一种多用户物理隔离方法及装置制造方法及图纸

本发明专利技术提供了一种多用户物理隔离方法及装置，该方法包括：划分普通世界以及安全世界；获取所述普通世界发送的当前用户指令对应的用户信息；判断所述用户信息是否在所述安全世界中存在对应的安全内核；当判断出所述用户信息在所述安全世界中存在对应的安全内核时，根据所述当前用户指令访问对应的安全内核。当判断出所述用户信息在所述安全世界中不存在对应的安全内核时，根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域；利用所述当前用户指令在所述物理隔离区域中创建对应的安全内核，并利用所述当前用户指令访问创建的安全内核；获取所述普通世界发送的下一个用户指令。因此本发明专利技术提供的方案可以提高安全性。

【技术实现步骤摘要】
一种多用户物理隔离方法及装置
本专利技术涉及计算机
，特别涉及一种多用户物理隔离方法及装置。
技术介绍
随着科学技术的进步，嵌入式系统在各种终端中应用越来越广泛。终端中的各种应用任务均在嵌入式系统中执行。目前，各个用户在访问时，为了保证各个用户在访问过程的安全性。通常使用加密措施，在加密措施的控制作用下保证各个用户访问过程的安全性。但是由于加密措施存在被破解的风险，且各个用户在访问过程中会存在相互干扰的情况，被篡改和被非法访问的概率较高，因此现有的方式安全性较低。
技术实现思路
本专利技术实施例提供了一种多用户物理隔离方法及装置，可以提高安全性。第一方面，本专利技术实施例提供一种多用户物理隔离方法，该方法包括：划分普通世界以及安全世界；获取所述普通世界发送的当前用户指令对应的用户信息；判断所述用户信息是否在所述安全世界中存在对应的安全内核；当判断出所述用户信息在所述安全世界中存在对应的安全内核时，根据所述当前用户指令访问对应的安全内核。当判断出所述用户信息在所述安全世界中不存在对应的安全内核时，根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域；利用所述当前用户指令在所述物理隔离区域中创建对应的安全内核，并利用所述当前用户指令访问创建的安全内核；获取所述普通世界发送的下一个用户指令。优选地，进一步包括：设置基准位；在所述普通世界发送的当前用户指令时，判断所述基准位上的数值是否为预先设定的可调用状态值，如果是，将所述基准位上的数值更改为预先设定的非可调用状态值，并执行所述获取所述普通世界发送的当前用户指令对应的用户信息；否则，继续执行所述判断所述基准位上的数值是否为预先设定的可调用状态值。优选地，在所述利用所述当前用户指令访问创建的安全内核之后，进一步包括：将所述基准位上的数值复位为所述可调用状态值。优选地，所述根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域，包括：在预先设定至少一个可信应用中，确定当前所述用户指令对应的可信应用；根据当前所述用户指令对应的可信应用，在预先设定的至少一条数据传输总线中确定目标数据传输总线，并将所述目标数据传输总线的状态切换为安全状态；利用安全状态的所述目标数据传输总线获取所述当前用户指令对应的应用配置信息；利用所述应用配置信息划分所述当前用户指令对应的物理隔离区域；则，所述利用所述当前用户指令在所述物理隔离区域中创建对应的安全内核，包括：利用所述应用配置信息在所述安全世界中划分的物理隔离区域中创建对应的安全内核。优选地，当判断出所述用户信息在所述安全世界中不存在对应的安全内核时，进一步包括：判断所述安全世界中已存在的各个安全内核的总量是否达到设定的数量阈值，如果是，向所述普通世界发送不可创建安全内核的指令；否则，执行所述根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域。优选地，进一步包括：监测所述安全世界中各个已存在安全内核之间是否进行互相访问，如果是，阻止访问。第二方面，本专利技术实施例提供一种多用户物理隔离装置，该装置包括：世界划分单元，用于划分普通世界以及安全世界；第一获取单元，用于获取所述普通世界发送的当前用户指令对应的用户信息；安全内核判断单元，用于判断所述第一获取单元获取的所述用户信息是否在所述安全世界中存在对应的安全内核；访问单元，用于当判断出所述第一获取单元获取的所述用户信息在所述安全世界中存在对应的安全内核时，根据所述当前用户指令访问对应的安全内核。区域划分单元，用于当判断出所述第一获取单元获取的所述用户信息在所述安全世界中不存在对应的安全内核时，根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域；创建单元，用于利用所述当前用户指令在所述物理隔离区域中创建对应的安全内核，并利用所述当前用户指令访问创建的安全内核；第二获取单元，用于获取所述普通世界发送的下一个用户指令。优选地，进一步包括：设置单元、触发单元；所述设置单元，用于设置基准位；所述处理单元，用于在所述普通世界发送的当前用户指令时，判断所述基准位上的数值是否为预先设定的可调用状态值，如果是，将所述基准位上的数值更改为预先设定的非可调用状态值，并触发所述第一获取单元；否则，继续执行所述判断所述基准位上的数值是否为预先设定的可调用状态值。优选地，进一步包括：复位单元；所述复位单元，用于将所述设置单元设置的所述基准位上的数值复位为所述可调用状态值。优选地，所述区域确定单元，包括：第一确定子单元、切换子单元以及获取子单元、划分子单元所述第一确定子单元，用于在预先设定至少一个可信应用中，确定当前所述用户指令对应的可信应用；所述切换子单元，用于根据当前所述用户指令对应的可信应用，在预先设定的至少一条数据传输总线中确定目标数据传输总线，并将所述目标数据传输总线的状态切换为安全状态；所述获取子单元，用于利用安全状态的所述目标数据传输总线获取所述当前用户指令对应的应用配置信息；所述划分子单元，用于利用所述获取子单元获取的所述应用配置信息在所述安全世界中划分所述当前用户指令对应的物理隔离区域；则，所述创建单元，用于利用所述获取子单元获取的所述应用配置信息在所述划分子单元在所述安全世界中划分的物理隔离区域中创建对应的安全内核。优选地，进一步包括：数量判断单元；所述数量判断单元，用于判断所述安全世界中已存在的各个安全内核的总量是否达到设定的数量阈值，如果是，向所述普通世界发送不可创建安全内核的指令；否则，执行所述根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域。优选地，进一步包括：监测单元；所述监测单元，用于监测所述安全世界中各个已存在安全内核之间是否进行互相访问，如果是，阻止访问。本专利技术实施例提供了一种多用户物理隔离方法及装置，首先划分普通世界以及安全世界，然后获取普通世界发送的当前用户指令对应的用户信息，并判断用户信息是否在安全世界中存在对应的安全内核。当判断出用户信息在安全世界中存在对应的安全内核时，根据当前用户指令访问对应的安全内核。当判断出用户信息在安全世界中不存在对应的安全内核时，根据当前用户指令在安全世界中划分出对应的物理隔离区域。然后利用当前用户指令在物理隔离区域中创建对应的安全内核，并利用当前用户指令访问创建的安全内核。通过上述可知，安全世界可以为各个用户信息创建出对应的安全内核，每一个用户信息均可以利用用户指令访问自己对应的安全内核，互不干扰。因此，本专利技术实施例提供的方案可以提高安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术一个实施例提供的一种多用户物理隔离方法的流程图；图2是本专利技术另一个实施例提供的一种多用户物理隔离方法的流程图；图3是本专利技术一个实施例提供的一种多用户物理隔离装置所在设备的一种硬件结构图；图4是本专利技术一个实施例提供的一种多用户物理隔离装置的结构示意图；图5是本专利技术一个实施例提供的一种包括设置单元和触发单元的多用户物理隔离装置的结构示意图；图6是本专利技术一个实施例提供的一种包括复位单元的多用户物理隔离本文档来自技高网...

【技术保护点】
一种多用户物理隔离方法，其特征在于，划分普通世界以及安全世界，还包括：获取所述普通世界发送的当前用户指令对应的用户信息；判断所述用户信息是否在所述安全世界中存在对应的安全内核；当判断出所述用户信息在所述安全世界中存在对应的安全内核时，根据所述当前用户指令访问对应的安全内核；当判断出所述用户信息在所述安全世界中不存在对应的安全内核时，根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域；利用所述当前用户指令在所述物理隔离区域中创建对应的安全内核，并利用所述当前用户指令访问创建的安全内核；获取所述普通世界发送的下一个用户指令。

【技术特征摘要】
1.一种多用户物理隔离方法，其特征在于，划分普通世界以及安全世界，还包括：获取所述普通世界发送的当前用户指令对应的用户信息；判断所述用户信息是否在所述安全世界中存在对应的安全内核；当判断出所述用户信息在所述安全世界中存在对应的安全内核时，根据所述当前用户指令访问对应的安全内核；当判断出所述用户信息在所述安全世界中不存在对应的安全内核时，根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域；利用所述当前用户指令在所述物理隔离区域中创建对应的安全内核，并利用所述当前用户指令访问创建的安全内核；获取所述普通世界发送的下一个用户指令。2.根据权利要求1所述的方法，其特征在于，进一步包括：设置基准位；在所述普通世界发送的当前用户指令时，判断所述基准位上的数值是否为预先设定的可调用状态值，如果是，将所述基准位上的数值更改为预先设定的非可调用状态值，并执行所述获取所述普通世界发送的当前用户指令对应的用户信息；否则，继续执行所述判断所述基准位上的数值是否为预先设定的可调用状态值。3.根据权利要求2所述的方法，其特征在于，在所述利用所述当前用户指令访问创建的安全内核之后，进一步包括：将所述基准位上的数值复位为所述可调用状态值。4.根据权利要求1所述的方法，其特征在于，所述根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域，包括：在预先设定至少一个可信应用中，确定当前所述用户指令对应的可信应用；根据当前所述用户指令对应的可信应用，在预先设定的至少一条数据传输总线中确定目标数据传输总线，并将所述目标数据传输总线的状态切换为安全状态；利用安全状态的所述目标数据传输总线获取所述当前用户指令对应的应用配置信息；利用所述应用配置信息划分所述当前用户指令对应的物理隔离区域；则，所述利用所述当前用户指令在所述物理隔离区域中创建对应的安全内核，包括：利用所述应用配置信息在所述安全世界中划分的物理隔离区域中创建对应的安全内核；和/或，当判断出所述用户信息在所述安全世界中不存在对应的安全内核时，进一步包括：判断所述安全世界中已存在的各个安全内核的总量是否达到设定的数量阈值，如果是，向所述普通世界发送不可创建安全内核的指令；否则，执行所述根据所述当前用户指令在所述安全世界中划分出对应的物理隔离区域。5.根据权利要求1至4任一所述的方法，其特征在于，进一步包括：监测所述安全世界中各个已存在安全内核之间是否进行互相访问，如果是，阻止访问。6.一种多用户物理隔离装置，其特征在于，包括：世界划分单元，用于划分普通世界以及安全世界；第一获取单元，用于获取所述普通世界发送的当前用户指令对应的用户信息；...

【专利技术属性】
技术研发人员：陈康，戴鸿君，于治楼，
申请(专利权)人：济南浪潮高新科技投资发展有限公司，
类型：发明
国别省市：山东,37