CN112528288B 可信应用的运行方法、信息处理和内存分配方法及装置 （华为技术有限公司）

本申请实施例公开了一种可信应用程序的应用于部署有可信执行环境TEE和富执行环境TEE上部署有TEE操作系统，TEE操作系统上运行服务的运行请求，向TEE操作系统发送对支持目标服务的目标动态库的加载请求，TEE操作系统2所述TEE操作系统接收所述目标TA响应于目标服务的运行请求发送的加载请求，所述响应于所述加载请求，所述TEE操作系统加载所述目标动态库到所述目标TA的内存空所述TEE操作系统加载所述目标动态库到所述目标TA的内存空间中包系统从所述REE操作系统获取所述目标动态库，并将所述目标动态库加载到所述目标TA的所述TEE操作系统加载所述目标动态库到所述目标TA的内存空间中包系统从所述TEE操作系统的内存空间加载所述目标动态库到所述目标TA的内存空间中，所述TEE操作系统的内存空间中的所述目标动态库为所述TEE操作系统在启动所述目标TA的所述TEE操作系统向所述REE操作系统发送所述目标动态库的传递请包括所述目标动态库的标识，所述传递请求用于指示所述REE操作系统将所述目标动态库所述TEE操作系统接收所述REE操作系统发送的所述目标所述TEE操作系统从所述REE操作系统获取加4.根据权利要求1所述的方法，其特征在于，所述目标服务的运行请求由部署在所述REE操作系统的目标客户端应用程序CA发送，所述目标客户端应用程序CA有调用所述目标所述REE操作系统，所述第一传递请求由所述目标TA响应于所述目标服务的运行请求发送所述TEE操作系统根据目标权限信息判断所述目标TA是否具有调用所述目标动态库的基于所述目标TA具有调用所述目标动态库的权限，所述TEE操作系统将所述目标动态3所述TEE操作系统获取所述目标TA响应于所述目标服务的运行请求发送的内存请求，所述内存请求用于向所述TEE操作系统申请运行所述目标服务所需响应于所述内存请求，所述TEE操作系统所述TEE操作系统将所述第一内存分配给所述目8.根据权利要求6所述的方法，其特征在于，所所述TEE操作系统将所述第一内存配置为安所述TEE操作系统将配置为安全内存的所述第一内存分配给所述目所述TEE操作系统接收所述目标TA发送的TA内存释放请求，所述TA内存释放请求用于所述TEE操作系统将所述第一内存配置为非安所述TEE操作系统释放被配置为非安全内存的所述第所述TEE操作系统向所述REE操作系统发送TEE内存释放请求，所述TEE内存释所述TEE操作系统为所述目标TA提供目标动态库，所述目标动态库由所述目标TA加载所述TEE操作系统为所述目标TA提供所述目标动态库包括，所述TE目标TA响应于所述目标服务的运行请求发送的获取请求，所述获取请求用于指示所述TEE所述TEE操作系统启动目标TA包括，所述TEE操作系统从所述REE操作系统获取一个或述一个或多个动态库被记录在所述目标TA的目标4所述TEE操作系统向所述REE操作系统发送所述目标动态库的传递请包括所述目标动态库的标识，所述传递请求用于指示所述REE操作系统将所述目标动态库所述TEE操作系统接收所述REE操作系统发送的所述目标所述TEE操作系统从所述REE操作系统获取加所述TEE操作系统接收所述REE操作系统响应于第二传递请求发送的所述目标动态库，所述目标服务的运行请求由部署在所述REE操作系统的目标客户端应用程序CA发送，所述应用程序CA响应于第一传递请求发送给所述REE操作系统，所述第一传递请求由所述目标TA响应于所述目标服务的运行请求发送给所述目标客户端应用程所述TEE操作系统接收所述目标TA发送的访问请求，所述访问请求用于请求访问所述基于所述目标TA具有访问所述TEE操作系统的内存空间的权限，所述述目标TA发送允许访问信息，所述允许访问信息用于通知所述目标TA访问所述TEE操作系所述TEE操作系统向所述目标TA发送允许访所述TEE操作系统用于响应于所述加载请求，从所述REE操作系统获取所述目标动态5所述TEE操作系统用于响应于所述加载请求，从所述TEE操作系统目标动态库到所述目标TA的内存空间中，所述TEE操作系统的内存空间中的所述目标动态所述目标TA向目标客户端应用程序CA发送第一传递请求，所述目标客户端所述目标TA将所述TEE操作系统接收的所述目标动态库加载到所述目标TA的内存空间述第二传递请求由所述目标客户端应用程序CA响应于所述第一传递请求发送给所述REE操所述目标TA从所述TEE操作系统的内存空间加载所述目标动态库到所述目标TA的内存21.