【技术实现步骤摘要】
【国外来华专利技术】具有可信执行环境的混合设备
[0001]本专利技术的名称为“具有可信执行环境(TRUSTED EXECUTION ENVIRONMENT)的混合设备”,但为简洁起见,在下文中称为“混合TEE设备”,涉及一种混合设备,它包含一个用于运行程序代码的可信(安全)执行环境(以下称为“TEE”),通过代码和数据隔离降低了设备执行恶意代码的风险。
技术介绍
[0002]TEE在编程领域是众所周知的:它们最初包括由处理器根据低级别的安全编程指令分配的计算机内存区域,这些区域被预留出来,仅由“可信的”应用程序和进程访问,这样,例如,如果多个应用程序正在通用计算设备上运行,未经过某种验证或批准程序的应用程序和进程则不允许访问预留的内存区域。这种方法存在多种漏洞,包括但不限于以下事实:安全编程指令本身可能会被恶意软件更改或绕过,而这些恶意软件无论是通过默认、不安全的设计,还是通过恶意激活,都有足够的权限来执行这种代码。
[0003]导致与这种恶意代码有关的一些因素包括:a)可信的应用程序和不可信的应用程序之间的内存隔离不足;b)从安全世界切换到正常世界的功能模块中的漏洞;c)由于安全世界和正常世界之间、以及安全世界内部的资源共享,导致缓存泄漏;以及d)由于某些内存设计中的“Rowhammer”漏洞导致的信息泄露。
[0004]在最近的TEE实施方案中,例如在US 2012/0265975 A1中公开的具有嵌入式安全特征的微控制器,TEE(也称为“安全环境”)是通过将一组安全参数存储在非易失性存储器上而建立的,处理器不能直 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种具有可信执行环境的混合设备,包括:具有缓存清除控制器的处理器核心;与所述处理器通信连接的内存控制器和由所述内存控制器控制的物理内存;一个或多个外设,所述外设包括一个或多个通用输入输出控制器、闪存或通用异步接收器
‑
发送器,所述外设与所述处理器核心通信连接;以及可信执行环境(TEE)子系统,其包括内存映射寄存器、内存隔离网关和内存清理器,所述TEE子系统控制所述处理器核心与所述内存控制器和/或所述外设之间的所有通信。2.根据权利要求1所述的具有可信执行环境的混合设备,其中所述内存控制器为DDR内存控制器,所述物理内存为DDR内存。3.根据权利要求1所述的具有可信执行环境的混合设备,其中所述处理器、所述缓存清除控制器、所述内存清理器和所述内存隔离网关均集成在一个单一的集成电路设备中。4.根据权利要求1所述的具有可信执行环境的混合设备,其中所述缓存清除控制器、所述内存清理器和所述内存隔离网关中的至少一个没有被集成到集成有所述处理器核心的集成电路设备中。5.根据权利要求2所述的具有可信执行环境的混合设备,其中所述处理器、所述缓存清除控制器、所述内存清理器和所述内存隔离网关均集成在一个单一的集成电路设备中。6.根据权利要求2所述的具有可信执行环境的混合设备,其中所述缓存清除控制器、所述内存清理器和所述内存隔离网关中的至少一个没有被集成到集成有所述处理器核心的集成电路设备中。7.一种具有可信执行环境运行的软硬件混合设备的方法,包括:定义至少两个虚拟处理单元,包括可信处理单元和至少一个不可信处理单元,所述虚拟处理单元在处理器上运行;根据存储在内存隔离网关中的内存单元配置,定义至少两个虚拟内存单元,对应于物理内存设备的至少两个区域;将其中一个所述虚拟内存单元分配给每个所述虚拟处理单元;监控所述处理器是否由于来自其中一个所述虚拟处理单元的指令而试图访问所述虚拟内存单元;通过所述内存隔离网关进行检查,以确保所述处理器正在访问的所述虚拟内存单元与分配给所述虚拟处理单元的所述虚拟内存单元相对应,所述虚拟处理单元向所述处理器提供了访问所述虚拟内存单元的指令;如果所述虚拟内存单元对应于向所述处理器提供访问所述虚拟内存单元的指令的所述虚拟处理单元,则允许所述处理器访问所述虚拟内存单元,并返回到所述监控步骤,否则进行下一步骤;通过所述内存隔离网关阻止访问所述虚拟内存单元的尝试,并返回一个错误,表示尝试访问所述内存失败,并返回到所述监控步骤。8.根据权利要求7所述的方法,其中在通过所述内存隔离网关检查到对应于一个指定的不可信处理单元的所述虚拟处理单元仅访问分配给所述指定的不可信处理单元的所述虚拟内存单元后,所述指定的不可信处理单元成为第二可信处理单元。9.根据权利要求7所述的方法,还包括:
定义一组可信处理单元参数;将该组可信处理单元参数存储在一个可信处理单元参数存储位置;确认所述不可信处理单元之一在该组可信处理单元参数内,如果是,则将该不可信处理单元转换成额外的可信处理单元;以及允许一个进程作为可信进...
【专利技术属性】
技术研发人员:吴智伟,林灿辉,李闰球,
申请(专利权)人:香港应用科技研究院有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。