[发明专利]用于访问安全世界的方法、装置和系统

说明书

本申请提供一种用于访问安全世界的方法、装置和系统，能够提升安全世界的安全性。该方法包括：在非安全世界创建第一虚拟机；将所述非安全世界中的多个程序加载到所述第一虚拟机中，所述多个程序包括内核和至少一个用户程序，其中，所述内核运行在第一等级的模式下，所述至少一个用户程序运行在第二等级的模式下，所述第一等级高于所述第二等级；在确定所述至少一个用户程序中的第一用户程序需要访问安全世界时，在所述非安全世界创建运行在所述第一等级的模式下的第二虚拟机；将所述第一用户程序从所述第一虚拟机中剥离，并加载到所述第二虚拟机，以便于所述第一用户程序通过所述第二虚拟机访问所述安全世界。

技术领域

本申请涉及计算机领域，并且更具体地，涉及一种用于访问安全世界的方法、装置和系统。

背景技术

高级精简指令集计算机(Reduced Instruction Set Computer，RISC)制造公司(Advanced RISC Machine，ARM)处理器自v6架构开始引入了信任区(TrustZone)的概念。TrustZone为ARM处理器独有的一种处理器模式。

如图1所示，TrustZone技术将计算机系统物理隔离为安全世界和非安全世界。其中，TrustZone内为安全世界，TrustZone外为非安全世界。

在如图1所示的架构中，用户应用(Client Application，CA)(也可以称为用户程序等)可以通过调用公用的安全监控调用(Secure Monitor Call，SMC)驱动来进行安全世界的访问。

为了便于理解，以下结合图1所示的架构，描述非安全世界的用户程序访问安全世界的方法，其中，可以通过安全服务通道来完成安全服务流程，图1所示的架构可以利用由非安全世界的SMC驱动、非安全世界的SMC指令、运行固件(runtime firmware)、安全世界的内核的安全服务分发及调度模块、以及安全用户程序所构建的安全服务通道来完成。

步骤一、CA程序(例如，CA1，CA2或CA3)调用基于公用的SMC驱动提供的应用程序编程接口(Application Programming Interface,API)，将参数传递给富执行环境(RichExecution Environment，REE)操作系统(Operation System，OS)内核的SMC驱动。

步骤二、SMC驱动将参数写入寄存器，调用SMC指令，触发异常事件。

步骤三、运行固件接管该异常事件后，切换系统模式，调用可信执行环境(TrustedExecution Environment，TEE)OS内核中安全服务分发及调度模块相关的函数。

步骤四、安全服务分发及调度模块进一步解析参数，并分解参数解析结果，以调度相关的TA程序。

步骤五、TA程序(例如，图1所示的TA1、TA2或TA3)通过非安全世界应用传递的通用唯一识别码(Universally Unique Identifier，UUID)来确认合法性，并完成相关的安全服务。

在以上的CA程序获取安全服务的流程中，公用的SMC驱动可被任意程序(包括恶意程序)所使用，从而使得恶意程序可以访问安全世界，从而降低了安全世界的安全性。

发明内容

本申请提供一种用于访问安全世界的方法、装置和系统，能够提升安全世界的安全性。