一种面向片外非易失性存储的安全防护方法技术

本发明专利技术公开了一种面向片外非易失性存储的安全防护方法，将片外非易失性存储器的空间划分为安全存储区域和普通存储区域，并基于TEE与REE双体系结构，将TEE的请求数据加密后通过TEE的驱动直接存入片外非易失性存储器的安全存储区域，而REE不能访问安全存储区域，REE只能访问普通存储区域。本发明专利技术解决了现有片外非易失性存储的安全方案面临的硬件成本高、功耗高、面积大或安全风险等技术问题，完成了TEE和REE对片外非易失性存储器的分区访问，增强了片外非易失性存储器的安全防护，且本发明专利技术设计简单，对性能的影响较小，具有很大的灵活性，兼顾了安全性、性能及成本三方面的要求。

【技术实现步骤摘要】
一种面向片外非易失性存储的安全防护方法
本专利技术涉及计算机安全防护领域，更具体的说，涉及一种面向片外非易失性存储的安全防护方法。
技术介绍
计算机系统正在越来越多的受到恶意软件攻击，体现在用户的敏感数据被窃取、数字版权被滥用、移动支付存在重大安全隐患等方面，其面临的安全威胁越来越大，故在计算机系统中引入一个可信执行环境TEE(TrustedExecutionEnvironment)用以解决上述问题。TEE是系统级芯片SOC(system-on-chip)上的一个安全区域，提供了隔离执行、可信应用的完整性、可信数据的机密性、安全存储等功能。普通执行环境REE(RichExecutionEnvironment)为所有移动设备通用的环境，运行通用的OS，例如Android、IOS系统等，TEE是与设备上通用的OS并存的运行环境，并且给通用的OS提供安全服务，TEE比REE的安全级别更高，运行在TEE的应用称为可信应用TA(TrustedApps)，其可以访问设备的全部功能，且硬件隔离技术保护其不受运行在普通执行环境REE的Apps影响。TEE的OS保护每个TA不相互影响，可以为多个不同的服务提供商同时使用，而不影响安全性。SOC中的数据代码等最终都是存储在片外非易失性存储器内的，现有的TEE安全方案对片外非易失性存储器的采取以下防护措施之一：1)将片外非易失性存储器全部划分在TEE访问的安全空间；2)硬件上实现两个片外非易失性存储器，一个划分为TEE访问，另一个划分为REE访问；3)将片外非易失性存储器全部划分在REE访问的普通空间，TEE内的数据加密后通过REE存入片外非易失性存储器。但是三种方案均有缺陷，1)防护措施导致REE完全不能访问片外非易失性存储器；2)防护措施导致硬件成本高、功耗高、面积大等问题；3)防护措施导致REE可以获取TEE的密文数据，存在被破解的风险。
技术实现思路
有鉴于此，本专利技术提出了一种面向片外非易失性存储的安全防护方法，完成了TEE和REE对片外非易失性存储器的分区访问，解决了现有技术中REE完全不能访问片外非易失性存储器，硬件成本高、功耗高、面积大等问题，REE能够获取TEE的密文数据从而存在被破解的风险等技术问题。1)可信执行环境TEE下对片外非易失性存储器进行初始化；2)有配置请求时，检查配置请求是否为安全请求，若为安全请求，则将请求数据写入安全寄存器内，在收到请求启动安全直接存储访问DMA时，启动安全DMA，完成访问请求，并返回完成普通中断到TEE中；若为普通请求，则将请求数据写入普通寄存器内，在收到请求启动普通DMA时，执行步骤3)；3)检查DMA请求访问的地址空间是否与安全寄存器标识的地址空间存在重叠，若存在重叠，则认为该请求非法，丢弃该请求，并返回错误普通中断到普通执行环境REE中；若不存在重叠，认为该请求合法，启动普通DMA，完成访问请求，并返回完成普通中断到REE中。可选的，步骤2)中的安全请求为来自TEE的配置请求。可选的，步骤1)中所述的初始化包括：对片外非易失性存储器进行分区，在其中划分安全存储区域和普通存储区域，所述安全存储区域和安全寄存器只能在TEE下访问。可选的，所述安全寄存器包括安全标志位寄存器、安全域容量寄存器、安全中断寄存器和安全DMA寄存器。可选的，所述安全存储区域划分在片外非易失性存储器的高地址处。可选的，若需要安全域，则通过安全请求将安全标志位寄存器置1，并配置安全域容量寄存器，若不需要安全域，则通过安全请求将安全标志位寄存器置0。可选的，在配置启动DMA时，与发出配置请求环境相应的flag标志位被置1，DMA完成访问请求后，该flag标志位被置0，同时检查另外一个flag标志位是否为1，若为1，则处理对应的DMA请求。可选的，在配置启动DMA时，若所述配置请求为安全请求，则TEE相应的flag标志位Sflag被置1，DMA完成访问请求后，Sflag被置0，同时检查REE相应的flag标志位Nflag是否为1，若为1，则处理REE的DMA请求；若所述配置请求为普通请求，则REE相应的flag标志位Nflag被置1，DMA完成访问请求后，Nflag被置0，同时检查TEE相应的flag标志位Sflag是否为1，若为1，则处理TEE的DMA请求。可选的，所述安全容量寄存器和普通容量寄存器的容量之和等于片外非易失性存储器的总容量。可选的，当与发出配置请求环境相应的DMA启动后，可以对与发出配置请求环境不同的另外一个环境的寄存器进行配置，但不会引起与发出配置请求环境不同的另外一个环境相应的DMA启动，直到当前DMA完成。与现有技术相比，本专利技术之技术方案具有以下优点：本专利技术的面向片外非易失性存储的安全防护方法将片外非易失性存储器的空间划分为安全存储区域和普通存储区域，并基于TEE与REE双体系结构，将TEE的请求数据加密后通过TEE的驱动直接存入片外非易失性存储器的安全存储区域，而REE不能访问安全存储区域，REE只能访问普通存储区域。本专利技术解决了现有技术中REE完全不能访问片外非易失性存储器，硬件成本高、功耗高、面积大等问题，REE可以获取TEE的密文数据从而存在被破解的风险等技术问题，完成了TEE和REE对片外非易失性存储器的分区访问，增强了片外非易失性存储器的安全防护，且本专利技术设计简单，对性能的影响较小，具有很大的灵活性，兼顾了安全性、性能及成本三方面的要求。附图说明图1为本专利技术面向片外非易失性存储的安全防护方法的流程图。具体实施方式以下结合附图对本专利技术的优选实施例进行详细描述，但本专利技术并不仅仅限于这些实施例。本专利技术涵盖任何在本专利技术的精神和范围上做的替代、修改、等效方法以及方案。为了使公众对本专利技术有彻底的了解，在以下本专利技术优选实施例中详细说明了具体的细节，而对本领域技术人员来说没有这些细节的描述也可以完全理解本专利技术。在下列段落中参照附图以举例方式更具体地描述本专利技术。需说明的是，附图均采用较为简化的形式且均使用非精准的比例，仅用以方便、明晰地辅助说明本专利技术实施例的目的。图1示意了本专利技术面向片外非易失性存储的安全防护方法的流程图。所述面向片外非易失性存储的安全防护方法，包括以下步骤：1)可信执行环境TEE下对片外非易失性存储器进行初始化；2)外围总线APB或系统总线AHB等总线发出配置请求，有配置请求时，检查配置请求是否为安全请求，若为安全请求，则将请求数据写入安全寄存器内，在收到请求启动安全直接存储访问DMA时，启动安全DMA，完成AXI等的访问请求，并返回完成安全中断到TEE中；若为普通请求，则将请求数据写入普通寄存器内，在收到请求启动普通DMA时，执行步骤3)；3)检查DMA请求访问的地址空间是否与安全寄存器标识的地址空间存在重叠，若存在重叠，则认为该请求非法，丢弃该请求，并返回错误普通中断到普通执行环境REE中；若不存在重叠，认为该请求合法，启动普通DMA，完成本文档来自技高网...

【技术保护点】
1.一种面向片外非易失性存储的安全防护方法，其特征在于，包括以下步骤：/n1)可信执行环境TEE下对片外非易失性存储器进行初始化；/n2)有配置请求时，检查配置请求是否为安全请求，若为安全请求，则将请求数据写入安全寄存器内，在收到请求启动安全直接存储访问DMA时，启动安全DMA，完成访问请求，并返回完成安全中断到TEE中；若为普通请求，则将请求数据写入普通寄存器内，在收到请求启动普通DMA时，执行步骤3)；/n3)检查DMA请求访问的地址空间是否与安全寄存器标识的地址空间存在重叠，若存在重叠，则认为该请求非法，丢弃该请求，并返回错误普通中断到普通执行环境REE中；若不存在重叠，认为该请求合法，启动普通DMA，完成访问请求，并返回完成普通中断到REE中。/n

【技术特征摘要】
1.一种面向片外非易失性存储的安全防护方法，其特征在于，包括以下步骤：
1)可信执行环境TEE下对片外非易失性存储器进行初始化；
2)有配置请求时，检查配置请求是否为安全请求，若为安全请求，则将请求数据写入安全寄存器内，在收到请求启动安全直接存储访问DMA时，启动安全DMA，完成访问请求，并返回完成安全中断到TEE中；若为普通请求，则将请求数据写入普通寄存器内，在收到请求启动普通DMA时，执行步骤3)；
3)检查DMA请求访问的地址空间是否与安全寄存器标识的地址空间存在重叠，若存在重叠，则认为该请求非法，丢弃该请求，并返回错误普通中断到普通执行环境REE中；若不存在重叠，认为该请求合法，启动普通DMA，完成访问请求，并返回完成普通中断到REE中。


2.根据权利要求1所述的面向片外非易失性存储的安全防护方法，其特征在于：步骤2)中的安全请求为来自TEE的配置请求。


3.根据权利要求1所述的面向片外非易失性存储的安全防护方法，其特征在于：步骤1)中所述的初始化包括：对片外非易失性存储器进行分区，在其中划分安全存储区域和普通存储区域，所述安全存储区域只能在TEE下访问。


4.根据权利要求3所述的面向片外非易失性存储的安全防护方法，其特征在于：所述安全寄存器包括安全标志位寄存器、安全域容量寄存器、安全中断寄存器和安全DMA寄存器。


5.根据权利要求3所述的面向片外非易失性存储的安全防护方法，其特征在于：所述安全存储区域划分在片外非易失性存储器的高地址处。


6.根据权利要求...

【专利技术属性】
技术研发人员：冯彦朝，郭御风，马卓，陈志强，胡乔乔，张旭，刘艳丽，胡权，张璐，张明，朱明帅，王振江，
申请(专利权)人：天津飞腾信息技术有限公司，
类型：发明
国别省市：天津;12