[發明專利]配置、實施和監控可信執行環境的分離在審
| 申請號: | 201980040946.1 | 申請日: | 2019-06-24 |
| 公開(公告)號: | CN112400170A | 公開(公告)日: | 2021-02-23 |
| 發明(設計)人: | 切薩雷·加拉第 | 申請(專利權)人: | 海克斯伍安全公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57;G06F21/60;G06F12/14;H04L29/06 |
| 代理公司: | 北京安信方達知識產權代理有限公司 11262 | 代理人: | 韓倩倩;楊明釗 |
| 地址: | 美國加利*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 配置 實施 監控 可信 執行 環境 分離 | ||
1.一種用于生成包括多個分離的執行域的固件映像的方法,包括:
訪問第一可執行程序;
訪問第二可執行程序;
訪問安全監控可執行程序;
訪問安全策略,所述安全策略定義第一安全上下文和第二安全上下文,所述第一安全上下文定義第一閃速存儲器地址范圍和第一系統存儲器地址范圍,所述第二安全上下文定義第二閃速存儲器地址范圍和系統存儲器地址范圍,所述第一閃速存儲器地址范圍不同于所述第二閃速存儲器地址范圍并且與所述第二閃速存儲器地址范圍不重疊,所述第一系統存儲器地址范圍不同于所述第二系統存儲器地址范圍并且與所述第二系統存儲器地址范圍不重疊;和
根據所述安全策略導出包括所述第一可執行程序、所述第二可執行程序和所述安全監控可執行程序的固件映像,包括:
根據所述第一安全上下文配置第一執行域,包括將所述第一執行域限制為使用所述第一閃速存儲器地址范圍中的閃速存儲器和使用所述第一系統存儲器地址范圍中的系統存儲器;
將所述第一可執行程序配置為在所述第一執行域中運行;
根據所述第二安全上下文配置第二執行域,包括將所述第二執行域限制為使用所述第二閃速存儲器地址范圍中的閃速存儲器和使用所述第二系統存儲器地址范圍中的系統存儲器;
將所述第二可執行程序配置為在所述第二執行域中運行;和
將所述安全監控可執行程序配置為以相對于所述第一執行域和所述第二執行域的更高特權級別運行,并且以特定間隔在所述第一執行域和所述第二執行域之間切換處理器資源。
2.根據權利要求1所述的方法,還包括:
安裝根據所述多個分離的執行域初始化處理器的所述固件映像。
3.根據權利要求1所述的方法,其中,根據所述安全策略導出所述固件映像包括導出所述固件映像以包括在所述第一執行域和所述第二執行域之間的硬件實施的分離。
4.根據權利要求1所述的方法,還包括對所述固件映像加密簽名。
5.根據權利要求1所述的方法,其中,根據所述安全策略導出所述固件映像包括從目標平臺處可用的存儲器配置選項中選擇合適的存儲器配置。
6.根據權利要求5所述的方法,其中,選擇合適的存儲器配置包括從以下各項中選擇合適的存儲器配置:TOR、NAPOT或4B。
7.根據權利要求1所述的方法,其中,根據所述安全策略導出所述固件映像包括驗證所述安全策略未被配置為干擾所述安全監控可執行程序的操作。
8.根據權利要求1所述的方法,其中,根據所述安全策略導出所述固件映像包括將所述第一執行域配置為超過在目標平臺的硬件中定義的寄存器的數量。
9.根據權利要求1所述的方法,其中,根據所述安全策略導出所述固件映像包括將第一軟定時器分配給所述第一執行域,并將第二軟定時器分配給所述第二執行域。
10.根據權利要求1所述的方法,其中,導出所述固件映像包括針對選自RISC-V、Arm或MIPS的平臺導出所述映像。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于海克斯伍安全公司,未經海克斯伍安全公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201980040946.1/1.html,轉載請聲明來源鉆瓜專利網。
