[发明专利]一种进程数据保护方法

说明书

本发明涉及一种进程数据保护方法，该方法使用包括安全处理器核心的多核处理器，将需要数据保护的安全进程在安全处理器核心上执行，并支持进程在安全状态和非安全状态之间切换；所述安全处理器核心将安全进程对内存的读写进行相应的加密和解密，从而对其数据进行保护。

技术领域

本发明属于计算机领域，尤其涉及一种进程数据保护方法。

背景技术

进程在处理器上运行，可以将生成的临时数据写入内存，并在需要时读入该数据。在这个读写过程中，数据是明文出现的，因此，从处理器到内存之间的信道上，数据可能被监听；存储在内存中的数据也可能被其他进程所读取，对于安全性要求很高的计算机中某些敏感进程的敏感数据而言，这些情况是不能接受的。

现有技术中的解决方案一种是在软件层面(例如操作系统)控制，阻止内存中的数据被非法读取，但是软件可能被修改，软件层面也无法阻止硬件层面上的监听和窃取。另一种方案是使用存储器加密，处理器和内存之间传输的数据、内存中存储的数据都是加过密的，只有处理器内部可以解密这些数据，但是这种方案需要处理器进行大量的加密和解密操作，给处理器带来了很大的资源开销。

发明内容

为了解决现有技术中的上述问题，本发明提供了一种进程数据保护方法。

本发明采用的技术方案具体如下：

一种进程数据保护方法，执行进程的处理器为多核处理器，包括至少一个安全处理器核心和至少一个普通处理器核心，所述安全处理器核心包括加解密引擎，用于对进程数据进行加密和解密，该方法包括以下步骤：

步骤100：当一个进程启动后，确定该进程是安全进程或非安全进程；所述安全进程是指进程数据需要进行保护的进程，非安全进程是指进程数据无需进行保护的进程；

步骤110：如果该进程是安全进程，则将该进程调度到安全处理器核心上运行，否则将该进程调度到普通处理器核心上运行；

步骤120：一个非安全进程A在其运行过程中，通过设置相应的安全标志寄存器声明其进入安全状态；

步骤130：处理器保存该非安全进程A的运行现场，基于该运行现场，将该非安全进程A转移到安全处理器核心运行，从而使其临时成为一个安全进程A。

步骤140：当所述安全进程A想要退出安全状态时，其通过设置相应的状态寄存器声明其退出安全状态；

步骤150：处理器保存该安全进程A的运行现场，基于该运行现场，将该安全进程A转移到普通处理器核心运行，从而使恢复为非安全进程A。

进一步地，还包括以下步骤：

步骤200：安全进程生成一个进程特征值K1，将该进程特征值K1发送给安全处理器核心的加解密引擎；

步骤210：所述加解密引擎生成一个随机数K2，并计算密钥Key＝K1⊕K2，将该密钥Key存储于所述加解密引擎的密钥存储器内；

步骤220：当所述安全进程需要向内存写入数据时，其将写入的数据发送给所述加解密引擎，所述加解密引擎使用该安全进程的密钥对该数据进行加密，将加密结果发送给内存；

步骤230：当所述安全进程从内存读取数据时，所述安全处理器核心将读取到的数据首先送入所述加解密引擎，所述加解密引擎使用该安全进程的密钥对读取的数据进行解密，将解密结果返回给所述安全进程。

进一步地，当进程从非安全进程切换到安全进程时，安全处理器核心读取该进程在内存中所有存储的数据，将这些数据加密后重新写回内存；当进程从安全进程切换到非安全进程时，安全处理器核心需要读取该进程在内存中所有存储的数据，将这些数据解密后再写回内存。

进一步地，在处理器上执行的进程默认为非安全进程。