一种运行可信执行环境的电子设备的制作方法

本发明涉及数据安全领域，尤其涉及一种运行可信执行环境的电子设备。

背景技术：

随着智能手机的快速普及，移动终端的应用越来越丰富，与我们的生活联系也越来越紧密，随之而来的是更加严峻的信息安全挑战，比如恶意应用、隐私窃取、密码盗用及诱骗欺诈等。为了应对这些安全挑战，业内推出了可信执行环境(trustedexecutionenvironment，tee)，tee可以从硬件上提供安全区域和非安全区域的隔离机制，为敏感应用和数据提供可信的执行环境。每个tee对应运行一套安全系统(secureos)，业内对同一移动终端具有多个安全系统有强烈需求。

目前，某些移动终端上不能同时运行多个安全系统，另有一些移动终端上通过软件虚拟机运行多个安全系统，但会降低移动终端的数据安全性。

技术实现要素：

本发明解决的问题是如何提高同时运行多个安全系统的移动终端的安全性。

为解决上述问题，本发明实施例提供了一种运行可信执行环境的电子设备，所述电子设备包括：至少两个系统硬件，耦接于各系统硬件之间的总线，其中：所述总线设置有n位用以传输安全标志位，所述安全标志位适于标识相应的执行环境是否可信，n为自然数，且n＞1。

可选地，所述系统硬件包括：处理器和存储器。

可选地，所述处理器包括n1个相互独立的内核及调度管理器，其中：所述调度管理器，适于根据自身的工作模式，为所述n1个相互独立的内核分配运行环境，且在所述总线上设置与每个内核的运行环境所对应的安全标志位；其中：n1为自然数，n1≥1。

可选地，所述自身的工作模式包括：分时模式及分核模式，所述调度管理器，适于在处于所述分时模式时，为所述n1个相互独立的内核分配相同的运行环境，且在所述总线上设置与所述相同的运行环境所对应的安全标志位；在处于所述分核模式时，为所述n1个相互独立的内核分配各自的运行环境，所述运行环境的类型大于1，且在n1个相互独立的内核中的任意一个占用所述总线时，设置与占用所述总线的内核分配的运行环境所对应的安全标志位。

可选地，所述存储器包括多个相互独立的存储器单元，所述电子设备还包括与所述存储器相应的第一域控制器，所述第一域控制器，耦接于所述总线与所述存储器之间，适于根据所述存储器的主从身份，相应地对所述总线上的安全标志位进行设置。

可选地，所述第一域控制器，适于在所述存储器为主设备时，根据所述主设备所发起的访问设置所述总线上的安全标志位。

可选地，所述第一域控制器，适于在所述存储器为从设备时，读取所述总线上的访问指令及安全标志位，并判断访问是否被允许。

可选地，所述第一域控制器，适于在所述存储器为从设备时，与所述存储器的控制器配合，为运行环境分配地址段。

可选地，所述存储器包括以下至少一种类型：只读存储器、片内随机存取存储器、片外随机存取存储器。

可选地，所述系统硬件还包括：外设接口，所述外设接口包括n2个相互独立的接口，所述外设接口还包括：第二域控制器，适于根据所述外设接口所外接的设备的主从身份，相应地对所述总线上的安全标志位进行设置，n2≥0。

可选地，所述第二域控制器，适于在所述外设接口所外接的设备为从设备时，读取所述总线上的访问指令及安全标志位，并判断访问是否被允许。

可选地，所述第二域控制器，适于在所述外设接口所外接的设备为主设备时，根据所述主设备所发起的访问设置所述总线上的安全标志位。

可选地，所述第二域控制器，适于在所述外设接口所外接的设备为从设备时，与所述外设接口的控制器配合，控制可访问的外设接口。

可选地，所述系统硬件包括：外围辅助单元，所述外围辅助单元包括n3个相互独立的接口，所述外围辅助单元还包括：第三域控制器，适于根据所述外围辅助单元所外接的设备的主从身份，相应地对所述总线上的安全标志位进行设置，n3≥0。

