一種為間接訪問存儲控制器增加保護功能的裝置，包括：總線監視單元，用于監測總線地址，如果監測到控制寄存器操作則進行權限鑒別；如果監測到配置權限表操作，就進行表項配置；權限表單元，用于將存儲空間劃分為若干個存儲保護區，并獨立設置每個存儲區的訪問權限屬性；窗口寄存器信息總線，用于窗口寄存器信息傳遞，將存儲控制器里的窗口寄存器信息傳到保護裝置，包括讀窗口地址、寫窗口地址和擦除窗口地址，多個窗口地址可以對應同一總線窗口寄存器；越權操作處理單元，用于處理發生權限違法訪問時進行的后續操作。本發明只需將其做簡單的修改就可以增加存儲保護功能，以達到存儲保護的目的。

技術領域

本發明涉及SOC芯片安全技術，尤其涉及一種在SOC芯片中提高存儲安全性的保護裝置。

背景技術

隨著移動互聯網和物聯網快速發展，芯片安全的重要性日益提升，芯片內關鍵的數據和資源都需要被保護。具體可分為中斷保護、外設保護、存儲保護等，其中，存儲保護是極其重要的一部分。存儲保護一般指給不同的地址范圍劃分不同的訪問權限，特權態的訪問者可以限制非特權態的訪問者的訪問范圍和訪問類型。通過這種分級，將敏感數據放在只有特權態能訪問的區域，限制非特權態用戶的訪問權限，達到存儲保護的目的。

在現有技術中，針對直接訪問的存儲器已經有了很多的防護裝置，比如RAM的保護裝置，這類保護單元的特點是存儲單元的訪問地址就是總線傳過來的地址，保護單元只需對總線上地址進行鑒權，就可防止越權訪問發生。但還存在著另一些存儲器，因為存取速度比較低，其控制器不支持直接訪問，即不能直接用總線地址進行訪問，而要將訪問目標地址存到控制器內指定的地址窗口寄存器，再配置控制器內對應觸發寄存器才能觸發存儲控制器對存儲器進行訪問，比如一些低速flash控制器，E2PROM控制器，間接訪問DDR控制器等。目前，針對這類存儲的保護，通常需要重新開發新的安全存儲控制器，這會增加工作量，延長芯片開發周期。而隨著芯片安全重要性日益提升，有大量普通芯片升級安全功能的需求，怎么加快安全升級過程成為一個重要的課題。

發明內容

為了克服已有間接存儲控制器的安全性較低的不足，本發明提供一種為間接訪問存儲控制器增加保護功能的裝置，只需將其做簡單的修改就可以增加存儲保護功能，以達到存儲保護的目的。

本發明解決其技術問題所采用的技術方案是：

一種為間接訪問存儲控制器增加保護功能的裝置，所述裝置包括：

總線監視單元，用于監測總線地址，如果監測到控制寄存器操作則進行權限鑒別；如果監測到配置權限表操作，就進行表項配置；

權限表單元，用于將存儲空間劃分為若干個存儲保護區，并獨立設置每個存儲區的訪問權限屬性；

窗口寄存器信息總線，用于窗口寄存器信息傳遞，將存儲控制器里的窗口寄存器信息傳到保護裝置，包括讀窗口地址、寫窗口地址和擦除窗口地址，多個窗口地址可以對應同一總線窗口寄存器；

越權操作處理單元，用于處理發生權限違法訪問時進行的后續操作。

進一步，特權態由權限指示輸入位指示，該輸入信號有效才能對保護裝置進行使能和配置，包括各個表項地址范圍和權限屬性寄存器進行配置。

所述窗口寄存器信息總線與原存儲控制器里的窗口寄存器相連，多個窗口地址可以對應同一總線。

所述總線監視單元中，檢測到配置權限表就將總線值傳到權限表單元里對應的權限表，即對安全區范圍和屬性進行配置。

所述總線監視單元中，檢測到控制寄存器操作則把對應的窗口地址信息值作為地址輸入到權限表項進性鑒權。

所述權限表包含一個或多個表項，每個表項內容包括：表項使能位，地址范圍，權限屬性；表項使能位指示該表項是否有效；地址范圍表示該表項保護的地址范圍，包括基地址和地址段大小信息；權限屬性表示該段地址的權限。比如是否可讀，是否可寫或是否可擦除等。