一种加密芯片在REE和TEE环境共存系统及方法技术方案

本发明专利技术公开了一种加密芯片在REE和TEE环境共存系统及方法。本发明专利技术涉及通信技术领域，一种加密芯片在REE和TEE环境共存系统及方法，主控芯片运行的REE模块和TEE模块分别通过两个物理接口与加密芯片通信连接，加密芯片采用MPU模块对加密芯片存储区域进行分区配置，使得REE模块和TEE模块通过两个接口访问加密芯片不同存储区域，实现访问数据和响应数据进行安全隔离，使加密芯片资源可在REE和TEE环境下的应用业务处理能被同时调用，实现加密芯片在REE和TEE环境下的共存。

An encryption chip coexistence system and method in REE and TEE environment

The invention discloses an encryption chip coexistence system and method in REE and TEE environment. The invention relates to the field of communication technology, a system and method of coexistence of an encryption chip in REE and TEE environment. The REE module and TEE module run by the main control chip are connected to the encryption chip respectively through two physical interfaces. The encryption chip uses the MPU module to configure the storage area of the encrypted chip, so that the REE module and the TEE module are made. The block access to the different storage areas of the encryption chip through two interfaces to achieve access data and response data to secure isolation, so that the encryption chip resources in the REE and TEE environment can be invoked at the same time, to realize the coexistence of encryption chips under the environment of REE and TEE.

【技术实现步骤摘要】
一种加密芯片在REE和TEE环境共存系统及方法
本专利技术涉及通信
，尤其涉及一种加密芯片在REE和TEE环境共存系统及方法。
技术介绍
TEE：TrustedExecutionEnvironment，可信执行环境。REE：RichExecutionEnvironment，一般指普通运行环境。MPU：MemoryProtectionUnit，内存保护单元。TEE是GP(GlobalPlatform，全球平台组织)提出的概念。TEE是在移动终端设备原有的硬件和软件的基础上，隔离出REE和TEE，通过在一个移动终端设备上划分出两个独立的执行环境，其中TEE具有自身操作系统，用于可信应用(TA)的运行，REE在非授权情况下不能访问TEE的资源。REE和TEE对设备资源进行了隔离，通过对物理器件共享及硬件内的软件调度隔离运行，但是此种技术并不具备较高的防篡改的能力，安全性不高。现有技术中，通过在支持TEE的移动终端设备主板或主芯片上集成加密芯片，同时REE和TEE通过主控的与加密芯片的物理通信接口进行数据通信，但REE和TEE在访问加密芯片时不能同时访问加密芯片，即当REE调用加密芯片进行加解密运算时，TEE不能处理中断，调用加密芯片，同样TEE在调用加密芯片时，REE也无法调用加密芯片，也就是说REE和TEE对于加密芯片的资源调用只能异步运行无法实现并发运行，需要REE和TEE切换调用。例如通过REE调用加密芯片对用户数据进行大数据流的加解密，加密芯片无法同时实现在TEE环境下的移动指纹支付、密钥设置和调用等操作，此限制极大的降低了终端数据的并发处理能力，降低了用户体验。
技术实现思路
为了解决上述技术问题，本专利技术的目的是提供一种加密芯片在REE和TEE环境共存系统，实现在移动智能终端设备中REE和TEE同时共用加密芯片资源，调用加密芯片对REE和TEE的应用业务进行并发处理。为了解决上述技术问题，本专利技术的目的是提供一种加密芯片在REE和TEE环境共存方法，实现在移动智能终端设备中REE和TEE同时共用加密芯片资源，调用加密芯片对REE和TEE的应用业务进行并发处理。一种加密芯片在REE和TEE环境共存系统，包括主控芯片和加密芯片，所述主控芯片运行有REE模块和TEE模块，所述主控芯片通过第一物理接口和第二物理接口与所述加密芯片通信，所述加密芯片包括MPU模块；所述MPU模块，用于执行对加密芯片存储区域进行分区，包括第一分区和第二分区，对第一分区配置第一用户权限，对第二分区配置第二用户权限；所述REE模块与所述加密芯片存储区的第一用户权限进行绑定，使得所述REE模块可通过所述第一用户权限访问所述第一分区；所述TEE模块与所述加密芯片存储区的第二用户权限进行绑定，使得所述TEE模块可通过所述第二用户权限访问所述第二分区。作为上述方案的进一步改进，所述加密芯片包括RAM模块和FLASH模块，所述MPU模块分别与所述RAM模块和FLASH模块连接，所述REE模块通过所述第一物理接口与所述FLASH模块和所述RAM模块通信，所述TEE模块通过所述第二物理接口与所述FLASH模块和所述RAM模块通信。作为上述方案的进一步改进，所述第一物理接口为SD接口、SPI接口、I2C接口或者USB接口，所述第二物理接口为SD接口、SPI接口、I2C接口或者USB接口。一种加密芯片在REE和TEE环境共存方法，适用于上述一种加密芯片在REE和TEE环境共存系统，所述方法包括：分区配置步骤，将加密芯片存储区进行分区，包括第一分区和第二分区，对第一分区配置第一用户权限，对第二分区配置第二用户权限；权限绑定步骤，将主控芯片的REE模块与所述加密芯片存储区的第一用户权限进行绑定，使得所述REE模块可通过所述第一用户权限访问所述第一分区；将主控芯片的TEE模块与所述加密芯片存储区的第二用户权限进行绑定，使得所述TEE模块可通过所述第二用户权限访问所述第二分区。作为上述方案的进一步改进，所述权限绑定步骤具体包括子步骤：S1，主控芯片的REE模块认证所述加密芯片存储区的第一用户权限；主控芯片的TEE模块认证所述加密芯片存储区的第二用户权限；S2，所述加密芯片存储区的第一用户权限认证所述主控芯片的REE模块；所述加密芯片存储区的第二用户权限认证所述主控芯片的TEE模块。作为上述方案的进一步改进，所述用户权限包括访问权限、读写权限和执行权限等。本专利技术所采用的技术方案是：本专利技术的有益效果是：一种加密芯片在REE和TEE环境共存系统，主控芯片运行的REE模块和TEE模块分别通过两个物理接口与加密芯片通信连接，加密芯片采用MPU模块对加密芯片存储区域进行分区配置，使得REE模块和TEE模块通过两个接口访问加密芯片不同存储区域，实现访问数据和响应数据进行安全隔离，使加密芯片资源可在REE和TEE环境下的应用业务处理能被同时调用，实现加密芯片在REE和TEE环境下的共存。一种加密芯片在REE和TEE环境共存方法，将加密芯片存储区进行分区，将主控芯片运行的REE模块和TEE模块分别与加密芯片存储区的第一用户权限和第二用户权限对应进行绑定，通过不同用户权限访问不同存储区域，实现加密芯片资源隔离保护，主控芯片的REE模块和TEE模块能同时调用加密芯片分配的相关资源，使加密芯片资源可在REE和TEE环境下的应用业务处理能被同时调用，实现加密芯片在REE和TEE环境下的共存。附图说明下面结合附图对本专利技术的具体实施方式作进一步说明：图1是本专利技术一种加密芯片在REE和TEE环境共存系统模块框图；图2是本专利技术MPU模块对REE模块和TEE模块调用加密芯片存储区示意图；图3是本专利技术一种加密芯片在REE和TEE环境共存方法流程图；图4是本专利技术主控芯片的REE模块认证加密芯片存储区的第一用户权限方法流程图；图5是本专利技术加密芯片存储区的第一用户权限认证主控芯片的REE模块方法流程图；图6(a)是本专利技术主控芯片的REE模块与加密芯片存储区的第一用户权限绑定具体实施例流程图；图6(b)是图6(a)中第一随机数和第二随机数以第一组合方式组合成第一组合数流程图。具体实施方式需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。图1是本专利技术一种加密芯片在REE和TEE环境共存系统模块框图，参照图1，一种加密芯片在REE和TEE环境共存系统，包括主控芯片和加密芯片，主控芯片运行有REE模块和TEE模块，主控芯片通过第一物理接口和第二物理接口与加密芯片通信，本实施例中，第一物理接口为SD接口，显然的，第一物理接口也可以是SPI接口、I2C接口、USB接口等其他通信接口，第二物理接口为SPI接口，显然的，第二物理接口也可以是SD接口、I2C接口、USB接口等其他通信接口。加密芯片包括MPU模块，MPU模块用于执行对加密芯片存储区域进行分区，包括第一分区和第二分区，对第一分区配置第一用户权限User，对第二分区配置第二用户权限Owner，其中，REE模块与加密芯片存储区的第一用户权限User进行绑定，使得REE模块可通过第一用户权限User访问第一分区，TEE模块与加密芯片存储区的第二用户权限Owner进行绑定，使得TEE模块可通过第二用户权限Owner访问第二分本文档来自技高网...

【技术保护点】
1.一种加密芯片在REE和TEE环境共存系统，其特征在于，其包括主控芯片和加密芯片，所述主控芯片运行有REE模块和TEE模块，所述主控芯片通过第一物理接口和第二物理接口与所述加密芯片通信，所述加密芯片包括MPU模块；所述MPU模块，用于执行对加密芯片存储区域进行分区，包括第一分区和第二分区，对第一分区配置第一用户权限，对第二分区配置第二用户权限；所述REE模块与所述加密芯片存储区的第一用户权限进行绑定，使得所述REE模块可通过所述第一用户权限访问所述第一分区；所述TEE模块与所述加密芯片存储区的第二用户权限进行绑定，使得所述TEE模块可通过所述第二用户权限访问所述第二分区。

【技术特征摘要】
1.一种加密芯片在REE和TEE环境共存系统，其特征在于，其包括主控芯片和加密芯片，所述主控芯片运行有REE模块和TEE模块，所述主控芯片通过第一物理接口和第二物理接口与所述加密芯片通信，所述加密芯片包括MPU模块；所述MPU模块，用于执行对加密芯片存储区域进行分区，包括第一分区和第二分区，对第一分区配置第一用户权限，对第二分区配置第二用户权限；所述REE模块与所述加密芯片存储区的第一用户权限进行绑定，使得所述REE模块可通过所述第一用户权限访问所述第一分区；所述TEE模块与所述加密芯片存储区的第二用户权限进行绑定，使得所述TEE模块可通过所述第二用户权限访问所述第二分区。2.根据权利要求1所述的一种加密芯片在REE和TEE环境共存系统，其特征在于，所述加密芯片包括RAM模块和FLASH模块，所述MPU模块分别与所述RAM模块和FLASH模块连接，所述REE模块通过所述第一物理接口与所述FLASH模块和所述RAM模块通信，所述TEE模块通过所述第二物理接口与所述FLASH模块和所述RAM模块通信。3.根据权利要求2所述的一种加密芯片在REE和TEE环境共存系统，其特征在于，所述第一物理接口为SD接口、SPI接口、I2C接口或者USB接口，所述第二物理接...

【专利技术属性】
技术研发人员：文明，刘俊，
申请(专利权)人：深圳市中易通安全芯科技有限公司，
类型：发明
国别省市：广东,44