多可信执行环境下可信应用间的通信方法及电子设备技术

本申请提供一种多可信执行环境下可信应用间的通信方法及电子设备，该方法包括：第二代理模块接收第二可信应用的第一请求；向预设共享内存发送第一请求并生成第一切换指令；第一切换指令用于切换电子设备切换当前的可信执行环境至第一可信执行环境；所述预设共享内存仅可由第一可信执行环境与第二可信环境访问；基于第一代理模块发送的第二切换指令，获取预设共享内存中的第一代理模块发送的第一请求响应；第二代理模块将第一请求响应发送至第二可信应用。进而依据预设的共享内存以及可信执行环境中的第一代理模块和第二代理模块，不需要对可信执行环境中的可信应用进行任何修改配置，就可以实现不同可信执行环境间的可信应用通信。信应用通信。信应用通信。

【技术实现步骤摘要】
多可信执行环境下可信应用间的通信方法及电子设备


[0001]本申请实施例涉及定时领域，尤其涉及一种多可信执行环境下可信应用间的通信方法及电子设备。

技术介绍

[0002]目前，随着通信技术的不断发展，智能终端的应用也越来越广泛，为了保护用户营私和信息安全，智能终端设备中(例如：手机，平板电脑等)通常包含富执行环境(rich execution environment，REE)和可信执行环境(trusted executionenvironment，TEE)。其中，REE也称为普通执行环境，包括运行在通用处理器上的富执行环境操作系统(rich execution environment operating system，REE OS)及客户端应用(client application，CA)。TEE也称为安全执行环境，可以运行可信执行环境操作系统(trusted execution environment operating system，TEE OS)，为CA提供可信赖的安全服务(例如指纹比对服务，密码校验服务，人脸比对服务等)，这些安全服务可以以可信应用(trust application，TA)的形式运行在TEE OS上。

技术实现思路

[0003]本申请提供一种多可信执行环境下可信应用间的通信方法及电子设备，用以实现不同可信执行环境下可信应用间的通信。
[0004]第一方面，本申请提供一种多可信执行环境下可信应用间的通信方法，应用于电子设备，所述电子设备包括：第一可信执行环境与第二可信执行环境；所述第一可信执行环境包括：第一可信应用与第一代理模块；所述第二可信执行环境中包括：第二可信应用以及第二代理模块；所述方法包括：
[0005]所述第二代理模块接收所述第二可信应用的第一请求，所述第一请求用于向第一可信执行环境中的第一可信应用发送请求数据；
[0006]所述第二代理模块向预设共享内存发送第一请求并生成第一切换指令；所述第一切换指令用于切换所述电子设备切换当前的可信执行环境至第一可信执行环境；所述预设共享内存仅可由第一可信执行环境与第二可信环境访问；
[0007]所述第二代理模块基于所述第一代理模块发送的第二切换指令，获取所述预设共享内存中的所述第一代理模块发送的第一请求响应，所述第一请求响应为所述第一可信应用依据所述第一代理模块基于所述第一切换指令从所述预设共享内存中获取的第一请求得到的；所述第二切换指令用于切换所述电子设备切换当前的可信执行环境至第二可信执行环境；
[0008]所述第二代理模块将所述第一请求响应发送至所述第二可信应用。进而，该实施例中，可以依据预设的共享内存，以及第一可信执行环境和第二可信执行环境中设置的第一代理模块和第二代理模块，实现不同可信执行环境中的可信应用间的通信。且该通信方式不需要对可信执行环境中的可信应用进行修改。
[0009]在一些实施例中，所述第二代理模块向预设共享内存发送第一请求并生成第一切换指令，包括：
[0010]若所述第二代理模块确定所述第一请求验证通过预设第一白名单，则所述第二代理模块向预设共享内存发送第一请求并生成第一切换指令。
[0011]本实施例中，第二代理模块在向预设共享内存发送第一请求时，还会对第一请求进行验证，进而确保该第一请求符合第一可信执行环境的访问条件。
[0012]在一些实施例中，所述第一请求包括：第一目标可信应用标识以及第一目标可信执行环境标识；所述第二代理模块确定所述第一请求验证通过，包括：
[0013]若所述第二代理模块确定所述第一请求中的第一目标可信应用标识以及第一目的可信执行环境标识符合预设第一白名单，则确定验证通过。
[0014]本实施例中，第二代理模块在向预设共享内存发送第一请求时，可以通过对第一请求中的第一目标可信应用标识以及第一目标可信执行环境标识进行验证，进而确保该第一请求符合第一可信执行环境的访问条件。
[0015]在一些实施例中，所述第一请求响应为所述第一代理模块确定所述第一请求响应验证通过后发送至预设内存的。
[0016]在一些实施例中，所述方法还包括：
[0017]所述第二代理模块申请预设共享内存，并将所述预设共享内存的地址发送至第一代理模块。
[0018]第二方面，本申请提供一种多可信执行环境下可信应用间的通信方法，应用于电子设备，所述电子设备包括：第一可信执行环境与第二可信执行环境；所述第一可信执行环境包括：第一可信应用与第一代理模块；所述第二可信执行环境中包括：第二可信应用以及第二代理模块；所述方法包括：
[0019]所述第一代理模块基于所述第二代理模块发送的第一切换指令，获取预设共享内存中的第一请求；所述第一请求为所述第二可信应用通过所述第二代理模块发送至所述预设内存的，用于请求向所述第一可信执行环境中的第一可信应用发送请求数据；所述预设共享内存仅可由第一可信执行环境与第二可信环境访问；所述第一切换指令用于切换所述电子设备切换当前的可信执行环境至第一可信执行环境；
[0020]所述第一代理模块向所述第一可信应用发送所述第一请求；
[0021]所述第一代理模块向所述预设共享内存发送第一请求响应并生成第二切换指令，以使所述第二代理模块获取所述第一请求响应；所述第一请求响应为第一可信应用依据所述第一请求得到的；所述第二切换指令用于切换所述电子设备切换当前的可信执行环境至第二可信执行环境。
[0022]在一些实施例中，所述第一代理模块向预设共享内存发送第一请求响应并生成第二切换指令，包括：
[0023]若所述第一代理模块确定所述第一请求响应验证通过预设第二白名单，则所述第一代理模块向预设共享内存发送第一请求响应并生成第二切换指令。
[0024]在一些实施例中，所述第一请求响应包括：第二目标可信应用标识，以及第二目标可信执行环境标识；所述第一代理模块确定所述第一请求响应验证通过预设第二白名单，包括：
[0025]若所述第一代理模块确定所述第一请求响应中的第二目标可信应用标识以及第二目的可信执行环境标识符合预设第二白名单，则确定验证通过。
[0026]第三方面，本申请提供一种电子设备，包括：第一可信执行环境与第二可信执行环境；所述第一可信执行环境包括：第一可信应用与第一代理模块；所述第二可信执行环境中包括：第二可信应用以及第二代理模块；
[0027]所述第二代理模块，用于接收所述第二可信应用的第一请求，所述第一请求用于向第一可信执行环境中的第一可信应用发送请求数据；
[0028]所述第二代理模块，用于向预设共享内存发送第一请求并生成第一切换指令；所述第一切换指令用于切换所述电子设备切换当前的可信执行环境至第一可信执行环境；所述预设共享内存仅可由第一可信执行环境与第二可信环境访问；
[0029]所述第二代理模块，用于基于所述第一代理模块发送的第二切换指令，获取所述预设共享内存中的所述第一代理模块发送的第一请求响应，所述第一请求响应为所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多可信执行环境下可信应用间的通信方法，其特征在于，应用于电子设备，所述电子设备包括：第一可信执行环境与第二可信执行环境；所述第一可信执行环境包括：第一可信应用与第一代理模块；所述第二可信执行环境中包括：第二可信应用以及第二代理模块；所述方法包括：所述第二代理模块接收第二可信应用的第一请求，所述第一请求用于向第一可信执行环境中的第一可信应用发送请求数据；所述第二代理模块向预设共享内存发送第一请求并生成第一切换指令；所述第一切换指令用于切换所述电子设备切换当前的可信执行环境至第一可信执行环境；所述预设共享内存仅可由第一可信执行环境与第二可信环境访问；所述第二代理模块基于所述第一代理模块发送的第二切换指令，获取所述预设共享内存中的所述第一代理模块发送的第一请求响应；所述第一请求响应为所述第一可信应用依据所述第一代理模块基于所述第一切换指令从所述预设共享内存中获取的第一请求得到的；所述第二切换指令用于切换所述电子设备切换当前的可信执行环境至第二可信执行环境；所述第二代理模块将所述第一请求响应发送至所述第二可信应用。2.根据权利要求1所述的方法，其特征在于，所述第二代理模块向预设共享内存发送第一请求并生成第一切换指令，包括：若所述第二代理模块确定所述第一请求验证通过预设第一白名单，则所述第二代理模块向预设共享内存发送第一请求并生成第一切换指令。3.根据权利要求2所述的方法，其特征在于，所述第一请求包括：第一目标可信应用标识以及第一目标可信执行环境标识；所述第二代理模块确定所述第一请求验证通过预设第一白名单，包括：若所述第二代理模块确定所述第一请求中的第一目标可信应用标识以及第一目的可信执行环境标识符合预设第一白名单，则确定验证通过。4.根据权利要求1所述的方法，其特征在于，所述第一请求响应为所述第一代理模块确定所述第一请求响应验证通过后发送至预设内存的。5.根据权利要求1
‑
4任一项所述的方法，其特征在于，所述方法还包括：所述第二代理模块申请预设共享内存，并将所述预设共享内存的地址发送至第一代理模块。6.一种多可信执行环境下可信应用间的通信方法，其特征在于，应用于电子设备，所述电子设备包括：第一可信执行环境与第二可信执行环境；所述第一可信执行环境包括：第一可信应用与第一代理模块；所述第二可信执行环境中包括：第二可信应用以及第二代理模块；所述方法包括：所述第一代理模块基于所述第二代理模块发送的第一切换指令，获取预设共享内存中的第一请求；所述第一请求为所述第二可信应用通过所述第二代理模块发送至所述预设内存的，用于请求向所述第一可信执行环境中的第一可信应用发送请求数据；所述预设共享内存仅可由第一可信执行环境与第二可信环境访问；所述第一切换指令用于切换所述电子设备切换当前的可信执行环境至第一可信执行环境；所述第一代理模块向所述第一可信应用发送所述第一请求；
所述第一代理模块向所述预设共享内存发送第一请求响应并生成第二切换指令，以使所述第二代理模块获取所述第一请求响应；所述第一请求响应为第一可信应用依据所述第一请求得到的；所述第二切换指令用于切换所述电子设备切换当前的可信执行环境至第二可信执行环境。7.根据权利要求6所述的方法，其特征在于，所述第一代理模块向预设共享内存发送第...

【专利技术属性】
技术研发人员：张朋，
申请(专利权)人：荣耀终端有限公司，
类型：发明
国别省市：