CN110543764B - 片上***内存防护方法、密码加速引擎及内存防护装置 - Google Patents
片上***内存防护方法、密码加速引擎及内存防护装置 Download PDFInfo
- Publication number
- CN110543764B CN110543764B CN201910859140.7A CN201910859140A CN110543764B CN 110543764 B CN110543764 B CN 110543764B CN 201910859140 A CN201910859140 A CN 201910859140A CN 110543764 B CN110543764 B CN 110543764B
- Authority
- CN
- China
- Prior art keywords
- key
- chip
- access
- memory
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种片上***内存防护方法、密码加速引擎及内存防护装置,其中该片上***内存防护方法包括:接收访问片上***内存的访问请求以及所述访问请求对应的访问数据;该访问请求携带有用于标识所述访问请求的访问权限的标识信息,所述访问权限为合法访问所述片上***内存的安全域或者普通域;根据所述标识信息,确定对所述访问数据进行加密的密钥;利用确定出的密钥对所述访问数据进行加密。本发明能有效防护片上***因物理攻击造成内存信息泄露。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种片上***内存防护方法、密码加速引擎及内存防护装置。
背景技术
计算机***面临的安全威胁越来越大,各大厂商提出了可信执行环境(TEE,Trusted Execution Environment)的解决方案。TEE是片上***(SOC,System on Chip)上的一个安全区域,提供了隔离执行、可信应用的完整性、可信数据的机密性、安全存储等功能,与之对应的是相对普通执行环境(REE,Rich Execution Environment)。TEE是与设备上的通用操作***(Rich OS)并存的运行环境,并且给Rich OS提供安全服务。TEE比REE的安全级别更高,运行在TEE的应用称为可信应用(TA,Trusted Apps),其可以访问设备的全部功能,硬件隔离技术保护其不受运行在REE的应用(Apps)影响。而TEE OS可以保护每个TA不相互影响,这样可以为多个不同的服务提供商同时使用,而不影响安全性。
无论是TEE环境还是REE环境,都需要将运行时的一些临时代码数据等信息存放在内存里,内存的安全防护成为保证TEE安全的一个关键点。为防止REE侧的程序强制访问存放TEE侧信息的内存空间,从硬件上将内存空间划分出一定的区域作为安全域,可以防护软件攻击。但仍存在由物理攻击带来的安全风险,由于软件攻击和物理攻击都会造成内存信息的泄露,物理攻击能够很容易的获取内存安全域内的数据,而现有防护措施不足以应对物理攻击,因此片上***存在因物理攻击造成内存信息泄露的风险。
发明内容
本发明提供了一种片上***内存防护方法、密码加速引擎及内存防护装置,其目的是为了解决片上***存在因物理攻击造成内存信息泄露的风险的问题。
为了达到上述目的,本发明的实施例提供了一种片上***内存防护方法,包括:
接收访问片上***内存的访问请求以及所述访问请求对应的访问数据;其中,所述访问请求携带有用于标识所述访问请求的访问权限的标识信息,所述访问权限为合法访问所述片上***内存的安全域或者普通域,所述安全域是所述片上***内存中可信执行环境的内存空间,所述普通域是所述片上***内存中普通执行环境的内存空间;
根据所述标识信息,确定对所述访问数据进行加密的密钥;
利用确定出的密钥对所述访问数据进行加密。
其中,所述根据所述标识信息,确定对所述访问数据进行加密的密钥的步骤,包括:
根据所述标识信息,从片上***的多个密钥寄存器中确定出所述标识信息对应的密钥寄存器;其中,所述多个密钥寄存器中的密钥互不相同;
将确定出的密钥寄存器中密钥作为对所述访问数据进行加密的密钥。
其中,所述密钥寄存器中的密钥为随机数发生器产生的随机数、或者所述片上***ID的衍生密钥、或者对所述随机数和所述衍生密钥进行运算的运算结果。
其中,所述密钥寄存器中的密钥是在所述片上***的开机上电过程中产生、并在所述片上***的可信执行环境下写入所述密钥寄存器中的。
其中,在所述片上***切换至待机状态时,所述密钥寄存器中的密钥被存入一片内非易失性存储器内,并在所述片上***由待机状态切换至唤醒状态时,存入所述片内非易失性存储器内的密钥由一固件程序重新加载至所述密钥寄存器中。
