[发明专利]用于提供全球平台兼容可信执行环境的系统和方法

说明书

一种提供全球平台(GP)兼容可信执行环境(TEE)的方法，所述方法以主处理器执行存储在存储器设备中的应用开始。应用包括客户端应用(CA)和可信应用(TA)。执行所述应用包括在客户端进程中运行CA并且在TEE主机进程中运行TA。客户端进程与TEE主机进程分开。使用TEE主机进程，从客户端进程中接收用于开启会话的请求，所述请求包括所述TA的标识符。使用包括在TEE主机进程中的GP可信服务飞地，使用所述GP可信服务飞地在所述TEE主机进程中确定和加载与所述标识符相关联的TA飞地，以便建立所述会话。使用TEE主机进程，从客户端进程中接收将在TA飞地中调用的命令以及命令需要的参数集。使用GP内部API，执行与标识符相关联的TA飞地中的命令。还描述了其它实施例。

技术领域

本发明的实施例总体上涉及一种用于提供全球平台兼容可信执行环境(TEE)的系统和方法。

背景技术

全球平台(GP)是发布对应用的安全部署和管理的规范的行业广泛的协会。可信执行环境(TEE)是由GP限定的提供用于存储和处理敏感信息的安全环境的规范。TEE规范帮助原始设备制造商(OEM)和独立软件开发商(ISV)创建和部署敏感应用，如安全交易、数字版权管理、近场通信(NFC)支付等。

为了在平台上提供GP TEE支持，两种当前方法包括：(i)基于虚拟存储器管理器(VMM)的方法和(ii)对完全在安全处理器内的TEE的实现。由于整个VMM都包括在可信代码基(TCB)中，并且可信应用不具有隔离，因此第一种方法具有创建更大攻击表面供利用的缺点。第二种方法受资源限制，从而使得其具有受限的可扩展性的缺点。

附图说明

以示例的方式而不是以受限于附图中的图的方式展示了本发明的实施例，其中在附图中相同的参考标记指示类似的要素。应该注意的是，在本公开中对本发明的“实施例”或“一个实施例”的引用不一定是指相同的实施例，并且它们表示至少一个。在附图中：

图1展示了根据本发明的一个实施例的用于提供GP兼容TEE的系统的框图。

图2展示了根据本发明的一个实施例的用于提供图1中的GP兼容TEE的系统的细节的框图。

图3展示了根据本发明的实施例的用于提供GP兼容TEE的示例方法的流程图。

图4A至图4B展示了根据本发明的实施例的用于执行图3中的框310中的TA飞地中的命令的方法的流程图。

图5展示了适用于实现本公开的实施例的计算机系统。

具体实施方式

在下列描述中，陈述了众多具体细节。然而，应理解本发明的实施例可以在没有这些具体的细节的情况下实践。在其他实例中，公知的电路、结构和技术没有说明以避免模糊对本发明的理解。

图1展示了根据本发明的一个实施例的用于提供GP兼容TEE的系统10的框图。系统10可以是移动电话通信设备或智能电话。然而，系统10还可以是例如台式计算机、膝上型计算机、平板计算机、笔记本计算机或可穿戴计算机。系统10还可以包括通信接口，所述通信接口包括具有通信电路系统(如射频(RF)收发器电路系统等)的无线通信设备。在一个实施例中，包括在系统10中的麦克风端口和扬声器端口可以耦合至通信电路系统以便使用户能够参与无线电话或视频通话。在无线通信设备中可以支持多种不同的无线通信网络和协议。这些包括：蜂窝移动电话网络(例如，全球移动通信系统(GSM)网络)，包括目前2G、3G和4G网络以及它们相关联的通话和数据协议；以及IEEE 802.11数据网络(WiFi或无线局域网，WLAN)，所述网络还可以支持互联网协议上的语音(VOIP)呼叫。