帶有安全運(yùn)行時(shí)環(huán)境的微控制器系統(tǒng)的制作方法
【專利摘要】微處理器系統(tǒng)，該微處理器系統(tǒng)被實(shí)現(xiàn)或者能夠被實(shí)現(xiàn)在移動(dòng)終端中并且包括：被設(shè)計(jì)為生成并且維護(hù)不安全運(yùn)行時(shí)環(huán)境的正常操作系統(tǒng)和被設(shè)計(jì)為生成并且維護(hù)安全運(yùn)行時(shí)環(huán)境的安全操作系統(tǒng)，以及正常操作系統(tǒng)與安全操作系統(tǒng)之間的操作系統(tǒng)接口，該操作接口被設(shè)計(jì)成在操作系統(tǒng)層上安全地控制不安全運(yùn)行時(shí)環(huán)境與安全運(yùn)行時(shí)環(huán)境之間的通信，以及至少一個(gè)過(guò)濾器接口，該至少一個(gè)過(guò)濾器接口被設(shè)計(jì)成在不同于操作系統(tǒng)層的層上安全地控制不安全運(yùn)行時(shí)環(huán)境與安全運(yùn)行時(shí)環(huán)境之間的通信。
【專利說(shuō)明】帶有安全運(yùn)行時(shí)環(huán)境的微控制器系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及可實(shí)現(xiàn)于或被實(shí)現(xiàn)于移動(dòng)終端中的帶有安全運(yùn)行時(shí)環(huán)境(runtimeenvironment)的微處理器系統(tǒng)。
【背景技術(shù)】
[0002]微處理器系統(tǒng)包括微處理器以及一個(gè)或多個(gè)易失性和非易失性存儲(chǔ)器，從功能觀點(diǎn)看該一個(gè)或多個(gè)易失性和非易失性存儲(chǔ)器具體是:操作系統(tǒng)被存儲(chǔ)在其中的至少一個(gè)操作系統(tǒng)存儲(chǔ)器、可由微處理器在操作系統(tǒng)的控制下執(zhí)行的應(yīng)用被存儲(chǔ)在其中的一個(gè)或多個(gè)應(yīng)用存儲(chǔ)器、以及待由微處理器處理的數(shù)據(jù)能夠被存儲(chǔ)在其中的主存儲(chǔ)器。操作系統(tǒng)在其操作期間生成并且維護(hù)其中應(yīng)用可在微處理器系統(tǒng)上執(zhí)行的運(yùn)行時(shí)環(huán)境。微處理器系統(tǒng)一般地被實(shí)現(xiàn)在一個(gè)芯片，例如半導(dǎo)體芯片上，還可能被實(shí)現(xiàn)在多個(gè)相連的芯片上。
[0003]移動(dòng)終端被理解成是指蜂窩電話、智能電話、PDA(個(gè)人數(shù)字助理)或類似終端。
[0004]指定ARM信任區(qū)域架構(gòu)表示來(lái)自公司ARM用于微處理器系統(tǒng)的已知的兩部分的運(yùn)行時(shí)架構(gòu)，此架構(gòu)包括兩個(gè)運(yùn)行時(shí)環(huán)境。被稱作“正常區(qū)域”或“正常世界”的第一不安全運(yùn)行時(shí)環(huán)境由正常操作系統(tǒng)控制。被稱作“信任區(qū)域”或“可信世界”或“安全世界”的第二安全或值得信任的運(yùn)行時(shí)環(huán)境由安全操作系統(tǒng)控制。
[0005]正常操作系統(tǒng)可以是例如常規(guī)操作系統(tǒng),諸如Android、Windows Phone、Symbian
坐坐寸寸ο
[0006]本專利申請(qǐng)的 申請(qǐng)人:制造并且出售用于將被實(shí)現(xiàn)在移動(dòng)終端中的芯片的、商品名為M0BIC0RE的安全操作系統(tǒng)。特別地，安全關(guān)鍵應(yīng)用和一些外圍功能(例如鍵盤(pán)驅(qū)動(dòng)器)被安全操作系統(tǒng)M0BIC0RE安全地控制。在安全操作系統(tǒng)下的應(yīng)用還被按照術(shù)語(yǔ)“信任(Trust)”和“小程序(Applet)”類似地命名為信任小程序(trustlet)。另外的應(yīng)用和其它外圍功能(例如顯示器驅(qū)動(dòng)器、NFC接口驅(qū)動(dòng)器、無(wú)線電接口層RIL)被正常操作系統(tǒng)(還被稱作富OS或HL0S)控制。安全操作系統(tǒng)包括秘密密鑰、認(rèn)證密鑰Kauth，借助于其安全操作系統(tǒng)能夠相對(duì)于后臺(tái)系統(tǒng)標(biāo)識(shí)它自己。可選地，認(rèn)證密鑰Kauth被附加地提供用于操作芯片或移動(dòng)終端與后臺(tái)系統(tǒng)之間的安全通信信道。后臺(tái)系統(tǒng)是例如移動(dòng)無(wú)線電網(wǎng)絡(luò)的本身已知的后臺(tái)系統(tǒng)。
