(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210894534.8 (22)申请日 2022.07.28 (65)同一申请的已公布的文献号 申请公布号 CN 114996719 A (43)申请公布日 2022.09.02 (73)专利权人 杭州锘崴信息科技有限公司 地址 310059 浙江省杭州市滨江区浦沿街 道东信大道6 6号4号楼521 (72)发明人 孙琪　王爽　廖毅强　郑灏　王帅　 李帜　 (74)专利代理 机构 北京同立钧成知识产权代理 有限公司 1 1205 专利代理师 王潇　臧建明 (51)Int.Cl. G06F 21/57(2013.01)G06F 21/62(2013.01) G06F 21/71(2013.01) (56)对比文件 CN 106603487 A,2017.04.26 CN 108595983 A,2018.09.28 CN 108509251 A,2018.09.07 US 2021109870 A1,2021.04.15 张磊等.基于虚拟机的内核完整性保护技 术. 《电子科技大 学学报》 .2015,(第01期),第 119-124页. 郑显义等.系统安全隔离技 术研究综述. 《计 算机学报》 .2017,(第0 5期),第43 -65页. 审查员 周瑞瑞 (54)发明名称 可信处理单元的隐私数据及金融隐私数据 的安全分析方法 (57)摘要 本申请提供一种可信处理单元的隐私数据 及金融隐私数据的安全分析方法， 涉及数据处理 技术。 本申请提供的基于TEE的隐私数据及金融 隐私数据的安全分析方法， 由于安全模块可以根 据TEE申请请求， 在动态随机存取存储器DRAM中 分配为可用的处理单元和待请求的内核共享的 物理内存区域。 这样一来， 可以使得待请求的内 核使用可用的处理单元进行数据处理时， 通过仅 仅允许可用的处理单元和待请求的内核访问的 物理内存区域传输待处理的隐私数据， 而CPU的 其他内核无法访问在物理内存区域的待处理的 隐私数据。 如此， 在可用的处理单元中实现了 TEE， 流程简单且成本低、 隐私数据的安全性高， 为隐私保护计算联邦学习形成技 术基础。 权利要求书3页 说明书12页 附图5页 CN 114996719 B 2022.11.04 CN 114996719 B 1.一种可信处理单元的隐私数据安全分析方法， 其特征在于， 应用于电子设备， 所述电 子设备包括 安全模块， 所述方法包括： 所述安全模块获取中央处理单元CPU中待请求的内核发送的可信执行环境TEE申请请 求， 所述TE E申请请求包括： 待处 理的隐私数据和待请求的处 理单元的类型； 所述安全模块根据 所述TEE申请请求， 从待请求的处理单元的类型对应的处理单元中， 确定可用的处 理单元； 所述安全模块根据所述TEE申请请求， 在控制器配置动态随机存取存储器DRAM中的所 述可用的处理单元和所述待请求的内核共享的物理内存区域， 以使得所述安全模块接收目 标内核对所述可用的处理单元或所述共享的物理内存区域发出的请求后， 控制所述控制器 判断所述目标内核是否为所述待请求的内核， 确定是否通过所述共享的物理内存区域传输 所述待处理的隐私数据， 其中， 所述可用的处理单元处在第一隔离状态， 以隔离除所述待请 求的内核以外的其他内核的交互请求， 所述共享的物理内存区域处在第二隔离状态， 以隔 离除所述待请求的内核以外的其他内核以及除所述可用的处理单元以外的其他处理单元 的访问。 2.根据权利要求1所述的方法， 其特征在于， 所述安全模块根据 所述TEE申请请求， 从待 请求的处 理单元的类型对应的处 理单元中， 确定可用的处 理单元， 包括： 所述安全模块根据 所述TEE申请请求， 从待请求的处理单元的类型对应的处理单元中， 查询是否存在处于空 闲状态的处 理单元； 若存在所述处于空闲状态的处理单元， 则所述安全模块从处于所述空闲状态的处理单 元中选择一个处 理单元作为可用的处 理单元。 3.根据权利要求2所述的方法， 其特征在于， 所述安全模块根据 所述TEE申请请求， 从待 请求的处 理单元的类型对应的处 理单元中， 确定可用的处 理单元， 还包括： 若不存在所述处于空闲状态的处理单元， 通过抢占调度算法为所述待请求的内核， 从 待请求的处 理单元的类型对应的处 理单元中选择一个处 理单元作为可用的处 理单元。 