CN106469124A - 一种存储器访问控制方法和装置 - Google Patents
一种存储器访问控制方法和装置 Download PDFInfo
- Publication number
- CN106469124A CN106469124A CN201510516312.2A CN201510516312A CN106469124A CN 106469124 A CN106469124 A CN 106469124A CN 201510516312 A CN201510516312 A CN 201510516312A CN 106469124 A CN106469124 A CN 106469124A
- Authority
- CN
- China
- Prior art keywords
- memorizer
- access
- rule
- read
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种存储器访问控制方法,包括:获取存储器访问命令;基于所述存储器访问命令,确定是否具有访问存储器的权限;确定具有访问存储器的权限时,将待写入存储器的数据进行加密后写入存储器,或者从存储器中读取数据并对读取出的数据进行解密。本发明实施例还公开了一种存储器访问控制装置。
Description
技术领域
本发明涉及存储器访问控制技术,尤其涉及一种存储器访问控制方法和装置。
背景技术
对于存储器来说,为防止存储器数据泄露而采取的安全措施越来越受到重视。通常存储器控制器如双倍速率同步动态随机存储器(Double Data Rate,DDR)控制器或EMMC(Embedded Multi Media Card)控制器不支持解加密功能,具体地说,ARM(Advanced RISC Machines)处理器的智能外设(intelligentperipheral,IP)TZC-380/TZC-400可以用于保护DDR,但是没有解加密功能;而存储适配器BP141可以用于保护静态随机存取存储器(Static Random AccessMemory,SRAM),但是也不具备解加密功能。
现有技术中,可以实现对从存储器读取的数据或写入存储器的数据进行解加密,但是,在对存储器进行访问时,存储器的访问控制策略设置的比较简单,例如,存储器只通过解加密功能来进行访问控制,如此,会对存储器数据的安全性造成影响。
发明内容
为解决上述技术问题,本发明实施例期望提供一种存储器访问控制方法和装置,可以提高存储器访问的安全性。
本发明的技术方案是这样实现的:
本发明实施例提供了一种存储器访问控制方法,包括:
获取存储器访问命令;
基于所述存储器访问命令,确定是否具有访问存储器的权限;
确定具有访问存储器的权限时,将待写入存储器的数据进行加密后写入存储器,或者从存储器中读取数据并对读取出的数据进行解密。
上述方案中,所述基于所述存储器访问命令,确定是否具有访问存储器的权限,包括:基于所述存储器访问命令和预先设置的访问规则,确定是否具有访问存储器的权限。
上述方案中,所述存储器访问命令包括以下至少一种信息:访问源的ID、访问指示标识,所述访问指示标识为读访问指示标识或写访问指示标识;
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则;
所述ID访问规则,用于在所述访问源的ID属于能够访问存储器的ID时,允许对存储器进行访问;在所述访问源的ID不属于能够访问存储器的ID时,不允许对存储器进行访问;
所述读写访问规则,用于设置存储器的读写权限,在所述存储器访问命令与所设置的存储器的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与所设置的存储器的读写权限不匹配时,不允许对存储器进行访问;
所述保护规则,用于设置存储器的保护标识,在读访问指示标识与存储器的保护标识相匹配时,或者在写访问指示标识与存储器的保护标识相匹配时,允许对存储器进行访问;在存储器访问命令为读访问命令,且读访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问;在存储器访问命令为写访问命令,且写访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问。
上述方案中,在确定是否具有访问存储器的权限之前,所述方法还包括按照存储器的地址将存储器划分为多个区域;
所述存储器访问命令包括存储器访问地址,还包括以下至少一种信息:访问源的ID、访问指示标识,所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址;所述访问指示标识为读访问指示标识或写访问指示标识;
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则;
所述ID访问规则,包括存储器每个区域的ID访问子规则;所述存储器每个区域的ID访问子规则,用于在存储器访问地址处于存储器对应区域,且访问源的ID属于能够访问存储器对应区域的ID时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问源的ID不属于能够访问存储器对应区域的ID时,不允许对存储器进行访问;
所述读写访问规则,包括存储器每个区域的读写访问子规则;所述存储器每个区域的读写访问子规则,用于设置存储器对应区域的读写权限,在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时,不允许对存储器进行访问;
所述保护规则,包括存储器每个区域的保护子规则;所述存储器每个区域的保护子规则,用于设置存储器对应区域的保护标识,在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识相匹配时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识不匹配时,不允许对存储器进行访问。
上述方案中,当所述预先设置的访问规则中的每种规则均允许对存储器进行访问时,确定具有访问存储器的权限。
上述方案中,所述将待写入存储器的数据进行加密后写入存储器包括:采用高级加密标准AES或数据加密标准DES加密算法对待写入存储器的数据进行加密,将加密后的密文写入存储器;
所述从存储器中读取数据并对读取出的数据进行解密,包括:采用AES或DES解密算法对从存储器中读取出的数据进行解密。
上述方案中,所述将待写入存储器的数据进行加密后写入存储器包括:采用在线加密方式对待写入存储器的数据进行加密;
所述从存储器中读取数据并对读取出的数据进行解密,包括:采用在线解密方式对从存储器中读取出的数据进行解密。
本发明实施例还提供了一种存储器访问控制装置,包括:从机接口模块、访问控制模块、加解密模块和主机接口模块;其中,
从机接口模块,用于获取存储器访问命令;
访问控制模块,用于基于所述存储器访问命令,确定是否具有访问存储器的权限;
加解密模块,用于对从存储器中读取的数据进行解密,或者在确定具有访问存储器的权限时,将待写入存储器的数据进行加密;
主机接口模块,用于将加密后的待写入存储器的数据写入存储器,或者在确定具有访问存储器的权限时,从存储器中读取数据。
上述方案中,所述访问控制模块,具体用于基于所述存储器访问命令和预先设置的访问规则,确定是否具有访问存储器的权限。
上述方案中,所述存储器访问命令包括以下至少一种信息:访问源的ID、访问指示标识,所述访问指示标识为读访问指示标识或写访问指示标识;
