[发明专利]基于可信执行环境无痕运行应用程序的方法、装置和终端

权利要求书

1.一种基于可信执行环境无痕运行应用程序的方法，其特征在于，包括如下步骤：

当监测到目标应用程序启动时，在可信执行环境TEE的内存中创建与所述目标应用程序对应的内存文件系统；

在所述内存文件系统中运行所述目标应用程序；

当监测到所述目标应用程序结束运行时，删除所述内存文件系统中的相关数据，并从所述TEE的内存中卸载所述内存文件系统。

2.根据权利要求1所述的方法，其特征在于，所述可信执行环境TEE的内存是在系统冷启动时按照预定地址大小分配的。

3.根据权利要求1所述的方法，其特征在于，目标应用程序启动之前，还包括：

所述TEE对所述目标应用程序进行授权；

其中，所述在所述内存文件系统中运行所述目标应用程序的步骤之前，还包括：

所述TEE对所述目标应用程序的授权状态进行认证。

4.根据权利要求1所述的方法，其特征在于，当包括多个应用容器系统时，所述当监测到目标应用程序启动时，在可信执行环境TEE的内存中创建与所述目标应用程序对应的内存文件系统的步骤包括：

确定所述目标应用程序所处的应用容器系统；

基于所述应用容器系统在所述TEE的内存中创建相应的内存文件系统。

5.根据权利要求1所述的方法，其特征在于，在监测到目标应用程序启动的步骤之前，还包括：

当监测到目标应用程序的安装包启动运行时，获取所述目标应用程序的安装包，并存放至所述TEE的内存中。

6.一种基于可信执行环境无痕运行应用程序的装置，其特征在于，包括：

内存文件系统创建模块，用于当监测到目标应用程序启动时，在可信执行环境TEE的内存中创建与所述目标应用程序对应的内存文件系统；

应用程序运行模块，用于在所述内存文件系统中运行所述目标应用程序；

删除与卸载模块，用于当监测到所述目标应用程序结束运行时，删除所述内存文件系统中的相关数据，并从所述TEE的内存中卸载所述内存文件系统。

7.根据权利要求6所述的装置，其特征在于，还包括：授权模块，

所述授权模块用于目标应用程序启动之前，所述TEE对所述目标应用程序进行授权；

所述授权模块还用于所述TEE对所述目标应用程序的授权状态进行认证。

8.根据权利要求6所述的装置，其特征在于，当包括多个应用容器系统时，所述内存文件系统创建模块具体用于确定所述目标应用程序所处的应用容器系统；以及，

所述内存文件系统创建模块具体用于基于所述应用容器系统在所述TEE的内存中创建相应的内存文件系统。

9.根据权利要求6所述的装置，其特征在于，还包括，安装包获取与存放模块，用于当监测到目标应用程序的安装包启动运行时，获取所述目标应用程序的安装包，并存放至所述TEE的内存中。

10.一种终端，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1-5任一项所述的方法。