一种DDR权限管理方法及装置与流程

一种ddr权限管理方法及装置
技术领域
1.本发明涉及计算机技术领域，尤其涉及一种ddr权限管理方法及装置。


背景技术：

2.现有方案实现基于总线结构，安全控制与总线强耦合，多级级联总线结构安全控制将分布式，不能进行统一管理，软件设计复杂；同时某些高性能soc架构下cpu与ddr最短通路连接，此情况下将无法实现对cpu的安全控制。
3.在设计中由于总线层级较多时，需要增加数据安全所需信息fifo存储，成本升高；在进行安全处理器时若需要多周期，则级联后将增加处理器周期影响总线性能。


技术实现要素：

4.本发明实施例提供一种ddr权限管理方法及装置，用于建立通用的硬件架构，使安全控制与ddr绑定，与总线层级设计无关，软件设计简单。
5.本发明第一实施例提供一种ddr权限管理方法，其特征在于，所述方法包括：
6.建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系；
7.基于所建立的对应关系，通过安全控制单元对ddr数据通路进行权限管理。
8.可选的，所述ddr与安全控制单元之间的对应关系为一一对应关系。
9.可选的，建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系之前，所述方法还包括：
10.基于任一ddr数据前端建立总线仲裁逻辑，根据所建立的总线仲裁逻辑获取总线的使用权。
11.可选的，在指令端口传输写命令的情况下，通过安全控制单元对ddr数据通路进行权限管理，包括：
12.根据写命令的地址进行写地址处理，并根据写地址处理的结果写入第一先进先出fifo存储器；
13.对写命令进行安全检测，将安全检测结果写入第二fifo存储器；
14.在写命令对应的数据下发后，通过第一fifo存储器和第二fifo存储器中所写入的数据对写命令对应的数据进行数据加扰。
15.可选的，在指令端口传输写命令的情况下，通过安全控制单元对ddr数据通路进行权限管理，还包括：
16.若当前写命令的安全检测结果为权限访问失败，将写命令对应的数据屏蔽并输出axi总线的写回应通道权限访问失败标志信号。
17.可选的，在指令端口传输读命令的情况下，通过安全控制单元对ddr数据通路进行权限管理，包括：
18.根据读命令的地址进行读地址处理，以及对读命令进行安全检测以获取读命令的权限访问是否成功的标志信号；
19.将读地址处理的结果、读命令的所述标志信号以及读命令对应的令牌token写入第三fifo存储器中；
20.在数据读取端口回应数据时，通过令牌token查询对应的读地址处理的结果和读命令的所述标志信号进行解扰，并输出所述标志信号。
21.本发明第二实施例提供一种ddr权限管理装置，所述装置包括：
22.安全控制单元，用于建立与双倍速率同步动态随机存储器ddr之间的对应关系；以及，
23.基于所建立的对应关系，对ddr数据通路进行权限管理。
24.可选的，所述装置还包括：
25.总线仲裁单元，用于在任一ddr数据前端建立总线仲裁逻辑，根据所建立的总线仲裁逻辑获取总线的使用权。
26.可选的，安全控制单元包括：
27.第一地址处理单元，用于根据写命令的地址进行写地址处理；
28.第一先进先出fifo存储器，用于根据写地址处理的结果进行数据存储；
29.第一安全检测单元，用于对写命令进行安全检测；
30.第二fifo存储器，用于存储写命令的安全检测结果；
31.写数据安全处理单元，用于在写命令对应的数据下发后，通过第一fifo存储器和第二fifo存储器中所写入的数据对写命令对应的数据进行数据加扰。
32.可选的，安全控制单元还包括：
33.第二地址处理单元，用于根据读命令的地址进行读地址处理；
34.第二安全检测单元，用于对读命令进行安全检测获取读命令的权限访问是否成功标志信号；
35.第三fifo存储器，用于存储读地址处理的结果、读命令的所述标志信号以及读命令对应的令牌token；
36.读数据安全处理单元，用于在数据读取端口回应数据时，通过令牌token查询对应的读地址处理的结果和读命令的所述标志信号进行解扰，并输出所述标志信号。
37.本发明实施例通过建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系，并通过安全控制单元对ddr数据通路进行权限管理，建立了通用的硬件架构，使安全控制与ddr绑定，与总线层级设计无关，软件设计简单。
38.上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
39.通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：
40.图1为本发明第二实施例装置框架结构示意图；
41.图2为本发明实施例安全控制单元结构示意图。
具体实施方式
42.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
43.本发明第一实施例提出一种ddr权限管理方法，所述方法包括：
