本申请涉及安全技术领域,公开了一种运行安全执行域的方法、装置、电子设备及计算机存储介质,其中,运行安全执行域的方法包括:接收到来自应用层的安全操作请求时,基于微内核建立与操作系统域相互隔离的安全执行域;接着通过微内核为安全执行域配置相应的设备资源;接着基于设备资源,通过安全执行域执行与安全操作请求对应的操作。本申请实施例的方法,基于微内核的方式,为高密级的操作提供安全、灵活的隔离执行环境,同时无需依赖于供应商自身的设计特点,降低了对供应商的依赖性,而且灵活性强、通用性高。
【技术实现步骤摘要】
运行安全执行域的方法、装置、电子设备及计算机介质
本申请涉及信息安全
,具体而言,本申请涉及一种运行安全执行域的方法、装置、电子设备及计算机介质。
技术介绍
随着计算机技术在工业、医疗、家居、交通等领域的广泛应用,出现了各种各样的信息系统,这些系统在服务人类的同时也时刻遭受着攻击,为确保这些系统的稳定性、可靠性,构建安全机制尤为重要。目前主流的安全机制主要从硬件及软件两个方面进行考虑:硬件主要依托于芯片及架构实现安全机制,如ARM公司的TrustZone(信任区)技术;软件方面根据应用场景的不同又分为很多种,如网络安全、平台安全等,所采用的技术主要为内存保护、虚拟化、访问控制权限等。但是,现有的基于硬件构建的安全机制对供应商的依赖性很高、灵活性不强、通用性较差,而且TrustZone不易执行复杂逻辑,否则将扩大被攻击面。
技术实现思路
本申请的目的旨在至少能解决上述的技术缺陷之一,特提出以下技术方案:第一方面,提供了一种运行安全执行域的方法,包括:接收到来自应用层的安全操作请求时,基于微内核建立与操作系统域相互隔离的安全执行域;通过微内核为安全执行域配置相应的设备资源;基于设备资源,通过安全执行域执行与安全操作请求对应的操作。第二方面,提供了一种运行安全执行域的装置,包括:第一处理模块,用于接收到来自应用层的安全操作请求时,基于微内核建立与操作系统域相互隔离的安全执行域;配置模块,用于通过微内核为安全执行域配置相应的设备资源;第二处理模块,用于基于设备资源,通过安全执行域执行与安全操作请求对应的操作。第三方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现上述的运行安全执行域的方法。第四方面,提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现上述的运行安全执行域的方法。本申请实施例提供的运行安全执行域的方法,接收到来自应用层的安全操作请求时,基于微内核建立与操作系统域相互隔离的安全执行域,从架构上保证了后续的执行操作的安全性,为后续基于安全执行域执行与安全操作请求对应的操作提供前提保障;通过微内核为安全执行域配置相应的设备资源,奠定了后续基于安全执行域执行与安全操作请求对应的操作的必要基础,基于设备资源,通过安全执行域执行与安全操作请求对应的操作,从而基于微内核的方式,为高密级的操作提供安全、灵活的隔离执行环境,同时无需依赖于供应商自身的设计特点,降低了对供应商的依赖性,而且灵活性强,通用性高。本申请附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本申请的实践了解到。附图说明本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:图1为本申请实施例的运行安全执行域的方法的流程示意图;图2为本申请实施例的两个执行域间进行通信的结构示意图;图3为本申请实施例的运行安全执行域的装置的基本结构示意图;图4为本申请实施例的运行安全执行域的装置的详细结构示意图;图5为本申请实施例的电子设备的结构示意图。具体实施方式下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能解释为对本申请的限制。本
