CN114117412B 一种基于可信技术的虚拟加密机平台及其创建方法 （中国互联网络信息中心）.docxVIP

(19)国家知识产权局

(12)发明专利

(10)授权公告号CN114117412B(45)授权公告日2025.07.04

(21)申请号202111440048.0

(22)申请日2021.11.30

(65)同一申请的已公布的文献号申请公布号CN114117412A

(43)申请公布日2022.03.01

(73)专利权人中国互联网络信息中心

地址100190北京市海淀区中关村南4街4

号院中科院软件园区1号楼

(56)对比文件

郑显义；李文；孟丹.TrustZone技术的分析与研究.计算机学报.2015,39(09),1912-1925.

审查员吴佳兴

权利要求书2页说明书8页附图3页

(72)发明人贺明伦占群

张海阔

李欣叶崛宇

(74)专利代理机构北京弘权知识产权代理有限公司11363

专利代理师逯长明许伟群

(51)Int.CI.

GO6F21/53(2013.01)

(54)发明名称

一种基于可信技术的虚拟加密机平台及其创建方法

(57)摘要

CN114117412B本申请公开了一种基于可信技术的虚拟加密机平台及其创建方法，包括：在已集成可信计算模块的处理器平台上建立软硬件加密系统，实现可信执行环境TEE和普通执行环境REE的运行；REE和TEE之间通过在底层运用内存隔离、CPU访问权限控制技术划分出相互独立的硬件区域，实现相互隔离；在TEE中建立多个虚拟加密机；所述虚拟加密机实现与普通执行环境REE之间的硬件隔离，为不同用户的CA建立安全可信环境和指定专属安全服务程序TA,并对其有效管理。本发明能够实现用户数据安全自主可控，可以有效提升

CN114117412B

虚拟加密机平台

虚拟加密机平台

(TEE)

云租户1

云租户2

云租户3

用户应用

(ClientApplication)

用户应用

(ClientApplication)

用户应用

(ClientApplication)

虚拟加密机

虚拟加密机

虚拟加密机

硬件隔离

硬件隔离

硬件隔离

应用服务器

CN114117412B权利要求书1/2页

2

1.一种基于可信技术的虚拟加密机平台创建方法，其特征在于，基于TrustZone技术将正在运行的ARM核划分为安全状态和非安全状态，所述安全状态对应以0P-TEE为可信执行环境TEE的系统环境，所述非安全状态对应为普通执行环境REE;其中TEE为虚拟加密机提供安全的运行部署环境，并且私密信息及相关操作都由运行在TEE中的可信应用TA处理，TA是在TEE用户空间为租户提供安全加密服务的应用程序实例；CA是在REE用户空间实现与TEE对接的用户业务应用程序实例；CA与TA间将通过0P-TEE驱动在挂载过程中建立TEE与REE间的共享内存进行数据交互；在硬件隔离方面，TrustZone利用安全扩展组件完成TEE与REE间硬件资源隔离，构建独立的硬件安全运行环境；所述安全扩展组件包括：TZASC、TZIC、TZPC;在软件隔离方面，OP-TEE利用微内核、库操作系统，并融合可信核心框架、可信通信代理、可信硬件驱动，实现安全操作系统；在TEE中建立多个虚拟加密机，所述虚拟加密机为不同用户的CA建立专属安全服务程序TA。

2.根据权利要求1所述的一种基于可信技术的虚拟加密机平台创建方法，其特征在于，

系统总线上增设安全状态读写信号，禁止REE访问TEE中资源；地址空间上，利用地址空

间控制器TZASC分割出安全地址区域以拒绝非安全访问，并将动态内存控制器DMC挂接其上，实现DRAM动态随机存取存储器的安全访问；

内存适配器TZMA可实现对片上RAM的动态划分，每个划分的低地址段作为安全区域；

保护控制器TZPC可将外设设定为安全外设；

中断控制器TZIC使处理器在处于安全状态时无法捕获安全中断。

3.根据权利要求1所述的一种基于可信技术的虚拟加密机平台创建方法，其特征在于，所述硬件隔离是将TEE与REE间在内存、缓存、中断、外设方面的资源隔离；具体的，内存隔离是由MMU和TZASC共同完成，TEE和REE有自己独立的MMU系统控制寄存器，不同的执行环境有自己独立的页表集，由各自的逻辑MMU完成虚拟地址到物理地址的转换，TEE和REE的地址空间是相互隔离；

外设保护由TZPC实现，通过TZPC将设备配置为安全或者非安全，配置为安全的设备只能在安全环境下被访问；

中断隔离由TZIC实现，TZIC