一种CPU硬件的安全管理方法技术

本申请涉及数据安全技术领域，提供了一种CPU硬件的安全管理方法，所述方法包括：在SOC上建立第一执行环境和第二执行环境；基于对接信息进行初始数据交互，获得初始数据交互结果，其中包括交互权限需求；通过交互权限需求匹配验证机制，进行对接单元的单元验证；当验证通过时，基于第二执行环境进行对接信息的信息交互；判断是否需要基于第一执行环境进行数据处理；当判断需要时，则通过密码加速引擎进行可信度量，当可信度量通过后，基于第一执行环境进行数据处理。能够解决移动存储设备与主机进行数据交互过程中安全性较低的问题，可以有效防止数据非法访问，提高移动存储设备与主机数据交互的安全性。机数据交互的安全性。机数据交互的安全性。

【技术实现步骤摘要】
一种CPU硬件的安全管理方法


[0001]本申请涉及数据安全
，具体涉及一种CPU硬件的安全管理方法。

技术介绍

[0002]随着计算机技术的迅速发展，移动存储设备的使用近年来也迅速普及，针对移动存储设备的病毒、木马等攻击也日趋频繁，给用户的重要信息带来巨大的安全隐患。
[0003]目前移动存储设备的安全措施比较薄弱，常见的数据交互方式是采用基于口令的用户身份认证和对数据进行简单加密，由于口令认证和数据加密过程都是主要通过软件来完成，且口令和加密密钥与数据存储在同一存储介质之中，安全性难以得到保障。
[0004]综上所述，现有技术中存在移动存储设备与主机进行数据交互过程中安全性较低的问题。

技术实现思路

[0005]基于此，有必要针对上述技术问题，提供一种CPU硬件的安全管理方法。
[0006]一种CPU硬件的安全管理方法，所述方法包括：在SOC上建立第一执行环境和第二执行环境，其中，所述第一执行环境为可信执行环境，所述第二执行环境为丰富执行环境；读取对接单元的对接信息，基于所述对接信息进行初始数据交互，获得初始数据交互结果，其中，所述初始数据交互结果包括交互权限需求；通过所述交互权限需求匹配验证机制，基于所述验证机制进行所述对接单元的单元验证，获得验证结果；当所述验证结果为验证通过时，通过CPU基于所述第二执行环境进行所述对接信息的信息交互；根据信息交互结果判断是否需要基于所述第一执行环境进行数据处理；当判断需要时，则通过密码加速引擎进行所述对接单元的可信度量，当可信度量通过后，通过CPU基于所述第一执行环境进行数据处理。
[0007]在一个实施例中，还包括：当通过所述第一执行环境进行数据处理时，生成处理加密指令；当通过所述第一执行环境处理后的数据需要离开所述第一执行环境时，通过所述处理加密指令对离开数据进行加密处理，获得加密处理数据；将所述加密处理数据通过所述第一执行环境和所述第二执行环境的安全通信信道传输至所述第二执行环境。
[0008]在一个实施例中，还包括：判断所述对接单元是否为可信设备；当所述对接单元为可信设备时，基于所述验证机制，读取所述对接单元的身份认证请求；对所述身份认证请求进行认证处理，并验证签名；生成响应验证请求，将所述响应验证请求发送至所述对接单元，进行双向认证；接收所述对接单元的反馈验证信息，并进行所述反馈验证信息的响应认证，完成双向认证。
[0009]在一个实施例中，还包括：当所述对接单元不是可信设备时，则生成所述对接单元和主机的信任关系建立指令；基于所述信任关系建立指令，分别提取主机和所述对接单元的非对称的身份密钥和加密密钥，其中，所述身份密钥包括主机身份密钥和对接身份密钥，所述加密密钥包括主机加密密钥和对接加密密钥；将所述身份密钥和所述加密密钥中的公
钥进行公钥交互，并进行公钥交互验证；根据公钥交互验证结果进行信任关系建立；通过信任关系建立结果获得所述验证结果。
[0010]在一个实施例中，还包括：当接收所述对接身份密钥后，将所述对接身份密钥发送至第三方验证单元；通过所述第三方验证单元进行所述对接身份密钥的身份识别，并基于身份识别结果读取历史操作记录；基于所述历史操作记录生成附加验证信息；接收所述附加验证信息，根据所述附加验证信息和所述公钥交互验证结果进行信任关系建立。
[0011]在一个实施例中，还包括：设置所述对接单元的可信验证生命周期，其中，所述可信验证生命周期包括时间生命周期、数量生命周期和窗口生命周期；当确定所述对接单元为可信设备时，通过所述可信验证生命周期进行所述对接单元的周期认证，获得周期认证结果；当所述周期认证结果为认证通过时，则通过所述验证机制，进行双向认证。
[0012]在一个实施例中，还包括：当所述周期认证结果为认证未通过时，则生成新增验证指令；通过所述新增验证指令进行所述对接单元和主机的新增验证，基于新增验证结果获得所述验证结果。
[0013]一种CPU硬件的安全管理系统，包括：执行环境建立模块，所述执行环境建立模块用于在SOC上建立第一执行环境和第二执行环境，其中，所述第一执行环境为可信执行环境，所述第二执行环境为丰富执行环境；初始数据交互模块，所述初始数据交互模块用于读取对接单元的对接信息，基于所述对接信息进行初始数据交互，获得初始数据交互结果，其中，所述初始数据交互结果包括交互权限需求；对接单元验证模块，所述对接单元验证模块用于通过所述交互权限需求匹配验证机制，基于所述验证机制进行所述对接单元的单元验证，获得验证结果；对接信息交互模块，所述对接信息交互模块用于当所述验证结果为验证通过时，通过CPU基于所述第二执行环境进行所述对接信息的信息交互；数据处理判断模块，所述数据处理判断模块用于根据信息交互结果判断是否需要基于所述第一执行环境进行数据处理；数据处理模块，所述数据处理模块用于当判断需要时，则通过密码加速引擎进行所述对接单元的可信度量，当可信度量通过后，通过CPU基于所述第一执行环境进行数据处理。
[0014]上述一种CPU硬件的安全管理方法，能够解决移动存储设备与主机进行数据交互过程中安全性较低的问题，首先在SOC上设置可信执行环境和丰富执行环境，其中可信执行环境是SOC上的一个安全区域；获得对接单元的对接信息并进行初始数据交互，获得初始数据交互结果，其中包括交互权限需求；设置交互验证机制，根据所述交互验证机制进行交互权限需求匹配，并对所述对接单元进行单元验证；当验证通过时，通过CPU基于第二执行环境进行对接信息的信息交互；并根据信息交互结果判断是否需要基于第一执行环境进行安全数据交互；当需要时，首先通过密码加速引擎 对所述对接单元进行可信度量，当可信度量通过后通过CPU基于第一执行环境进行数据处理。可以有效防止数据非法访问，提高移动存储设备与主机数据交互的安全性。
[0015]上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，
而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。
附图说明
[0016]图1为本申请提供了一种CPU硬件的安全管理方法的流程示意图；图2为本申请提供了一种CPU硬件的安全管理方法中进行对接单元验证的流程示意图；图3为本申请提供了一种CPU硬件的安全管理方法中加密处理数据传输的流程示意图；图4为本申请提供了一种CPU硬件的安全管理系统的结构示意图。
[0017]附图标记说明：执行环境建立模块1、初始数据交互模块2、对接单元验证模块3、对接信息交互模块4、数据处理判断模块5、数据处理模块6。
具体实施方式
[0018]为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。
[0019]如图1所示，本申请提供了一种CPU硬件的安全管理方法，包括：步骤S100：在SOC上建立第一执行环本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种CPU硬件的安全管理方法，其特征在于，所述方法包括：在SOC上建立第一执行环境和第二执行环境，其中，所述第一执行环境为可信执行环境，所述第二执行环境为丰富执行环境；读取对接单元的对接信息，基于所述对接信息进行初始数据交互，获得初始数据交互结果，其中，所述初始数据交互结果包括交互权限需求；通过所述交互权限需求匹配验证机制，基于所述验证机制进行所述对接单元的单元验证，获得验证结果；当所述验证结果为验证通过时，通过CPU基于所述第二执行环境进行所述对接信息的信息交互；根据信息交互结果判断是否需要基于所述第一执行环境进行数据处理；当判断需要时，则通过密码加速引擎进行所述对接单元的可信度量，当可信度量通过后，通过CPU基于所述第一执行环境进行数据处理。2.如权利要求1所述的CPU硬件的安全管理方法，其特征在于，所述方法还包括：当通过所述第一执行环境进行数据处理时，生成处理加密指令；当通过所述第一执行环境处理后的数据需要离开所述第一执行环境时，通过所述处理加密指令对离开数据进行加密处理，获得加密处理数据；将所述加密处理数据通过所述第一执行环境和所述第二执行环境的安全通信信道传输至所述第二执行环境。3.如权利要求1所述的CPU硬件的安全管理方法，其特征在于，所述通过所述交互权限需求匹配验证机制，基于所述验证机制进行所述对接单元的单元验证，获得验证结果，还包括：判断所述对接单元是否为可信设备；当所述对接单元为可信设备时，基于所述验证机制，读取所述对接单元的身份认证请求；对所述身份认证请求进行认证处理，并验证签名；生成响应验证请求，将所述响应验证请求发送至所述对接单元，进行双向认证；接收所述对接单元的反馈验证信息，并进行所述反馈验证信息的响应认证，完成双向认证。4.如权利要求3所述的CPU硬件的安全管理方法，其特征在于，所述方法还包括：当所述对接单元不是可信设备时，则生成所述对接单元和主机的信任关系建立指令；基于所述信任关系建立指令，分别提取主机和所述对接单元的非对称的身份密钥和加密密钥，其中，所述身份密钥包括主机身份密钥和对接身份密钥，所述加密密钥包括主机加密密钥和对接加密密钥；将所述身份密钥和所述加密密钥中的公钥进行公钥交互，并进行公钥交互验证；根据公钥交互验证结果进行信任...

【专利技术属性】
技术研发人员：张伟，朱怀典，刘力持，陈伟，
申请(专利权)人：西安晟昕科技股份有限公司，
类型：发明
国别省市：