根据权利要求20所述的方法，其特征在于，所述所述目标TA向所述TEE操作系统发送访问请求，所述访问请求用于请求访问基于接收到所述TEE操作系统发送的允许访问信息，所述目标TA访问将所统的内存空间中的所述目标动态库，并将所述目标动态库加载到所述目标TA的内存空间响应于传递请求，所述REE操作系统获取目标文所述目标文件为目标动态库，所述目标动态库用于加载至目标TA的作系统上部署的一个或多个TA中的任意一个TA，所述传递请求为所述TEE操作系统在启动所述目标TA的过程中发送的或响应于所述目标TA响应于所述目标服务的运行请求发送的所述TEE操作系统向所述REE操作系统发送第一内存请求，所述第一6所述REE操作系统为所述TEE操作系统分所述TEE操作系统接收所述REE操作系统发送的内存分配信息，所述内存所述TEE操作系统将所述目标内存配置为安所述TEE操作系统获取目标TA发送的第二内存请求，所述目标TA为所述T部署的一个或多个TA中的任意一个TA，所述第二内存请求用于向所述TEE操作系统申请内25.根据权利要求24所述的方法，其特征在于，所述TEE操作系统将所述目标内存分配给所述目28.根据权利要求25所述的方法，其特征在于，在所述所述TEE操作系统接收所述目标TA发送的TA内存释放请求，所述TA内存释放请求用于29.根据权利要求28所述的方法，其特征在于，在所述TEE操作系统将所述目标内存配置为非安所述TEE操作系统向所述REE操作系统发送TEE内存释放请求，所述TEE内存释接收模块，用于接收所述目标TA响应于目标服务的运行请求发送加载模块，用于响应于所述加载请求，加载所述目标动所述加载模块，具体用于从所述TEE操作系统的内存空间加载所述目标动态库到所述7统在启动所述目标TA的过程中从所述REE操作系统获取的，所述目标动态库被记录在所述31.根据权利要求30所述的TEE操作系统，其特征在于，所述加载模块包括TEE通信单向所述REE操作系统发送所述目标动态库的传递请求，所述传递请求包括所述目标动32.根据权利要求30所述的TEE操作系统，其特征在于，所述加载模块包括TEE通信单33.根据权利要求30至32中任意一项所述的TE根据目标权限信息判断所述目标TA是否具有调用所基于所述目标TA具有调用所述目标动态库的权限，将所述目标获取所述目标TA响应于所述目标服务的运行请求发送的内存请求将配置为安全内存的所述第一内存分配给所述在将所述第一内存分配给所述目标TA之后，接收所述目标TA发送的TA内存释放请求，放请求用于请求所述REE操作系统释放所述第8动态库提供模块，用于为所述目标TA提供目标动态库，所述所述动态库提供模块，具体用于接收所述目标TA响应于所述目标服向所述REE操作系统发送所述目标动态库的传递请求，所述传递请求包括所述目标动接收所述REE操作系统响应于第二传递请求发送的所述目标动态库，所述目标服务的运行请求由部署在所述REE操作系统的目标客户端应用程序CA发送，所述目标客户端应用于第一传递请求发送给所述REE操作系统，所述第一传递请求由所述目标TA响应于所述目标服务的运行请求发送给所述目标客户端应用程序43.根据权利要求39至42中任一项所述的TEE操作系统，访问请求接收单元，用于接收所述目标TA发送的访问请求，允许信息发送单元，用于基于所述目标TA具有访问所述TEE操作系统的内存空间的权44.