本發明提供了面向可信執行環境的虛擬化系統、方法和設備調用方法，該系統包括：驅動虛擬主機，運行在可信執行環境TEE中，用于在可信執行環境TEE內部復用通用驅動框架開發的共享設備驅動，以在可信執行環境TEE中提供共享驅動服務；至少一個驅動半虛擬化模塊，運行在富執行環境REE中和/或可執行環境TEE中的TEE虛擬機中，用于調用驅動虛擬主機提供的共享驅動服務，并基于共享驅動服務在富執行環境REE中和/或TEE虛擬機中提供對應的設備驅動服務。利用上述系統和方法，能夠避免重復開發相關設備驅動，降低驅動開發復雜度，減小驅動開發成本。

技術領域

本發明屬于操作系統領域，具體涉及一種面向可信執行環境的虛擬化系統及方法。

背景技術

本部分旨在為權利要求書中陳述的本發明的實施方式提供背景或上下文。此處的描述不因為包括在本部分中就承認是現有技術。

可信執行環境TEE(Trusted Execution Environment)技術能夠為諸如移動電話等智能終端提供受到硬件隔離保護的可信執行環境/操作系統。

當前，TEE技術已經在智能手機上普及，并逐步從手機向汽車電子、行業終端等領域拓展。TEE所覆蓋的行業生態和設備種類變得越來越多樣化，多個業務方TEE如何在一個設備上安全共存變得越來越重要，基于虛擬化技術的多TEE虛擬機解決方案能夠很好地解決上述需求。

現有技術中，采用半虛擬化方案，參見圖1，其針對多TEE操作系統(TEE OS)在同一設備共存的需求，采用半虛擬化的方法在一個硬件隔離環境同時運行多個TEE OS，TEE虛擬機設備驅動(如GPU、攝像頭、LCD等)，通過半虛擬化模塊調用TEE OS提供的設備驅動完成相關設備操作。然而，現有半虛擬化方案中，設備驅動位于TEE OS中，TEE虛擬機通過半虛擬化模塊調用TEE OS提供的設備驅動完成相關設備操作，由于硬件和芯片廠商提供的驅動參考實現主要是針對類Linux系統，而TEE平臺驅動架構與類Linux系統存在較大差異，對于復雜度較高的設備(如GPU、攝像頭、LCD等)，在TEE平臺開發該類設備驅動的工作量非常大，極大地影響了該方案的落地推廣。

發明內容

針對上述現有技術中存在的問題，提出了一種面向可信執行環境的虛擬化系統及方法，利用這種系統及方法，能夠解決上述問題。

本發明提供了以下方案。

第一方面，提供一種面向可信執行環境的虛擬化系統，其特征在于，系統包括：驅動虛擬主機，運行在可信執行環境TEE中，用于在可信執行環境TEE內部復用通用驅動框架開發的共享設備驅動，以在可信執行環境TEE中提供共享驅動服務；至少一個驅動半虛擬化模塊，運行在富執行環境REE中和/或可執行環境TEE中的TEE虛擬機中，用于調用驅動虛擬主機提供的共享驅動服務，并基于共享驅動服務在富執行環境REE中和/或TEE虛擬機中提供對應的設備驅動服務。

一些可能的實施方式中虛擬化實現系統，還包括：虛擬機安全通信模塊，運行在可信執行環境TEE的操作系統中，用于為運行在TEE虛擬機中虛擬驅動主機和驅動半虛擬化模塊提供安全通信服務。

一些可能的實施方式中驅動虛擬主機，還包括：驅動框架層，用于提供兼容通用驅動框架的設備驅動基礎服務，以支撐基于通用驅動框架開發的共享設備驅動的基礎運行環境；共享設備驅動實現層，用于完成基于通用驅動框架開發的共享設備的驅動實現；共享設備驅動服務層，用于基于共享設備驅動實現層提供的針對共享設備的功能為驅動半虛擬化模塊提供共享驅動服務。

一些可能的實施方式中驅動半虛擬化模塊,還包括:設備驅動實現層，用于調用共享設備驅動服務層提供的共享驅動服務，基于共享驅動服務為富執行環境REE和/或TEE虛擬機中的對應設備提供基礎功能支撐，以完成對應設備的驅動實現；設備驅動服務層，用于基于設備驅動實現層提供的對應設備的功能服務，向富執行環境REE和/或TEE虛擬機提供對應的設備驅動服務。