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则;
所述ID访问规则,用于在所述访问源的ID属于能够访问存储器的ID时,允许对存储器进行访问;在所述访问源的ID不属于能够访问存储器的ID时,不允许对存储器进行访问;
所述读写访问规则,用于设置存储器的读写权限,在所述存储器访问命令与所设置的存储器的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与所设置的存储器的读写权限不匹配时,不允许对存储器进行访问;
所述保护规则,用于设置存储器的保护标识,在读访问指示标识与存储器的保护标识相匹配时,或者在写访问指示标识与存储器的保护标识相匹配时,允许对存储器进行访问;在存储器访问命令为读访问命令,且读访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问;在存储器访问命令为写访问命令,且写访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问。
上述方案中,所述访问控制模块,还用于在确定是否具有访问存储器的权限之前,按照存储器的地址将存储器划分为多个区域;
所述存储器访问命令包括存储器访问地址,还包括以下至少一种信息:访问源的ID、访问指示标识,所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址;所述访问指示标识为读访问指示标识或写访问指示标识;
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则;
所述ID访问规则,包括存储器每个区域的ID访问子规则;所述存储器每个区域的ID访问子规则,用于在存储器访问地址处于存储器对应区域,且访问源的ID属于能够访问存储器对应区域的ID时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问源的ID不属于能够访问存储器对应区域的ID时,不允许对存储器进行访问;
所述读写访问规则,包括存储器每个区域的读写访问子规则;所述存储器每个区域的读写访问子规则,用于设置存储器对应区域的读写权限,在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时,不允许对存储器进行访问;
所述保护规则,包括存储器每个区域的保护子规则;所述存储器每个区域的保护子规则,用于设置存储器对应区域的保护标识,在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识相匹配时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识不匹配时,不允许对存储器进行访问。
上述方案中,所述访问控制模块,具体用于在所述预先设置的访问规则中的每种规则均允许对存储器进行访问时,确定具有访问存储器的权限。
上述方案中,所述加解密模块,具体用于采用采用高级加密标准AES或数据加密标准DES加密算法对待写入存储器的数据进行加密,或者采用AES或DES解密算法对从存储器中读取的数据进行解密。
上述方案中,所述加解密模块,具体用于采用在线解密方式对从存储器中读取的数据进行解密,或者采用在线加密方式对待写入存储器的数据进行加密。
本发明实施例提供的种存储器访问控制方法和装置,获取存储器访问命令;基于所述存储器访问命令,确定是否具有访问存储器的权限;确定具有访问存储器的权限时,将待写入存储器的数据进行加密后写入存储器,或者从存储器中读取数据并对读取出的数据进行解密。如此,通过设置至少两种访问控制策略,可以提高存储器访问的安全性。
附图说明
图1为本发明存储器访问控制方法的第一实施例的流程图;
图2为本发明存储器访问控制方法的第二实施例的流程图;
图3为本发明存储器访问控制方法的第三实施例的流程图;
图4为本发明实施例存储器访问控制装置的组成结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
第一实施例
图1为本发明存储器访问控制方法的第一实施例的流程图,如图1所示,该方法包括:
步骤100:获取存储器访问命令。
这里,存储器包括但不限于动态随机存取存储器(Dynamic Random AccessMemory,DRAM)、静态随机存取存储器(Static Random Access Memory,SRAM)、闪存(Flash Memory)等等。
在实际应用中,可以通过总线接收来自至少一个主设备(Upstream device)的存储器访问命令,用于接收存储器访问命令的总线可以支持以下任意一种总线协议:高级高性能总线(Advanced High performance Bus,AHB)协议、AXI(Advanced extensible Interface)总线协议、ACE_Lite(AXI Coherency ExtensionsLite)总线协议。
具体地,存储器访问命令可以是用于读取存储器数据的读访问命令或用于向存储器写入数据的写访问命令;在实际应用中,存储器访问命令中包含访问种类标识,用于表明存储器访问命令时读访问命令还是写访问命令。进一步地,存储器访问命令是写访问命令时,在获取存储器访问命令的同时,还获取待写入存储器的数据。
在实际应用中,读访问命令包括所要读取的数据在存储器中的地址,还包括以下至少一种信息:访问源的ID(Identification)、读访问指示标识,所述读访问指示标识,用于在与所要读取的数据在存储器中的地址的保护标识相匹配时,表示能够读取存储器相应地址的数据;在与所要读取的数据在存储器中的地址的保护标识不匹配时,表示不能够读取存储器相应地址的数据。这里,可以预先设置存储器中每个地址的保护标识,也可以预先设置存储器中每个地址的保护标识与读访问指示标识的匹配关系。
这里,读访问指示标识可以只包括一个标识,也可以包括多个标识。例如,读访问指示标识包括以下至少一种标识:安全标识、特权标识。
下面通过示例1和示例2对读访问指示标识进行说明。
示例1:所要读取的数据在存储器中的地址的保护标识为安全标识,如果读访问指示标识包括安全标识,则表示可以从存储器相应地址处读取数据;如果读访问命令中没有读访问指示标识,或读访问指示标识不包括安全标识,则表示不能从存储器相应地址处读取数据。
示例2:所要读取的数据在存储器中的地址的保护标识包括安全标识和特权标识,如果读访问指示标识包括安全标识和特权标识,则表示可以从存储器相应地址处读取数据;反之,如果读访问命令中没有读访问指示标识,或读访问指示标识只包括安全标识,或读访问指示标识只包括特权标识,则表示不能从存储器相应地址处读取数据。
在实际应用中,写访问命令包括数据写入地址,还包括以下至少一种信息:访问源的ID、写访问指示标识,所述写访问指示标识,用于在与数据写入地址的保护标识相匹配时,表示能够向存储器的相应地址处写入数据;在与数据写入地址的保护标识不匹配时,表示不能够向存储器的相应地址处写入数据。这里,可以预先设置存储器中每个地址的保护标识,也可以预先设置存储器中每个地址的保护标识与写访问指示标识的匹配关系。
这里,写访问指示标识可以只包括一个标识,也可以包括多个标识。例如,写访问指示标识包括以下至少一种标识:安全标识、特权标识。
下面通过示例3和示例4对写访问指示标识进行说明。
示例3:数据写入地址的保护标识为特权标识,如果写访问指示标识包括特权标识,则表示能够向存储器的相应地址处写入数据;如果写访问命令不包括写访问指示标识,或写访问指示标识不包括特权标识,则表示不能够向存储器的相应地址处写入数据。
