WO2021143168A1

WO2021143168A1 - 可信执行环境操作系统崩溃处理方法及电子设备

Info

Publication number: WO2021143168A1
Application number: PCT/CN2020/115116
Authority: WO
Inventors: 胡夏蒙; 贾宁; 李�雨; 王楠
Original assignee: 华为技术有限公司
Priority date: 2020-01-19
Filing date: 2020-09-14
Publication date: 2021-07-22
Also published as: EP4080365A1; CN113138878B; CN113138878A; US11874743B2; US20220350707A1; EP4080365A4

Abstract

一种可信执行环境操作系统崩溃处理方法及电子设备，涉及终端技术领域，能够在TEE侧出现不可恢复故障时，避免电子设备整机重启，减少重启的总耗时。所述方法包括：基于在安全服务运行的过程中检测到TEE OS崩溃，电子设备保存TEEOS奔溃时TEE的硬件状态参数和REE的安全上下文，并暂停安全服务；电子设备重启TEE OS；电子设备根据保存的TEE的硬件状态参数设置重启TEE OS后TEE的硬件状态参数；电子设备根据保存的REE的安全上下文设置重启TEE OS后REE的安全上下文，以及根据保存的REE的安全上下文设置重启TEE OS后TEE的上下文。

Description

可信执行环境操作系统崩溃处理方法及电子设备

本申请要求于2020年01月19日提交国家知识产权局、申请号为202010060572.4、发明名称为“可信执行环境操作系统崩溃处理方法及电子设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及终端技术领域，尤其涉及一种可信执行环境操作系统崩溃处理方法及电子设备。

背景技术

基于ARM信任区(TrustZone)的电子设备(例如：手机，平板电脑等)包含富执行环境(rich execution environment，REE)和可信执行环境(trusted execution environment，TEE)。其中，REE也称为普通执行环境，包括运行在通用处理器上的富执行环境操作系统(rich execution environment operating system，REE OS)及客户端应用(client application，CA)。TEE也称为安全执行环境，可以运行可信执行环境操作系统(trusted execution environment operating system，TEE OS)，为CA提供可信赖的安全服务(例如指纹比对服务，密码校验服务，人脸比对服务等)，这些安全服务可以以可信应用(trust application，TA)的形式运行在TEE OS上。

当TEE侧出现不可恢复的故障时，TEE OS崩溃，导致电子设备常出现系统卡死、安全服务中断(例如无法解锁，无法支付等)等异常。此时，电子设备会强制整机重启，以恢复到正常使用状态。由于整机重启耗时长，且用户在电子设备重启期间无法使用该电子设备，用户体验较差。

发明内容

本申请提供的可信执行环境操作系统崩溃处理方法及电子设备，在TEE侧出现不可恢复故障时，可以避免电子设备整机重启，减少重启的总耗时，提升用户体验。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种可信执行环境操作系统崩溃处理方法，应用于包括可信执行环境TEE和富执行环境REE的电子设备，TEE为中运行有可信执行环境操作系统TEE OS和安全服务，该方法可以包括：基于在安全服务运行的过程中检测到TEE OS崩溃，电子设备保存TEEOS奔溃时TEE的硬件状态参数和REE的安全上下文，并暂停安全服务；电子设备重启TEE OS；电子设备根据保存的TEE的硬件状态参数设置重启TEE OS后TEE的硬件状态参数；电子设备根据保存的REE的安全上下文设置重启TEE OS后REE的安全上下文，以及根据保存的REE的安全上下文设置重启TEE OS后TEE的上下文；电子设备恢复安全服务。

TEE的硬件状态参数可以包括TEE中寄存器的数据。如此，在若TEE OS崩溃时，保存电子设备硬件状态参数。而后，在TEE OS重启后，可以根据保存的硬件状态参数快速恢复硬件状态，有利于快速恢复TEE的安全服务。TEE的硬件状态参数也可以称为TEE OS的硬件状态参数。

TEE上下文可以包括：TEE OS崩溃时，TEE OS中包含的已经注册的代理(agent)，已经建立连接的会话(session)，已经注册的安全服务等。具体的，在REE调用TEE中的相关模块提供安全服务之前，REE向TEE发送安全服务注册请求，包括指令缓存的注册，代理注册，安全内存注册等。TEE处理该请求，并生成代理以及建立会话连接，完成对应的安全服务的注册。并且，后续TEE通过该连接为REE提供安全服务，在此过程中产生的上下文为安全上下文。

REE的安全上下文可以包括：TEE OS崩溃时，已经向TEE注册的agent，已经与TEE建立连接的session，已经向REE注册的安全服务等。

也就是说，电子设备中跟安全服务相关的状态可以称之为安全上下文。TEE用于为REE提供安全服务，其上下文即为安全上下文，本文中的TEE的上下文也可以理解为TEE的安全上文。

重置硬件状态参数和安全上下文后，TEE OS已具备继续为REE中应用提供安全服务的能力，电子设备可以恢复安全服务。或者说TEE OS恢复后，安全服务的运行是基于上述新设置的硬件状态参数以及安全上下文的运行。

如此，在TEE OS崩溃时，可以单独重启TEE OS，恢复安全服务。不会造成电子设备的整机强制重启，减少重启总耗时。并且，可以根据TEE OS重启前保存的TEE的硬件状态参数设置TEE OS重启后的TEE的硬件状态参数。可以根据TEE OS重启前保存的REE的安全上下文，设置TEE OS重启后的REE的安全上下文以及TEE上下文，进一步保证安全服务的快速恢复。

在一种可能的实现方式中，REE中运行有富执行环境操作系统REE OS，该方法还包括：电子设备暂停安全服务之后，通过REE OS通知安全服务对应的应用安全服务不可用。

在一些实现方式中，所述安全服务对应的所述应用部署在REE OS中且所述应用调用所述安全服务。

在一种可能的实现方式中，该方法还包括：电子设备暂停安全服务之后，通过REE OS暂停接收REE中任一应用发送的针对安全服务的请求。

如此，可以避免在TEE OS崩溃重启期间，REE OS接收应用发送的安全服务的请求，再次向TEE OS发送对应的安全服务请求，导致安全服务仍处理错误，影响用户体验。

在一种可能的实现方式中，该方法还包括：电子设备暂停安全服务之后，通过REE OS通知安全服务对应的应用退出安全服务；电子设备恢复安全服务之后，通过REE OS通知安全服务对应的应用重启安全服务。

如此，电子设备退出安全服务，可以避免在TEE OS重启后，由于REE OS未重启，其中保存的部分上下文信息，导致的首次安全服务请求失败。

在一种可能的实现方式中，安全服务包括指纹比对服务，密码校验服务，人脸比对服务中任意一项或多项。

在一种可能的实现方式中，TEE的硬件状态参数包括：TEE中寄存器的数据。

示例性的，该寄存器可以为sec_region寄存器，用于保存为安全服务分配的内存区域的基地址。在TEE OS崩溃时，保存sec_region寄存器中的值。在TEE OS按照本申请实施例提供的方法重启后，可以直接根据该寄存器的值快速定位到崩溃之前内存位置。

在一种可能的实现方式中，REE的安全上下文包括：所述安全服务的注册信息。

也就是说，TEE侧提供该安全服务，在REE侧的应用使用该安全服务之前，该安全服务通常需要在REE中注册，注册信息会成为REE的安全上下文的一部分。

第二方面，本申请提供一种可信执行环境操作系统崩溃处理方法，应用于包括可信执行环境TEE和富执行环境REE的电子设备，TEE为REE提供安全服务，TEE中包含可信执行环境操作系统TEE OS，REE中包含富执行环境操作系统REE OS，该方法包括：在REE调用安全服务的过程中，REE OS接收第一通知；第一通知指示TEE OS已崩溃；REE OS保存REE安全上下文，暂停安全服务，向TEE OS发送第二通知，以指示TEE OS重启；REE OS接收第三通知，第三通知为TEE OS设置重启TEE OS后的TEE的硬件状态参数后发送给REE OS的通知；REE OS根据保存的REE的安全上下文设置重启TEE OS后REE的安全上下文；REE OS接收第四通知，第四通知为TEE OS设置重启TEE OS后的TEE的上下文后，发送给REE OS的通知；REE OS恢复安全服务。

在一些可能的设计中，REE OS保存REE安全上下文，例如可以包括REE OS保存REE当前的安全上下文。其中，“当前”指的是执行该保存动作时的REE安全上下文。在另一些可能的设计中，可以保存特定时间长度之前的安全上下文或根据系统设置的其它安全上下文。

在一种可能的设计中，响应于第三通知，REE OS会根据保存的REE的安全上下文设置重启TEE OS后的REE的安全上下文。响应于第四通知，REE OS会恢复安全服务。

在一些实现方式中，第三通知也可以认为是用来指示TEE OS已为重启TEE OS后的TEE设置硬件状态参数；第四通知也可以认为是用来指示TEE OS已为重启TEE OS后的TEE设置上下文。前述通知的具体形式本申请不做限定。

在一种可能的实现方式中，REE OS暂停安全服务之后，该方法还包括：REE OS向安全服务对应的应用发送第五通知，用于通知安全服务不可用。

在一种可能的实现方式中，REE OS暂停安全服务之后，该方法还包括：REE OS暂停接收REE中任一应用发送的针对安全服务的请求。

在一些实现方式中，REE OS暂停安全服务可以认为是向安全服务对应的应用发送安全服务不可用的通知，以告知安全服务对应的应用当前时段不提供安全服务；也可以认为是暂停接收REE中任一应用发送的针对安全服务的请求；还可以认为是REE OS接收应用发送的针对安全服务的请求，但不进行处理，即不再向TEE侧发送安全服务请求，等。

在一种可能的实现方式中，REE OS暂停安全服务之后，该方法还包括：REE OS向安全服务对应的应用发送第六通知，用于退出安全服务。REE OS恢复安全服务之后，该方法还包括：REE OS向安全服务对应的应用发送第七通知，用于重启安全服务。

在一种可能的实现方式中，安全服务包括指纹对比服务，密码校验服务，人脸对比服务中任任意一项或多项。

在一种可能的实现方式中，REE的安全上下文包括：安全服务的注册信息。

第三方面，本申请提供一种可信执行环境操作系统崩溃处理方法，应用于包括可信执行环境TEE和富执行环境REE的电子设备，TEE为REE提供安全服务，TEE中包含可信执行环境操作系统TEE OS，REE中包含富执行环境操作系统REE OS，该方法包括：在TEE提供安全服务的过程中，若TEE OS崩溃，TEE OS保存TEE硬件状态参数，向REE OS发送第一通知；第一通知用于指示REE OS暂停安全服务；TEE OS接收第二通知后，重启；其中，第二通知为REE OS暂停安全服务后发送给TEE OS的通知；TEE OS根据保存的TEE的硬件状态参数设置重启TEE OS后TEE的硬件状态参数，向REE OS发送第三通知；第三通知用于指示REE OS设置重启TEE OS后REE的安全上下文；TEE OS根据重启TEE OS后REE的安全上下文设置重启TEE OS后的TEE的上下文；之后，向REE OS发送第四通知；第四通知用于指示REE OS恢复安全服务。

