[发明专利]面向可信执行环境的系统调用处理方法及装置

权利要求书

1.一种面向可信执行环境的系统调用处理方法，包括：

接收运行在可信执行环境中的应用程序发起的系统调用请求；其中，所述系统调用请求用于请求向目标文件写入业务数据，或者用于请求从目标文件中读取业务数据；

向可信执行环境外的共享内存区域写入所述系统调用请求，以及向存储在可信执行环境外的IO请求队列写入IO请求事件；其中，所述IO请求事件包括所述系统调用请求在所述共享内存区域中的第一地址以及所述共享内存区域中用于存储业务数据的第二地址，使系统内核根据所述IO请求事件处理所述系统调用请求，并向存储在可信执行环境外的IO完成队列写入IO完成事件，所述IO完成事件包括系统内核对所述IO请求的处理结果；

至少向所述应用程序提供所述IO完成事件中的所述处理结果。

2.根据权利要求1所述的方法，其中，所述系统调用请求用于请求向目标文件写入业务数据时，所述方法还包括：根据所述系统调用请求向所述共享内存区域的所述第二地址写入业务数据；其中，所述系统内核具体用于根据所述IO请求事件从所述共享内存区域的所述第一地址读取所述系统调用请求，以及从所述第二地址读取所述业务数据，并根据所述系统调用请求向目标文件写入所述业务数据。

3.根据权利要求1所述的方法，其中，所述系统调用请求用于请求从目标文件中读取业务数据时，所述系统内核具体用于根据所述IO请求事件从所述共享内存区域的所述第一地址读取所述系统调用请求，根据所述系统调用请求从目标文件中读取业务数据，并根据所述第二地址向所述共享内存区域中写入所述业务数据；

所述方法还包括：向所述应用程序提供所述共享内存区域中的所述业务数据。

4.根据权利要求1所述的方法，其中，还包括：

生成所述系统调用请求的唯一标识；其中，所述IO请求事件和所述IO完成事件还包括所述唯一标识；

根据所述唯一标识在所述IO完成队列中轮询所述IO完成事件。

5.根据权利要求1所述的方法，其中，接收运行在可信执行环境中的应用程序发起的系统调用请求之前，还包括：通过运行在可信执行环境外的业务程序，初始化所述IO请求队列、所述IO完成队列以及所述共享内存区域，并触发系统内核启动用于轮询所述IO请求队列的轮询线程。

6.根据权利要求5所述的方法，其中，还包括：通过运行在可信执行环境外的业务程序，获取用于访问所述IO请求队列、所述IO完成队列以及所述共享内存区域的配置信息。

7.根据权利要求1所述的方法，其中，所述向存储在可信执行环境外的IO请求队列写入IO请求事件，具体包括：获取用于访问存储在可信执行环境外的IO请求队列的线程锁，通过该线程锁向所述IO请求队列写入所述IO请求事件。

8.根据权利要求1至7中任一所述的方法，其中，所述系统调用请求的类型以下各种类型中的任意一种：read、write、readv、writev、fsync、poll、send_msg、recv_msg、openat、close、accept、connect、epoll_ctl、send以及recv。

9.一种面向可信执行环境的系统调用处理装置，包括：

请求接收单元，用于接收运行在可信执行环境中的应用程序发起的系统调用请求；其中，所述系统调用请求用于请求向目标文件写入业务数据，或者用于请求从目标文件中读取业务数据；

数据写入单元，用于向可信执行环境外的共享内存区域写入所述系统调用请求，以及向存储在可信执行环境外的IO请求队列写入IO请求事件；其中，所述IO请求事件包括所述系统调用请求在所述共享内存区域中的第一地址以及所述共享内存区域中用于存储业务数据的第二地址，使系统内核根据所述IO请求事件处理所述系统调用请求，并向存储在可信执行环境外的IO完成队列写入IO完成事件，所述IO完成事件包括系统内核对所述IO请求的处理结果；

数据提供单元，用于至少向所述应用程序提供所述IO完成事件中的所述处理结果。