44.建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系；
45.基于所建立的对应关系，通过安全控制单元对ddr数据通路进行权限管理。
46.可选的，所述ddr与安全控制单元之间的对应关系为一一对应关系。
47.在本实施例中，通过建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系，并通过安全控制单元对ddr数据通路进行权限管理，建立了通用的硬件架构，使安全控制与ddr绑定，与总线层级设计无关，软件设计简单。
48.可选的，建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系之前，所述方法还包括：
49.基于任一ddr数据前端建立总线仲裁逻辑，根据所建立的总线仲裁逻辑获取总线的使用权。
50.具体的说，在本实施例中，本实施例通过在ddr控制器前增加总线仲裁逻辑，避免了在存在多个ddr的情况下产生总线使用权的冲突。
51.可选的，在指令端口传输写命令的情况下，通过安全控制单元对ddr数据通路进行权限管理，包括：
52.根据写命令的地址进行写地址处理，并根据写地址处理的结果写入第一先进先出fifo存储器；
53.对写命令进行安全检测，将安全检测结果写入第二fifo存储器；
54.在写命令对应的数据下发后，通过第一fifo存储器和第二fifo存储器中所写入的数据对写命令对应的数据进行数据加扰。
55.具体的说，在本实施例中，在指令端口传输写命令的情况下，通过安全控制单元对ddr数据通路进行权限管理，如图2所示，包括：
56.首先，指令端口传输的写命令将写命令地址进行特定算法产生加扰因子用于数据加扰，同时将加扰因子和写命令属性写入各自的fifo；
57.然后，在写命令对应的数据下发后将使用存入fifo的写加扰因子和写命令属性对数据进行数据加扰。
58.可选的，在指令端口传输写命令的情况下，通过安全控制单元对ddr数据通路进行权限管理，还包括：
59.在当前写命令的安全检测结果为权限访问失败时，将写命令对应的数据屏蔽并输出axi总线b通道对应的权限访问失败标志信号。
60.若加扰因子生成器对应的命令为权限访问失败时则将写数据通道对应的写字节屏蔽标志设置为全部屏蔽并输出axi总线b通道回应失败。
61.综上，本发明实施例利用发送命令后再发送或回应数据的串行性，利用空闲时间完成安全判断，在传输数据的同时安全属性已经计算完成，并对传输数据进行处理，实现命
令的安全属性计算和数据处理的并发，不影响ddr通道带宽性能。
62.本发明第二实施例提出一种ddr权限管理方法，所述方法包括：
63.建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系；
64.基于所建立的对应关系，通过安全控制单元对ddr数据通路进行权限管理。
65.可选的，所述ddr与安全控制单元之间的对应关系为一一对应关系。
66.在本实施例中，通过建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系，并通过安全控制单元对ddr数据通路进行权限管理，建立了通用的硬件架构，使安全控制与ddr绑定，与总线层级设计无关，软件设计简单。
67.可选的，建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系之前，所述方法还包括：
68.基于任一ddr数据前端建立总线仲裁逻辑，根据所建立的总线仲裁逻辑获取总线的使用权。
69.具体的说，在本实施例中，本实施例通过在ddr控制器前增加总线仲裁逻辑，避免了在存在多个ddr的情况下产生总线使用权的冲突。
70.可选的，在指令端口传输读命令的情况下，通过安全控制单元对ddr数据通路进行权限管理，包括：
71.根据读命令的地址进行读地址处理，以及对读命令进行安全检测获取读命令的权限访问是否成功标志信号；
72.将读地址处理的结果、读命令的所述标志信号以及读命令对应的令牌token写入第三fifo存储器中；
73.在数据读取端口回应数据时，通过token查询对应的读地址处理的结果和读命令的所述标志信号进行解扰，并输出所述标志信号。
74.具体的说，与前述实施例不同的是，本实施例对应读命令的情况，在指令端口传输读命令的情况下，通过安全控制单元对ddr数据通路进行权限管理，包括：
75.如图2所示，首先，读命令将地址进行加扰因子生成器处理产生加扰因子用于数据解扰，同时对命令进行访问权限检测并输出权限访问是否成功标志信号，并将加扰因子、权限访问是否成功标志、令牌token存储到fifo中。
76.当回应数据时通过回应数据中的令牌token查询对应的加扰因子和权限访问是否成功标志进行回应数据的数据解扰，同时输出权限访问是否成功用于axi总线r通道的响应。
77.综上，通过本实施例方法建立了通用的硬件架构，使安全控制与ddr绑定，与总线层级设计无关，软件设计简单，每个安全控制面向对象(对应的ddr)；
