买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：上海交通大学

摘要：本发明提供一种基于可信执行环境的轻量级可信度量系统及方法，包括：度量服务驱动模块：接受应用层发来的度量请求，通过SMCCall将度量请求发送到安全世界中去；以及设置调度器，周期性地将CPU资源从普通世界让渡给安全世界；地址翻译模块：设计在安全世界中的EL2层级，负责对请求进行初步的解析、将相关地址进行翻译，并将相关的内存页映射给度量执行模块；度量执行模块：设计运行在由SPMC管理的安全世界中的EL1层级执行；可信通信协议：基于非对称加密算法，保证度量结果真实有效，使得度量系统中的各个组件间的通信可信，以及各个组件能够确定消息的来源安全。本发明能够保证系统的安全性和可用性，同时能够保证隐私数据的安全，防止数据被窃取或滥用。

主权项：1.一种基于可信执行环境的轻量级可信度量系统，其特征在于，包括：度量服务驱动模块：接受应用层发来的度量请求，通过SMCCall将度量请求发送到安全世界中去；以及设置调度器，周期性地将CPU资源从普通世界让渡给安全世界；地址翻译模块：设计在安全世界中的EL2层级，负责对请求进行初步的解析、将相关地址进行翻译，并将相关的内存页映射给度量执行模块；度量执行模块：设计运行在由SPMC管理的安全世界中的EL1层级执行；可信通信协议：基于非对称加密算法，保证度量结果真实有效，使得度量系统中的各个组件间的通信可信，以及各个组件能够确定消息的来源安全；所述度量服务驱动模块包括：通过Linux编写系统内核模块作为度量服务驱动的示例，通过将其动态添加到虚拟机中，以作为度量请求的发起点；在内核模块初始化时创建一个字符串设备，同时使用ioctl来将相关接口暴露给用户态，用户态程序通过打开相应字符串设备，并使用ioctl相关系统调用来使用度量服务驱动提供的功能；度量服务驱动接收到来自用户态的请求后，将度量请求写入到一个完整的内存页，通过共享内存的方法将请求发送至安全世界；所述度量服务驱动模块包括：所述调度器根据安全世界中所有SP的虚拟CPU总数来创建对应数量的线程，这些线程的调度由Linux本身的调度器来完成；当某个线程被调度到后，该线程则调用FF-A中与调度相关的ABI，将自己的CPU资源让渡给安全世界中对应的虚拟机CPU；所述地址翻译模块需要结合其他模块来获取地址翻译相关的寄存器；使用额外的通用寄存器，将所需寄存器暂存下来，然后传递到安全世界当中；在EL3中，修改固件使其会识别ABI中的MagicCode，只有当前接口是与度量服务相关时，才会将相关寄存器传递至安全世界；所述度量执行模块中，提供三种不同维度的度量方式，判断当前系统是否处于安全状态：1计算静态数据对应虚拟地址中数据的哈希值；2计算指定虚拟地址在二阶段页表中的权限位；3检查和监视物理地址的共享状态。

全文数据：

权利要求：

百度查询： 上海交通大学 基于可信执行环境的轻量级可信度量系统及方法