[0007]例如為了調(diào)用安全運(yùn)行時(shí)環(huán)境中的應(yīng)用(信任小程序)或者為了交換數(shù)據(jù)，就正常操作系統(tǒng)而言，從不安全運(yùn)行時(shí)環(huán)境到安全運(yùn)行時(shí)環(huán)境的訪問(wèn)專用地借助于安全驅(qū)動(dòng)器被作為標(biāo)準(zhǔn)執(zhí)行，所述安全驅(qū)動(dòng)器(例如Mobicore驅(qū)動(dòng)器)被實(shí)現(xiàn)在不安全運(yùn)行時(shí)環(huán)境內(nèi)，但被安全操作系統(tǒng)控制并且在操作系統(tǒng)層起作用。安全驅(qū)動(dòng)器能夠例如將正常操作系統(tǒng)的任務(wù)轉(zhuǎn)移到安全操作系統(tǒng)并且將關(guān)于任務(wù)的結(jié)果轉(zhuǎn)發(fā)至正常操作系統(tǒng)，所述結(jié)果是由安全操作系統(tǒng)提供的。安全驅(qū)動(dòng)器轉(zhuǎn)交正常操作系統(tǒng)與安全操作系統(tǒng)之間的安全通信信道，所述信道完全足夠用于交換相對(duì)少量的數(shù)據(jù)。
[0008]在安全運(yùn)行時(shí)環(huán)境中實(shí)現(xiàn)的應(yīng)用(信任小程序)或外圍功能只能夠由安全操作系統(tǒng)訪問(wèn)。相比而言，不能夠從正常操作系統(tǒng)直接地訪問(wèn)信任小程序。[0009]實(shí)際上，移動(dòng)終端的所有外圍結(jié)構(gòu)(除例如鍵盤(pán)之外)(也就是說(shuō)中央微處理器之外的移動(dòng)終端的結(jié)構(gòu))被實(shí)現(xiàn)在正常操作系統(tǒng)下并且因此在極大程度上是不安全的，因?yàn)橄鄳?yīng)的外圍驅(qū)動(dòng)器被實(shí)現(xiàn)在不安全運(yùn)行時(shí)環(huán)境“正常區(qū)域”中。
[0010]外圍結(jié)構(gòu)與操作系統(tǒng)或經(jīng)由操作系統(tǒng)的通信的一些過(guò)程是安全關(guān)鍵的，例如那些在其中處理諸如例如秘密號(hào)碼PIN之類的秘密數(shù)據(jù)的過(guò)程，或者那些在其中處理安全相關(guān)命令的過(guò)程，例如用于確認(rèn)或者發(fā)起支付交易的命令。對(duì)于這樣的安全關(guān)鍵通信過(guò)程，外圍結(jié)構(gòu)的安全鏈路將是所希望的以便阻止對(duì)數(shù)據(jù)的隱秘觀察或者對(duì)命令的操縱。
[0011]用于使外圍結(jié)構(gòu)的操作變得更加安全的最直接的可能性是在安全操作系統(tǒng)下而非在正常操作系統(tǒng)下實(shí)現(xiàn)相應(yīng)的外圍驅(qū)動(dòng)器。(例如，采用MobiCore作為安全操作系統(tǒng)的移動(dòng)終端中相對(duì)小且緊湊的鍵盤(pán)驅(qū)動(dòng)器常常已經(jīng)被作為標(biāo)準(zhǔn)實(shí)現(xiàn)在安全操作系統(tǒng)下。)然而，這具有對(duì)外圍結(jié)構(gòu)的所有訪問(wèn)必定必須由安全操作系統(tǒng)來(lái)實(shí)現(xiàn)的后果。因?yàn)?，在安全操作系統(tǒng)下，諸如認(rèn)證和加密之類的復(fù)雜安全措施對(duì)于所有訪問(wèn)來(lái)說(shuō)是需要的，所以將驅(qū)動(dòng)器從正常操作系統(tǒng)移動(dòng)到安全操作系統(tǒng)相當(dāng)大地使移動(dòng)終端的操作慢下來(lái)。然而，對(duì)外圍結(jié)構(gòu)的訪問(wèn)的相當(dāng)大的比例不是安全關(guān)鍵的，并且能夠在不安全但較快的正常操作系統(tǒng)下也可良好地進(jìn)行。
[0012]用于各種廣泛的使用目的的應(yīng)用，例如支付交易(銀行業(yè)務(wù)(banking)、支付)、或用于交通方式的票銷(xiāo)售(售票)或積分和折扣系統(tǒng)(信用)，以可在安全執(zhí)行環(huán)境中執(zhí)行的方式至少部分在安全操作系統(tǒng)的控制下被廣泛地實(shí)現(xiàn)。在這種情況下，至少部分的應(yīng)用以可在不安全執(zhí)行環(huán)境中執(zhí)行的方式被附加地或者僅在正常操作系統(tǒng)的控制下實(shí)現(xiàn)，具體是針對(duì)與移動(dòng)終端的用戶或用戶接口的交互的部分應(yīng)用。如果在安全和不安全運(yùn)行時(shí)環(huán)境中的應(yīng)用的部分之間需要通信，則這借助于安全驅(qū)動(dòng)器在操作系統(tǒng)層發(fā)生，這會(huì)使通信變慢。

【發(fā)明內(nèi)容】

[0013]本發(fā)明基于給在移動(dòng)終端中可實(shí)現(xiàn)的或者被實(shí)現(xiàn)的微處理器系統(tǒng)提供安全運(yùn)行時(shí)環(huán)境的目的，所述微處理器系統(tǒng)使得能實(shí)現(xiàn)不安全運(yùn)行時(shí)環(huán)境與安全運(yùn)行時(shí)環(huán)境之間的安全且同時(shí)高效的通信。
[0014]該目的借助于如權(quán)利要求1所述的微處理器系統(tǒng)來(lái)實(shí)現(xiàn)。本發(fā)明的有利實(shí)施例在從屬權(quán)利要求被指定。
[0015]如獨(dú)立權(quán)利要求1所述的根據(jù)本發(fā)明的微處理器系統(tǒng)可實(shí)現(xiàn)或者被實(shí)現(xiàn)在移動(dòng)終端中，并且包括:
[0016]-正常操作系統(tǒng)，其被設(shè)計(jì)用于生成并且維護(hù)不安全運(yùn)行時(shí)環(huán)境，
[0017]-安全操作系統(tǒng)，其被設(shè)計(jì)用于生成并且維護(hù)安全運(yùn)行時(shí)環(huán)境，以及
[0018]-在正常操作系統(tǒng)與安全操作系統(tǒng)之間的操作系統(tǒng)接口，所述操作系統(tǒng)接口被設(shè)計(jì)成在操作系統(tǒng)層安全地控制不安全運(yùn)行時(shí)環(huán)境與安全運(yùn)行時(shí)環(huán)境之間的通信。
[0019]所述微處理器系統(tǒng)的特征在于至少一個(gè)過(guò)濾器接口，所述至少一個(gè)過(guò)濾器接口被設(shè)計(jì)成在不同于操作系統(tǒng)層的層安全地控制不安全運(yùn)行時(shí)環(huán)境與安全運(yùn)行時(shí)環(huán)境之間的通信。
[0020]所述過(guò)濾器接口使得能實(shí)現(xiàn)加速的且同時(shí)安全的通信，因?yàn)樗颂峁┰诓僮飨到y(tǒng)層的通信信道之外還提供另外的安全通信信道，其能夠被用于比經(jīng)由操作系統(tǒng)的迂回(detour)的通信更直接的通信。
[0021]因此，權(quán)利要求1提供了使得能實(shí)現(xiàn)不安全運(yùn)行時(shí)環(huán)境與安全運(yùn)行時(shí)環(huán)境之間的安全且同時(shí)高效的通信的微處理器系統(tǒng)。
[0022]所述過(guò)濾器接口具有第一不安全的部分過(guò)濾器接口，其被設(shè)計(jì)成在不安全運(yùn)行時(shí)環(huán)境中運(yùn)行，以及第二安全的部分過(guò)濾器接口，其被設(shè)計(jì)成在安全運(yùn)行時(shí)環(huán)境中運(yùn)行。結(jié)果，所述過(guò)濾器接口能夠在安全和不安全運(yùn)行時(shí)環(huán)境之間進(jìn)行轉(zhuǎn)交。
[0023]依據(jù)一個(gè)可替代方案，所提供的過(guò)濾器接口是硬件過(guò)濾器接口，其被設(shè)計(jì)成在硬件層安全地控制不安全運(yùn)行時(shí)環(huán)境與安全運(yùn)行時(shí)環(huán)境之間的通信。安全和不安全運(yùn)行時(shí)環(huán)境之間的安全通信因此能夠立即并且直接地在硬件層以及因此以加速的方式發(fā)生。
[0024]在硬件層的控制被可選地實(shí)現(xiàn)為通過(guò)諸如例如顯示器、SM卡等這樣的外圍結(jié)構(gòu)的硬件組件的直接驅(qū)動(dòng)的控制(參考下文)，或可選地實(shí)現(xiàn)為經(jīng)由總線系統(tǒng)(例如經(jīng)由I2C總線)的控制。
[0025]依據(jù)根據(jù)其所提供的過(guò)濾器接口是硬件過(guò)濾器接口的可替代方案，所述微處理器系統(tǒng)可選地還包括:
[0026]用于移動(dòng)終端的外圍結(jié)構(gòu)的至少一個(gè)驅(qū)動(dòng)器，所述至少一個(gè)驅(qū)動(dòng)器可由正常操作系統(tǒng)驅(qū)動(dòng)并且可在不安全運(yùn)行時(shí)環(huán)境中執(zhí)行，以及用于外圍結(jié)構(gòu)的-優(yōu)選地簡(jiǎn)化的-驅(qū)動(dòng)器，所述驅(qū)動(dòng)器可由安全操作系統(tǒng)驅(qū)動(dòng)并且可在安全運(yùn)行時(shí)環(huán)境中執(zhí)行以及優(yōu)選地僅具有可在不安全運(yùn)行時(shí)環(huán)境中執(zhí)行的驅(qū)動(dòng)器的功能的子集。在這種情況下，硬件過(guò)濾器接口被設(shè)計(jì)成在硬件層安全地控制可在不安全運(yùn)行時(shí)環(huán)境中執(zhí)行的用于外圍結(jié)構(gòu)的驅(qū)動(dòng)器與可在安全運(yùn)行時(shí)環(huán)境中執(zhí)行的用于外圍結(jié)構(gòu)的優(yōu)選地簡(jiǎn)化的驅(qū)動(dòng)器之間的通信。
[0027]所述硬件過(guò)濾器接口因此使得能通過(guò)硬件過(guò)濾器接口實(shí)現(xiàn)在正常操作系統(tǒng)下實(shí)現(xiàn)的驅(qū)動(dòng)器部分與在安全操作系統(tǒng)下實(shí)現(xiàn)的驅(qū)動(dòng)器部分之間的直接通信。
[0028]作為終端的外圍結(jié)構(gòu)，例如配設(shè)(provision)由以下各項(xiàng)組成:NFC接口、在將連接設(shè)置到移動(dòng)無(wú)線電網(wǎng)絡(luò)時(shí)涉及的無(wú)線電接口層RIL、用于認(rèn)證和加密的安全元件SE(例如SM卡或USM卡或安全MicroSD卡或永久地實(shí)現(xiàn)的嵌入式安全元件)、顯示器(具體是觸摸屏顯示器)、能夠被用來(lái)驗(yàn)證經(jīng)由鍵盤(pán)輸入的秘密號(hào)碼PIN(個(gè)人標(biāo)識(shí)號(hào)碼)的PIN校查例行程序(PIN checking routine)、用于撥號(hào)到不同于移動(dòng)無(wú)線電網(wǎng)絡(luò)的網(wǎng)絡(luò)(如，因特網(wǎng)(IP)或虛擬專用網(wǎng)絡(luò)(VPN))中的撥號(hào)例行程序、緩沖存儲(chǔ)器(例如幀緩沖器)。
[0029]可選地，如果驅(qū)動(dòng)器被實(shí)現(xiàn)用于在微處理器系統(tǒng)中的多個(gè)外圍結(jié)構(gòu)，則為所有外圍結(jié)構(gòu)提供通用硬件接口，所述硬件接口使得能實(shí)現(xiàn)專用于與相同的外圍結(jié)構(gòu)相關(guān)聯(lián)的驅(qū)動(dòng)器之間的不安全和安全運(yùn)行時(shí)環(huán)境之間在硬件層的訪問(wèn)，并且阻止與不同的外圍結(jié)構(gòu)相關(guān)聯(lián)的驅(qū)動(dòng)器之間在硬件層的訪問(wèn)。依靠直接的硬件層訪問(wèn)被保留僅用于相對(duì)于相同的外圍結(jié)構(gòu)相互對(duì)應(yīng)的驅(qū)動(dòng)器，通過(guò)惡意軟件(例如木馬等等)對(duì)驅(qū)動(dòng)器的不正確訪問(wèn)被避免了。
[0030]在與不同的外圍接口相關(guān)聯(lián)的驅(qū)動(dòng)器之間的訪問(wèn)至多借助于在操作系統(tǒng)層的安全驅(qū)動(dòng)器而發(fā)生，假如這些訪問(wèn)依據(jù)安全驅(qū)動(dòng)器的檢查是被許可的。例如，安全驅(qū)動(dòng)器將識(shí)別并且避開(kāi)惡意軟件。
[0031]可選地，硬件過(guò)濾器接口被設(shè)計(jì)成針對(duì)與安全的相關(guān)性來(lái)檢查(例如在不安全運(yùn)行時(shí)環(huán)境中)對(duì)外圍結(jié)構(gòu)的驅(qū)動(dòng)器的訪問(wèn)，并且在其中訪問(wèn)被識(shí)別為與安全相關(guān)的情況下，該硬件過(guò)濾器接口設(shè)計(jì)成將訪問(wèn)傳達(dá)至安全運(yùn)行時(shí)環(huán)境中的簡(jiǎn)化的驅(qū)動(dòng)器，以及在其中訪問(wèn)被識(shí)別為不與安全相關(guān)的情況下，該硬件過(guò)濾器接口被設(shè)計(jì)成將訪問(wèn)傳達(dá)至不安全運(yùn)行時(shí)環(huán)境中的驅(qū)動(dòng)器。
[0032]可選地，可在安全運(yùn)行時(shí)環(huán)境中執(zhí)行的用于外圍結(jié)構(gòu)的驅(qū)動(dòng)器被簡(jiǎn)化為它僅包括對(duì)于處理安全相關(guān)的訪問(wèn)所需要的功能的效果。對(duì)比之下，可在不安全運(yùn)行時(shí)環(huán)境中執(zhí)行的用于外圍結(jié)構(gòu)的驅(qū)動(dòng)器優(yōu)選地包括驅(qū)動(dòng)器的所有功能。
[0033]依據(jù)另一可替代方案，所提供的過(guò)濾器接口是應(yīng)用過(guò)濾器接口，其被設(shè)計(jì)成在應(yīng)用層安全地控制不安全運(yùn)行時(shí)環(huán)境與安全運(yùn)行時(shí)環(huán)境之間的通信。應(yīng)用過(guò)濾器接口在應(yīng)用層提供直接的安全通信信道，所述通信信道使能相比經(jīng)由通過(guò)操作系統(tǒng)層和在操作系統(tǒng)層操作的安全驅(qū)動(dòng)器的迂回更快的通信。
[0034]微處理器系統(tǒng)可選地還包括至少一個(gè)應(yīng)用，其至少部分地可由正常操作系統(tǒng)驅(qū)動(dòng)并且可在不安全運(yùn)行時(shí)環(huán)境中執(zhí)行，并且至少部分地可由安全操作系統(tǒng)驅(qū)動(dòng)并且可在安全運(yùn)行時(shí)環(huán)境中執(zhí)行。在這種情況下，應(yīng)用過(guò)濾器接口被設(shè)計(jì)成在應(yīng)用層安全地控制可在不安全運(yùn)行時(shí)環(huán)境中執(zhí)行的至少部分應(yīng)用與可在安全運(yùn)行時(shí)環(huán)境中執(zhí)行的至少部分應(yīng)用之間的通信。
[0035]應(yīng)用可以是例如用于支付交易的銀行業(yè)務(wù)或支付應(yīng)用、或針對(duì)各種廣泛目的(例如交通方式)用于票的購(gòu)買(mǎi)和管理的售票應(yīng)用。至少應(yīng)用的安全相關(guān)功能可選地被實(shí)施在安全操作系統(tǒng)下。補(bǔ)充的非安全相關(guān)功能性可選地被附加地或排他地實(shí)現(xiàn)在正常操作系統(tǒng)下。
[0036]與其中驅(qū)動(dòng)在大多數(shù)情況下將主要地被實(shí)現(xiàn)在正常操作系統(tǒng)下的驅(qū)動(dòng)器對(duì)比，例如，至于諸如銀行業(yè)務(wù)應(yīng)用之類的應(yīng)用，絕大多數(shù)通常將被實(shí)現(xiàn)在安全操作系統(tǒng)下。
[0037]可選地，如果多個(gè)應(yīng)用被實(shí)現(xiàn)在微處理器系統(tǒng)中，則通用應(yīng)用過(guò)濾器接口被提供用于所有應(yīng)用，所述應(yīng)用過(guò)濾器接口使得能實(shí)現(xiàn)專用于分別在不安全運(yùn)行時(shí)環(huán)境和安全運(yùn)行時(shí)環(huán)境中的與相同應(yīng)用相關(guān)聯(lián)的部分之間的、不安全和安全運(yùn)行時(shí)環(huán)境之間在應(yīng)用層的訪問(wèn)，并且阻止與不同的應(yīng)用相關(guān)聯(lián)的部分之間在應(yīng)用層的訪問(wèn)。依靠直接的應(yīng)用層訪問(wèn)被保留僅用于相同應(yīng)用的相互對(duì)應(yīng)的部分，通過(guò)惡意軟件(例如木馬等等)對(duì)驅(qū)動(dòng)器的不正確訪問(wèn)被避免了。
[0038]跨越安全和不安全運(yùn)行時(shí)環(huán)境之間的邊界地在不同的應(yīng)用之間的應(yīng)用訪問(wèn)借助于安全驅(qū)動(dòng)器僅至多在操作系統(tǒng)層發(fā)生。
[0039]可選地，應(yīng)用過(guò)濾器接口被設(shè)計(jì)成針對(duì)與安全的相關(guān)性來(lái)檢查(例如在不安全運(yùn)行時(shí)環(huán)境中)對(duì)應(yīng)用的訪問(wèn)，并且在其中訪問(wèn)被識(shí)別為與安全相關(guān)的情況下，設(shè)計(jì)成將訪問(wèn)傳達(dá)至安全運(yùn)行時(shí)環(huán)境中的至少部分應(yīng)用，以及在其中訪問(wèn)被識(shí)別為不與安全相關(guān)的情況下，設(shè)計(jì)成將訪問(wèn)傳達(dá)至不安全運(yùn)行時(shí)環(huán)境中的至少部分應(yīng)用。
[0040]應(yīng)用過(guò)濾器接口能夠被設(shè)為硬件過(guò)濾器接口的可替代方案或者除硬件過(guò)濾器接口之外的另一方案。可選地，應(yīng)用過(guò)濾器接口和硬件過(guò)濾器接口兩者都被提供和設(shè)計(jì)以用于交互。
[0041]依據(jù)本發(fā)明的一個(gè)發(fā)展，過(guò)濾器接口被以這樣一種方式耦合到用戶輸出設(shè)備，例如移動(dòng)終端(例如蜂窩電話)的擴(kuò)音器、振動(dòng)鈴聲器等等，即在經(jīng)由過(guò)濾器接口從不安全運(yùn)行時(shí)環(huán)境到安全運(yùn)行時(shí)環(huán)境或/和從安全運(yùn)行時(shí)環(huán)境到不安全運(yùn)行時(shí)環(huán)境(也就是說(shuō)跨越安全和不安全運(yùn)行時(shí)環(huán)境之間的邊界)實(shí)現(xiàn)的任何訪問(wèn)之時(shí)，微處理器的用戶可感覺(jué)到的用戶消息被用戶輸出設(shè)備輸出。結(jié)果，用戶被使得知道跨越安全和不安全運(yùn)行時(shí)環(huán)境之間的邊界發(fā)生的任何訪問(wèn)，并且能夠例如識(shí)別安全關(guān)鍵數(shù)據(jù)是否到達(dá)以及被從過(guò)濾器接口轉(zhuǎn)發(fā)到安全運(yùn)行時(shí)環(huán)境或/和數(shù)據(jù)是否被從安全運(yùn)行時(shí)環(huán)境輸出到不安全運(yùn)行時(shí)環(huán)境。用戶輸出能夠被配置例如為被移動(dòng)終端輸出的旋律。
[0042]可選地，對(duì)于一方面從不安全運(yùn)行時(shí)環(huán)境到安全運(yùn)行時(shí)環(huán)境以及另一方面從安全運(yùn)行時(shí)環(huán)境到不安全運(yùn)行時(shí)環(huán)境跨越安全和不安全運(yùn)行時(shí)環(huán)境的訪問(wèn)，用戶可區(qū)別的不同用戶輸出被輸出。通過(guò)示例的方式，不同的旋律取決于訪問(wèn)方向(從不安全運(yùn)行時(shí)環(huán)境到安全運(yùn)行時(shí)環(huán)境或從安全運(yùn)行時(shí)環(huán)境到不安全運(yùn)行時(shí)環(huán)境)而被輸出。
[0043]依據(jù)一個(gè)變例，用戶消息總是在微處理器在安全運(yùn)行時(shí)環(huán)境內(nèi)的操作期間被操作。在這個(gè)變例中，因此，在從不安全運(yùn)行時(shí)環(huán)境到安全運(yùn)行時(shí)環(huán)境的訪問(wèn)之時(shí)輸出的用戶消息在在訪問(wèn)之后立即被輸出，以便向用戶通知操作現(xiàn)在實(shí)際上正在安全運(yùn)行時(shí)環(huán)境中發(fā)生。在從安全運(yùn)行時(shí)環(huán)境到不安全運(yùn)行時(shí)環(huán)境的訪問(wèn)之時(shí)，在這個(gè)變例中，用戶消息在在訪問(wèn)之前被立即輸出以便向用戶報(bào)警隨即將離開(kāi)安全運(yùn)行時(shí)環(huán)境?？商娲鼗蚋郊拥?，能夠在程序執(zhí)行實(shí)際上已經(jīng)離開(kāi)了安全運(yùn)行時(shí)環(huán)境之后輸出用戶消息。同樣地，可替代地或附加地，能夠在安全運(yùn)行時(shí)環(huán)境被程序執(zhí)行進(jìn)入之前輸出用戶消息。
【專利附圖】

【附圖說(shuō)明】
[0044]下面基于示例性實(shí)施例并且參考附圖對(duì)本發(fā)明更詳細(xì)地說(shuō)明，其中在示意圖示中:
[0045]圖1示出了依據(jù)本發(fā)明的一個(gè)實(shí)施例的包括應(yīng)用過(guò)濾器接口的微處理器系統(tǒng)；
[0046]圖2示出了依據(jù)本發(fā)明的一個(gè)實(shí)施例的包括硬件過(guò)濾器接口的微處理器系統(tǒng)；
[0047]圖3示出了依據(jù)本發(fā)明的一個(gè)實(shí)施例的包括應(yīng)用過(guò)濾器接口和硬件過(guò)濾器接口的微處理器系統(tǒng)；
【具體實(shí)施方式】
[0048]圖1示出了依據(jù)本發(fā)明的一個(gè)實(shí)施例的微處理器系統(tǒng)，其具有ARM架構(gòu)，具有不安全運(yùn)行時(shí)環(huán)境100和安全運(yùn)行時(shí)環(huán)境200以及具有在所有情況下部分實(shí)現(xiàn)在不安全運(yùn)行時(shí)環(huán)境100中和部分實(shí)現(xiàn)在安全運(yùn)行時(shí)環(huán)境200中的應(yīng)用過(guò)濾器接口 TLC(信任小程序連接器)。不安全運(yùn)行時(shí)環(huán)境100被正常操作系統(tǒng)HLOS控制。安全運(yùn)行時(shí)環(huán)境200被安全操作系統(tǒng)MobiCore控制。不安全運(yùn)行時(shí)環(huán)境100與安全運(yùn)行時(shí)環(huán)境200之間在操作系統(tǒng)層的訪問(wèn)借助于安全驅(qū)動(dòng)器MobiCore驅(qū)動(dòng)器來(lái)執(zhí)行。應(yīng)用APP (例如支付交易應(yīng)用)中的多數(shù)APP-S被以可在安全運(yùn)行時(shí)環(huán)境200中執(zhí)行的方式實(shí)現(xiàn)在安全操作系統(tǒng)MobiCore下。應(yīng)用APP (例如支付交易應(yīng)用)的剩余部分APP-N被以可在不安全運(yùn)行時(shí)環(huán)境100中執(zhí)行的方式實(shí)現(xiàn)在正常操作系統(tǒng)HLOS下。根據(jù)本發(fā)明的應(yīng)用過(guò)濾器接口 TLC(信任小程序連接器)直接地在應(yīng)用層使得能實(shí)現(xiàn)被以可在安全運(yùn)行時(shí)環(huán)境200中執(zhí)行的方式實(shí)現(xiàn)在安全操作系統(tǒng)MobiCore下的應(yīng)用APP的部分APP-S與被以可在不安全運(yùn)行時(shí)環(huán)境100中執(zhí)行的方式實(shí)現(xiàn)在正常操作系統(tǒng)HLOS下的應(yīng)用APP的部分APP-N之間的直接訪問(wèn)。用于外圍結(jié)構(gòu)PER(例如觸摸屏顯示器)的驅(qū)動(dòng)器被以常規(guī)方式實(shí)現(xiàn)在依據(jù)圖1的正常操作系統(tǒng)HLOS下，并且能夠至多經(jīng)由安全驅(qū)動(dòng)器MobiCore驅(qū)動(dòng)器與安全運(yùn)行時(shí)環(huán)境200進(jìn)行通信。能夠至多經(jīng)由安全驅(qū)動(dòng)器MobiCore驅(qū)動(dòng)器從不安全運(yùn)行時(shí)環(huán)境100達(dá)到在安全操作系統(tǒng)MobiCore下實(shí)現(xiàn)的新穎簡(jiǎn)化的驅(qū)動(dòng)器PER-S。在不安全運(yùn)行時(shí)環(huán)境100中，外圍驅(qū)動(dòng)器PER以由Linux I2C驅(qū)動(dòng)器所控制的方式經(jīng)由I2C總線系統(tǒng)與正常操作系統(tǒng)HLOS進(jìn)行通信。在安全運(yùn)行時(shí)環(huán)境200中，經(jīng)簡(jiǎn)化的外圍驅(qū)動(dòng)器PER-S以由其中的I2C驅(qū)動(dòng)器所控制的方式經(jīng)由在安全運(yùn)行時(shí)環(huán)境200中實(shí)現(xiàn)的I2C總線系統(tǒng)與安全操作系統(tǒng)MobiCore進(jìn)行通信。外圍驅(qū)動(dòng)器PER與PER-S之間的通信能夠借助于MobiCore驅(qū)動(dòng)器至多在操作系統(tǒng)層發(fā)生。
[0049]圖2示出了依據(jù)本發(fā)明的一個(gè)實(shí)施例的微處理器系統(tǒng)，其包括硬件過(guò)濾器接口即虛擬I2C驅(qū)動(dòng)器。除非在這里另外描述，否則具有與圖1中相同的命名的部分對(duì)應(yīng)于來(lái)自圖1的部分。用于外圍結(jié)構(gòu)PER(例如觸摸屏顯示器)的驅(qū)動(dòng)器被實(shí)現(xiàn)在正常操作系統(tǒng)HLOS下。用于外圍結(jié)構(gòu)的新穎簡(jiǎn)化的外圍驅(qū)動(dòng)器PER-S被實(shí)現(xiàn)在安全操作系統(tǒng)MobiCore下。在每種情況下部分地實(shí)現(xiàn)在不安全運(yùn)行時(shí)環(huán)境100中并且部分地實(shí)現(xiàn)在安全運(yùn)行時(shí)環(huán)境200中的虛擬I2C驅(qū)動(dòng)器(示例性的硬件過(guò)濾器接口)在硬件層更準(zhǔn)確地說(shuō)在I2C總線層使得能實(shí)現(xiàn)在正常操作系統(tǒng)HLOS下實(shí)現(xiàn)的外圍驅(qū)動(dòng)器PER與在安全操作系統(tǒng)下實(shí)現(xiàn)的經(jīng)簡(jiǎn)化的外圍驅(qū)動(dòng)器PER-S MobiCore之間的安全通信。在不安全運(yùn)行時(shí)環(huán)境100中，外圍驅(qū)動(dòng)器PER經(jīng)由Linux I2C驅(qū)動(dòng)器與正常操作系統(tǒng)HLOS進(jìn)行通信。在安全運(yùn)行時(shí)環(huán)境200中，經(jīng)簡(jiǎn)化的外圍驅(qū)動(dòng)器PER-S經(jīng)由其中的I2C驅(qū)動(dòng)器與安全操作系統(tǒng)MobiCore進(jìn)行通信。硬件過(guò)濾器接口(即虛擬I2C驅(qū)動(dòng)器)在比操作系統(tǒng)層更接近于外圍驅(qū)動(dòng)器的層的硬件層處在總線系統(tǒng)在HLOS下的LinuxI2C驅(qū)動(dòng)器與總線系統(tǒng)在MobiCore下的I2C驅(qū)動(dòng)器之間提供安全通信信道。在來(lái)自圖2的示例性實(shí)施例中，應(yīng)用APP中的部分APP-N、APP-S能夠主要借助于MobiCore驅(qū)動(dòng)器僅至多在操作系統(tǒng)層與彼此進(jìn)行通信。
[0050]圖3示出了依據(jù)本發(fā)明的一個(gè)實(shí)施例的微處理器系統(tǒng)，其包括應(yīng)用過(guò)濾器接口TLC和硬件過(guò)濾器接口虛擬I2C驅(qū)動(dòng)器。圖3因此首先圖示了來(lái)自圖1和圖2的實(shí)施例的組合。此外，應(yīng)用過(guò)濾器接口 TLC和硬件過(guò)濾器接口虛擬I2C驅(qū)動(dòng)器協(xié)作。就不安全運(yùn)行時(shí)環(huán)境100而言，硬件過(guò)濾器接口(虛擬I2C驅(qū)動(dòng)器)經(jīng)由總線系統(tǒng)Linux I2C驅(qū)動(dòng)器與外圍驅(qū)動(dòng)器PER進(jìn)行通信。對(duì)于安全運(yùn)行時(shí)環(huán)境200，硬件過(guò)濾器接口(虛擬I2C驅(qū)動(dòng)器)與應(yīng)用過(guò)濾器接口 TLC進(jìn)行通信并且因此從硬件層改變?yōu)閼?yīng)用層。最后，應(yīng)用過(guò)濾器接口TLC在應(yīng)用層進(jìn)入到安全運(yùn)行時(shí)環(huán)境200中與經(jīng)簡(jiǎn)化的外圍驅(qū)動(dòng)器PER-S進(jìn)行通信。
【權(quán)利要求】
1.一種微處理器系統(tǒng)，能實(shí)現(xiàn)或者被實(shí)現(xiàn)在移動(dòng)終端中并且包括: -正常操作系統(tǒng)(HLOS)，該正常操作系統(tǒng)被設(shè)計(jì)用于生成并且維護(hù)不安全運(yùn)行時(shí)環(huán)境(100)， -安全操作系統(tǒng)(MobiCore)，該安全操作系統(tǒng)被設(shè)計(jì)用于生成并且維護(hù)安全運(yùn)行時(shí)環(huán)境(200)，以及 -在所述正常操作系統(tǒng)(HLOS)與所述安全操作系統(tǒng)(MobiCore)之間的操作系統(tǒng)接(MobiCore驅(qū)動(dòng)器)，所述操作系統(tǒng)接口被設(shè)計(jì)成在操作系統(tǒng)層安全地控制所述不安全運(yùn)行時(shí)環(huán)境(100)與所述安全運(yùn)行時(shí)環(huán)境(200)之間的通信， 其特征在于 至少一個(gè)過(guò)濾器接口(虛擬I2C驅(qū)動(dòng)器；TLC)，該至少一個(gè)過(guò)濾器接口被設(shè)計(jì)成在不同于所述操作系統(tǒng)層的層安全地控制所述不安全運(yùn)行時(shí)環(huán)境(100)與所述安全運(yùn)行時(shí)環(huán)境(200)之間的通信。
2.如權(quán)利要求1所述的微處理器系統(tǒng)，其中所提供的所述過(guò)濾器接口是硬件過(guò)濾器接口(虛擬I2C驅(qū)動(dòng)器)，該硬件過(guò)濾器接口被設(shè)計(jì)成在硬件層安全地控制所述不安全運(yùn)行時(shí)環(huán)境(100)與所述安全運(yùn)行時(shí)環(huán)境(200)之間的通信。
3.如權(quán)利要求2所述的微處理器系統(tǒng)，其中在所述硬件層處的控制被實(shí)現(xiàn)為經(jīng)由總線系統(tǒng)(I2C)的控制。
4.如權(quán)利要求2或3所述的微處理器系統(tǒng)，進(jìn)一步包括:· 用于所述移動(dòng)終端的外圍結(jié)構(gòu)的至少一個(gè)驅(qū)動(dòng)器(PER)，所述至少一個(gè)驅(qū)動(dòng)器能夠由所述正常操作系統(tǒng)(HLOS)驅(qū)動(dòng)并且能夠在所述不安全運(yùn)行時(shí)環(huán)境(100)中執(zhí)行，以及其特征還在于 用于所述外圍結(jié)構(gòu)的優(yōu)選地簡(jiǎn)化的驅(qū)動(dòng)器(PER-S)，所述驅(qū)動(dòng)器能夠由所述安全操作系統(tǒng)(MobiCore)驅(qū)動(dòng)并且能夠在所述安全運(yùn)行時(shí)環(huán)境(200)中執(zhí)行以及優(yōu)選地僅具有能夠在所述不安全運(yùn)行時(shí)環(huán)境(100)中執(zhí)行的所述驅(qū)動(dòng)器(PER)的功能的子集， 以及在于 所述硬件過(guò)濾器接口(虛擬I2C驅(qū)動(dòng)器)被設(shè)計(jì)成在所述硬件層安全地控制能夠在所述不安全運(yùn)行時(shí)環(huán)境(100)中執(zhí)行的用于外圍結(jié)構(gòu)的所述驅(qū)動(dòng)器(PER)與能夠在所述安全運(yùn)行時(shí)環(huán)境(200)中執(zhí)行的用于所述外圍結(jié)構(gòu)的優(yōu)選地簡(jiǎn)化的驅(qū)動(dòng)器(PER-S)之間的通?目。
