WO2018090201A1 - 一种安全的处理器芯片及终端设备 - Google Patents

Abstract

一种处理器芯片，包括应用处理器（12）、通信处理器（14）及内存控制器（15）。所述内存控制器（15）用于在内存中划定区域作为安全内存（16），并只允许具有安全属性的访问请求访问所述安全内存（16）。所述应用处理器（12）用于在可信执行环境下调用安全应用，以及，通过所述安全应用将针对安全元件（18）的指令请求写入所述安全内存（16）。所述通信处理器（14）用于在可信执行环境下自所述安全内存（16）中读取所述指令请求，将所述指令请求发送给所述安全元件（18）。由于应用处理器（12）和通信处理器（14）在访问所述安全内存（16）时需要处于可信执行环境下，并且仅通过安全应用访问所述安全内存（16），因此该处理器芯片能够保证在所述应用处理器（12）与所述安全元件（18）间传递的数据的安全。

Description

一种安全的处理器芯片及终端设备 技术领域

本发明涉及处理器技术领域，特别涉及安全的处理器芯片及终端设备。

背景技术

随着移动网络和智能终端的高速发展以及消费电子产品越来越智能化，移动应用的种类和数量越来越多。当前的应用已经不再仅限于对智能终端的基本功能、娱乐功能方面的扩展，它所涉及的领域逐渐扩大到各行各业中，如移动支付相关的金融应用、内容版权保护应用以及云计算下瘦终端的安全应用等，这些行业应用都要求具有安全级别的终端运行环境。

然而，智能终端设备的操作系统本身主要侧重于功能性方面要求，并非从安全性角度出发，加上整个系统的开放性、庞大性、复杂性而无法杜绝相应的系统漏洞，致使一些利用这些漏洞的恶意程序不断出现从而造成应用程序处于危险之中。虽然可以利用一些软件防护手段，如防火墙、杀毒软件等进行相应的保护，但由于经常性的系统更新升级以及新型病毒程序的层出不穷，通过软件防护手段保护并不能杜绝安全风险。

因此，有必要提供一种有别于软件防护手段的新的安全手段，满足各种应用的安全需求。

发明内容

本发明提供一种处理器芯片。所述处理器芯片中的内存控制器在所述处理器芯片的内存中划定了安全区域作为安全内存。当所述处理器芯片的应用处理器要访问安全元件时，所述应用处理器会先进入可信执行环境下，并在所述可信执行环境下由所述安全应用将数据写入所述安全内存。而通信处理器则需要在可信执行环境下从所述安全内存中提取数据，然后将所述数据转发给所述安全元件。由于应用处理器和通信处理器在访问所述安全内存时需要处于可信执行环境下，并且仅通过安全应用访问所述安全内存，因此本发 明的处理器芯片能够保证在所述应用处理器与所述安全元件间传递的数据的安全。作为可选择的技术方案：

所述安全元件集成在所述处理器芯片的内部。

所述内存控制器只允许具有安全属性的访问请求访问所述安全内存。

所述应用处理器执行的应用程序分为普通应用和安全应用。当所述应用处理器执行所述普通应用的过程中需要访问所述安全元件时，所述普通应用使得所述应用处理器进入可信执行环境，所述应用处理器在所述可信执行环境下执行所述安全应用。

所述应用处理器执行所述普通应用的过程中需要访问所述安全元件时，所述普通应用发起中断，所述中断使得所述应用处理器挂起所述普通应用，进入可信执行环境，以及调用对应的安全应用。

所述应用处理器在所述可信执行环境下发出的针对所述安全内存的访问请求具有安全属性。

在可信执行环境下，所述应用处理器执行安全应用，并在所述安全应用的命令下将针对所述安全元件的指令请求写入所述安全内存。然后，所述安全应用会发起中断。所述中断会使得所述应用处理器挂起所述安全应用，并通知通信处理器从所述安全内存中提取数据。

所述通信处理器可以始终处于可信执行环境下，也可以在接收到所述应用处理器在执行安全应用发起的中断后，再进入可信执行环境。如果所述通信处理器是在接收到中断后进入可信执行环境的，所述通信处理器在将所述安全元件针对所述数据的处理结果写入所述安全内存后，才会退出所述可信执行环境。

所述通信处理器可以由其执行的安全应用发起中断，来通知所述应用处理器从所述安全内存中提取数据。所述中断也可以用来使得所述通信处理器退出可信执行环境。

所述应用处理器和所述通信处理器在可信执行环境下对所述安全内存发起访问请求时，所述应用处理器和所述通信处理器均会在所述访问请求中携带安全标识，所述安全标识用来指示所述访问请求具有安全属性。

所述通信处理器用于按照各种协议的要求对数据进行格式转换，比如， 对要通过无线端口发送的数据，所述通信处理器按照通信标准的要求对数据进行格式转换；对于要发送给所述安全元件的数据，所述通信处理器则根据所述安全元件内的系统的要求对所述数据进行格式转换。当所述通信处理器要处理多个数据的格式转换时，所述通信处理器优先处理由安全应用发送的数据的格式转换。

所述应用处理器和所述通信处理器彼此间发送的中断是可以通过专用的中断端口传送，也可以通过总线传送。

所述应用处理器向所述安全元件发送的指令请求包括：身份验证、证书更新、提取随机数、加解密、加扰、解扰或者状态识别。

所述状态识别是指所述确认所述安全元件是否能够满足安全应用的需求。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1所示为本发明实施例的安全系统的示意图。

图2所示为本发明实施例的安全系统下的实现网络交易过程的示意图。

图3所示为本发明实施例的安全系统下的证书下载的流程示意图。

图4所示为本发明实施例中的通信处理器的工作流程图。

具体实施方式

处理器芯片是移动终端中的核心器件，其承担了终端设备最主要的功能运转。在用户操作移动终端的过程中，处理器芯片会调用各种数据并按照各种应用的要求对数据进行处理，在这个过程中，恶意程序或者攻击会窃取数据，造成用户的敏感信息的泄漏。本发明实施例旨在通过硬件方法，提高处理器芯片本身的安全性，从而保护终端设备用户的私密信息。

图1所示为本发明实施例的安全系统的示意图。该安全系统包括由应用 处理器12、通信处理器14、内存控制器15、安全内存16、以及安全元件18(Security Element，简称SE)。通常来说，所述应用处理器12、所述通信处理器14、和所述内存控制器15被集成于处理器芯片内部。所述内存控制器在内存中划定限制访问的区域，作为安全内存16，并只允许带有安全属性的访问请求对所述安全内存16进行读写。所述安全元件18通常作为终端设备的外设存在，通过插槽与所述处理器芯片通信连接。当然随着芯片集成度的提高，内存和安全元件中的至少一个也有可能被集成在芯片内部，这并不影响本发明的实施。

应用处理器12，一般就是处理器芯片中的CPU(中央处理单元)，用于调用应用集中的应用程序(application)实现各种各样的功能。基于安全方面的考虑，应用处理器12被设定两套执行环境：普通执行环境(Rich Execution Environment，简称REE)和可信执行环境(Trusted Execution Environment，简称TEE)。处理器芯片的软硬件资源均可以被标识为归属两种执行环境状态之一。通过这种方式来保证：有安全需求的软硬件资源在可信执行环境下被应用处理器执行；没有安全需求的软硬件资源则在普通执行环境下被应用处理器执行。举例来说，在智能终端中，在普通运行环境运行着目前常用的移动操作系统如Android等，在可信执行环境下则运行安全操作系统，由于不需要负担大量的操作，该安全操作系统可以功能简单、代码量小、封闭且可人为审核控制的。这种通过普通运行环境和可信执行环境的划分，保证可信执行环境下的软硬件资源的安全性的做法，在业界早有先例，比如ARM司(ARM全称为“Acorn RISC Machine”)的Trustzone(安全域)技术，以及Intel(英特尔)公司的多CPU技术。事实上，由于可信执行环境下的安全属性要求，其对应用程序的接口、与外设的通信等方面都有特殊要求。因此，一个普通应用要想在可信执行环境下被执行，其程序本身就需要做出改变，因此，并不容易看到在可信执行环境下执行普通应用的情况。比如，用户通过智能终端访问购物网站并付款，这过程中就需要多次挂起普通应用，以及切换执行环境。

与两套执行环境相对应，应用程序也被区分为安全应用和普通应用。安全应用，即有安全要求的应用程序，比如交易中的验证程序。安全应用被仅 部署在可信执行环境下的安全操作系统中，并为部署在移动操作系统中的普通应用提供安全服务。当普通应用调安全应用时，普通应用会发起一个安全中断(又称进程间通信，Inter-Process Communication，简称IPC)。该安全中断会挂起该普通应用，并促使该应用处理器由普通运行环境切换到可信执行环境执行，并在该可信执行环境下调用和访问软硬件资源。此时整个硬件设备处于可信状态，设备与外界的交互都得到控制，保证都是真实可信的行为。

安全元件18内保存有与安全应用有关的加解密或认证程序，用于对数据提供加解密或认证服务。当前最常见的安全元件是SIM卡(Subscriber Identification Module，客户识别模)。SIM卡通常由运营商下发，其内固化有运营商服务或者网络交易需要的认证系统(比如U盾、用户身份识别系统)、有相应的环境系统(比如协处理器、Java平台等)、防破解的安全插件等。当前的安全元件通常作为外设存在，通过专门的接口被收容在智能终端对应的插槽中并与处理器芯片通讯连接。也有将安全元件作为硬件固化在智能终端内部的做法。在芯片业界，伴随着芯片集成度的提高，则会考虑将安全元件集成在芯片内。

当应用处理器12在可信执行环境下执行某些安全应用时，需要与安全元件18进行数据通讯，这时候就需要通过通信处理器14和安全内存16来完成这一程序。

通信处理器14用于将数据进行格式转换，在处理器芯片领域，其通常被称为调制解调器(Modem)，用于按照各种协议(比如3G、4G通信协议)的要求，对数据进行格式转换。安全元件18的内置系统也有其独特的数据格式的要求。由此，当应用处理器12执行的安全应用需要访问安全元件18时，通信处理器14为应用处理器12和安全元件18之间往来的数据提供格式转换。

当应用处理器12在执行某个安全应用的过程中要通过通信处理器14发送数据给安全元件18时，直接通过总线在应用处理器12和通信处理器14之间传递数据是存在安全隐患的。为了解决这一问题，在本发明实施例中，内存控制器15被设定为只允许具有安全属性的访问请求对所述安全内存16进行读写。

在本发明实施例中，带有安全属性的访问请求是指所述访问请求中携带有能被识别的特征，比如标识、或者特征码，所述特征能被内存控制器15识别，作为访问所述安全内存16的身份证明。

在本发明可选择的实施例中，当应用处理器12在可信执行环境下执行安全应用的过程中，需要对安全内存16进行访问时，应用处理器12通过总线向内存控制器15发送针对安全内存16的访问请求。所述访问请求在所述安全应用的操作下，会携带一个安全态的标识，以标识该访问请求具有安全属性。

当应用处理器12在可信执行环境下向安全内存16中写入数据之后，正在执行的安全应用会再次发起安全中断。所述安全中断会通知通信处理器14挂起其正在执行的应用程序，并作为一个通知使得通信处理器14进入可信执行环境，并从所述安全内存中读取所述数据。进入可信执行环境的通信处理器14发送的访问请求携带有安全态的标识，使得通信处理器14可以访问所述安全内存16。对应用处理器12来说，在其完成向安全内存16写入数据，并向通信处理器14发送安全中断之后，应用处理器12可以退回到普通运行环境，进而继续执行普通应用。当然，当通信处理器14向安全内存16中写入数据并要求应用处理器12接收时，通信处理器14也会向应用处理器12发起安全中断。

在本发明实施例中，并不需要应用处理器12和通信处理器14互相通告数据在内存中的地址，而是使用预先设定的方式，使得应用处理器12和通信处理器14在要访问安全内存16时，都以默认地址为目标。这样可以节省掉发送安全内存中的数据地址信息的程序。当然，在其他可选择的实施方式中，也可以利用总线或者其他接口，在应用处理器12和通信处理器14之间传递安全内存中的数据的地址信息。

除了将数据转换格式后发送给安全元件18，通信处理器14也要负责将安全元件返回的数据发送给应用处理器12。最常见的安全元件SIM卡中虽然配置有协处理器，但其很可能没有生成安全中断的能力。因此，为了保证通信处理器14仍然可以向安全内存16中写入数据，可以设定为通信处理器14在进入可信执行环境并向安全元件18发送数据后并不会退出可信执行环境。而 是在从安全元件18处接收了返回的数据，并将所述返回的数据写入安全内存16后，所述通信处理器14才会退出可信执行环境。通信处理器14可被设定为，在可信执行环境下发送的对安全内存16的访问请求中携带安全态的标识。

要使通信处理器14在要访问安全内存16时可以处于可信执行环境，还有其他办法，比如，可以在芯片上电时就使得通信处理器14始终保持处于可信执行环境中，即通信处理器14发送的访问请求中始终带有安全态的标识。

更进一步的，通信处理器14在接收到来自所述应用处理器12的访问请求后，通过某一安全应用记录所述访问请求的状态，比如是否具有安全属性。如果所述访问请求被记录为具有安全属性，当通信处理器14自所述安全元件18接收到所述访问请求的处理结果时，所述通信处理器14通过安全应用在所述处理结果中添加安全标识。

由于通信处理的主要作用是按照协议内容进行数据格式的转换，其需要应对的应用种类远小于应用处理器，因此，为通信处理器设定一整套能在可信执行环境下执行的应用，并不太复杂，而且大多可以由芯片供应商完成。相对的，应用处理器则需要处理种类繁多的应用，这些应用要在可信执行环境下执行，都需要应用的提供商根据可信执行环境的要求对应用程序进行更新，难度较大。因此，应用处理器需要在可信执行环境和普通执行环境间切换，来处理安全应用和普通应用，而通信处理器14则可以做到始终处于可信执行环境下。当然，随着安全意识的推广，如果将来应用程序的安全性要求成为业界共识，无论安全应用和普通应用都能满足可信执行环境的要求，那么将来应用处理器始终处于可信执行环境下也是可能的。

在本发明实施例提供的安全系统中，当正在执行的应用需要与安全元件中的固件进行敏感信息的传递时，由处于可信执行环境下的安全应用来发起，通过安全内存在应用处理器和通信处理器间传递信息，由处于可信执行环境下的通信处理器完成与安全元件的交互。整个过程中，没有非安全器件或者路径加入，有效保证了敏感信息的安全。

另外需要注意的是，本发明实施例中，虽然把安全元件作为安全系统中的一部分。但是由于安全元件往往是作为一个保存有敏感数据的外设器件。因此，从另一个角度来说，本发明实施例的安全系统也可以看作是仅由应用 处理器、通信处理器、安全内存和内存控制器组成，并用于访问安全元件中的敏感数据。

下面将通过更多的举例来说明本发明的安全系统在各种有安全需求的应用中的使用。

图2所示的为本发明实施例的安全系统下的实现网络交易过程的示意图。如图所示，当某个普通应用，比如浏览器，需要支付的时候，所述普通应用会调用负责交易的安全应用，从而发起金融交易请求。安全应用在被调用之后，首先会发送验证消息来查证当前安全元件的状态，比如，确认安全元件是否能支持当前安全应用的运行(即获取当前SE状态，见S202，S203，S204)。所述验证信息中携带有所述安全应用的信息。所述验证消息通过安全内存，被通信处理器接收。通信处理器会将所述验证消息转换成安全元件能识别的格式，比如APDU格式(Application Protocol Data Unit，用户协议数据单元)。所述通信处理器将转换后的验证消息发送给安全元件。安全元件维护有应用识别表(Application Identification List，简称AID表)，所述AID表中记录了安全元件支持的应用程序的列表，及对应的类如版本号等状态信息。安全元件会根据所述验证消息中承载的安全应用信息查找所述AID表，并判断其是否能够满足所述安全应用的需求，并生成判断结果。所述判断结果经过通信处理器、安全内存被返回到应用处理器处(见S205，S206，S207)。所述安全应用根据所述判断结果确认所述安全元件是否能支持交易(S208)。如果安全元件能够支持交易，所述安全应用还需要通过安全内存向安全元件要求签名和校验信息(S209，S210，S211)。所述安全元件将所述签名和校验信息通过安全内存返回给应用处理器。(S212，S213，S214)在获得所述签名和校验信息之后，所述安全应用将会继续执行剩下的交易环节，比如收集用户的帐号信息和密码等交易信息，通过所述签名和校验信息将用户的交易信息加密后发送给运营商侧服务器等。

安全元件可以用来保存用于网上交易的银行证书信息，采用本发明实施例的安全系统，所述证书信息可以通过网络下载或者更新。图3中记录了所述银行证书的下载过程。从图3中可以看到，证书下载的过程基本都是在安全应用的控制下进行的：安全应用负责完成和TSM(Trusted Service Management， 可信服务管理)服务器的数据交互；安全应用负责获取安全元件的身份信息，并且发送给指定的TSM服务器；安全应用将TSM服务器下发的写入信息通过安全内存一次性发送给通信处理器。余下的工作则是在处于可信执行环境下的通信处理器和安全元件中进行。整个下载过程中，敏感数据都是在安全环境下运行，不会因为非法程序干扰造成下数据泄露。

此外，还可以由安全应用和TSM服务器协商通信秘钥和完整保护秘钥，保证安全应用和TSM的交互数据是机密性和完整性。通信秘钥和完整保护秘钥可以在安全应用和TSM建立连接成功之后协商，并且密码保存在安全应用中，具备较高的安全性。该方法可以避免传输链路错误导致数据下发给安全元件的时候出现下载错误。

常见的安全元件为插入式SIM卡、集成在芯片或者终端内部的安全元件，但随着技术的发展，还有其他安全元件，比如，通过无线连接方式与终端互联的蓝牙SIM卡。这时候，上述实施例中提到的通信处理器，为无线连接的接口控制器(比如Blue Tooth Crtl，即蓝牙控制器)。所述接口控制器需要被设定为能够在可信执行环境下运行，并且有对应的安全应用。当有敏感数据要发送至安全元件时，集成在芯片内或者装设于终端设备中的接口控制器就会在安全中断的控制下进入可信执行环境，并从安全内存中获得所述敏感数据。所述接口控制器会将所述敏感数据进行格式转换，然后通过蓝牙发送给无线连接的安全元件。

图4是通信处理器在接收到目标为安全元件的请求数据时的处理逻辑图。如图所示，通信处理器接收到请求数据后，首先确认所述请求数据是否具有安全属性。如果所述请求数据具有安全属性，则所述通信处理器会判断所述请求数据的来源是否为应用处理器下的安全应用，如果是，所述通信处理器则会对所述安全应用进行格式转换，并发送给安全元件。如果所述请求数据不具有安全属性，所述通信处理器也会对所述请求数据进行格式转换，不过，会降低其处理优先级，先执行具有安全属性的请求数据的格式转换。

如果请求数据具有安全属性，但并不是来自于应用处理器下的安全应用，则所述通信处理器会发送错误消息，不转发所述请求数据。这是由于某些普通应用，比如过期的应用、不遵循安全规范的应用、黑客程序等，会在普通 执行环境下执行有安全要求的任务，并在数据中添加安全标识，这显然不符合安全需求，因此通信处理器会拒绝转发这样的请求数据。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

以上对本发明所提供的处理器芯片进行了详细介绍，对于本领域的一般技术人员，依据本发明实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1. 一种处理器芯片，其特征在于，包括应用处理器、通信处理器及内存控制器，

   所述内存控制器用于在内存中划定区域作为安全内存，并只允许具有安全属性的访问请求访问所述安全内存，

   所述应用处理器用于在普通执行环境下执行普通应用，在所述普通应用触发下进入可信执行环境，在所述可信执行环境下执行安全应用，以及，通过所述安全应用将针对安全元件的指令请求写入所述安全内存，其中，在所述可信执行环境下，所述应用处理器发送的针对所述安全内存的访问请求具有安全属性，

   所述通信处理器用于在可信执行环境下自所述安全内存中读取所述指令请求，将所述指令请求发送给所述安全元件。
2. 如权利要求1所述的处理器芯片，其特征在于，在所述可信执行环境下，所述应用处理器和通信处理器用于在发出给所述安全内存的数据或请求中携带安全标识，所述安全标识用于指示所述安全属性。
3. 如权利要求1或2所述的处理器芯片，其特征在于，当所述应用处理器将所述指令请求写入所述安全内存后，所述应用处理器用于向所述通信处理器发送中断，所述中断使所述通信处理器进入可信执行环境。
4. 如权利要求3所述的处理器芯片，其特征在于，所述应用处理器在发出所述中断后，所述应用处理器用于挂起所述安全应用。
5. 如权利要求1-4任一项所述的处理器芯片，其特征在于，所述通信处理器用于按照所述安全元件的要求对所述指令请求进行格式转换。
6. 如权利要求1-5任一项所述的处理器芯片，其特征在于，所述应用处理器还用于当所述应用处理器向所述安全内存中写入所述指令请求之后，挂起所述安全应用并退出所述可信执行环境，当所述通信处理器将所述处理结果写入 所述安全内存后，所述通信处理器会向所述应用处理器发起中断，使得所述应用处理器再次进入所述可信执行环境。
7. 如权利要求6所述的处理器芯片，其特征在于，再次进入可信执行环境后，所述应用处理器用于再次调用所述安全应用，并通过所述安全应用从所述安全内存中提取所述处理结果。
8. 如权利要求1-7任一项所述的处理器芯片，其特征在于，所述安全元件被集成在所述处理器芯片内部。
9. 如权利要求1-8任一项所述的处理器芯片，其特征在于，所述指令请求包括身份验证、证书更新、提取随机数、加解密、加扰、解扰或者状态识别。
10. 一种终端设备，其特征在于，所述终端设备包括了如权利要求1-9任意一项中记述的处理器芯片，以及所述安全元件。

Images