其中,在所述片上***切换至休眠状态时,所述密钥寄存器中的密钥被存入一片内非易失性存储器内,并在所述片上***由休眠状态切换至唤醒状态时,存入所述片内非易失性存储器内的密钥被重新加载至所述密钥寄存器中。
其中,在所述片上***由休眠状态切换至唤醒状态时,通过随机数发生器获取新的密钥并装载至密钥寄存器内。
本发明的实施例还提供了一种密码加速引擎,包括:
接收单元,用于接收访问片上***内存的访问请求以及所述访问请求对应的访问数据;其中,所述访问请求携带有用于标识所述访问请求的访问权限的标识信息,所述访问权限为合法访问所述片上***内存的安全域或者普通域,所述安全域是所述片上***内存中可信执行环境的内存空间,所述普通域是所述片上***内存中普通执行环境的内存空间;
确定单元,用于根据所述标识信息,确定对所述访问数据进行加密的密钥;
加密单元,用于利用确定出的密钥对所述访问数据进行加密。
本发明的实施例还提供了一种片上***内存防护装置,包括内存隔离模块和上述的密码加速引擎;
其中,所述内存隔离模块用于在接收到访问片上***内存的访问请求以及该访问请求对应的访问数据时,在该访问请求中添加用于标识该访问请求的访问权限的标识信息,并将携带有所述标识信息的访问请求以及该访问请求对应的访问数据发送给密码加速引擎。
本发明的上述方案至少有如下的有益效果:
在本发明的实施例中,针对TEE与REE双体系结构,对于进入片上***内存的访问数据,根据该访问数据对应的访问请求的访问权限,确定对该访问数据进行加密的密钥,并利用该密钥对访问数据进行加密,以实现对访问内存的安全域和普通域的数据使用不同密钥加密,从而解决因为物理攻击造成的内存信息泄露问题,即使内存受到物理攻击,攻击者获取的都是密文,不会造成信息的泄露,同时还能实现对软件攻击进行安全增强,进一步保证安全域只能被TEE访问,不能被REE侧的程序访问。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1是本发明实施例中片上***内存防护方法的流程图;
图2是本发明实施例中内存的结构示意图;
图3是本发明实施例中密码加速引擎的结构示意图;
图4是本发明实施例中片上***内存防护装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
如图1所示,本发明的实施例提供了一种片上***内存防护方法,包括:
步骤11,接收访问片上***内存的访问请求以及所述访问请求对应的访问数据;其中,所述访问请求携带有用于标识所述访问请求的访问权限的标识信息。
上述访问权限为合法访问所述片上***内存的安全域或者普通域,所述安全域是所述片上***内存中可信执行环境的内存空间,所述普通域是所述片上***内存中普通执行环境的内存空间。
需要说明的是,在本发明的实施例中,可通过内存隔离模块将片上***内存划分为上述安全域和普通域,划分域后的内存如图2所示,其中,有斜线的矩形框表示安全域,没斜线的矩形框表示普通域。且作为一个示例,内存隔离模块的具体结构可采用专利201810475132.8(即一种用于存储***的安全隔离方法及装置)中用于存储***的安全隔离装置实现。
步骤12,根据所述标识信息,确定对所述访问数据进行加密的密钥。
其中,在本发明的实施例中,由于访问请求的访问权限不同,对访问数据进行加密的密钥便不同,因此需要依据访问请求的访问权限确定密钥,以实现对访问内存的安全域和普通域的数据使用不同密钥加密,解决因为物理攻击造成的内存信息泄露问题。
具体的,在本发明的实施例中,上述步骤12的具体实现方式可以为:根据所述标识信息,从片上***的多个密钥寄存器中确定出所述标识信息对应的密钥寄存器,并将确定出的密钥寄存器中密钥作为对所述访问数据进行加密的密钥。其中,所述多个密钥寄存器中的密钥互不相同。
需要说明的是,在本发明的实施例中,以上多个密钥寄存器包括安全域对应的密钥寄存器,以及普通域对应的密钥寄存器,但每个密钥寄存器只有一个密钥(该密钥的产生会在后文详细描述)。在此由于通过标识信息可确定访问请求的访问权限,因而能根据标识信息确定该标识信息对应的密钥寄存器(即若访问请求的访问权限为合法访问片上***内存的安全域,则将安全域对应的密钥寄存器作为该标识信息对应的密钥寄存器;若访问请求的访问权限为合法访问片上***内存的普通域,则将普通域对应的密钥寄存器作为该标识信息对应的密钥寄存器)。
当然可以理解的是,在本发明的实施例中,当根据所述标识信息,确定访问请求的访问权限为合法访问片上***内存的普通域时,还可以不对访问请求对应的访问数据进行加密,因为普通域的安全要求低,不加密可减少延时。