根据权利要求43所述的TEE操作系统，其特征在于，所9所述TEE操作系统用于响应于所述加载请求，从所述REE操作系统获取所述目标动态所述TEE操作系统用于响应于所述加载请求，从所述TEE操作系统目标动态库到所述目标TA的内存空间中，所述TEE操作系统的内存空间中的所述目标动态将所述TEE操作系统接收的所述目标动态库加载到所述目标TA的内存空间中，所述目请求由所述目标客户端应用程序CA响应于所述第一传递请求发送给所从所述TEE操作系统的内存空间加载所述目标动态库到所述目标TA的内存空基于接收到所述TEE操作系统发送的允许访问信息，访问将所述TE所述目标文件为目标动态库，所述目标动态库用于加载至目标TA的作系统上部署的一个或多个TA中的任意一个TA，所述传递请求为所述TEE操作系统在启动所述目标TA的过程中发送的或响应于所述目标TA响应于所述目标服务的运行请求发送的目标TA为所述TEE操作系统上部署的一个或多个TA中的任意一个TA，所述第二内存请求用53.根据权利要求51或52所述的TEE操作54.根据权利要求51至53中任一项所述的TE在所述内存配置模块将所述第一内存分配给所述目标TA之后所述内存申请模块还用于向所述REE操作系统发送TEE内存释放请求，所述TEE内存释放请求用于请求所述REE操作系统释放所述目操作环境的富执行环境(richexecutionenvrironment，REE)和可信执行环境(trusted器上的富操作系统(richoperatingsystem，RichOS)和运行在RichOS上的客户端应用例如TEE内存，二者只能通过授权的应用程序编程接口(applicationprogramming[0007]以该TEE操作系统中部署的某个TA(称作目标TA)和目标TA提供的某个服务(称作目标服务时所需利用的程序模块)被加载至目标T(一般为.so文件)和可执行文件(一般为.os文件)一般都是可执行和可链接格式的引用(比如引用对象的标识)及其他登记信息(比如符号表和重定位信息等)添加在该目接收CA或其他TA发送的目标服务的运行请求，或自发启动(或产生)目标服务的运行请求，[0012]1)本申请实施例第一方面提供的TA的运行方法中，TEE操作系统可以在目标TA接收到目标服务的运行请求后，将用于支持目标服务的目标动态库加载至目标TA的内存空[0013]2)由TEE操作系统将目标动态库加载至目标TA中，无需为目标TA配置加载目标动目标动态库便可以运行目标服务，而是限定目标TA运行目标服务至少需要利用目标动态[0017]可以认为TEE的内存包括映射给TA的内存，在本申请实施例中可以称作TA的内存存包括映射给CA的内存，在本申请实施例中可以称作CA的内存空间，或者称作CA的内存；REE的内存还包括映射给REE操作系统的内存，在本申请实施例中可以称作REE操作系统的内存空间，TEE操作系统响应于加载请求加载目标动态库到目标TA的内存空间中，可以包收到目标服务的运行请求，TEE操作系统可以不用将目标动态库从REE的存储设备获取至[0021]在本申请实施例第一方面的第二种可能的实现方式中，目标动态库可以存储在[0022]本实现方式中不限定TEE操作系统发送的传递请求的具体内容及内容形式，只要[0023]在本申请实施例第一方面的第二种可能的实现方式和第一方面的第三种可能的可以从REE操作系统获取目标动态库对应的加密信息和标准签名，先验证加密信息的签名得到目标动态库和标准签名，TEE操作系统可以验证目标动态库的签名与标准签名是否一操作系统响应于目标TA发送的加载请求从REE操作系统获取的，而在本申请实施例第一方面的第六种可能的实现方式中，目标动态库是由REE侧响应于目标TA发送的第一传递请求发送给TEE操作系统的。下面对本申请实施例第一方面的第六种可能的实现方式中进行具向目标TA发送目标服务的运行请求的CA(本申请实施例中称作目标CA)，REE操作系统上部[0030]1)为目标CA配置了访问REE的目标存储区域的权限，目标存储区域中存储有目标[0033]基于本申请实施例第一方面或第一方面的第一种可能的实现方式至第一方面的TA的内存空间，该目标文件中记录了目标TA在运行服务的过程中所需利用的各个动态库，[0034]TEE操作系统在启动目标TA的过程中获取的动态库可以为该目标文件中记录的全将会提高TEE操作系统将目标动态库加载至目标TA的[0035]若TEE操作系统在启动目标TA的过程中仅预先获取目标文件中记录的部分动态或第一方面的第一种可能的实现方式至第一方面的第六种可能的实现方式中任意一种可目标动态库设置目标权限信息，目标权限信息用于表示哪些TA具有调用目标动态库的权标动态库对应目标权限信息，可以将目标权限信息与目标动态库共同加密为同一加密文[0038]继续以该TEE操作系统中部署的某个TA(称作目标TA)和目标TA提供的某个服务[0040]在前述第一方面提供的TA的运行方法和第一方面的各个实现方式中，TEE操作系和TA能够实现的各个功能对应的程序模块均加载至TA的内存空间，和现有技术不同的是，目标动态库便可以运行目标服务，而是限定目标TA运行目标服务至少需要利用目标动态[0044]目标TA加载目标动态库的过程可以参考前述第一方面TEE操作系统加载目标动态所需加载的目标动态库由TEE操作系统获取，并且，由TEE操作系统将获取到的目标动态库保存在TEE操作系统的内存空间中等。下面提供的本申请第二方面的具体实现方式继续对取请求用于指示TEE操作系统获取该目标动态库；TEE操作系统为目标TA提供目标动态库，可以从REE操作系统获取目标动态库对应的加密信息和标准签名，先验证加密信息的签名得到目标动态库和标准签名，TEE操作系统可以验证目标动态库的签名与标准签名是否一从该目标文件中读取一个或多个动态库的标识，之后从REE操作系统获取相应的一个或多[0055]TEE操作系统在启动目标TA的过程中获取的动态库可以为该目标文件中记录的全将会提高TEE操作系统将目标动态库加载至目标TA的[0056]若TEE操作系统在启动目标TA的过程中仅预先获取目标文件中记录的部分动态高TEE操作系统的内存空间中信息的安全性，TEE操作系统可以为TEE操作系统的内存空间的第八种可能的实现方式中，为了进一步提高TEE操作系统的内存空间中保存的目标动态目标TA在TEE操作系统中访问的具体文件，若目标TA的访问请求用于请求访问所述目标动[0059]继续以该TEE操作系统中部署的某个TA(称作目标TA)和目标TA提供的某个服务和TA能够实现的各个功能对应的程序模块均加载至TA的内存空间，和现有技术不同的是，目标动态库便可以运行目标服务，而是限定目标TA运行目标服务至少需要利用目标动态TEE的目标存储区域进行访问和配置属性(可执行或可读等)的权限，目标存储区域为保存库被TEE操作系统保存在TEE操作系统的内存空间，目标TA需要访问TEE操作系统的内存空[0072]基于本申请实施例第三方面的第一种至第四种可能的实现方式中任意一种可能提供目标动态库可以理解为，TEE操作系统将目标动态库保存在TEE操作系统的内存空间，目标TA加载TEE操作系统提供的目标动态库到目标TA的内存空间中，可以包括：目标TA从TEE操作系统的内存空间加载目标动态库到目标TA的内存空统的内存空间中信息的安全性，TEE操作系统可以为TEE操作系统的内存空间设置访问权操作系统可以根据访问请求判断目标TA是否具有访问TEE操作系统的内存空间的权限，若[0075]基于第四方面提供的方法，在本申请实施例第四方面的第一种可能的实现方式[0076]基于第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式(比如REE操作系统或CA)只能访问非安全内存，TEE中的进程(比如TEE操作系统或TA)只能第二内存请求用于向TEE操作系统申请目标TA运行目标服务[0085]基于第五方面的第二种可能的实现方式，在第五方面的第五种可能的实现方式可以接收目标TA发送的内存释放请求(为了便于区分，将此处目标TA发送的内存释放请求内存释放请求，TEE操作系统可以释放目标内存。TEE操作系统释放目标内存可以理解为，[0086]基于第五方面的第五种可能的实现方式，在第五方面的第六种可能的实现方式[0088]本申请实施例第五方面的第一种至第六种可能的实现方式中任意一种可能的实示所述REE操作系统将所述目标动态库发送到所述TEE操作系统；接收所述REE操作系统发TA是否具有调用所述目标动态库的权限；基于所述目标TA具有调用所述目标动态库的权[0104]在一种可能的实现方式中，所述动态库获取单元用于从所述REE操作系统获取所用于指示所述REE操作系统将所述目标动态库发送到所述TEE操作系统；接收所述REE操