CN115048679B - 一种融合片内安全防护功能的多业务分区隔离芯片 - Google Patents
一种融合片内安全防护功能的多业务分区隔离芯片 Download PDFInfo
- Publication number
- CN115048679B CN115048679B CN202210971072.5A CN202210971072A CN115048679B CN 115048679 B CN115048679 B CN 115048679B CN 202210971072 A CN202210971072 A CN 202210971072A CN 115048679 B CN115048679 B CN 115048679B
- Authority
- CN
- China
- Prior art keywords
- safety
- chip
- service
- security
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
Abstract
本发明涉及一种融合片内安全防护功能的多业务分区隔离芯片,属于物联网边缘计算领域,在单一芯片上设置多个安全分区和一个安全共享模块,每个安全分区处理不同安全等级的业务数据,所有安全分区从一个安全共享模块调用安全服务,并利用调用的安全服务对各自安全分区内的业务数据提供相应安全等级的安全功能,实现芯片内部的安全分区,各分区均具备各自独立以及共享的安全资源,达到了从硬件资源到操作系统之上的业务流程的逻辑隔离。
Description
技术领域
本发明涉及物联网边缘计算领域,特别是涉及一种融合片内安全防护功能的多业务分区隔离芯片。
背景技术
随着物联网行业发展的日渐成熟化,万物互连的概念深入人心,物联网的发展对各行各业的影响和运用的优势越来越智能化和便捷化。在某个行业中,物联网汇聚了该行业特定区域范围内所有业务数据,这些数据需要通过单个物联网边缘节点统一处理后,上送至物联网管理平台。然而,由于该区域范围内的数据涉及的业务、对象、属性各不不同,具备不同的安全等级,在统一的边缘节点上送存在业务数据泄露的风险。
现有技术通常采用操作系统的虚拟化容器技术来实现物联网各业务的隔离,但是该方式是从操作系统的进程上进行隔离,安全强度不够,不是真正意义的逻辑隔离,各数据在操作系统层面仍然是互联互通的,存在单个点被破译后,全局数据泄露的风险。
发明内容
本发明的目的是提供一种融合片内安全防护功能的多业务分区隔离芯片,通过在芯片内部划分安全分区,各分区均具备各自独立以及共享的安全资源,在单芯片内部实现从硬件资源到操作系统之上的业务流程的逻辑隔离。
为实现上述目的,本发明提供了如下方案:
一种融合片内安全防护功能的多业务分区隔离芯片,所述芯片包括:安全共享模块和多个安全分区;
多个安全分区均与所述安全共享模块连接;一个安全分区用于处理一种安全等级的业务数据,并从所述安全共享模块调用安全服务,进而利用调用的安全服务对所述业务数据提供相应安全等级的安全功能;每个安全分区处理的业务数据的安全等级不同。
可选的,每个所述安全分区包括处理单元和安全单元;
处理单元与安全单元通信连接,处理单元用于接收命令,并对业务数据进行处理,同时将所述命令和处理后的业务数据均传输至安全单元;
安全单元与安全共享模块连接,所述安全单元用于根据所述命令从所述安全共享模块调用安全服务,并利用调用的安全服务在所述处理后的业务数据上生成相应安全等级的安全功能,从而将带有所述安全功能的业务数据反馈给处理单元。
可选的,所述安全单元包括:安全内核、共享内存和Mailbox;
处理单元通过Mailbox和共享内存将处理后的业务数据发送至安全内核;
所述安全内核用于根据所述命令从所述安全共享模块调用安全服务,并利用调用的安全服务在所述处理后的业务数据上生成相应安全等级的安全功能,从而将带有所述安全功能的业务数据通过Mailbox和共享内存反馈给处理单元。
可选的,所述安全单元还包括:随机存取存储器和只读存储器。
可选的,所述处理单元包括:处理器核和DDR内存;
所述处理器核用于访问DDR内存,处理对应安全等级的业务数据,进而将处理后的业务数据发送至安全单元;
所述处理器核还用于从安全单元获取带有所述安全功能的业务数据。
可选的,所述处理单元对应的操作系统与所述安全单元对应的操作系统之间通过Mailbox与Shared Memory实现通讯;所述安全单元与所述安全共享模块通过安全通讯接口和芯片内独立的安全总线进行数据传输。
可选的,所述安全共享模块包括:国密算法加速引擎、真随机数发生器、可信启动模块、IPSec协处理器和OTP存储模块;
国密算法加速引擎、真随机数发生器、可信启动模块、IPSec协处理器和OTP存储模块均与安全单元连接;
所述安全单元用于根据所述命令调用国密算法加速引擎、真随机数发生器、可信启动模块、IPSec协处理器和/或OTP存储模块。
可选的,所述安全共享模块内编写互斥锁;
所述互斥锁用于当安全单元中存在多个任务需要使用密码服务时,只有其中一个任务从安全共享模块中调用安全服务。
可选的,所述芯片还包括:应用层;
应用层通过API向主系统与安全子系统传递命令,并调用安全分区提供的服务完成任务;所述服务包括程序执行、数据处理与分析、密钥管理、身份认证、对称算法加解密、非对称算法加解密、数字签名验签、杂凑和随机数生成;所述主系统为处理单元对应的操作系统;所述安全子系统为安全单元对应的操作系统。
可选的,所述芯片基于多内核片上系统集成。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明公开一种融合片内安全防护功能的多业务分区隔离芯片,在单一芯片上设置多个安全分区和一个安全共享模块,每个安全分区处理不同安全等级的业务数据,所有安全分区从一个安全共享模块调用安全服务,并利用调用的安全服务对各自安全分区内的业务数据提供相应安全等级的安全功能,实现芯片内部的安全分区,各分区均具备各自独立以及共享的安全资源,达到了从硬件资源到操作系统之上的业务流程的逻辑隔离。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种融合片内安全防护功能的多业务分区隔离芯片的示意图;
图2为本发明实施例提供的安全子系统与主系统的通信结构示意图;
图3为本发明实施例提供的安全共享模块与安全子系统复杂多操作系统环境的通信结构示意图;
图4为本发明实施例提供的安全单元与处理单元的通信结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种融合片内安全防护功能的多业务分区隔离芯片,通过在芯片内部划分安全分区,各分区均具备各自独立以及共享的安全资源,在单芯片内部实现从硬件资源到操作系统之上的业务流程的逻辑隔离。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
实施例1
由于物联网高性能边缘计算要应对的数据来源广泛、数据量大,同时处理的业务也更加复杂多变,因此本发明是基于高性能的多内核SoC(System on Chip)系统进行创造,为边缘节点提供了一种融合片内安全防护功能的多业务分区隔离芯片,包括:安全共享模块和多个安全分区。多个安全分区均与安全共享模块连接;一个安全分区用于处理一种安全等级的业务数据,并从安全共享模块调用安全服务,进而利用调用的安全服务对业务数据提供相应安全等级的安全功能;每个安全分区处理的业务数据的安全等级不同。
本发明在单芯片内部实现从硬件资源到业务流程的逻辑隔离,各分区均具备各自独立以及共享的安全资源,可在电网等具备多个网络安全分区的领域中实现多业务之间的协同共享。
实施例2
以电力领域为例,在边缘计算对处理性能的需求与资源不足的情况下,为了实现数据的安全传输需针对不同的业务数据进行不同安全等级的差异化安全服务。对于资源利用率高、安全需求较低的数据,例如视频流数据、红外监测数据等非关键数据进行低等级的安全加密,可采用基于国密SM1(分组密码算法)的对称加密算法实现;对于资源利用率低、但安全等级高的数据,例如负荷监测、电气量采集数据等关键业务数据采用高等级的安全加密,可采用基于国密SM2(国密椭圆曲线算法)、SM3(国密摘要算法)的非对称加密算法。其中,以上的安全服务均通过安全子系统调用安全共享模块对应的资源实现。
实施例3
参见图1,芯片自上而下包含应用层、安全分区、安全共享模块。应用层可调用对应安全分区内的计算、数据资源;每个安全分区包含了操作系统、处理单元、安全单元,每个安全分区中的操作系统对应图1中的主系统1与安全子系统1,或主系统2与安全子系统2,每个安全分区中的处理单元对应图1中处理子单元1或处理子单元2,每个安全分区中的安全单元对应图1中的安全子单元1或安全子单元2。业务隔离系统为由各安全分区构成的从硬件资源到软件的隔离架构;安全共享模块为多个安全分区共同拥有的资源池,仅能通过每个安全分区中的安全单元进行调用。
安全分区中操作系统为软件系统,处理单元、安全单元以及安全共享模块为硬件结构,软件系统基于硬件结构实现功能。主系统为处理子单元对应的操作系统,安全子系统则为安全子单元对应的操作系统;主系统与安全子系统可互相调用;安全共享模块的资源仅可通过安全子系统进行调用。
下面自上而下分模块具体介绍图1中各硬件和软件。
(1)应用层
应用层可调用安全分区内包含主系统、安全子系统的资源,主要通过API(Application Programming Interface)向操作系统传递指令,利用操作系统提供的服务完成特定的任务。
(2)安全分区
根据安全等级或者安全需求划分出若干个安全分区,每个安全分区从内核、存储的硬件资源到软件操作系统均进行强制划分,不同分区的划分比例依照不同安全分区、业务对各资源的需求量。单个安全分区包含安全单元、处理单元到操作系统。
安全分区内的操作系统包含了主系统和安全子系统,其中主系统可为通用的Linux或Unix环境,安全子系统需为国产环境(例如:RT-Thread Studio);主系统/安全子系统建立在处理单元/安全单元之上,利用处理单元/安全单元的指令集来进行硬件管理和资源抽象。
①安全单元
各安全分区拥有独立的安全子单元,安全子单元的作用是为处理单元提供独立的安全服务。安全子单元内包含安全内核(优选地,国产安全内核),每一个安全内核都可以运行各自的程序,配套有独立的RAM和ROM,通过独立的Mailbox和共享内存与处理单元通信,为了保证通信安全,加入了主系统访问安全子系统的权限管理的设计,从而实现了独立的多安全通道。
②处理单元
各安全分区拥有独立的处理器核,各处理器核都有自己单独的路径访问 IP和DDR内存,在DDR内存控制器上,各内核也是进入自己单独的通道进行访问。通过硬件隔离技术,保证部分业务处理器系统资源访问的高效性,同时保证各业务处理器核系统资源访问的独立性,不受其他处理器核干扰。
③操作系统
各安全分区拥有独立的操作系统,其中每个操作系统又分为主系统以及安全子系统。
主系统为上层应用提供载体,供用户使用并调用API,用于处理各业务数据,每个主系统由单个处理器核承载;
安全子系统通过通讯协议接口接受来自主系统的命令和数据,并返回响应结果,每个安全子系统由国产安全核承载。安全子系统对安全功能的实现应分为两部分,密码服务运算和安全功能系统通讯接口。每个安全子系统独立运行,每个安全子系统均实现了安全系统通讯接口和业务所需的密码服务功能库。
从用户角度看,安全功能的实现通过主系统中的安全系统API,为上层应用程序提供服务,包括“密钥管理”、“身份认证”、“对称算法加解密”、“非对称算法加解密”、“数字签名延签”、“杂凑”、“随机数生成”等各项安全功能。
各层级之间的通信如下:
1.主系统与安全子系统间的通信
接口采用Mailbox与Shared Memory实现,在保证安全的基础上实现了高效的核间通信。安全模块的安全固件保证敏感安全参数不通过通讯接口向主系统导出,安全模块的安全固件由安全启动,信任链传递保证了安全。Mailbox与Shared Memory的通讯实现方式,减少了主系统与安全子系统间通信时的数据拷贝,实现了高效的数据通信。
多核的架构可以使多个主系统并发的访问多个安全子系统,实现多通道业务密码服务并行计算。多通道并行计算,同时软件的隔离与硬件的隔离,保证了多业务的安全隔离并行计算。通过存储划分,每个安全子系统软件只访问各自私有的Mailbox与SharedMemory,安全子系统的安全固件,与主系统的安全固件中的软件代码,保证了软件的隔离,实现了业务数据的隔离。同时安全模块中的各个安全子系统通过芯片硬件机制保证了存储、中断、密码运算单元等的物理隔离。另一方面,主系统内多个任务向安全子系统发送的并发密码运算请求,将被安全子系统串行化处理。安全子系统与主系统间通信结构示意图如图2所示。
通信方式:在芯片内,由主系统调用mailbox主动发起消息到安全子系统,请求完成数据存储,加解密等操作。该通信流程属常规操作。
2.安全子系统与安全共享模块间的通信
安全共享模块支持向多个安全子系统提供密码服务。安全共享模块与安全子系统复杂多操作系统环境的通信示意图如图3所示。当安全子系统中存在多个任务环境使用密码服务,将存在资源竞争的问题。在安全共享模块上采用互斥锁以解决多个任务间的资源竞争问题。安全共享模块向安全子系统提供的密码计算服务,作为主系统的共享资源,单一操作系统上,每个任务在使用密码服务前,都需要先获取密码服务的互斥锁,成功获取才继续执行密码服务,执行完成,释放互斥锁。同一时刻,只能有一个任务获取到密码服务的互斥锁。互斥锁使用需要主系统安全固件上的软件代码按照互斥锁的规则,来进行访问,如果不按规则进行,仍将造成数据混乱。
多个安全子系统在同一时刻使用密码服务时,存在竞争问题。在不同操作系统间,由于数据、文件没有在系统层面实现共享管理,互斥锁不能跨越操作系统实现资源保护。因此芯片硬件设计了硬件互斥机制,保证不同系统间对同一资源的访问互斥。
安全通讯接口:通过片内独立的安全总线进行数据传输。
3.安全单元与处理单元的通信结构如图4所示。
本发明通过采用带有多内核、内嵌安全单元的单一芯片,实现物联网下不同安全分区的业务在同一台物联网边缘设备中运行,保证各业务数据在上送物联网管理平台的同时满足逻辑隔离的要求,实现物联网背景下的信息安全防护、边缘侧的智能控制。
术语解释:
SoC:System on Chip,简称SoC,也即片上系统。是将信息系统关键部件集成在一块芯片上。
容器:容器是一种沙盒技术,主要目的是为了将应用运行在其中,与外界隔离;本质上,它是一个特殊的进程。
RAM:随机存取存储器(random access memory)。
ROM:只读存储器(Read-Only Memory)。
DDR:双倍数据率同步动态随机存取存储器,是CPU能直接寻址的存储空间。
CPU:中央处理器,通常以内核形式出现。
真随机数发生器(TRNG):指利用物理方法实现的随机数发生器。它是自然界随机的物理过程(所产物理现象的不确定性)的反映,即使算法等TRNG的所有信息都被暴露,都无法猜测其结果,即高质量的真随机数发生器产生的随机数永远不具备周期性。
国密算法加速引擎:主要包括国密非对称算法引擎(SM2)、对称算法引擎(SM4)、哈希算法引擎(SM3),其中非对称算法引擎主要用于为系统提供公钥加解密、数字签名与验证、身份识别等功能;对称算法模块主要为系统提供高速的对称算法加解密运算;杂凑算法引擎为芯片内部数据和代码提供完整性度量,对外提供高速杂凑运算功能。
IPSec协处理器:集合多个加密模块用于加速IPsec安全协议的加速引擎。
OTP存储:用于存储安全启动参数,密钥和用户配置参数,并支持关键信息的硬件加扰。只有安全子系统可以访问的存储空间OTP,此空间一部分用于主系统使用,另一部分用于安全子系统存储系统配置、密钥、用户关键信息。
可信启动模块:安全启动模块为硬件启动模块,在上电之后,CPU开始执行ROM代码之前启动,保证软件运行时芯片处于安全的状态。其目的主要在于预防一些恶意软件通过特殊的技术先于操作系统加载并执行恶意操作。安全启动模块从OTP中读取芯片安全工作模式,如JTG开关,存储加扰配置,PUF配置,总线加扰配置。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种融合片内安全防护功能的多业务分区隔离芯片,其特征在于,所述芯片包括:安全共享模块和多个安全分区;
多个安全分区均与所述安全共享模块连接;一个安全分区用于处理一种安全等级的业务数据,并从所述安全共享模块调用安全服务,进而利用调用的安全服务对所述业务数据提供相应安全等级的安全功能;每个安全分区处理的业务数据的安全等级不同;安全共享模块为多个安全分区共同拥有的资源池;
每个所述安全分区包括处理单元和安全单元;处理单元与安全单元通信连接,处理单元用于接收命令,并对业务数据进行处理,同时将所述命令和处理后的业务数据均传输至安全单元;安全单元与安全共享模块连接,所述安全单元用于根据所述命令从所述安全共享模块调用安全服务,并利用调用的安全服务在所述处理后的业务数据上生成相应安全等级的安全功能,从而将带有所述安全功能的业务数据反馈给处理单元;所述安全单元内包含安全内核;所述处理单元拥有处理器核。
2.根据权利要求1所述的芯片,其特征在于,所述安全单元包括:安全内核、共享内存和Mailbox;
处理单元通过Mailbox和共享内存将处理后的业务数据发送至安全内核;
所述安全内核用于根据所述命令从所述安全共享模块调用安全服务,并利用调用的安全服务在所述处理后的业务数据上生成相应安全等级的安全功能,从而将带有所述安全功能的业务数据通过Mailbox和共享内存反馈给处理单元。
3.根据权利要求1所述的芯片,其特征在于,所述安全单元还包括:随机存取存储器和只读存储器。
4.根据权利要求1所述的芯片,其特征在于,所述处理单元包括:处理器核和DDR内存;
所述处理器核用于访问DDR内存,处理对应安全等级的业务数据,进而将处理后的业务数据发送至安全单元;
所述处理器核还用于从安全单元获取带有所述安全功能的业务数据。
5.根据权利要求1所述的芯片,其特征在于,所述处理单元对应的操作系统与所述安全单元对应的操作系统之间通过Mailbox与Shared Memory实现通讯;所述安全单元与所述安全共享模块通过安全通讯接口和芯片内独立的安全总线进行数据传输。
6.根据权利要求1所述的芯片,其特征在于,所述安全共享模块包括:国密算法加速引擎、真随机数发生器、可信启动模块、IPSec协处理器和OTP存储模块;
国密算法加速引擎、真随机数发生器、可信启动模块、IPSec协处理器和OTP存储模块均与安全单元连接;
所述安全单元用于根据所述命令调用国密算法加速引擎、真随机数发生器、可信启动模块、IPSec协处理器和/或OTP存储模块。
7.根据权利要求1所述的芯片,其特征在于,所述安全共享模块内编写互斥锁;
所述互斥锁用于当安全单元中存在多个任务需要使用密码服务时,只有其中一个任务从安全共享模块中调用安全服务。
8.根据权利要求1所述的芯片,其特征在于,所述芯片还包括:应用层;
应用层通过API向主系统与安全子系统传递命令,并调用安全分区提供的服务完成任务;所述服务包括程序执行、数据处理与分析、密钥管理、身份认证、对称算法加解密、非对称算法加解密、数字签名延签、杂凑和随机数生成;所述主系统为处理单元对应的操作系统;所述安全子系统为安全单元对应的操作系统。
9.根据权利要求1所述的芯片,其特征在于,所述芯片基于多内核片上系统集成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210971072.5A CN115048679B (zh) | 2022-08-15 | 2022-08-15 | 一种融合片内安全防护功能的多业务分区隔离芯片 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210971072.5A CN115048679B (zh) | 2022-08-15 | 2022-08-15 | 一种融合片内安全防护功能的多业务分区隔离芯片 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115048679A CN115048679A (zh) | 2022-09-13 |
CN115048679B true CN115048679B (zh) | 2022-12-27 |
Family
ID=83167383
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210971072.5A Active CN115048679B (zh) | 2022-08-15 | 2022-08-15 | 一种融合片内安全防护功能的多业务分区隔离芯片 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115048679B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117318173B (zh) * | 2023-09-27 | 2024-06-28 | 南方电网数字电网研究院股份有限公司 | 一种应用于大功率级联逆变器的多核异构芯片 |
CN118301110A (zh) * | 2024-06-06 | 2024-07-05 | 宁波和利时信息安全研究院有限公司 | 基于可信双体系工业交换机的数据安全防护方法和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104318182A (zh) * | 2014-10-29 | 2015-01-28 | 中国科学院信息工程研究所 | 一种基于处理器安全扩展的智能终端隔离系统及方法 |
WO2022141128A1 (zh) * | 2020-12-29 | 2022-07-07 | 华为技术有限公司 | 一种安全隔离装置和方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9201703B2 (en) * | 2006-06-07 | 2015-12-01 | International Business Machines Corporation | Sharing kernel services among kernels |
EP2126694A2 (en) * | 2006-12-22 | 2009-12-02 | VirtualLogix SA | System for enabling multiple execution environments to share a device |
KR100855701B1 (ko) * | 2007-01-26 | 2008-09-04 | 엠텍비젼 주식회사 | 복수의 프로세서 코어가 통합된 칩 및 데이터 처리 방법 |
US8185907B2 (en) * | 2007-08-20 | 2012-05-22 | International Business Machines Corporation | Method and system for assigning logical partitions to multiple shared processor pools |
CN114696468B (zh) * | 2022-05-31 | 2022-09-09 | 南方电网数字电网研究院有限公司 | 数字配电网边缘计算控制装置及方法 |
-
2022
- 2022-08-15 CN CN202210971072.5A patent/CN115048679B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104318182A (zh) * | 2014-10-29 | 2015-01-28 | 中国科学院信息工程研究所 | 一种基于处理器安全扩展的智能终端隔离系统及方法 |
WO2022141128A1 (zh) * | 2020-12-29 | 2022-07-07 | 华为技术有限公司 | 一种安全隔离装置和方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115048679A (zh) | 2022-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3937424B1 (en) | Blockchain data processing methods and apparatuses based on cloud computing | |
CN115048679B (zh) | 一种融合片内安全防护功能的多业务分区隔离芯片 | |
CN107145380B (zh) | 虚拟资源编排方法及装置 | |
US20240143802A1 (en) | Protection of communications between trusted execution environment and hardware accelerator utilizing enhanced end-to-end encryption and inter-context security | |
CN109672519B (zh) | 一种密码装置及其数据加解密方法 | |
AU2012273370A1 (en) | Native cloud computing via network segmentation | |
WO2019157816A1 (zh) | 一种加密方法及装置 | |
CN113632081B (zh) | 用于计算实例内的增强安全计算的经验证孤立运行时环境 | |
CN113934508A (zh) | 对驻留在kubernetes持久卷上的数据静态加密数据的方法 | |
EP3923535B1 (en) | Method for data protection in a data processing cluster with policy-based partition | |
CN116248414B (zh) | 基于虚拟化硬件实现密码加速的方法、装置及电子设备 | |
US20230185901A1 (en) | Data processing method, host, and apparatus | |
CN112416522B (zh) | 一种虚拟机控制方法及其装置 | |
CN112799851B (zh) | 多方安全计算中的数据处理方法和相关装置 | |
CN110851885B (zh) | 嵌入式系统安全防护架构体系 | |
CN108958910B (zh) | 一种基于异构环境下的任务调度方法及终端 | |
CN115828249A (zh) | 基于云技术的计算节点及基于云技术的实例管理方法 | |
Chu et al. | Secure cryptography infrastructures in the cloud | |
CN113609494B (zh) | 适用于高性能场景下可信计算的软硬件系统及架构方法 | |
Ci et al. | Adaptive and transparent task scheduling of GPU‐powered clusters | |
US20230291558A1 (en) | Trusted computing-based local key escrow method, apparatus, device and medium | |
US20230267214A1 (en) | Virtual trusted platform module implementation method and related apparatus | |
US20230319133A1 (en) | Network interface device to select a target service and boot an application | |
Will et al. | Enclave Management Models for Safe Execution of Software Components. | |
CN116383831A (zh) | 可信执行环境硬件资源动态细粒度管控方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |