一种机载计算机存储系统敏感分区防护方法与流程

本发明一种机载计算机存储系统敏感分区防护方法，是基于机载计算机存储系统的特点提出的，属于机载计算机设计领域。

背景技术：

存储介质在硬件设计时一般使用字扩展或者位扩展技术将多片小容量或低位宽的存储器拼接成满足系统要求的存储介质。字扩展是用多片位宽相同的存储器扩展出存储容量较大的存储介质的方法，字扩展只扩展存储器的容量；位扩展是用位数少的多片存储器组合成位数较多的存储介质的扩展方法，位扩展不仅扩展存储器的容量，也扩展存储器的位宽。

机载计算机系统中常采用多片低位宽(8位或16位)的存储器通过位扩展方式实现高位宽(32位或64位)的存储介质。机载计算机系统中，采用分区管理的方法对存储介质进行管理。丢失或损坏后会带来重大损失或增加维护成本的数据称为敏感数据，存放敏感数据的分区称为敏感分区。

位扩展实现的存储系统中每个分区均包含多个存储器的部分存储空间构成。存储器多用flash实现，flash芯片一般设计有写保护信号，可通过软件或硬件进行控制。该信号可实现是否允许对整个flash芯片执行写操作。因此存储器自带的写保护信号不能满足机载计算机存储系统的分区防护需求。

在存储系统的译码逻辑中设计存储空间访问权限控制逻辑，在软件中设计配置软件，实现访问资源的分区防护。实现敏感分区的重点防护，避免非法操作或误操作造成的数据丢失或损坏。

技术实现要素：

本发明的目的是：鉴于敏感分区的重要性，提出一种机载计算机存储系统敏感分区防护方法。通过设计电子硬件逻辑控制访问权限，软件灵活配置的防护策略，实现分区的访问控制，选择不同的控制策略可实现敏感分区的重点防护，避免对敏感分区非法操作或误操作造成数据丢失或损坏。

本发明的技术方案：一种机载计算机存储系统敏感分区防护方法，是基于机载计算机的存储系统分区管理的特点实现，存储系统包括处理器单元、逻辑译码单元(fpga)、存储介质；存储介质采用位扩展技术将位数少的多片存储介质扩展为位数多的存储介质；存储系统中存储介质的每个分区都包含多个位数少的存储介质的一部分；逻辑译码单元将处理器单元存储总线的控制信号和地址，译码为存储介质的控制信号，完成处理器对存储介质的访问；存储介质依据逻辑译码单元的控制信号，完成数据的写入或读出。

所述存储介质采用位扩展技术将位数少的多片存储介质扩展成位数多的存储介质。存储系统的每个分区都包含多个位数少的存储介质的一部分，位数少的存储介质自带的保护措施(写保护功能)无法满足敏感分区保护的需求。

所述逻辑译码单元在逻辑译码中设计了防护逻辑及加密逻辑，完成对访问权限的判断，禁止误操作。其中防护逻辑包含防护分区的地址空间判断逻辑，访问权限判断逻辑，以及防护使能/禁止判断逻辑；加密逻辑包括加密使能/禁止判断逻辑，加密逻辑。

所述处理器单元中设计相应配置软件，可实现对需要保护分区的地址空间设置，访问权限设置，防护功能使能设置(默认禁止)，加密使能设置。通过将配置信息在产品维护状态下设置好，使用过程中用户无权更改相关参数，以实现敏感信息的重点防护。

本发明的优点是：本发明通过可编程逻辑(电子硬件)实现存储系统的分区防护，可靠性高；同时设计了加密功能；可以根据系统的使用要求，软件灵活设置防护功能及防护策略，具有较高的灵活性。同时该方法在其他存储系统中具有较强的通用性。

附图说明

图1是本发明系统结构框图。

图2是存储系统分区访问权限软硬件配置图。

图3是存储系统防护分区访问操作状态转换图。

具体实施方式

一种机载计算机存储系统敏感分区防护方法，是基于机载计算机的存储系统分区管理的特点实现，存储系统包括处理器单元、逻辑译码单元(fpga)、存储介质。存储介质采用位扩展技术将位数少的多片存储介质扩展为位数多的存储介质。存储系统中存储介质的每个分区都包含多个位数少的存储介质的一部分；逻辑译码单元将处理器单元存储总线的控制信号和地址，译码为存储介质的控制信号，完成处理器对存储介质的访问；存储介质依据逻辑译码单元的控制信号，完成数据的写入或读出。

