缓冲存储器、芯片、缓存访问控制方法、装置和设备与流程

本发明涉及电子，具体地涉及一种缓冲存储器、一种芯片、一种缓存访问控制方法、一种缓存访问控制装置和一种电子设备。

背景技术：

1、沿着物联网（iot）技术的发展和普及的进程，对终端设备的计算能力和安全性的要求与日俱增，在当前的一些物联网场景中已经出现需要一定性能和高安全性的情况，如物联网边缘计算平台节点、物联网边缘计算网关等等。这些物联网系统中的cpu (centralprocessing unit) 作为软件运行的场所和系统的中枢，其安全性对系统安全至关重要。此外，近年来利用处理器安全漏洞的软硬件攻击技术不断出现。例如，针对数据高速缓冲存储器cache（即高速缓存，或简称缓存）所进行的攻击，如熔毁（meltdown）、幽灵（spectre）等等，加剧了物联网系统中处理器安全所面临的威胁。

2、现有的绝大部分针对缓冲存储器的安全缓存技术都是由软件配合实现的安全防护，目前软件配合实现的安全防护存在软件代码量大，安全隐患多的缺点。

技术实现思路

1、本发明实施例的目的是提供一种缓冲存储器、一种芯片、一种缓存访问控制方法、一种缓存访问控制装置和一种电子设备，用以解决软件配合实现的安全防护存在软件代码量大，安全隐患多的缺陷。

2、为了实现上述目的，本发明实施例提供一种缓冲存储器，包括：第一开关元件以及分别与所述第一开关元件电连接的第一存储阵列和第二存储阵列；

3、所述第一开关元件用于根据接收到的访问请求所携带的访问安全标签，确定与所述第一存储阵列和所述第二存储阵列的通断状态；

4、所述第一存储阵列用于在所述第一开关元件传输的访问请求所携带的访问安全标签表征所述访问请求属于不可信域的情况下，基于所述第一开关元件传输的访问请求进行缓存访问；

5、所述第二存储阵列用于在所述第一开关元件传输的访问请求所携带的访问安全标签表征所述访问请求属于可信域的情况下，基于所述第一开关元件传输的访问请求进行缓存访问；

6、其中，所述可信域的安全性高于不可信域的安全性。

7、可选的，缓冲存储器还包括：第二开关元件以及分别与所述第二开关元件电连接的缓存服务处理模块和一致性处理模块；

8、第二开关元件用于根据从所述第一存储阵列或所述第二存储阵列得到的数据处理请求，确定与所述缓存服务处理模块和所述一致性处理模块的通断状态；

9、缓存服务处理模块用于在所述第二开关元件传输的数据处理请求表征需要进行数据缓存的情况下，基于所述数据处理请求进行缓存访问；

10、一致性处理模块用于在所述第二开关元件传输的数据处理请求表征所述第一存储阵列与所述第二存储阵列之间需要保持数据一致性的情况下，基于所述数据处理请求进行数据一致性处理。

11、本发明实施例还提供一种芯片，包括：依次级联的处理器、上文所述的缓冲存储器以及主存储器；所述缓冲存储器用于接收所述处理器发送的访问请求，将所述访问请求转发至所述主存储器；以及用于将所述主存储器发送的返回数据转发至所述处理器。

12、本发明实施例还提供一种缓存访问控制方法，应用于上文所述的缓冲存储器；所述方法包括：

13、接收访问请求，所述访问请求中携带有访问安全标签；

14、基于所述访问安全标签表征的访问请求来源类型，确定所述访问请求对应进行缓存访问的存储阵列；其中，所述存储阵列包括第一存储阵列和第二存储阵列；所述访问请求来源类型包括所述访问请求属于不可信域和所述访问请求属于可信域。

