[发明专利]带有安全运行时环境的微控制器系统

说明书

技术领域

本发明涉及可实现于或被实现于移动终端中的带有安全运行时环境(runtime environment)的微处理器系统。

背景技术

微处理器系统包括微处理器以及一个或多个易失性和非易失性存储器，从功能观点看该一个或多个易失性和非易失性存储器具体是：操作系统被存储在其中的至少一个操作系统存储器、可由微处理器在操作系统的控制下执行的应用被存储在其中的一个或多个应用存储器、以及待由微处理器处理的数据能够被存储在其中的主存储器。操作系统在其操作期间生成并且维护其中应用可在微处理器系统上执行的运行时环境。微处理器系统一般地被实现在一个芯片，例如半导体芯片上，还可能被实现在多个相连的芯片上。

移动终端被理解成是指蜂窝电话、智能电话、PDA(个人数字助理)或类似终端。

指定ARM信任区域架构表示来自公司ARM用于微处理器系统的已知的两部分的运行时架构，此架构包括两个运行时环境。被称作“正常区域”或“正常世界”的第一不安全运行时环境由正常操作系统控制。被称作“信任区域”或“可信世界”或“安全世界”的第二安全或值得信任的运行时环境由安全操作系统控制。

正常操作系统可以是例如常规操作系统，诸如Android、Windows Phone、Symbian等等。

本专利申请的申请人制造并且出售用于将被实现在移动终端中的芯片的、商品名为MOBICORE的安全操作系统。特别地，安全关键应用和一些外围功能(例如键盘驱动器)被安全操作系统MOBICORE安全地控制。在安全操作系统下的应用还被按照术语“信任(Trust)”和“小程序(Applet)”类似地命名为信任小程序(trustlet)。另外的应用和其它外围功能(例如显示器驱动器、NFC接口驱动器、无线电接口层RIL)被正常操作系统(还被称作富OS或HLOS)控制。安全操作系统包括秘密密钥、认证密钥Kauth，借助于其安全操作系统能够相对于后台系统标识它自己。可选地，认证密钥Kauth被附加地提供用于操作芯片或移动终端与后台系统之间的安全通信信道。后台系统是例如移动无线电网络的本身已知的后台系统。

例如为了调用安全运行时环境中的应用(信任小程序)或者为了交换数据，就正常操作系统而言，从不安全运行时环境到安全运行时环境的访问专用地借助于安全驱动器被作为标准执行，所述安全驱动器(例如Mobicore驱动器)被实现在不安全运行时环境内，但被安全操作系统控制并且在操作系统层起作用。安全驱动器能够例如将正常操作系统的任务转移到安全操作系统并且将关于任务的结果转发至正常操作系统，所述结果是由安全操作系统提供的。安全驱动器转交正常操作系统与安全操作系统之间的安全通信信道，所述信道完全足够用于交换相对少量的数据。

在安全运行时环境中实现的应用(信任小程序)或外围功能只能够由安全操作系统访问。相比而言，不能够从正常操作系统直接地访问信任小程序。

实际上，移动终端的所有外围结构(除例如键盘之外)(也就是说中央微处理器之外的移动终端的结构)被实现在正常操作系统下并且因此在极大程度上是不安全的，因为相应的外围驱动器被实现在不安全运行时环境“正常区域”中。

外围结构与操作系统或经由操作系统的通信的一些过程是安全关键的，例如那些在其中处理诸如例如秘密号码PIN之类的秘密数据的过程，或者那些在其中处理安全相关命令的过程，例如用于确认或者发起支付交易的命令。对于这样的安全关键通信过程，外围结构的安全链路将是所希望的以便阻止对数据的隐秘观察或者对命令的操纵。

用于使外围结构的操作变得更加安全的最直接的可能性是在安全操作系统下而非在正常操作系统下实现相应的外围驱动器。(例如，采用MobiCore作为安全操作系统的移动终端中相对小且紧凑的键盘驱动器常常已经被作为标准实现在安全操作系统下。)然而，这具有对外围结构的所有访问必定必须由安全操作系统来实现的后果。因为，在安全操作系统下，诸如认证和加密之类的复杂安全措施对于所有访问来说是需要的，所以将驱动器从正常操作系统移动到安全操作系统相当大地使移动终端的操作慢下来。然而，对外围结构的访问的相当大的比例不是安全关键的，并且能够在不安全但较快的正常操作系统下也可良好地进行。