[发明专利]片上系统内存防护方法、密码加速引擎及内存防护装置

权利要求书

1.一种片上系统内存防护方法，其特征在于，包括：

接收访问片上系统内存的访问请求以及所述访问请求对应的访问数据；其中，所述访问请求携带有用于标识所述访问请求的访问权限的标识信息，所述访问权限为合法访问所述片上系统内存的安全域或者普通域，所述安全域是所述片上系统内存中可信执行环境的内存空间，所述普通域是所述片上系统内存中普通执行环境的内存空间；

根据所述标识信息，确定对所述访问数据进行加密的密钥；

利用确定出的密钥对所述访问数据进行加密；

多个密钥寄存器包括安全域对应的密钥寄存器和普通域对应的密钥寄存器，每个密钥寄存器对应一个密钥，通过标识信息确定访问请求的访问权限，根据标识信息确定该标识信息对应的密钥寄存器，若访问请求的访问权限为合法访问片上系统内存的安全域时，将安全域对应的密钥寄存器作为该标识信息对应的密钥寄存器；若访问请求的访问权限为合法访问片上系统内存的普通域时，将普通域对应的密钥寄存器作为该标识信息对应的密钥寄存器。

2.根据权利要求1所述的片上系统内存防护方法，其特征在于，所述根据所述标识信息，确定对所述访问数据进行加密的密钥的步骤，包括：

根据所述标识信息，从片上系统的多个密钥寄存器中确定出所述标识信息对应的密钥寄存器；其中，所述多个密钥寄存器中的密钥互不相同；

将确定出的密钥寄存器中密钥作为对所述访问数据进行加密的密钥。

3.根据权利要求2所述的片上系统内存防护方法，其特征在于，所述密钥寄存器中的密钥为随机数发生器产生的随机数、或者所述片上系统ID的衍生密钥、或者对所述随机数和所述衍生密钥进行运算的运算结果。

4.根据权利要求3所述的片上系统内存防护方法，其特征在于，所述密钥寄存器中的密钥是在所述片上系统的开机上电过程中产生、并在所述片上系统的可信执行环境下写入所述密钥寄存器中的。

5.根据权利要求2所述的片上系统内存防护方法，其特征在于，在所述片上系统切换至待机状态时，所述密钥寄存器中的密钥被存入一片内非易失性存储器内，并在所述片上系统由待机状态切换至唤醒状态时，存入所述片内非易失性存储器内的密钥由一固件程序重新加载至所述密钥寄存器中。

6.根据权利要求2所述的片上系统内存防护方法，其特征在于，在所述片上系统切换至休眠状态时，所述密钥寄存器中的密钥被存入一片内非易失性存储器内，并在所述片上系统由休眠状态切换至唤醒状态时，存入所述片内非易失性存储器内的密钥被重新加载至所述密钥寄存器中。

7.根据权利要求2所述的片上系统内存防护方法，其特征在于，在所述片上系统由休眠状态切换至唤醒状态时，通过随机数发生器获取新的密钥并装载至密钥寄存器内。

8.一种密码加速引擎，其特征在于，包括：

接收单元，用于接收访问片上系统内存的访问请求以及所述访问请求对应的访问数据；其中，所述访问请求携带有用于标识所述访问请求的访问权限的标识信息，所述访问权限为合法访问所述片上系统内存的安全域或者普通域，所述安全域是所述片上系统内存中可信执行环境的内存空间，所述普通域是所述片上系统内存中普通执行环境的内存空间；

确定单元，用于根据所述标识信息，确定对所述访问数据进行加密的密钥；

加密单元，用于利用确定出的密钥对所述访问数据进行加密；

多个密钥寄存器包括安全域对应的密钥寄存器和普通域对应的密钥寄存器，每个密钥寄存器对应一个密钥，通过标识信息确定访问请求的访问权限，根据标识信息确定该标识信息对应的密钥寄存器，若访问请求的访问权限为合法访问片上系统内存的安全域时，将安全域对应的密钥寄存器作为该标识信息对应的密钥寄存器；若访问请求的访问权限为合法访问片上系统内存的普通域时，将普通域对应的密钥寄存器作为该标识信息对应的密钥寄存器。

9.一种片上系统内存防护装置，其特征在于，包括内存隔离模块和如权利要求8所述的密码加速引擎；

其中，所述内存隔离模块用于在接收到访问片上系统内存的访问请求以及该访问请求对应的访问数据时，在该访问请求中添加用于标识该访问请求的访问权限的标识信息，并将携带有所述标识信息的访问请求以及该访问请求对应的访问数据发送给密码加速引擎。