【技术实现步骤摘要】
可信执行环境实现方法及装置、终端设备
[0001]本申请涉及计算机
,具体涉及一种可信执行环境实现方法及装置,终端设备。
技术介绍
[0002]TEE(Trusted Execution Environment,可信执行环境)是一种具有运算和储存功能,能提供安全性和完整性保护的独立处理环境。其基本思想是:在硬件中为敏感数据单独分配一块隔离的内存,所有敏感数据的计算均在这块内存中进行,并且除了经过授权的接口外,硬件中的其他部分不能访问这块隔离的内存中的信息,以此来实现敏感数据的处理。
[0003]在基于ARM(Advanced RISC Machine,进阶精简指令集机器)体系结构的芯片平台上构建TEE环境,一般有如下解决方案:
[0004]方案一:如果芯片所采用的ARM处理器支持ARMTrustZone(ARM公司推出的SoC(System on Chip,片上系统)及CPU系统范围的安全解决方案),则按照TrustZone规范的要求进行芯片设计,比如在系统总线中增加安全信号以标识访问状态、各外围设备区...
【技术保护点】
【技术特征摘要】
1.一种可信执行环境实现方法,其特征在于,所述方法包括:设置虚拟机监视器以隔离REE和TEE;使REE运行于所述虚拟机监视器环境中受所述虚拟机监视器管理,并使TEE运行于所述虚拟机监视器环境之外。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:分别设置非安全内存和非安全外部设备、以及安全内存和安全外部设备;所述使REE运行于所述虚拟机监视器环境中受所述虚拟机监视器管理包括:通过所述虚拟机监视器限制REE对所述安全内存和安全外部设备的访问。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:通过TEE操作系统开启所述虚拟机监视器的监控功能,通过REE操作系统关闭所述虚拟机监视器的监控功能。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:在TEE中设置切换开关;通过TEE操作系统驱动所述切换开关开启和关闭所述虚拟机监视器的监控功能。5.一种可信执行环境实现装置,其特征在于,所述装置包括:虚拟机监视器,用于实现REE和TEE的隔离,使REE运行于所述虚拟机监视器环境中受所述虚拟机监视器管理,并使TEE运行于所述虚拟机监视器环境之外。6.根据权利要求5所述的装置,其特征在于,所述虚拟机监视器包括:核心模块,用于进行硬件环境配置和程序加载、以及内存管理,并监控来自REE的CPU对受控硬件资源的访问;虚拟机内存保护模块,用于限制来自REE的具备DMA能力的设备对所述受控硬件资源的访问;DMA监视模块,用于限制来自REE的DMA控制器对所述受控硬件资源的操作。7.根据权利要求6所述的装置,其特征在于,所述受控硬件资源包括安全内存和安全外部设备。8.根据权利要求7所述的装置,其特征在于,所述核心...
【专利技术属性】
技术研发人员:孙爱军,
申请(专利权)人:北京紫光展锐通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。