[发明专利]一种进程数据保护方法

权利要求书

1.一种进程数据保护方法，其特征在于，进程的代码头部设置相应的标志，用于标记该进程是否为安全进程，执行进程的处理器为多核处理器，包括至少一个安全处理器核心和至少一个普通处理器核心，所述安全处理器核心包括加解密引擎，用于对进程数据进行加密和解密，该方法包括以下步骤：

步骤100：当一个进程启动后，确定该进程是安全进程或非安全进程；所述安全进程是指进程数据需要进行保护的进程，非安全进程是指进程数据无需进行保护的进程；

步骤110：如果该进程是安全进程，则将该进程调度到安全处理器核心上运行，否则将该进程调度到普通处理器核心上运行；

步骤120：一个非安全进程A在其运行过程中，所述非安全进程A通过设置相应的安全标志寄存器声明其进入安全状态；所述安全标志寄存器被设置后，会立即触发该普通处理器核心的安全中断，该安全中断用于通知处理器执行进程的安全状态切换；

步骤130：处理器保存该非安全进程A的运行现场，基于该运行现场，将该非安全进程A转移到安全处理器核心运行，从而使其临时成为一个安全进程A；

步骤140：当所述安全进程A想要退出安全状态时，所述安全进程A通过设置相应的状态寄存器声明其退出安全状态；当状态寄存器被设置为退出安全状态后，触发该安全处理器核心的安全中断，以通知该安全处理器核心执行进程的状态切换；

步骤150：处理器保存该安全进程A的运行现场，基于该运行现场，将该安全进程A转移到普通处理器核心运行，从而使恢复为非安全进程A；

该方法还包括以下步骤：

步骤200：安全进程生成一个进程特征值K1，将该进程特征值K1发送给安全处理器核心的加解密引擎；

步骤210：所述加解密引擎生成一个随机数K2，并计算密钥Key＝K1⊕K2，将该密钥Key存储于所述加解密引擎的密钥存储器内；每个安全进程都具有各自的密钥，所述密钥存储器内存储多个密钥，每个密钥与相应的安全进程的进程ID对应存储，加解密引擎可以通过查询密钥存储器获取与安全进程对应的密钥；

步骤220：当所述安全进程需要向内存写入数据时，其将写入的数据发送给所述加解密引擎，所述加解密引擎使用该安全进程的密钥对该数据进行加密，将加密结果发送给内存；

步骤230：当所述安全进程从内存读取数据时，所述安全处理器核心将读取到的数据首先送入所述加解密引擎，所述加解密引擎使用该安全进程的密钥对读取的数据进行解密，将解密结果返回给所述安全进程；

当进程从非安全进程切换到安全进程时，安全处理器核心读取该进程在内存中所有存储的数据，将这些数据加密后重新写回内存；当进程从安全进程切换到非安全进程时，安全处理器核心需要读取该进程在内存中所有存储的数据，将这些数据解密后再写回内存。

2.根据权利要求1所述的方法，其特征在于，在处理器上执行的进程默认为非安全进程。

3.根据权利要求1-2任意一项所述的方法，其特征在于，进程在启动后，通过执行其头部的程序代码告知处理器其为安全进程。

4.根据权利要求1所述的方法，其特征在于，所述进程特征值是安全进程基于自身进程的特征所生成的一个数值。

5.根据权利要求4所述的方法，其特征在于，进程特征包括以下特征中的一个或多个：操作系统赋予的进程ID、进程代码的哈希值、进程代码内置的常量、进程的名字。