用于提供对硬件资源的访问控制的计算装置的制作方法

相关申请的交叉引用

本申请要求题为“用于提供对硬件资源的访问控制的计算装置(computingdevicetoprovideaccesscontroltoahardwareresource)”的美国序列号15/685,795的权益，其于2017年8月24日提交并且以全文引用的方式明确地并入本文中。

本发明的一方面涉及一种用于提供对硬件资源的访问控制的计算装置。

背景技术：

在计算装置(如用于包含如信息娱乐、仪表板和高级驾驶员辅助系统(adas)等多种功能的系统的汽车片上系统(soc))中，具有多个安全目标(如根据iso-26262分类为不同汽车安全完整性等级(asil)的安全目标)的应用程序或软件可以共存。

此类应用程序必须彼此隔离，使得具有较低asil等级的应用程序不会污染具有较高asil等级的应用程序。这些安全任务可以或可以不分类为不同的安全性级别；任务的安全分类通常与其安全性分类正交。

当用于安全性时，此类汽车soc的当前访问控制实施方案不提供任何形式的安全隔离。例如，安全的东西不一定是安全的，反之亦然。例如，在汽车车载信息娱乐系统(ivi)soc中，支付应用程序需要高安全性分类，但没有安全要求。相比之下，仪表板显示任务需要中等asil(例如，a或b)分类，但没有安全性要求。这两个任务可以同时运行。在一般情况下，任务可以具有安全性要求和安全要求两者。因此，需要一种使用安全要求和安全性要求两者提供访问控制的方案。

技术实现要素：

一方面，一种计算装置包含：硬件资源；用于发送交易信号的组件，所述交易信号包含所述硬件资源的目标地址、与所述交易信号的发起者相关联的安全性数据以及与所述发起者相关联的安全数据；以及访问控制单元，所述访问控制单元耦合到所述组件和所述硬件资源，所述访问控制单元用于：接收所述交易信号；基于所述交易信号确定是否授予安全性访问；基于所述交易信号确定是否授予安全访问；以及允许基于被授予的所述安全性访问和所述安全访问两者来访问所述硬件资源。

另一方面，一种计算装置包含：用于发送交易信号的装置，所述交易信号包含硬件资源的目标地址、与所述交易信号的发起者相关联的安全性数据以及与所述发起者相关联的安全数据；用于接收所述交易信号的装置；用于基于所述交易信号确定是否授予安全性访问的装置；用于基于所述交易信号确定是否授予安全访问的装置；以及用于允许基于被授予的所述安全性访问和所述安全访问两者访问所述硬件资源的装置。

在又另一方面，一种可在计算装置中操作的方法包含：由组件发送交易信号，所述交易信号包含硬件资源的目标地址、与所述交易信号的发起者相关联的安全性数据以及与所述发起者相关联的安全数据；由访问控制单元接收所述交易信号；由所述访问控制单元基于所述交易信号确定是否授予安全性访问；由所述访问控制单元基于所述交易信号确定是否授予安全访问；以及由所述访问控制单元允许基于被授予的所述安全性访问和所述安全访问两者来访问所述硬件资源。

在又另一方面，一种非暂时性计算机可读媒体，其具有存储在其上的用于提供对硬件资源的访问控制的计算机可读指令，所述非暂时性计算机可读媒体包括被配置成使计算装置执行以下的指令：发送交易信号，所述交易信号包含所述硬件资源的目标地址、与所述交易信号的发起者相关联的安全性数据以及与所述发起者相关联的安全数据；接收所述交易信号；基于所述交易信号确定是否授予安全性访问；基于所述交易信号确定是否授予安全访问；以及允许基于被授予的所述安全性访问和所述安全访问两者来访问所述硬件资源。