其中，TEE OS保存TEE硬件状态参数，例如可以包括TEE OS保存TEE当前的硬件状态参数。其中，“当前”指的是执行该保存动作时的硬件状态参数。在另一些可能的设计中，可以保存特定时间长度之前的硬件状态参数或根据系统设置的其它硬件状态参数。

在一些实现方式中，所述第二通知也可以认为是用来指示所述REE OS已经暂停安全服务。前述通知的具体形式本申请不做限定。

在一种可能的实现方式中，安全服务包括指纹对比服务，密码校验服务，人脸对比服务中任意一项或多项。

第四方面，本申请提供一种计算机系统，包括可信执行环境TEE和富执行环境REE，TEE为REE提供安全服务；TEE包括可信执行环境操作系统TEE OS、第一存储单元和重启单元，REE包括富执行环境操作系统REE OS、第二存储单元；TEE OS，用于运行安全服务；第一存储单元，用于在TEE OS运行安全服务的过程中，若TEE OS崩溃，则保存TEE硬件状态参数；第二存储单元，用于保存REE安全上下文；REE OS，还用于暂停调用安全服务；重启单元，用于重启TEE OS；TEE OS，还用于根据保存的TEE的硬件状态参数设置重启TEE OS后TEE的硬件状态参数；REE OS，还用于根据保存的REE的安全上下文设置重启TEE OS后REE的安全上下文，以及TEE OS，还用于根据保存的REE的安全上下文设置重启TEE OS后TEE的上下文；REE OS，还用于恢复调用安全服务。

在一种可能的实现方式中，装置还包括：REE OS，还用于在暂停调用安全服务之后，向安全服务对应的应用发送安全服务不可用的通知。

在一种可能的实现方式中，装置还包括：REE OS，还用于在暂停调用安全服务之后，暂停接收REE中任一应用发送的针对安全服务的请求。

在一种可能的实现方式中，REE OS，还用于在暂停调用安全服务之后，通知安全服务对应的应用退出安全服务；REE OS，还用于在恢复调用安全服务之后，通知安全服务对应的应用重启安全服务。

第五方面，本申请提供一种用于实现可信执行环境操作系统崩溃处理的装置，包括：处理单元、接收单元、存储单元和发送单元。处理单元，用于调用可信执行环境TEE的安全服务。接收单元，用于在处理单元为REE调用安全服务的过程中，接收第一通知；第一通知用于通知可信执行环境操作系统TEE OS已崩溃。存储单元，用于保存富执行环境REE安全上下文。处理单元，还用于暂停安全服务。发送单元，用于向TEE OS发送第二通知；第二通知用于指示TEE OS重启。接收单元，还用于接收第三通知，第三通知为TEE OS设置重启TEE OS后的TEE的硬件状态参数后发送给REE OS的通知。处理单元，还用于根据保存的REE的安全上下文设置重启TEE OS后REE的安全上下文。接收单元，还用于接收第四通知，第四通知为TEE OS设置重启TEE OS后的TEE的上下文后，发送给REE OS的通知。处理单元，还用于恢复调用安全服务。

其中，用于实现可信执行环境操作系统崩溃处理的装置可以通过硬件实现，也可以通过软件实现，也可以通过硬件执行相应的软件实现。当是通过软件实现时，该装置可以是指REE OS。

在一种可能的实现方式中，发送单元，还用于在处理单元暂停调用安全服务之后，向安全服务对应的应用发送第五通知，用于通知安全服务不可用。

在一种可能的实现方式中，接收单元，还用于在处理单元暂停调用安全服务之后，暂停接收REE中任一应用发送的针对安全服务的请求。

在一种可能的实现方式中，发送单元，还用于在处理单元暂停调用安全服务之后，向安全服务对应的应用发送第六通知，用于退出安全服务。发送单元，还用于在处理单元恢复调用安全服务之后，向安全服务对应的应用发送第七通知，用于重启安全服务。

第六方面，本申请提供一种用于实现可信执行环境操作系统崩溃处理的装置，包括：处理单元、存储单元、发送单元、接收单元和重启单元；处理单元，用于提供安全服务。存储单元，用于在处理单元提供安全服务的过程中，若处理单元崩溃，保存TEE硬件状态参数。发送单元，用于向富执行环境操作系统REE OS发送第一通知；第一通知用于指示REE OS暂停安全服务。接收单元，用于接收第二通知后；其中，第二通知为REE OS暂停安全服务后发送给TEE OS的通知。重启单元，用于重启处理单元。处理单元，还用于根据保存的TEE的硬件状态参数设置重启后TEE的硬件状态参数。发送单元，还用于向REE OS发送第三通知；第三通知用于指示REE OS设置重启后REE的安全上下文。处理单元，还用于根据重启后REE的安全上下文设置重启后的TEE的上下文。发送单元，还用于向REE OS发送第四通知；第四通知用于指示REE OS恢复安全服务。

其中，用于实现可信执行环境操作系统崩溃处理的装置可以通过硬件实现，也可以通过软件实现，也可以通过硬件执行相应的软件实现。当是通过软件实现时，该装置可以是指TEE OS。

第七方面，本申请提供一种电子设备，该电子设备可以包括：一个或多个处理器；其中，一个或多个处理器包括可信执行环境TEE和富执行环境REE，TEE为REE提供安全服务；TEE中包含可信执行环境操作系统TEE OS，REE中包含富执行环境操作系统REE OS。存储器；以及一个或多个计算机程序。其中一个或多个计算机程序被存储在存储器中，一个或多个计算机程序包括指令。当指令被一个或多个处理器执行时，使得电子设备执行如上述第一方面至第三方面，以及其中任一种可能的实现方式中所述的可信执行环境操作系统崩溃处理方法。

第八方面，本申请提供一种电子设备，该电子设备具有实现如上述第一方面至第三方面，以及其中任一种可能的实现方式中所述的可信执行环境操作系统崩溃处理方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第九方面，本申请提供一种计算机可读存储介质，包括计算机指令，当计算机指令在电子设备上运行时，使得电子设备执行如上述第一方面至第三方面，以及其中任一种可能的实现方式中所述的可信执行环境操作系统崩溃处理方法。

第十方面，本申请提供一种计算机程序产品，当计算机程序产品在电子设备上运行时，使得电子设备执行如上述第一方面至第三方面，以及其中任一种可能的实现方式中所述的可信执行环境操作系统崩溃处理方法。

第十一方面，提供一种电路系统，电路系统包括处理电路，处理电路被配置为执行如上述第一方面至第三方面，以及其中任一种可能的实现方式中所述的可信执行环境操作系统崩溃处理方法。

第十二方面，本申请实施例提供一种芯片系统，包括至少一个处理器和至少一个接口电路，至少一个接口电路用于执行收发功能，并将指令发送给至少一个处理器，当至少一个处理器执行指令时，至少一个处理器执行如上述第一方面至第三方面，以及其中任一种可能的实现方式中所述的可信执行环境操作系统崩溃处理方法。

附图说明

图1为本申请实施例提供的一种电子设备的结构示意图；

图2为本申请实施例提供的一种TrustZone框架结构示意图；

图3为本申请实施例提供的可信执行环境操作系统崩溃处理方法的流程示意图一；

图4A为本申请实施例提供的可信执行环境操作系统崩溃处理方法的应用场景示意图一；

图4B为本申请实施例提供的可信执行环境操作系统崩溃处理方法的应用场景示意图二；

图5为本申请实施例提供的可信执行环境操作系统崩溃处理方法的流程示意图二；

图6为本申请实施例提供的可信执行环境操作系统崩溃处理方法的应用场景示意图三；

图7为本申请实施例提供的可信执行环境操作系统崩溃处理方法的流程示意图三；

图8为本申请实施例提供的可信执行环境操作系统崩溃处理方法的应用场景示意图四；

图9为本申请实施例提供的一种计算机系统的结构示意图；

图10为本申请实施例提供的一种用于实现可信执行环境操作系统崩溃处理的装置的结构示意图一；

图11为本申请实施例提供的一种用于实现可信执行环境操作系统崩溃处理的装置的结构示意图二；

图12为本申请实施例提供的一种芯片系统的结构示意图。

具体实施方式

下面结合附图对本申请实施例提供的可信执行环境操作系统崩溃处理方法及电子设备进行详细地描述。

本申请实施例提供的技术方案可适用于具有TEE和REE的电子设备。当TEE中TEE OS崩溃时，可以单独重启TEE OS，从而避免整机重启(包括重启TEE OS和REE OS)，减少从TEE OS崩溃到TEE OS重启后恢复安全服务的总耗时，提升电子设备的使用体验。

示例性的，本申请的实施例中的电子设备可以是可移动电话(mobile phone)、平板电脑(pad)、带无线收发功能的电脑、个人数字助理(personal digital assistant，PDA)、智能手表、上网本、可穿戴电子设备、增强现实技术(augmented reality，AR)设备、虚拟现实(virtual reality，VR)设备、车载设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程医疗(remote medical)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、人工智能(artificial intelligence，AI)终端等。

示例性的，图1示出了电子设备100的结构示意图。

电子设备100可以包括处理器110，外部存储器接口120，内部存储器121，通用串行总线(universal serial bus，USB)接口130，充电管理模块140，电源管理模块141，电池142，天线1，天线2，移动通信模块150，无线通信模块160，音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，传感器模块180，按键190，马达191，指示器192，摄像头193，显示屏194，以及用户标识模块(subscriber identification module，SIM)卡接口195等。其中，传感器模块180可以包括压力传感器180A，陀螺仪传感器180B，气压传感器180C，磁传感器180D，加速度传感器180E，距离传感器180F，接近光传感器180G，指纹传感器180H，温度传感器180J，触摸传感器180K，环境光传感器180L，骨传导传感器180M等。

可以理解的是，本申请实施例示意的结构并不构成对电子设备100的具体限定。在本申请另一些实施例中，电子设备100可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

处理器110可以包括一个或多个处理单元，例如：处理器110可以包括应用处理器(application processor，AP)，调制解调处理器，图形处理器(graphics processing unit，GPU)，图像信号处理器(image signal processor，ISP)，控制器，存储器，视频编解码器，数字信号处理器(digital signal processor，DSP)，基带处理器，和/或神经网络处理器(neural-network processing unit，NPU)等。其中，不同的处理单元可以是独立的器件，也可以集成在一个或多个处理器中。

其中，控制器可以是电子设备100的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号，产生操作控制信号，完成取指令和执行指令的控制。

处理器110中还可以设置存储器，用于存储指令和数据。在一些实施例中，处理器110中的存储器为高速缓冲存储器。该存储器可以保存处理器110刚用过或循环使用的指令或数据。如果处理器110需要再次使用该指令或数据，可从所述存储器中直接调用。避免了重复存取，减少了处理器110的等待时间，因而提高了系统的效率。

在本申请的一些实施例中，处理器110的运行环境可以包括TEE和REE。其中，TEE运行有可信应用程序(trusted application，TA)以及TEE OS，REE运行有CA及REE OS。REE侧负责接收用户向CA发出的安全服务请求，并根据该安全服务请求调用TEE侧的安全服务。例如，CA接收用户录入的指纹，通过REE OS将该指纹模板发送至TEE侧，由TEE的安全服务将用户的指纹与预存的指纹模板进行比对。TEE将比对结果经REE返回给CA。若比对失败，则提示用户“指纹解锁失败，请再次输入指纹”等。若比对成功，则验证用户身份成功，可以执行相应的操作(例如支付、解锁等)。