示例4:数据写入地址的保护标识包括安全标识和特权标识,如果写访问指示标识包括安全标识和特权标识,则表示能够向存储器的相应地址处写入数据;反之,如果写访问命令不包括写访问指示标识,或写访问指示标识只包括安全标识,或写访问指示标识只包括特权标识,则表示不能够向存储器的相应地址处写入数据。
步骤101:基于所述存储器访问命令,确定是否具有访问存储器的权限。
本步骤至少可以通过以下两种方法实现。
方法一:
本步骤具体包括:基于所述存储器访问命令和预先设置的访问规则,确定是否具有访问存储器的权限。这里,所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则。
所述ID访问规则,用于规定能够访问存储器的ID,在所述存储器访问命令中的访问源的ID属于所规定的能够访问存储器的ID时,允许对存储器进行访问;在所述存储器访问命令中的访问源的ID不属于所规定的能够访问存储器的ID时,不允许对存储器进行访问。也就是说,根据ID访问规则,可以获知哪个ID能够访问存储器。
所述读写访问规则,用于设置存储器的读写权限,在所述存储器访问命令与所设置的存储器的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与所设置的存储器的读写权限不匹配时,不允许对存储器进行访问。
具体地,所设置的存储器的读写权限可以是只读、只写、可读写或不能读写,当所述存储器访问命令为读访问命令,且所设置的存储器的读写权限是只读或可读写时,所述存储器访问命令与所设置的存储器的读写权限相匹配,读写访问规则允许对存储器进行访问;当所述存储器访问命令为读访问命令,且所设置的存储器的读写权限是只写或不能读写时,所述存储器访问命令与所设置的存储器的读写权限不匹配,读写访问规则不允许对存储器进行访问。
当所述存储器访问命令为写访问命令,且所设置的存储器的读写权限是只写或可读写时,所述存储器访问命令与所设置的存储器的读写权限相匹配,读写访问规则允许对存储器进行访问;当所述存储器访问命令为写访问命令,且所设置的存储器的读写权限是只读或不能读写时,所述存储器访问命令与所设置的存储器的读写权限不匹配,读写访问规则不允许对存储器进行访问。
可以看出,如果预先设置的访问规则包括ID访问规则和读写访问规则,可以实现存储器对不同的ID具有不同的读写权限。
所述保护规则,用于设置存储器的保护标识,在读访问指示标识和存储器的保护标识相匹配时,或者在写访问指示标识与存储器的保护标识相匹配时,允许对存储器进行访问;在存储器访问命令为读访问命令的情况下,如果读访问指示标识与存储器的保护标识不匹配,则保护规则不允许对存储器进行访问;在存储器访问命令为写访问命令的情况下,如果写访问指示标识与存储器的保护标识不匹配,则保护规则不允许对存储器进行访问。这里,读访问指示标识/写访问指示标识与存储器的保护标识的匹配关系可以预先设置。
例如,存储器的保护标识可以分为四种,第一种保护标识包括安全标识和特权标识,第二种保护标识只包括安全标识,第三种保护标识只包括特权标识,第四种保护标识为无标识。如果读访问指示标识或写访问指示标识包括安全标识和特权标识,则可以访问具有第一种保护标识、第二种保护标识、第三种标识或第四种保护标识的存储器;如果读访问指示标识或写访问指示标识只包括安全标识,则可以访问具有第二种保护标识或第四种保护标识的存储器;如果读访问指示标识或写访问指示标识只包括特权标识,则可以访问具有第三种保护标识或第四种保护标识的存储器;如果读访问指示标识或写访问指示标识不包括任何标识,则可以访问具有第四种保护标识的存储器。
本步骤中,当所述预先设置的访问规则中的每种规则均允许对存储器进行访问时,确定具有访问存储器的权限;当所述预先设置的访问规则中的至少一种规则不允许对存储器进行访问时,确定没有访问存储器的权限。
方法二:
在本步骤之前,按照存储器的地址将存储器划分为多个区域,存储器所划分的区域个数和区域大小均可以进行预先配置,例如将存储器划分为16个区域,这16个区域分别表示为区域0到区域15。
本步骤具体包括:基于所述存储器访问命令和预先设置的访问规则,确定是否具有访问存储器的权限。这里,所述预先设置的访问规则包括以下至少一种规则:存储器每个区域的ID访问规则、读写访问规则、保护规则。
所述ID访问规则,包括存储器每个区域的ID访问子规则;所述存储器每个区域的ID访问子规则,用于规定能够访问存储器对应区域的ID,在存储器访问地址处于存储器对应区域,且访问源的ID属于所规定的能够访问存储器对应区域的ID时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问源的ID不属于所规定的能够访问存储器对应区域的ID时,不允许对存储器进行访问;这里,所述存储器访问地址为读取存储器数据时所要读取的数据在存储器中的地址或向存储器写入数据时的数据写入地址。也就是说,根据ID访问子规则,可以获知哪个ID能访问存储器的对应区域。
所述读写访问规则,包括存储器每个区域的读写访问子规则;所述存储器每个区域的读写访问子规则,用于设置存储器对应区域的读写权限,在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时,不允许对存储器进行访问。
具体地,所设置的存储器每个区域的读写权限可以是只读、只写、可读写或不能读写,当所述存储器访问命令为读访问命令,且存储器访问地址所在区域的读写权限是只读或可读写时,所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配,此时,允许对存储器进行访问;当所述存储器访问命令为读访问命令,且存储器访问地址所在区域的读写权限是只写或不能读写时,所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配,此时,不允许对存储器进行访问。
当所述存储器访问命令为写访问命令,且存储器访问地址所在区域的读写权限是只写或可读写时,所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配,此时,允许对存储器进行访问;当所述存储器访问命令为写访问命令,且存储器访问地址所在区域的读写权限是只读或不能读写时,所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配,此时,不允许对存储器进行访问。
可以看出,如果预先设置的访问规则包括ID访问规则和读写访问规则,可以实现存储器每个区域对不同的ID具有不同的读写权限。
所述保护规则,包括存储器每个区域的保护子规则;所述存储器每个区域的保护子规则,用于设置存储器对应区域的保护标识,在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识相匹配时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识不匹配时,不允许对存储器进行访问;这里,所述访问指示标识为读访问命令中的读访问指示标识或写访问命令中的写访问指示标识。