附图说明

图1是根据本发明的一方面的计算装置的框图；

图2是可以在图1的计算装置中实施的流程图；

图3是根据本发明的一方面的安全性等级的实例；

图4是访问多个资源的多个信任等级的实例；

图5是与不同资源相关联的安全等级的实例；

图6a是根据本发明的一方面的访问控制方案的实例；

图6b是用于安全应用的访问控制的实例；并且

图6c是用于安全性应用的访问控制的实例。

具体实施方式

参考图1，计算装置100包含：硬件资源116；用于发送交易信号120的组件102，所述交易信号包含硬件资源116的目标地址、与交易信号120的发起者相关联的安全性数据以及与所述发起者相关联的安全数据；以及访问控制单元118，所述访问控制单元耦合到组件102和硬件资源116，访问控制单元118用于：接收交易信号120；基于交易信号120确定是否授予安全性访问；基于交易信号120确定是否授予安全访问；以及允许基于被授予的所述安全性访问和所述安全访问来访问硬件资源116。一方面，组件102可以是任何合适的硬件主组件，如通用处理器或直接存储器访问(dma)控制器。一方面，硬件资源116可以包含存储器、外围设备，如串行接口(例如，集成电路间(i2c)、串行外围接口(spi))、通用输入输出(gpio)、闪存控制器或音频接口。一方面，交易信号120的发起者可以是任何合适的软件/应用程序(如支付软件/应用程序)或硬件，如收音机、车辆驾驶员辅助系统、车辆仪表板，各自与组件102结合工作。计算装置100可以用于实施下面更详细地描述的图2所示的过程。计算装置100的实例包含集成电路，如片上系统(soc)、汽车信息娱乐系统、高级驾驶员辅助系统(adas)、工业机器人、无人机或最终用户装置(如移动装置、膝上型计算机或平板计算机)。

一方面，所述与所述发起者相关联的安全性数据包含一或多个指示所述发起者的安全性等级的位(ns，参见图3)。目标地址可以是存储器地址或外围设备的地址。另一方面，所述与所述发起者相关联的安全性数据包含访问域标识符(adid)，其唯一地标识访问域，如可以是可信执行环境、调制解调器或安全处理器的可信主机。访问域还可以包含不可信主机。与所述发起者相关联的安全数据包含安全标识符(例如sfid506，参见图5)，其标识多个安全等级之一。交易信号120可以包含安全主机标识符(sm504，参见图5)，其包含指示安全主机的位，所述安全主机可以是在处理器(例如，通用处理器102)上运行的软件。一方面，安全主机只可以访问访问控制单元118中的安全访问配置控制寄存器602(参见图6a)。一方面，访问控制单元118包含逻辑元件620(参见图6a)，以基于被授予的安全性访问和安全访问两者允许对硬件资源116的访问。另一方面，逻辑元件620可以包含and门，如图6a所示。访问控制中的逻辑元件620检查发起者的安全数据和安全性数据是否与访问控制元件配置寄存器602、612(参见图6a)中限定的安全策略和安全性策略一致。

继续图1，计算装置100包含通过总线112彼此连接的组件102(例如，通用处理器)、传感器104、无线接口106、i/o接口114、访问控制单元118和硬件资源116(例如，非暂时性存储器)。计算装置100的其它实施方案可以包含图1的示例实施方案中未示出的另外的元件和/或可以不包含图1中示出的示例实施例中示出的所有元件。例如，计算装置100的一些实施方案可以不包含无线接口106。

无线接口106可以包含使计算装置100能够使用wwan、wlan和/或其它合适的无线通信协议发送和/或接收数据的无线接收器、无线发射器、无线收发器和/或其它元件。无线接口106可以包含一或多个能够使用多种无线通信标准发射和接收无线信号的多模式调制解调器。无线接口106通过线路108连接到天线110，以向其它无线发射器、无线基站和/或被配置成使用无线通信协议进行通信的其它无线装置发送通信和从其接收通信。虽然图1中所示的计算装置100包含单个无线接口106和单个天线108，但是计算装置100的其它实施方案可以包含多个无线接口106和/或多个天线108。

i/o接口114可以提供可以为计算装置100提供数据输入和/或输出的一或多个端口和/或其它接口。例如，i/o接口114可以包含pcie或一或多个端口，如通用串行总线(usb)端口和/或可以用于将外部装置连接到计算装置的其它类型的端口。i/o接口114还可以包含一或多个输入装置，如按钮、开关、小键盘、触摸屏和/或其它用于从用户接收输入的装置。i/o接口114还可以包含一或多个用于输出音频和/或视觉内容的装置，如屏幕、扬声器、耳机端口和/或其它用于输出此类内容的装置。

