[发明专利]用于提供全球平台兼容可信执行环境的系统和方法

权利要求书

1.一种提供全球平台GP兼容可信执行环境TEE的方法，所述方法包括：

执行存储在存储器设备中的应用，所述应用包括客户端应用CA)和可信应用TA，其中，执行所述应用包括在客户端进程中运行所述CA并且在TEE主机进程中运行所述TA，所述客户端进程与所述TEE主机进程是分开的；

使用所述TEE主机进程从所述客户端进程接收开启会话的请求，其中，所述请求包括所述TA的标识符；

使用包括在所述TEE主机进程中的GP可信服务飞地来确定与所述标识符相关联的TA飞地，其中每个TA在分开的TA飞地中运行，并且其中所述TA飞地对应于所述TA；

在所述TEE主机进程中加载与所述标识符相关联的所述TA飞地，以便使用所述GP可信服务飞地来建立所述会话；

使用所述TEE主机进程接收将在所述TA飞地中调用的命令以及所述命令需要的参数集，其中，所述命令和所述参数集来自所述客户端进程；以及

使用GP内部API在与所述标识符相关联的所述TA飞地中执行所述命令，

其中所述GP可信服务飞地是为TA提可信服务的飞地。

2.如权利要求1所述的方法，其中，使用GP内部API在与所述标识符相关联的所述TA飞地中执行所述命令进一步包括：

使用包括在所述TA飞地中的GP可信运行时间系统RTS和本地可信RTS来实现所述GP内部API。

3.如权利要求1所述的方法，进一步包括：

运行体系结构飞地服务AES进程，所述体系结构飞地服务AES进程包括分别提供安全服务的多个平台服务飞地PSE，其中，所述体系结构飞地服务AES进程与所述客户端进程和所述TEE主机进程分开。

4.如权利要求3所述的方法，其中，使用GP内部API在与所述标识符相关联的所述TA飞地中执行所述命令进一步包括：

在所述TEE主机进程与包括在所述AES进程中的所述PSE中的一个PSE之间建立安全信道；

将包括所述命令中的至少一个命令的请求传送至所述PSE中的所述一个PSE；以及

在所述PSE中的所述一个PSE与安全处理器之间建立安全信道。

5.如权利要求1所述的方法，进一步包括：

由所述客户端进程使用客户端应用编程接口API在所述TEE主机进程中初始化所述TEE。

6.如权利要求1所述的方法，进一步包括：

使用包括在所述TEE主机进程中的操作系统服务组件对所述命令进行排队；

使用所述GP可信服务飞地验证所述参数；以及

依次将所述命令分派到与所述标识符相关联的所述TA飞地。

7.如权利要求1所述的方法，进一步包括：

当完成执行命令时，将关闭所述会话的请求从所述客户端进程传送至所述GP可信服务飞地；以及

处理与所述会话有关的信息，并且使用所述GP可信服务飞地卸载与所述标识符相关联的所述TA飞地，以便关闭所述会话。

8.如权利要求1所述的方法，其中，所述TA的所述标识符是唯一通用标识符UUID。

9.如权利要求1所述的方法，其中，经由进程间通信IPC信道来传送开启所述会话的所述请求、进程命令和所述参数集。

10.如权利要求1所述的方法，进一步包括：

当先前加载了与所述标识符相关联的所述TA飞地时，使用所述GP可信服务飞地来选择与所述标识符相关联的所述TA飞地。

11.如权利要求1所述的方法，其中，所述TEE主机进程包括所述TEE，其中，所述TEE包括多个TA飞地和所述GP可信服务飞地，所述多个TA飞地包括与所述标识符相关联的所述TA飞地。