步骤13,利用确定出的密钥对所述访问数据进行加密。
其中,在本发明的实施例中,在确定出密钥后,密钥可随访问请求进入加解密通道,以完成对访问数据的加密。
值得一提的是,在本发明的实施例中,针对TEE与REE双体系结构,对于进入片上***内存的访问数据,根据该访问数据对应的访问请求的访问权限,确定对该访问数据进行加密的密钥,并利用该密钥对访问数据进行加密,实现对访问内存的安全域和普通域的数据使用不同密钥加密,增加TEE的安全性,有效防御内存物理攻击的问题,即使内存受到物理攻击,攻击者获取的都是密文,不会造成信息的泄露。同时根据访问请求的访问权限确定密钥的方式,片上***在运行过程中能完成密钥的动态切换,可以实现对软件攻击进行安全增强,进一步保证安全域只能被TEE访问,不能被REE侧的程序访问。
此外,以上片上***内存防护方法对性能的影响较小,具有很大的灵活性,能够很好的平衡安全性与性能及成本的开销。
接下来对密钥寄存器中密钥的产生、存储及恢复等进行详细描述。
其中,在本发明的实施例中,上述密钥寄存器中的密钥为随机数发生器(TRNG)产生的随机数、或者所述片上***ID的衍生密钥、或者对所述随机数和所述衍生密钥进行运算的运算结果。其中,此处的运算不限定具体形式,可以为乘积运算、求和运算等。
其中,在本发明的实施例中,密钥寄存器中的密钥只可写不可读,且只可以在可信执行环境下写入密钥。具体的,所述密钥寄存器中的密钥是在所述片上***的开机上电过程中产生、并在所述片上***的可信执行环境下写入所述密钥寄存器中的。即,在片上***开机上电时,密钥通过以上三种方式(即通过随机数发生器产生、通过片上***ID的衍生、通过对随机数发生器产生的随机数和片上***ID的衍生密钥进行运算)中任一种产生、并在TEE环境下写入密钥寄存器内,在整个片上***运行过程中均不再改变。在片上***重新开机后,重复上述过程。保证每次上电后的密钥都不同,增加破解的难度。片上***关机后内存里的数据都会丢失,所以无需在关机过程中保存密钥寄存器中的密钥。
其中,在本发明的实施例中,当片上***处于待机(Sleep)状态时,只有少量部件供电,其余部件断电,直到重新唤醒。在待机状态下内存处于供电状态,而内存控制器和执行片上***内存防护方法的密码加速引擎处于断电状态,因此可将密钥寄存器中的密钥存入一个片内非易失性存储器内,在唤醒时,由固件程序将密钥重新加载到密码加速引擎内的密钥寄存器内。即,在所述片上***切换至待机状态时,所述密钥寄存器中的密钥被存入一片内非易失性存储器内,并在所述片上***由待机状态切换至唤醒状态时,存入所述片内非易失性存储器内的密钥由一固件程序重新加载至所述密钥寄存器中。
另,在本发明的实施例中,当片上***处于休眠(Hibernate)状态(类似于关机状态)时,会先将内存中的数据保存在硬盘上,在唤醒时重新加载到内存中,恢复到休眠之前的状态。此处由于内存里的数据在离开内存时都经过解密操作,存入硬盘的是明文或者经过其他的密码加速引擎加密后的数据,所以此处有两种方式处理密钥,一是保存密钥并在唤醒时重新装载到密钥寄存器中。即,在所述片上***切换至休眠状态时,所述密钥寄存器中的密钥被存入一片内非易失性存储器内,并在所述片上***由休眠状态切换至唤醒状态时,存入所述片内非易失性存储器内的密钥被重新加载至所述密钥寄存器中。二是不保存密钥,在唤醒时直接使用固件程序通过TRNG获取新的秘钥并装载到秘钥寄存器内。即,在所述片上***由休眠状态切换至唤醒状态时,通过随机数发生器获取新的密钥并装载至密钥寄存器内。
如图3所示,本发明的实施例还提供了一种密码加速引擎,包括:接收单元31、确定单元32和加密单元33。
其中,接收单元31,用于接收访问片上***内存的访问请求以及所述访问请求对应的访问数据;其中,所述访问请求携带有用于标识所述访问请求的访问权限的标识信息,所述访问权限为合法访问所述片上***内存的安全域或者普通域,所述安全域是所述片上***内存中可信执行环境的内存空间,所述普通域是所述片上***内存中普通执行环境的内存空间。
确定单元32,用于根据所述标识信息,确定对所述访问数据进行加密的密钥。
加密单元33,用于利用确定出的密钥对所述访问数据进行加密。
其中,在本发明的实施例中,密码加速引擎30为与上述片上***内存防护方法对应的装置,能解决因为物理攻击造成的内存信息泄露问题。
需要说明的是,密码加速引擎30包括实现上述片上***内存防护方法的所有单元,为避免过多重复,在此不对密码加速引擎30的各单元进行赘述。
需要解释的是,密码加速引擎30对访问数据采用对称加密算法,访问数据的解密过程为加密的逆向过程。
