System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 操作多域系统的方法、编译方法、多域系统及电子装置制造方法及图纸_技高网
当前位置: 首页 > 专利查询>北京奕斯伟计算技术股份有限公司专利>正文

操作多域系统的方法、编译方法、多域系统及电子装置制造方法及图纸

技术编号:41464675 阅读:10 留言:0更新日期:2024-05-30 14:20
本公开的至少一实施例提供了一种操作多域系统的方法、编译方法、多域系统及电子装置。该操作多域系统的方法包括:基于约束信息设定所述多域系统中的第一域和第二域经由共享内存进行数据通信的操作;接收来自所述多域系统中的对象域对请求目标域的对象操作请求并且基于所述约束信息鉴权所述对象操作请求;以及响应于所述鉴权通过,允许所述对象操作请求。该操作多域系统的方法可以提供多域系统的域之间的安全通信。

全部详细技术资料下载

【技术实现步骤摘要】

本公开的实施例涉及操作多域系统的方法、编译方法、多域系统、电子装置以及非瞬时可读存储介质。


技术介绍

1、系统架构的多域系统(multi-domain system)一般包括多个执行域或执行环境(简称为域),其中不同的软件组件可以在各自的隔离域中运行,并具有不同的特权和访问控制级别。

2、常见的域包括普通执行环境(ree)和可信执行环境(tee)。普通执行环境也称为丰富执行环境,可以基于soc上的普通区域,运行传统的os、普通程序并存储普通信息。可信执行环境基于片上系统(soc,system on chip)上的安全区域,提供了隔离执行、安全通信、安全存储等功能,保证tee内敏感信息的完整性、机密性及可用性,并且为丰富执行环境(ree)提供安全服务。


技术实现思路

1、本公开的至少一实施例提供了一种多域系统,包括:设定单元,被配置为:基于约束信息设定多域系统中的第一域和第二域经由共享内存进行数据通信的操作;以及鉴权单元,包括:接收单元,被配置为:接收来自多域系统中的对象域对请求目标域的对象操作请求;鉴权执行单元,被配置为:基于约束信息鉴权对象操作请求;以及允许判定单元,被配置为:响应于鉴权通过,允许对象操作请求。

2、例如,根据本公开的至少一实施例的多域系统,约束信息包括:多域系统中的每个域的标识符、多域系统中的每个域的操作请求的目标域的标识符以及多域系统中的每个域的共享内存的大小边界。

3、例如,根据本公开的至少一实施例的多域系统,约束信息还包括:多域系统中的每个域的操作请求的方向、多域系统中的每个域的访问权限以及多域系统中的每个域的执行权限中的至少一者。

4、例如,根据本公开的至少一实施例的多域系统,设定单元包括:注册单元,被配置为:基于约束信息注册共享内存;存储执行单元,被配置为:将约束信息存储在多域系统的只读存储区域中;分配单元:被配置为:基于约束信息对第一域和第二域分配标识符;以及设置单元,被配置为:基于存储在只读存储区域中的约束信息设置共享内存。

5、例如,根据本公开的至少一实施例的多域系统,存储在只读存储区域中的约束信息只允许高权限组件访问,高权限组件比多域系统中的每个域具有更高的执行权限。

6、例如,根据本公开的至少一实施例的多域系统,基于约束信息设定多域系统中的第一域和第二域经由共享内存进行数据通信的操作被静态执行。

7、例如,根据本公开的至少一实施例的多域系统,鉴权执行单元包括:比较单元,被配置为:将对象操作请求所包括的待鉴权信息与约束信息进行比较;以及鉴权通过判定单元,被配置为:响应于待鉴权信息全部符合约束信息,鉴权通过;并且响应于待鉴权信息中的至少一者不符合约束信息,鉴权未通过。

8、例如,根据本公开的至少一实施例的多域系统,待鉴权信息至少包括对象域的标识符,并且比较单元包括:标识符索引单元,被配置为:首先利用对象域的标识符索引约束信息;以及比较停止判定单元,被配置为:响应于未命中,停止比较并且确定待鉴权信息中的至少一者不符合约束信息;并且响应于命中,继续比较。

