本申请实施例适用于数据处理技术领域,提供一种访问硬件资源的方法和电子设备,用于电子设备,电子设备包括至少两个可信执行环境TEE,至少两个TEE包括第一TEE和第二TEE,第一TEE是指不具备访问目标硬件资源的权限的TEE,第二TEE是指具备访问目标硬件资源的权限的TEE,包括:第一TA向第二TA发送硬件资源共享请求,第二TA基于硬件资源共享请求,确定第一TEE为目标TEE,第二TA建立数据通道,第一TA通过数据通道访问目标硬件资源,获取密钥数据。这样使得在多TEE架构中的各TEE中运行的应用程序均能获取密钥数据的功能。均能获取密钥数据的功能。均能获取密钥数据的功能。
【技术实现步骤摘要】
访问硬件资源的方法和电子设备
[0001]本申请涉及数据处理领域,并且更具体地,涉及一种访问硬件资源的方法和电子设备。
技术介绍
[0002]在终端设备的使用过程中,应用程序需要访问目标硬件资源才能获取加解密所需密钥数据(密钥和硬件随机数)。其中,目标硬件资源可以包括TRNG,或者HUK。
[0003]应理解,访问目标硬件资源的权限通常只会释放给有限数量个应用程序。示例性的,访问目标硬件资源的权限释放给运行在可信执行环境(Trustedexecution environment,TEE)的应用程序。随着终端技术的不断进步,多TEE架构成为了一种常见的架构。出于系统安全的考虑,访问目标硬件资源的权限通常只会释放给一个TEE中运行的应用程序。其他TEE中运行的应用程序无法访问目标硬件资源,也无法获取密钥数据。
[0004]基于此,如何实现多TEE框架中每个TEE中运行的应用程序均能获取密钥数据成为了一个亟待解决的问题。
技术实现思路
[0005]本申请提供了一种访问硬件资源的方法,能够实现多TEE框架中每个TEE中运行的应用程序均能获取密钥数据的功能。
[0006]第一方面,提供了一种访问硬件资源的方法,该方法应用于电子设备,电子设备包括至少两个可信执行环境TEE,至少两个TEE包括第一TEE和第二TEE,第一TEE是指不具备访问目标硬件资源的权限的TEE,第二TEE是指具备访问目标硬件资源的权限的TEE,目标硬件资源是指获取密钥数据所需访问的硬件资源,密钥数据包括硬件随机数和安全密钥,该方法包括:
[0007]第一可信应用程序TA向第二可信应用程序TA发送硬件资源共享请求,第一TA是指运行在第一TEE中的应用程序,第二TA是指运行在第二TEE中的应用程序,硬件资源共享请求用于访问目标硬件资源;
[0008]第二TA基于硬件资源共享请求,确定第一TEE为目标TEE;
[0009]第二TA建立数据通道,数据通道用于在第一TEE中运行的应用程序访问目标硬件资源;
[0010]第一TA通过数据通道访问目标硬件资源,获取密钥数据。
[0011]本申请的实施例中所提供的访问硬件资源的方法,应用于电子设备,电子设备包括至少两个可信执行环境TEE,至少两个TEE包括第一TEE和第二TEE,第一TEE是指不具备访问目标硬件资源的权限的TEE,第二TEE是指具备访问目标硬件资源的权限的TEE,目标硬件资源是指获取密钥数据所需访问的硬件资源,密钥数据包括硬件随机数和安全密钥,该方法包括:第一TA向第二TA发送硬件资源共享请求,第二TA基于硬件资源共享请求,确定第一TEE为目标TEE,第二TA建立数据通道,第一TA通过数据通道访问目标硬件资源,获取密钥数
据。其中,第一TA是指运行在第一TEE中的应用程序,第二TA是指运行在第二TEE中的应用程序,硬件资源共享请求用于访问目标硬件资源;数据通道用于在第一TEE中运行的应用程序访问目标硬件资源。这样使得运行在不具备访问目标硬件资源权限的第一TEE中的第一TA,能够通过数据通道访问目标硬件资源,相当于实现了在多TEE架构中的各TEE中运行的应用程序均能访问目标硬件资源,从而使得在多TEE架构中的各TEE中运行的应用程序均能获取密钥数据的功能。
[0012]在一个实施例中,硬件资源共享请求包括第一TEE的标识,第二TEE中包括第一模块,第一模块中存储有目标TEE的标识和第一数据,第一数据是指对目标TEE的标识进行哈希Hash处理得到的数据;第二TA基于硬件资源共享请求,确定第一TEE为目标TEE,包括:第二TA根据第一TEE的标识获取第二数据,第二数据是指对第一TEE的标识进行Hash处理得到的数据;在第一TEE的标识与目标TEE的标识匹配,且第一数据和第二数据相同的情况下,确定第一TEE为目标TEE。
[0013]其中,第二TA基于硬件资源共享请求,确定第一TEE为目标TEE的过程中,可以是第二TA基于第一TEE的标识和目标TEE的标识是否匹配,且第一数据和第二数据是否相同做出的判断;也可以是借助Hypervisor模块去确定第一TEE的标识和目标TEE的标识是否匹配,且第一数据和第二数据是否相同所做出的判断。本申请实施例对此不作限制。
[0014]本申请的实施例中,硬件资源共享请求包括第一TEE的标识,第二TEE中包括第一模块,第一模块中存储有目标TEE的标识和第一数据,第二TA根据第一TEE的标识获取第二数据,在第一TEE的标识与目标TEE的标识匹配,且第一数据和第二数据相同的情况下,确定第一TEE为目标TEE,其中,第一数据是指对目标TEE的标识进行哈希Hash处理得到的数据,第二数据是指对第一TEE的标识进行Hash处理得到的数据;这样使得第二TA建立的数据通道是在第一TEE是目标TEE的情况下建立的,也即是说,不是任意的TEE都能够通过数据通道访问目标硬件资源,只有目标TEE才能通过数据通道访问目标硬件资源,提高了访问目标硬件资源的安全性。
[0015]在一个实施例中,上述第二TA根据第一TEE的标识获取第二数据,包括:第二TA向Hypervisor模块发送第一TEE的标识;Hypervisor模块对第一TEE的标识进行Hash处理,得到第二数据;Hypervisor模块发送第二数据至第二TA。
[0016]在一个实施例中,上述第一可信应用程序TA发送硬件资源共享请求至第二可信应用程序TA,包括:第一TA向第一TEE中的第二模块发送第一TEE的标识;第二模块采用预设密钥对第一TEE的标识进行加密,得到硬件资源共享请求;第二模块将向第二TA发送硬件资源共享请求。
[0017]本申请的实施例中,硬件资源共享请求是密钥管理模块采用预设密钥对第一TEE的标识进行加密处理得到的,这样使得第一TEE和第二TEE之间传输的硬件资源共享请求是经过加密的数据,提高了第一TEE和第二TEE之间传输数据的安全性。
[0018]在一个实施例中,该方法还包括:第二TA采用预设密钥对硬件资源共享请求进行解密,得到第一TEE的标识。
[0019]本申请的实施例中,第二TA在接收到硬件资源共享请求之后,采用预设密钥对硬件资源共享请求进行解密得到第一TEE的标识,这样使得第一TEE和第二TEE之间传输的硬件资源共享请求是经过加密的数据,提高了第一TEE和第二TEE之间传输数据的安全性。
[0020]在一个实施例中,该方法还包括:第二TEE中的第三模块生成预设密钥;预设密钥用于对第一TEE的标识进行加密,得到硬件资源共享请求;第三模块向第一TEE中的第二模块发送预设密钥。
[0021]本申请的实施例中,用于对第一TEE的标识进行加解密的预设密钥是第二TEE中的第三模块生成的,这样使得第一TEE和第二TEE之间传输的硬件资源共享请求是由第二TEE中的模块生成的预设密钥进行加密的,避免了在其他TEE中的模块向第一TEE中的第二模块和第二TEE中的第二TA发送预设密钥的情况,进而降低了电子设备中本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种访问硬件资源的方法,其特征在于,所述方法应用于电子设备,所述电子设备包括至少两个可信执行环境TEE,所述至少两个TEE包括第一TEE和第二TEE,所述第一TEE是指不具备访问目标硬件资源的权限的TEE,所述第二TEE是指具备访问目标硬件资源的权限的TEE,所述目标硬件资源是指获取密钥数据所需访问的硬件资源,所述密钥数据包括硬件随机数和安全密钥,所述方法包括:第一可信应用程序TA向第二可信应用程序TA发送硬件资源共享请求,所述第一TA是指运行在所述第一TEE中的应用程序,所述第二TA是指运行在所述第二TEE中的应用程序,所述硬件资源共享请求用于访问所述目标硬件资源;所述第二TA基于所述硬件资源共享请求,确定所述第一TEE为目标TEE;所述第二TA建立数据通道,所述数据通道用于在所述第一TEE中运行的应用程序访问所述目标硬件资源;所述第一TA通过所述数据通道访问所述目标硬件资源,获取所述密钥数据。2.根据权利要求1所述的方法,其特征在于,所述硬件资源共享请求包括所述第一TEE的标识,所述第二TEE中包括第一模块,所述第一模块中存储有所述目标TEE的标识和第一数据,所述第一数据是指对所述目标TEE的标识进行哈希Hash处理得到的数据;所述第二TA基于所述硬件资源共享请求,确定所述第一TEE为目标TEE,包括:所述第二TA根据所述第一TEE的标识获取第二数据,所述第二数据是指对所述第一TEE的标识进行所述Hash处理得到的数据;在所述第一TEE的标识与所述目标TEE的标识匹配,且所述第一数据和所述第二数据相同的情况下,确定所述第一TEE为所述目标TEE。3.根据权利要求2所述的方法,其特征在于,所述第二TA根据所述第一TEE的标识获取第二数据,包括:所述第二TA向Hypervisor模块发送所述第一TEE的标识;...
【专利技术属性】
技术研发人员:马长宝,
申请(专利权)人:荣耀终端有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。