根据权利要求1所述的一种机载计算机存储系统敏感分区防护方法，其特征在于,所述存储介质采用位扩展技术将位数少的多片存储介质扩展成位数多的存储介质。存储系统的每个分区都包含多个位数少的存储介质的一部分，位数少的存储介质自带的保护措施(写保护功能)无法满足敏感分区保护的需求。

根据权利要求1所述的一种机载计算机存储系统敏感分区防护方法，其特征在于，所述逻辑译码单元在逻辑译码中设计了防护逻辑及加密逻辑，完成对访问权限的判断，禁止误操作。其中防护逻辑包含防护分区的地址空间判断逻辑，访问权限判断逻辑，以及防护使能/禁止判断逻辑；加密逻辑包括加密使能/禁止判断逻辑，加密逻辑。

根据权利要求1所述的一种机载计算机存储系统敏感分区防护方法，其特征在于，所述处理器单元中设计相应配置软件，可实现对需要保护分区的地址空间设置，访问权限设置，防护功能使能设置(默认禁止)，加密使能设置。通过将配置信息在产品维护状态下设置好，使用过程中用户无权更改相关参数，以实现敏感信息的重点防护。

下面对本发明做进一步详细说明。

一种机载计算机存储系统敏感分区防护方法，是基于机载计算机的存储系统分区管理的特点实现，存储系统包括处理器单元、逻辑译码单元(fpga)、存储介质。存储介质采用位扩展技术将位数少的多片存储介质扩展为位数多的存储介质。存储系统中存储介质的每个分区都包含多个位数少的存储介质的一部分；逻辑译码单元将处理器单元存储总线的控制信号和地址，译码为存储介质的控制信号，完成处理器对存储介质的访问；存储介质依据逻辑译码单元的控制信号，完成数据的写入或读出。存储系统结构图参见图1。

硬件逻辑中设计了受限分区地址寄存器、受限分区访问权限寄存器、受限分区使能寄存器、受限分区加密使能寄存器。受限分区地址寄存器中存放受限制分区的起始地址和结束地址，软件可配置，实现受限分区灵活配置的设计目标，受限分区地址寄存器定义见表1。

受限分区访问权限寄存器设置受限分区的读、写权限是否受限制，不同设置对应不同的权限，访问权限组合有：可读可写、允许读禁止写、禁止读允许写、禁止读禁止写。受限分区访问权限寄存器定义见表2。

受限分区使能寄存器标识着分区受限是否有效，如果设置为无效，则不进行分区访问限制，如果设置为有效，则根据受限分区地址寄存器、受限分区访问权限寄存器的设置进行分区访问限制，受限分区使能寄存器定义见表3。

受限分区加密使能寄存器有效时，写入的数据经过硬件逻辑进行加密后存入存储介质，读出的数据经过解密后输出。逻辑中设计了位取反的加密策略。受限分区数据加密使能寄存器定义见表4。

表1受限分区地址寄存器

注：addr_start_l：分区起始地址低端；初始化值为0

addr_start_h：分区起始地址高端；初始化值为0

addr_end_l：分区结束地址低端；初始化值为0

addr_end_h：分区结束地址低端；初始化值为0

表2受限分区访问权限寄存器

注：r：0表示允许读操作，1表示禁止读操作；初始化值为0

w：0表示允许写操作，1表示禁止写操作；初始化值为0

e：0表示允许擦除操作，1表示禁止擦除操作；初始化值为0

表3受限分区使能寄存器

注：en：0表示不限制访问权限，1表示限制访问权限；初始化值为0

表4受限分区数据加密使能寄存器

注：en：0表示数据不加密，1表示数据加密；初始化值为0

存储分区访问权限限制由软硬件共同完成，软件负责初始配置，逻辑负责访问权限的管理。设置流程如图2所示。配置受限分区的访问权限，设置使能受限分区，设置加密使能寄存器。使能防护功能后，处理器对存储介质的一次访问操作流程如图3所示。