传感器104可以包含一或多个可以被配置成收集数据的传感器104。传感器104可以包含以下中的一或多个：加速度计、指纹扫描仪、陀螺仪、光传感器、手势传感器、接近传感器或其组合。传感器104中的一些可以集成到计算装置100中，其它传感器可以在计算装置100的外部，并且可以通过与计算装置100的有线或无线连接将传感器数据提供到计算装置100。除了本文讨论的传感器之外或代替本文讨论的传感器，传感器104还可以包含其它类型的传感器。

一方面，组件102可以包含处理器，所述处理器可以是智能装置，例如个人计算机中央处理单元(cpu)(如由公司或制造的那些中央处理单元)、微控制器、专用集成电路(asic)等。一方面，硬件资源116可以包含存储器，所述存储器可以是可以包含随机存取存储器(ram)、只读存储器(rom)或其组合的非暂时性存储装置。此类存储器可以存储处理器可读的、处理器可执行的软件代码，所述软件代码含有用于控制所述处理器执行本文中描述的功能的指令(尽管说明书可以读取所述软件执行的所述一或多个功能)。软件可以通过经由网络连接下载、从磁盘上载等而加载到所述存储器上。进一步地，所述软件可以不是直接可执行的，例如需要在执行之前进行编译。

存储器中的软件被配置成使所述处理器能够执行各种动作，包含实施从其它无线发射器、无线基站、其它计算装置和/或被配置成用于无线通信的其它装置发送和/或接收数据。

参考图2，可在计算装置100中操作的过程200包含：(202)由组件发送交易信号，所述交易信号包含硬件资源的目标地址、与所述交易信号的发起者相关联的安全性数据以及与所述发起者相关联的安全数据；(204)由访问控制单元接收所述交易信号；(206)由所述访问控制单元确定是否基于所述交易信号来授予安全性访问；(208)由所述访问控制单元确定是否基于所述交易信号授予安全访问；以及(210)由所述访问控制单元允许基于被授予的安全性访问和安全访问两者来访问所述硬件资源。

参考图3，安全性等级图表300包含资源302、安全性数据304和访问306。安全性数据304包含一或多个ns(非安全交易)位，在所示的实例中，所述一或多个ns由单个位表示，其中位0指示安全交易，而位1指示非安全交易。如果ns位为1，则给定对非安全资源的访问，例如对管理程序或高级操作系统(hlos)的访问。如果ns位为0，则可以通过例如可信执行环境(tee)访问非安全资源。另一方面，如果ns位为0，则仅可信交易可以例如通过tee访问安全资源。作为另一个实例，安全性数据304可以包含安全位，其中位1指示安全，而位0指示不安全。

参考图4，可以增加信任或安全性等级400的数量，在所示的实例中，所述信任或安全性等级包含三个信任/安全性等级402、404和406。高信任主机402被允许访问高度安全的资源408、安全资源410和非安全资源412。中等信任主机404被允许访问安全资源410和非安全资源412。不可信主机406被允许访问非安全资源412。如图4所示，较高信任等级具有较低信任等级能力的超集合。这允许多个信任等级在同一访问域内。

参考图5，安全等级图表500包含资源502、安全主机(sm)504、定义多个安全等级的安全标识(sfid)506以及访问508。仅出于说明性目的示出了根据iso-26262限定的功能安全(asil)等级，并且本发明的方面不限于此类安全等级。sfid506是由一或多个位限定的交易元数据或安全数据，在所示实例中，所述一或多个位包含三个位。sfid编码方案的其它实例可以具有小于或大于三个位。sm504由单个位限定，在所示实例中，位1指示安全主机，而位0指示非安全主机。从图表500的底部开始，包含sm为0且sfid为000的交易信号允许访问qm(质量管理＝不安全)资源，包含sm为0且sfid为001的交易信号允许访问仅asil-a资源等。包含sm为1的交易信号仅允许安全主机访问安全配置。

安全且稳妥的使用案例的实例包含车辆到车辆通信、远程发动机停止、远程诊断以及安全的车载通信。不安全但稳妥的使用案例的实例包含仪表板信号装置、环视摄像头和被动车道检测。安全而不稳妥的使用案例的实例包含付款、磁盘加密、受drm保护的视频回放和部件证明。不安全且不稳妥的使用案例的实例包含音乐、浏览器和空调。

