[发明专利]具有多种异构TEE实施的方法和系统

说明书

一种可信执行环境系统，包括运行第一TEE的第一平台、运行第二TEE的第二平台、以及合并单元。该合并单元适于将来自于第一平台的第一TEE的第一输出，与来自第二平台的第二TEE的第二输出合并，从而形成可信执行环境系统的输出。这样一来，系统的安全性得到了提高，因为即使恶意行为者能够访问“t”台机器，但除非在所有执行的TEE平台上同一时间存在多个可利用的TEE漏洞，否则该行为者仍然无法获知秘密。

技术领域

本发明涉及计算设备的数据安全，特别是涉及可信执行环境(TEE)的使用。

背景技术

可信执行环境(TEE)是一种隔离的执行环境，它提供安全功能，如相互隔 离的执行、与TEE一起执行的应用程序的完整性，以及其资产的保密性。现有 的TEE通常基于硬件组件(特别是中央处理器CPU)和软件组件的组合来实现。 作为一种高层次的概述，TEE的安全功能可以通过禁止程序执行期间的调试功 能、加密执行程序使用的内存页、以及提供一种机制向另一个用户/程序远程证 明该进程确实是在TEE中运行来实现。

TEE非常有用，例如，它可以用于数字版权管理(如音乐文件的解密密钥)、 私钥管理(如签署交易的私钥)以及许多其他应用。远程用户可以与TEE分享 一些敏感数据，因为如果TEE能证明它正在运行一个特定的软件那该TEE就可 能被用户审计，因此他/她知道TEE不会泄露敏感数据。远程证明包括可执行二 进制文件的哈希值。而如果用户审计了二进制文件的源代码，那么他就知道他是 否可以信任该代码，如果他信任该代码，他就可以与TEE分享敏感数据。

然而，虽然TEE的想法听起来非常安全，但像任何其他软件应用程序或半 软件模块一样，在各种TEE实现方式中存在着漏洞。例如，虽然有些漏洞可能 是跨平台的，但至少有一些是针对特定平台的。通过利用这些漏洞，攻击者仍然 可以获得他们不应该获得的敏感信息。

发明内容

鉴于上述背景，本发明的目标是提供一种稳健的TEE系统和一种即使在存 在已知TEE漏洞的情况下也能构建安全TEE的方法。

本领域的技术人员将从以下描述中得出本发明要实现的其他目标。因此，上 述目标的陈述并非详尽无遗，而仅是用于说明本发明的许多目标中的一些。

因此，本发明在一个方面是一种可信执行环境系统，包括运行第一TEE的 第一平台、运行第二TEE的第二平台、以及合并单元。该合并单元适于将来自 于第一平台的第一TEE的第一输出，与来自第二平台的第二TEE的第二输出合 并，从而形成可信执行环境系统的输出。第一TEE和第二TEE分别基于不同的 实现方式。

在一个实施方式中，分别在第一平台和第二平台上运行的第一TEE和第二 TEE的应用代码是不同的。

在一个实施方式中，应用代码包括加密库或应用逻辑。

在一个实施方式中，第一TEE或第二TEE适于由用户远程证明。

在一个实施方式中，合并单元适于使用加密方法来合并第一输出和第二输 出。

在一个实施方式中，当第一TEE的漏洞或第二TEE的漏洞被修补时，相应 地第一输出或第二输出被混洗(reshuffle)。

在本发明的另一个方面，提供了一种生成可信执行环境系统的输出的方法， 包括以下步骤：从可信执行环境系统中的第一平台的第一TEE提供第一输出； 从可信执行环境系统中的第二平台的第二TEE提供第二输出；将第一输出和第 二输出合并，以形成可信执行环境系统的输出。

在一个实施方式中，该方法还包括在提供第一输出之前对第一TEE进行远 程证明，或在提供第二输出之前对第二TEE进行远程证明。

在一个实施方式中，该方法还包括从可信执行环境系统中的第三平台的第三 TEE提供第三输出的步骤；其中合并步骤包括合并第一输出、第二输出和第三输 出以形成可信执行环境系统的输出。