4.根据权利要求2或3所述的方法， 其特征在于， 在所述选择一个处理单元作为可用的 处理单元之后， 所述方法还 包括： 所述安全模块识别所述可用的处 理单元中是否包 含残留数据； 在所述可用的处理单元包含残留数据时， 所述安全模块对所述可用的处理单元中的数 据进行清空。 5.根据权利要求1所述的方法， 其特征在于， 所述安全模块接收目标内核对所述可用的 处理单元或所述共享的物理内存区域 发出的请求后， 控制所述控制器判断所述目标内核 是 否为所述待请求的内核， 确定是否通过所述共享的物理内存区域传输所述待处理的 隐私数 据， 包括： 所述安全模块接收目标内核对所述可用的处理单元发出的第 一交互请求， 并控制所述 控制器判断所述目标内核是否为所述待请求的内核， 所述第一交互请求包括写入请求、 读 取请求中的至少一个； 在所述目标内核是所述待请求内核时， 所述控制器允许所述安全模块将所述第 一交互 请求传递给 所述可用的处 理单元， 以完成所述第一交 互请求对应的数据处 理； 在所述目标内核不是所述待请求内核时， 所述控制器阻止所述安全模块将所述第 一交权　利　要　求　书 1/3 页 2 CN 114996719 B 2互请求传递给 所述可用的处 理单元。 6.根据权利要求1所述的方法， 其特征在于， 所述安全模块接收目标内核对所述可用的 处理单元或所述共享的物理内存区域 发出的请求后， 控制所述控制器判断所述目标内核 是 否为所述待请求的内核， 确定是否通过所述共享的物理内存区域传输所述待处理的 隐私数 据， 包括： 所述安全模块接收第 二交互请求， 所述第 二交互请求是目标内核对所述共享的物理内 存区域发出的或目标 处理单元对所述共享的物理内存区域发出的， 所述第二交互请求包括 写入请求、 读取请求中的至少一个； 所述安全模块控制所述控制器判断所述目标内核是否为待请求内核， 或判断所述目标 处理单元是否为所述可用的处 理单元； 若是， 则所述控制器允许通过所述共享的物理内存区域传输所述第 二交互请求对应的 隐私数据； 若否， 则所述控制器阻止通过所述共享的物理内存区域传输所述第 二交互请求对应的 隐私数据。 7.一种可信处理单元的金融隐私数据安全分析方法， 其特征在于， 应用于电子设备， 所 述电子设备包括 安全模块， 所述方法包括： 所述安全模块获取中央处理单元CPU中待请求的内核发送的可信执行环境TEE申请请 求， 所述TE E申请请求包括： 待处 理的金融隐私数据， 所述金融隐私数据为用户个人信息； 所述安全模块根据所述TE E申请请求， 从多个处 理单元中确定可用的处 理单元； 所述安全模块根据所述TEE申请请求， 在控制器配置动态随机存取存储器DRAM中的所 述可用的处理单元和所述待请求的内核共享的物理内存区域， 以使得所述安全模块接收目 标内核对所述可用的处理单元或所述共享的物理内存区域发出的请求后， 控制所述控制器 判断所述目标内核是否为所述待请求的内核， 确定是否通过所述共享的物理内存区域传输 所述待处理的金融隐私数据， 其中， 所述可用的处理单元 处在第一隔离状态， 以隔离除所述 待请求的内核以外的其他内核的交互请求， 所述共享的物理内存区域处在第二隔离状态， 以隔离除所述待请求的内核以外的其他内核以及除所述可用的处理单元以外的其他处理 单元的访问； 所述可用的处理单元基于设定的风险识别模型， 对所述金融隐私数据进行风险识别， 确定所述金融隐私数据关联的用户是否为 风险用户。 8.一种可信处理单元的医疗隐私数据安全分析方法， 其特征在于， 应用于电子设备， 所 述电子设备包括 安全模块， 所述方法包括： 所述安全模块获取中央处理单元CPU中待请求的内核发送的可信执行环境TEE申请请 求， 所述TEE申请请求包括： 待处理的医疗隐私数据， 所述医疗隐私数据为用户的身体的目 标区域的CT图像； 所述安全模块根据所述TE E申请请求， 从多个GPU中确定可用的GPU； 所述安全模块根据所述TEE申请请求， 在控制器配置动态随机存取存储器DRAM中的所 述可用的GPU和所述待请求的内核共享的物理内存区域， 以使得所述安全模块接收目标内 核对所述可用的处理单元或所述共享的物理内存区域 发出的请求后， 控制所述控制器判断 所述目标内核 是否为所述待请求的内核， 确定是否通过所述共享的物理内存区域传输所述权　利　要　求　书 2/3 页 3 CN 114996719 B 3