一種集成電路設備(1)包括：連接至處理器(4)的總線系統(2)；多個外設(12、14、16、17)，每個外設均被連接至總線系統(2)；硬件濾波器邏輯(24、26)；以及與總線系統(2)分開并且被連接至外設(12、14、16、17)的外設互連件系統(28)。對于每個外設，硬件濾波器邏輯(24、26)存儲確定該外設是否處于安全狀態的相應值。外設互連件系統(28)提供一組一個或多個信道以用于用信號發送外設(12、14、16、17)之間的事件。至少一個信道是安全信道(34)或可配置為安全信道(34)。外設互連件系統(28)被配置為允許來自處于安全狀態的外設(12、14、16、17)的事件信號通過安全信道(34)被發送，并且防止來自處于非安全狀態的外設(12、14、16、17)的事件信號通過安全信道(34)被發送。

技術領域

本發明涉及具有外設互連件(peripheral interconnect)的集成電路設備及其操作方法。

背景技術

諸如片上無線電設備的集成電路設備通常包括一個或多個處理器以及一定數量的外設，這些外設通過總線(諸如Arm^TM AMBA(高級微控制器總線體系結構)總線系統)被連接至處理器。外設的示例包括計時器、密碼協處理器、串行接口(例如，SPI或UART)和嵌入式無線電收發器。

在簡單的體系結構中，處理器通過總線直接與每個外設進行通信。這些外設僅與處理器通信，而不與彼此直接通信。這是低效的。

申請人先前已經在WO 2013/088121中描述了外設到外設的通信系統。這樣提供可編程外設互連件(PPI)，其能夠由處理器進行配置，以便第一外設可以向第二外設發送事件信號，以使第二外設響應于第一外設的事件執行任務。PPI中的信道可以配置為通過寫入與事件輸出以及與任務輸入相關聯的地址值作為映射表中的條目，將第一外設的事件輸出連接至第二外設的任務輸入。

例如，可以對這樣的PPI進行編程，以在串行接口外設的事件輸出和密碼處理器的任務輸入之間創建信道。當外設完成通過串行接口的數據接收并將數據寫入預定的存儲器地址時，事件信號可用于發出信號。任務信號可以使密碼處理器從預定的存儲器地址中讀取數據，并且將該數據輸入到加密操作。PPI信道將事件連接至任務，以便響應于串行接口外設信令已完成將數據寫入存儲器的操作來啟動加密操作。可以在發生信令時發生這種信令，而不必喚醒處理器，從而節省功率，并且有可能還帶來更快且更準確的設備時序。

在US5579531A(三菱)中提供了外設互連件系統的另一個示例。它公開了一組信號線或事件總線，可使用多路復用器將外設連接至該組信號線或事件總線，以便可以在外設之間傳輸信號。

但是，申請人已經認識到外設互連件系統在某些情況下會帶來安全風險。

集成電路設備的存儲器可以包含應當被限制訪問的敏感信息，諸如數據或軟件代碼。同樣，某些外設(諸如，密碼加速器)可能會處理敏感數據或提供其他敏感功能。因此，可能希望將對某些存儲器區域和/或某些外設的訪問限制為僅對“受信任的”軟件代碼(諸如由設備制造商開發的代碼)進行訪問，并且阻止對其他代碼的訪問(諸如由第三方開發的應用程序代碼)。

Arm^TM TrustZone為兼容性Arm^TM微控制器(例如，Cortex^TM-M33)提供兩種操作狀態：“安全”和“非安全”。

產品設計人員可以將存儲器的某些區域和/或某些外設(例如，密碼處理器)指定為“安全世界”資源，而存儲器和外設的其他區域則沒有這樣指定。可以將設備存儲器映射(涵蓋所有系統存儲器和所有存儲器映射的外設寄存器)劃分為安全和非安全地址范圍。外設可能是永久性的“安全”或“非安全”，或者其狀態可以通過軟件通過外設保護控制(PPC)寄存器進行配置。總線結構中的硬件邏輯確保“非安全世界”軟件無法直接訪問“安全世界”資源，從而在敏感資源周圍提供安全范圍。總線基礎結構部件可以支持對存儲器部件中的存儲器空間進行分區，以阻止對安全存儲器的非安全訪問。