9、例如,根据本公开的至少一实施例的多域系统,鉴权执行单元还被配置为:响应于通过物理内存保护验证通过而让对象操作请求的请求目标域取得共享内存的访问权限,执行鉴权。

10、例如,根据本公开的至少一实施例的多域系统,约束信息包括每个域的密钥,并且多域系统还包括:加密单元,被配置为:响应于允许对象操作请求,使用对象操作请求的对象目标域的密钥对共享内存进行加密,其中密钥专用于对象目标域解析共享内存。

11、例如,根据本公开的至少一实施例的多域系统,允许判定单元还被配置为:响应于鉴权未通过,拒绝对象操作请求。

12、例如,根据本公开的至少一实施例的多域系统,约束信息根据多域系统的功能来创建。

13、本公开的至少一实施例提供了一种操作多域系统的方法,包括:基于约束信息设定所述多域系统中的第一域和第二域经由共享内存进行数据通信的操作;接收来自所述多域系统中的对象域对请求目标域的对象操作请求并且基于所述约束信息鉴权所述对象操作请求;以及响应于所述鉴权通过,允许所述对象操作请求。

14、例如,根据本公开的至少一实施例的操作多域系统的方法,所述约束信息包括:所述多域系统中的每个域的标识符、所述多域系统中的每个域的操作请求的目标域的标识符以及所述多域系统中的每个域的共享内存的大小边界。

15、例如,根据本公开的至少一实施例的操作多域系统的方法,所述约束信息还包括:所述多域系统中的每个域的操作请求的方向、所述多域系统中的每个域的访问权限以及所述多域系统中的每个域的执行权限中的至少一者。

16、例如,根据本公开的至少一实施例的操作多域系统的方法,基于约束信息设定所述多域系统中的第一域和第二域经由共享内存进行数据通信的操作,包括:基于所述约束信息注册所述共享内存,并且将所述约束信息存储在所述多域系统的只读存储区域中;基于所述约束信息对所述第一域和所述第二域分配标识符;以及基于存储在所述只读存储区域中的所述约束信息设置所述共享内存。

17、例如,根据本公开的至少一实施例的操作多域系统的方法,存储在所述只读存储区域中的所述约束信息只允许高权限组件访问,所述高权限组件比所述多域系统中的每个域具有更高的执行权限。

18、例如,根据本公开的至少一实施例的操作多域系统的方法,所述基于约束信息设定所述多域系统中的第一域和第二域经由共享内存进行数据通信的操作被静态执行。

19、例如,根据本公开的至少一实施例的操作多域系统的方法,基于所述约束信息鉴权所述对象操作请求,包括:将所述对象操作请求所包括的待鉴权信息与所述约束信息进行比较;响应于所述待鉴权信息全部符合所述约束信息,鉴权通过;以及响应于所述待鉴权信息中的至少一者不符合所述约束信息,鉴权未通过。

20、例如,根据本公开的至少一实施例的操作多域系统的方法,所述待鉴权信息至少包括所述对象域的标识符,将所述对象操作请求所包括的待鉴权信息与所述约束信息进行比较,包括:首先利用所述对象域的标识符索引所述约束信息;响应于未命中,停止所述比较并且确定所述待鉴权信息中的至少一者不符合所述约束信息;以及响应于命中,继续所述比较。

21、例如,根据本公开的至少一实施例的操作多域系统的方法,还包括:响应于通过物理内存保护验证通过而让所述对象操作请求的请求目标域取得所述共享内存的访问权限,执行所述鉴权。

22、例如,根据本公开的至少一实施例的操作多域系统的方法,所述约束信息包括每个域的密钥,并且所述方法还包括:响应于允许所述对象操作请求,使用所述对象操作请求的对象目标域的密钥对所述共享内存进行加密,其中所述密钥专用于所述对象目标域解析所述共享内存。

23、例如,根据本公开的至少一实施例的操作多域系统的方法,还包括:响应于所述鉴权未通过,拒绝所述对象操作请求。

...