技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。目前主流的安全机制主要从硬件及软件两个方面进行考虑:硬件主要依托于芯片及架构实现安全机制,如ARM公司的TrustZone(信任区)技术;软件方面根据应用场景的不同又分为很多种,如网络安全、平台安全等,所采用的技术主要为内存保护、虚拟化、访问控制权限等。但是,现有的基于硬件构建的安全机制对供应商的依赖性很高、灵活性不强、通用性较差,而且TrustZone不易执行复杂逻辑,否则将扩大被攻击面。本申请提供的运行安全执行域的方法、装置、电子设备和计算机可读存储介质,旨在解决现有技术的如上技术问题。下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。实施例一本申请实施例提供了一种运行安全执行域的方法,如图1所示,包括:步骤S110,接收到来自应用层的安全操作请求时,基于微内核建立与操作系统域相互隔离的安全执行域。具体地,传统的终端设备的操作系统运行在一个域中,该操作系统对接收到的来自应用层的操作请求进行判断,当判断该操作请求是安全操作请求时,将该安全操作请求分发至微内核,由微内核对安全操作请求进行相应处理,其中,微内核在接收到操作系统分发的安全操作请求时,建立与运行操作系统的域(即操作系统域)相互隔离的安全执行域,即终端设备接收到来自应用层的安全操作请求时,基于微内核建立与操作系统域相互隔离的安全执行域,从架构上保证了后续的执行操作的安全性。步骤S120,通过微内核为安全执行域配置相应的设备资源。具体地,终端设备基于微内核建立与操作系统域相互隔离的安全执行域以后,需要为安全执行域配置相应的设备资源,从而便于后续根据配置的设备资源执行与安全操作请求对应的操作,其中,终端设备通过微内核为安全执行域配置相应的设备资源,从而奠定了后续基于安全执行域执行与安全操作请求对应的操作的必要基础。步骤S130,基于设备资源,通过安全执行域执行与安全操作请求对应的操作。具体地,终端设备基于微内核为安全执行域配置的设备资源,在安全执行域中执行与安全操作请求相对应的操作,即基于设备资源,通过安全执行域执行与安全操作请求对应的操作,从而基于微内核的方式,为高密级的操作提供安全、灵活的隔离执行环境,同时无需依赖于供应商自身的设计特点,降低了对供应商的依赖性,而且灵活性强、通用性高。本申请实施例提供的运行安全执行域的方法,与现有技术相比,接收到来自应用层的安全操作请求时,基于微内核建立与操作系统域相互隔离的安全执行域,从架构上保证了后续的执行操作的安全性,为后续基于安全执行域执行与安全操作请求对应的操作提供前提保障;通过微内核为安全执行域配置相应的设备资源,奠定了后续基于安全执行域执行与安全操作请求对应的操作的必要基础,基于设备资源,通过安全执行域执行与安全操作请求对应的操作,从而基于微内核的方式,为高密级的操作提供安全、灵活的隔离执行环本文档来自技高网...
【技术保护点】
1.一种运行安全执行域的方法,其特征在于,接收到来自应用层的安全操作请求时,基于微内核建立与操作系统域相互隔离的安全执行域;通过微内核为所述安全执行域配置相应的设备资源;基于所述设备资源,通过所述安全执行域执行与所述安全操作请求对应的操作。
【技术特征摘要】
1.一种运行安全执行域的方法,其特征在于,接收到来自应用层的安全操作请求时,基于微内核建立与操作系统域相互隔离的安全执行域;通过微内核为所述安全执行域配置相应的设备资源;基于所述设备资源,通过所述安全执行域执行与所述安全操作请求对应的操作。2.根据权利要求1所述的方法,其特征在于,所述设备资源包括中央处理器CPU的核、内存和外部设备;所述CPU的核只用于所述安全执行域。3.根据权利要求2所述的方法,其特征在于,当所述设备资源为内存时,所述基于所述设备资源,通过所述安全执行域执行与所述安全操作请求对应的操作,包括:在所述安全执行域中,对所述安全操作请求进行从逻辑地址到中间物理地址的初始映射;通过微内核进行从所述中间物理地址到实际物理地址的目标映射;基于所述实际物理地址,执行与所述安全操作请求对应的操作。4.根据权利要求2所述的方法,其特征在于,当所述设备资源为外部设备时,所述基于所述设备资源,通过所述安全执行域执行与所述安全操作请求相对应的操作,包括:通过微内核将所述外部设备的配置信息发送给所述安全执行域,以使得所述安全执行域基于所述配置信息进行相应的初始化操作;通过微内核将所述安全操作请求发送给所述安全执行域,以使得所述安全执行域执行与所述安全操作请求相对应的操作。5.根据权利要求1-4任一项所...
【专利技术属性】
技术研发人员:姜哲,赵春雷,邹仕洪,
申请(专利权)人:北京元心科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。