公開了一種方法和系統。系統包括處理器，用于執行應用程序的指令，指令包括對硬件設備的訪問指令；存儲器，用于存儲應用程序的指令；物理內存保護裝置，被耦合到處理器及存儲器上，其中，訪問指令經由物理內存保護裝置訪問硬件設備，物理內存保護裝置包括：寄存器組，用于存儲權限數據；物理內存仲裁器，用于采用硬件邏輯，根據權限數據確定訪問指令是否為特定應用程序對特定硬件設備的獨占式訪問指令，并據此拒絕或者繼續訪問指令。通過權限數據校驗來自處理器的訪問指令，并拒絕非權限數據中指定的應用程序對于被獨占的硬件設備的訪問指令，從而確保了應用程序對于硬件設備的獨占式訪問。

技術領域

本發明涉及芯片領域，更具體而言，涉及一種嵌入式系統和實現方法。

背景技術

在現有技術中，小型化和專業化的電子設備正變得越來越普遍。這些設備中的計算機系統為設備提供量身定制的專用功能。和傳統的計算機系統相比，這些設備中的計算機系統由于完全嵌入到設備中被稱為嵌入式系統。嵌入式系統的核心是由一個或幾個預先編程好用來執行少數幾項任務的微處理器或者單片機。

嵌入式系統的廣泛使用，在帶來低功耗和低成本的產品制造的益處的同時，也增加了對于嵌入式系統的安全需求。例如，在物聯網應用場景里，特別是傳感器物聯網設備，傳感器產生的數據對用戶的業務大數據分析有很大的作用，可以幫用戶為未來的業務布局提供有價值的海量數據信息，所以，此類數據對用戶來說是很有價值的，用戶不希望其他的用戶也能訪問和操作數據，同時對于產生這些數據的設備，需要進行獨占式管理和操作。還有一些工控領域的設備，用戶需要基于傳感器的信息控制其他設備比如路燈，馬達，風力等設備，一旦傳感器的信息被獲取篡改，將導致巨大嚴重的災難和不可估計的損失。在移動應用場景里，很多支付的應用程序都是通過指紋或密碼進行身份驗證，這就必須要求該指紋設備和密碼鍵盤外設是可信設備，被支付應用程序獨占式操作，同時對于保存在設備上的指紋和密碼，也需要進行權限控制。在數字版權應用場景，現在國家政府對數字版本管理越來越要嚴格，對設備里的視頻音頻外設都有身份驗證，然后對視頻流和音頻流進行解密后，最后播放出來，這就同樣需要應用程序對視頻和音頻外設的獨占性管理。

發明內容

有鑒于此，本方案針對提出了一種系統和方法，以解決對硬件設備的獨占式訪問需求。

為了達到這個目的，本發明提供一種系統，包括：

處理器，用于執行應用程序的指令，所述指令包括對硬件設備的訪問指令；

存儲器，用于存儲所述應用程序的指令；

物理內存保護裝置，被耦合到所述處理器及所述存儲器上，

其中，所述訪問指令經由所述物理內存保護裝置訪問所述硬件設備，所述物理內存保護裝置包括：

寄存器組，用于存儲權限數據，所述權限數據包括表示特定應用程序對特定硬件設備具有獨占式訪問權限的數據；

物理內存仲裁器，用于采用硬件邏輯，根據所述權限數據確定所述訪問指令是否為所述特定應用程序對所述特定硬件設備的獨占式訪問，并據此處理所述訪問指令。

在一些實施例中，還包括：軟件部分的安全監視器，根據應用程序配置表向所述物理內存保護裝置的寄存器組中寫入所述權限數據。

在一些實施例中，當所述安全監視器向所述寄存器組內寫入所述權限數據時，觸發執行所述物理內存保護仲裁器的校驗步驟。

在一些實施例中，所述物理內存保護仲裁器對所述權限數據執行以下的校驗步驟：

將新增的權限數據和寄存器組內已有的權限數據進行比對；

如果新增的權限數據中包含的特定應用程序對特定硬件設備的獨占式訪問權限的數據與在先的權限數據矛盾，則重啟所述系統或不執行新增操作。

在一些實施例中，所述安全監視器在特權模式下執行。