[发明专利]一种采用TrustZone技术实现内存数据库的方法

说明书

本发明涉及一种采用TrustZone技术实现内存数据库的方法，包括采用TrustZone技术对芯片和内存进行安全世界与普通世界的划分；将内存数据放置到安全世界中，数据库用户将需要缓存到内存数据库的数据加密；将加密后的数据缓存到内存数据库中；使用解密软件对内存数据库中的加密数据进行解密操作，然后将解密后的数据持久化存储到磁盘数据库。采用TrustZone技术对于解决内存数据库的安全性具有高效、低成本的特点，通过TrustZone技术可以把一些重要但是传输量较大的数据直接加密存入到内存数据库中，这样可以有效防止数据被窃取和丢失，然后进行解密持久化到磁盘。

技术领域

本发明涉及一种采用TrustZone技术实现内存数据库的方法，属于内存数据存储技术领域。

背景技术

TrustZone是ARM针对消费电子设备设计的一种硬件架构，其目的是为消费电子产品构建一个安全框架来抵御各种可能的攻击。

TrustZone在概念上将SoC的硬件和软件资源划分为安全(Secure World)和非安全(Normal World)两个世界，所有需要保密的操作在安全世界执行(如指纹识别、密码处理、数据加解密、安全认证等)，其余操作在非安全世界执行(如用户操作系统、各种应用程序等)，安全世界和非安全世界通过一个名为Monitor Mode的模式进行转换，如附图1所示。处理器架构上，TrustZone将每个物理核虚拟为两个核，一个非安全核(Non-secure Core,NS Core)，运行非安全世界的代码；和另一个安全核(Secure Core)，运行安全世界的代码。两个虚拟的核以基于时间片的方式运行，根据需要实时占用物理核，并通过Monitor Mode在安全世界和非安全世界之间切换，类似同一CPU下的多应用程序环境，不同的是多应用程序环境下操作系统实现的是进程间切换，而Trustzone下的Monitor Mode实现了同一CPU上两个操作系统间的切换。

内存数据库是指一种将全部内容存放在内存中，而非传统数据库那样存放在外部存储器中的数据库。内存数据库指的是所有的数据访问控制都在内存中进行，这是与磁盘数据库相对而言的。磁盘数据库虽然也有一定的缓存机制，但都不能避免从外设到内存的交换，而这种交换过程对性能的损耗是致命的。由于内存的读写速度极快(双通道DDR3-1333可以达到9300MB/s，一般磁盘约150MB/s)，随机访问时间更是可以纳秒计(一般磁盘约10ms的环境中，但是在服务器关闭后会立刻丢失全部储存的数据，双通道DDR3-1333可以达到0.05ms)，所以这种数据库的读写性能很高，主要用在对性能要求极高的情况，常见的例子有MySQL的MEMORY存储引擎、eXtremeDB、FastDB、SQLite、Microsoft SQL ServerCompact等。

中国专利文献CN101901250A公开了一种内存数据库数据处理方法，包括以下步骤：将内存数据库进程与内存数据分离；创建共享内存段，并将所述内存数据存入所述共享内存段，将内存数据库数据区地址指向所述共享内存段地址；当所述内存数据库进程启动时，连接所述共享内存段。本发明中采用内存数据库进程与内存数据分离，并以共享内存段的方式申请内存数据库的数据存储空间，在内存数据库进程异常的情况下，内存数据库的数据由于存储在共享内存段中而不受影响，提高了内存数据库的数据安全性；并且无需进行主备内存数据库数据同步，降低了设备成本和设备维护复杂度。

但目前还无法确保内存数据库的数据访问绝对安全，内存数据不被窃取或攻击。因此，有必要设计一种更加安全的内存数据库访问策略。

发明内容

针对现有技术的不足，本发明提供一种采用TrustZone技术实现内存数据库的方法，采用该方法可以实现存储在内存数据库的数据更加安全，使存储在内存数据库的数据划分到安全区和非安全区两部分内，针对不同的数据使用需求，既能保证数据的快速访问，又能保证数据访问的安全性。

本发明的技术方案如下：