【技术实现步骤摘要】
本申请涉及虚拟机,具体而言,本申请涉及一种权限设置方法、装置、电子设备及计算机可读存储介质。
技术介绍
1、终端等电子设备和服务器、卫星进行通信时,设备由于具备较高的可获得性而容易遭受攻击,不法分子可通过攻击设备进而攻击服务器或卫星。
2、设备的片上系统(system on a chip,soc)包括基带系统和可信执行环境(trusted execution environment,tee),该基带系统包括用于进行通信的通信协议栈,此外基带系统还可以进行一系列的解密操作,tee包含设备中的各种密钥、密码以及核心代码等机密数据。
3、基带系统在运行过程中可以访问tee,这就导致不法分子可能通过控制基带系统而非法访问tee,存在泄露tee中的机密数据的隐患。
技术实现思路
1、本申请实施例提供了一种权限设置方法、装置、电子设备、计算机可读存储介质及计算机程序产品,用于解决
技术介绍
中的技术问题。
2、根据本申请实施例的第一方面,提供了一种权限设置方法,应用于设备的目标芯片,目标芯片包括可信执行环境tee,该方法包括:
3、构建相互隔离的第一虚拟执行域和第二虚拟执行域,第二虚拟执行域运行预设基带系统;
4、在tee中创建相互隔离的第一可信应用和第二可信应用;第一可信应用包括第一密钥,第二可信应用包括设备信息;
5、对第一虚拟执行域设置访问第一可信应用的权限,对第二虚拟执行域设置访问第二可信应用的权限;
6、
7、根据本申请实施例的第二方面,提供了一种权限设置装置,应用于设备的目标芯片,目标芯片包括可信执行tee;
8、该装置包括:
9、虚拟执行域创建模块,用于构建相互隔离的第一虚拟执行域和第二虚拟执行域,第二虚拟执行域运行预设基带系统;
10、可信应用创建模块,用于在tee中创建相互隔离的第一可信应用和第二可信应用;第一可信应用包括第一密钥,第二可信应用包括设备信息;
11、权限设置模块,用于对第一虚拟执行域设置访问第一可信应用的权限,对第二虚拟执行域设置访问第二可信应用的权限;
12、其中,第一虚拟执行域用于根据访问第一可信应用获得第一密钥,并根据第一密钥解密加密的通信配置文件。
13、在一个可能的实现方式中,设备还包括外存,外存中包括加密的通信配置文件;
14、该装置还包括:
15、通信配置文件获得模块,用于通过第一虚拟执行域响应于设备启动,从外存中获得加密的通信配置文件;通过第一虚拟执行域获得第一可信应用中的第一密钥,并根据第一密钥解密加密的通信配置文件。
16、在一个可能的实现方式中,设备还包括安全元件se;se中包括第二密钥和通过第二密钥加密的第三密钥;第一密钥和第二密钥属于一对加解密密钥;
17、通信配置文件获得模块具体用于通过第一虚拟执行域获得se中加密的第三密钥,通过第一密钥解密加密的第三密钥,得到第三密钥,通过第三密钥解密加密的通信配置文件。
18、在一个可能的实现方式中,预设基带系统包括通信协议栈;
19、该装置还包括:
20、通信请求获取模块,用于通过第二虚拟执行域响应于设备的通信请求,获得第二可信应用中的设备信息,并从第一虚拟执行域获得通信配置文件;
21、通信消息生成模块,用于通过预设基带系统基于设备信息、通信协议栈和通信配置文件生成通信消息。
22、在一个可能的实现方式中,目标芯片还包括微内核系统;
23、通信配置文件获得模块包括:
24、第一smc指令发送子模块,用于通过第一虚拟执行域向微内核系统发送第一安全监控呼叫smc指令,通过微内核系统向tee转发第一smc指令;
25、第一密钥获得子模块,用于通过tee向第一可信应用转发第一smc指令,获得第一可信应用发送的第一密钥;通过第一虚拟执行域接收tee通过微内核系统发送的第一密钥;
26、通信请求获取模块包括:
27、第二smc指令发送子模块,用于通过第二虚拟执行域向微内核系统发送第二smc指令,通过微内核系统向tee转发第二smc指令;
28、设备信息获得子模块,用于通过tee向第二可信应用转发第二smc指令,获得第二可信应用发送的设备信息;通过第二虚拟执行域接收tee通过微内核系统发送的设备信息。
29、在一个可能的实现方式中,第一smc指令发送子模块包括:
30、第一合并单元,用于通过微内核系统确定第一虚拟执行域的域标识,将第一虚拟执行域的域标识合并至第一smc指令,得到合并后的第一smc指令,向tee转发合并后的第一smc指令,以使得tee基于合并后的第一smc指令中的第一虚拟执行域的域标识,确定第一可信应用为并后的第一smc指令的接收方;
31、第二smc指令发送子模块包括:
32、第二合并单元,用于通过微内核系统确定第二虚拟执行域的域标识,将第二虚拟执行域的域标识合并至第二smc指令,得到合并后的第二smc指令,向tee转发合并后的第二smc指令,以使得tee基于合并后的第二smc指令中的第二虚拟执行域的域标识,确定第二可信应用为并后的第二smc指令的接收方。
33、在一个可能的实现方式中,目标芯片包括预设寄存器;
34、第一合并单元具体用于通过微内核系统将第一smc指令写入预设寄存器,确定预设寄存器的标识位,将第一虚拟执行域的域标识写入预设寄存器,读取预设寄存器获得并后的第一smc指令;
35、第二合并单元,具体用于通过微内核系统将第二smc指令写入预设寄存器,确定预设寄存器的标识位,将第二虚拟执行域的域标识写入预设寄存器,读取预设寄存器获得并后的第二smc指令。
36、根据本申请实施例的第三方面,提供了一种电子设备,该电子设备包括存储器、处理器及存储在存储器上的计算机程序,处理器执行程序时实现如第一方面所提供的方法的步骤。
37、根据本申请实施例的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。
38、根据本申请实施例的第五方面,提供了一种计算机程序产品,该计算机程序产品包括计算机指令,该计算机指令存储在计算机可读存储介质中,当计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行实现如第一方面所提供的方法的步骤。
39、本申请实施例提供的技术方案带来的有益效果是:
40、本申请实施例在目标芯片中创建相互隔离的第一虚拟执行域和第二虚拟执行域,第一虚拟执行域用于进行解密,第二虚拟执行域用于运行预设基带系统进行通信,使得通信过程和本文档来自技高网...
【技术保护点】
1.一种权限设置方法,其特征在于,应用于设备的目标芯片,所述目标芯片包括可信执行环境TEE;
2.根据权利要求1所述的方法,其特征在于,所述设备还包括外存,所述外存中包括加密的通信配置文件;
3.根据权利要求2所述的方法,其特征在于,所述设备还包括安全元件SE;SE中包括第二密钥和通过所述第二密钥加密的第三密钥;所述第一密钥和所述第二密钥属于一对加解密密钥;
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述预设基带系统包括通信协议栈;
5.根据权利要求4所述的方法,其特征在于,所述目标芯片还包括微内核系统;
6.根据权利要求5所述的方法,其特征在于,通过所述微内核系统向所述TEE转发第一SMC指令,包括:
7.根据权利要求6所述的方法,其特征在于,所述目标芯片包括预设寄存器;
8.一种权限设置装置,其特征在于,应用于设备的目标芯片,所述目标芯片包括可信执行环境TEE;
9.一种电子设备,包括存储器、处理器及存储在存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序以
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述方法的步骤。
...【技术特征摘要】
1.一种权限设置方法,其特征在于,应用于设备的目标芯片,所述目标芯片包括可信执行环境tee;
2.根据权利要求1所述的方法,其特征在于,所述设备还包括外存,所述外存中包括加密的通信配置文件;
3.根据权利要求2所述的方法,其特征在于,所述设备还包括安全元件se;se中包括第二密钥和通过所述第二密钥加密的第三密钥;所述第一密钥和所述第二密钥属于一对加解密密钥;
4.根据权利要求1-3任意一项所述的方法,其特征在于,所述预设基带系统包括通信协议栈;
5.根据权利要求4所述的方法,其特征在于,所述目标芯片还包括微内核系统;
6.根...
【专利技术属性】
技术研发人员:姜哲,
申请(专利权)人:元心信息科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。