[发明专利]基于TEE扩展的计算机安全世界实时应用动态加载方法及系统

说明书

本发明公开了一种基于TEE扩展的计算机安全世界实时应用动态加载方法及系统，本发明由REE侧的加载程序发起第一加载请求然后通过使CPU从REE状态、TEE状态切换将实时应用对应的目标文件放入共享内存，使CPU从REE状态切换至TEE状态；TEE中的RTOS将目标实时应用对应的目标文件从共享内存加载到安全内存中并解析文件信息；创建任务阶段把解析出的文件信息构建成任务控制块、创建任务和地址空间映射最后添加进任务队列中；修改RTOS上下文切换函数；TEE中的RTOS运行新加载的目标实时应用。本发明能够实现为安全世界下的实时操作系统添加动态加载应用的功能、使实时操作系统支持用户态。

技术领域

本发明涉及计算机操作系统领域，具体涉及一种基于TEE扩展的计算机安全世界实时应用动态加载方法及系统。

背景技术

TEE（Trusted Execution Environment）又称为可信执行环境，是同主机系统相隔离的安全区域，作为一个独立的环境与主机操作系统并行运行。TEE技术通过使用硬件和软件来保护数据和代码，从而确保安全区域中加载的代码和数据的机密性和完整性都得到保护，获得比传统REE（Rich Execution Environment，通用执行环境）环境更强的安全性保证。在TEE 中运行的受信任应用程序可以访问平台上主处理器和内存的全部功能，而硬件隔离保护这些组件不受主操作系统中运行的用户安装应用程序的影响。

目前常见的TEE技术有TrustZone和SGX等。TrustZone由ARM公司提出，通过将软件资源和硬件资源全部划分成可信区域和不可信区域，分别作为TEE和REE，以实现对敏感数据和应用的保护。TrustZone能保证安全态软件在加电时首先启动，并对后续加载的启动映像进行逐级验证。TrustZone使能后，物理处理器能够在两种安全模态之间切换，分别定义为常态（normal world，运行主机OS）和安全态（secure world，运行TEE OS）。TrustZone 在系统总线上针对每一个信道的读写增加了一个额外的控制信号位，叫做NS(Non-Secure)位，可以通过NS位将内存等资源划分为安全态和非安全态。TrustZone通过总线控制和TZASC、TZMA、TZPC等辅助控制器实现对内存、IO等资源的安全隔离。SGX全称SoftwareGuard Extensions，是对Intel体系的安全性扩展。SGX通过创建飞地（enclave）来构建TEE，即将合法软件的安全操作封装在一个飞地中，保护其不受恶意软件的侵害，特权或者非特权的软件都无法访问飞地。也就是说，一旦软件和数据位于飞地中，即便操作系统或者和VMM（Hypervisor）也无法影响飞地里面的代码和数据。飞地的安全边界只包含CPU和它自身。

很多场合，TEE中会运行一个可信执行环境操作系统（TEE OS），使TEE环境能够灵活的添加或者删除服务，或者同时支持多个TEE服务的运行。虽然TEE OS具备多任务支持，但TEE环境的局限性导致服务的添加删除并不方便。例如，在TrustZone方案中，TEE OS采用静态编译的办法存放在固件中，导致TEE服务的在线调试以及更新都比较困难。为了解决该问题，一些TEE OS采用动态加载可信应用的办法，例如OPTEE将可信应用单独编译，并且生成的二进制文件保存在REE的文件系统中，当用户需要运行可信计算时，TEE OS再从REE中加载应用文件。尽管如此，已有的TEE应用动态加载机制仍存在不少问题：1）目前的TEE操作系统多将其TA（Trusted Application，可信应用）设计为不可调度的被动服务接口，机制简单，实时应用支持能力差。针对TEE可能存在的类似实时操作系统的服务，目前的技术都不具备动态加载能力；2）TEE OS运行模式单一，缺乏必要的可执行代码解析和动态加载能力；3）REE和TEE OS的通信和联动机制不足以支持REE侧动态加载可调度执行的实时应用到TEEOS。

发明内容

本发明要解决的技术问题：针对现有技术的上述问题，提供一种基于TEE扩展的计算机安全世界实时应用动态加载方法及系统，本发明能够实现为安全世界下的实时操作系统添加动态加载应用的功能、使实时操作系统支持用户态。