具体实施方式

如本文中使用，术语“模拟组件”意味着能够执行模拟功能的模拟设计块。模拟组件的实例可包含先前提及的ADC、DAC、COMP、REF及OPAMP。术语“模拟信号链”是指经互连模拟组件的集合且在一些例子中，是指输入-输出引脚。举例来说，模拟信号链可由连接到DAC的COMP形成。术语“端点”是指到目的地组件的输入。在由COMP的输出(即源输出)到DAC的输入(即目的地输入)之间的连接形成的示范性模拟信号链中，端点是到DAC的输入。“经验证端点”是指已被预编程为有效的端点。在非限制性实施例中，编程到“端点表”中的端点是从一组目的地输入选择的经验证端点。端点表的实例更详细描述于以下段落中。“端点对”是指经验证端点与其对应源输出的配对。在由COMP及DAC形成的示范性信号链中，端点对是COMP的输出及DAC的输入。术语“源-目的地对”是指通过端点对连接的两个信号链组件。前述实例中的源-目的地对是COMP-DAC。

本文中描述实施可重新配置信号链的新颖方面的各个实施例。举例来说，一个实施例提供一种在运行时间动态认证信号链形成以确保没有窥探漏洞或不正确信号链形成的硬件机构及相关方法。另一实施例提供一种在运行时间确认信号链组件经授权以协商数据交换的硬件机构。在冲突或无效认证的情况下，硬件可经启用以向系统发出安全性警报以采取必要的恢复动作。又一实施例提供一种在运行时间将确认必要输入/输出配置对与SoC外部的模块具有直接连接的信号链来说是否有效的硬件机构。

图2大体上说明根据说明性实施例的模拟信号链。模拟信号链(200)包含经互连模拟组件集合，即OPAMP(201)、ADC(202)、COMP(203)、DAC(204)及VRef(205)。组件之间的连接通过指向从源组件到目的地组件的方向的箭头展示。应注意，虽然图2描绘模拟组件，但数字电路及数字组件可经包含于信号链(200)中。另外，VRef(205)可由参考电流IRef替换。

每一信号链组件包含认证块，其促进认证信号链组件之间的连接及响应于检测到安全性威胁或错误条件重新配置一或多个信号链(或信号链的部分)。在非限制性实施例中，认证块包含使经验证端点中的每一者与对应源输出相关联的数据寄存器。示范性数据寄存器在下文图5中描绘。特定参考图2，OPAMP(201)具有认证块(221)，ADC(202)具有认证块(222)，比较器(203)具有认证块(223)，DAC(204)具有认证块(224)，且VRef(205)具有认证块(225)。每一认证块通信地耦合到信号链完整性块(210)以允许传输输出信号(211)及接收输入信号(212)。输出信号(211)向信号链完整性块(210)提供识别与信号链组件的给定源输出相关联的经验证端点的数据，且输入信号(212)提供稍后可用于认证信号及/或重新配置信号链的信息(例如源-目的地对)。

在一个实施例中，经验证端点参考可由用户填充的端点表经编程到认证块中。举例来说，用户可与图3中展示的系统配置工具交互以从一组目的地输入以及任何对应源输入识别一或多个经验证端点。端点表的实例在表1中描绘、经填充有从图3中的系统导出的数据。

表1。示范性端点表

参考图3，DAC(314)包含连接器D1、D2、D3及D4，其可用作源输出或目的地输入。同样，COMP 316包含连接器C1、C2、C3及C4，其也可用作源输出或目的地输入。决定DAC 314的源输出D1应连接到COMP 316的目的地输入C3的用户填充端点表的第一行，如上文展示。通过将C3识别为D1的目的地输入，端点被验证。同样，用户可指定DAC 314的源输出D3应连接到COMP 316的目的地输入C4且视情况修改端点表。在必要时针对每个信号链组件重复所述过程。在表1中，端点对经形成于源自信号链组件的源输出与目的地输入之间；然而，在替代实施例中，源输出及/或目的地输入可为通用输入输出(GPIO)引脚或固定功能外围引脚。另外，虽然端点表以表格式来描述，但也可实施其它数据结构。

在检测到安全漏洞的例子中，用户可通过从端点表删除对应于安全性有漏洞的模拟块的目的地输入来使一或多个端点无效。端点表的修改导致在运行时间期间重新配置及复位信号链的至少一部分的能力，这确保了模拟链的完整性。

存储于端点表中的数据可通过指派到其相应信号链组件的驱动器经编程到各个认证块(221到225)中。举例来说，再次参考图3，DAC驱动器(304)可将C3编程为源输出D1的经验证端点(即目的地输入)。在另一实施例中，SoC的单个经链接驱动器可负责将经验证端点编程到各个认证块中。关于认证块的编程的额外细节在图3到6的论述中提供。

返回参考图2，信号链完整性块(210)通过其相应输出信号(211)从信号链组件中的每一者获得经验证端点并确定每一者的源输出，从而识别端点对。在非限制性实施例中，信号链完整性块(210)从寄存器获得经验证端点信息，寄存器的实例在图5中展示。信号链完整性块(210)还从端点对识别源-目的地对且维持用以存储那些信息的数据结构。由信号链完整性块(210)维持的示范性数据结构经提供于以下表2中。

表1。示范性源-目的地对表

接着，信号链完整性块(210)可在整个信号链内传播源-目的地对。在一个实施例中，源-目的地对被选择性地传输到在源-目的地对中识别的仅两个组件；然而，在另一实施例中，每一源-目的地对经传输到每个信号链组件。

组件中的每一者中的认证块存储源-目的地对以识别其目的地输入可将信息接收到其的各个源输出。当组件在运行时间期间接收到输入时，组件可基于所存储源-目的地对确定输入是否来自有效源且认证或拒绝输入。因此，在至少一个实施例中，信号链组件认证且处理用认证块接收到的输入。信号链组件可向应用级或软件级通知在认证期间是否遇到错误。

图3说明用于包含图2的信号链(200)的模拟信号链的动态安全认证的扩展系统(300)。系统(300)包含软件层，其具有维持可由对接系统配置工具(303)的用户填充的端点表(302)的信号链配置器(301)。在非限制性实施例中，系统配置工具(300)被维持与软件层分离，例如在云中。

信号链配置器(301)用其相应源输出中的每一者的经验证端点对信号链组件的认证块中的寄存器进行编程。在图3中描绘的实例中，信号链配置器(301)通过其相应驱动器(304、305、306、307)对各个认证块中的每一者进行编程。在至少一个实例中，驱动器中的每一者可通过外围防火墙来认证。驱动器与模拟组件之间的外围防火墙(310)可进一步过滤及认证模拟组件的编程。外围防火墙处的认证向模拟信号链提供另一安全等级。

模拟组件中的每一者可在运行时间期间基于由被具有对应源输出的组件接收到的经验证端点形成的源-目的地对认证在其目的地输入中的一者上接收到的输入。例如，如果输入(235)从DAC(204)被呈现给COMP(203)，那么认证块(223)检查DAC(204)是否是有效源组件。如果DAC(204)是有效源组件，那么输入被认证且处理。在一些实例中，源可包含多个输入及/或一输入代码。如果接收到的输入无法被认证，那么错误会产生且被报告给应用或软件层(未展示)。在至少一个实施例中，信号链组件中的每一者认证输入信号且在运行时间期间维持信号链完整性。在一些例子中，信号链组件认证输入信号且在启动时间期间维持信号链完整性。在其它例子中，信号链组件在运行时间或启动时间期间认证输出信号而非输入信号。连同认证块一起操作的硬件机构可在运行时间检查输入及输出组件是否被允许协商数据交换。如果存在冲突或无效认证，那么硬件(模拟组件)可向系统应用及/或软件发出安全性警报以采取恢复动作。在其它例子中，认证块将在运行时间检查输入/输出(IO)配置对系统中的不是从另一组件直接传输或接收的外部IO引脚来说是否有效。在一些实施例中，安全警报可在本地提供或经提供于与IoT网络中的其它节点远程定位的网络上。

在另一实例中，系统应用及/或软件定义用以识别被允许被配置为到组件的输入的真实输入信号的端点表。在至少一个实施例中，系统应用及/或软件识别被允许被系统中的剩余组件使用的真实输出信号。系统应用及/或软件可使用具有重新配置能力的硅基装置针对不同终端设备进行配置。

