本申請公開了一種安全內存實現方法及其系統，其中，安全內存實現系統，包括：設置于安全執行環境端的人臉算法和安全內存服務；設置于一般執行環境端的客戶端程序、相機服務、安全內存分配器和安全內存；還包括相機硬件。本申請具有可以快速部屬的安全內存，降低安全相機技術對硬件的依賴，從而使得在缺乏硬件保護的低端裝置上也可以使用安全相機服務所帶來的好處的技術效果。

技術領域

本申請涉及計算機技術領域，尤其涉及一種安全內存實現方法及其系統。

背景技術

近年，人臉識別的認證機制越來越普及，但是也因此引發了一些安全上的隱憂。如果人臉識別的流程被帶有惡意的黑客干涉，直接將要識別的人臉資料替換掉，則可能會直接危害到使用者的權益。因此確保人臉識別流程的安全性格外重要，而安全相機就是在這種需求下誕生的技術。使用安全相機的目的是確保在進行人臉識別的過程中，不會因為一些程序的安全漏洞而導致人臉資料被竄改，因此可以大幅度的降低安全隱憂。

安全相機通常會搭配安全執行環境(Trusted Execute Environment，簡稱TEE)來運行人臉辨識算法，并在辨識過程中將相機硬件使用的內存隔離，讓運行于一般執行環境(Rich Execution Environment，簡稱REE)的程序無法存取相機內存，具有與即使應用程序存在漏洞也無法替換掉相機內存的資料的優點。

如圖1所示，現有的安全相機使用的安全內存實現系統(又稱內存隔離系統)包括：設置于安全執行環境(TEE)端的人臉算法、安全內存服務和安全內存；設置于一般執行環境(REE)端的其它應用程序、客戶端程序、相機服務和安全內存分配器；還包括：內存保護單元(MPU)、相機硬件和其它硬件。其中，人臉算法、其他應用程序，相機服務和客戶端程序處于用戶模式；安全內存服務，安全內存和安全內存分配器處于特權模式。

其中，客戶端程序：用于與用戶交互的程序，也是人臉辨識系統的用戶，負責啟動整個人臉辨識程序，會先控制相機服務進行拍照，并控制人臉算法開始進行辨識。

安全內存分配器：用于負責管理安全內存，收到申請后，會從安全內存池中配置一塊內存，使用內存保護單元(MPU)進行隔離，并通知安全內存服務有新的安全內存可以使用，最后返回安全內存句柄(handle)給請求內存的模塊。

相機服務：用于控制相機硬件的服務，它會向安全內存分配器申請安全內存，并且控制相機硬件將資料寫入安全內存。

其他應用服務：運行在REE環境的應用程序，這些應用程序無法修改人臉算法的內存，也無法修改安全內存中的資料。具體的，在具有內存保護單元(MPU)保護的系統中，只有授權的應用程序才能夠存取安全內存。

安全內存服務：負責管理安全內存，接收來自安全內存分配器的內存，建立安全內存表進行管理，同時提供人臉算法映射接口，讓人臉算法可以讀取安全內存。

人臉算法：用來辨識人臉的應用程序，從安全內存中讀取資料，并進行辨識。

安全內存：是在內存中的一段連續的物理地址，透過一個稱為內存保護單元(Memory Protection Unit，簡稱MPU)的硬件限制存取，只有被授權的硬件，以及運行在TEE環境的軟件可以存取。在安全相機的應用場景之中，在辨識過程中就只有相機硬件被授權存取。

具體的，客戶端程序控制相機服務進行拍照，并控制人臉算法對拍攝的照片進行辨識。相機服務向安全內存分配器發送存儲申請，內存分配器接收到申請后，從安全內存池中分配一塊內存作為安全內存，并使用內存保護單元(MPU)進行隔離，通知安全內存服務具有新的安全內存可以使用，并返回安全內存句柄(handle)給請求內存的應用程序(例如：相機服務)。安全內存服務負責管理安全內存，接收來自安全內存分配器的內存信息，建立安全內存表進行管理，同時提供人臉算法映射接口，讓人臉算法可以讀取安全內存。人臉算法從安全內存中讀取資料，并進行辨識。