[发明专利]面向可信执行环境的虚拟化系统、方法和设备调用方法

权利要求书

1.一种面向可信执行环境的虚拟化系统，其特征在于，所述系统包括：

驱动虚拟主机，运行在可信执行环境TEE中，用于在所述可信执行环境TEE内部复用通用驱动框架开发的共享设备驱动，以在所述可信执行环境TEE中提供共享驱动服务；

至少一个驱动半虚拟化模块，运行在富执行环境REE中和/或所述可执行环境TEE中的TEE虚拟机中，用于调用所述驱动虚拟主机提供的所述共享驱动服务，并基于所述共享驱动服务在所述富执行环境REE中和/或所述TEE虚拟机中提供对应的设备驱动服务。

2.根据权利要求1所述的系统，其特征在于，所述虚拟化实现系统，还包括：

虚拟机安全通信模块，运行在所述可信执行环境TEE的操作系统中，用于为运行在所述TEE虚拟机中所述虚拟驱动主机和所述驱动半虚拟化模块提供安全通信服务。

3.根据权利要求1所述的系统，其特征在于，所述驱动虚拟主机，还包括：

驱动框架层，用于提供兼容所述通用驱动框架的设备驱动基础服务，以支撑基于所述通用驱动框架开发的共享设备驱动的基础运行环境；

共享设备驱动实现层，用于完成基于所述通用驱动框架开发的共享设备的驱动实现；

共享设备驱动服务层，用于基于所述共享设备驱动实现层提供的针对所述共享设备的功能为所述驱动半虚拟化模块提供所述共享驱动服务。

4.根据权利要求3所述的系统，其特征在于，所述驱动半虚拟化模块,还包括:

设备驱动实现层，用于调用所述共享设备驱动服务层提供的所述共享驱动服务，基于所述共享驱动服务为所述富执行环境REE和/或所述TEE虚拟机中的对应设备提供基础功能支撑，以完成所述对应设备的驱动实现；

设备驱动服务层，用于基于所述设备驱动实现层提供的所述对应设备的功能服务，向所述富执行环境REE和/或所述TEE虚拟机提供所述对应的设备驱动服务。

5.根据权利要求1所述的系统，其特征在于，所述共享驱动服务包括以下中的至少一种：GPU、摄像头、LCD。

6.根据权利要求1所述的系统，其特征在于，所述通用驱动框架为Linux驱动框架或或其他操作系统驱动框架。

7.一种面向可信执行环境的虚拟化方法，其特征在于，应用于如权利要求1-6中任意一项所述的虚拟化实现系统，所述方法包括：

运行在可信执行环境TEE中的驱动虚拟主机在所述可信执行环境TEE内部复用通用驱动框架开发的共享设备驱动，以在所述可信执行环境TEE中提供共享驱动服务；

运行在富执行环境REE中和/或所述可执行环境TEE中的TEE虚拟机中的至少一个驱动半虚拟化模块调用所述驱动虚拟主机提供的所述共享驱动服务，并基于所述共享驱动服务在所述富执行环境REE中和/或所述TEE虚拟机中提供对应的设备驱动服务。

8.根据权利要求7所述的方法，其特征在于，所述方法还包括：

利用运行在所述可信执行环境TEE的操作系统中虚拟机安全通信模块在运行在所述TEE虚拟机中所述虚拟驱动主机和所述驱动半虚拟化模块之间提供安全通信服务。

9.根据权利要求7所述的方法，其特征在于，所述驱动虚拟主机包括驱动框架层、共享设备驱动实现层和共享设备驱动服务层，所述方法还包括：

所述驱动框架层提供兼容所述通用驱动框架的设备驱动基础服务，以支撑基于所述通用驱动框架开发的共享设备驱动的基础运行环境；

所述共享设备驱动实现层执行基于所述通用驱动框架开发的共享设备的驱动实现；

所述共享设备驱动服务层基于所述共享设备驱动实现层提供的针对所述共享设备的功能为所述驱动半虚拟化模块提供所述共享驱动服务。