参考图6a，示出了包含在访问控制单元118(参见图1)内的示例访问控制600，所述示例访问控制包含安全配置寄存器602、安全门648、安全性配置寄存器612、安全性门650和逻辑元件620，在所示实例中，所述逻辑元件为and门。安全配置寄存器602包含多个安全寄存器630、632、634、636和638。安全性配置寄存器612包含多个安全性寄存器640、642、644和646。安全门648包含安全资源a地址604、安全资源b地址606、安全资源c地址608、安全资源n地址610，各自具有相应的访问规则和sfid。安全性门650包含安全性资源组1地址614、安全性资源组2地址616和安全性资源组m地址618，各自具有相应的访问规则ns以及ad1和ad2。安全资源由其地址和其安全等级限定。安全性资源由其地址和其安全性等级限定。资源可以是存储器区、外围设备和csr。每个资源具有与其相关联的安全性等级和安全等级两者。硬件资源可以具有其自己的访问控制单元，或者访问控制单元可以控制多个硬件资源。

继续图6a，交易信号(又称为交易)由访问控制600在总线628上从组件102(参见图1)接收，所述组件可以是通用处理器。交易信号与合适的有效载荷数据一起包含目标地址、ns、访问域标识符ad1、ad2、sm和sfid中的一或多个，如前所述。所述目标地址是如存储器116(参见图1)等硬件资源的目标地址，ns是与所述交易信号的发起者相关联的安全性数据的实例，而sfid是与所述发起者相关联的安全数据的实例。在硬件资源是存储器116的实例中，目标地址可以是存储器地址。对于更高或更严格的安全等级(例如，更高的asil等级(如asil-c和asil-d))，交易信号可以包含源id，所述源id是发送或起始所述交易信号的组件的id。访问控制600检查所述目标地址并确定正在访问哪个安全性资源组和哪个安全资源。安全性访问控制从所述交易信号中检查ns和/或adi，并确定是否授予安全性访问。安全访问控制检查sfid和sm，并根据所述交易信号确定是否授予安全访问。当且仅当授予安全访问和安全性访问两者时，才授予访问。安全检查和安全性检查可以在访问控制600内并行执行以减少交易开销(等待时间)。

继续图6a，访问控制600中的逻辑元件620检查发起者的安全数据和安全性数据是否与分别在安全配置寄存器602和安全性配置寄存器612中限定的安全策略和安全性策略一致。例如，与安全资源b地址606相关联的通过/失败安全信号622和与资源组2地址616相关联的通过/失败安全性信号624被输入到逻辑元件620，所述逻辑元件输出允许(通过)或不允许(失败)访问发起者、访问由目标地址标识的硬件资源的信号626。以此方式，与发起者相关联的安全性数据和安全数据两者用于实施硬件资源的访问控制。

参考图6b，示出了安全检查和安全性检查的实例，其中发起者是安全应用程序652。包含在汽车信息娱乐系统内的组件(例如，通用处理器)运行此类安全应用程序，使得所述组件如上所述发送交易信号。除其它方面之外，与安全应用程序652相关联的此类交易信号包含sfid＝010、目标存储器地址＝50和ns＝1。执行安全检查654，在此实例中，目标存储器地址＝50落入与“允许的”安全规则相关联的存储器地址范围0-100(654)内(即，存储器地址范围0-100可以由任何发起者访问)。因此，安全检查654产生通过信号。还例如与安全检查654同时执行安全性检查656，在此实例中，目标存储器地址＝50落入与安全性规则“如果为安全性应用程序，则ok”相关联的存储器地址范围0-100(656)内，其中ns＝0。因此，由于安全应用程序652与ns＝1相关联，因此安全性检查656产生失败信号。在此实例中，逻辑元件620输出失败信号或“未授予访问”信号，因为其输入之一是失败信号。因此，不允许安全应用程序652访问存储器116的存储器地址＝50(参见图1)。