【技术保护点】

1.一种多域系统,包括:

2.根据权利要求1所述的多域系统,其中,所述约束信息包括:所述多域系统中的每个域的标识符、所述多域系统中的每个域的操作请求的目标域的标识符以及所述多域系统中的每个域的共享内存的大小边界。

3.根据权利要求2所述的多域系统,其中,所述约束信息还包括:所述多域系统中的每个域的操作请求的方向、所述多域系统中的每个域的访问权限以及所述多域系统中的每个域的执行权限中的至少一者。

4.根据权利要求1所述的多域系统,其中,所述设定单元包括:

5.根据权利要求4所述的多域系统,其中,存储在所述只读存储区域中的所述约束信息只允许高权限组件访问,所述高权限组件比所述多域系统中的每个域具有更高的执行权限。

6.根据权利要求1所述的多域系统,其中,所述基于约束信息设定所述多域系统中的第一域和第二域经由共享内存进行数据通信的操作被静态执行。

7.根据权利要求1所述的多域系统,其中,所述鉴权执行单元包括:

8.根据权利要求7所述的多域系统,其中,所述待鉴权信息至少包括所述对象域的标识符,并且所述比较单元包括:

9.根据权利要求1所述的多域系统,其中,所述鉴权执行单元还被配置为:

10.根据权利要求1-3中任一项所述的多域系统,其中,所述约束信息包括每个域的密钥,并且所述多域系统还包括:

11.根据权利要求1所述的多域系统,其中,所述允许判定单元还被配置为:响应于所述鉴权未通过,拒绝所述对象操作请求。

12.根据权利要求1所述的多域系统,其中,所述约束信息根据所述多域系统的功能来创建。

13.一种操作多域系统的方法,包括:

14.根据权利要求13所述的方法,其中,所述约束信息包括:所述多域系统中的每个域的标识符、所述多域系统中的每个域的操作请求的目标域的标识符以及所述多域系统中的每个域的共享内存的大小边界。

15.根据权利要求14所述的方法,其中,所述约束信息还包括:所述多域系统中的每个域的操作请求的方向、所述多域系统中的每个域的访问权限以及所述多域系统中的每个域的执行权限中的至少一者。

16.根据权利要求13所述的方法,其中,所述基于约束信息设定所述多域系统中的第一域和第二域经由共享内存进行数据通信的操作被静态执行。

17.根据权利要求13-15中任一项所述的方法,其中,所述约束信息包括每个域的密钥,并且所述方法还包括:

18.一种编译方法,包括:

19.根据权利要求18所述的编译方法,还包括:

20.一种编译装置,包括:

21.一种电子装置,包括:

22.一种非瞬时可读存储介质,存储有计算机可执行指令,

...

【技术特征摘要】

1.一种多域系统,包括:

2.根据权利要求1所述的多域系统,其中,所述约束信息包括:所述多域系统中的每个域的标识符、所述多域系统中的每个域的操作请求的目标域的标识符以及所述多域系统中的每个域的共享内存的大小边界。

3.根据权利要求2所述的多域系统,其中,所述约束信息还包括:所述多域系统中的每个域的操作请求的方向、所述多域系统中的每个域的访问权限以及所述多域系统中的每个域的执行权限中的至少一者。

4.根据权利要求1所述的多域系统,其中,所述设定单元包括:

5.根据权利要求4所述的多域系统,其中,存储在所述只读存储区域中的所述约束信息只允许高权限组件访问,所述高权限组件比所述多域系统中的每个域具有更高的执行权限。

6.根据权利要求1所述的多域系统,其中,所述基于约束信息设定所述多域系统中的第一域和第二域经由共享内存进行数据通信的操作被静态执行。

7.根据权利要求1所述的多域系统,其中,所述鉴权执行单元包括:

8.根据权利要求7所述的多域系统,其中,所述待鉴权信息至少包括所述对象域的标识符,并且所述比较单元包括:

9.根据权利要求1所述的多域系统,其中,所述鉴权执行单元还被配置为:

10.根据权利要求1-3中任一项所述的多域系统,其中,所述约束信息包括每个域的密钥,并且所述多域...

【专利技术属性】
技术研发人员:曹杭
申请(专利权)人:北京奕斯伟计算技术股份有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有