在TEE OS崩溃，中断或停止TEE的安全服务时，处理器110可以通过独立重启TEE OS以恢复TEE的安全服务。需要注意的是，在本申请实施例中不重启REE OS。这样，有利于减少TEE OS崩溃到恢复TEE侧安全服务的耗时，提升电子设备的运行效率。

在一些实施例中，处理器110可以包括一个或多个接口。接口可以包括集成电路(inter-integrated circuit，I2C)接口，集成电路内置音频(inter-integrated circuit sound，I2S)接口，脉冲编码调制(pulse code modulation，PCM)接口，通用异步收发传输器(universal asynchronous receiver/transmitter，UART)接口，移动产业处理器接口(mobile industry processor interface，MIPI)，通用输入输出(general-purpose input/output，GPIO)接口，用户标识模块(subscriber identity module，SIM)接口，和/或通用串行总线(universal serial bus，USB)接口等。

I2C接口是一种双向同步串行总线，包括一根串行数据线(serial data line，SDA)和一根串行时钟线(derail clock line，SCL)。在一些实施例中，处理器110可以包含多组I2C总线。处理器110可以通过不同的I2C总线接口分别耦合触摸传感器180K，充电器，闪光灯，摄像头193等。例如：处理器110可以通过I2C接口耦合触摸传感器180K，使处理器110与触摸传感器180K通过I2C总线接口通信，实现电子设备100的触摸功能。

MIPI接口可以被用于连接处理器110与显示屏194，摄像头193等外围器件。MIPI接口包括摄像头串行接口(camera serial interface，CSI)，显示屏串行接口(display serial interface，DSI)等。在一些实施例中，处理器110和摄像头193通过CSI接口通信，实现电子设备100的拍摄功能。处理器110和显示屏194通过DSI接口通信，实现电子设备100的显示功能。

GPIO接口可以通过软件配置。GPIO接口可以被配置为控制信号，也可被配置为数据信号。在一些实施例中，GPIO接口可以用于连接处理器110与摄像头193，显示屏194，无线通信模块160，音频模块170，传感器模块180等。GPIO接口还可以被配置为I2C接口，I2S接口，UART接口，MIPI接口等。

USB接口130是符合USB标准规范的接口，具体可以是Mini USB接口，Micro USB接口，USB Type C接口等。USB接口130可以用于连接充电器为电子设备100充电，也可以用于电子设备100与外围设备之间传输数据。也可以用于连接耳机，通过耳机播放音频。该接口还可以用于连接其他电子设备，例如AR设备等。

可以理解的是，本申请实施例示意的各模块间的接口连接关系，只是示意性说明，并不构成对电子设备100的结构限定。在本申请另一些实施例中，电子设备100也可以采用上述实施例中不同的接口连接方式，或多种接口连接方式的组合。

充电管理模块140用于从充电器接收充电输入。其中，充电器可以是无线充电器，也可以是有线充电器。在一些有线充电的实施例中，充电管理模块140可以通过USB接口130接收有线充电器的充电输入。在一些无线充电的实施例中，充电管理模块140可以通过电子设备100的无线充电线圈接收无线充电输入。充电管理模块140为电池142充电的同时，还可以通过电源管理模块141为电子设备供电。

电源管理模块141用于连接电池142，充电管理模块140与处理器110。电源管理模块141接收电池142和/或充电管理模块140的输入，为处理器110，内部存储器121，外部存储器，显示屏194，摄像头193，和无线通信模块160等供电。电源管理模块141还可以用于监测电池容量，电池循环次数，电池健康状态(漏电，阻抗)等参数。在其他一些实施例中，电源管理模块141也可以设置于处理器110中。在另一些实施例中，电源管理模块141和充电管理模块140也可以设置于同一个器件中。

电子设备100的无线通信功能可以通过天线1，天线2，移动通信模块150，无线通信模块160，调制解调处理器以及基带处理器等实现。

天线1和天线2用于发射和接收电磁波信号。电子设备100中的每个天线可用于覆盖单个或多个通信频带。不同的天线还可以复用，以提高天线的利用率。例如：可以将天线1复用为无线局域网的分集天线。在另外一些实施例中，天线可以和调谐开关结合使用。

移动通信模块150可以提供应用在电子设备100上的包括2G/3G/4G/5G等无线通信的解决方案。移动通信模块150可以包括至少一个滤波器，开关，功率放大器，低噪声放大器(low noise amplifier，LNA)等。移动通信模块150可以由天线1接收电磁波，并对接收的电磁波进行滤波，放大等处理，传送至调制解调处理器进行解调。移动通信模块150还可以对经调制解调处理器调制后的信号放大，经天线1转为电磁波辐射出去。在一些实施例中，移动通信模块150的至少部分功能模块可以被设置于处理器 110中。在一些实施例中，移动通信模块150的至少部分功能模块可以与处理器110的至少部分模块被设置在同一个器件中。

调制解调处理器可以包括调制器和解调器。其中，调制器用于将待发送的低频基带信号调制成中高频信号。解调器用于将接收的电磁波信号解调为低频基带信号。随后解调器将解调得到的低频基带信号传送至基带处理器处理。低频基带信号经基带处理器处理后，被传递给应用处理器。应用处理器通过音频设备(不限于扬声器170A，受话器170B等)输出声音信号，或通过显示屏194显示图像或视频。在一些实施例中，调制解调处理器可以是独立的器件。在另一些实施例中，调制解调处理器可以独立于处理器110，与移动通信模块150或其他功能模块设置在同一个器件中。

无线通信模块160可以提供应用在电子设备100上的包括无线局域网(wireless local area networks，WLAN)(如无线保真(wireless fidelity，Wi-Fi)网络)，蓝牙(bluetooth，BT)，全球导航卫星系统(global navigation satellite system，GNSS)，调频(frequency modulation，FM)，近距离无线通信技术(near field communication，NFC)，红外技术(infrared，IR)等无线通信的解决方案。无线通信模块160可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块160经由天线2接收电磁波，将电磁波信号调频以及滤波处理，将处理后的信号发送到处理器110。无线通信模块160还可以从处理器110接收待发送的信号，对其进行调频，放大，经天线2转为电磁波辐射出去。

在一些实施例中，电子设备100的天线1和移动通信模块150耦合，天线2和无线通信模块160耦合，使得电子设备100可以通过无线通信技术与网络以及其他设备通信。所述无线通信技术可以包括全球移动通讯系统(global system for mobile communications，GSM)，通用分组无线服务(general packet radio service，GPRS)，码分多址接入(code division multiple access，CDMA)，宽带码分多址(wideband code division multiple access，WCDMA)，时分码分多址(time-division code division multiple access，TD-SCDMA)，长期演进(long term evolution，LTE)，BT，GNSS，WLAN，NFC，FM，和/或IR技术等。所述GNSS可以包括全球卫星定位系统(global positioning system，GPS)，全球导航卫星系统(global navigation satellite system，GLONASS)，北斗卫星导航系统(beidou navigation satellite system，BDS)，准天顶卫星系统(quasi-zenith satellite system，QZSS)和/或星基增强系统(satellite based augmentation systems，SBAS)。

电子设备100通过GPU，显示屏194，以及应用处理器等实现显示功能。GPU为图像处理的微处理器，连接显示屏194和应用处理器。GPU用于执行数学和几何计算，用于图形渲染。处理器110可包括一个或多个GPU，其执行程序指令以生成或改变显示信息。

显示屏194用于显示图像，视频等。显示屏194包括显示面板。显示面板可以采用液晶显示屏(liquid crystal display，LCD)，有机发光二极管(organic light-emitting diode，OLED)，有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrix organic light emitting diode的，AMOLED)，柔性发光二极管(flex light-emitting diode，FLED)，Miniled，MicroLed，Micro-oLed，量子点发光二极管(quantum dot light emitting diodes，QLED)等。在一些实施例中，电子设备100可以包括1个或N个显示屏194，N为大于1的正整数。

电子设备100可以通过ISP，摄像头193，视频编解码器，GPU，显示屏194以及应用处理器等实现拍摄功能。

ISP用于处理摄像头193反馈的数据。例如，拍照时，打开快门，光线通过镜头被传递到摄像头感光元件上，光信号转换为电信号，摄像头感光元件将所述电信号传递给ISP处理，转化为肉眼可见的图像。ISP还可以对图像的噪点，亮度，肤色进行算法优化。ISP还可以对拍摄场景的曝光，色温等参数优化。在一些实施例中，ISP可以设置在摄像头193中。

摄像头193用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device，CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor，CMOS)光电晶体管。感光元件把光信号转换成电信号，之后将电信号传递给ISP转换成数字图像信号。ISP将数字图像信号输出到DSP加工处理。DSP将数字图像信号转换成标准的RGB，YUV等格式的图像信号。在一些实施例中，电子设备100可以包括1个或N个摄像头193，N为大于1的正整数。

数字信号处理器用于处理数字信号，除了可以处理数字图像信号，还可以处理其他数字信号。例如，当电子设备100在频点选择时，数字信号处理器用于对频点能量进行傅里叶变换等。

视频编解码器用于对数字视频压缩或解压缩。电子设备100可以支持一种或多种视频编解码器。这样，电子设备100可以播放或录制多种编码格式的视频，例如：动态图像专家组(moving picture experts group，MPEG)1，MPEG2，MPEG3，MPEG4等。

NPU为神经网络(neural-network，NN)计算处理器，通过借鉴生物神经网络结构，例如借鉴人脑神经元之间传递模式，对输入信息快速处理，还可以不断的自学习。通过NPU可以实现电子设备100的智能认知等应用，例如：图像识别，人脸识别，语音识别，文本理解等。

外部存储器接口120可以用于连接外部存储卡，例如Micro SD卡，实现扩展电子设备100的存储能力。外部存储卡通过外部存储器接口120与处理器110通信，实现数据存储功能。例如将音乐，视频等文件保存在外部存储卡中。

内部存储器121可以用于存储计算机可执行程序代码，所述可执行程序代码包括指令。处理器110通过运行存储在内部存储器121的指令，从而执行电子设备100的各种功能应用以及数据处理。内部存储器121可以包括存储程序区和存储数据区。其中，存储程序区可存储操作系统，至少一个功能所需的应用程序(比如声音播放功能，图像播放功能等)等。存储数据区可存储电子设备100使用过程中所创建的数据(比如音频数据，电话本等)等。此外，内部存储器121可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件，闪存器件，通用闪存存储器(universal flash storage，UFS)等。

在本申请的一些实施例中，内部存储器121可以用于存储TEE OS镜像等。该TEE OS镜像可以为最原始的镜像，也可以为定期保存的TEE OS内存快照。在重启TEE OS时，电子设备100可以从内部存储器121中调用已存储的TEE OS镜像，进而恢复TEE OS至崩溃前的状态，修复异常。

在本申请的另一些实施例中，在内存存储器121中也可以包括用于存储与TEE安全服务相关的数据的区域，该区域对应的存储空间也可以称之为“安全内存”。

电子设备100可以通过音频模块170，扬声器170A，受话器170B，麦克风170C，耳机接口170D，以及应用处理器等实现音频功能。例如音乐播放，录音等。

音频模块170用于将数字音频信息转换成模拟音频信号输出，也用于将模拟音频输入转换为数字音频信号。音频模块170还可以用于对音频信号编码和解码。在一些实施例中，音频模块170可以设置于处理器110中，或将音频模块170的部分功能模块设置于处理器110中。

扬声器170A，也称“喇叭”，用于将音频电信号转换为声音信号。电子设备100可以通过扬声器170A收听音乐，或收听免提通话。

受话器170B，也称“听筒”，用于将音频电信号转换成声音信号。当电子设备100接听电话或语音信息时，可以通过将受话器170B靠近人耳接听语音。

麦克风170C，也称“话筒”，“传声器”，用于将声音信号转换为电信号。当拨打电话或发送语音信息时，用户可以通过人嘴靠近麦克风170C发声，将声音信号输入到麦克风170C。电子设备100可以设置至少一个麦克风170C。在另一些实施例中，电子设备100可以设置两个麦克风170C，除了采集声音信号，还可以实现降噪功能。在另一些实施例中，电子设备100还可以设置三个，四个或更多麦克风170C，实现采集声音信号，降噪，还可以识别声音来源，实现定向录音功能等。

耳机接口170D用于连接有线耳机。耳机接口170D可以是USB接口130，也可以是3.5mm的开放移动电子设备平台(open mobile terminal platform，OMTP)标准接口，美国蜂窝电信工业协会(cellular telecommunications industry association of the USA，CTIA)标准接口。

指纹传感器180H用于采集指纹。电子设备100可以利用采集的指纹特性实现指纹解锁，访问应用锁，指纹拍照，指纹接听来电等。

按键190包括开机键，音量键等。按键190可以是机械按键。也可以是触摸式按键。电子设备100可以接收按键输入，产生与电子设备100的用户设置以及功能控制有关的键信号输入。

马达191可以产生振动提示。马达191可以用于来电振动提示，也可以用于触摸振动反馈。例如，作用于不同应用(例如拍照，音频播放等)的触摸操作，可以对应不同的振动反馈效果。作用于显示屏194不同区域的触摸操作，马达191也可对应不同的振动反馈效果。不同的应用场景(例如：时间提醒，接收信息，闹钟，游戏等)也可以对应不同的振动反馈效果。触摸振动反馈效果还可以支持自定义。

指示器192可以是指示灯，可以用于指示充电状态，电量变化，也可以用于指示消息，未接来电，通知等。

SIM卡接口195用于连接SIM卡。SIM卡可以通过插入SIM卡接口195，或从SIM卡接口195拔出，实现和电子设备100的接触和分离。电子设备100可以支持1个或N个SIM卡接口，N为大于1的正整数。SIM卡接口195可以支持Nano SIM卡，Micro SIM卡，SIM卡等。同一个SIM卡接口195可以同时插入多张卡。所述多张卡的类型可以相同，也可以不同。SIM卡接口195也可以兼容不同类型的SIM卡。SIM卡接口 195也可以兼容外部存储卡。电子设备100通过SIM卡和网络交互，实现通话以及数据通信等功能。在一些实施例中，电子设备100采用eSIM，即：嵌入式SIM卡。eSIM卡可以嵌在电子设备100中，不能和电子设备100分离。

图2为本申请实施例提供的电子设备100可以包括的一种TrustZone框架结构示意图。

示例性的，电子设备100包括硬件平台201，ARM可信固件(arm trusted firmware，ATF)202，以及基于硬件平台201和ARM可信固件202的富执行环境(REE)203和可信执行环境(TEE)204。

硬件平台201，用于支撑电子设备100运行，以及存储安全硬件资源。其中，安全硬件资源可以包括：安全内存2011，以及硬件钥匙，安全键盘等。

在本申请的一些实施例中，安全内存2011用于存储备份的TEE OS镜像，以及用于存放安全服务相关数据等。

REE203，为电子设备100中的普通执行环境。在REE203中可以运行客户端应用(CA)210和富执行环境操作系统(REE OS)211。CA210中包括可以为用户提供安全服务的应用。当需要调用安全服务时，REE OS211通过可信执行环境客户端应用编程接口(application programming interface，API)212与可信执行环境操作系统(TEE OS)214通信，请求安全服务支持。

REE OS211中包括驱动220，用于支持系统与硬件设备之间完成数据传送，以及支持REE203与TEE204之间安全服务的交互工作。如可以包括安全服务模块230(安全服务驱动)，时钟驱动等。

其中，安全服务模块230，可用于为REE203中的CA210提供安全服务，和/或为REE203中的CA210从TEE204中获取安全服务。安全服务模块230可以包括安全服务暂停模块240，REE安全状态保存模块241，以及REE安全状态恢复模块242。其中，安全服务暂停模块240，用于在TEE OS214重启期间，阻止REE203中的CA210向REE OS211发送安全服务请求。REE安全状态保存模块241，用于在TEE OS214重启前，保存REE203侧与安全服务相关的参数，例如安全上下文等。REE安全状态恢复模块242，用于在TEE OS214重启后，恢复REE203侧与安全服务相关的参数，例如安全上下文等。其中，各个模块的具体作用，以及相互交互将在下文详细说明。

可以理解的是，这里安全服务暂停模块240，REE安全状态保存模块241，以及REE安全状态恢复模块242可以为独立的模块，也可以组合其中某些模块，本申请实施例对此不做限定。

可选的，REE OS211中还可以包括内核核心模块221以及文件系统模块222。

其中，内核核心模块221为操作系统的内核，用于提供核心服务支持。包括负责整个硬件的驱动，以及提供各种系统所需的核心功能。

其中，文件系统模块222，用于提供文件访问支持等文件相关的服务。电子设备100中，数据以文件的形式保存在外设，待需要的时候由文件系统模块222调入内存。其主要作用是保持文件，管理文件，保护文件以及提高系统资源利用率。

TEE204，为电子设备100中的可信执行环境，可以为REE203侧提供安全服务。TEE204为一个安全区域，在一个独立的环境中运行可信应用(TA)213以及TEE OS214。可以确保TEE204中加载的代码和数据的机密性和完整性都得到保护。TEE OS214通过调用可信执行环境内部应用编程接口215与TEE OS211进行通信，提供安全服务支持。

TEE OS214中包括崩溃处理模块223，可用于应对TEE204侧发生异常崩溃，导致无法为REE203侧提供安全服务的问题。崩溃处理模块223中包括TEE初始化模块231，可用于TEE204发生异常时，初始化TEE204。TEE初始化模块231可以包括TEE安全状态恢复模块243，用于在TEE OS214重启后，恢复TEE204侧与安全服务相关的参数，例如硬件状态参数，上下文等。崩溃处理模块223中还包括TEE异常处理模块232，可用于应对TEE204中发生的异常，例如可以包括TEE OS214崩溃异常。TEE异常处理模块232可以包括TEE安全状态保存模块244以及TEE OS重启模块245。其中，TEE安全状态保存模块244，用于在TEE OS214重启前，保存TEE204侧与安全服务相关的参数，例如硬件状态参数等。TEE OS重启模块245，用于重启TEE OS214。其中，各个模块的具体作用，以及相互交互将在下文详细说明。

可以理解的是，这里的TEE安全状态恢复模243，TEE安全状态保存模块244，以及TEE OS重启模块245可以为独立的模块，也可以组合其中某些模块，本申请实施例对此不做限定。

可选的，TEE OS214中还可以包括可信执行环境通信代理224，可信操作系统核心框架225，以及可信驱动226。

其中，可信执行环境通信代理224，为用于支撑TEE与REE之间通信工作的代理(agent)。

其中，可信操作系统核心框架225，用于提供TEE204的核心服务，支持TEE OS214。如管理内存，进程、线程等。

其中，可信驱动226，用于为TEE204提供驱动服务。如驱动执行指纹比对安全服务等。

需要说明的是，本申请实施例示意的结构并不构成对电子设备100的具体限定。在本申请另一些实施例中，电子设备100可以包括比图示更多或更少的部件，或者组合某些部件，或者拆分某些部件，或者不同的部件布置。图示的部件可以以硬件，软件或软件和硬件的组合实现。

以下实施例中所涉及的技术方案均可以在具有如图1所示硬件架构和如图2所述的TrustZone框架的电子设备100中实现。

图3为本申请实施例提供的一种可信执行环境操作系统崩溃处理方法流程示意图，该方法可以包括步骤S101-步骤S106：

S101、若电子设备发生TEE OS崩溃，则保存TEE硬件状态参数。

示例性的，电子设备在运行应用程序的过程中，当应用程序涉及安全服务(例如用户身份验证服务等)时，会通过REE调用TEE中的相关模块。在REE调用TEE中的相关模块提供安全服务的过程中，若TEE OS发生不可修复的故障，会导致TEE OS崩溃，造成安全服务的停止或中断。

其中，造成TEE OS崩溃的原因包括但不限于：第三方驱动问题、核心服务代码漏洞(bug)、以及部分硬件故障等。例如，以电子设备是手机为例，手机厂商可以在手机上集成其他硬件厂商的指纹识别模块。那么，手机的TEE OS需要使用第三方驱动代码调用指纹识别模块。当第三方驱动代码出现异常时，手机自身并不能对第三方驱动代码进行修复，那么可能造成TEE OS崩溃。或者，其他硬件厂商的指纹识别模块发生硬件故障，手机的TEE OS也无法驱动该指纹识别模块，也可能造成TEE OS崩溃。再例如，TEE OS提供安全服务的过程中会使用多个寄存器。若其中任一个或任几个寄存器发生故障，则可能造成TEE OS的读写异常，进而造成TEE OS崩溃。

在一种具体的实现方式中，若TEE OS发生崩溃时，TEE OS可以先保存TEE硬件状态参数。其中，TEE硬件状态参数可以包括TEE中各个寄存器的数据，例如，sec_region寄存器，用于保存为安全服务分配的内存区域的基地址。在TEE OS崩溃时，保存sec_region寄存器中的值。在TEE OS按照本申请实施例提供的方法重启后，可以直接根据该寄存器的值快速定位到崩溃之前内存位置。可以理解的是，TEE OS在运行安全服务的过程中，会不断读取相关寄存器的值，以及将计算得到的数据存储在相应寄存器中，故TEE中寄存器的数据可以体现TEE硬件运行的状态。当然，TEE硬件状态参数还可以是其他体现TEE相关硬件状态的参数，本申请实施例对此不做限定。其中，TEE OS保存TEE硬件状态参数，例如可以包括TEE OS保存TEE当前的安全上下文。其中，“当前”指的是执行该保存动作时的TEE硬件状态参数。在另一些可能的设计中，可以保存特定时间长度之前的硬件状态参数或根据系统设置的其它硬件状态参数。

需要说明的是，若TEE OS崩溃时，保存电子设备硬件状态参数。而后，在TEE OS重启后，可以根据保存的硬件状态参数快速恢复硬件状态，有利于快速恢复TEE的安全服务，提升用户体验。

举例来说，在用户使用支付宝进行指纹支付的过程中，若因驱动指纹识别模块失败或其他因素导致TEE OS崩溃，指纹支付相关的安全服务中断。此时，电子设备可能已执行一部分与指纹对比安全服务相关的数据读取与写入工作，即TEE中的至少部分寄存器的值发生变化。那么，保存TEE中寄存器的值，有利于在TEE OS重启后，利用已保存的TEE中寄存器的值直接设置重启后TEE中寄存器的值，而不需要在重启执行相关的数据读取与写入的工作，有利于加快恢复TEE的指纹支付相关安全服务。

在本申请的一些实施例中，在确定TEE OS崩溃时，也可以先确认下电子设备的硬件是否发生故障，或者确定哪些硬件发生故障。若确定电子设备的硬件未发生故障，则可以直接保存所有硬件状态参数。若确定电子设备某个或某些硬件发生故障，则保存其他未发生故障的硬件的状态参数。在一些示例中，可以将发生故障的某个或某些硬件的状态参数保存为零。

举例来说，假设支持人脸比对安全服务所需要使用的100个寄存器中，某1个寄存器发生故障。在TEE OS崩溃后，保存TEE硬件状态参数时，不保存出现故障的寄存器的值或者将该寄存器的值保存为零。以此保证在后续重置TEE硬件状态参数时，保证设置的硬件状态参数的正确性。

S102、电子设备保存REE安全上下文，并暂停安全服务。

在本申请的一些实施例中，TEE OS崩溃后，将无法处理REE侧发出的安全服务请求。TEE OS向REE OS发送通知，用于告知TEE OS已崩溃的情况。在接收到该通知后，REE OS保存REE侧安全服务相关的数据。

在一些示例中，REE OS暂停接收应用程序发送的新的安全服务请求，以避免REE OS接收到新的安全服务请求后仍然会因为TEE OS崩溃发生异常。在另一些示例中，REE OS也可以在接收到新的安全服务请求后，不对新的安全服务请求进行处理，甚至直接丢弃接收到的新的安全服务请求。示例性的，在REE OS中设置接收安全服务请求的接口，如调用命令接口(invoke command KPI)。在该接口中设置开关，当REE OS确认TEE OS已经崩溃后，将该接口的检查值设置为失败(fail)。如此，实现暂停接收新的安全服务请求，或者在接收到新的安全服务请求后，不进行处理。

在一种实现方式中，REE OS保存REE安全上下文，例如可以包括REE OS保存REE当前的安全上下文。其中，“当前”指的是执行该保存动作时的REE安全上下文。在另一些实现方式中，可以保存特定时间长度之前的安全上下文或根据系统设置的其它安全上下文。

REE的安全上下文例如可以包括安全服务的注册信息等与安全服务相关的状态。该安全服务的注册信息可以包括安全内存(用于存放安全服务相关数据的内存)的分配结果，指令缓冲地址，当前已经向TEE注册的工作代理(agent)，当前已经与TEE建立连接的会话(session)，当前已经向TEE注册的安全服务等。可以理解的是，在REE调用TEE中的相关模块提供安全服务之前，会先向TEE进行指令缓存的注册，代理注册，安全内存注册等。在TEE崩溃后重启，REE与TEE之间在TEE崩溃前建立的安全服务连接失效。故，这里将REE的安全上下文进行保存，获得安全服务注册信息，REE根据注册信息可以向TEE发送安全服务注册请求，以重新建立连接，直接根据保存的REE安全上下文恢复TEE中的相关上下文。

安全服务可以包括与用户身份验证相关的服务，例如指纹比对服务，密码校验服务，人脸比对服务等。

例如，在用户使用支付宝应用的指纹支付的功能时，需要输入用户的指纹。TEE将采集到的用户指纹与预存的指纹模板进行比对。若在比对的过程中，TEE OS崩溃，则无法支持完成对采集到的用户指纹与指纹模板的比对工作。REE OS可以暂停与指纹比对相关的安全服务。在一些示例中，REE OS可以向支付宝应用发送TEE OS崩溃的通知。在另一些示例中，支付宝应用在预设时间段内一直未接收到REE OS发送的指纹比对结果，则确定本次安全服务请求失败或出现异常。

在本申请的另一些实施例中，REE OS可以向REE中安全服务对应的应用发送通知，用于通知TEE中的安全服务不可用。那么，应用程序在接收到该通知后，暂停发送新的安全服务请求。示例性的，可以在REE OS中预先设置一列表，该列表用于显示REE侧已经注册过的安全服务中正在运行或者等待运行的安全服务，在TEE OS崩溃后，无法继续提供安全服务，所以需要暂停列表中包含的安全服务。获得列表中包含的安全服务，可以得到安全服务的注册信息，进而根据注册信息获得各个安全服务对应的应用的信息。如此，可以实现根据该列表，确定列表中的安全服务对应的应用，REE OS可以向对应的应用发送安全服务不可用的通知，应用接收到该通知后，可以自动暂停发送新的安全服务请求。

S103、电子设备重启TEE OS。

示例性的，电子设备可以根据安全内存中备份的TEE OS镜像，重新初始化TEE OS到最原始的状态。或者，电子设备在运行过程中定期保存TEE OS内存快照，那么，电子设备可以用最近时间点保存的内存快照重新初始化TEE OS到最近的正确状态。

S104、电子设备根据重启TEE OS前保存的TEE的硬件状态参数设置重启TEE OS后TEE的硬件状态参数。

示例性的，在TEE OS重启完成后，先恢复TEE的安全硬件状态参数，以支持后续恢复TEE的软件参数，比如上下文等。根据步骤S101中TEE OS崩溃时保存的TEE的硬件状态参数，设置TEE OS重启后的TEE的硬件状态参数为TEE OS重启前TEE的硬件状态参数，快速恢复硬件状态。

举例来说，在用户使用支付宝进行指纹支付的过程中，若TEE OS崩溃，电子设备保存此时TEE中各个寄存器的值。在TEE OS重启后，电子设备根据已保存的TEE中寄存器的值可以直接设置重启后TEE中寄存器的值，便于快速恢复TEE的指纹支付相关安全服务。

S105、电子设备根据重启TEE OS前保存的REE的安全上下文设置重启TEE OS后REE的安全上下文，以及根据重启TEE OS前保存的REE的安全上下文设置重启TEE OS后TEE的上下文。

示例性的，在重启TEE OS之后，可以开始逐步恢复REE的安全上下文和TEE的上下文。例如：根据已保存的REE的安全上下文逐步设置重启后的REE的安全上下文，然后根据设置好的REE安全上下文逐步执行与安全服务相关的相关操作，以恢复TEE侧的上下文。例如，完成指令缓存的注册、代理的注册，安全内存的注册，恢复REE OS与应用之间会话(session)连接，重新拉起安全服务进程等。

例如：REE OS根据已保存的REE的安全上下文获得安全服务的注册信息，根据安全服务的注册信息，向TEE OS发送部分或全部安全服务的注册请求，REE OS根据该注册请求，恢复安全服务的注册。例如，完成指令缓存的注册、代理的注册，安全内存的注册，恢复TEE OS与REE OS之间会话(session)连接，重新拉起安全服务进程等。之后，TEE OS继续发送后续的安全服务请求，直至完成全部安全服务的注册。即恢复REE的安全上下文与TEE的上下文至TEE OS崩溃前的状态，可以提供安全服务。

S106、电子设备恢复安全服务。

示例性的，在设置重启后REE的安全上下文和TEE的上下文后，TEE OS已具备继续为REE中应用提供安全服务的能力，TEE OS可以向REE发送通知，以恢复上述步骤S102中暂停的安全服务。

需要说明的是，一些需要多个进程协同控制才可以执行的安全服务，在恢复该安全服务的过程中，REE OS需要按照预定顺序对其进行恢复。

示例性的，人脸比对安全服务，需要多进程协同控制，比如需要第一进程和第二进程协同控制，顺序为先执行第一进程，再执行第二进程。在电子设备恢复人脸比对安全服务的过程中，则需要先恢复第一进程，再恢复第二进程，第二进程恢复之前会确认第一进程是否已恢复。若已恢复，则第二进程开始恢复；若未恢复，则第二进程等待第一进程恢复后再恢复；或者，先恢复第一进程后，由第一进程通知第二进程开始恢复。本申请实施例对此不做限定。

由上可见，当TEE中TEE OS崩溃时，可以单独重启TEE OS，从而避免现有技术中的整机重启(包括重启TEE OS和REE OS)，减少从TEE OS崩溃到TEE OS重启后恢复安全服务的总耗时，提升电子设备的使用体验。

此外，不重启REE OS，可以由REE侧保存TEE OS崩溃时的内存空间数据，不会造成TEE侧异常内存空间数据的丢失。在TEE OS重启后，就可以根据保存的TEE侧异常内存空间数据与新建立的TEE侧内存空间的数据进行对比分析，进而可以快速分析出导致TEE OS奔溃的原因，降低维修成本。

以下，结合具体的应用场景进行说明。

场景1、电子设备提供安全服务过程中TEE OS崩溃的场景。

例如，以手机作为电子设备举例进行说明。如图4A中的(a)所示界面11，界面11为手机支付宝应用为用户提供指纹支付功能的界面。此时，手机采集用户录入的指纹。之后，手机的REE OS通过调用TEE中的安全服务模块，对用户录入的指纹进行比对等工作。

在现有技术中，若在指纹比对的过程中，TEE OS发生崩溃。手机自动关机重启以恢复安全服务。即，在TEE OS崩溃后，手机会显示如图4A中的(b)所示黑屏(关机)界面12。在手机重启期间，无法为用户提供服务。手机重启后，显示如图4A中的(c)所示主屏幕界面13。用户需要通过继续在主屏幕界面上点击支付宝应用图标，以及开启指纹支付功能等多个操作，才可以重新使用支付宝的指纹识别功能。由此可见，现有技术中恢复安全服务过程耗时较长。

在本申请实施例中，若在指纹比对的过程中，TEE OS发生崩溃，造成此次指纹比对失败，手机可以显示如图4A中的(d)所示界面14，提示用户再次输入指纹的界面。手机单独重启TEE OS。在重启TEE OS的过程中，不会重启REE OS。因此，在重启TEE OS的过程中，手机不会黑屏，可以保持如图4A中的(d)所示界面14。在重启TEE OS且恢复安全服务后，响应于用户在界面14的指纹输入操作，手机可以对用户输入的指纹进行比对。由此可见，通过本申请实施例提供的可信执行环境操作系统崩溃处理方法，可以有效减少TEE OS崩溃到恢复安全服务过程的耗时。

场景2、电子设备同时提供安全服务和其他服务的过程中TEE OS崩溃的场景。

例如，仍然以手机作为电子设备举例进行说明。若用户在通话的过程中，同时使用支付宝应用的指纹识别功能。手机显示如图4B中的(a)所示界面15。在界面15中显示有通话功能提示区域151，提示用户可以通过点击通话功能提示区域151返回通话界面。手机在提供通话功能过程中切换至其他页面时，会显示通话功能提示区域151。在手机采集到用户指纹后，手机的REE OS通过调用TEE中的安全服务模块，对采集的用户指纹进行比对等工作。

在现有技术中，若在指纹比对的过程中，TEE OS发生崩溃。手机自动关机重启以恢复安全服务。即，在TEE OS崩溃后，手机会显示如图4B中的(b)所示黑屏(关机)界面16。在手机重启期间，无法为用户提供服务(包括指纹支付功能以及通话功能)。手机重启后，显示如图4B中的(c)所示主屏幕界面17。用户需要通过在主屏幕界面17中点击通话应用图标，输入电话号码等多个操作，使用通话功能。还需要通过在主屏幕界面17中点击支付宝应用图标等多个操作重新开启支付宝应用的指纹支付功能。由此可见，现有技术中恢复安全服务过程耗时较长。

在本申请实施例中，若在指纹比对的过程中，TEE OS发生崩溃造成此次指纹比对失败，手机可以显示如图4B中的(d)所示界面18。在界面18中显示有通话功能提示区域151，表示正在提供通话服务。可以注意到，此时手机不能提供指纹支付功能，但手机的通话功能不受影响。由此可见，通过本申请实施例提供的可信执行环境操作系统崩溃处理方法，可以有效减少TEE OS崩溃到恢复安全服务过程的耗时。此外，在该过程中，手机可以继续为用户提供除安全服务以外的其他服务。

图5为本申请实施例提供另一种的可信执行环境操作系统崩溃处理方法流程示意图，该方法可以包括步骤S201-步骤S212：

S201、TEE OS崩溃，TEE OS保存TEE硬件状态参数。

请参见图2所示的结构，在TEE为REE中的应用提供安全服务的过程中，若TEE OS崩溃，TEE异常处理模块中的TEE安全状态保存模块可用于保存TEE安全硬件状态。其中，TEE硬件状态参数可以包括TEE中各个寄存器的数据等。

其余内容可以参考步骤S101的相关描述，在此不再赘述。

S202、TEE OS向REE OS发送第一通知。

示例性的，在TEE获知TEE安全状态保存模块保存TEE硬件状态参数后，向REE发送第一通知。例如，可以由TEE中的TEE异常处理模块向REE中的安全服务模块发送第一通知。又例如，TEE中的TEE异常处理模块在保存TEE安全硬件状态参数后，告知TEE OS中的特定模块，由TEE OS中的特定模块向REE中的安全服务模块，或者经由REE中的某个模块向REE中的安全服务模块，发送第一通知。本申请实施例对此不做限定。

其中，第一通知可以用于通知TEE OS已崩溃，以便REE OS执行相应的步骤。或者，第一通知可以直接用于通知REE执行相应的步骤。具体实现中，第一通知可以为具有固定格式的消息，或者携带特定内容的消息。本申请实施例对第一通知的具体格式和内容均不做限定。

其余内容可以参考步骤S101的相关描述，在此不再赘述。

S203、REE OS保存REE安全上下文，暂停安全服务。

示例性的，REE侧安全服务模块接收到第一通知后，可以先调用其中的REE安全状态保存模块保存REE安全上下文，再调用安全服务暂停模块暂停安全服务。也可以先调用安全服务暂停模块暂停安全服务，再调用其中的REE安全状态保存模块保存REE安全上下文。还可以同时调用两个模块分别执行相应的步骤。即，本申请实施例并限定保存REE安全上下文和暂停安全服务的时间顺序。

其余内容可以参考步骤S102的相关描述，在此不再赘述。

S204、REE OS向TEE OS发送第二通知。

示例性的，在REE获知安全服务暂停模块暂停安全服务后，向TEE侧TEE异常处理模块发送第二通知，例如，可以由REE中的安全服务模块向TEE中的TEE异常处理模块发送第二通知。又例如，REE中的安全服务暂停模块暂停安全服务后，告知REE OS中的特定模块，由REE OS中的特定模块向TEE中的TEE异常处理模块，或者经由TEE中的某个模块向TEE中的TEE异常处理模块，发送第二通知。本申请实施例对此不做限定。

其中，第二通知可以用于通知TEE OS，REE侧已准备就绪，以便TEE OS执行相应的步骤。或者，第二通知可以直接用于通知TEE执行相应的步骤。具体实现中，第二通知可以为具有固定格式的消息，或者携带特定内容的消息。本申请实施例对第二通知的具体格式和内容均不做限定。

示例性的，在REE获知安全服务暂停模块暂停安全服务后，还可以向REE中安全服务对应的应用发送第五通知，用于通知TEE中的安全服务不可用。那么，应用程序在接收到该通知后，暂停发送新的安全服务请求。本申请实施例对第五通知的具体格式和内容均不做限定。

其余内容可以参考步骤S102的相关描述，在此不再赘述。

S205、TEE OS重启。

示例性的，TEE侧的TEE异常处理模块接收到第二通知后，调用其中的TEE OS重启模块，重启TEE OS。

其余内容可以参考步骤S103的相关描述，在此不再赘述。

S206、TEE OS根据重启TEE OS前保存的TEE的硬件状态参数设置重启TEE OS后TEE的硬件状态参数。

示例性，TEE OS重启模块重启TEE OS后，TEE异常处理模块通知TEE初始化模块TEE OS已重启，可以开始恢复TEE侧安全状态。TEE侧的TEE初始化模块获知TEE OS已重启完毕，则调用TEE安全状态恢复模块，从TEE安全状态保存模块中获取TEE OS重启前其保存的TEE的硬件状态参数，用于设置TEE OS重启后的TEE的硬件状态参数。

其余内容可以参考步骤S104的相关描述，在此不再赘述。

S207、TEE OS向REE OS发送第三通知。

示例性的，在TEE获知TEE安全状态恢复模块恢复TEE硬件状态参数后，向REE发送第三通知。例如，可以由TEE中的TEE初始化模块向REE中的安全服务模块发送第三通知。又例如，TEE中的TEE初始化模块在恢复TEE安全硬件状态参数后，告知TEE OS中的特定模块，由TEE OS中的特定模块向REE中的安全服务模块，或者经由REE中的某个模块向REE中的安全服务模块，发送第三通知。本申请实施例对此不做限定。

其中，第三通知可以用于通知TEE硬件状态已恢复，以便REE OS执行相应的步骤。或者，第三通知可以直接用于通知REE执行相应的步骤。具体实现中，第三通知可以为具有固定格式的消息，或者携带特定内容的消息。本申请实施例对第三通知的具体格式和内容均不做限定。

其余内容可以参考步骤S104的相关描述，在此不再赘述。

S208、REE OS根据重启TEE OS前保存的REE的安全上下文设置重启TEE OS后REE的安全上下文。

S209、REE OS指示TEE OS根据重启TEE OS后的REE的安全上下文设置重启TEE OS后TEE的上下文。

S210、TEE OS根据重启TEE OS后的REE的安全上下文设置重启TEE OS后TEE的上下文。

S211、TEE OS向REE OS发送第四通知。

示例性的，步骤S208-S211中，REE侧的安全服务模块接收TEE发送的第三通知后，调用REE安全状态恢复模块启动恢复安全上下文的流程。REE安全状态恢复模块从REE安全状态保存模块中获取REE OS重启前保存的REE的安全上下文，根据重启前保存的REE安全上下文恢复重启后REE安全上下文，并向TEE中的TEE安全状态恢复模块发送部分或全部安全服务的注册请求。TEE安全状态恢复模块根据注册请求，恢复对应的安全服务重启后的TEE的上下文后，向REE安全状态恢复模块发送通知，反馈此次注册已完成。REE安全状态恢复模块根据重启前保存的REE的安全上下文继续发送未发送的安全服务的注册请求。在REE安全状态恢复模块与TEE安全状态恢复模块的交互过程中，完成全部安全服务的注册，恢复REE的安全上下文和TEE的上下文至TEE OS崩溃前的状态。其中，REE安全状态恢复模块向TEE发送的最后一个注册请求中携带有固定标识，用于告知TEE根据此次注册请求恢复安全服务后，即完成全部REE的安全上下文和TEE的上下文的恢复。或者，TEE预设时间段未收到注册请求后，即获知已完成全部REE的安全上下文和TEE的上下文的恢复。

在TEE获知已完成全部REE的安全上下文和TEE的上下文的恢复工作后，TEE异常处理模块向REE发送第四通知。例如，可以由TEE中的TEE异常处理模块向REE中的安全服务模块发送第四通知。又例如，TEE中的TEE异常处理模块在获知已完成全部REE安全上下文和TEE上下文的恢复工作后，告知TEE OS中的特定模块，由TEE OS中的特定模块向REE中的安全服务模块，或者经由REE中的某个模块向REE中的安全服务模块，发送第四通知。本申请实施例对此不做限定。

其中，第四通知可以用于通知REE的安全上下文和TEE的上下文已恢复，以便REE OS执行相应的步骤。或者，第四通知可以直接用于通知REE执行相应的步骤。具体实现中，第四通知可以为具有固定格式的消息，或者携带特定内容的消息。本申请实施例对第四通知的具体格式和内容均不做限定。

需要说明的是，图中步骤S208中设置REE的安全上下文，以及步骤S209中指示设置TEE的上下文的过程是交织进行的。例如，步骤S208中REE设置一个或几个REE的安全上下文后，会指示TEE设置相应的上下文。而后，REE再继续设置其他的REE的安全上下文，再指示TEE设置相应的上下文，以此类推。

其余内容可以参考步骤S105的相关描述，在此不再赘述。

S212、REE OS恢复安全服务。

REE侧安全服务模块接收到第四通知后，停止运行安全服务暂停模块，进而恢复安全服务。

其余内容可以参考步骤S106的相关描述，在此不再赘述。

在上述步骤S201-步骤S212提供的技术方案中，TEE OS崩溃后，REE OS可以不主动退出安全服务。由于本申请未重启REE OS，REE可能保留了之前调用安全服务的部分数据，如内存地址等，而这部分数据已经失效。在这种情况下，在REE OS恢复安全服务后，即执行步骤S212后，REE首次接收的应用发送的安全服务请求，会根据REE保留的安全服务的数据，向TEE发起安全服务请求。而由于REE之前保留的安全数据已经失效，导致此次连接失败。而后，REE的守护进程会重新拉起安全服务，即再次向TEE侧发出安全服务请求。其中，守护进程(daemon)是一类在后台运行的特殊进程，用于执行特定的系统任务。一些守护进程在系统引导的时候启动，并且一直运行直到系统关闭。另一些只在需要的时候才启动，完成任务后就自动结束。在本申请实施例中，可以在安全服务启动失败后，由守候进程重启建立连接，启动安全服务。

例如，以手机作为电子设备举例。如图6中的(a)所示界面21，界面21为手机支付宝应用提供的指纹解锁功能界面。此时，手机提示用户可以通过点击屏幕进行指纹解锁。在手机检测到用户点击屏幕的操作后，手机显示如图6中的(b)所示的界面22。界面22为采集用户指纹的界面。在手机采集用户录入的指纹后，手机的REE OS通过调用TEE中的安全服务模块，对用户录入的指纹进行比对等工作。若在指纹比对的过程中，TEE OS发生崩溃，手机可以显示如图6中的(c)所示界面23，界面23用于提示用户此次解锁失败(指纹比对失败)，再次输入指纹。TEE OS重启。在TEE OS重启后，如图6中(d)所示，用户在界面23上输入指纹。手机再次采集用户的指纹，并将采集到的用户指纹发送给TEE进行比对。TEE比对失败，显示如图6中的(e)所示界面24。

图7为本申请实施例提供另一种的可信执行环境操作系统崩溃处理方法流程示意图，该方法可以包括步骤S301-步骤S314：

S301、TEE OS崩溃，TEE OS保存TEE硬件状态参数。

S302、TEE OS向REE OS发送第一通知。

S303、REE OS保存REE安全上下文，暂停安全服务。

其中，步骤S301-S303可以参考步骤S201-S203的相关描述，在此不再赘述。

S304、REE OS向安全服务对应的应用发送第六通知，用于退出安全服务。

在一些实施例中，在REE OS暂停安全服务后，REE OS可以主动退出安全服务。在图5所示的实施例中，当TEE OS崩溃后，独立重启了TEE OS，但未重启REE OS。因此，REE保留了之前调用安全服务的部分数据，如内存地址等，而这部分数据可能与TEE OS重启后的数据冲突。在这种情况下，当TEE OS重启后，REE接收到应用发送的第一次安全服务请求后，可能无法调用TEE中相应的安全服务模块。在该实施例中，在TEE OS崩溃后，REE OS暂停安全服务后，可以主动退出安全服务。当TEE OS重启后，主动恢复安全服务。这样，当TEE OS重启后，REE接收到应用发送的第一次安全服务请求后，可以正常调用TEE中相应的安全服务模块。

在本申请的一些实施例中，REE侧安全服务模块向电子设备中包含的安全服务的应用发送第六通知，用于退出安全服务；或者，第六通知为固定格式或内容的代码，安全服务对应的应用接收到第六通知后，自动退出安全服务。本申请实施例对第六通知的具体格式和内容均不做限定。

S305、REE OS向TEE OS发送第二通知。

S306、TEE OS重启。

S307、TEE OS根据重启TEE OS前保存的TEE的硬件状态参数设置重启TEE OS 后TEE的硬件状态参数。

S308、TEE OS向REE OS发送第三通知。

S309、REE OS根据重启TEE OS前保存的REE的安全上下文设置重启TEE OS后的REE的安全上下文。

S310、REE OS指示TEE OS根据重启TEE OS后的REE的安全上下文设置重启TEE OS后TEE的上下文。

S311、TEE OS根据重启TEE OS后的REE的安全上下文设置重启TEE OS后的TEE的上下文。

S312、TEE OS向REE OS发送第四通知。

其中，步骤S305-S312可以参考步骤S204-S211的相关描述，在此不再赘述。

S313、向安全服务对应的应用发送第七通知，用于重启安全服务。

示例性的，在REE OS恢复安全服务之前，电子设备会上述步骤S304中主动退出安全服务主动重启，建立新的连接以提供安全服务。

在本申请的一些实施例中，以图2所示的结构为例，REE侧安全服务模块，向电子设备中TEE OS崩溃后已主动退出的安全服务对应的应用发送第七通知，用于重启已退出的安全服务；或者，第七通知为固定格式或内容的代码，安全服务对应的应用接收到第六通知后，自动启动安全服务。本申请实施例对第七通知的具体格式和内容均不做限定。

S314、REE OS恢复安全服务。

示例性的，步骤S314中包含的其他内容可参见步骤S212，在此不再进行赘述。

在上述步骤S301-步骤S314提供的技术方案中，TEE OS崩溃后，REE OS可以主动退出安全服务，并在TEE OS重启后，主动重启安全服务。由于本申请未重启REE OS，REE可能保留了之前调用安全服务的部分数据，如内存地址等，而这部分数据已经失效。在TEE OS崩溃后，主动退出安全服务，可以清除这部分数据。在这种情况下，在REE OS恢复安全服务后，即执行步骤S314后，REE首次接收的应用发送的安全服务请求，向TEE发起安全服务请求。

例如，以手机作为电子设备举例。如图8中的(a)所示界面31，界面31为手机支付宝应用提供的指纹解锁功能界面。此时，手机提示用户可以通过点击屏幕进行指纹解锁。在手机检测到用户点击屏幕的操作后，手机显示如图8中的(b)所示的界面32。界面32为用户指纹输入界面。在手机采集到用户输入的指纹后，手机的REE OS通过调用TEE中的安全服务模块，对用户录入的指纹进行比对等工作。若在指纹比对的过程中，TEE OS发生崩溃，手机可以显示如图8中的(c)所示界面33。界面33用于提示用户此次解锁失败(指纹比对失败)，再次输入指纹。如图8中的(d)所示，在TEE OS重启后，用户可以在界面33上输入指纹。手机采集到用户录入的指纹后，调用TEE侧的安全服务进行指纹比对。若指纹比对成功，手机解锁，显示如图8中(e)所示的支付宝首页34。可以看到，相较于在TEE OS崩溃后，REE OS不主动退出安全服务的方案，本实施例可以提升TEE OS重启后第一次执行安全服务的正确率。

图9示出了上述实施例中所涉及的计算机系统的一种可能的结构示意图，该计算机系统包括TEE901和REE902，TEE901为REE902提供安全服务。TEE901包括TEE OS903、第一存储单元904和重启单元905，REE902包括REE OS906、第二存储单元907。

其中，TEE OS903，用于支持计算机系统执行图3中的步骤S104和步骤S105，图5中的步骤S206和步骤S210，图7中的步骤S307和步骤S311，和/或用于本文所描述的技术的其它过程。

第一存储单元904，用于支持计算机系统执行图3中的步骤S101，图5中的步骤S201，图7中的步骤S301，和/或用于本文所描述的技术的其它过程。

重启单元905，用于支持计算机系统执行图3中的步骤S103，图5中的步骤S205，图7中的步骤S306，和/或用于本文所描述的技术的其它过程。

REE OS906，用于支持计算机系统执行图3中的步骤S102、步骤S105和步骤S106，图5中的步骤S203、步骤S208和步骤S212，图7中的步骤S303、步骤S304、步骤S309、步骤313和步骤314，和/或用于本文所描述的技术的其它过程。

第二存储单元907，用于支持计算机系统执行图3中的步骤S102，图5中的步骤S203，图7中的步骤S303，和/或用于本文所描述的技术的其它过程。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能单元的功能描述，在此不再赘述。

图10示出了上述实施例中所涉及的用于实现可信执行环境操作系统崩溃处理的装置的一种可能的结构示意图。包括：处理单元1001，接收单元1002，存储单元1003，发送单元1004。

其中，处理单元1001，用于支持装置执行图3中的步骤S102，步骤S105和步骤S106，图5中的步骤S203，步骤S208和步骤S212，图7中的步骤S303，步骤S309和步骤S314，和/或用于本文所描述的技术的其它过程。

接收单元1002，用于支持装置执行图5中的步骤S202，步骤S207和步骤S211，图7中的步骤S302，步骤S308和步骤S312，和/或用于本文所描述的技术的其它过程。

存储单元1003，用于支持装置执行图3中的步骤S102，图5中的步骤S203，图7中的步骤S303，和/或用于本文所描述的技术的其它过程。

发送单元1004，用于支持装置执行图5中的步骤S204和步骤S209，图7中的步骤S304，步骤S305，步骤S310和步骤S313，和/或用于本文所描述的技术的其它过程。

图11示出了上述实施例中所涉及的用于实现可信执行环境操作系统崩溃处理的装置的一种可能的结构示意图。包括：处理单元1101，存储单元1102，发送单元1103，接收单元1104，重启单元1105。

处理单元1101，用于支持装置执行图3中的步骤S104和步骤S105，图5中的步骤S206和步骤S210，图7中的步骤S307和步骤S311，和/或用于本文所描述的技术的其它过程。

存储单元1102，用于支持装置执行图3中的步骤S101，图5中的步骤S201，图7中的步骤S301，和/或用于本文所描述的技术的其它过程。

发送单元1103，用于支持装置执行图5中的步骤S202，步骤S207和步骤S211，图7中的步骤S302，步骤S308，步骤S312，步骤S304和步骤S313，和/或用于本文所描述的技术的其它过程。

接收单元1104，用于支持装置执行图5中的步骤S204和步骤S209，图7中的步骤S305和步骤S310，和/或用于本文所描述的技术的其它过程。

重启单元1105，用于支持装置执行图3中的步骤S103，图5中的步骤S205，图7中的步骤S306，和/或用于本文所描述的技术的其它过程。

本申请实施例还提供一种芯片系统，如图12所示，该芯片系统包括至少一个处理器1201和至少一个接口电路1202。处理器1201和接口电路1202可通过线路互联。例如，接口电路1202可用于从其它装置接收信号。又例如，接口电路1202可用于向其它装置(例如处理器1201)发送信号。示例性的，接口电路1202可读取存储器中存储的指令，并将该指令发送给处理器1201。当所述指令被处理器1201执行时，可使得电子设备执行上述实施例中的可信执行环境操作系统崩溃处理方法中的各个步骤。当然，该芯片系统还可以包含其他分立器件，本申请实施例对此不作具体限定。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机指令，当该计算机指令在电子设备上运行时，使得电子设备执行上述相关方法步骤实现上述实施例中的可信执行环境操作系统崩溃处理方法。

本申请实施例还提供一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关步骤，以实现上述实施例中的可信执行环境操作系统崩溃处理方法方法。

另外，本申请的实施例还提供一种装置，该装置具体可以是组件或模块，该装置可包括相连的处理器和存储器；其中，存储器用于存储计算机执行指令，当装置运行时，处理器可执行存储器存储的计算机执行指令，以使装置执行上述各方法实施例中的可信执行环境操作系统崩溃处理方法。

其中，本申请实施例提供的电子设备、计算机可读存储介质、计算机程序产品或芯片均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，此处不再赘述。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的方法，可以通过其它的方式实现。例如，以上所描述的电子设备实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，模块或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：快闪存储器、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序指令的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

一种可信执行环境操作系统崩溃处理方法，其特征在于，应用于包括可信执行环境TEE和富执行环境REE的电子设备，所述TEE中运行有可信执行环境操作系统TEE OS和安全服务，所述方法包括：

基于在所述安全服务运行的过程中检测到所述TEE OS崩溃，所述电子设备保存所述TEEOS奔溃时所述TEE的硬件状态参数和所述REE的安全上下文，并暂停所述安全服务；

所述电子设备重启所述TEE OS；

所述电子设备根据保存的所述TEE的硬件状态参数设置重启所述TEE OS后所述TEE的硬件状态参数；

所述电子设备根据保存的所述REE的安全上下文设置重启所述TEE OS后所述REE的安全上下文，以及根据保存的所述REE的安全上下文设置重启所述TEE OS后所述TEE的上下文；

所述电子设备恢复所述安全服务。
根据权利要求1所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述REE中运行有富执行环境操作系统REE OS，所述方法还包括：

所述电子设备暂停所述安全服务之后，通过所述REE OS通知所述安全服务对应的应用所述安全服务不可用。
根据权利要求1或2所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述方法还包括：

所述电子设备暂停所述安全服务之后，通过所述REE OS暂停接收所述REE中任一应用发送的针对所述安全服务的请求。
根据权利要求2或3所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述方法还包括：

所述电子设备暂停所述安全服务之后，通过所述REE OS通知所述安全服务对应的应用退出所述安全服务；

所述电子设备恢复所述安全服务之后，通过所述REE OS通知所述安全服务对应的应用重启所述安全服务。
根据权利要求1-4任一项所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述安全服务包括指纹比对服务、密码校验服务、以及人脸比对服务中任意一项或多项。
根据权利要求1-5任一项所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述TEE的硬件状态参数包括：所述TEE中寄存器的数据。
根据权利要求1-6任一项所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述REE的安全上下文包括：所述安全服务的注册信息。
一种可信执行环境操作系统崩溃处理方法，其特征在于，应用于包括可信执行环境TEE和富执行环境REE的电子设备，所述TEE为所述REE提供安全服务，所述TEE中包含可信执行环境操作系统TEE OS，所述REE中包含富执行环境操作系统REE OS，所述方法包括：

在所述REE调用所述安全服务的过程中，所述REE OS接收第一通知；所述第一通知指示所述TEE OS已崩溃；

所述REE OS保存所述REE安全上下文，暂停安全服务，向所述TEE OS发送第二通知，以指示所述TEE OS重启；

所述REE OS接收第三通知，所述第三通知为所述TEE OS设置重启所述TEE OS后的所述TEE的硬件状态参数后发送给所述REE OS的通知；

所述REE OS根据保存的所述REE的安全上下文设置重启所述TEE OS后所述REE的安全上下文；

所述REE OS接收第四通知，所述第四通知为所述TEE OS设置重启所述TEE OS后的所述TEE的上下文后，发送给所述REE OS的通知；

所述REE OS恢复所述安全服务。
根据权利要求8所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述REE OS暂停所述安全服务之后，所述方法还包括：

所述REE OS向所述安全服务对应的应用发送第五通知，所述第五通知用于通知所述应用所述安全服务不可用。
根据权利要求8或9所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述REE OS暂停所述安全服务之后，所述方法还包括：

所述REE OS暂停接收所述REE中任一应用发送的针对所述安全服务的请求。
根据权利要求8-10任一项所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述REE OS暂停所述安全服务之后，所述方法还包括：

所述REE OS向所述安全服务对应的应用发送第六通知，用于退出所述安全服务；

所述REE OS恢复所述安全服务之后，所述方法还包括：

所述REE OS向所述安全服务对应的应用发送第七通知，用于重启所述安全服务。
根据权利要求8-11任一项所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述安全服务包括指纹对比服务、密码校验服务、人脸对比服务中任意一项或多项。
根据权利要求8-12任一项所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述REE的安全上下文包括：所述安全服务的注册信息。
一种可信执行环境操作系统崩溃处理方法，其特征在于，应用于包括可信执行环境TEE和富执行环境REE的电子设备，所述TEE为所述REE提供安全服务，所述TEE中包含可信执行环境操作系统TEE OS，所述REE中包含富执行环境操作系统REE OS，所述方法包括：

在TEE提供安全服务的过程中，若所述TEE OS崩溃，所述TEE OS保存所述TEE硬件状态参数，向所述REE OS发送第一通知，所述第一通知用于指示所述REE OS暂停安全服务；

所述TEE OS接收第二通知后，重启，其中，所述第二通知为REE OS暂停安全服务后发送给TEE OS的通知；

所述TEE OS根据保存的所述TEE的硬件状态参数设置重启所述TEE OS后所述TEE的硬件状态参数，向所述REE OS发送第三通知，所述第三通知用于指示所述REE OS设置重启所述TEE OS后所述REE的安全上下文；

所述TEE OS根据重启所述TEE OS后所述REE的安全上下文设置重启所述TEE OS后的所述TEE的上下文；之后，向所述REE OS发送第四通知；所述第四通知用于指示所述REE OS恢复所述安全服务。
根据权利要求14所述的可信执行环境操作系统崩溃处理方法，其特征在于，所述安全服务包括指纹对比服务，密码校验服务，人脸对比服务中任意一项或多项。
根据权利要求14或15所述的可信执行环境操作系统崩溃处理方法，其特征在于，

所述TEE的硬件状态参数包括：所述TEE中寄存器的数据。
一种计算机系统，其特征在于，包括可信执行环境TEE和富执行环境REE，所述TEE为所述REE提供安全服务；所述TEE包括可信执行环境操作系统TEE OS、第一存储单元和重启单元，所述REE包括富执行环境操作系统REE OS、第二存储单元；

所述TEE OS，用于运行所述安全服务；

所述第一存储单元，用于在所述TEE OS运行所述安全服务的过程中，若所述TEE OS崩溃，则保存所述TEE硬件状态参数；

所述第二存储单元，用于保存所述REE安全上下文；

所述REE OS，还用于暂停调用所述安全服务；

所述重启单元，用于重启所述TEE OS；

所述TEE OS，还用于根据保存的所述TEE的硬件状态参数设置重启所述TEE OS后所述TEE的硬件状态参数；

所述REE OS，还用于根据保存的所述REE的安全上下文设置重启所述TEE OS后所述REE的安全上下文，以及所述TEE OS，还用于根据保存的所述REE的安全上下文设置重启所述TEE OS后所述TEE的上下文；

所述REE OS，还用于恢复调用所述安全服务。
根据权利要求17所述的计算机系统，其特征在于，

所述REE OS，还用于在暂停调用所述安全服务之后，向所述安全服务对应的应用发送所述安全服务不可用的通知。
根据权利要求17或18所述的计算机系统，其特征在于，

所述REE OS，还用于在暂停调用所述安全服务之后，暂停接收所述REE中任一应用发送的针对所述安全服务的请求。
根据权利要求18或19所述的计算机系统，其特征在于，

所述REE OS，还用于在暂停调用所述安全服务之后，通知所述安全服务对应的应用退出所述安全服务；

所述REE OS，还用于在恢复调用所述安全服务之后，通知所述安全服务对应的应用重启所述安全服务。
根据权利要求17-20任一项所述的计算机系统，其特征在于，所述安全服务包括指纹比对服务，密码校验服务，人脸比对服务中任意一项或多项。
根据权利要求17-21任一项所述的计算机系统，其特征在于，所述TEE的硬件状态参数包括：所述TEE中寄存器的数据。
根据权利要求17-22任一项所述的计算机系统，其特征在于，所述REE的安全上下文包括：所述安全服务的注册信息。
一种用于实现可信执行环境操作系统崩溃处理的装置，其特征在于，包括：处理单元、接收单元、存储单元和发送单元；

所述处理单元，用于调用可信执行环境TEE的安全服务；

所述接收单元，用于在所述处理单元调用所述安全服务的过程中，接收第一通知；所述第一通知用于通知可信执行环境操作系统TEE OS已崩溃；

所述存储单元，用于保存富执行环境REE安全上下文；

所述处理单元，还用于暂停调用所述安全服务；

所述发送单元，用于向所述TEE OS发送第二通知；所述第二通知用于指示所述TEE OS重启；

所述接收单元，还用于接收第三通知，所述第三通知为所述TEE OS设置重启所述TEE OS后的所述TEE的硬件状态参数后发送给所述REE OS的通知；

所述处理单元，还用于根据保存的所述REE的安全上下文设置重启所述TEE OS后所述REE的安全上下文；

所述接收单元，还用于接收第四通知，所述第四通知为所述TEE OS设置重启所述TEE OS后的所述TEE的上下文后，发送给所述REE OS的通知；

所述处理单元，还用于恢复调用所述安全服务。
根据权利要求24所述的装置，其特征在于，

所述发送单元，还用于在所述处理单元暂停调用所述安全服务之后，向所述安全服务对应的应用发送第五通知，用于通知所述安全服务不可用。
根据权利要求24或25所述的装置，其特征在于，

所述接收单元，还用于在所述处理单元暂停调用所述安全服务之后，暂停接收所述REE中任一应用发送的针对所述安全服务的请求。
根据权利要求24-26任一项所述的装置，其特征在于，

所述发送单元，还用于在所述处理单元暂停调用所述安全服务之后，向所述安全服务对应的应用发送第六通知，用于退出所述安全服务；

所述发送单元，还用于在所述处理单元恢复调用所述安全服务之后，向所述安全服务对应的应用发送第七通知，用于重启所述安全服务。
根据权利要求24-27任一项所述的装置，其特征在于，所述安全服务包括指纹对比服务，密码校验服务，人脸对比服务中任意一项或多项。
根据权利要求24-28任一项所述的装置，其特征在于，所述REE的安全上下文包括：所述安全服务的注册信息。
一种用于实现可信执行环境操作系统崩溃处理的装置，其特征在于，包括：处理单元、存储单元、发送单元、接收单元和重启单元；

所述处理单元，用于提供安全服务；

所述存储单元，用于在所述处理单元提供安全服务的过程中，若所述处理单元崩溃，保存可信执行环境TEE硬件状态参数；

所述发送单元，用于向富执行环境操作系统REE OS发送第一通知；所述第一通知用于指示所述REE OS暂停安全服务；

所述接收单元，用于接收第二通知后；其中，所述第二通知为REE OS暂停安全服务后发送的通知；

所述重启单元，用于重启所述处理单元；

所述处理单元，还用于根据保存的所述TEE的硬件状态参数设置重启后所述TEE的硬件状态参数；

所述发送单元，还用于向所述REE OS发送第三通知；所述第三通知用于指示所述REE OS设置重启后富执行环境REE的安全上下文；

所述处理单元，还用于根据重启后所述REE的安全上下文设置重启后的所述TEE的上下文；

所述发送单元，还用于向所述REE OS发送第四通知；所述第四通知用于指示所述REE OS恢复所述安全服务。
根据权利要求30所述的装置，其特征在于，所述安全服务包括指纹对比服务，密码校验服务，人脸对比服务任意一项或多项。
根据权利要求30或31所述的装置，其特征在于，

所述TEE的硬件状态参数包括：所述TEE中寄存器的数据。
一种电子设备，其特征在于，所述电子设备包括：

一个或多个处理器；其中，所述一个或多个处理器包括可信执行环境TEE和富执行环境REE，所述TEE为所述REE提供安全服务；所述TEE中包含可信执行环境操作系统TEE OS，所述REE中包含富执行环境操作系统REE OS；

存储器；

以及一个或多个计算机程序，其中所述一个或多个计算机程序被存储在所述存储器中，所述一个或多个计算机程序包括指令；当所述指令被所述一个或多个处理器执行时，使得所述电子设备执行如权利要求1-7中任一项所述的可信执行环境操作系统崩溃处理方法；或者，使得所述电子设备执行如权利要求8-13中任一项所述的可信执行环境操作系统崩溃处理方法；或者，使得所述电子设备执行如权利要求14-16中任一项所述的可信执行环境操作系统崩溃处理方法。
一种计算机可读存储介质，其特征在于，包括计算机指令，当所述计算机指令在电子设备上运行时，使得所述电子设备执行如权利要求1-7中任一项所述的可信执行环境操作系统崩溃处理方法；或者，使得所述电子设备执行如权利要求8-13中任一项所述的可信执行环境操作系统崩溃处理方法；或者，使得所述电子设备执行如权利要求14-16中任一项所述的可信执行环境操作系统崩溃处理方法。
一种计算机程序产品，其特征在于，当所述计算机程序产品在计算机上运行时，使得所述计算机执行如权利要求1-7中任一项所述的可信执行环境操作系统崩溃处理方法；或者，使得所述电子设备执行如权利要求8-13中任一项所述的可信执行环境操作系统崩溃处理方法；或者，使得所述电子设备执行如权利要求14-16中任一项所述的可信执行环境操作系统崩溃处理方法。