例如,存储器每个区域的保护标识可以分为四种,第一种保护标识包括安全标识和特权标识,第二种保护标识只包括安全标识,第三种保护标识只包括特权标识,第四种保护标识为无标识。这里,将具有第一种保护标识的区域称为特权安全区域,将具有第二种保护标识的区域称为一般安全区域,将具有第三种保护标识的区域称为特权普通区域,将具有第四种保护标识的区域称为一般普通区域。如果读访问指示标识或写访问指示标识包括安全标识和特权标识,则可以访问特权安全区域、一般安全区域、特权普通区域或一般普通区域;如果读访问指示标识或写访问指示标识只包括安全标识,则可以访问一般安全区域或一般普通区域;如果读访问指示标识或写访问指示标识只包括特权标识,则可以访问特权普通区域或一般普通区域;如果读访问指示标识或写访问指示标识不包括任何标识,则可以访问一般普通区域。
需要说明的是,存储器每个区域只设置一个保护标识,存储器中每个地址的保护标识为相应地址所处在的区域的保护标识,也就是说,存储器每个区域中,每个地址的保护标识相同。
本步骤中,当所述预先设置的访问规则中的每种规则均允许对存储器进行访问时,确定具有访问存储器的权限;当所述预先设置的访问规则中的至少一种规则不允许对存储器进行访问时,确定没有访问存储器的权限。
本步骤中,ID访问规则、读写访问规则和保护规则可灵活配合使用,实现有效、功能丰富的存储器访问控制策略。
步骤102:确定具有访问存储器的权限时,将待写入存储器的数据进行加密后写入存储器,或者从存储器中读取数据并对读取出的数据进行解密。
具体地说,将待写入存储器的数据进行加密后写入存储器包括:将待写入存储器的数据通过预设的密钥加密为密文,将密文发送至存储器。从存储器中读取数据并对读取出的数据进行解密包括:在存储器中读取密文,将密文通过预设的密钥进行解密。可以看出,本步骤支持对写入到存储器中数据进行加密并支持对从存储器读取出的数据进行解密,可以通过数据加密防御存储器数据被窃取。
本步骤中,可以采用高级加密标准(Advanced Encryption Standard,AES)/数据加密标准(Data Encryption Standard,DES)等加解密算法对数据进行加解密;通过高性能的AES/DES等加解密算法,对写入存储器的数据加密,即使存储器中的数据被非法获取也无法破解,读取存储器的数据时进行对应的解密。高性能的加解密算法可保证加解密的实时性、减少读写延迟。另外,本步骤中的加密算法与解密算法需保持一致。
现有技术在对从存储器读取的数据或写入存储器的数据进行解加密时,通常采用以下两种方法来实现:第一种方法,采用软件解加密方式进行解加密;第二种方法,采用直接内存访问(Direct Memory Access,DMA)方式将相应数据调用至解加密模块,从而进行硬件解加密。然而,在采用第一种方法进行数据解加密时,软件解加密的处理效率较低;在采用第二种方法进行数据解加密时,由于采用DMA方式来调用数据,会占用存储器访问总线带宽,导致消耗较多的总线带宽资源。
相应地,本步骤可以采用在线(In-line)加密的方式来对待写入存储器的数据进行加密,可以采用在线解密的方式对从存储器中读取出的数据进行解密。相比现有的两种加解密的方式,采用在线加解密方式,可以节省总线带宽及硬件开销,并降低功耗。
进一步地,在将待写入存储器的数据进行加密后,将加密后的密文发送至存储器控制器,通过存储器控制器实现对存储器数据的写入。在从存储器中读取数据时,通过存储器控制器将相应的密文读出。这里,存储器控制器可以是DRAM控制器、SRAM控制器或闪存控制器。
本发明的存储器访问控制方法的第一实施例,可以支持多种安全控制策略,所有经过本装置的存储器访问都要经过安全权限检查,这些安全控制策略和权限检查符合ARM TrustZone可信架构中多媒体保护对于存储器安全访问的要求。
第二实施例
为了能更加体现本发明的目的,在本发明第一实施例的基础上,进行进一步的举例说明。
本发明存储器访问控制方法的第二实施例中,存储器访问命令为写访问命令,在获取存储器访问命令之后,采用方法二来确定是否具有访问存储器的权限。
图2为本发明存储器访问控制方法的第二实施例的流程图,如图2所示,该方法包括:
步骤200:配置访问控制参数。
这里,访问控制参数包括区域控制参数、ID控制参数、读写控制参数、保护控制参数和加解密参数。
本步骤中,区域控制参数包括存储器所划分的区域个数和区域大小;ID控制参数包括存储器每个区域的ID访问参数,存储器每个区域的ID访问参数包括能够访问存储器对应区域的ID;读写控制参数包括存储器每个区域的读写权限;保护控制参数包括存储器每个区域的保护标识;加解密参数包括加密方式和密钥。
步骤201:接收存储器访问命令和待写入存储器的数据。
这里,存储器访问命令为写访问命令,本步骤中,可以通过总线接收来自主设备的写访问命令和待写入存储器的数据。
步骤202:基于所述存储器访问命令,确定是否具有访问存储器的权限。
本步骤与步骤101的实现过程相同,这里不再详述。
步骤203:确定具有访问存储器的权限时,根据加解密参数,将待写入存储器的数据加密为密文。
步骤204:将写访问命令和密文按照总线协议封装,将封装后的数据发送到存储器。
第三实施例
为了能更加体现本发明的目的,在本发明第一实施例的基础上,进行进一步的举例说明。
本发明存储器访问控制方法的第三实施例中,存储器访问命令为读访问命令,在获取存储器访问命令之后,采用方法二来确定是否具有访问存储器的权限。
图3为本发明存储器访问控制方法的第三实施例的流程图,如图3所示,该方法包括:
步骤300:配置访问控制参数。
这里,访问控制参数包括区域控制参数、ID控制参数、读写控制参数、保护控制参数和加解密参数。
本步骤中,区域控制参数包括存储器所划分的区域个数和区域大小;ID控制参数包括存储器每个区域的ID访问参数,存储器每个区域的ID访问参数包括能够访问存储器对应区域的ID;读写控制参数包括存储器每个区域的读写权限;保护控制参数包括存储器每个区域的保护标识;加解密参数包括解密方式和密钥。
步骤301:接收存储器访问命令。
这里,存储器访问命令为读访问命令,本步骤中,可以通过总线接收来自主设备的读访问命令。
步骤302:基于所述存储器访问命令,确定是否具有访问存储器的权限。
本步骤与步骤101的实现过程相同,这里不再详述。
步骤303:确定具有访问存储器的权限时,从存储器中读出密文。
步骤304:根据加解密参数,对密文进行解密。
第四实施例
基于本发明存储器访问控制方法的实施例,本发明实施例还提供了一种存储器访问控制装置。
图4为本发明实施例存储器访问控制装置的组成结构示意图,如图4所示,该装置包括:从机接口模块400、访问控制模块401、加解密模块402和主机接口模块403;其中,
从机接口模块400,用于获取存储器访问命令。
访问控制模块401,用于基于所述存储器访问命令,确定是否具有访问存储器的权限。
加解密模块402,用于对从存储器中读取的数据进行解密,或者在确定具有访问存储器的权限时,将待写入存储器的数据进行加密。
主机接口模块403,用于将加密后的待写入存储器的数据写入存储器,或者在确定具有访问存储器的权限时,从存储器中读取数据。
所述访问控制模块401,具体用于基于所述存储器访问命令和预先设置的访问规则,确定是否具有访问存储器的权限。
所述存储器访问命令包括存储器访问地址,还包括以下至少一种信息:访问源的ID、访问指示标识,所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址;所述访问指示标识为读访问指示标识或写访问指示标识。
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则。
所述ID访问规则,用于在所述访问源的ID属于能够访问存储器的ID时,允许对存储器进行访问;在所述访问源的ID不属于能够访问存储器的ID时,不允许对存储器进行访问。
