(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211219445.X (22)申请日 2022.10.08 (71)申请人 山东云海国创云计算装备产业创新 中心有限公司 地址 250000 山东省济南市自由贸易试验 区济南片区浪潮路1036号 浪潮科技园 S01楼35层 (72)发明人 孙旭　周玉龙　刘刚　李拓　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 刘源 (51)Int.Cl. G06F 21/85(2013.01) G06F 21/60(2013.01) (54)发明名称 一种总线的安全防护方法、 装置及 介质 (57)摘要 本发明公开了一种总线的安全防护方法、 装 置及介质， 适用于总线技术领域。 当前主设备的 主设备类型为优 先级主设备时， 通过虚拟指令和 指令ID分配生成对应的指令信息并传输至从设 备； 当前主设备的主设备类型为数据流量主设备 时， 通过指令ID 扩展以及线 程分发将指令信息传 输至从设备。 对不同的主设备类型进行不同的主 设备的防护策略， 将主设备的发送指令通过虚拟 指令和指令ID分配生成的指令信息传输至从设 备， 以实现隐藏主设备的优先级关系， 使得攻击 者无法得到主设备的关键性信息； 将主设备的发 送指令通过指令ID扩展以及线程分发实现对大 流量数据的关键数据的保护， 使得攻击者无法从 单线程获取到全部的关键数据， 进而保证总线系 统的安全性。 权利要求书3页 说明书12页 附图2页 CN 115292764 A 2022.11.04 CN 115292764 A 1.一种总线的安全防护方法， 其特 征在于， 包括： 获取当前主设备对应的主设备类型， 其中所述主设备类型包括优先级主设备和数据流 量主设备； 当所述当前主设备的主设备类型为所述优先级主设备时， 通过虚拟指令和指令ID分配 生成对应的指令信息并传输 至从设备以隐藏所述当前主设备的优先级； 当所述当前主设备的主设备类型为所述数据流量主设备时， 通过指令ID扩展以及线程 分发将所述指令信息传输 至所述从设备以完成数据保护。 2.根据权利要求1所述的总 线的安全防护方法， 其特征在于， 所述通过虚拟指令和指令 ID分配生成对应的指令信息， 包括： 获取所述当前主设备的发送指令； 将所述发送指令发送至Dum my以生成虚拟随机数信息； 将所述虚拟随机数信息作为RAM地址； 将所述发送指令的指令值以及有效标志位作为写入数据写入至所述RAM地址内； 读取所述RAM地址的数据并生成第一指令信息； 将所述第一指令信息的指令ID扩展位生成随机码数据以生成第二指令信息完成所述 指令ID分配， 其中所述第一指令信息包括指令ID扩展位和基本指令ID。 3.根据权利要求2所述的总 线的安全防护方法， 其特征在于， 所述虚拟随机数信 息通过 所述Dummy内的随机数发生器生成。 4.根据权利要求2所述的总线的安全 防护方法， 其特征在于， 所述读取所述RAM地址的 数据并生成第一指令信息， 包括： 获取当前地址信息的存储数据， 其中首个地址信息以所述RAM地址的第一地址信息开 始读取； 判断所述存 储数据是否存在所述有效标志位； 若存在， 则读取结束， 获取首个所述地址信息至所述当前地址信息的存储数据作为所 述第一指令信息； 若不存在， 则以下一个所述地址信息作为所述当前地址信息， 并返回至所述获取当前 地址信息的存 储数据的步骤。 5.根据权利要求4所述的总 线的安全防护方法， 其特征在于， 所述将所述第 一指令信 息 的指令ID扩展位 生成随机码数据以生成第二指令信息， 包括： 获取所述第一指令信息的接收时钟时间； 通过所述接收时钟时间与时钟计数器的对应关系确定所述指令ID扩展位的所述随机 码数据； 将所述随机码数据加入至所述第一指令信息中以生成所述第二指令信息 。 6.根据权利要求1所述的总 线的安全防护方法， 其特征在于， 所述通过指令ID扩展以及 线程分发将所述指令信息传输 至所述从设备， 包括： 获取所述当前主设备的发送指令、 流量数据以及发送的线程数量， 其中所述发送指令 的指令格式包括指令ID扩展位和基本指令ID， 所述指令ID扩展位的数量至少为 一个； 根据所述线程数量将所述 流量数据分配至各 所述线程中； 根据指令扩展规则将所述发送指令对应的指令ID扩展位进行扩展， 并结合所述基本指权　利　要　求　书 1/3 页 2 CN 115292764 A 2令ID得到第三指令信息， 其中所述指令扩展规则至少 包括一个指令ID扩展位的扩展， 所述 第三指令信息的数量与所述线程数量相同； 将各所述第 三指令信 息作为所述指令信 息对应分配至各所述线程中， 并和所述流量数 据传输至所述从设备。 7.根据权利要求6所述的总 线的安全防护方法， 其特征在于， 所述指令扩展规则的确定 过程包括如下步骤： 获取所述基本指令ID的异或对象， 其中所述异或对象至少为两个bit位的数据； 将所述异或对象对应的bit位的数据进行异或得到异或值； 将所述异或值加入至所述指令ID扩展位中以实现扩展。 8.根据权利要求1至5任意一项所述的总线的安全 防护方法， 其特征在于， 当所述当前 主设备为所述优先级 主设备时， 在将所述指令信息传输 至所述从设备之后， 还 包括： 控制所述从设备将所述指令信 息进行解析并得到对应的响应信 息， 并将所述响应信 息 发送至所述当前主设备； 判断所述响应信息与所述指令信息是否相同； 若相同， 则将所述响应信息发送至主机； 若不相同， 则向所述主机发送错 误中断信息， 并舍弃 所述响应信息 。 9.根据权利要求6或7所述的总线的安全 防护方法， 其特征在于， 当所述当前主设备为 所述数据流 量主设备时， 在将所述指令信息传输 至所述从设备之后， 还 包括： 控制所述从设备将所述指令信 息进行解析并得到对应的响应信 息， 并将所述响应信 息 发送至所述当前主设备； 控制所述当前主设备接收的所述响应信息对应的线程数量； 若接收所述响应信 息对应的线程数量与发送所述指令信 息对应的线程数量相同， 则判 断各所述线程发送的所述响应信息是否存在与所述指令信息不同的信息； 若存在不同的信 息， 则将存在与 所述指令信 息不同的所述响应信 息对应的线程作为错 误线程； 向主机发送错 误中断信息并舍弃 所述错误线程； 若不存在， 则将所述响应信息进行聚合得到聚合数据， 并将所述聚合数据发送至所述 主机。 10.根据权利要求8所述的总 线的安全防护方法， 其特征在于， 所述优先级主设备由CPU 的配置任务以及任务调度确定 。 11.根据权利要求9所述的总线的安全防护方法， 其特征在于， 所述数据流量主设备由 主设备发送的数据带宽大于阈值确定 。 12.根据权利要求1所述的总 线的安全防护方法， 其特征在于， 通过AXI总 线将所述指令 信息传输 至所述从设备。 13.一种总线的安全防护装置， 其特 征在于， 包括： 获取模块， 用于获取当前主设备对应的主设备类型， 其中所述主设备类型包括优先级 主设备和数据流 量主设备； 第一传输模块， 用于当所述当前主设备的主设备类型为所述优先级主设备时， 通过虚 拟指令和指令ID分配生成对应的指令信息并传输至从设备以隐藏所述当前主设备 的优先权　利　要　求　书 2/3 页 3 CN 115292764 A 3