[发明专利]安全子系统的访问过滤器

说明书

一种处理系统，包括处理器、第一存储器、被配置为在多个状态之间转变的状态机、以及访问过滤器。第一存储器存储能够由处理器执行的指令，其中指令的执行使处理器发起与一个或多个硬件资源的事务。访问过滤器可以通过至少部分地基于状态机的当前状态选择性地拒绝对硬件资源的访问来过滤由处理器发起的事务。访问过滤器还可以至少部分地基于状态机的当前状态来过滤由硬件资源中的一个或多个发起的事务。

技术领域

本实施例总体上涉及安全处理系统和设备。

背景技术

许多电子系统和设备具有被设计为存储和执行高度敏感的代码和/或数据（例如，固件、软件、密钥等）的安全子系统。示例安全子系统可以包括只读存储器（ROM）、安全中央处理单元（CPU）和一个或多个密码加速器。在系统启动（boot）操作期间，安全CPU可以检索并执行存储在ROM中的代码以验证设备硬件和/或加载并初始化操作系统（OS）。在执行固件或软件之前，安全CPU可以使用密码加速器来帮助解密和/或认证存储在外部存储器（诸如闪存、通用串行总线（USB）驱动器或其他非易失性存储设备）中的这样的固件或软件。在系统启动操作结束时，安全CPU将电子系统的控制让给OS，这可以由主机CPU执行。

为了防止对敏感代码和/或数据的未授权访问，安全子系统可以与电子系统的其他部件（诸如主机处理器、外部存储器、输入设备等）隔离或物理分离。然而，单独的物理分离可能不会使安全子系统不受来自外部环境中的恶意代码的攻击。

发明内容

提供本发明内容是为了以简化的形式介绍以下在具体实施方式中进一步描述的概念的选择。本发明内容既不旨在标识权利要求主题的关键特征或必要特征，也不旨在限制要求保护的主题的范围。

公开了一种用于安全处理的方法和设备。本公开的主题的一个创新方面可以在处理系统中实现，该处理系统包括处理器、第一存储器、被配置为在多个状态之间转变的状态机、以及访问过滤器。第一存储器存储能够由处理器执行的指令，其中指令的执行使处理器发起与一个或多个硬件资源的事务。访问过滤器被配置为通过至少部分地基于状态机的当前状态选择性地拒绝对硬件资源的访问来过滤事务。

附图说明

本实施例通过示例的方式示出，并且不旨在受附图中的图的限制。

图1示出了根据一些实施例的电子系统的框图。

图2示出了根据一些实施例的安全子系统的框图。

图3示出了根据一些实施例的个性控制器的框图。

图4示出了根据一些实施例的示例硬件访问事务。

图5示出了根据一些实施例的安全子系统的更详细框图。

图6A示出了根据一些实施例的示例状态机。

图6B示出了根据一些其他实施例的示例状态机。

图6C示出了根据一些其他实施例的示例状态机。

图7是描绘根据一些实施例的用于由处理系统过滤硬件访问事务的示例操作的说明性流程图。

图8是描绘了根据一些实施例的用于改变个性控制器的状态的示例操作的说明性流程图。

具体实施方式