一種計算設備，具有能夠分別訪問第一和第二存儲器的第一和第二操作系統。所述第二操作系統具有提供單獨執行環境的容器。所述容器具有安全計算資源。所述第二操作系統中的軟件模塊從所述第一操作系統中的應用接收訪問請求，并基于所述容器訪問規則選擇性地傳遞所述請求。

相關申請案交叉申請

本專利發明要求于2017年3月20日遞交的發明名稱為“用于容器化的安全計算資源的方法和裝置”的第15/463,539號美國專利申請案的在先申請優先權，該在先申請的內容以引入的方式并入本文。

技術領域

本發明涉及計算設備，尤其涉及用于管理對計算設備中的安全資源的訪問的系統和方法。

背景技術

現代計算設備用于各種各樣的目的，其中許多目的涉及用戶或其他實體的私有、專有或敏感數據。例如，諸如智能手機之類的設備通常用于存儲金融數據，例如賬號、支付憑證和諸如指紋、PIN和密碼的生物識別數據。另外，計算設備通常存儲加密密鑰等，例如，用于安全通信和文件存儲或回放受版權保護的介質。這些數據對于用戶和其他實體(例如軟件開發者、企業、金融機構以及媒體所有者和發布者)是有價值的。

對敏感數據(特別是防止對這種數據的未授權訪問)的保護是重要的。允許用戶和軟件開發者為了合法目的快速且方便地訪問數據對于提供廣泛的設備特征集也是重要的。

設備已經越來越普遍地使用在多種模式中。例如，計算設備可以是便攜式或手持式以及桌面式。在每種模式中可能需要不同的功能集和不同的用戶界面。另外，用戶可以將單個設備用于個人和專業目的。企業可能希望將數據與雇員的個人數據分開，并且雇員可能同樣出于隱私原因希望保持數據的分開。

發明內容

一種示例計算設備包括：處理器，用于提供：第一操作系統，可訪問第一存儲器；第二操作系統，可訪問第二存儲器并具有多個提供單獨執行環境的容器，所述多個容器中的每一個具有安全的計算資源；可在所述第二操作系統內執行的軟件模塊，用于從所述第一操作系統中的應用中接收訪問請求，并基于容器訪問規則，選擇性地將所述請求傳遞給所述安全計算資源。

在一些實施例中，所述第一操作系統具有多個提供單獨執行環境的容器，所述第一操作系統的每個所述容器與所述第二操作系統的容器對應。

在一些實施例中，所述容器訪問規則包括所述第一操作系統的所述容器與所述第二操作系統的所述容器之間的一致性。

在一些實施例中，所述計算設備包括可在所述第一操作系統中執行的軟件模塊，以生成訪問請求，每個訪問請求包括一個值，以標識發起所述訪問請求的容器。

在一些實施例中，所述訪問規則取決于標識發起所述訪問請求的容器的所述值。

在一些實施例中，所述安全計算資源可以包括所述第二操作系統的所述容器中的可信應用。

在一些實施例中，所述第二操作系統的第一和第二容器具有可信應用的相應實例。

在一些實施例中，所述訪問請求包括用于返回安全數據的請求。

在一些實施例中，所述訪問請求包括使用所述安全計算資源執行操作的請求。

在一些實施例中，所述第一操作系統定義富執行環境，所述第二操作系統定義可信執行環境，每種環境由Global Platform TEE系統架構定義。

本文公開的計算設備可以包括上述特征的任何組合。