此外,如图4所示,本发明的实施例还提供了一种片上***内存防护装置,包括内存隔离模块41和上述的密码加速引擎30。
其中,所述内存隔离模块41用于在接收到访问片上***内存的访问请求以及该访问请求对应的访问数据时,在该访问请求中添加用于标识该访问请求的访问权限的标识信息,并将携带有所述标识信息的访问请求以及该访问请求对应的访问数据发送给密码加速引擎30。
上述访问权限为合法访问所述片上***内存的安全域或者普通域,所述安全域是所述片上***内存中可信执行环境的内存空间,所述普通域是所述片上***内存中普通执行环境的内存空间。
可以理解的是,前文已对内存隔离模块41的实现方式进行说明,此处为避免重复,不再对其实现方式进行说明。
需要说明的是,内存隔离模块41和密码加速引擎30设在片上互联网络(NOC5)和内存控制器(DDR控制器6)之间,内存隔离模块41分别与NOC5和密码加速引擎30连接,密码加速引擎30与DDR控制器6连接,且NOC5、内存隔离模块41、密码加速引擎30、DDR控制器6之间都是通过标准的总线协议(AXI,Advanced eXtensible Interface)总线进行连接的。
值得一提的是,在本发明的实施例中,片上***内存防护装置4通过内存隔离模块41将内存划分为安全域和普通域,并在访问请求中添加用于标识该访问请求的访问权限的标识信息,使得密码加速引擎30在接收到访问请求后,能根据该访问数据对应的访问请求的访问权限,确定对该访问数据进行加密的密钥,并利用该密钥对访问数据进行加密,以实现对访问内存的安全域和普通域的数据使用不同密钥加密,从而解决因为物理攻击造成的内存信息泄露问题,即使内存受到物理攻击,攻击者获取的都是密文,不会造成信息的泄露,同时还能实现对软件攻击进行安全增强,进一步保证安全域只能被TEE访问,不能被REE侧的程序访问。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (9)
1.一种片上***内存防护方法,其特征在于,包括:
接收访问片上***内存的访问请求以及所述访问请求对应的访问数据;其中,所述访问请求携带有用于标识所述访问请求的访问权限的标识信息,所述访问权限为合法访问所述片上***内存的安全域或者普通域,所述安全域是所述片上***内存中可信执行环境的内存空间,所述普通域是所述片上***内存中普通执行环境的内存空间;
根据所述标识信息,确定对所述访问数据进行加密的密钥;
利用确定出的密钥对所述访问数据进行加密;
多个密钥寄存器包括安全域对应的密钥寄存器和普通域对应的密钥寄存器,每个密钥寄存器对应一个密钥,通过标识信息确定访问请求的访问权限,根据标识信息确定该标识信息对应的密钥寄存器,若访问请求的访问权限为合法访问片上***内存的安全域时,将安全域对应的密钥寄存器作为该标识信息对应的密钥寄存器;若访问请求的访问权限为合法访问片上***内存的普通域时,将普通域对应的密钥寄存器作为该标识信息对应的密钥寄存器。
2.根据权利要求1所述的片上***内存防护方法,其特征在于,所述根据所述标识信息,确定对所述访问数据进行加密的密钥的步骤,包括:
根据所述标识信息,从片上***的多个密钥寄存器中确定出所述标识信息对应的密钥寄存器;其中,所述多个密钥寄存器中的密钥互不相同;
将确定出的密钥寄存器中密钥作为对所述访问数据进行加密的密钥。
3.根据权利要求2所述的片上***内存防护方法,其特征在于,所述密钥寄存器中的密钥为随机数发生器产生的随机数、或者所述片上***ID的衍生密钥、或者对所述随机数和所述衍生密钥进行运算的运算结果。
4.根据权利要求3所述的片上***内存防护方法,其特征在于,所述密钥寄存器中的密钥是在所述片上***的开机上电过程中产生、并在所述片上***的可信执行环境下写入所述密钥寄存器中的。
5.根据权利要求2所述的片上***内存防护方法,其特征在于,在所述片上***切换至待机状态时,所述密钥寄存器中的密钥被存入一片内非易失性存储器内,并在所述片上***由待机状态切换至唤醒状态时,存入所述片内非易失性存储器内的密钥由一固件程序重新加载至所述密钥寄存器中。
6.根据权利要求2所述的片上***内存防护方法,其特征在于,在所述片上***切换至休眠状态时,所述密钥寄存器中的密钥被存入一片内非易失性存储器内,并在所述片上***由休眠状态切换至唤醒状态时,存入所述片内非易失性存储器内的密钥被重新加载至所述密钥寄存器中。
7.根据权利要求2所述的片上***内存防护方法,其特征在于,在所述片上***由休眠状态切换至唤醒状态时,通过随机数发生器获取新的密钥并装载至密钥寄存器内。
8.一种密码加速引擎,其特征在于,包括:
接收单元,用于接收访问片上***内存的访问请求以及所述访问请求对应的访问数据;其中,所述访问请求携带有用于标识所述访问请求的访问权限的标识信息,所述访问权限为合法访问所述片上***内存的安全域或者普通域,所述安全域是所述片上***内存中可信执行环境的内存空间,所述普通域是所述片上***内存中普通执行环境的内存空间;
确定单元,用于根据所述标识信息,确定对所述访问数据进行加密的密钥;
加密单元,用于利用确定出的密钥对所述访问数据进行加密;
多个密钥寄存器包括安全域对应的密钥寄存器和普通域对应的密钥寄存器,每个密钥寄存器对应一个密钥,通过标识信息确定访问请求的访问权限,根据标识信息确定该标识信息对应的密钥寄存器,若访问请求的访问权限为合法访问片上***内存的安全域时,将安全域对应的密钥寄存器作为该标识信息对应的密钥寄存器;若访问请求的访问权限为合法访问片上***内存的普通域时,将普通域对应的密钥寄存器作为该标识信息对应的密钥寄存器。
9.一种片上***内存防护装置,其特征在于,包括内存隔离模块和如权利要求8所述的密码加速引擎;
其中,所述内存隔离模块用于在接收到访问片上***内存的访问请求以及该访问请求对应的访问数据时,在该访问请求中添加用于标识该访问请求的访问权限的标识信息,并将携带有所述标识信息的访问请求以及该访问请求对应的访问数据发送给密码加速引擎。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910859140.7A CN110543764B (zh) | 2019-09-11 | 2019-09-11 | 片上***内存防护方法、密码加速引擎及内存防护装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910859140.7A CN110543764B (zh) | 2019-09-11 | 2019-09-11 | 片上***内存防护方法、密码加速引擎及内存防护装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110543764A CN110543764A (zh) | 2019-12-06 |
| CN110543764B true CN110543764B (zh) | 2021-07-23 |
Family
ID=68713591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910859140.7A Active CN110543764B (zh) | 2019-09-11 | 2019-09-11 | 片上***内存防护方法、密码加速引擎及内存防护装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110543764B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4145296A1 (en) * | 2021-09-01 | 2023-03-08 | Phytium Technology Co., Ltd. | Microprocessor, data processing method, electronic device, and storage medium |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111666577B (zh) * | 2020-06-07 | 2022-07-19 | 厦门亿联网络技术股份有限公司 | 一种数据解密方法、装置、设备及存储介质 |
| CN113420308A (zh) * | 2021-07-01 | 2021-09-21 | 联芸科技(杭州)有限公司 | 用于加密存储器的数据访问控制方法及控制*** |
| CN113722750B (zh) * | 2021-07-20 | 2024-03-19 | 南京航空航天大学 | 基于认证加密和组密钥的片上网络安全域构建方法 |
| CN113449347B (zh) * | 2021-09-01 | 2021-12-17 | 飞腾信息技术有限公司 | 微处理器、数据处理方法、电子设备和存储介质 |
| CN113449331B (zh) * | 2021-09-01 | 2021-12-17 | 飞腾信息技术有限公司 | 微处理器、数据处理方法、电子设备和存储介质 |
| CN113821835B (zh) * | 2021-11-24 | 2022-02-08 | 飞腾信息技术有限公司 | 密钥管理方法、密钥管理装置和计算设备 |
