[发明专利]一种内存隔离的装置、内存隔离方法和相关设备

权利要求书

1.一种内存隔离的装置，其特征在于，包括：内存加扰单元和内存控制器；

所述内存加扰单元，用于接收总线传输的第一进程标识符、第一物理地址和第一数据，其中，所述第一进程标识符对应于第一应用程序，所述第一物理地址为所述第一应用程序申请到的第一虚拟地址对应的物理地址，所述第一数据为所述第一应用程序待写入存储区域的数据；

所述内存加扰单元，还用于基于所述第一进程标识符和所述第一物理地址进行秘钥派生，生成第一秘钥；

所述内存加扰单元，还用于使用所述第一秘钥对所述第一数据进行加扰，生成第二数据；

所述内存控制器，用于将所述第二数据写入所述第一物理地址对应的存储区域。

2.根据权利要求1所述的装置，其特征在于，所述装置还包括：

可信处理器，用于接收所述第一进程标识符以及所述第一虚拟地址；

所述可信处理器，还用于绑定所述第一进程标识符和所述第一虚拟地址，得到第一绑定关系；

所述可信处理器，还用于将所述第一绑定关系存储到智能引擎的寄存器中。

3.根据权利要求2所述的装置，其特征在于，所述装置还包括：所述智能引擎和内存管理单元MMU；

所述内存管理单元MMU，用于将所述第一虚拟地址映射到所述第一物理地址；

所述智能引擎，用于基于所述第一绑定关系获取所述第一虚拟地址对应的所述第一进程标识符，并将所述第一物理地址、所述第一进程标识符以及所述第一数据发送到所述内存加扰单元。

4.根据权利要求3所述的装置，其特征在于，

所述可信处理器，还用于检查所述第一虚拟地址是否只对应所述第一进程标识符；

所述可信处理器，还用于当所述第一虚拟地址只对应所述第一进程标识符时，确定所述第一绑定关系合法，并将所述第一绑定关系存储到所述智能引擎的所述寄存器中。

5.根据权利要求1-4中任一项所述的装置，其特征在于，所述内存加扰单元，具体用于：

基于所述第一进程标识符、所述第一物理地址和随机数进行秘钥派生，生成所述第一秘钥。

6.根据权利要求5所述的装置，其特征在于，所述内存加扰单元，具体用于：

使用所述随机数拓展所述第一进程标识符，生成拓展后的第一进程标识符；

基于所述拓展后的第一进程标识符、所述第一物理地址和所述随机数进行秘钥派生，生成所述第一秘钥。

7.根据权利要求3-6中任一项所述的装置，其特征在于，所述智能引擎的寄存器中存储有绑定关系集合，所述绑定关系集合包括多组绑定关系，同一个应用程序申请的每个虚拟地址均与所述应用程序对应的一个进程标识符唯一绑定；

所述智能引擎，还用于接收第一读地址，所述第一读地址为虚拟地址；

所述智能引擎，还用于基于所述绑定关系集合和所述第一读地址，获取与所述第一读地址对应的第二进程标识符；

所述MMU，用于将所述第一读地址映射为第二物理地址；

所述智能引擎，还用于将所述第二进程标识符和所述第二物理地址发送给所述内存加扰单元；

所述内存加扰单元，还用于基于所述第二进程标识符和所述第二物理地址进行秘钥派生，生成第二秘钥；

所述内存加扰单元，还用于基于所述第二秘钥对所述第二物理地址对应的存储区域中存储的数据进行解扰。

8.根据权利要求7所述的装置，其特征在于，

所述内存加扰单元，具体用于基于所述第二进程标识符、所述第二物理地址和所述随机数进行秘钥派生，生成所述第二秘钥。

9.根据权利要求8所述的装置，其特征在于，

所述内存加扰单元，具体用于：

使用所述随机数拓展所述第二进程标识符，生成拓展后的第二进程标识符；

基于所述拓展后的第二进程标识符、所述第二物理地址和所述随机数进行秘钥派生，生成所述第二秘钥。