[发明专利]一种面向片外非易失性存储的安全防护方法

权利要求书

1.一种面向片外非易失性存储的安全防护方法，其特征在于，包括以下步骤：

1)可信执行环境TEE下对片外非易失性存储器进行初始化；

2)有配置请求时，检查配置请求是否为安全请求，若为安全请求，则将请求数据写入安全寄存器内，在收到请求启动安全直接存储访问DMA时，启动安全DMA，完成访问请求，并返回完成安全中断到TEE中；若为普通请求，则将请求数据写入普通寄存器内，在收到请求启动普通DMA时，执行步骤3)；

3)检查DMA请求访问的地址空间是否与安全寄存器标识的地址空间存在重叠，若存在重叠，则认为该请求非法，丢弃该请求，并返回错误普通中断到普通执行环境REE中；若不存在重叠，认为该请求合法，启动普通DMA，完成访问请求，并返回完成普通中断到REE中。

2.根据权利要求1所述的面向片外非易失性存储的安全防护方法，其特征在于：步骤2)中的安全请求为来自TEE的配置请求。

3.根据权利要求1所述的面向片外非易失性存储的安全防护方法，其特征在于：步骤1)中所述的初始化包括：对片外非易失性存储器进行分区，在其中划分安全存储区域和普通存储区域，所述安全存储区域只能在TEE下访问。

4.根据权利要求3所述的面向片外非易失性存储的安全防护方法，其特征在于：所述安全寄存器包括安全标志位寄存器、安全域容量寄存器、安全中断寄存器和安全DMA寄存器。

5.根据权利要求3所述的面向片外非易失性存储的安全防护方法，其特征在于：所述安全存储区域划分在片外非易失性存储器的高地址处。

6.根据权利要求4所述的面向片外非易失性存储的安全防护方法，其特征在于：若需要安全域，则通过安全请求将安全标志位寄存器置1，并配置安全域容量寄存器，若不需要安全域，则通过安全请求将安全标志位寄存器置0。

7.根据权利要求1所述的面向片外非易失性存储的安全防护方法，其特征在于：在配置启动DMA时，与发出配置请求环境相应的flag标志位被置1，DMA完成访问请求后，该flag标志位被置0，同时检查另外一个flag标志位是否为1，若为1，则处理对应的DMA请求。

8.根据权利要求7所述的面向片外非易失性存储的安全防护方法，其特征在于：若所述配置请求为安全请求，则TEE相应的flag标志位Sflag被置1，DMA完成访问请求后，Sflag被置0，同时检查REE相应的flag标志位Nflag是否为1，若为1，则处理REE的DMA请求；若所述配置请求为普通请求，则REE相应的flag标志位Nflag被置1，DMA完成访问请求后，Nflag被置0，同时检查TEE相应的flag标志位Sflag是否为1，若为1，则处理TEE的DMA请求。

9.根据权利要求3所述面向片外非易失性存储的安全防护方法，其特征在于：所述安全容量寄存器和普通容量寄存器的容量之和等于片外非易失性存储器的总容量。

10.根据权利要求1所述面向片外非易失性存储的安全防护方法，其特征在于：当与发出配置请求环境相应的DMA启动后，可以对与发出配置请求环境不同的另外一个环境的寄存器进行配置，但不会引起与发出配置请求环境不同的另外一个环境相应的DMA启动，直到当前DMA完成。