5.如權(quán)利要求4所述的微處理器系統(tǒng)，其中所述硬件過(guò)濾器接口(虛擬I2C驅(qū)動(dòng)器)被設(shè)計(jì)為:針對(duì)與安全的相關(guān)性來(lái)檢查對(duì)外圍結(jié)構(gòu)的驅(qū)動(dòng)器(PER、PER-S)的訪問(wèn)，并且在其中所述訪問(wèn)被識(shí)別為與安全相關(guān)的情況下，將所述訪問(wèn)傳達(dá)至所述安全運(yùn)行時(shí)環(huán)境(200)中的優(yōu)選地簡(jiǎn)化的驅(qū)動(dòng)器(PER-S)，以及在其中所述訪問(wèn)被識(shí)別為不與安全相關(guān)的情況下，將所述訪問(wèn)傳達(dá)至所述不安全運(yùn)行時(shí)環(huán)境(100)中的驅(qū)動(dòng)器(PER)。
6.如權(quán)利要求1至5中任一項(xiàng)所述的微處理器系統(tǒng)， 其中所提供的所述過(guò)濾器接口是應(yīng)用過(guò)濾器接口(TLC)，該過(guò)濾器接口被設(shè)計(jì)成在所述應(yīng)用層安全地控制所述不安全運(yùn)行時(shí)環(huán)境(100)與所述安全運(yùn)行時(shí)環(huán)境(200)之間的通?目。
7.如權(quán)利要求6所述的微處理器系統(tǒng)，還包括:至少一個(gè)應(yīng)用(APP)， 其特征在于 所述應(yīng)用(APP)至少部分地是能夠由所述正常操作系統(tǒng)(HLOS)驅(qū)動(dòng)并且能夠在所述不安全運(yùn)行時(shí)環(huán)境(100)中執(zhí)行的(APP-N)，并且至少部分地是能夠由所述安全操作系統(tǒng)(MobiCore)驅(qū)動(dòng)并且能夠在所述安全運(yùn)行時(shí)環(huán)境(200)中執(zhí)行的(APP-S)， 以及在于 所述應(yīng)用過(guò)濾器接口(TLC)被設(shè)計(jì)成在所述應(yīng)用層安全地控制能夠在所述不安全運(yùn)行時(shí)環(huán)境中(100)執(zhí)行的至少部分應(yīng)用(APP-N)與能夠在所述安全運(yùn)行時(shí)環(huán)境(200)中執(zhí)行的至少部分應(yīng)用(APP-S)之間的通信。
8.如權(quán)利要求7所述的微處理器系統(tǒng)，其中所述應(yīng)用過(guò)濾器接口(TLC)被設(shè)計(jì)成:針對(duì)與安全的相關(guān)性來(lái)檢查對(duì)所述應(yīng)用(APP)的訪問(wèn)，并且在其中所述訪問(wèn)被識(shí)別為與安全相關(guān)的情況下，將所述訪問(wèn)傳達(dá)至所述安全運(yùn)行時(shí)環(huán)境(200)中的所述至少部分應(yīng)用(APP-S)，以及在其中所述訪問(wèn)被識(shí)別為不與安全相關(guān)的情況下，將所述訪問(wèn)傳達(dá)至所述不安全運(yùn)行時(shí)環(huán)境(100)中的所述至少部分應(yīng)用(APP-N)。
9.如權(quán)利要求1至8中任一項(xiàng)所述的微處理器系統(tǒng)，其中過(guò)濾器接口(虛擬I2C驅(qū)動(dòng)器；TLC)以這樣一種方式被耦合到用戶輸出設(shè)備，即:在經(jīng)由所述過(guò)濾器接口(虛擬I2C驅(qū)動(dòng)器；TLC)從所述不安全運(yùn)行時(shí)環(huán)境(100)到所述安全運(yùn)行時(shí)環(huán)境(200)或/和從所述安全運(yùn)行時(shí)環(huán)境(200)到所述不安全運(yùn)行時(shí)環(huán)境(100)實(shí)現(xiàn)的任何訪問(wèn)之時(shí)，所述微處理器的用戶能夠感覺(jué)到的用戶消息被所述用戶輸出設(shè)備輸出。
10.如權(quán)利要求9所述的微處理器系統(tǒng)，其中所述過(guò)濾器接口(虛擬I2C驅(qū)動(dòng)器；TLC)被以這樣一種方式I禹合到所述用戶輸出設(shè)備，即:對(duì)于一方面從所述不安全運(yùn)行時(shí)環(huán)境(100)到所述安全運(yùn)行時(shí)環(huán)境(200)以及另一方面從所述安全運(yùn)行時(shí)環(huán)境(200)到所述不安全運(yùn)行時(shí)環(huán)境(100)的訪問(wèn)來(lái)說(shuō)，`所述用戶可區(qū)別的不同用戶輸出被輸出。
【文檔編號(hào)】G06F9/54GK103858131SQ201280049509
【公開(kāi)日】2014年6月11日 申請(qǐng)日期:2012年10月4日 優(yōu)先權(quán)日:2011年10月7日
【發(fā)明者】斯蒂芬·斯匹茲, 馬庫(kù)斯·蔻爾, 烏爾里奇·馬丁尼 申請(qǐng)人:信特尼有限公司