作响应于第二传递请求发送的所述目标动态库，所述目标服务的运行请求由部署在所述REE二传递请求由所述目标CA响应于第一传递请求发送给所述REE操作系统，所述第一传递请求由所述目标TA响应于所述目标服务的运行请求发送给允许访问信息用于通知所述目标TA访问所述许信息发送单元用于：基于所述目标TA具有访问所述TEE操作系统的内存空间的权限，并所述目标TA为所述一个或多个TA中的任意一个TA，所述目标服务为所述目标TA提供的服[0112]在一种可能的实现方式中，所述目标动态库由所述TEE操作系统提供给所述目标[0113]在一种可能的实现方式中，所述加载模块用于：向所述TEE操作系统发送获取请取到的所述目标动态库加载到所述目标TA的述目标服务的运行请求由所述目标CA发送；将所述TEE操作系统接收的所述目标动态库加载到所述目标TA的内存空间中，所述目标动态库由所述REE操作系统响应于第二传递请求发送给所述TEE操作系统，所述第二传递请求由所述目标CA响应于所述第一传递请求发送所述TEE操作系统的内存空间中的所述目标动态库，并将所述目标动态库加载到所述目标所述目标TA为所述TEE操作系统上部署的一个或多个TA中的任意一个TA，所述第二内存请[0132]所述内存申请模块还用于向所述REE操作系统发送TEE内存释放请求，所述TEE内存释放请求用于请求所述REE操作系统释放所能的实现方式，或者执行如本申请实施例第二方面或第二方面的任意一种可能的实现方能的实现方式，或者执行如本申请实施例第三方面或第三方面的任意一种可能的实现方如本申请实施例第五方面或第五方面的任意[0147]图7是本申请REE操作系统向TEE操作系统传递动态库的方法另一个实施例示意备的丰富功能和可扩展属性，终端设备通常是构建在提供开放式操作环境的富执行环境信息泄露和恶意软件传播提供了通道，使终端设备暴露在不断增长的多种形式的攻击之[0158]为了保护用户隐私和信息安全，全球平台组织提出了可信执行环境(trusted构建在REE和TEE之上，TEE是运行于REE之外的独立运行环境，主要包括可信操作系统方式中，可以由监控系统(monitor系统)完成处理器在REE操作系统和TEE操作系统之间的的TEE中的进程(比如TA的进程或TEE操作系统的进程)和REE中的进程(比如CA的进程或REE括TEE内存，TEE内存包括分配给TA的内存(TA内存)和TEE操作系统的内存(TEE操作系统内[0162]假设CA2在运行过程中需要调用指纹TA执行指纹比对服务，而指纹TA尚未启动，CA2可以从REE的ROM中获取指纹TA的目标文件，向TEE操作系统发送对指纹TA的创建请求，[0166]TEE操作系统可以根据对指纹TA的创建请求为指纹TA分配内存，将指纹TA的目标[0170]指纹TA获取到CA2发送的指纹比对服务请求后，可以利用指纹TA的目标文件执行[0175]TA的目标文件一般可以从逻辑上被认为包括目标TA运行服务时所利用的运行用[0176]图2C中以指纹TA的代码段和数据段包括指纹比对服务所需的三个功能对应的程个程序模块执行指纹比对服务的过程可以参考如下步骤202B至2验证结果接受或拒绝用户访问被保护内容(加密文档或付款界面等套件(GNUcompilercollection，gcc)分别将指纹模块1至指纹模块n编译为动态库1至动施例中，以将TA所需调用的动态库加密签名后保存在REE的存储设备中为例，在实际应用示出了指纹TA加载动态库1的示意图，图3C仅用于简洁的示出指纹TA加载动态库1的过程，图3C中省略的REE和TEE中的其他部分(比如REE操作系统和TEE操作系统等)可以参考图1进重定位信息等)被嵌入到目标TA的目标文件中，目标TA在执行目标服务时可以调用目标动[0197]基于TEE操作系统内存中未存储目标动态库，TEE操作系统可以向REE操作系统发送对目标动态库的传递请求。假设REE操作系统中的代理(agent)进程用于向TEE操作系统在vendor/bin目录下查找目标动态库的加密文件。示例性的，为了唯一标识目标TA所需调用的目标动态库，目标动态库的加密文件的文件名可以为uuid1-fingerdriver1.soREE操作系统可以根据接收到的传递请求中目标TA的标识“uuid1”和目标动态库的标识[0205]TEE操作系统得到目标动态库后，可以将目标动态库存储在TEE操作系统内存(例内存的权限和配置自身内存属性的权限，由TEE操作系统将目标动态库加载至目标TA的内[0210]TA的部分功能对应的程序段被单独封装为动态库，提高了TA加载策略的灵活的加密文件，该加密文件通过解密验证后，TEE操作系统可以将该动态库加载至TA的内存可以将指纹识别设备的型号所对应的动态库存储在TEE操作系统内存中，而不获取其他型[0214]411、TEE操作系统根据目标权限信息判断目标TA是否具有调用目标动态库的权[0217]在一种可能的实现方式中，可以将TA标识添加至目标动TEE操作系统可以从目标动态库的文件名中读取TA标识，判断目标TA的标识与TA标识是否[0220]若目标TA不具有调用目标动态库的权限，TEE操作系统可以拒绝目标TA的对目标动态库仅可以被该标识对应的TA调用。TEE操作系统在对目标动态库的加密文件进行解密[0225]4081、TEE操作系统将目标动态库和目标权限信息关联存储在TEE操作系统内存[0226]TEE操作系统得到目标动态库和目标权限信息后，为了便于确定目标动态库的目标权限信息，可以将目标动态库和目标权限信息关联存储在TEE操作系统内存(例如文件在本申请TA的运行方法另一个实施例中，也可以选择为TA设置访问TEE操作系统内存的权[0243]示例性的，目标TA可以调用dlsym接口来获取目标动态库中的函数的代码，完成[0247]基于TEE操作系统将目标动态库存储在TEE操作系统内存，目标TA可以向TEE操作系统发送对TEE操作系统内存中目标动态库的访问请求，该访问请求可以包括目标动态库[0248]512、TEE操作系统根据目标权限信息判断目标TA是否具有调用目标动态库的权[0249]TEE操作系统根据目标权限信息判断目标TA是否具有调用目标动态库的权限的方[0251]基于目标TA获取到TEE操作系统发送的目标动态库的允许访问信息，目标TA可以[0253]基于目标TA获取到TEE操作系统发送的目标动态库的拒绝访问通知，目标TA无法且目标TA具有调用目标动态库的权限，TEE操作系统才向目标TA发送目标动态库的允许访库已被存储在TEE操作系统内存中，则TEE操作系统将目标动态库从TEE操作系统内存中加[0256]由于目标TA获取到目标服务的运行请求前，目标动态库可能已经存储在TEE操作过程中可能不需要调用其目标文件中记录的部分动态库，而TEE操作系统在目标TA初始化的过程中将目标TA可能会调用的各个动态库均加载至目标TA的内存中，容易造成TEE的安根据第一传递请求从REE的存储设备中获取目标动态库[0283]目标CA发送的内存申请用于向REE操作系统申请目标TA运行目标服务所需的内[0289]807、TEE操作系统根据非安全属性配置请求将第一内存的属性修改为非安全内[0300]或者，根据可用的安全内存的大小和TA内存请求申请的内存的大小确定TEE内存[0302]REE操作系统可以向TEE操作系统发送内存分配信息，该内存分配信息用于指示[0310]TEE操作系统需要归还第一内存(即执行步骤911和步骤912)，若第一内存大于第[0311]关于TEE操作系统归还第二内存：TEE操作系统可以在步骤910之后立即归还第二递请求用于指示REE操作系统将目标动态库发送[0336]在一种可能的实现方式中于，TEE操作系统还包括TEE内存模块，TEE内存模块用[0337]获取目标TA响应于目标服务的运行请求发送的内存请求，内存请求用于向TEE操[0355]获取请求接收单元，用于接收目标TA响应于目标服务的运行请求发送的获取请递请求用于指示REE操作系统将目标动态库发送[0365]接收REE操作系统响应于第二传递请求发送的目标动态库，目标服务的运行请求传递请求由目标CA响应于第一传递请求发送给REE操作系统，第一传递请求由目标TA响应操作系统响应于第二传递请求发送给TEE操作系统，第二传递请求由目标CA响应于第一传[0388]向TEE操作系统发送访问请求，访问请求用于