[发明专利]一种面向多安全域架构的安全域快速建立方法

说明书

本发明公开了一种面向多安全域架构的安全域快速建立方法，用户态安全区建立的步骤包括：敏感应用触发执行时，若存在所述敏感应用对应的用户态安全区，执行快速CPU分配方法分配CPU资源给所述用户态安全区，根据所述用户态安全区的执行环境信息恢复用户态安全区的执行环境；用户态安全区CPU计算资源回收的步骤包括：所述敏感应用执行完成后，关闭所述用户态安全区，保存所述用户态安全区的执行环境信息到安全世界，最后回收CPU资源。本发明可以缩短敏感应用响应的时间并且加快敏感应用执行的速度。

技术领域

本发明涉及计算机资源分配，尤其涉及一种面向多安全域架构的安全域快速建立方法。

背景技术

为解决云计算存在的传输数据成本高、长延迟以及数据安全等问题，边缘计算被提出并不断发展，需求快速响应和需求安全隐私的应用已大量部署于边缘平台上。因ARM平台丰富的生态和高性价比，现代ARM平台机器已成为边缘平台的典型选择。因此，在ARM边缘设备上执行敏感应用(例如，人工智能服务和数据流分析引擎)是一大趋势，在不可信边缘设备上可信地、安全地执行敏感应用面临着挑战。

TrustZone是ARM平台广泛部署的可信执行环境的安全架构，基于硬件实现安全功能为软件提供高特权和隔离的执行环境。学术界提出了一种多安全域架构，其利用TrustZone所提供的新特性创建处于普通世界的安全域(称为用户态安全区)。相对原始的TrustZone架构仅提供单一安全域(安全世界)，多安全域架构不仅为敏感应用提供了一个隔离执行环境，还同时解除了受TrustZone保护的应用程序的特权。

如图1所示，多安全域架构下，用户态安全区的生命周期包括建立和销毁2个部分。

用户态安全区的建立。一次用户态安全区的建立需要经过4个步骤：(1)加载软件二进制文件：将敏感应用和支撑敏感应用运行的库(通常是一个操作系统内核，例如，原多安全域架构原型使用Zircon微内核)加载到内存中；(2)分配CPU计算资源：将CPU资源分配给待建立的安全域；(3)验证用户态安全区的安全性：验证运行库(Zircon内核)、敏感应用的完整性，防止被篡改；(4)启动安全域：CPU核早期初始化、初始化内核环境和建立用户程序运行的环境。

用户态安全区的销毁/回收。当敏感应用执行完成后，多安全域架构将回收用户态安全区的资源，经过3个过程：(1)关闭安全区：清除CPU缓存并停止内核的运行；(2)解锁用户态安全区：清除并回收用户态安全区使用的所有内存；(3)回收CPU资源：多安全域架构通过CPU热插拔将用户态安全区使用的CPU回归到原系统。

如图2所示，Linux内核CPU热插拔机制只支持串行的CPU增加或移除操作，即单次仅支持单个CPU的在线或离线操作。例如，在系统需要移除两个CPU的情况下，CPU2必须等待CPU1首先完成完整的CPU移除3个步骤后才会进入自己的移除过程。

由于目前的多安全域架构针对移动端低频次敏感应用执行而设计，在边缘端高频敏感应用执行的场景下，低效的用户态安全区建立无法满足敏感应用的快速响应执行；此外，在敏感应用执行时机不可预测的情况下，为满足敏感应用的快速响应，持续维持敏感应用执行的方式将导致系统资源利用率降低。在高计算资源需求应用执行的场景下，无法快速为应用分配多CPU计算资源来满足应用的快速执行。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种面向多安全域架构的安全域快速建立方法，缩短敏感应用响应的时间并且加快敏感应用执行的速度。

为解决上述技术问题，本发明提出的技术方案为：

一种面向多安全域架构的安全域快速建立方法，包括用户态安全区建立的步骤和用户态安全区CPU计算资源回收的步骤，

所述用户态安全区建立的步骤包括：敏感应用触发执行时，若存在所述敏感应用对应的用户态安全区，分配CPU资源给所述用户态安全区，根据所述用户态安全区的执行环境信息恢复用户态安全区的执行环境；