必须事先以全局变量的形式声明出来,这些变量可以在直接在TEE模块中声明,也可以在CA中声明,再注册到TEE模块中;具体来说,所注册的全局变量包括:TEEC_ConteXt、TEEC_Sess1n、TEEC_SharedMemory、TEEC_TempMemoryReference、TEEC_0perat1n、TEEC_Parameter 和 TEEC_Value ;上述全局变量都是 GlobalPlatform TEE Client API 规范、GlobalPlatform TEE Internal API规范中定义的变量,是公知常识。
[0028]2、变量赋值语句
[0029]TEE访问模块在调用TEE客户端API之前,要指定作为函数参数的变量,即指定作为参数的变量,并给参数赋值。
[0030]3、调用TEE客户端API语句
[0031]该语句用于实现TEE客户端API的调用,包括用于建立CA与TA连接的TEEC_OpenSess1n语句、用于触发TA执行的TEEC_InvokeCommand语句以及用于关闭CA与TA连接的 TEEC_CloseSess1n 语句。这些语句都是 GlobalPlatform TEE Client API 规范、GlobalPlatform TEE Internal API规范中定义的语句,是公知常识。
[0032]所述TEE访问模块用于解析CA行为脚本、识别CA行为脚本的指定行为;当CA运行到需要访问TEE中的TA时,CA读取CA行为脚本,并将该CA行为脚本的内容传递给TEE访问模块;TEE访问模块对接收到的CA行为脚本进行解析,识别CA行为脚本的指定行为,并按照CA行为脚本的指定行为去访问TEE中的TA。
[0033]参见图2所示,本发明实施例提供一种访问可信执行环境、可信应用的方法,包括以下步骤:
[0034]S1、根据需求确定CA调用TA的流程,开发或修改CA,并将该CA部署到REE中;根据需求确定TA的功能,开发TA,并将该TA部署到TEE中。
[0035]S2、创建用于解析CA行为脚本、识别指定行为的TEE访问模块,并将该TEE访问模块部署到REE中。
[0036]其中,步骤S2中所述将TEE访问模块部署到REE中的具体过程为:将TEE访问模块内置于CA中;或TEE访问模块独立运行于CA外,提供接口供CA调用。
[0037]S3、根据CA访问TA的流程,编写用于描述CA访问需求、指定CA访问行为的CA行为脚本,并将该CA行为脚本存储于CA能访问到的介质上;根据所编写的CA行为脚本。
[0038]其中,步骤S3中所述将CA行为脚本存储到CA访问的介质的具体过程为:将CA行为脚本存储到CA访问的REE的存储介质;或将CA行为脚本存储到CA通过接口访问的外部设备;或将CA行为脚本直接加载到CA内部。
[0039]S4、在REE中启动CA ;当CA运行到需要访问TEE中的TA时,CA读取CA行为脚本,并将该CA行为脚本的内容传递给TEE访问模块;TEE访问模块对接收到的CA行为脚本进行解析,识别CA行为脚本的指定行为,并按照CA行为脚本的指定行为去访问TEE中的TA。
[0040]本发明不局限于上述实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围之内。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
【主权项】
1.一种访问可信执行环境、可信应用的系统,包括富执行环境REE和可信执行环境TEE,所述REE包括客户应用CA和TEE客户端应用编程接口 API,所述TEE包括TEE内部API和若干可信应用TA,其特征在于:所述REE还包括CA行为脚本和TEE访问模块,所述CA行为脚本用于描述CA访问需求、指定CA访问行为,CA行为脚本存储在CA访问的介质中;所述TEE访问模块用于解析CA行为脚本、识别CA行为脚本的指定行为;当CA运行到需要访问TEE中的TA时,CA读取CA行为脚本,并将该CA行为脚本的内容传递给TEE访问模块;TEE访问模块对接收到的CA行为脚本进行解析,识别CA行为脚本的指定行为,并按照CA行为脚本的指定行为去访问TEE中的TA。
2.如权利要求1所述的访问可信执行环境、可信应用的系统,其特征在于:所述CA行为脚本存储在CA访问的REE的存储介质中,或者存储在CA通过接口访问的外部设备中,或者直接加载于CA内部。
3.如权利要求1所述的访问可信执行环境、可信应用的系统,其特征在于:所述TEE访问模块内置于CA中。
4.如权利要求1所述的访问可信执行环境、可信应用的系统,其特征在于:所述TEE访问模块独立运行于CA外,并提供接口供CA调用。
5.一种基于权利要求1所述系统的访问可信执行环境、可信应用的方法,其特征在于,包括如下步骤: 51、将事先开发好或修改好的客户应用CA、可信应用TA分别部署到富执行环境REE、可信执行环境TEE中; 52、创建用于解析CA行为脚本、识别CA行为脚本的指定行为的TEE访问模块,并将TEE访问模块部署到REE中; 53、根据CA访问TA的流程,编写用于描述CA访问需求、指定CA访问行为的CA行为脚本,并将CA行为脚本存储到CA访问的介质; 54、在REE中启动CA;当CA运行到需要访问TEE中的TA时,CA读取CA行为脚本,并将该CA行为脚本的内容传递给TEE访问模块;TEE访问模块对接收到的CA行为脚本进行解析,识别CA行为脚本的指定行为,并按照CA行为脚本的指定行为去访问TEE中的TA。
6.如权利要求5所述的访问可信执行环境、可信应用的方法,其特征在于:步骤S2中所述将TEE访问模块部署到REE中的具体过程为:将TEE访问模块内置于CA中; 或TEE访问模块独立运行于CA外,提供接口供CA调用。
7.如权利要求5所述的访问可信执行环境、可信应用的方法,其特征在于:步骤S3中所述将CA行为脚本存储到CA访问的介质的具体过程为:将CA行为脚本存储到CA访问的REE的存储介质; 或将CA行为脚本存储到CA通过接口访问的外部设备; 或将CA行为脚本直接加载到CA内部。
8.如权利要求5至7中任一项所述的访问可信执行环境、可信应用的方法,其特征在于:所述CA行为脚本的内容包括CA调用TEE客户端应用编程接口 API的顺序、传入的参数及参数的值。
9.如权利要求5至7中任一项所述的访问可信执行环境、可信应用的方法,其特征在于:所述CA行为脚本的语句包括注册变量语句、变量赋值语句和调用TEE客户端API语句。
【专利摘要】本发明公开了一种访问可信执行环境、可信应用的系统及方法,涉及移动终端设备领域。该方法包括以下步骤:先将事先开发好或修改好的CA、TA分别部署到REE、TEE中;创建并部署能够解析CA行为脚本、识别指定行为的TEE访问模块到REE中;然后编写用于描述CA访问需求、指定CA访问行为的CA行为脚本;当CA运行到需要访问TEE中TA时,CA读取CA行为脚本,并将该CA行为脚本的内容传递给TEE访问模块;TEE访问模块对接收到的CA行为脚本进行解析,并按照所识别的CA行为脚本的指定行为去访问TEE中的TA。本发明能够有效提高CA的通用性,实现TEE及TA的灵活访问。
【IPC分类】G06F9-44, G06F13-14
【公开号】CN104765612
【申请号】CN201510173928
【发明人】李纪赛, 樊永亮, 方明伟
【申请人】武汉天喻信息产业股份有限公司
【公开日】2015年7月8日
【申请日】2015年4月10日