权限。
[0003]从硬件防火墙通电直到其编程完成为止,常规硬件防火墙将固定访问控制机制(例如,通常通过执行“允许所有”或“拒绝所有”策略)不加区别地应用到所有存储器事务。
[0004]然而,本专利技术的专利技术人已认识到,固定访问控制在许多应用中是不合需要的,尤其是那些需要更复杂设置、不同操作模式或特定唤醒要求的应用。为了解决这些以及其它顾虑,本专利技术的专利技术人已开发用于具有自适应默认拒绝访问控制的硬件防火墙的机制。
技术实现思路
[0005]根据一种实施方式,一种系统级芯片(SoC)包括:
[0006]多个核心域;以及
[0007]通过硬件防火墙耦合到所述多个核心域的存储器,其中所述硬件防火墙被配置成响应于事件而执行自适应默认拒绝(DBD)访问策略。
[0008]在一个或多个实施方式中,所述多个核心域包括实时处理域和应用程序域。
[0009]在一个或多个实施方式中,所述存储器在所述实时处理域与所述应用程序域之间共享。
[0010]在一个或多个实施方式中,所述硬件防火墙包括资源域控制器(RDC)。
[0011]在一个或多个实施方式中,所述事件包括重置事件或低电力模式退出事件。
[0012]在一个或多个实施方式中,所述硬件防火墙被配置成自以下时间开始执行所述自适应DBD访问策略:(a)所述重置的拒绝时间,或(b)低电力模式退出事件的时间。
[0013]在一个或多个实施方式中,所述硬件防火墙被配置成执行所述自适应DBD访问策略,直到由信任根(RoT)装置编程的访问策略实行为止。
[0014]在一个或多个实施方式中,所述自适应DBD访问策略是至少部分地基于DBD配置状态而生成。
[0015]在一个或多个实施方式中,所述DBD配置状态与隧道规则相关联。
[0016]在一个或多个实施方式中,所述隧道规则指定向核心域授予对所述存储器的至少一区的访问权限。
[0017]在一个或多个实施方式中,第一隧道规则另外指定所述核心域在安全操作模式中运行。
[0018]在一个或多个实施方式中,所述多个隧道规则中的每一个映射到所述SoC的不同生命周期阶段。
[0019]在一个或多个实施方式中,另一自适应DBD访问策略至少部分地基于另一DBD配置状态。
[0020]在一个或多个实施方式中,所述另一DBD配置状态与另一隧道规则相关联。
[0021]在一个或多个实施方式中,所述另一隧道规则指定向另一核心域授予对所述存储器的访问权限。
[0022]根据另一种实施方式,一种电路包括:
[0023]被配置成产生自适应默认拒绝(DBD)策略的访问控制策略生成器;以及
[0024]耦合到所述访问控制策略生成器的硬件防火墙,所述硬件防火墙被配置成执行所述自适应DBD策略。
[0025]在一个或多个实施方式中,所述自适应DBD策略至少部分地基于存储在一次性可编程(OTP)存储器中的DBD配置状态而将核心域识别为具有对硬件资源的访问权限。
[0026]在一个或多个实施方式中,响应于所述电路已到达后续生命周期阶段,所述硬件防火墙被配置成执行另一自适应DBD策略,并且其中所述另一自适应DBD策略至少部分地基于存储在所述OTP存储器中的另一DBD配置状态而将另一核心域识别为具有对所述硬件资源的访问权限。
[0027]根据另一种实施方式,一种方法包括,在电子芯片中:
[0028]将第一默认拒绝(DBD)配置状态的指示存储在一次性可编程(OTP)存储器中,其中所述第一DBD配置状态能够由硬件防火墙用来执行第一DBD访问控制策略;以及
[0029]将所述所存储指示改变为第二DBD配置状态,其中所述第二DBD配置状态能够由所述硬件防火墙用来执行第二DBD访问控制策略。
[0030]在一个或多个实施方式中,所述方法另外包括响应于所述电子芯片已在离散生命周期阶段之间转变的确定而改变所述所存储指示。
附图说明
[0031]本专利技术通过例子示出并且不受附图的限制,在附图中,类似的参考标号指示类似的元件。图式中的元件为简单和清楚起见被示出,并且未必是按比例绘制。
[0032]图1为根据一些实施例的微芯片的例子的框图,所述微芯片具有多个处理域和被配置成实施自适应默认拒绝(DBD)访问控制的一个或多个硬件防火墙。
[0033]图2为根据一些实施例的自适应DBD策略生成器的例子的框图。
[0034]图3为根据一些实施例的用于执行自适应DBD策略的方法的例子的流程图。
具体实施方式
[0035]公开用于具有自适应默认拒绝(DBD)访问控制的硬件防火墙的系统和方法。如本文中所使用,术语“硬件防火墙”涉及电子电路系统,所述电子电路系统被配置成执行对一个或多个存储资源或微芯片内的区的访问权限。在操作中,硬件防火墙实现目标存储器位置相对于所选择的(多个)处理核心或(多个)总线主控器的隔离(或共享)。
[0036]特别地,本文所描述的系统和方法实现默认访问控制“隧道”的创建和管理,所述
默认访问控制“隧道”提供一组特定处理核心或总线主控器,所述特定处理核心或总线主控器在重置或电力状态改变事件期间具有对微芯片的所选组件的访问权限,而同时限制或拒绝所有其它核心或总线主控器的访问权限。
[0037]在各种实施方案中,这些系统和方法可以至少部分地通过实现硬件防火墙中的隧道规则而显著地并且安全地减少在重置或低电力模式退出事件后的唤醒时间(例如,相比于“拒绝所有”策略的应用)。硬件防火墙可以被配置成执行具有可变隧道规则的自适应DBD访问控制策略,所述可变隧道规则向所选(多个)核心或(多个)总线主控器授予指定类型的访问权限以排除所有其它核心或总线主控器。
[0038]自适应DBD访问控制策略可以取决于微芯片的生命周期而改变。通过使默认访问控制自适应,DBD策略的执行变得更有用并且测试友好。举例来说,当装置处于其生命周期的制造阶段时,默认访问控制可以使得生产测试器有权访问某些测试特征,但无权访问安全敏感区域。一旦装置到达现场生命周期阶段,就可以改变这些默认访问控制,使得系统发起程序可以被授予对使其能够对电力、重置和时钟进行排序的特征的访问权限,同时又无权访问受保护区。
[0039]图1为根据一些实施例的微芯片100的例子的框图,所述微芯片100具有多个处理域与被配置成实施自适应DBD访问控本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种系统级芯片(SoC),其特征在于,包括:多个核心域;以及通过硬件防火墙耦合到所述多个核心域的存储器,其中所述硬件防火墙被配置成响应于事件而执行自适应默认拒绝(DBD)访问策略。2.根据权利要求1所述的SoC,其特征在于,所述事件包括重置事件或低电力模式退出事件。3.根据权利要求2所述的SoC,其特征在于,所述硬件防火墙被配置成自以下时间开始执行所述自适应DBD访问策略:(a)所述重置的拒绝时间,或(b)低电力模式退出事件的时间。4.根据权利要求3所述的SoC,其特征在于,所述硬件防火墙被配置成执行所述自适应DBD访问策略,直到由信任根(RoT)装置编程的访问策略实行为止。5.根据权利要求1所述的SoC,其特征在于,所述自适应DBD访问策略是至少部分地基于DBD配置状态而生成。6.根据权利要求5所述的SoC,其特征在于,所述DBD配置状态与隧道规则相关联。7.根据权利要求...
【专利技术属性】
技术研发人员:M,
申请(专利权)人:恩智浦美国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。