技術領域

本發明涉及嵌入式SOC集成電路設計領域，尤其是一種存儲器數據保護的方法。

背景技術

隨著嵌入式技術的發展，32位處理器CPU內核的普及，其運算能力越來越高，大量的軟件以及核心算法，都需要在CPU中運行。在32位CPU中運行的算法，多為通用的C程序編程，可移植性很高，如果泄露，會造成較嚴重的后果。在設計SOC芯片時，需要有一套完整的機制來保護軟件算法和數據不被誤刪除，不被泄露，同時需要加密，并且不影響原先的各項功能。這一套對存儲器數據保護的技術簡稱MPU(Memory?Protect?Unit)技術。

現有的SOC設計，很少能夠對存儲器數據進行保護，即使有，一般通過應用軟件解決，無法從根本上保護。有些專業安全領域，需要進行存儲器數據保護，一般會采用片上ROM工藝或內嵌FLASH等，將存儲器片內化。這種方法相比片外的存儲器有一定的效果，安全性能有明顯的提高，但還是可以用程序將片內的數據拷貝出來。

發明內容

針對上述SOC芯片中存儲器數據保護不全的問題，本發明提出一種存儲器數據保護的方法，應用該方法的SOC芯片硬件電路上有邏輯電路能夠防止片內存儲器數據被讀出，在進行Flash寫、擦除等操作時，有相應的電路進行保護。同時，上位機PC通過外部通信接口輸入權限校驗碼來控制存儲器保護單元，達到對內嵌FLASH的數據保護。權限校驗碼的設置可以防止片內數據在異常情況被誤刪誤擦，達到真正的安全芯片等級。

本發明提供一套完整的存儲器數據保護方法，解決其技術問題采用的技術方案為：在處理器CPU與存儲器之間，構建一套嚴密的數據保護機制，達到存儲器數據絕對安全。該方法包括如下步驟：

1、將存儲器分為六個區域，設置為序列號存放區、配置參數區、只執行算法區、程序區、保護數據區和開放數據區，除了開放數據區，每個區域都設有不同的權限校驗碼，只有權限校驗碼匹配正確后才能進行寫入操作，其中；

序列號存放區：存放芯片唯一序列號，只能寫入一次；

配置參數區：存放每個區域的配置參數，寫入時需要輸入權限校驗碼；

只執行算法區：非特定情況下只能執行程序和寫入數據，寫入時需要輸入權限校驗碼；

程序區：用于讀、寫和執行程序，寫入時需要輸入權限校驗碼；

保護數據區：用于讀寫數據，寫入時需要輸入權限校驗碼；

開放數據區：用于讀寫數據，寫入時不需要輸入權限校驗碼；

2、存儲器中的數據讀寫操作前需先經過存儲器保護單元，通過權限校驗碼來控制存儲器保護單元是否開啟對存儲器的相關區域的操作權限。

作為優選，所述的權限校驗碼通過外部通信接口(如USB、串口等)輸入，用完即丟棄。

作為優選，存儲器內數據可以實時加解密和配置密鑰，對存儲器中的數據進行加密，加/解密模塊由寄存器控制是否開啟，當開啟加/解密功能時，配置密鑰，密鑰寄存器只能寫入，不能讀出。對存儲區中的數據可以實時加解密而不影響整個系統的性能。

作為優選，配置存儲器中六個區域的大小，根據不同的應用需求配置不同的容量參數，程序區、保護數據區和開放數據區的大小是可以重新通過配置寄存器進行調整。

作為優選，在只執行算法區中，在非特定情況，只能執行程序和寫入數據，讀取數據是有限制的。當前程序位于只執行算法區內時，若要用到只執行算法區的數據，可以讀取數據；當前程序位于只執行算法區外時，則不能讀取數據。這樣能夠使軟件編程更方便，只執行算法區內的程序的參數變量都可以編譯在只執行區內部空間。

作為優選，只執行算法區的保護機制：當需要更新只執行算法區內程序時，必須將整個只執行算法區全部擦除，再寫入，而且只能通過芯片內ROM程序中的更新函數來完成。

作為優選，更新只執行算法區內程序時，在一次硬件復位后，設定為只有一次寫入權限，當寫完后，將權限校驗碼換成其他的值后無法再進行寫入，這樣限定數據更新功能，一定程度增加該區段的數據安全。

作為優選，序列號存放區存放的序列號在芯片生產過程就寫入，并且永遠不能擦除，每個芯片都有各自的序列號。芯片啟動后就會讀出序列號，只有序列號正確，程序才能運行，這樣可以保證每個芯片的程序只能在對應的芯片內運行，無法被復制到其它芯片中運行。序列號存放區開啟寫操作后只允許一次寫入操作，之后關閉寫入通道，達到類似OTP功能。

本發明有益的效果是：

1.分區管理和權限校驗技術使不同地存儲器地址段擁有不同的保護級別，分區大小可以由寄存器重新定義，保護過程有用戶參與。