[发明专利]保护应用秘密的方法、电子系统和计算机存储介质

权利要求书

1.一种保护应用秘密的方法，所述方法包括：

管理包括第一用户模式和第一内核模式的操作系统执行环境；

在所述第一内核模式中执行单个操作系统，执行所述单个操作系统包括向所述第一内核模式中的一个或更多进程提供所述单个操作系统的一项或更多项操作系统服务；

管理包括第二用户模式和第二内核模式的安全执行环境；

在所述安全执行环境的所述第二用户模式内执行隔离进程；

通过所述第二内核模式向所述隔离进程提供在所述第一内核模式中执行的所述单个操作系统的所述一项或更多项操作系统服务；以及

通过禁用所述第一用户模式和所述第一内核模式对于一个或更多存储器页面的访问，来保护所述隔离进程免受来自所述一个或更多操作系统服务的攻击。

2.如权利要求1所述的方法，其中，禁用访问包括禁用对于存储器页面的读取、写入或执行访问中的至少一个。

3.如权利要求1所述的方法，其中，禁用访问包括禁用写入访问而许可读取或执行访问中的至少一个。

4.如权利要求1所述的方法，其中，所述操作系统执行环境和所述安全执行环境由管理程序管理。

5.如权利要求1所述的方法，所述方法还包括：

由所述第一内核模式的所述一项或更多项服务把所述一个或更多存储器页面分配给所述隔离进程；

对所述一个或更多存储器页面进行加密以形成一个或更多已加密存储器页面；以及

由所述第一内核模式的所述一项或更多项服务把所述一个或更多已加密存储器页面存储到硬盘。

6.如权利要求5所述的方法，所述方法还包括：

由所述第一内核模式的所述一项或更多项服务部分地基于页面故障把所述一个或更多已加密存储器页面加载到物理存储器中；

对所述一个或更多已加密存储器页面进行解密以形成一个或更多已解密存储器页面；以及

验证所述一个或更多已解密存储器页面的完整性。

7.如权利要求5所述的方法，所述方法还包括：

通过所述第二内核模式的代理服务从所述隔离进程向所述第一内核模式的所述一项或更多项操作系统服务中的一项操作系统服务发送系统调用；

确定将要提供给所述第一内核模式的所述一项或更多项服务的系统调用参数；以及

通过包括共享存储器页面的系统缓冲器把所述系统调用参数封送到所述第一内核模式的所述一项或更多项服务。

8.如权利要求7所述的方法，其中，所述方法还包括由所述第一内核模式的所述一项或更多项操作系统服务通过所述第二内核模式的所述代理服务把与所述系统调用的执行相关联的数据透明地传输到所述隔离进程。

9.如权利要求1所述的方法，其中，所述隔离进程独立于另一操作系统被执行，所述另一操作系统不同于所述单个操作系统。