15、可选的，所述基于所述访问安全标签表征的访问请求来源类型，确定所述访问请求对应进行缓存访问的存储阵列，包括：

16、在所述访问安全标签表征所述访问请求属于不可信域的情况下，控制第一存储阵列基于所述访问请求进行缓存访问。

17、可选的，所述基于所述访问安全标签表征的访问请求来源类型，确定所述访问请求对应进行缓存访问的存储阵列，包括：

18、在所述访问安全标签表征所述访问请求属于可信域的情况下，控制第二存储阵列基于所述访问请求进行缓存访问。

19、可选的，第一存储阵列中的每个缓存单元携带有数据安全标签，所述控制第一存储阵列基于所述访问请求进行缓存访问，包括：

20、控制第一存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签，进行缓存访问。

21、可选的，所述控制第一存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签进行缓存访问，包括：

22、在所述数据安全标签表征的安全等级高于所述访问安全标签表征的安全等级的情况下，控制第一存储阵列针对所述访问请求生成未命中信号。

23、可选的，所述控制第一存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签进行缓存访问，包括：

24、在所述数据安全标签表征的安全等级低于或等于所述访问安全标签表征的安全等级的情况下，控制第一存储阵列基于预设策略对所述访问请求进行缓存访问响应。

25、可选的，第二存储阵列中的每个缓存单元携带有数据安全标签，所述控制第二存储阵列基于所述访问请求进行缓存访问，包括：

26、控制第二存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签进行缓存访问。

27、可选的，所述控制第二存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签进行缓存访问，包括：

28、在所述数据安全标签表征的安全等级高于所述访问安全标签表征的安全等级的情况下，控制第二存储阵列针对所述访问请求生成未命中信号。

29、可选的，所述控制第二存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签进行缓存访问，包括：

30、在所述数据安全标签表征的安全等级低于或等于所述访问安全标签表征的安全等级的情况下，控制第二存储阵列基于预设策略对所述访问请求进行缓存访问响应。

31、可选的，所述方法还包括：

32、在检测到相邻的两个访问请求的访问安全标签发生从可信域到不可信域的切换或发生从可信域到安全等级不同的另一可信域的切换的情况下，控制所述第二存储阵列触发冲刷操作。

33、本发明实施例还提供一种缓存访问控制装置，包括：

34、请求接收模块，用于接收访问请求，所述访问请求中携带有访问安全标签；

35、控制模块，用于基于所述访问安全标签表征的访问请求来源类型，确定所述访问请求对应进行缓存访问的存储阵列；其中，所述存储阵列包括第一存储阵列和第二存储阵列；所述访问请求来源类型包括所述访问请求属于不可信域和所述访问请求属于可信域。

36、可选的，所述基于所述访问安全标签表征的访问请求来源类型，确定所述访问请求对应进行缓存访问的存储阵列，包括：

37、在所述访问安全标签表征所述访问请求属于不可信域的情况下，控制第一存储阵列基于所述访问请求进行缓存访问。

38、可选的，所述基于所述访问安全标签表征的访问请求来源类型，确定所述访问请求对应进行缓存访问的存储阵列，包括：

39、在所述访问安全标签表征所述访问请求属于可信域的情况下，控制第二存储阵列基于所述访问请求进行缓存访问。

40、可选的，第一存储阵列中的每个缓存单元携带有数据安全标签，所述控制第一存储阵列基于所述访问请求以进行缓存访问，包括：

41、控制第一存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签，进行缓存访问。

42、可选的，所述控制第一存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签，进行缓存访问，包括：

43、在所述数据安全标签表征的安全等级高于所述访问安全标签表征的安全等级的情况下，控制第一存储阵列针对所述访问请求生成未命中信号。

44、可选的，所述控制第一存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签进行缓存访问，包括：

45、在所述数据安全标签表征的安全等级低于或等于所述访问安全标签表征的安全等级的情况下，控制第一存储阵列基于预设策略对所述访问请求进行缓存访问响应。

46、可选的，第二存储阵列中的每个缓存单元携带有数据安全标签，所述控制第二存储阵列基于所述访问请求进行缓存访问，包括：

47、控制第二存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签进行缓存访问。

48、可选的，所述控制第二存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签进行缓存访问，包括：

49、在所述数据安全标签表征的安全等级高于所述访问安全标签表征的安全等级的情况下，控制第二存储阵列针对所述访问请求生成未命中信号。

50、可选的，所述控制第二存储阵列基于所述访问请求对应的目标数据的数据安全标签和所述访问请求对应的访问安全标签进行缓存访问，包括：

51、在所述数据安全标签表征的安全等级低于或等于所述访问安全标签表征的安全等级的情况下，控制第二存储阵列基于预设策略对所述访问请求进行缓存访问响应。

52、可选的，所述装置还包括：

53、冲刷模块，用于在检测到相邻的两个访问请求的访问安全标签发生从可信域到不可信域的切换或发生从可信域到安全等级不同的另一可信域的切换的情况下，控制所述第二存储阵列触发冲刷操作。

54、另一方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述的缓存访问控制方法。

55、另一方面，本发明还提供一种机器可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述的缓存访问控制方法。

56、通过上述技术方案，本发明实施例的缓冲存储器通过第一存储阵列和第二存储阵列，给可信域和不可信域提供两个单独的物理分离的访问通路，可以避免软件安全漏洞造成的泄漏。本发明实施例通过基于访问安全标签的硬件级防护策略，节省了大量的软件开销，由于攻击硬件逻辑比攻击软件的难度高，本发明实施例同时提高了缓冲存储器的安全性。

57、本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。