【技术实现步骤摘要】
本专利技术涉及计算机,特别涉及一种设备中访问控制的方法、装置、设备及存储介质。
技术介绍
1、arm64处理器(arm架构的64位指令集的处理器)基于信任空间技术将系统资源分为secure world和normal world两个部分。normal world代表的是正常世界,运行客户操作系统和客户应用;secure world为安全世界,运行可信操作系统和可信固件。对应的arm64 cpu也有安全模式和非安全模式,在非安全模式下,客户操作系统和客户应用主要运行用户程序,执行对安全性要求不高的各种任务,在这种环境下,运行的程序可能会包含许多恶意或攻击软件,导致数据泄露或篡改。
2、内存交换技术是一种计算机系统中的内存管理技术,当系统物理内存不足时,操作系统内核会将内存中暂时不使用的数据块写入到交换区,当这些数据再次被需要时,再从交换区读回内存数据,这种技术可以使系统利用更多的存储空间来模拟出比实际物理内存更大的内存空间。
3、soc(system on chip,系统级芯片)中的物理内存,无论是安全内存还是非安全内存空间都是有限的,当大量程序在运行时,需要借用内存交换机制将内存中的数据交换至磁盘空间,但是当处理器处于安全模式时,如果简单的将安全内存中的机密数据交换至磁盘空间,会导致安全数据泄露;此外,处于安全世界的可信操作系统和可信固件在某些场景下,也会操作安全数据,并将其保存至磁盘空间,如果不对保存安全数据的磁盘空间进行保护,会不可避免的导致数据泄露。传统的对储存在磁盘空间的安全数据进行加解密,会导致数
技术实现思路
1、鉴于上述问题,提出了以便提供克服上述问题或者至少部分地解决上述问题的设备中访问控制的方法、装置、设备及存储介质,包括:
2、在本专利技术实施的第一方面,首先提供了一种设备中访问控制的方法,所述设备包括目标部件,所述目标部件中内存空间包括安全内存空间和非安全内存空间,所述目标部件设置有外接存储器,所述外接存储器中存储区域包括安全存储区域和非安全存储区域,所述方法包括:
3、响应于对所述外接存储器的访问请求,确定所述目标部件的当前安全模式、所述访问请求对应的存储区域安全类型;
4、依据所述当前安全模式与所述存储区域安全类型确定操作权限;
5、若所述操作权限指示为具备操作权限时,向所述外接存储器中与存储区域安全类型对应的目标存储区域发起访问操作,以将所述目标存储区域响应的数据写入所述目标部件中目标内存空间,或,将所述目标部件中目标内存空间的数据写入所述目标存储区域,所述目标内存空间的内存空间安全类型与所述目标存储区域的存储区域安全类型对应。
6、在本专利技术的可选实施例中,所述依据所述当前安全模式与所述存储区域安全类型确定操作权限,包括:
7、若所述当前安全模式为安全模式,且,所述存储区域安全类型为安全,则确定所述操作权限为具备操作权限;
8、若所述当前安全模式为安全模式,且,所述存储区域安全类型为非安全,则确定所述操作权限为具备操作权限;
9、若所述当前安全模式为非安全模式,且,所述存储区域安全类型为非安全,则确定所述操作权限为具备操作权限;
10、若所述当前安全模式为非安全模式,且,所述存储区域安全类型为安全,则确定所述操作权限为不具备操作权限。
11、在本专利技术的可选实施例中,所述访问请求为读取请求,所述向所述外接存储器中与存储区域安全类型对应的目标存储区域发起访问操作,以将所述目标存储区域响应的数据写入所述目标部件中目标内存空间,包括:
12、依据所述访问请求生成符合目标协议的请求命令;
13、将所述请求命令通过安全总线发送至请求队列,以发起对所述目标存储区域的读取操作;
14、获取所述目标存储区域的响应数据并确定所述响应数据对应的目标内存空间;
15、若所述当前安全模式为安全模式且所述存储区域安全类型为安全时,通过安全总线将所述响应数据写入所述目标内存空间,所述目标内存空间的内存空间安全类型为安全;
16、若所述当前安全模式为安全模式且所述存储区域安全类型为非安全时,将所述安全总线切换为非安全总线,并通过非安全总线将所述响应数据写入所述目标内存空间,所述目标内存空间的内存空间安全类型为非安全;
17、若所述当前安全模式为非安全模式且所述存储区域安全类型为非安全时,通过非安全总线将所述响应数据写入所述目标内存空间,所述目标内存空间的内存空间安全类型为非安全。
18、在本专利技术的可选实施例中,所述访问请求为写入请求,所述向所述外接存储器中与存储区域安全类型对应的目标存储区域发起访问操作,将所述目标部件中目标内存空间的数据写入所述目标存储区域,包括:
19、依据所述访问请求生成符合目标协议的请求命令;
20、将所述请求命令通过安全总线发送至请求队列,以发起对所述目标存储区域的写入操作;
21、若所述当前安全模式为安全模式且所述存储区域安全类型为安全时,通过安全总线将所述目标内存空间的数据写入所述目标存储区域,所述目标内存空间的内存空间安全类型为安全;
22、若所述当前安全模式为安全模式且所述存储区域安全类型为非安全时,将所述安全总线切换为非安全总线,并通过非安全总线将所述目标内存空间的数据写入所述目标存储区域,所述目标内存空间的内存空间安全类型为非安全;
23、若所述当前安全模式为非安全模式且所述存储区域安全类型为非安全时,通过非安全总线将所述目标内存空间的数据写入所述目标存储区域,所述目标内存空间的内存空间安全类型为非安全。
24、在本专利技术的可选实施例中,包括:所述将所述请求命令通过安全总线发送至请求队列,以发起对所述目标存储区域的读取操作,包括:
25、将所述请求命令通过安全总线发送至请求队列,并根据所述目标协议向触发寄存器写入触发数据,以发起对所述目标存储区域的读取操作;
26、所述获取所述目标存储区域的响应数据并确定所述响应数据对应的目标内存空间之后,包括:
27、查询预先设置的内存安全属性表,得到所述目标内存空间的内存空间安全类型。
28、在本专利技术的可选实施例中,所述方法还包括:
29、若所述操作权限指示为不具备操作权限时,拒绝所述访问请求。
30、在本专利技术的可选实施例中,所述依据所述当前安全模式与所述存储区域安全类型确定操作权限之前,包括:
31、确定所述访问请求操作的寄存器类型,所述寄存器类型包括安全配置寄存器和非安全配置寄存器;
32、若所述当前安全模式为非安全模式,且,所述寄存器类型为安全配置寄存器,拒绝所述访问请求。
33、在本专利技术的可选实施例中,所述方法还本文档来自技高网...
【技术保护点】
1.一种设备中访问控制的方法,其特征在于,所述设备包括目标部件,所述目标部件中内存空间包括安全内存空间和非安全内存空间,所述目标部件设置有外接存储器,所述外接存储器中存储区域包括安全存储区域和非安全存储区域,所述方法包括:
2.根据权利要求1要求所述的方法,其特征在于,所述依据所述当前安全模式与所述存储区域安全类型确定操作权限,包括:
3.根据权利要求1所述的方法,其特征在于,所述访问请求为读取请求,所述向所述外接存储器中与存储区域安全类型对应的目标存储区域发起访问操作,以将所述目标存储区域响应的数据写入所述目标部件中目标内存空间,包括:
4.根据权利要求1所述的方法,其特征在于,所述访问请求为写入请求,所述向所述外接存储器中与存储区域安全类型对应的目标存储区域发起访问操作,将所述目标部件中目标内存空间的数据写入所述目标存储区域,包括:
5.根据权利要求3所述的方法,其特征在于,所述将所述请求命令通过安全总线发送至请求队列,以发起对所述目标存储区域的读取操作,包括:
6.根据权利要求1所述的方法,其特征在于,所述方法还包
7.根据权利要求1所述的方法,其特征在于,所述依据所述当前安全模式与所述存储区域安全类型确定操作权限之前,包括:
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
9.一种设备中访问控制的装置,其特征在于,所述设备包括目标部件,所述目标部件中内存空间包括安全内存空间和非安全内存空间,所述目标部件设置有外接存储器,所述外接存储器中存储区域包括安全存储区域和非安全存储区域,所述装置包括:
10.一种电子设备,其特征在于,包括处理器、存储器及存储在所述存储器上并能够在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至8中任一项所述的设备中访问控制的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8中任一项所述的设备中访问控制的方法。
...【技术特征摘要】
1.一种设备中访问控制的方法,其特征在于,所述设备包括目标部件,所述目标部件中内存空间包括安全内存空间和非安全内存空间,所述目标部件设置有外接存储器,所述外接存储器中存储区域包括安全存储区域和非安全存储区域,所述方法包括:
2.根据权利要求1要求所述的方法,其特征在于,所述依据所述当前安全模式与所述存储区域安全类型确定操作权限,包括:
3.根据权利要求1所述的方法,其特征在于,所述访问请求为读取请求,所述向所述外接存储器中与存储区域安全类型对应的目标存储区域发起访问操作,以将所述目标存储区域响应的数据写入所述目标部件中目标内存空间,包括:
4.根据权利要求1所述的方法,其特征在于,所述访问请求为写入请求,所述向所述外接存储器中与存储区域安全类型对应的目标存储区域发起访问操作,将所述目标部件中目标内存空间的数据写入所述目标存储区域,包括:
5.根据权利要求3所述的方法,其特征在于,所述将所述请求命令通过安全总线发送至请求队列,以发起对所述目标存储区域的读...
【专利技术属性】
技术研发人员:谢向阳,孙丁,宁宁,
申请(专利权)人:山东云海国创云计算装备产业创新中心有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。