可信执行环境的实现方法、系统级芯片及存储介质技术方案

本申请公开了一种可信执行环境的实现方法、系统级芯片及存储介质，系统级芯片中包括第一域和第二域，第一域中设置有可信执行环境，可信执行环境的实现方法包括：第二域中的客户端将针对可信执行环境的第二数据请求，发送至第一域中的服务端；第一域中的服务端将第二数据请求发送至可信执行环境中的目标可信应用，以使目标可信应用基于第二数据请求进行数据处理，得到第二响应数据，向第一域中的服务端反馈第二响应数据；第一域中的服务端在接收到第二响应数据后，将第二响应数据发送至第二域中的客户端。本申请使得不具备TEE条件第二域，可以通过具有TEE的第一域来实现TEE功能，而无需针对第二域单独增加硬件，降低了SOC的成本。的成本。的成本。

【技术实现步骤摘要】
可信执行环境的实现方法、系统级芯片及存储介质


[0001]本申请涉及可信执行环境
，具体涉及一种可信执行环境的实现方法、系统级芯片及存储介质。

技术介绍

[0002]可信执行环境（Trusted Execution Environment，TEE）是全球平台国际标准组织（Global Platform，GP）提出的概念。TEE是与Rich OS（通常是Android等操作系统）并存的运行环境，并且给Rich OS提供安全服务。它具有其自身的执行空间，但是TEE的实现，需要依赖于硬件支持，以提供一套安全隔离的可信执行环境。
[0003]然而，对于包括多个域（domain）的复杂SOC（System on Chip，系统级芯片），由于设计缺陷或成本考虑，某些域并不具备TEE的硬件条件，若要满足该域的TEE应用需求，则需要针对该域单独增加硬件，使得SOC的成本过高。

技术实现思路

[0004]本申请实施例提供一种可信执行环境的实现方法、系统级芯片及存储介质，旨在降低SOC的成本。
[0005]一方面，本申请提供一种可信执行环境的实现方法，所述方法应用于系统级芯片，系统级芯片中包括第一域和第二域，第一域中设置有可信执行环境，所述方法包括：第二域中的客户端在获取到针对所述可信执行环境的第二数据请求后，将所述第二数据请求发送至第一域中的服务端；第一域中的服务端在接收到所述第二数据请求后，将所述第二数据请求发送至所述可信执行环境中的目标可信应用，以使目标可信应用基于所述第二数据请求进行数据处理，得到所述第二数据请求的第二响应数据，以及向第一域中的服务端反馈所述第二响应数据；第一域中的服务端在接收到所述第二响应数据后，将所述第二响应数据发送至第二域中的客户端。
[0006]另一方面，本申请还提供一种系统级芯片，所述系统级芯片用于执行以实现上述中任一项所述的可信执行环境的实现方法中的步骤。
[0007]另一方面，本申请还提供一种存储介质，其上存储有计算机程序，所述计算机程序被处理器进行加载，以执行上述中任一项所述的可信执行环境的实现方法中的步骤。
[0008]本申请实施例提供的可信执行环境的实现方法、系统级芯片及存储介质，方法应用于系统级芯片，系统级芯片中包括第一域和第二域，第一域中设置有可信执行环境，方法包括：第二域中的客户端在获取到针对可信执行环境的第二数据请求后，将第二数据请求发送至第一域中的服务端；第一域中的服务端在接收到第二数据请求后，将第二数据请求发送至可信执行环境中的目标可信应用，以使目标可信应用基于第二数据请求进行数据处理，得到第二数据请求的第二响应数据，以及向第一域中的服务端反馈第二响应数据；第一
域中的服务端在接收到第二响应数据后，将第二响应数据发送至第二域中的客户端。本申请实施例通过将第二域中针对TEE的数据请求发送至第一域，从而在第一域的TEE中对该数据请求进行数据处理，使得不具备TEE条件第二域，可以通过具有TEE的第一域来实现TEE功能，而无需针对第二域单独增加硬件，降低了SOC的成本。
附图说明
[0009]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0010]图1是本申请实施例中提供的可信执行环境的实现方法的一个应用场景示意图；图2是本申请实施例中提供的可信执行环境的实现方法的另一应用场景示意图；图3是本申请实施例中提供的可信执行环境的实现方法的又一流程示意图；图4是本申请实施例中提供的可信执行环境的实现方法的再一流程示意图；图5是本申请实施例中提供的可信执行环境的实现方法的又一流程示意图。
具体实施方式
[0011]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0012]在本申请的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个所述特征。在本申请的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
[0013]在本申请中，“示例性”一词用来表示“用作例子、例证或说明”。本申请中被描述为“示例性”的任何实施例不一定被解释为比其它实施例更优选或更具优势。为了使本领域任何技术人员能够实现和使用本申请，给出了以下描述。在以下描述中，为了解释的目的而列出了细节。应当明白的是，本领域普通技术人员可以认识到，在不使用这些特定细节的情况下也可以实现本申请。在其它实例中，不会对公知的结构和过程进行详细阐述，以避免不必要的细节使本申请的描述变得晦涩。因此，本申请并非旨在限于所示的实施例，而是与符合本申请所公开的原理和特征的最广范围相一致。
[0014]需要说明的是，本申请实施例方法由于是在系统级芯片中执行，各系统级芯片的处理对象均以数据或信息的形式存在，例如时间，实质为时间信息，可以理解的是，后续实施例中若提及数量、位置等，均为对应的数据存在，以便系统级芯片进行处理，具体此处不作赘述。
[0015]本申请实施例提供一种可信执行环境的实现方法、系统级芯片及存储介质，以下分别进行详细说明。
[0016]第一方面，如图1所示，图1为本申请实施例中提供的可信执行环境的实现方法的
一个应用场景示意图。
[0017]在图1中，可信执行环境的实现方法应用于系统级芯片（也即片上系统），系统级芯片中设置有多个不同的域（domain），在本申请的实施例中，以多个不同的域包括第一域和第二域进行示例说明，例如第一域可以是AP（application processor，安卓娱乐域），第二域可以是CP（cluster processor，仪表座舱域），当然，也可以是功能安全域、信息安全域等，在此不作限定。
[0018]如图1所示，第一域中设置有可信执行环境（Trusted Execution Environment，TEE）。具体地，第一域中具备实现TEE的硬件条件，例如，第一域中设置有用于实现TEE的处理器核心（CPU core）、总线、缓存（cache）、内存，外设等硬件，这些硬件专门用于TEE，以形成TEE的安全隔离的独立执行空间，即可信执行空间（Trustzone），提高TEE的安全性。
[0019]第二域中未设置有TEE。具体地，第二域中不具备实现TEE的硬件条件，例如第二域中未设置有用于实现TEE的单独的总线，因此无法在第二域中设置TEE。
[0020]图1所示的应用场景旨在对未设置有TEE的第二域实现TEE功能，TE本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种可信执行环境的实现方法，其特征在于，所述方法应用于系统级芯片，系统级芯片中包括第一域和第二域，第一域中设置有可信执行环境，所述方法包括：第二域中的客户端在获取到针对所述可信执行环境的第二数据请求后，将所述第二数据请求发送至第一域中的服务端；第一域中的服务端在接收到所述第二数据请求后，将所述第二数据请求发送至所述可信执行环境中的目标可信应用，以使目标可信应用基于所述第二数据请求进行数据处理，得到所述第二数据请求的第二响应数据，以及向第一域中的服务端反馈所述第二响应数据；第一域中的服务端在接收到所述第二响应数据后，将所述第二响应数据发送至第二域中的客户端。2.如权利要求1所述的可信执行环境的实现方法，其特征在于，所述第二域中的客户端在获取到针对所述可信执行环境的第二数据请求后，将所述第二数据请求发送至第一域中的服务端，包括：第二域中的客户端在获取到针对所述可信执行环境的第二数据请求后，将所述第二数据请求存储至第二域与第一域之间的共享内存，共享内存设置有用于仅供第二域和第一域中的数据通过的防火墙；第一域的操作系统从共享内存获取所述第二数据请求，基于所述第二数据请求中的API接口信息，调用第一域中的服务端的API接口，以将所述第二数据请求发送至第一域中的服务端。3.如权利要求1所述的可信执行环境的实现方法，其特征在于，所述方法还包括：第一域中的服务端在接收到目标可信应用反馈的响应数据后，确定所述响应数据的目的端；在目的端为第二域中的客户端时，确定所述响应数据为所述第二响应数据，执行所述第一域中的服务端在接收到所述第二响应数据后，将所述第二响应数据发送至第二域中的客户端的步骤。4.如权利要求3所述的可信执行环境的实现方法，其特征在于，所述方法还包括：第一域中的客户端在接收到针对所述可信执行环境的第一数据请求后，将所述第一数据请求发送至第一域中的服务端；第一域中的服务端在接收到所述第一数据请求后，将所述第一数据请求发送至所述可信执行环境中的目标可信应用，以使目标可信应用基于所述第一数据请求进行数据处理，得到所述第一数据请求的第一响应数据，以及向第一域中的服务端反馈所述第一响应数据；第一域中的服务端在接收到所述第一响应数据后，将所述第一响应数据发送至第一域中的客户端；所述第一域中的服务端在接收到目标可信应用反馈的响应数据后，确定所述响应数据的目的端之后，还包括：在目的端为第一域中的客户端时，确定所述响应数据为第一响应数据，执行所述第一域中的服务端在接收到所述第一响应数据后，将所述第一响应数据发送至第一域中的客户端的步...

【专利技术属性】
技术研发人员：于永庆，赵健，靳慧杰，
申请(专利权)人：湖北芯擎科技有限公司，
类型：发明
国别省市：