[发明专利]面向可信执行环境的虚拟化系统、方法和设备调用方法

说明书

本发明提供了面向可信执行环境的虚拟化系统、方法和设备调用方法，该系统包括：驱动虚拟主机，运行在可信执行环境TEE中，用于在可信执行环境TEE内部复用通用驱动框架开发的共享设备驱动，以在可信执行环境TEE中提供共享驱动服务；至少一个驱动半虚拟化模块，运行在富执行环境REE中和/或可执行环境TEE中的TEE虚拟机中，用于调用驱动虚拟主机提供的共享驱动服务，并基于共享驱动服务在富执行环境REE中和/或TEE虚拟机中提供对应的设备驱动服务。利用上述系统和方法，能够避免重复开发相关设备驱动，降低驱动开发复杂度，减小驱动开发成本。

技术领域

本发明属于操作系统领域，具体涉及一种面向可信执行环境的虚拟化系统及方法。

背景技术

本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

可信执行环境TEE(Trusted Execution Environment)技术能够为诸如移动电话等智能终端提供受到硬件隔离保护的可信执行环境/操作系统。

当前，TEE技术已经在智能手机上普及，并逐步从手机向汽车电子、行业终端等领域拓展。TEE所覆盖的行业生态和设备种类变得越来越多样化，多个业务方TEE如何在一个设备上安全共存变得越来越重要，基于虚拟化技术的多TEE虚拟机解决方案能够很好地解决上述需求。

现有技术中，采用半虚拟化方案，参见图1，其针对多TEE操作系统(TEE OS)在同一设备共存的需求，采用半虚拟化的方法在一个硬件隔离环境同时运行多个TEE OS，TEE虚拟机设备驱动(如GPU、摄像头、LCD等)，通过半虚拟化模块调用TEE OS提供的设备驱动完成相关设备操作。然而，现有半虚拟化方案中，设备驱动位于TEE OS中，TEE虚拟机通过半虚拟化模块调用TEE OS提供的设备驱动完成相关设备操作，由于硬件和芯片厂商提供的驱动参考实现主要是针对类Linux系统，而TEE平台驱动架构与类Linux系统存在较大差异，对于复杂度较高的设备(如GPU、摄像头、LCD等)，在TEE平台开发该类设备驱动的工作量非常大，极大地影响了该方案的落地推广。

发明内容

针对上述现有技术中存在的问题，提出了一种面向可信执行环境的虚拟化系统及方法，利用这种系统及方法，能够解决上述问题。

本发明提供了以下方案。

第一方面，提供一种面向可信执行环境的虚拟化系统，其特征在于，系统包括：驱动虚拟主机，运行在可信执行环境TEE中，用于在可信执行环境TEE内部复用通用驱动框架开发的共享设备驱动，以在可信执行环境TEE中提供共享驱动服务；至少一个驱动半虚拟化模块，运行在富执行环境REE中和/或可执行环境TEE中的TEE虚拟机中，用于调用驱动虚拟主机提供的共享驱动服务，并基于共享驱动服务在富执行环境REE中和/或TEE虚拟机中提供对应的设备驱动服务。

一些可能的实施方式中虚拟化实现系统，还包括：虚拟机安全通信模块，运行在可信执行环境TEE的操作系统中，用于为运行在TEE虚拟机中虚拟驱动主机和驱动半虚拟化模块提供安全通信服务。

一些可能的实施方式中驱动虚拟主机，还包括：驱动框架层，用于提供兼容通用驱动框架的设备驱动基础服务，以支撑基于通用驱动框架开发的共享设备驱动的基础运行环境；共享设备驱动实现层，用于完成基于通用驱动框架开发的共享设备的驱动实现；共享设备驱动服务层，用于基于共享设备驱动实现层提供的针对共享设备的功能为驱动半虚拟化模块提供共享驱动服务。

一些可能的实施方式中驱动半虚拟化模块,还包括:设备驱动实现层，用于调用共享设备驱动服务层提供的共享驱动服务，基于共享驱动服务为富执行环境REE和/或TEE虚拟机中的对应设备提供基础功能支撑，以完成对应设备的驱动实现；设备驱动服务层，用于基于设备驱动实现层提供的对应设备的功能服务，向富执行环境REE和/或TEE虚拟机提供对应的设备驱动服务。