[发明专利]在富执行环境中安全地执行安全应用的计算系统

说明书

一种在富执行环境中安全地执行安全应用的计算系统，其包括处理器，所述处理器运行多个虚拟机，在所述多个虚拟机中分别执行多个操作系统。所述处理器执行管理程序，所述管理程序将所述多个虚拟机分组成正常虚拟机群组及特权虚拟机群组且控制由所述正常虚拟机群组及所述特权虚拟机群组请求进行的硬件存取。所述处理器在所述正常虚拟机群组中执行正常应用，且在所述特权虚拟机群组中执行安全应用。

[相关申请的交叉参考]

本美国非临时申请基于35U.S.C.§119主张在2016年11月9日在韩国知识产权局(Korean Intellectual Property Office，KIPO)提出申请的韩国专利申请第10-2016-0148716号的优先权，所述韩国专利申请的全部内容并入本申请供参考。

技术领域

本发明概念的示例性实施例涉及计算系统，且更具体来说，涉及在富执行环境中安全地执行安全应用的计算系统。

背景技术

为安全地执行安全应用，已开发出一种提供可信执行环境(trusted executionenvironment，TEE)的技术，例如先进精简指令集机器信任区(Advanced RISC MachinesTrustZone，ARM TrustZone)技术。在这种技术中，在富执行环境(rich executionenvironment，REE)或正常区域中执行正常应用，在与富执行环境或正常区域隔离的可信执行环境或安全区域中执行安全应用，且从而确保安全地执行安全应用。然而，在可信执行环境或安全区域中无法执行复杂的安全应用。

发明内容

一些示例性实施例提供一种在富执行环境中安全地执行安全应用的计算系统。

根据示例性实施例，一种计算系统包括处理器。所述处理器运行多个虚拟机，在所述多个虚拟机中分别执行多个操作系统。所述处理器执行管理程序，所述管理程序将所述多个虚拟机分组成正常虚拟机群组及特权虚拟机群组且控制由所述正常虚拟机群组及所述特权虚拟机群组请求进行的硬件存取。所述处理器在所述正常虚拟机群组中执行正常应用且在所述特权虚拟机群组中执行安全应用。

根据示例性实施例，一种计算系统包括处理器。所述处理器运行多个虚拟机，在所述多个虚拟机中分别执行多个操作系统。所述处理器执行管理程序，所述管理程序控制由所述多个虚拟机请求进行的硬件存取。所述处理器在所述多个虚拟机中的第一个虚拟机中执行正常应用且在所述多个虚拟机中的第二虚拟机中执行安全应用。

根据示例性实施例，一种计算系统包括处理器且提供富执行环境(REE)及可信执行环境(TEE)。所述处理器运行多个虚拟机，在所述多个虚拟机中，在所述富执行环境中分别执行多个富操作系统，且在所述可信执行环境中执行安全操作系统。所述处理器在富执行环境中执行管理程序，所述管理程序将所述多个虚拟机分组成正常虚拟机群组及特权虚拟机群组且控制由所述正常虚拟机群组及所述特权虚拟机群组请求进行的硬件存取。所述处理器在所述可信执行环境中执行第一安全应用，在所述富执行环境的所述正常虚拟机群组中执行正常应用，以及在所述富执行环境的所述特权虚拟机群组中执行第二安全应用，其中所述第二安全应用需要的数据吞吐量大于所述可信执行环境中所述第一安全应用需要的数据吞吐量。

如上所述，根据示例性实施例的计算系统可在正常虚拟机群组中执行正常应用，可在特权虚拟机群组中执行安全应用，且可阻挡来自正常虚拟机群组的对被分配给特权虚拟机群组的至少一个硬件资源的存取请求，从而在富执行环境中安全地执行安全应用。

另外，根据示例性实施例的计算系统可使用虚拟机群组的中间物理地址作为存储器装置的物理地址而不进行地址转换，从而减少虚拟化开销(virtualization overhead)。