可选地，所述第三域控制器，适于在所述外围辅助单元所外接的设备为从设备时，读取所述总线上的访问指令及安全标志位，并判断访问是否被允许；

可选地，所述第三域控制器，适于在所述外围辅助单元所外接的设备为主设备时，根据所述主设备所发起的访问设置所述总线上的安全标志位。

可选地，所述第三域控制器，适于在所述外围辅助单元所外接的设备为从设备时，与所述外围辅助单元的控制器配合，控制可访问的地址。

与现有技术相比，本发明的技术方案具有以下优点：

通过在总线上设置有n位用以传输适于标识相应的执行环境是否可信的安全标志位，n为自然数，且n＞1，可以区分多个运行环境，相应地可以运行多个安全系统，且避免使用软件虚拟机的技术，可以确保终端硬件系统的安全性，故可以实现同一个移动终端上同时运行多个安全系统，因此，可以提高同时运行多个安全系统的移动终端的安全性。

进一步，通过设置调度管理器，来根据处理器的工作模式，为所述n1个相互独立的内核分配运行环境，且在所述总线上设置与每个内核的运行环境所对应的安全标志位，可以灵活地为处理器中各个独立的内核分配运行环境，可以提高移动终端的配置灵活性。

附图说明

图1是现有技术中的运行可信执行环境的电子设备的结构示意图；

图2是本发明实施例中一种运行可信执行环境的电子设备的结构示意图。

具体实施方式

随着智能手机的快速普及，移动终端的应用越来越丰富，与我们的生活联系也越来越紧密，随之而来的是更加严峻的信息安全挑战，比如恶意应用、隐私窃取、密码盗用及诱骗欺诈等。为了应对这些安全挑战，业内推出了可信执行环境(trustedexecutionenvironment，tee)，tee可以从硬件上提供安全区域和非安全区域的隔离机制，为敏感应用和数据提供可信的执行环境。每个tee对应运行一套安全系统(secureos)，业内对同一移动终端具有多个安全系统有强烈需求。

目前，某些移动终端上不能同时运行多个安全系统，另有一些移动终端上通过软件虚拟机运行多个安全系统，但会降低移动终端的数据安全性。图1是现有技术中的运行可信执行环境的电子设备的结构示意图，所述电子设备包含下面几个部分：处理器11、总线14、只读存储器(rom)12、片内随机存储器(ram)13、片外随机存储器(如ddr)15、flash/emmc16、外设接口17、外围辅助单元18等。处理器11包含n’个核，依次为核1、核2、……、核n’。n’可以根据实际应用场景进行设定，例如，n’＝4；又如，n’＝8。在电子设备上可以运行操作系统和应用软件，引入虚拟机机制可以运行多个操作系统，但其在硬件上并没有互相隔离，所以安全要求高的场合并不能满足要求。

为解决上述问题，本发明实施例中的电子设备通过在总线上设置有n位用以传输适于标识相应的执行环境是否可信的安全标志位，n为自然数，且n＞1，可以区分多个运行环境，相应地可以运行多个安全系统，且避免使用软件虚拟机的技术，可以确保终端硬件系统的安全性，故可以实现同一个移动终端上同时运行多个安全系统，因此，可以提高同时运行多个安全系统的移动终端的安全性。

为使本发明的上述目的、特征和优点能够更为明显易懂，下面结合附图对本发明的具体实施例做详细的说明。

图2示出了本发明实施例中的一种运行可信执行环境的电子设备的结构示意图，下面结合图2对所述电子设备的结构进行详细介绍，所述电子设备包括：至少两个系统硬件，耦接于各系统硬件之间的总线2，其中：

所述总线2设置有n位用以传输安全标志位，所述安全标志位适于标识相应的执行环境是否可信，n为自然数，且n＞1。具体而言，电子设备的系统中增加安全标志位，安全标志位的比特数为n，n可以是大于1的任何自然数，比如n可以是2，3等，下面以安全标志位的比特数n为2对其进行说明。当安全标志位的比特数n＝2的时候，电子设备可以区分四个运行环境，当然，在实际工作时可以运行小于等于四个的运行环境。

比如运行三个环境时，00表示富系统环境(richexecutionenvironment,ree)，譬如说常见的安卓系统环境，01表示tee1，上面运行secureos1；10表示tee2，上面运行secureos2；11处于空闲状态，暂时不用。换言之，也就是总线2在原有基础上增加n位用来传输安全标志位，如原64位总线2扩充为66位，总线上的其中2位比特用于传输安全标志位。可以理解的是，此处的举例只是为了本领域技术人员更好地理解和实现本发明，在具体实施中，根据实际需要，也可以采用其他的映射关系。

