本發明公開了一種面向片外非易失性存儲的安全防護方法，將片外非易失性存儲器的空間劃分為安全存儲區域和普通存儲區域，并基于TEE與REE雙體系結構，將TEE的請求數據加密后通過TEE的驅動直接存入片外非易失性存儲器的安全存儲區域，而REE不能訪問安全存儲區域，REE只能訪問普通存儲區域。本發明解決了現有片外非易失性存儲的安全方案面臨的硬件成本高、功耗高、面積大或安全風險等技術問題，完成了TEE和REE對片外非易失性存儲器的分區訪問，增強了片外非易失性存儲器的安全防護，且本發明設計簡單，對性能的影響較小，具有很大的靈活性，兼顧了安全性、性能及成本三方面的要求。

技術領域

本發明涉及計算機安全防護領域，更具體的說，涉及一種面向片外非易失性存儲的安全防護方法。

背景技術

計算機系統正在越來越多的受到惡意軟件攻擊，體現在用戶的敏感數據被竊取、數字版權被濫用、移動支付存在重大安全隱患等方面，其面臨的安全威脅越來越大，故在計算機系統中引入一個可信執行環境TEE(Trusted Execution Environment)用以解決上述問題。TEE是系統級芯片SOC(system-on-chip)上的一個安全區域，提供了隔離執行、可信應用的完整性、可信數據的機密性、安全存儲等功能。普通執行環境REE(Rich ExecutionEnvironment)為所有移動設備通用的環境，運行通用的OS，例如Android、IOS系統等，TEE是與設備上通用的OS并存的運行環境，并且給通用的OS提供安全服務，TEE比REE的安全級別更高，運行在TEE的應用稱為可信應用TA(Trusted Apps)，其可以訪問設備的全部功能，且硬件隔離技術保護其不受運行在普通執行環境REE的Apps影響。TEE的OS保護每個TA不相互影響，可以為多個不同的服務提供商同時使用，而不影響安全性。

SOC中的數據代碼等最終都是存儲在片外非易失性存儲器內的，現有的TEE安全方案對片外非易失性存儲器的采取以下防護措施之一：1)將片外非易失性存儲器全部劃分在TEE訪問的安全空間；2)硬件上實現兩個片外非易失性存儲器，一個劃分為TEE訪問，另一個劃分為REE訪問；3)將片外非易失性存儲器全部劃分在REE訪問的普通空間，TEE內的數據加密后通過REE存入片外非易失性存儲器。但是三種方案均有缺陷，1)防護措施導致REE完全不能訪問片外非易失性存儲器；2)防護措施導致硬件成本高、功耗高、面積大等問題；3)防護措施導致REE可以獲取TEE的密文數據，存在被破解的風險。

發明內容

有鑒于此，本發明提出了一種面向片外非易失性存儲的安全防護方法，完成了TEE和REE對片外非易失性存儲器的分區訪問，解決了現有技術中REE完全不能訪問片外非易失性存儲器，硬件成本高、功耗高、面積大等問題，REE能夠獲取TEE的密文數據從而存在被破解的風險等技術問題。

1)可信執行環境TEE下對片外非易失性存儲器進行初始化；

2)有配置請求時，檢查配置請求是否為安全請求，若為安全請求，則將請求數據寫入安全寄存器內，在收到請求啟動安全直接存儲訪問DMA時，啟動安全DMA，完成訪問請求，并返回完成普通中斷到TEE中；若為普通請求，則將請求數據寫入普通寄存器內，在收到請求啟動普通DMA時，執行步驟3)；

3)檢查DMA請求訪問的地址空間是否與安全寄存器標識的地址空間存在重疊，若存在重疊，則認為該請求非法，丟棄該請求，并返回錯誤普通中斷到普通執行環境REE中；若不存在重疊，認為該請求合法，啟動普通DMA，完成訪問請求，并返回完成普通中斷到REE中。

可選的，步驟2)中的安全請求為來自TEE的配置請求。

可選的，步驟1)中所述的初始化包括：對片外非易失性存儲器進行分區，在其中劃分安全存儲區域和普通存儲區域，所述安全存儲區域和安全寄存器只能在TEE下訪問。

可選的，所述安全寄存器包括安全標志位寄存器、安全域容量寄存器、安全中斷寄存器和安全DMA寄存器。