一种动态配置安全内存的方法、设备、装置及存储介质制造方法及图纸

本说明书公开了一种动态配置安全内存的方法、设备、装置及存储介质。通用执行环境中的客户端向可信执行环境中的可信应用发送安全内存的注册指令，注册指令中携带内存地址，可信应用根据该注册指令，调用可信执行环境的操作系统的注册接口，向处理器可信框架单元发送安全内存的注册请求，使处理器可信框架单元根据注册请求，将内存地址对应的内存空间的属性更新为安全属性，本方法通过动态配置安全内存既满足了隐私保护方面的安全要求，又减少了内存资源的浪费。存资源的浪费。存资源的浪费。

【技术实现步骤摘要】
一种动态配置安全内存的方法、设备、装置及存储介质


[0001]本说明书涉及计算机领域，尤其涉及一种动态配置安全内存的方法、设备、装置及存储介质。

技术介绍

[0002]随着互联网相关技术的发展，信息的流通方式也变得多种多样。与此同时，人们对信息保护的意识也越来越强，目前可基于可信区(trustzone)技术，在用户的设备中构建可信执行环境(Trusted Execution Environment，TEE)。通过可信执行环境在用户的设备中提供一个与通用执行环境(Rich Execution Environment，REE)隔离的安全环境，保护在该可信执行环境内运行的应用的安全，有利于隐私保护。
[0003]而如何配置TEE运行所需的安全内存是亟待解决的问题，为此本说明书提供一种动态配置安全内存的方法。

技术实现思路

[0004]本说明书提供一种动态配置安全内存的方法、设备、装置及存储介质，以至少部分的解决现有技术存在的上述问题。
[0005]本说明书采用下述技术方案：
[0006]本说明书提供了一种动态配置安全内存的方法，所述方法应用于可信应用，包括：
[0007]接收安全内存的注册指令，所述注册指令中携带有客户端申请的内存地址；
[0008]根据所述注册指令，调用可信执行环境的操作系统的注册接口，向处理器可信框架单元发送安全内存的注册请求，使所述处理器可信框架单元根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性。
[0009]本说明书提供了一种动态配置安全内存的方法，所述方法应用于可信执行环境的操作系统，包括：
[0010]接收可信应用对注册接口的调用请求，所述调用请求携带通用执行环境中的客户端申请的内存地址；
[0011]根据所述调用请求生成注册请求，向处理器可信框架单元发送所述注册请求，使所述处理器可信框架单元根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性。
[0012]本说明书提供一种动态配置安全内存的方法，所述方法应用于处理器可信框架单元，包括：
[0013]接收可信执行环境的操作系统发送的注册请求，所述注册请求包含内存地址；
[0014]根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性。
[0015]本说明书提供一种动态配置安全内存的设备，所述设备包括通用执行环境中的客户端、可信执行环境的操作系统、可信应用以及处理器可信框架单元，包括：
[0016]所述客户端，用于确定在所述可信执行环境执行业务所需的内存地址；向所述可
信应用发送注册指令，所述注册指令中携带有所述内存地址；
[0017]所述可信应用，用于接收所述客户端发送的注册指令；根据携带所述内存地址的所述注册指令，生成调用所述可信执行环境的操作系统中的注册接口的调用请求；
[0018]所述可信执行环境的操作系统，用于接收所述可信应用对所述注册接口的调用请求；根据所述调用请求生成注册请求，向处理器可信框架单元发送所述注册请求；
[0019]所述处理器可信框架单元，用于接收所述可信执行环境的操作系统发送的所述注册请求；根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性。
[0020]本说明书提供一种动态配置安全内存装置，包括：
[0021]接收模块，用于接收安全内存的注册指令，所述注册指令中携带有客户端申请的内存地址；
[0022]内存配置模块，用于根据所述注册指令，调用可信执行环境的操作系统的注册接口，向处理器可信框架单元发送安全内存的注册请求，使所述处理器可信框架单元根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性。
[0023]本说明书提供一种动态配置安全内存装置，包括：
[0024]接收模块，用于接收可信应用对注册接口的调用请求，所述调用请求携带通用执行环境中的客户端申请的内存地址；
[0025]内存配置模块，用于根据所述调用请求生成注册请求，向处理器可信框架单元发送所述注册请求，使所述处理器可信框架单元根据所述注册请求，将所述内存地址大小对应的内存空间的属性更新为安全属性。
[0026]本说明书提供一种动态配置安全内存装置，包括：
[0027]接收模块，接收可信执行环境的操作系统发送的注册请求，所述注册请求包含内存地址；
[0028]内存配置模块，根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性。
[0029]本说明书提供一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述动态配置安全内存的方法。
[0030]本说明书采用的上述至少一个技术方案能够达到以下有益效果：
[0031]在本说明书提供的动态配置安全内存的方法中，通用执行环境中的客户端向可信执行环境中的可信应用发送安全内存的注册指令，其中，注册指令中携带客户端申请的内存地址。可信应用根据所述注册指令，调用可信执行环境的操作系统的注册接口，向处理器可信框架单元发送安全内存的注册请求，使处理器可信框架单元根据注册请求，将内存地址对应的内存空间的属性更新为安全属性。
[0032]从上述方法中可以看出，本方法通过动态配置安全内存的方法既满足了安全要求，又减少了内存资源的浪费。
附图说明
[0033]此处所说明的附图用来提供对本说明书的进一步理解，构成本说明书的一部分，本说明书的示意性实施例及其说明用于解释本说明书，并不构成对本说明书的不当限定。在附图中：
[0034]图1为本说明书实施例中一种动态配置安全内存方法的流程示意图；
[0035]图2为本说明书实施例提供的一种客户端通过处理器可信框架单元与可信应用交互的示意图；
[0036]图3为本说明书实施例提供的一种动态配置安全内存方法的流程示意图；
[0037]图4为本说明书实施例提供的一种动态配置安全内存方法的流程示意图；
[0038]图5a为本说明书实施例提供的一种动态配置安全内存的设备示意图；
[0039]图5b为本说明书实施例提供的一种动态配置安全内存的设备示意图；
[0040]图6为本说明书实施例提供的一种客户端、处理器可信框架单元、可信应用于可信执行环境的操作系统交互的详细过程示意图；
[0041]图7为本说明书实施例提供的一种动态配置安全内存装置的示意图；
[0042]图8为本说明书实施例提供的一种动态配置安全内存装置的示意图；
[0043]图9为本说明书实施例提供的一种动态配置安全内存装置的示意图。
具体实施方式
[0044]为使本说明书的目的、技术方案和优点更加清楚，下面将结合本说明书具体实施例及相应的附图对本说明书技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种动态配置安全内存的方法，所述方法应用于可信应用，所述方法包括：接收安全内存的注册指令，所述注册指令中携带有客户端申请的内存地址；根据所述注册指令，调用可信执行环境的操作系统的注册接口，向处理器可信框架单元发送安全内存的注册请求，使所述处理器可信框架单元根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性。2.如权利要求1所述的方法，接收安全内存的注册指令，具体包括：接收所述处理器可信框架单元转发的安全内存的注册指令，所述注册指令为通用执行环境中的客户端调用所述处理器可信框架单元的接口发送的；其中，所述内存地址为所述客户端向连续内存分配器发送请求得到的连续的内存地址。3.如权利要求1所述的方法，根据所述注册指令，调用可信执行环境的系统中的注册接口，向所述处理器可信框架单元发送安全内存的注册请求，具体包括：根据所述注册指令，从所述可信执行环境的操作系统的接口中，查询注册接口；调用所述注册接口，将所述内存地址发送给所述可信执行环境的操作系统，使所述可信执行环境的操作系统根据所述注册接口对应业务逻辑，向所述处理器可信框架单元发送安全内存的注册请求，所述注册请求携带所述内存地址。4.如权利要求1所述的方法，所述方法还包括：接收所述可信执行环境的操作系统返回的虚拟地址，以根据所述虚拟地址调用所述安全内存执行业务，其中，所述虚拟地址为所述可信执行环境的操作系统确定的，与所述内存地址存在映射关系的虚拟地址。5.一种动态配置安全内存的方法，所述方法应用于可信执行环境的操作系统，所述方法包括：接收可信应用对注册接口的调用请求，所述调用请求携带通用执行环境中的客户端申请的内存地址；根据所述调用请求生成注册请求，向处理器可信框架单元发送所述注册请求，使所述处理器可信框架单元根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性。6.如权利要求5所述的方法，根据所述调用请求生成注册请求，向处理器可信框架单元发送所述注册请求，使所述处理器可信框架单元根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性，具体包括：根据所述注册接口对应业务逻辑，以及所述调用请求携带的所述内存地址，生成注册请求；向处理器可信框架单元发送所述注册请求，使所述处理器可信框架单元调用内存保护控制器，将所述内存空间的属性更新为安全属性，所述注册请求包含所述内存地址。7.如权利要求5所述的方法，所述方法还包括：确定所述内存地址对应的内存空间的属性更新为安全属性后，生成所述内存地址对应的虚拟地址，并确定所述内存地址与所述虚拟地址的对应关系；将所述虚拟地址返回所述可信应用，使所述可信应用执行业务时根据所述虚拟地址调用安全内存。
8.一种动态配置安全内存的方法，所述方法应用于处理器可信框架单元，所述方法包括：接收可信执行环境的操作系统发送的注册请求，所述注册请求包含内存地址；根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性。9.如权利要求8所述的方法，在处理器可信框架单元接收可信执行环境的操作系统发送的安全内存的注册请求之前，所述方法还包括：接收通用执行环境中的客户端发送的注册指令，其中，所述注册指令中携带有所述客户端向连续内存分配器发送请求得到的连续的内存地址；将所述注册指令转发至所述可信应用。10.如权利要求8所述的方法，根据所述注册请求，将所述内存地址对应的内存空间的属性更新为安全属性，具体包括：根据所述注册请求，调用内存保护控制器，将所述内存地址对应的内存空间的属性更新为安全属性。11.一种动态配置安全内存的设备，所述设备包括通用执行环境中的客户端、可信执行环境的操作系统、可信应用以及处理器可信框架单元，其中：所述客户...

【专利技术属性】
技术研发人员：张璇，吴超，辛知，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：