CN108509251B - 一种适用于可信执行环境中的安全虚拟化系统 - Google Patents
一种适用于可信执行环境中的安全虚拟化系统 Download PDFInfo
- Publication number
- CN108509251B CN108509251B CN201810222859.5A CN201810222859A CN108509251B CN 108509251 B CN108509251 B CN 108509251B CN 201810222859 A CN201810222859 A CN 201810222859A CN 108509251 B CN108509251 B CN 108509251B
- Authority
- CN
- China
- Prior art keywords
- execution environment
- trusted execution
- virtual machine
- trusted
- tee
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45583—Memory management, e.g. access or allocation
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种适用于可信执行环境中的安全虚拟化系统,包括至少一个虚拟机、至少一个可信应用程序以及至少一个可信执行环境,所述虚拟机通过Micro Hypervisor建立,所述虚拟机上运行有可信执行环境TEE;所述可信应用程序TA运行在所述虚拟机的可执行环境TEE中;所述可信执行环境TEE被配置为以第一模式访问虚拟机,实现资源的调用;在所述第一模式下,所述虚拟机确定所述可信执行环境具有访问权限后,将允许所述可信执行环境对所述资源进行访问。有益效果:基于可信虚拟化技术、通过Micro Hypervisor建立一个虚拟机,在此虚拟机上运行GP TEE以及相应TA。因为TEE、TA都在各自的虚拟机上运行,实现了完全的隔离,大大提高了安全性。
Description
技术领域
本发明涉及移动设备的安全虚拟化技术,具体来说,涉及一种适用于可信执行环境中的安全虚拟化系统。
背景技术
TEE是可信执行环境的简称。当前的可信执行环境主要是基于智能终端(如智能手机)中处理器的安全区域构建的可信执行环境。TEE是一个独立的执行区域,它提供了很多安全属性,如隔离性,TA的完整性等,同时TEE也确保了加载到TEE中代码和数据的安全性。传统的TEE技术包含ARM的TrustZone等。GP组织(GlobalPlatform,全球平台国际标准组织)公布了TEE的基本保护范围,相关API和安全属性,符合该标准的TEE被称为GPTEE。同时还有其他的TEE,如N3TEE等。TEE的安全级别介于REE(Rich Execution Environment)和SE(Secure Element)之间。
虚拟化是一种在同一台机器上可以同时运行多种客户操作系统的技术。这种技术要追溯到60年代中期的IBM的大型机上。虚拟化技术在沉寂了很长时间之后,在90年开始复兴,Disco和VMware就是其中的典型代表。随着硬件对虚拟化的支持,新的虚拟化环境开始出现。典型的实施方法是在硬件和主机操作系统之间添加一个软件抽象层。通过在虚拟设备和物理设备之间转换,虚拟抽象层促进了客户操作系统到硬件平台的资源共享和解耦。
目前,TEE的实现方式通常是将TEE与TA绑定作为一个BTA存在,之间与下层的Microkernel或者hypervisor进行通信。这种方式的缺点是进程上运行操作系统的操作空间非常小,将TEE作为一个与TA平行的软件层,则TA与TEE之间就共享了内存区域,无法保证多TA运行而做到TA之间的隔离;造成安全隐患。
针对相关技术中的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中的上述技术问题,本发明提出一种适用于可信执行环境中的安全虚拟化系统,能够保证TA在安全环境下运行。
为实现上述技术目的,本发明的技术方案是这样实现的:
一种适用于可信执行环境中的安全虚拟化系统,包括若干虚拟机、至少一个可信应用程序以及至少一个可信执行环境,
所述虚拟机通过Micro Hypervisor建立,所述虚拟机上运行有可信执行环境TEE;
所述可信应用程序TA运行在所述虚拟机的可执行环境TEE中;
所述可信执行环境TEE被配置为以第一模式访问虚拟机,实现资源的调用;
在所述第一模式下,所述虚拟机确定所述可信执行环境具有访问权限后,将允许所述可信执行环境对所述资源进行访问。
进一步的,所述可信执行环境TEE通过沙箱技术实现,用于提供可信应用程序运行的基本环境和资源。
进一步的,所述可信执行环境中提供的基础管理单元包括但不限于:属性管理单元、Session管理单元、TA管理单元、内存管理单元、异常管理单元。
进一步的,所述可信应用程序TA根据时间片原则、优先级策略轮询使用沙箱所提供的各种资源,每次只运行一个所述可信应用程序TA实例。
进一步的,在第一模式下,所述可信执行环境通过虚拟处理器VCPU访问所述虚拟机,所述虚拟机基于所述虚拟处理器的调用指令,查找所述资源调用对应的线程,在确定所述可信执行环境具有对所述线程的访问权限后,将允许所述可信执行环境对所述资源的调用。
进一步的,所述资源包括硬件资源和软件资源。
进一步的,所述虚拟机通过安全超级调用hypercall的方式陷入内核,由内核对访问中涉及到的内核对象进行能力集管理。
进一步的,对象能力集包括任务Tasks,线程threads, 内部进程通信端口IPCportals, 工厂factories,信号量semaphores,内核对象或者句柄的指针用于被创建、授权和删除。
进一步的,内存能力集包括虚拟内存页,发送一个内存能力集在发送方和接收方之间建立共享内存。
进一步的,IO能力集指对IO端口进行抽象,通过授权IO能力,允许Task或者地址空间访问被指定的IO端口。
本发明的有益效果:通过基于可信虚拟化技术、通过Micro Hypervisor建立一个虚拟机,在此虚拟机上运行GP TEE以及相应TA。因为TEE、TA都在各自的虚拟机上运行,实现了完全的隔离,大大提高了安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例所述的一种适用于可信执行环境中的安全虚拟化系统的示意性结构图;
图2是根据本发明实施例所述的一种适用于可信执行环境中的安全虚拟化系统的一种具体应用示意图;
图3是根据本发明实施例所述的虚拟机中安全超级调用hypercall的访问方式示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,根据本发明实施例所述的一种适用于可信执行环境中的安全虚拟化系统,包括至少一个虚拟机、至少一个可信应用程序以及至少一个可信执行环境,
所述虚拟机通过Micro Hypervisor建立,所述虚拟机上运行有可信执行环境TEE;
所述可信应用程序TA运行在所述虚拟机的可执行环境TEE中;
所述可信执行环境TEE被配置为以第一模式访问虚拟机,实现资源的调用;
在所述第一模式下,所述虚拟机确定所述可信执行环境具有访问权限后,将允许所述可信执行环境对所述资源进行访问。
进一步的,所述可信执行环境TEE通过沙箱技术实现,用于提供可信应用程序运行的基本环境和资源。
进一步的,所述可信执行环境中提供的基础管理单元包括但不限于:属性管理单元、Session管理单元、TA管理单元、内存管理单元、异常管理单元,这些基础模块,确保了TA运行的基本运行环境。
进一步的,所述可信应用程序TA根据时间片原则、优先级策略轮询使用沙箱所提供的各种资源,每次只运行一个所述可信应用程序TA实例。
进一步的,在第一模式下,所述可信执行环境通过虚拟处理器VCPU访问所述虚拟机,所述虚拟机基于所述虚拟处理器的调用指令,查找所述资源调用对应的线程,在确定所述可信执行环境具有对所述线程的访问权限后,将允许所述可信执行环境对所述资源的调用。
进一步的,所述资源包括硬件资源和软件资源。
进一步的,所述虚拟机通过安全超级调用hypercall的方式陷入内核,由内核对访问中涉及到的内核对象进行能力集管理。
进一步的,对象能力集包括任务Tasks,线程threads, 线程通信端口IPCportals, 工厂factories,信号量semaphores,内核对象或者句柄的指针用于被创建、授权和删除。
进一步的,内存能力集包括虚拟内存页,发送一个内存能力集在发送方和接收方之间建立共享内存。
进一步的,IO能力集指对IO端口进行抽象,通过授权IO能力,允许Task或者地址空间访问被指定的IO端口。
为了方便理解本发明的上述技术方案,以下通过具体使用方式上对本发明的上述技术方案进行详细说明。
在具体使用时,如图1所示为本发明所述一种适用于可信执行环境中的安全虚拟化系统的示范性实施例,通过Micro Hypervisor建立虚拟机,在虚拟机上运行有可信执行环境TEE,在可执行环境TEE中运行有可信应用程序TA。当TA的调用过程中,可信执行环境TEE需要访问虚拟机中资源时,虚拟机首先需要确定所述可信执行环境TEE是否具有访问权限,确定可信执行环境TEE对指定资源具有访问权限后,将允许所述可信执行环境对所述资源进行访问。
如图2所示的本发明的一种具体实施例,可信应用TA为多个,每个可信应用均在沙箱中运行。根据本发明的一个示例,虚拟化系统中包括一个沙箱。在可信应用调用沙箱的过程中,采用隔离的方式,即沙箱中只允许一次运行一个可信应用实例,不同的可信应用根据时间片原则和/或优先级策略轮询使用沙箱所提供的各种软硬件资源,从而保证了资源空间访问的隔离,保证了安全需求。而Vcpu在整个TEE环境中充当了TA和TEE之间访问的桥梁。此外,在沙箱从可信应用A切换到可信应用B时,可以保留可信应用A的运行配置参数,并在需要再次运行可信应用A时,根据可信应用A的运行配置参数,快速切换到可信应用A。此外,本发明的虚拟化操作系统也可以支持多个沙箱,以并行运行多个可信应用。每个沙箱之间,以及沙箱与可信执行环境之间彼此隔离。
此外,根据本发明的一个示例,如图2所示,虚拟化系统中,可信应用可以包括两类,即第一可信应用和第二可信应用。第一可信应用在沙箱环境中运行,第二可信应用不在沙箱环境中运行。例如,参见图2,第二可信应用运行在非沙箱的可信执行环境TEE中。
本发明实施例,通过使用沙箱技术,使得可信应用采用隔离的方式分别运行,保证了每个可信应用资源访问的安全性。
如图3所示,在本发明的一种具体实施例中,虚拟机通过安全超级调用hypercall的方式陷入内核,由内核对访问中涉及到的内核对象进行能力集管理。安全超级调用的访问方式具体为:TA调用GP API,产生SVC调用陷入VCPU内核状态,根据VCPU模式,Fiasco内核查找该调用所对应的线程,进入TEE中查找对应的处理函数进行处理,处理完成后切换到用户态的TA。
其中,在VCPU模式下通过内核查到调用对应线程时,根据微内核能力集进行访问控制。在进入TEE中查找对应处理函数进行处理时,包含服务之间的调用、以及执行状态的切换。
综上所述,借助于本发明的上述技术方案,通过基于可信虚拟化技术、通过MicroHypervisor建立一个虚拟机,在此虚拟机上运行GP TEE以及相应TA。因为TEE、TA都在各自的虚拟机上运行,实现了完全的隔离,大大提高了安全性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种适用于可信执行环境中的安全虚拟化系统,其特征在于,包括至少一个虚拟机、至少一个可信应用程序以及至少一个可信执行环境,
所述虚拟机通过Micro Hypervisor建立,所述虚拟机上运行有可信执行环境TEE,所述可信执行环境TEE通过沙箱技术实现,用于提供可信应用程序运行的基本环境和资源;
所述可信应用程序TA运行在所述虚拟机的可执行环境TEE中,所述可信应用程序TA根据时间片原则、优先级策略轮询使用沙箱所提供的各种资源,每次只运行一个所述可信应用程序TA实例;
所述可信执行环境TEE被配置为以第一模式通过虚拟处理器VCPU访问虚拟机,所述虚拟机基于所述虚拟处理器的调用指令,查找所述资源调用对应的线程,在确定所述可信执行环境具有对所述线程的访问权限后,将允许所述可信执行环境对所述资源的调用,实现资源的调用;
在所述第一模式下,所述虚拟机确定所述可信执行环境具有访问权限后,将允许所述可信执行环境对所述资源进行访问。
2.根据权利要求1所述的适用于可信执行环境中的安全虚拟化系统,其特征在于,所述可信执行环境中提供的基础管理单元包括但不限于:属性管理单元、Session管理单元、TA管理单元、内存管理单元、异常管理单元。
3.根据权利要求1所述的适用于可信执行环境中的安全虚拟化系统,其特征在于,所述资源包括硬件资源和软件资源。
4.根据权利要求3所述的适用于可信执行环境中的安全虚拟化系统,其特征在于,所述虚拟机通过安全超级调用hypercall的方式陷入内核,由内核对访问中涉及到的内核对象进行能力集管理。
5.根据权利要求4所述的适用于可信执行环境中的安全虚拟化系统,其特征在于,对象能力集包括任务Tasks,线程threads, 内部进程通信端口IPC portals, 工厂factories,信号量semaphores,内核对象或者句柄的指针用于被创建、授权和删除。
6.根据权利要求4所述的适用于可信执行环境中的安全虚拟化系统,其特征在于,内存能力集包括虚拟内存页,发送一个内存能力集在发送方和接收方之间建立共享内存。
7.根据权利要求4所述的适用于可信执行环境中的安全虚拟化系统,其特征在于,IO能力集指对IO端口进行抽象,通过授权IO能力,允许Task或者地址空间访问被指定的IO端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810222859.5A CN108509251B (zh) | 2018-03-19 | 2018-03-19 | 一种适用于可信执行环境中的安全虚拟化系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810222859.5A CN108509251B (zh) | 2018-03-19 | 2018-03-19 | 一种适用于可信执行环境中的安全虚拟化系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108509251A CN108509251A (zh) | 2018-09-07 |
| CN108509251B true CN108509251B (zh) | 2022-03-11 |
Family
ID=63377597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810222859.5A Active CN108509251B (zh) | 2018-03-19 | 2018-03-19 | 一种适用于可信执行环境中的安全虚拟化系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108509251B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112236772B (zh) * | 2019-01-04 | 2023-12-22 | 百度时代网络技术(北京)有限公司 | 用于管理数据处理加速器的内存的方法和系统 |
| CN110245001B (zh) * | 2019-05-05 | 2023-04-18 | 创新先进技术有限公司 | 数据隔离方法及装置、电子设备 |
| CN110443876A (zh) * | 2019-07-31 | 2019-11-12 | 新华三大数据技术有限公司 | 3d图像渲染方法及装置 |
| IT201900015827A1 (it) * | 2019-09-06 | 2021-03-06 | St Microelectronics Srl | Dispositivo sicuro operante con una piattaforma sicura resistente alla manomissione, corrispondente sistema e prodotto informatico |
| CN112800431B (zh) | 2020-08-28 | 2023-09-29 | 支付宝(杭州)信息技术有限公司 | 超线程场景下安全进入可信执行环境的方法及装置 |
| CN113778612A (zh) * | 2021-07-14 | 2021-12-10 | 中移物联网有限公司 | 基于微内核机制的嵌入式虚拟化系统实现方法 |
| CN115640116B (zh) * | 2021-12-14 | 2024-03-26 | 荣耀终端有限公司 | 业务处理方法和相关装置 |
| CN114996719B (zh) * | 2022-07-28 | 2022-11-04 | 杭州锘崴信息科技有限公司 | 可信处理单元的隐私数据及金融隐私数据的安全分析方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104102524A (zh) * | 2013-04-12 | 2014-10-15 | 中国银联股份有限公司 | 一种实现虚拟安全载体vse的方法 |
| CN104620253A (zh) * | 2012-09-28 | 2015-05-13 | 意法爱立信有限公司 | 用于维持安全时间的方法和设备 |
| CN105574415A (zh) * | 2015-12-08 | 2016-05-11 | 中电科华云信息技术有限公司 | 一种基于信任根的虚拟机安全管理方法 |
| CN106845285A (zh) * | 2016-12-28 | 2017-06-13 | 北京握奇智能科技有限公司 | 一种tee系统与ree系统配合以实现服务的方法及终端设备 |
| CN106940655A (zh) * | 2016-01-04 | 2017-07-11 | 中国移动通信集团公司 | 基于可信执行环境集成虚拟机的方法、终端 |
| CN107038128A (zh) * | 2016-02-03 | 2017-08-11 | 华为技术有限公司 | 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置 |
| US20170286679A1 (en) * | 2016-03-30 | 2017-10-05 | Mcafee, Inc. | System, Apparatus And Method For Performing Secure Memory Training And Management In A Trusted Environment |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160366123A1 (en) * | 2015-06-10 | 2016-12-15 | Mcafee, Inc. | Device naming in an internet of things |
-
2018
- 2018-03-19 CN CN201810222859.5A patent/CN108509251B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104620253A (zh) * | 2012-09-28 | 2015-05-13 | 意法爱立信有限公司 | 用于维持安全时间的方法和设备 |
| CN104102524A (zh) * | 2013-04-12 | 2014-10-15 | 中国银联股份有限公司 | 一种实现虚拟安全载体vse的方法 |
| CN105574415A (zh) * | 2015-12-08 | 2016-05-11 | 中电科华云信息技术有限公司 | 一种基于信任根的虚拟机安全管理方法 |
| CN106940655A (zh) * | 2016-01-04 | 2017-07-11 | 中国移动通信集团公司 | 基于可信执行环境集成虚拟机的方法、终端 |
| CN107038128A (zh) * | 2016-02-03 | 2017-08-11 | 华为技术有限公司 | 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置 |
| US20170286679A1 (en) * | 2016-03-30 | 2017-10-05 | Mcafee, Inc. | System, Apparatus And Method For Performing Secure Memory Training And Management In A Trusted Environment |
| CN106845285A (zh) * | 2016-12-28 | 2017-06-13 | 北京握奇智能科技有限公司 | 一种tee系统与ree系统配合以实现服务的方法及终端设备 |
Non-Patent Citations (1)
| Title |
|---|
| 基于TEE的安全支付系统设计与实现;金浩宇,温周莉;《北京电子科技学院学报》;20170630;第25卷(第2期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108509251A (zh) | 2018-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108509251B (zh) | 一种适用于可信执行环境中的安全虚拟化系统 | |
| CN108549571B (zh) | 一种适用于可信执行环境中的安全虚拟化方法 | |
| US11200080B1 (en) | Late load technique for deploying a virtualization layer underneath a running operating system | |
| US10255088B2 (en) | Modification of write-protected memory using code patching | |
| US10176007B2 (en) | Guest code emulation by virtual machine function | |
| US10509673B2 (en) | Synchronous user space function execution from a kernel context | |
| US10083129B2 (en) | Code loading hardening by hypervisor page table switching | |
| US8032741B2 (en) | Method and apparatus for virtualization of a multi-context hardware trusted platform module (TPM) | |
| US11061710B2 (en) | Virtual machine exit support by a virtual machine function | |
| US10409633B2 (en) | Hypervisor-visible guest thread management | |
| CN107707622B (zh) | 一种访问桌面云虚拟机的方法、装置及桌面云控制器 | |
| CN110059453B (zh) | 一种容器虚拟化安全加固装置及方法 | |
| US8880764B2 (en) | Pessimistic interrupt affinity for devices | |
| WO2015143766A1 (zh) | 一种管理虚拟机的隔离方法及装置 | |
| US9003094B2 (en) | Optimistic interrupt affinity for devices | |
| US20220156103A1 (en) | Securing virtual machines in computer systems | |
| EP3070607B1 (en) | Compute node supporting virtual machines and services | |
| JP2022522663A (ja) | セキュア仮想マシン環境におけるゲスト命令の透過的解釈 | |
| EP2810161A1 (en) | Methods and apparatuses for providing application level device transparency via device devirtualization | |
| WO2022268150A1 (zh) | 一种虚拟机与安全隔离区间的通信方法及相关装置 | |
| US7546600B2 (en) | Method of assigning virtual process identifier to process within process domain | |
| US20050251803A1 (en) | Method of performing kernel task upon initial execution of process at user level | |
| US10733005B1 (en) | Providing access to mobile applications by heterogeneous devices | |
| CN105701400A (zh) | 一种虚拟机平台的安全控制方法及装置 | |
| Chai et al. | TEEI-A Mobile Security Infrastructure for TEE Integration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |