[发明专利]一种面向多安全域架构的安全域快速建立方法

权利要求书

1.一种面向多安全域架构的安全域快速建立方法，包括用户态安全区建立的步骤和用户态安全区CPU计算资源回收的步骤，其特征在于：

所述用户态安全区建立的步骤包括：敏感应用触发执行时，若存在对应的用户态安全区，分配CPU资源给所述用户态安全区，根据所述用户态安全区的执行环境信息恢复用户态安全区的执行环境；

所述用户态安全区CPU计算资源回收的步骤包括：所述敏感应用执行完成后，关闭所述用户态安全区，保存所述用户态安全区的执行环境信息到安全世界，最后回收CPU资源。

2.根据权利要求1所述的面向多安全域架构的安全域快速建立方法，其特征在于，所述用户态安全区建立的步骤还包括：敏感应用触发执行时，若不存在所述敏感应用对应的用户态安全区，将所述敏感应用和对应的库加载到内存中，分配CPU资源给所述用户态安全区，验证用户态安全区的安全性后，启动用户态安全区并进行敏感应用执行。

3.根据权利要求1或2所述的面向多安全域架构的安全域快速建立方法，其特征在于，分配CPU资源给所述用户态安全区的具体步骤包括：

获取CPU掩码参数，根据所述CPU掩码参数确定待分配的目标CPU；

每个目标CPU均执行CPU移除过程中OP阶段第一部分的回调函数以及OAS阶段的回调函数，然后将每个目标CPU分配给所述用户态安全区。

4.根据权利要求3所述的面向多安全域架构的安全域快速建立方法，其特征在于，每个目标CPU均执行CPU移除过程中OP阶段第一部分的回调函数以及OAS阶段的回调函数，然后将每个目标CPU分配给所述用户态安全区的具体步骤包括：当前目标CPU执行所述OP阶段第一部分的每个回调函数，然后执行所述OAS阶段的每个回调函数，最后将当前目标CPU并入用户态安全区计算资源，将下一目标CPU作为当前目标CPU，重复本步骤，直到所有目标CPU遍历完毕。

5.根据权利要求3所述的面向多安全域架构的安全域快速建立方法，其特征在于，将每个目标CPU分配给所述用户态安全区之后还包括：其他在线的CPU执行每个目标CPU的CPU移除过程中OP阶段第二部分的回调函数以及SD阶段的回调函数。

6.根据权利要求5所述的面向多安全域架构的安全域快速建立方法，其特征在于，其他在线的CPU执行每个目标CPU的CPU移除过程中OP阶段第二部分的回调函数以及SD阶段的回调函数的具体步骤包括：其他在线的CPU执行当前目标CPU的OP阶段第二部分的每个回调函数，然后执行当前目标CPU的SD阶段的每个回调函数，将下一目标CPU作为当前目标CPU，重复本步骤，直到所有目标CPU遍历完毕。

7.根据权利要求3所述的面向多安全域架构的安全域快速建立方法，其特征在于，所述OP阶段第一部分的回调函数包括用于更新系统内记录所有CPU状态的变量的回调函数sched_cpu_deactivate()，所述回调函数sched_cpu_deactivate()对应的保护记录CPU状态的变量的锁为读写锁。

8.根据权利要求5所述的面向多安全域架构的安全域快速建立方法，其特征在于，所述OP阶段第二部分的回调函数包括用于内存管理子系统注册的回调函数free_slot_cache()和电源管理子系统注册的回调函数cpuhp_cpufreq_offline()。

9.根据权利要求1所述的面向多安全域架构的安全域快速建立方法，其特征在于，还包括用户态安全区内存资源回收的步骤，具体包括：若内存不足或者建立新的用户态安全区时所有用户态安全区使用的内存超过预设阈值，则根据预设的回收策略选择目标用户态安全区，并回收所述目标用户态安全区使用的内存。

10.根据权利要求1所述的面向多安全域架构的安全域快速建立方法，其特征在于，保存所述用户态安全区的执行环境信息到安全世界，最后回收CPU资源的具体步骤包括：

保存所述用户态安全区对应的用户态安全区控制块到安全世界，所述用户态安全区控制块包括用户态安全区的用户态上下文、内核态上下文、使用到的所有中断以及系统时钟；

配置所述用户态安全区使用的内存禁止CPU访问，将所述用户态安全区分配的CPU资源回归到普通世界。