[发明专利]基于信任区的操作系统和方法

权利要求书

1.一种基于信任区的操作系统，其特征在于，所述操作系统应用于终端设备中，所述操作系统包括安全模式子系统，所述安全模式子系统中运行可信执行环境TEE、TEE监控区域和安全切换装置，所述可信执行环境TEE和所述TEE监控区域分别与所述安全切换装置连接；

所述可信执行环境TEE，用于在接收到所述可信执行环境TEE中的可信应用TA发送的第一敏感操作请求后，将所述第一敏感操作请求对应的第一敏感指令标识和所述第一敏感操作请求的第一操作参数存储到通用寄存器中，并向所述安全切换装置发送携带有第一切换标识的第一切换请求，所述第一切换标识用于标识需要将所述安全模式子系统的运行环境由所述可信执行环境TEE切换至所述TEE监控区域；

所述安全切换装置，用于接收所述第一切换请求，根据所述第一切换请求将所述安全模式子系统的运行环境由所述可信执行环境TEE切换至所述TEE监控区域；

所述TEE监控区域，用于存储所述操作系统中的敏感指令，在所述安全模式子系统的运行环境由所述可信执行环境TEE切换至所述TEE监控区域之后，从所述通用寄存器中读取所述第一敏感指令标识和所述第一操作参数，根据所述第一敏感指令标识调用对应的第一敏感指令，通过所调用的第一敏感指令和所述第一操作参数执行相应的第一敏感操作。

2.根据权利要求1所述的操作系统，其特征在于，所述可信执行环境TEE，具体用于：

根据所述第一敏感操作请求在预配置的敏感指令标识表中，查找所述第一敏感操作请求所对应的第一敏感指令标识；

其中，所述敏感指令标识表用于存储敏感操作与敏感指令标识的对应关系。

3.根据权利要求1所述的操作系统，其特征在于，所述安全切换装置，具体用于：

获取所述TEE监控区域的第一上下文信息，加载所述第一上下文信息；

若第二上下文信息与所述第一上下文信息相同，则确定所述可信执行环境TEE与监控环境之间的切换环境安全，所述第二上下文信息为所述第一上下文信息加载后的、与所述第一上下文信息对应的信息。

4.根据权利要求3所述的操作系统，其特征在于，若所述第二上下文信息与所述第一上下信息不相同，所述安全切换装置还用于：

退出将所述安全模式子系统的运行环境由所述可信执行环境TEE切换至所述TEE监控区域的操作。

5.根据权利要求1至4中任一项所述的操作系统，其特征在于，所述TEE监控区域在通过所调用的第一敏感指令和所述第一操作参数执行相应的第一敏感操作之前，还用于：

按照预配置的安全检查策略对所述第一敏感操作进行安全检查，确定所述第一敏感操作通过所述安全检查。

6.根据权利要求1至4中任一项所述的操作系统，其特征在于，

所述安全切换装置，还用于在接收到所述第一切换请求之后，保存所述可信执行环境TEE的TEE上下文信息；

所述TEE监控区域，还用于在所述第一敏感操作执行完毕后，将所述第一敏感操作的第一操作结果存储到所述通用寄存器，并向所述安全切换装置发送携带有第二切换标识的第二切换请求，所述第二切换标识用于标识需要将运行环境由所述TEE监控区域切换至所述可信执行环境TEE；

所述安全切换装置，还用于接收所述第二切换请求，根据所述第二切换请求和所述TEE上下文信息将所述安全模式子系统的运行环境由所述TEE监控区域切换至所述可信执行环境TEE；

所述可信执行环境TEE，还用于在所述安全模式子系统的运行环境由所述TEE监控区域切换至所述可信执行环境TEE之后，从所述通用寄存器中读取所述第一操作结果。

7.根据权利要求1至4中任一项所述的操作系统，其特征在于，

所述TEE监控区域，还用于在所述可信执行环境TEE的代码加载阶段，对所加载的所述可信执行环境TEE的代码进行敏感指令检查，确定所述所加载的所述可信执行环境TEE的代码中不存在敏感指令。