参考6c，示出了安全检查和安全性检查的实例，其中发起者是安全性应用程序658(如支付应用程序)。包含在汽车信息娱乐系统内的组件(例如，通用处理器)运行此类安全性应用程序，使得所述组件如上所述发送交易信号。除其它方面之外，与安全性应用程序658相关联的此类交易信号包含sfid＝000、目标存储器地址＝100和ns＝0。执行安全检查654，在此实例中，目标存储器地址＝100落入与“允许的”安全规则相关联的存储器地址范围0-100(654)内(即，存储器地址范围0-100可以由任何发起者访问)。因此，安全检查654产生通过信号。还执行安全性检查656，在此实例中，目标存储器地址＝100落入与安全性规则“如果为安全性应用程序，则ok”相关联的存储器地址范围0-100(656)内，其中ns＝0。因此，由于安全性应用程序658与ns＝0相关联，因此安全性检查656产生通过信号。在此实例中，逻辑元件输出通过信号或“授予访问”信号，因为其输入两者是通过信号。因此，允许安全性应用程序658访问存储器116的存储器地址＝100(参见图1)。

如果存在安全主机，则其在装置上的asil分类最高。可能存在其它具有相同asil等级的主机，但没有一个更高。sm＝1的交易信号无法访问安全资源。sm＝1的此类交易信号只能访问安全配置寄存器。sm可以重新配置安全访问控制，即，如果检测到故障，则退回到“安全模式”。sm可以根据安全配置寄存器锁定非sm。安全主机是安全的。否则，安全主机可能会被破坏并用于损害所述安全配置。当不充当配置安全主机时，sm将输出sm＝0的交易。

对所述访问控制配置寄存器的访问权限与交易信号检查分开。但是，其至少与对所述资源的访问一样安全，即，配置资源的交易信号的sfid必须≥可以访问所述资源的交易的sfid。可以为资源配置和资源访问限定不同的安全性访问。例如，asil-b资源可能具有配置访问＝{sfid＝asil-b，安全的安全管理过程}和资源访问＝{sfid＝asil-b，非安全以太网驱动器过程}。配置主机可以驱动到交易信号上的sfid包含对其自己的软件进行认证的主机。例如，在启动期间，从经过认证的图像中读取针对每个资源的sfid_max值，并将所述值写入控制sfid输出的一次写入寄存器。这将也是配置所述资源的访问控制所需的权限。不对其自己的软件进行认证的主机在启动期间将由自认证主机配置并锁定。安全资源边界和安全性资源边界不必对齐。安全资源和安全性资源不一定是一对一映射的。访问控制可以是主机侧的或从属侧的(或甚至对于高asil实施方案都是如此)。可以根据iso-26262要求以可以由受保护资源支持的最高asil等级实施资源安全配置控制和允许/不允许决策逻辑。重新配置安全和/或安全性访问控制的错误或恶意进程可能导致拒绝服务。可以通过(但不限于)在系统初始化时锁定配置、安全且稳妥的安全主机和安全性主机两者或对安全配置和安全性配置的定期测量来防止这种情况。

本发明的一方面包含计算装置100，所述计算装置包含：用于发送交易信号的装置，所述交易信号包含硬件资源的目标地址、与所述交易信号的发起者相关联的安全性数据以及与所述发起者(例如，组件102)相关联的安全数据；用于接收所述交易信号的装置(例如，访问控制单元118)；用于基于所述交易信号确定是否授予安全性访问的装置(例如，访问控制单元118)；用于基于所述交易信号确定是否授予安全访问的装置(例如，访问控制单元118)；以及用于允许基于被授予的所述安全性访问和所述安全访问两者访问所述硬件资源的装置(例如，访问控制单元118，例如逻辑元件620)。与各种装置相对应的上述示例结构可以与存储为存储器116中的合适的指令或代码的过程200(参见图2)一起使用，以实施本发明的各个方面。

在本发明的另一方面，一种非暂时性计算机可读媒体，其具有存储在其上的用于提供对硬件资源的访问控制的计算机可读指令，所述非暂时性计算机可读媒体包括被配置成使计算装置执行以下的指令：发送交易信号，所述交易信号包含所述硬件资源的目标地址、与所述交易信号的发起者相关联的安全性数据以及与所述发起者相关联的安全数据；接收所述交易信号；基于所述交易信号确定是否授予安全性访问；基于所述交易信号确定是否授予安全访问；以及允许基于被授予的所述安全性访问和所述安全访问两者来访问所述硬件资源。此类非暂时性计算机可读媒体可以体现在图1所示的存储器116中。