图4说明比较器(400)。比较器(400)包含正及负端子上的通道。通道并非基于选择信号(402)(IPSEL)及(403)(IMSEL)单独进行选择，而是进一步以用于认证比较器的输出(405)的MUX信号(401)遮蔽。如果输出(405)被认证，那么输出(405)根据需要进行处理。替代地，如果输出(405)无法被认证，那么可产生错误中断条件(404)且输出(405)可被忽略或丢弃。在至少一个实施例中，当在运行时间期间在目的地输入上接收到不对应于有效源输出的输入时，可检测到安全错误。在检测到安全错误后，可产生中断。在另一实例中，在检测到安全错误后，可复位并恢复模拟组件。信号链配置器可编程认证块以在检测到错误条件后在运行时间期间重新配置模拟链。另外，信号链配置器可对认证块进行编程以在启动时间期间重新配置模拟链。

MUX信号(401)可基于目的地输入及与目的地输入相关联的源输出在认证块中内部产生。任何模拟信号链组件可产生MUX信号，其多路复用接收到的输入与例如MUX信号(401)的认证信号。图4还说明具有与MUX信号(401)进一步多路复用的输入的参考电压产生器(406)。

图5大体上说明COMP的寄存器(500)，其具有经编程以指示经验证端点的多个位。举例来说，位6(513)是指DAC的目的地输入。在一个实施例中，如果位读取逻辑0，那么目的地输入是经验证端点且从COMP到DAC的连接被允许。如果位读取逻辑1，那么到DAC的连接不被允许。类似地，位11(501)及位10(502)指示来自连接到COMP的其它信号链组件的目的地输入。MUX可基于寄存器(500)中的位进一步产生。应注意，在模拟组件上接收到的输入的认证可用使用寄存器及逻辑门的数字逻辑以若干方式来实施。

图6大体上说明比较器组件中的认证块中的状态寄存器(600)。参考图4及6两者，当正及负端子上的比较器通道选择通过MUX信号(401)来认证时，状态寄存器(600)中的SELAUTH2(602)及SELAUTH1(601)位读取逻辑0。当正及负端子上的比较器通道选择未通过MUX信号(401)认证时，状态寄存器中的SELAUTH2(602)及SELAUTH1(601)位读取逻辑1。

图7说明动态认证由多个模拟组件形成的信号链的方法(700)。在步骤(701)中，方法将每一源输出的一或多个经验证端点接收到模拟组件中的每一者中。举例来说，信号链配置器(301)可将目的地输入从端点表(302)加载到例如DAC(314)、ADC(315)、COMP(316)及VRef(317)的模拟组件中。

在步骤(702)中，方法继续进行以从模拟组件中的一或多者收集经验证端点。信号链完整性块(320)可从所有源收集目的地输入。在步骤(703)中，方法基于经验证端点识别一或多个源-目的地对。在一个实施例中，信号链完整性块(320)收集一或多个经验证端点、使源输出与一或多个经验证端点中的每一者相关联以形成端点对及基于端点对识别源-目的地对。数据可经存储于由信号链完整性块(320)维持的表中，其实例在表2中展示。

在步骤(704)中，方法将一或多个源-目的地对传播到模拟信号链组件中的每一者。一或多个源-目的地对可经接收到认证块中且被存储于寄存器中，例如图5中展示的寄存器(500)。存储于寄存器(500)中的信息可有利地用于产生例如图4中说明的MUX信号(401)的信号。

接着，在步骤(705)中，方法基于一或多个源-目的地对认证信号链。在步骤(706)中，方法基于一或多个源-目的地对认证在任何模拟组件中接收的输入。举例来说，在COMP(203)中从OPAMP(201)接收的输入(238)可基于寄存器(500)中的寄存器位及产生于例如寄存器(600)的状态寄存器中的状态进行认证。

图8是用于动态复位信号链的方法(800)的流程图。在步骤(801)中，方法轮询状态寄存器，例如状态寄存器(600)中的位。接着，在步骤(802)中，方法检测认证错误。当寄存器位指示错误，例如，位(602)读取1时，则检测到错误。接着，在步骤(803)中，方法产生应用及/或软件层的中断。在步骤(802)中检测到认证错误后，中断信号(404)可经断言以警告应用及/或软件层。方法还可检测安全漏洞且当未涉及到软件轮询时自动产生CPU的中断条件。接着，方法继续到步骤(804)来复位及恢复信号链。举例来说，应用层或软件层可重新配置端点表且基于错误类型及接收到的中断对认证块进行编程。应注意，中断例程及复位机构可以所属领域中已知的若干方式中的一者来实施。用户还可对经配置以将端点表自动复位到整体系统的初始化条件的默认条件进行编程且产生已发生安全违规的错误通知连同安全攻击的时间戳及相关联信息。方法可将安全错误传播到本地应用或经由网络传播来进行恢复动作。