[发明专利]计算机系统、服务处理方法、可读存储介质及芯片

说明书

本申请实施例提供一种计算机系统、服务处理方法、可读存储介质及芯片，其中，通过在计算机系统中设置轻量级的权限管理寄存器，并通过权限管理寄存器以及中断状态寄存器共同管理目标存储空间的访问权限，使对目标存储空间的访问只能够在特定的安全模式(例如TEE)实现，从而搭建了安全性较高的TEE。且本申请实施例提供的计算机系统可以应用于各种芯片架构中，设计较为简单，通用性较高，且权限管理寄存器的成本较低，在实现可靠的安全访问环境的同时有效降低了芯片成本。

技术领域

本申请实施例涉及计算机技术领域，尤其涉及一种计算机系统、服务处理方法、可读存储介质及芯片。

背景技术

物联网(the internet of things，IoT)，即“万物相连的互联网”，是在互联网基础上延伸和扩展的网络，通过将各种信息传感设备与互联网结合起来形成的一个巨大网络，从而实现在任何时间、任何地点、人、机以及物的互联互通。随着通信技术的不断发展，物联网已迅速广泛应用至各行各业，例如，智慧城市、农业领域等等。然而，“事物”之间的互联互通在营造活跃的环境的同时，也带来了一系列安全问题。

针对设备的安全问题，可信执行环境(trusted execution environment，TEE)的概念被提出。具体地，TEE是与设备上的非可信执行环境，例如富执行环境(rich executionenvironment，TEE)，并存的运行环境，TEE和REE中通常各自运行一套操作系统，这两套操作系统上又可以各自运行不同的应用。TEE的应用能够为REE的应用提供安全服务，例如，在TEE环境下可进行移动支付服务、敏感数据保护、安全认证等等。然而，目前在实现TEE时需要引入过高的芯片成本，无法满足设备低成本、高性能的需求。

发明内容

本申请实施例提供一种计算机系统、服务处理方法、可读存储介质及芯片，以实现安全性较高的可信执行环境，且同时降低芯片成本。

第一方面，本申请实施例提供一种计算机系统，包括：中断状态寄存器、权限管理寄存器、处理器以及目标存储空间。其中，所述计算机系统调用目标服务。该目标服务位于TEE中。调用目标服务的调用者通常位于REE中。所述处理器用于根据所述目标服务触发的第一中断配置所述中断状态寄存器中所述第一中断对应的标志位为第一中断标志，以及配置所述权限管理寄存器中所述第一中断对应的标志位为第一调用标志；其中，所述第一中断标志和所述第一调用标志共同指示是否允许访问所述目标存储空间；所述处理器用于根据所述第一中断标志和所述第一调用标志，确定是否允许所述处理器访问所述目标存储空间，以及用于确定允许所述处理器访问所述目标存储空间时，在安全模式获取所述目标存储空间的第一信息；所述处理器还用于根据所述第一信息执行所述目标服务。

本申请实施例通过在服务处理系统中设置轻量级的权限管理寄存器，并通过权限管理寄存器以及中断状态寄存器管理目标存储空间的访问权限，使对目标存储空间的访问只能够在特定的安全模式(例如TEE)下实现，从而搭建了安全性较高的可信执行环境。且本申请实施例提供的服务处理系统可以应用于各种芯片架构中，设计较为简单，通用性较高，且权限管理寄存器的成本较低，在实现可靠的安全访问环境的同时有效降低了芯片成本。

在一些实现方式中，所述第一中断标志和所述第一调用标志用于指示是否允许访问所述目标存储空间，包括：若所述第一中断标志和所述第一调用标志均指示允许所述处理器访问所述目标存储空间，则允许所述处理器访问所述目标存储空间；若所述第一中断标志或所述第一调用标志指示不允许所述处理器访问所述目标存储空间，则不允许所述处理器访问所述目标存储空间。

本申请实施例，采用两个标志共同控制目标存储空间的访问权限，设计简单，在实现可靠的安全访问环境的同时有效降低了芯片成本。

在一些实现方式中，所述第一中断为不可屏蔽(non maskable interrupt，NMI)中断。

在一些实现方式中，所述处理器具体用于根据所述第一中断的优先级，配置所述第一调用标志。