处理器102可以是可以由软件指令(应用程序)配置以用于执行多种功能(包括上文描述的各个方面的功能)的任何可编程微处理器、微计算机、或一或多个多处理器芯片。在一些装置中，可以提供多个处理器，如专用于无线通信功能的一个处理器和专用于运行其它应用程序的一个处理器。典型地，在访问软件应用程序并将其载入处理器102中之前，可以将其存储在内部存储器中。处理器102可以包含足以存储应用程序软件指令的内部存储器。在许多装置中，所述内部存储器可以是易失性或非易失性存储器，如闪存存储器、或二者的组合。出于本说明的目的，对存储器的一般性提及是指处理器102可访问的传感器，包含插入所述装置中的内部存储器或可移动存储器以及处理器102自身内的存储器。

以上方法说明和过程流程图仅作为说明性实例提供的并且不旨在要求或暗示各个方面的步骤都必须按所呈现的顺序来执行。本领域技术人员将了解的是，以上方面中的步骤顺序可以按任意顺序执行。“此后”、“然后”、“下一个”等词语不旨在限制步骤的顺序；这些词语只用来引导读者阅读所述方法说明。而且，以单数形式声明元件的任何引用(例如使用冠词“一个/一种(a/an)”或“所述”)不应被解释为将所述元件限制于单数。

可以将关于本文所公开的方面所描述的各种说明性的逻辑块、模块、电路、和算法步骤实施为电子硬件、计算机软件、或二者的组合。为了清楚地说明硬件和软件的这种可互换性，以上已经大体地在其功能性方面描述了各种说明性组件、块、模块、电路和步骤。将这种功能实施为硬件还是软件取决于在整体系统上强加的特定应用和设计约束条件。熟练的技术人员可以对每个特定应用使用不同方式来实施所描述的功能，但是所述实施决策不应被解释为导致脱离本发明的范围。

用以实施结合本文中公开的方面描述的各种例示性逻辑、逻辑框、模块、以及电路的硬件可利用通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程门阵列(fpga)或其它可编程逻辑器件、分立的门或晶体管逻辑、分立的硬件组件、或其设计成执行本文中描述的功能的任何组合来实施或执行。通用处理器可以是微处理器，但在替代方案中，所述处理器可以是任何常规处理器、控制器、微控制器、或状态机。处理器也可以实施为计算装置的组合，例如，dsp与微处理器的组合、多个微处理器、结合dsp核的一或多个微处理器或者任何其它此类配置。可替代地，一些步骤或方法可由专用于给定功能的电路系统来执行。

在一或多个示例性方面，所描述的功能可以在硬件、软件、固件或其任意组合中实施。如果在软件中实施，所述功能可以作为一或多个指令或代码存储在非暂时性计算机可读媒体或非暂时性处理器可读媒体上。可以在处理器可执行软件模块和/或处理器可执行指令中实施本文公开的方法步骤或算法，所述软件模块和/或指令可存在于非暂时性计算机可读或非暂时性处理器可读存储媒体上。非暂时性计算机可读或处理器可读存储媒体可以是能够由计算机或处理器访问的任何存储媒体。通过实例，而非限制，例如非暂时性计算机可读或处理器可读媒体可以包含ram、rom、eeprom、闪速存储器、cd-rom、或其它光盘存储、磁盘存储或其它磁存储设备或可用来以指令或数据结构的形式存储希望的程序代码并且计算机可访问的任何其它媒体。如本文所使用的，盘和碟包含压缩碟(cd)、激光碟、光碟、数字化视频光盘(dvd)、软盘和蓝光碟，在此盘通常磁性地复制数据，而碟用激光光学地复制数据。上述项的组合也包含在非暂时性计算机可读和处理器可读媒体的范围内。此外，方法或算法的操作可以作为代码和/或指令中的一者或任何组合或集合驻留在可以并入到计算机程序产品中的非暂时性的处理器可读媒体和/或计算机可读媒体上。

所公开的方面的在先描述被提供以使本领域技术人员能够执行或使用权利要求。对这些方面的各种修改对于本领域技术人员来说将是显而易见的，并且在不脱离所述权利要求的范围的情况下，可以将本文所定义的一般原理应用于其它方面。由此，本公开并非旨在限定于本文中示出的方面，而是应被授予与所附权利要求和本文中公开的原理和新颖性特征一致的最广义的范围。