所述读写访问规则,用于设置存储器的读写权限,在所述存储器访问命令与所设置的存储器的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与所设置的存储器的读写权限不匹配时,不允许对存储器进行访问;
所述保护规则,用于设置存储器的保护标识,在读访问指示标识与存储器的保护标识相匹配时,或者在写访问指示标识与存储器的保护标识相匹配时,允许对存储器进行访问;在存储器访问命令为读访问命令,且读访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问;在存储器访问命令为写访问命令,且写访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问。
所述访问控制模块401,还用于在确定是否具有访问存储器的权限之前,按照存储器的地址将存储器划分为多个区域。
所述存储器访问命令包括存储器访问地址,还包括以下至少一种信息:访问源的ID、访问指示标识,所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址;所述访问指示标识为读访问指示标识或写访问指示标识。
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则。
所述ID访问规则,包括存储器每个区域的ID访问子规则;所述存储器每个区域的ID访问子规则,用于在存储器访问地址处于存储器对应区域,且访问源的ID属于能够访问存储器对应区域的ID时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问源的ID不属于能够访问存储器对应区域的ID时,不允许对存储器进行访问。
所述读写访问规则,包括存储器每个区域的读写访问子规则;所述存储器每个区域的读写访问子规则,用于设置存储器对应区域的读写权限,在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时,不允许对存储器进行访问。
所述保护规则,包括存储器每个区域的保护子规则;所述存储器每个区域的保护子规则,用于设置存储器对应区域的保护标识,在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识相匹配时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识不匹配时,不允许对存储器进行访问。
所述访问控制模块401,具体用于在所述预先设置的访问规则中的每种规则均允许对存储器进行访问时,确定具有访问存储器的权限。
所述加解密模块402,具体用于采用AES或DES加密算法对待写入存储器的数据进行加密,或者采用AES或DES解密算法对从存储器中读取的数据进行解密。
所述加解密模块402,具体用于采用在线解密方式对从存储器中读取的数据进行解密,或者采用在线加密方式对待写入存储器的数据进行加密。
如图4所示,本发明实施例存储器访问控制装置还包括处理器接口模块404和控制单元模块405;其中,
处理器接口模块404,用于接收访问控制参数,并将访问控制参数发送至控制单元模块;这里,访问控制参数的具体内容已经在本发明存储器访问控制方法的各种实施例中作出说明,这里不再详述。
处理器接口模块404,还用于接收来自控制单元模块的状态参数,这里,控制单元模块的状态参数,用于表明当前控制单元的工作状态。
进一步地,处理器接口模块404可以通过AXI、AHB和APB等总线协议来接收访问控制参数,处理器接口接收外部设备如处理器的访问控制参数时,只有当外部设备对处理器接口模块的访问为安全访问时,处理器接口模块才接收访问控制参数,否则,当外部设备对处理器接口模块的访问为非安全访问时,处理器接口模块不接收访问控制参数,这时,处理器接口模块向外部设备返回错误响应和中断。如此,可以使本发明实施例存储器访问控制装置处在安全区域,可以满足ARM TrustZone可信架构的要求中安全控制逻辑只能安全访问的要求。
所述控制单元模块405,用于根据接收的访问控制参数,对访问控制模块和加解密模块进行控制;具体地说,控制单元模块将访问控制参数中的加解密参数发送至加解密模块,将访问控制参数中的其他参数发送至访问控制模块;如此,利用控制单元模块和加解密模块,既可以实现数据的加解密控制,利用控制单元模块和访问控制模块,既可以实现多种访问控制策略。
所述从机接口模块400,用于实现本发明实施例存储器访问控制装置与主设备的数据交互;从机接口模块在接收到读访问命令时,将读访问命令发送至访问控制模块;从机接口模块在接收到写访问命令和待写入存储器的数据时,将写访问命令发送至访问控制模块,将待写入存储器的数据发送至加解密模块。
所述访问控制模块401,具体用于在接收到写访问命令时,基于所述写访问命令,确定是否具有访问存储器的权限;在确定具有访问存储器的权限时,分别发送写访问允许指令到加解密模块和从机接口模块,并将写访问命令发送至主机接口模块;在确定没有访问存储器的权限时,分别发送写访问拒绝指令到加解密模块和从机接口模块,此时不会发送写访问命令发送至主机接口模块。
所述从机接口模块400,用于在收到写访问允许指令后,发送写访问成功响应到主设备;所述从机接口模块在收到写访问拒绝指令后,发送写访问出错响应到主设备。
所述加解密模块402,用于在收到写访问允许指令后,根据加解密参数,对待写入存储器的数据进行加密,并将加密后的密文发送至主机接口模块;所述加解密模块在收到写访问拒绝指令后,不对待写入存储器的数据作任何处理。
所述主机接口模块403,用于按照总线协议,将接收的写访问命令和密文进行封装,并将封装后的数据发送至存储器。具体地说,主机接口模块将封装后的数据发送至存储器控制器,存储器控制器根据封装后的数据,将密文写入到存储器中。
所述访问控制模块401,具体用于在接收到读访问命令时,基于所述读访问命令,确定是否具有访问存储器的权限;在确定具有访问存储器的权限时,分别发送读访问允许指令到加解密模块和从机接口模块,并将读访问命令发送至主机接口模块;在确定没有访问存储器的权限时,分别发送读访问拒绝指令到加解密模块和从机接口模块,此时不会发送读访问命令发送至主机接口模块。
所述从机接口模块400,用于在收到读访问拒绝指令后,发送读访问出错响应到主设备。
所述主机接口模块403,用于按照总线协议和接收的读访问命令,从存储器中读取相应的密文,并将读取出的密文发送至加解密模块。具体地说,主机接口模块利用存储器控制来读取存储器存储的密文。
所述加解密模块402,用于在收到读访问允许指令后,根据加解密参数,对接收的密文进行解密,并将解密后的数据发送至从机接口,
所述从机接口模块400,用于在收到解密后的数据时,将解密后的数据和读访问成功相应发送至主设备。
这里,主机接口模块可以通过AXI、AHB和APB等总线协议与存储器控制器实现数据交互。
需要说明的是,本发明实施例存储器访问控制装置可以支持多个主设备的接入,在有多个主设备接入时,为每个主设备相应设置一个从机接口模块、一个访问控制模块、一个解加密模块和一个主机接口模块,这里,可以使用一个控制单元模块实现对各个访问控制模块和各个主机接口模块的控制。
在实际应用中,所述从机接口模块400、访问控制模块401、加解密模块402、主机接口模块403、处理器接口模块404和控制单元模块405均可由位于终端设备中的中央处理器(Central Processing Unit,CPU)、微处理器(MicroProcessor Unit,MPU)、数字信号处理器(Digital Signal Processor,DSP)、或现场可编程门阵列(Field Programmable Gate Array,FPGA)等实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (14)
1.一种存储器访问控制方法,其特征在于,所述方法包括:
获取存储器访问命令;
基于所述存储器访问命令,确定是否具有访问存储器的权限;
确定具有访问存储器的权限时,将待写入存储器的数据进行加密后写入存储器,或者从存储器中读取数据并对读取出的数据进行解密。
2.根据权利要求1所述的方法,其特征在于,所述基于所述存储器访问命令,确定是否具有访问存储器的权限,包括:基于所述存储器访问命令和预先设置的访问规则,确定是否具有访问存储器的权限。
3.根据权利要求2所述的方法,其特征在于,所述存储器访问命令包括以下至少一种信息:访问源的ID、访问指示标识,所述访问指示标识为读访问指示标识或写访问指示标识;
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则;
所述ID访问规则,用于在所述访问源的ID属于能够访问存储器的ID时,允许对存储器进行访问;在所述访问源的ID不属于能够访问存储器的ID时,不允许对存储器进行访问;
所述读写访问规则,用于设置存储器的读写权限,在所述存储器访问命令与所设置的存储器的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与所设置的存储器的读写权限不匹配时,不允许对存储器进行访问;
所述保护规则,用于设置存储器的保护标识,在读访问指示标识与存储器的保护标识相匹配时,或者在写访问指示标识与存储器的保护标识相匹配时,允许对存储器进行访问;在存储器访问命令为读访问命令,且读访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问;在存储器访问命令为写访问命令,且写访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问。
4.根据权利要求2所述的方法,其特征在于,在确定是否具有访问存储器的权限之前,所述方法还包括按照存储器的地址将存储器划分为多个区域;
所述存储器访问命令包括存储器访问地址,还包括以下至少一种信息:访问源的ID、访问指示标识,所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址;所述访问指示标识为读访问指示标识或写访问指示标识;
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则;
所述ID访问规则,包括存储器每个区域的ID访问子规则;所述存储器每个区域的ID访问子规则,用于在存储器访问地址处于存储器对应区域,且访问源的ID属于能够访问存储器对应区域的ID时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问源的ID不属于能够访问存储器对应区域的ID时,不允许对存储器进行访问;
所述读写访问规则,包括存储器每个区域的读写访问子规则;所述存储器每个区域的读写访问子规则,用于设置存储器对应区域的读写权限,在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时,不允许对存储器进行访问;
所述保护规则,包括存储器每个区域的保护子规则;所述存储器每个区域的保护子规则,用于设置存储器对应区域的保护标识,在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识相匹配时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识不匹配时,不允许对存储器进行访问。
5.根据权利要求3或4所述的方法,其特征在于,当所述预先设置的访问规则中的每种规则均允许对存储器进行访问时,确定具有访问存储器的权限。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述将待写入存储器的数据进行加密后写入存储器包括:采用高级加密标准AES或数据加密标准DES加密算法对待写入存储器的数据进行加密,将加密后的密文写入存储器;
所述从存储器中读取数据并对读取出的数据进行解密,包括:采用AES或DES解密算法对从存储器中读取出的数据进行解密。
7.根据权利要求1至4任一项所述的方法,其特征在于,所述将待写入存储器的数据进行加密后写入存储器包括:采用在线加密方式对待写入存储器的数据进行加密;
所述从存储器中读取数据并对读取出的数据进行解密,包括:采用在线解密方式对从存储器中读取出的数据进行解密。
8.一种存储器访问控制装置,其特征在于,所述装置包括:从机接口模块、访问控制模块、加解密模块和主机接口模块;其中,
从机接口模块,用于获取存储器访问命令;
访问控制模块,用于基于所述存储器访问命令,确定是否具有访问存储器的权限;
加解密模块,用于对从存储器中读取的数据进行解密,或者在确定具有访问存储器的权限时,将待写入存储器的数据进行加密;
主机接口模块,用于将加密后的待写入存储器的数据写入存储器,或者在确定具有访问存储器的权限时,从存储器中读取数据。
9.根据权利要求8所述的装置,其特征在于,所述访问控制模块,具体用于基于所述存储器访问命令和预先设置的访问规则,确定是否具有访问存储器的权限。
10.根据权利要求9所述的装置,其特征在于,所述存储器访问命令包括以下至少一种信息:访问源的ID、访问指示标识,所述访问指示标识为读访问指示标识或写访问指示标识;
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则;
所述ID访问规则,用于在所述访问源的ID属于能够访问存储器的ID时,允许对存储器进行访问;在所述访问源的ID不属于能够访问存储器的ID时,不允许对存储器进行访问;
所述读写访问规则,用于设置存储器的读写权限,在所述存储器访问命令与所设置的存储器的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与所设置的存储器的读写权限不匹配时,不允许对存储器进行访问;
所述保护规则,用于设置存储器的保护标识,在读访问指示标识与存储器的保护标识相匹配时,或者在写访问指示标识与存储器的保护标识相匹配时,允许对存储器进行访问;在存储器访问命令为读访问命令,且读访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问;在存储器访问命令为写访问命令,且写访问指示标识与存储器的保护标识不匹配时,不允许对存储器进行访问。
11.根据权利要求9所述的装置,其特征在于,所述访问控制模块,还用于在确定是否具有访问存储器的权限之前,按照存储器的地址将存储器划分为多个区域;
所述存储器访问命令包括存储器访问地址,还包括以下至少一种信息:访问源的ID、访问指示标识,所述存储器访问地址为所要读取的数据在存储器中的地址或存储器的数据写入地址;所述访问指示标识为读访问指示标识或写访问指示标识;
所述预先设置的访问规则包括以下至少一种规则:ID访问规则、读写访问规则、保护规则;
所述ID访问规则,包括存储器每个区域的ID访问子规则;所述存储器每个区域的ID访问子规则,用于在存储器访问地址处于存储器对应区域,且访问源的ID属于能够访问存储器对应区域的ID时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问源的ID不属于能够访问存储器对应区域的ID时,不允许对存储器进行访问;