78.本发明实施例利用命令发送后再发送或回应数据的串行性，利用空闲时间完成安全判断，在传输数据的同时安全属性已经计算完成，并对传输数据进行处理，实现了命令的安全属性计算和数据处理的并发，不影响ddr通道带宽性能。
79.通过安全控制单元对ddr数据通路进行权限管理，实现读写数据路径上集成加解扰、加解密等功能，扩展性强，同时支持读乱序操作且不影响ddr通道带宽性能。
80.本发明第三实施例提供一种ddr权限管理装置，如图1所示，所述装置包括：
81.安全控制单元，用于建立与双倍速率同步动态随机存储器ddr之间的对应关系；以
及，
82.基于所建立的对应关系，对ddr数据通路进行权限管理。具体的说，在本实施例中，如图1所示，建立通用硬件架构，将ddr与安全控制单元进行绑定，本实施例以面向对象的设计方法，将安全控制与ddr一一对应。
83.本发明装置通过建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系，并通过安全控制单元对ddr数据通路进行权限管理，建立了通用的硬件架构，使安全控制与ddr绑定，与总线层级设计无关，软件设计简单。
84.可选的，所述装置还包括：
85.总线仲裁单元，用于在任一ddr数据前端建立总线仲裁逻辑，根据所建立的总线仲裁逻辑获取总线的使用权。
86.具体的说，如图1所示，在ddr控制器前增加总线仲裁逻辑，在仲裁与ddr控制器之间嵌入安全控制单元。
87.可选的，安全控制单元包括：
88.第一地址处理单元，用于根据写命令的地址进行写地址处理；
89.第一先进先出fifo存储器，用于根据写地址处理的结果进行数据存储；
90.第一安全检测单元，用于对写命令进行安全检测；
91.第二fifo存储器，用于存储写命令的安全检测结果；
92.写数据安全处理单元，用于在写命令对应的数据下发后，通过第一fifo存储器和第二fifo存储器中所写入的数据对写命令对应的数据进行数据加扰。
93.具体的说，在本实施例中，如图2所示，安全控制单元包括第一地址处理单元加扰因子生成器将，写命令地址进行预设算法计算产生加扰因子用于数据加扰，同时将写命令写属性和加扰因子写入第一fifo(先进先出)存储器。
94.写命令进行访问权限鉴权后产生将权限访问是否成功标志写入第二fifo存储器；
95.写数据安全处理单元，在写命令对应的数据下发后将使用存入fifo加扰因子进行数据加扰，若访问权限鉴权检测命令为权限访问失败则将写命令对应的写数据的写数据字节使能位全部屏蔽并输出axi总线b通道需要的权限访问失败响应。
96.可选的，安全控制单元还包括：
97.第二地址处理单元，用于根据读命令的地址进行读地址处理；
98.第二安全检测单元，用于对读命令进行安全检测获取读命令的权限访问是否成功标志信号；
99.第三fifo存储器，用于存储读地址处理的结果、读命令的权限访问是否成功标志信号以及读命令对应的令牌token；
100.读数据安全处理单元，用于在数据读取端口回应数据时，通过令牌token查询对应的读地址处理的结果和读命令的权限访问是否成功标志信号进行解扰，并输出权限访问是否成功标志信号。
101.具体的说，在本发明另一个可选的实施方式中，如图2所示，安全控制单元还包括第二地址处理单元根据读命令地址进行加扰因子生成用于数据解扰。
102.第二安全检测单元用于对读命令进行的访问权限检测并输出权限访问是否成功标志信号，同时将加扰因子、权限访问是否成功标志、令牌token存储到第三fifo存储器中；
103.读数据安全处理单元，用于在数据读取端口回应数据时，通过令牌token查询对应的读地址处理的结果和读命令的权限访问是否成功标志信号进行解扰，并输出权限访问是否成功标志信号。
104.综上，本发明装置通过建立双倍速率同步动态随机存储器ddr与安全控制单元之间的对应关系，并通过安全控制单元对ddr数据通路进行权限管理，建立了通用的硬件架构，使安全控制与ddr绑定，与总线层级设计无关，软件设计简单。
105.本发明装置利用发送命令后再发送或回应数据的串行性，利用空闲时间完成安全判断，在传输数据的同时安全属性已经计算完成，并对传输数据进行处理，实现了命令的安全属性计算和数据处理的并发，不影响ddr通道带宽性能。
106.通过安全控制单元对ddr数据通路进行权限管理，实现读写数据路径上集成加解扰、加解密等功能，扩展性强，同时支持读乱序操作且不影响ddr通道带宽性能。
107.本发明安全控制单元与总线分离，与soc总线系统架构无关，安全控制单元与ddr面向对象。
108.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
109.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
110.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
111.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。