| CN113821821B (zh) * | 2021-11-24 | 2022-02-15 | 飞腾信息技术有限公司 | 安全架构***、安全架构***的密码运算方法和计算设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102063592A (zh) * | 2011-01-07 | 2011-05-18 | 北京工业大学 | 一种可信平台及其对硬件设备的控制方法 |
| CN105429752A (zh) * | 2015-11-10 | 2016-03-23 | 中国电子科技集团公司第三十研究所 | 一种云环境下用户密钥的处理方法及*** |
| CN106980794A (zh) * | 2017-04-01 | 2017-07-25 | 北京元心科技有限公司 | 基于TrustZone的文件加解密方法、装置及终端设备 |
| CN108288004A (zh) * | 2017-12-07 | 2018-07-17 | 深圳市中易通安全芯科技有限公司 | 一种加密芯片在ree和tee环境共存***及方法 |
| CN108781210A (zh) * | 2015-12-11 | 2018-11-09 | 格马尔托股份有限公司 | 具有可信执行环境的移动设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010056540A1 (en) * | 1997-09-16 | 2001-12-27 | Timothy Ober | Secure memory area |
| CN102404110A (zh) * | 2011-12-08 | 2012-04-04 | 宇龙计算机通信科技(深圳)有限公司 | 一种获取密钥的方法和装置 |
| US8898769B2 (en) * | 2012-11-16 | 2014-11-25 | At&T Intellectual Property I, Lp | Methods for provisioning universal integrated circuit cards |
-
2019
- 2019-09-11 CN CN201910859140.7A patent/CN110543764B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102063592A (zh) * | 2011-01-07 | 2011-05-18 | 北京工业大学 | 一种可信平台及其对硬件设备的控制方法 |
| CN102063592B (zh) * | 2011-01-07 | 2013-03-06 | 北京工业大学 | 一种可信平台及其对硬件设备的控制方法 |
| CN105429752A (zh) * | 2015-11-10 | 2016-03-23 | 中国电子科技集团公司第三十研究所 | 一种云环境下用户密钥的处理方法及*** |
| CN108781210A (zh) * | 2015-12-11 | 2018-11-09 | 格马尔托股份有限公司 | 具有可信执行环境的移动设备 |
| CN106980794A (zh) * | 2017-04-01 | 2017-07-25 | 北京元心科技有限公司 | 基于TrustZone的文件加解密方法、装置及终端设备 |
| CN108288004A (zh) * | 2017-12-07 | 2018-07-17 | 深圳市中易通安全芯科技有限公司 | 一种加密芯片在ree和tee环境共存***及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4145296A1 (en) * | 2021-09-01 | 2023-03-08 | Phytium Technology Co., Ltd. | Microprocessor, data processing method, electronic device, and storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110543764A (zh) | 2019-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110543764B (zh) | 片上***内存防护方法、密码加速引擎及内存防护装置 | |
| US9842212B2 (en) | System and method for a renewable secure boot | |
| US7392415B2 (en) | Sleep protection | |
