【技术实现步骤摘要】
本专利技术涉及一种用于普通执行环境与可信执行环境之间的通信的通信系统以及应用该通信系统的电子设备。
技术介绍
可信执行环境TEE(TrustedExecutionEnvironment)或者说安全运行时环境(saferuntimeenvironment)的基本思想在于:除了普通操作系统之外,提供一个与之隔离的安全操作系统,并运行在一套隔离的硬件基础之上,这个安全操作系统就被称为TEE。已知可以通过ARM信任区(trustzone)技术在微处理器单元中生成受保护的区域来作为TEE。该TEE被用于运行称作信任小程序(trustlet)的应用。ARM在芯片IP设计中已经全面支持了TEE,目前高通、联发科、三星、海思、展讯等都已经在硬件上支持了TEE。Intel的X86架构和Imagination的MIPS架构,也都先后推出了类似的解决方案。而这些解决方案共同存在的问题是以单通道实现在普通执行环境REE与可信执行环境TEE之间的通道,从而使得通道设计复杂,维护难度较大和通信效率低下。
技术实现思路
本专利技术要解决的技术问题是通过驱动划分实现普通执行环境与可信执行环境之间简化且效率提高的通信。为解决该技术问题,本专利技术提出了一种用于普通执行环境与可信执行环境之间的通信的通信系统,其中,通信系统包括:普通执行环境和可信执行环境,其中,可信执行环境与普通执行环境隔离;在可信执行环境和普通执行环境均能够运行有操作系统和应用,通信系统还包括驱动划分单元,该驱动划分单元执行如下步骤:评估将在通信系统上运行的驱动的安全性,如果该驱动的安全性在第一安全性阈值以上,则将该驱动的主 ...
【技术保护点】
一种用于普通执行环境与可信执行环境之间的通信的通信系统,其特征在于,所述通信系统包括:普通执行环境和可信执行环境,其中,所述可信执行环境与所述普通执行环境隔离;在所述可信执行环境和所述普通执行环境均能够运行有操作系统和应用,所述通信系统还包括驱动划分单元,该驱动划分单元执行如下步骤:评估将在所述通信系统上运行的驱动的安全性,如果该驱动的安全性在第一安全性阈值以上,则将该驱动的主驱动划分到所述可信执行环境,在所述普通执行环境设置该驱动的虚拟驱动;如果该驱动的安全性在第二安全性阈值以下,则将该驱动的主驱动划分到所述普通执行环境,在所述可信执行环境设置该驱动的虚拟驱动;如果所述驱动的安全性位于所述第一安全性阈值与所述第二安全性阈值之间,则检查该驱动的可用性和可实现性;如果所述可用性在可用性阈值以下并且所述可实现性在可实现性阈值以上,则将所述驱动的主驱动划分到所述可信执行环境并且在所述普通执行环境设置该驱动的虚拟驱动,否则将该驱动划分到所述普通执行环境并且在所述可信执行环境设置该驱动的虚拟驱动。
【技术特征摘要】
1.一种用于普通执行环境与可信执行环境之间的通信的通信系统,其特征在于,所述通信系统包括:普通执行环境和可信执行环境,其中,所述可信执行环境与所述普通执行环境隔离;在所述可信执行环境和所述普通执行环境均能够运行有操作系统和应用,所述通信系统还包括驱动划分单元,该驱动划分单元执行如下步骤:评估将在所述通信系统上运行的驱动的安全性,如果该驱动的安全性在第一安全性阈值以上,则将该驱动的主驱动划分到所述可信执行环境,在所述普通执行环境设置该驱动的虚拟驱动;如果该驱动的安全性在第二安全性阈值以下,则将该驱动的主驱动划分到所述普通执行环境,在所述可信执行环境设置该驱动的虚拟驱动;如果所述驱动的安全性位于所述第一安全性阈值与所述第二安全性阈值之间,则检查该驱动的可用性和可实现性;如果所述可用性在可用性阈值以下并且所述可实现性在可实现性阈值以上,则将所述驱动的主驱动划分到所述可信执行环境并且在所述普通执行环境设置该驱动的虚拟驱动,否则将该驱动划分到所述普通执行环境并且在所述可信执行环境设置该驱动的虚拟驱动。2.根据权利要求1所述的通信系统,其特征在于,所述驱动划分单元将DRM驱动、摄像头驱动、网络驱动、GPS驱动和存储驱动的主驱动划分到所述普通执行环境;和/或将虹膜驱动中关于数据传输、数据分析的驱动的主驱动划分到所述可信执行环境,将虹膜驱动中的其它驱动的主驱动划分到所述普通执行环境;和/或将NFC驱动的主驱动划分到所述普通执行环境;和/或将指纹驱动中有关数据传输、数据分析的驱动的主驱动划分到所述可信执行环境,将指纹驱动中有关共享外围中断发起的驱动的主驱动划分到所述普通执行环境;和/或将SE驱动划分到所述可信执行环境;和/或将支持可信用户接口的驱动的主驱动设置在所述普通执行环境以及所述可信执行环境。3.根据权利要求2所述的通信系统,其特征在于,支持可信用户接口的驱动包括LCD驱动、触摸屏驱动和I2C驱动。4.根据权利要求1所述的通信系统,其特征在于,所述普通执行环境的安全性低于所述可信执行环境,所述普通执行环境又包括安全层次Hypervisor和安全性低于Hypervisor的安全层次Container,其中,Hypervisor与Container相互隔离,所述驱动划分单元将划分到REE侧的驱动的主驱动分别设置到Container或者Hypervisor中。5.根据权利要求4所述的通信系统,其特征在于,在所述普通执行环境,所述Container和所述Hypervisor的环境初始化均从所述可信执行环境来发起和检测,其中,所述可信执行环境引导并初始化Hypervisor,Hypervisor再引导并初始化Container。6.根据权利要求1-5中任一项所述的通信系统,其特征在于,所述通信系统还包括:布置在普通执行环境与可信执行环境之间的应用通道、驱动通道和...
【专利技术属性】
技术研发人员:孟庆洋,韩泽锋,刘万里,张强,
申请(专利权)人:沈阳微可信科技有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。