[发明专利]一种TEE系统与REE系统配合以实现服务的方法及终端设备

说明书

本发明实施例中公开了TEE系统与REE系统配合以实现服务的方法及一种终端设备。该方法包括：当TEE系统需要REE系统对其上所运行的第一可信应用TA的服务支持时，TEE系统控制用于运行所述第一可信应用程序TA的虚拟机暂停，并保存所述虚拟机的当前状态信息；TEE系统向REE系统发送第一可信应用TA的服务支持请求，REE系统接收服务支持请求并处理，将处理结果发回到TEE系统；TEE系统接收处理结果，根据所保存的虚拟机的当前设备状态信息，恢复虚拟机的运行，并根据收到的处理结果继续执行可信应用的后续程序。通过该方案，TEE系统需要REE系统提供服务支持时，可以不再依赖REE侧的Listener程序，降低了REE的改造难度，且应用开发者在开发上层应用时，无需关心TEE系统服务的实现细节。

技术领域

本发明涉及可信执行环境TEE技术领域，具体涉及一种TEE系统与REE系统配合以实现服务的方法及终端设备。

背景技术

伴随着终端智能化的快速发展，移动终端越来越多的涉及商业秘密和个人隐私等敏感信息，移动终端也面临各种安全威胁。为了打造更安全的智能终端，TEE(Trustedexecution environment，可信执行环境)技术应运而生，TEE创建了一个新的可信任环境，主要应用于安全智能设备，安全支付等领域，在此环境下可以运行涉及敏感资料的应用，TEE是一个独立的运行环境，它与REE(Rich Execution Environment，一般指通用的操作系统)隔离开，它的优势就是将不安全部件的运行与安全部件的运行分离开来，在REE操作系统中执行的攻击或操作系统中运行的应用无法抵达TEE中受保护的软件和数据。

在TEE应用中，由于资源的限制，TEE系统服务可使用的资源有限，或者系统服务的功能有限，当TEE系统没有所需的服务，而又要求服务程序必须在TEE系统中运行时，就需要TEE系统向REE系统申请服务资源，包括服务数据、设备驱动等；当TEE系统服务功能不完整，需要REE系统提供部分功能与之配合时，就需要TEE系统在服务程序执行过程中向REE系统申请部分服务资源，包括服务数据、设备驱动、服务程序等；当TEE系统服务不能单独工作，需要REE系统配合工作时，就需要TEE系统在服务程序执行过程中向REE系统申请相配合的服务，包括设备驱动、服务程序等。

目前，TEE系统服务需要REE侧提供服务支持时，是通过REE侧的监听程序(Listener)来完成TEE侧的请求的，当TEE系统需要REE系统提供服务支持时，TEE系统服务的API(TEE Internal API)会向REE侧的Listener发送特定请求，然后由Listener为TEE代理服务支持。当完成服务支持程序后，Listener向TEE返回处理结果，此时，TEE系统服务API得以返回，用户TA程序得以继续运行。但是该方案的实现依赖于REE侧的监听程序Listener，需要预先在REE侧注册相应的Listener，即需要对REE侧进行改造，具有较大的改造难度。

发明内容

针对现有技术中存在的缺陷，本发明实施例的目的在于提供一种能够克服上述问题或者至少能够部分地解决上述问题的一种TEE系统与REE系统之间的通信方法及一种终端设备。

为实现上述目的，本发明的一个实施例中提供了一种TEE系统与REE系统配合以实现服务的方法，适用于终端设备，所述终端设备支持丰富执行环境REE系统和可信执行环境TEE系统；所述方法包括：

当TEE系统需要REE系统对其上所运行的第一可信应用TA的服务支持时，TEE系统控制用于运行所述第一可信应用程序TA的虚拟机暂停，并保存所述虚拟机的当前状态信息；

TEE系统向REE系统发送所述第一可信应用TA的服务支持请求；所述服务支持请求包括所述第一可信应用TA所需要的服务支持的相关数据信息；

REE系统接收所述服务支持请求并处理，将处理结果发回到TEE系统；