在具体实施中，tee是包含智能手机、平板电脑、机顶盒、智能电视等的移动设备上的一个安全区域，它可以保证加载到自身环境内部的代码和数据的安全性、机密性以及完整性。tee提供一个隔离的执行环境，提供的安全特征包含：隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。总体来说，tee提供的执行空间比常见的如ios、android等移动操作系统提供更高级别的安全性，比安全元素(secureelement，se)提供更多的功能。在移动设备上，tee环境与移动os并行存在，为丰富的移动os环境提供安全功能。

现有技术中，某些移动终端上不能同时运行多个安全系统，另有一些移动终端上通过软件虚拟机运行多个安全系统，但是由于引入了软件虚拟机，会很容易受到黑客攻击，并且一旦某一个安全系统受到黑客攻击，整个移动终端系统安全性均会受到威胁。

因此，本发明是实施例中的电子设备通过在总线上设置有n位用以传输适于标识相应的执行环境是否可信的安全标志位，n为自然数，且n＞1，可以区分多个的运行环境，相应地可以运行多个安全系统，且避免使用软件虚拟机的技术，可以确保终端硬件系统的安全性，故可以实现同一个移动终端上同时运行多个安全系统，因此，可以提高同时运行多个安全系统的移动终端的安全性。

需要说明的是，运行环境是指软件或者系统可以运行的环境，包括tee及非可信运行环境。

在具体实施中，所述系统硬件可以包括：处理器1和存储器等多种部件。

为了提高电子设备执行环境配置的灵活性，在具体实施中，所述处理器1可以包括n1个相互独立的内核及调度管理器21，其中：n1个相互独立的内核依次为核1、核2、……、核n1。所述调度管理器21，适于根据自身的工作模式，为所述n1个相互独立的内核分配运行环境，且在所述总线2上设置与每个内核的运行环境所对应的安全标志位；其中：n1为自然数，n1≥1。

具体而言，所述自身的工作模式可以包括：分时模式及分核模式。当处理器1处于所述分时模式时，所述调度管理器21，可以为所述n1个相互独立的内核分配相同的运行环境，且在所述总线2上设置与所述相同的运行环境所对应的安全标志位。在分核模式下，调度管理器21可以分配不同的核到不同的运行环境，并在其占用总线2时自动置位安全标志位。

如果处理器1处于所述分核模式时，所述调度管理器21还可以为所述n1个相互独立的内核分配各自的运行环境，所述运行环境的类型大于1，且在n1个相互独立的内核中的任意一个占用所述总线2时，设置与占用所述总线2的内核分配的运行环境所对应的安全标志位。

换言之，就是处理器1内增加设置调度管理器21，调度管理器21可以工作在两种模式：分时模式和分核模式。在分时模式下，调度管理器21可以通过指令切换所有内核工作在指定的运行环境，并向总线2发出相应的安全标志位。比如如果指令要求切换到tee1，处理器1就切换到tee1模式，其拥有自己的快速缓冲贮存区(cache)，并置位总线2的安全标志位为01。如果指令要求切换到ree，处理器1就切换到ree模式，其也拥有自己的cache，并置位总线2的安全标志位为00。

在分核模式下，调度管理器21可以分配不同的核到不同的运行环境，并在其占用总线2时自动置位安全标志位。比如如果核1分配给tee1，核2分配给tee2，其余核分配给ree，核1占用总线2的时候自动置位安全标志位为01，核2占用总线2的时候自动置位安全标志位为10，其余核占用总线2的时候自动置位安全标志位为00。

在具体实施中，所述存储器可以包括多个相互独立的存储器单元，每个存储器单元内部还可以划分为多个相互独立的地址段。所述电子设备还包括与所述存储器相应的第一域控制器，所述第一域控制器，耦接于所述总线2与所述存储器之间，适于根据所述存储器的主从身份，相应地对所述总线2上的安全标志位进行设置。

在本发明一实施例中，当所述存储器为主设备时，所述第一域控制器，可以根据所述主设备所发起的访问设置所述总线2上的安全标志位。

在本发明一实施例中，所述第一域控制器，适于在所述存储器为从设备时，读取所述总线2上的访问指令及安全标志位，并判断访问是否被允许。

在本发明一实施例中，所述第一域控制器，适于在所述存储器为从设备时，与所述存储器的控制器配合，为运行环境分配地址段。

在具体实施中，根据需要，可以将上述多个实施例中的所述第一域控制器结合使用。

在具体实施中，所述存储器可以包括以下至少一种类型：只读存储器31、片内随机存取存储器32、片外随机存取存储器33、flash/emmc34。其中：只读存储器31包括n4个相互独立的地址段，n4个相互独立的地址段依次为rom1、rom2、……、romn4。片内随机存取存储器32包括n5个相互独立的地址段，n5个相互独立的地址段依次为ram1、ram2、…….、ramn5。片外随机存取存储器33包括n6个相互独立的地址段，n6个相互独立的地址段依次为ddr1、ddr2、…….、ddrn6。flash/emmc34包括n7个相互独立的地址段，n7个相互独立的地址段依次为flash1、flash2、…….、flashn7。本领域技术人员根据实际需要，可以设置其他类型的存储器。并且，每个存储器对应一个域处理器，比如只读存储器31相对应的域处理器为域控制器311、片内随机存取存储器32相对应的域处理器为域控制器321、片外随机存取存储器33相对应的域处理器为域控制器331、flash/emmc34相对应的域处理器为域控制器341。

在具体实施中，所述系统硬件还包括：外设接口4，所述外设接口4包括n2个相互独立的接口，所述外设接口4还包括：第二域控制器41，适于根据所述外设接口4所外接的设备的主从身份，相应地对所述总线2上的安全标志位进行设置，n2≥0。

在本发明一实施例中，所述第二域控制器41，适于在所述外设接口4所外接的设备为从设备时，读取所述总线2上的访问指令及安全标志位，并判断访问是否被允许。

在本发明一实施例中，所述第二域控制器41，适于在所述外设接口4所外接的设备为主设备时，根据所述主设备所发起的访问设置所述总线2上的安全标志位。

在本发明一实施例中，所述第二域控制器41，适于在所述外设接口所外接的设备为从设备时，与所述外设接口4的控制器配合，控制可访问的外设接口。换言之，即为控制哪些外设接口是否可以访问，哪些外设接口不可以访问。

在具体实施中，根据需要，可以将上述多个实施例中的所述第二域控制器41结合使用。

在本发明一实施例中，所述系统硬件包括：外围辅助单元5，所述外围辅助单元5包括n3个相互独立的接口，所述外围辅助单元5还包括：第三域控制器51，适于根据所述外围辅助单元5所外接的设备的主从身份，相应地对所述总线2上的安全标志位进行设置，n3≥0。

在本发明一实施例中，所述第三域控制器51，适于在所述外围辅助单元5所外接的设备为从设备时，读取所述总线2上的访问指令及安全标志位，并判断访问是否被允许；还适于在所述外围辅助单元5所外接的设备为主设备时，根据所述主设备所发起的访问设置所述总线2上的安全标志位。

在本发明一实施例中，所述第三域控制器51，适于在所述外围辅助单元5所外接的设备为从设备时，与所述外围辅助单元5的控制器配合，控制可访问的地址，换言之，即是控制哪些地址段是可以访问的，哪些地址是不可以访问的。

在具体实施中，根据需要，可以将上述多个实施例中的所述第三域控制器51结合使用。

总而言之，各种外围模块和总线之间可以增加设置域控制器，对于从设备，域控制器可以根据总线传输过来的安全标志位来控制访问是否被允许，访问还可以细分可读和可写。域控制器还可以与存储器件的控制器配合，划分不同的地址段给不同的运行环境，譬如分配地址段0～100m给tee1，分配地址段100～200m给tee2等。

对于主设备，域控制器可以配置发起带安全标志位的访问，这样这些主设备发起的访问也能让总线发出相应的安全标志位，具体的安全标志位可以通过软件配置或固定设置。

虽然本发明披露如上，但本发明并非限定于此。任何本领域技术人员，在不脱离本发明的精神和范围内，均可作各种更动与修改，因此本发明的保护范围应当以权利要求所限定的范围为准。