| CN107408081B (zh) | 提供对存储器的加强重放保护 | |
| US10243990B1 (en) | Systems and methods for detecting replay attacks on security space | |
| US9898624B2 (en) | Multi-core processor based key protection method and system | |
| KR101662616B1 (ko) | 저전력 상태시 메모리 영역 보호 방법 및 장치 | |
| KR102013841B1 (ko) | 데이터의 안전한 저장을 위한 키 관리 방법 및 그 장치 | |
| US10536266B2 (en) | Cryptographically securing entropy for later use | |
| US20090187771A1 (en) | Secure data storage with key update to prevent replay attacks | |
| US20130205139A1 (en) | Scrambling An Address And Encrypting Write Data For Storing In A Storage Device | |
| US20030196100A1 (en) | Protection against memory attacks following reset | |
| US10565130B2 (en) | Technologies for a memory encryption engine for multiple processor usages | |
| EP3271828B1 (en) | Cache and data organization for memory protection | |
| EP3757838B1 (en) | Warm boot attack mitigations for non-volatile memory modules | |
| Gross et al. | Enhancing the Security of FPGA-SoCs via the Usage of ARM TrustZone and a Hybrid-TPM | |
| CN109697351B (zh) | 一种可信度量***及方法 | |
| CN109583196B (zh) | 一种密钥生成方法 | |
| JP2021057043A (ja) | トラストアンカコンピューティング装置を備える処理システムおよび対応する方法 | |
| Liu et al. | Off-chip memory encryption and integrity protection based on AES-GCM in embedded systems | |
| CN114861191B (zh) | 一种嵌入式设备安全启动架构及方法 | |
| CN109598150B (zh) | 一种密钥使用方法 | |
| CN115905108A (zh) | 一种用于risc-v芯片的iopmp架构实现方法 | |
| WO2021116655A1 (en) | An apparatus and method of controlling access to data stored in a non-trusted memory | |
| CN116015632A (zh) | 一种基于SoC TEE技术及集成密码模块的安全密钥管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: No.5 building, Xin'an venture Plaza, marine high tech Development Zone, Binhai New Area, Tianjin, 300450 Applicant after: Feiteng Information Technology Co.,Ltd. Address before: No.5 building, Xin'an venture Plaza, marine high tech Development Zone, Binhai New Area, Tianjin, 300450 Applicant before: TIANJIN FEITENG INFORMATION TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |