[发明专利]多可信执行环境下可信应用间的通信方法及电子设备

说明书

本申请提供一种多可信执行环境下可信应用间的通信方法及电子设备，该方法包括：第二代理模块接收第二可信应用的第一请求；向预设共享内存发送第一请求并生成第一切换指令；第一切换指令用于切换电子设备切换当前的可信执行环境至第一可信执行环境；所述预设共享内存仅可由第一可信执行环境与第二可信环境访问；基于第一代理模块发送的第二切换指令，获取预设共享内存中的第一代理模块发送的第一请求响应；第二代理模块将第一请求响应发送至第二可信应用。进而依据预设的共享内存以及可信执行环境中的第一代理模块和第二代理模块，不需要对可信执行环境中的可信应用进行任何修改配置，就可以实现不同可信执行环境间的可信应用通信。

技术领域

本申请实施例涉及定时领域，尤其涉及一种多可信执行环境下可信应用间的通信方法及电子设备。

背景技术

目前，随着通信技术的不断发展，智能终端的应用也越来越广泛，为了保护用户营私和信息安全，智能终端设备中(例如：手机，平板电脑等)通常包含富执行环境(richexecution environment，REE)和可信执行环境(trusted executionenvironment，TEE)。其中，REE也称为普通执行环境，包括运行在通用处理器上的富执行环境操作系统(richexecution environment operating system，REE OS)及客户端应用(clientapplication，CA)。TEE也称为安全执行环境，可以运行可信执行环境操作系统(trustedexecution environment operating system，TEE OS)，为CA提供可信赖的安全服务(例如指纹比对服务，密码校验服务，人脸比对服务等)，这些安全服务可以以可信应用(trustapplication，TA)的形式运行在TEE OS上。

发明内容

本申请提供一种多可信执行环境下可信应用间的通信方法及电子设备，用以实现不同可信执行环境下可信应用间的通信。

第一方面，本申请提供一种多可信执行环境下可信应用间的通信方法，应用于电子设备，所述电子设备包括：第一可信执行环境与第二可信执行环境；所述第一可信执行环境包括：第一可信应用与第一代理模块；所述第二可信执行环境中包括：第二可信应用以及第二代理模块；所述方法包括：

所述第二代理模块接收所述第二可信应用的第一请求，所述第一请求用于向第一可信执行环境中的第一可信应用发送请求数据；

所述第二代理模块向预设共享内存发送第一请求并生成第一切换指令；所述第一切换指令用于切换所述电子设备切换当前的可信执行环境至第一可信执行环境；所述预设共享内存仅可由第一可信执行环境与第二可信环境访问；

所述第二代理模块基于所述第一代理模块发送的第二切换指令，获取所述预设共享内存中的所述第一代理模块发送的第一请求响应，所述第一请求响应为所述第一可信应用依据所述第一代理模块基于所述第一切换指令从所述预设共享内存中获取的第一请求得到的；所述第二切换指令用于切换所述电子设备切换当前的可信执行环境至第二可信执行环境；

所述第二代理模块将所述第一请求响应发送至所述第二可信应用。进而，该实施例中，可以依据预设的共享内存，以及第一可信执行环境和第二可信执行环境中设置的第一代理模块和第二代理模块，实现不同可信执行环境中的可信应用间的通信。且该通信方式不需要对可信执行环境中的可信应用进行修改。

在一些实施例中，所述第二代理模块向预设共享内存发送第一请求并生成第一切换指令，包括：

若所述第二代理模块确定所述第一请求验证通过预设第一白名单，则所述第二代理模块向预设共享内存发送第一请求并生成第一切换指令。

本实施例中，第二代理模块在向预设共享内存发送第一请求时，还会对第一请求进行验证，进而确保该第一请求符合第一可信执行环境的访问条件。