所述读写访问规则,包括存储器每个区域的读写访问子规则;所述存储器每个区域的读写访问子规则,用于设置存储器对应区域的读写权限,在所述存储器访问命令与存储器访问地址所在区域的读写权限相匹配时,允许对存储器进行访问;在所述存储器访问命令与存储器访问地址所在区域的读写权限不匹配时,不允许对存储器进行访问;
所述保护规则,包括存储器每个区域的保护子规则;所述存储器每个区域的保护子规则,用于设置存储器对应区域的保护标识,在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识相匹配时,允许对存储器进行访问;在存储器访问地址处于存储器对应区域,且访问指示标识与存储器访问地址所在区域的保护标识不匹配时,不允许对存储器进行访问。
12.根据权利要求10或11所述的装置,其特征在于,所述访问控制模块,具体用于在所述预先设置的访问规则中的每种规则均允许对存储器进行访问时,确定具有访问存储器的权限。
13.根据权利要求8至11任一项所述的方法,其特征在于,所述加解密模块,具体用于采用高级加密标准AES或数据加密标准DES加密算法对待写入存储器的数据进行加密,或者采用AES或DES解密算法对从存储器中读取的数据进行解密。
14.根据权利要求8至11任一项所述的方法,其特征在于,所述加解密模块,具体用于采用在线解密方式对从存储器中读取的数据进行解密,或者采用在线加密方式对待写入存储器的数据进行加密。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510516312.2A CN106469124A (zh) | 2015-08-20 | 2015-08-20 | 一种存储器访问控制方法和装置 |
| PCT/CN2016/089492 WO2017028642A1 (zh) | 2015-08-20 | 2016-07-08 | 一种存储器访问控制方法和装置、计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510516312.2A CN106469124A (zh) | 2015-08-20 | 2015-08-20 | 一种存储器访问控制方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106469124A true CN106469124A (zh) | 2017-03-01 |
Family
ID=58051963
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510516312.2A Pending CN106469124A (zh) | 2015-08-20 | 2015-08-20 | 一种存储器访问控制方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN106469124A (zh) |
| WO (1) | WO2017028642A1 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391843A (zh) * | 2017-08-03 | 2019-02-26 | 腾讯科技(深圳)有限公司 | 在线视频倍速播放方法、装置、介质及智能终端 |
| CN109784098A (zh) * | 2019-01-23 | 2019-05-21 | 湖南国科微电子股份有限公司 | 一种ai加速器的加密装置及其数据处理方法 |
| CN111881435A (zh) * | 2020-08-03 | 2020-11-03 | 沈阳谦川科技有限公司 | 一种安全内存实现方法及其*** |
| CN111950017A (zh) * | 2019-05-14 | 2020-11-17 | 龙芯中科技术有限公司 | 内存数据保护方法、装置、设备以及存储介质 |
| WO2020248088A1 (zh) * | 2019-06-10 | 2020-12-17 | 华为技术有限公司 | 安全访问方法及电子设备 |
| CN112443952A (zh) * | 2019-08-30 | 2021-03-05 | 广东美的制冷设备有限公司 | 家用电器共享的方法、共享终端与终端设备 |
| CN114580005A (zh) * | 2022-05-09 | 2022-06-03 | 深圳市航顺芯片技术研发有限公司 | 数据访问方法、计算机设备及可读存储介质 |
| WO2022126644A1 (zh) * | 2020-12-18 | 2022-06-23 | 华为技术有限公司 | 模型保护装置及方法、计算装置 |
| CN117785756A (zh) * | 2024-02-23 | 2024-03-29 | 西安简矽技术有限公司 | 存储器控制***、方法、芯片及计算机可读存储介质 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108062486B (zh) | 2017-12-15 | 2020-09-15 | 杭州中天微***有限公司 | 一种针对间接访问存储控制器的存储保护装置 |
| CN108197503B (zh) * | 2017-12-15 | 2020-09-15 | 杭州中天微***有限公司 | 一种为间接访问存储控制器增加保护功能的装置 |
| CN113486410B (zh) * | 2021-06-30 | 2023-11-21 | 海光信息技术股份有限公司 | 一种保护数据安全的方法、cpu核、cpu芯片和电子设备 |
| CN116595594A (zh) * | 2023-05-19 | 2023-08-15 | 无锡摩芯半导体有限公司 | 一种基于ucb的flash的安全控制方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101930409A (zh) * | 2009-06-26 | 2010-12-29 | 巴比禄股份有限公司 | 存储装置、存储装置的控制方法以及计算机程序 |
| CN102014133A (zh) * | 2010-11-26 | 2011-04-13 | 清华大学 | 在云存储环境下一种安全存储***的实现方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4242682B2 (ja) * | 2003-03-26 | 2009-03-25 | パナソニック株式会社 | メモリデバイス |
| JP5747758B2 (ja) * | 2011-09-15 | 2015-07-15 | ソニー株式会社 | 情報処理装置、および情報処理方法、並びにプログラム |
| CN103617404A (zh) * | 2013-12-17 | 2014-03-05 | 天津赢达信科技有限公司 | 一种安全分区的存储装置 |
| CN104615953B (zh) * | 2015-02-10 | 2018-01-09 | 复旦大学 | 一种配置数据流安全性高的可编程逻辑器 |
-
2015
- 2015-08-20 CN CN201510516312.2A patent/CN106469124A/zh active Pending
-
2016
