[发明专利]一种访问可信执行环境、可信应用的系统及方法

说明书

本发明公开了一种访问可信执行环境、可信应用的系统及方法，涉及移动终端设备领域。该方法包括以下步骤：先将事先开发好或修改好的CA、TA分别部署到REE、TEE中；创建并部署能够解析CA行为脚本、识别指定行为的TEE访问模块到REE中；然后编写用于描述CA访问需求、指定CA访问行为的CA行为脚本；当CA运行到需要访问TEE中TA时，CA读取CA行为脚本，并将该CA行为脚本的内容传递给TEE访问模块；TEE访问模块对接收到的CA行为脚本进行解析，并按照所识别的CA行为脚本的指定行为去访问TEE中的TA。本发明能够有效提高CA的通用性，实现TEE及TA的灵活访问。

技术领域

本发明涉及移动终端设备领域，具体来讲是一种访问可信执行环境、可信应用的系统及方法。

背景技术

移动通信技术的发展带来了移动终端技术的快速发展，现代的移动终端设备提供了强大而灵活的REE(Rich Execution Environment，富执行环境)，但同时也导致设备容易受到安全威胁。TEE(Trusted Execution Environment，可信执行环境)是为了解决当前移动终端设备存在的安全风险而提出的技术方案。TEE和REE平行运行于同一个设备上，TEE能够保证在可信的环境中进行敏感数据的存储、处理和保护，并为授权的安全软件(可信软件)提供了安全的执行环境，通过执行保护、保密、完整和数据访问权限实现了端到端的安全。TA(Trusted Application，可信应用)运行于TEE上，CA(Client Application，客户应用)运行于REE上，CA通过调用位于REE的TEE客户端API(Application ProgrammingInterface，应用编程接口)去访问TA，从而使用TEE及TA提供的安全功能。

由于TEE及TA的运行必须由CA通过调用TEE客户端API触发，所以必须要事先制定好CA的程序执行流程、编写CA调用TEE客户端API的代码，并将CA安装到REE中，然后运行CA，由CA按照已固定的流程去调用TEE客户端API，从而实现TEE及TA的访问。但是，现有的访问方式在遇到应用场景、需求发生变化，或者TA发生改变时，必须要重新开发CA，编写CA的代码，才能适应这种变化，操作过程十分繁琐，效率极低。尤其当需要对TEE及TA进行完整性测试时，更是需要编写流程非常复杂的CA、或者编写多个CA，才能达到预定完整测试的目的，操作起来非常不灵活。因此如何提高CA的通用性，灵活访问TEE及TA是移动终端中一个亟待解决的技术问题。

发明内容

本发明的目的是为了克服上述背景技术的不足，提供一种访问可信执行环境、可信应用的系统及方法，能够有效提高CA的通用性，实现TEE及TA的灵活访问。

为达到以上目的，本发明提供一种访问可信执行环境、可信应用的系统，包括富执行环境REE和可信执行环境TEE，所述REE包括客户应用CA和TEE客户端应用编程接口API，所述TEE包括TEE内部API和若干可信应用TA；其中，所述REE还包括CA行为脚本和TEE访问模块，所述CA行为脚本用于描述CA访问需求、指定CA访问行为，CA行为脚本存储在CA访问的介质中；所述TEE访问模块用于解析CA行为脚本、识别CA行为脚本的指定行为；当CA运行到需要访问TEE中的TA时，CA读取CA行为脚本，并将该CA行为脚本的内容传递给TEE访问模块；TEE访问模块对接收到的CA行为脚本进行解析，识别CA行为脚本的指定行为，并按照CA行为脚本的指定行为去访问TEE中的TA。

在上述技术方案的基础上，所述CA行为脚本存储在CA访问的REE的存储介质中，或者存储在CA通过接口访问的外部设备中，或者直接加载于CA内部。

在上述技术方案的基础上，所述TEE访问模块内置于CA中。

在上述技术方案的基础上，所述TEE访问模块独立运行于CA外，并提供接口供CA调用。

本发明还提供基于上述系统的访问可信执行环境、可信应用的方法，包括以下步骤：