- 2016-07-08 WO PCT/CN2016/089492 patent/WO2017028642A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101930409A (zh) * | 2009-06-26 | 2010-12-29 | 巴比禄股份有限公司 | 存储装置、存储装置的控制方法以及计算机程序 |
| CN102014133A (zh) * | 2010-11-26 | 2011-04-13 | 清华大学 | 在云存储环境下一种安全存储***的实现方法 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109391843B (zh) * | 2017-08-03 | 2022-02-25 | 腾讯科技(深圳)有限公司 | 在线视频倍速播放方法、装置、介质及智能终端 |
| CN109391843A (zh) * | 2017-08-03 | 2019-02-26 | 腾讯科技(深圳)有限公司 | 在线视频倍速播放方法、装置、介质及智能终端 |
| CN109784098B (zh) * | 2019-01-23 | 2023-01-17 | 湖南国科微电子股份有限公司 | 一种ai加速器的加密装置及其数据处理方法 |
| CN109784098A (zh) * | 2019-01-23 | 2019-05-21 | 湖南国科微电子股份有限公司 | 一种ai加速器的加密装置及其数据处理方法 |
| CN111950017A (zh) * | 2019-05-14 | 2020-11-17 | 龙芯中科技术有限公司 | 内存数据保护方法、装置、设备以及存储介质 |
| CN111950017B (zh) * | 2019-05-14 | 2023-05-16 | 龙芯中科技术股份有限公司 | 内存数据保护方法、装置、设备以及存储介质 |
| WO2020248088A1 (zh) * | 2019-06-10 | 2020-12-17 | 华为技术有限公司 | 安全访问方法及电子设备 |
| CN112443952A (zh) * | 2019-08-30 | 2021-03-05 | 广东美的制冷设备有限公司 | 家用电器共享的方法、共享终端与终端设备 |
| CN111881435A (zh) * | 2020-08-03 | 2020-11-03 | 沈阳谦川科技有限公司 | 一种安全内存实现方法及其*** |
| CN111881435B (zh) * | 2020-08-03 | 2023-11-24 | 沈阳谦川科技有限公司 | 一种安全内存实现方法及其*** |
| WO2022126644A1 (zh) * | 2020-12-18 | 2022-06-23 | 华为技术有限公司 | 模型保护装置及方法、计算装置 |
| CN114580005A (zh) * | 2022-05-09 | 2022-06-03 | 深圳市航顺芯片技术研发有限公司 | 数据访问方法、计算机设备及可读存储介质 |
| CN117785756A (zh) * | 2024-02-23 | 2024-03-29 | 西安简矽技术有限公司 | 存储器控制***、方法、芯片及计算机可读存储介质 |
| CN117785756B (zh) * | 2024-02-23 | 2024-05-28 | 西安简矽技术有限公司 | 存储器控制***、方法、芯片及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017028642A1 (zh) | 2017-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106469124A (zh) | 一种存储器访问控制方法和装置 | |
| US11088846B2 (en) | Key rotating trees with split counters for efficient hardware replay protection | |
| CN104392188B (zh) | 一种安全数据存储方法和*** | |
| US8572410B1 (en) | Virtualized protected storage | |
| US20140164793A1 (en) | Cryptographic information association to memory regions | |
| CN105099711B (zh) | 一种基于zynq的小型密码机及数据加密方法 | |
| CN108090366B (zh) | 数据保护方法及装置、计算机装置及可读存储介质 | |
| US20100037069A1 (en) | Integrated Cryptographic Security Module for a Network Node | |
| US10225247B2 (en) | Bidirectional cryptographic IO for data streams | |
| US10691404B2 (en) | Technologies for protecting audio data with trusted I/O | |
| US10482039B2 (en) | Method and device for protecting dynamic random access memory | |
| US20220197825A1 (en) | System, method and apparatus for total storage encryption | |
| CN108460287A (zh) | 内存保护单元中用户控制区域的划分方法及内存保护*** | |
| CN103761456B (zh) | 一种单片机核心代码防破解的方法 | |
| CN107563213A (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
| US11748493B2 (en) | Secure asset management system | |
| CN205584238U (zh) | 一种网络数据加密器 | |
| US10783089B2 (en) | Securing data direct I/O for a secure accelerator interface | |
| CN110659506A (zh) | 基于密钥刷新对存储器进行重放保护 | |
| CN107092838A (zh) | 一种硬盘的安全访问控制方法及一种硬盘 | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| US11809610B2 (en) | Hardware protection of inline cryptographic processor | |
| CN109145557A (zh) | 一种计算机数据保护*** | |
| CN204808325U (zh) | 一种对数据进行加密的设备 | |
| CN110089070A (zh) | 用于秘钥交换以在网络功能虚拟化环境中建立安全连接的技术 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170301 |
|
| WD01 | Invention patent application deemed withdrawn after publication |