WO2021109655A1

WO2021109655A1 - 安全任务处理方法、装置、电子设备及存储介质

Info

Publication number: WO2021109655A1
Application number: PCT/CN2020/113477
Authority: WO
Inventors: 朱丙营; 辛知; 孟飞; 郑建旭
Original assignee: 支付宝(杭州)信息技术有限公司
Priority date: 2019-12-03
Filing date: 2020-09-04
Publication date: 2021-06-10
Also published as: TW202123663A; CN111125711B; TWI716320B; CN111125711A

Abstract

本说明书提供一种安全任务处理方法、装置、电子设备及存储介质，所述方法应用于电子设备中的处理器，所述处理器搭载了安全操作系统；其中，所述安全操作系统包括微安全架构，所述微安全架构包含至少一个安全应用服务；所述方法包括：响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统；在安全操作系统的系统环境中，运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务；调用所述目标安全应用服务，以完成与所述安全任务处理请求所对应的安全任务。

Description

安全任务处理方法、装置、电子设备及存储介质

技术领域

本申请涉及计算机通信领域，尤其涉及一种安全任务处理方法、装置、电子设备及存储介质。

背景技术

为了满足用户采用电子设备进行支付等安全需求，电子设备可包括安全操作系统和基础操作系统。通常，电子设备上用于处理安全任务的处理器默认运行的是基础操作系统，当该处理器检测到用户触发的安全任务时，可将操作系统由基础操作系统切换为安全操作系统，在安全操作系统的系统环境中执行安全任务。

发明内容

有鉴于此，本申请提供一种安全任务处理方法、装置、电子设备及存储介质。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种安全任务的处理方法，所述方法应用于电子设备中的处理器，所述处理器搭载了安全操作系统；其中，所述安全操作系统包括微安全架构，所述微安全架构包含至少一个安全应用服务；所述方法包括：

响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统；

在安全操作系统的系统环境中，运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务；

调用所述目标安全应用服务，以完成与所述安全任务处理请求所对应的安全任务。

可选的，所述微安全架构为兼容支持多种不同规格的处理器的安全操作系统的通用微安全架构。

可选的，所述方法还包括：

在安全操作系统的初始化阶段，基于预配置的微安全架构的配置文件，创建微安全架构。

可选的，在所述运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务之前，所述方法还包括：

确定所述安全任务处理请求所请求的目标安全应用服务是否为所述微安全架构所包含的安全应用服务；

若是，则执行所述运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务的步骤。

可选的，所述微安全架构包括Super TA。

根据本申请的第二方面，提供一种安全任务的处理装置，所述装置应用于电子设备中的处理器，所述处理器搭载了安全操作系统；其中，所述安全操作系统包括微安全架构，所述微安全架构包含至少一个安全应用服务；所述装置包括：

切换单元，用于响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统；

确定单元，用于在安全操作系统的系统环境中，运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务；

调用单元，用于调用所述目标安全应用服务，以完成与所述安全任务处理请求所对应的安全任务。

可选的，所述装置还包括：

创建单元，用于在安全操作系统的初始化阶段，基于预配置的微安全架构的配置文件，创建微安全架构。

可选的，所述装置还包括：

检测单元，用于确定所述安全任务处理请求所请求的目标安全应用服务是否为所述微安全架构所包含的安全应用服务；

所述确定单元，用于若是，则运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务。

可选的，所述微安全架构包括Super TA。

根据本申请的第三方面，提供一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器通过运行所述可执行指令以实现上述安全任务处理方法。

根据本申请的第四方面，提供一种机器可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现上述安全任务处理方法。

由上述描述可知，本申请提出了一种微安全架构，该微安全架构包括至少一个安全应用服务。该微安全架构可以部署在处理器搭载的安全操作系统中。

本申请提供的微安全架构可以使得安全应用服务与各处理器的安全操作系统隔离开，便于安全应用服务的升级、维护和移植。

本申请提供的微安全架构具有很强的兼容性，可以兼容支持多种不同规格的处理器的安全操作系统。开发人员只需开发微安全架构，就可实现在多种处理器的安全操作系统中同时部署安全应用服务，大大提高安全应用服务的部署效率。

附图说明

图1是本说明书一示例性实施例示出的一种电子设备的示意图；

图2是本申请一示例性实施例示出的一种安全任务处理方法的流程图；

图3是本申请一示例性实施例示出的一种ARMv8架构的示意图；

图4是本申请一示例性实施例示出的一种安全任务处理装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。

在本说明书使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本申请旨在提出一种安全任务处理方法，一方面，本申请提出了一种微安全架构，该微安全架构包括至少一个安全应用服务。该微安全架构可以部署在处理器搭载的安全操作系统中。

另一方面，本申请还提供了一种基于微安全架构进行安全任务处理的方法。在处理安全任务时，处理器可以响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统。在安全操作系统的系统环境中，运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务，并调用所述目标安全应用服务，以完成与所述安全任务处理请求所对应的安全任务。

第三方面，本申请还提供了微安全架构的创建方法，在安全操作系统的初始过程中，完成微安全架构的创建。

参见图1，图1是本说明书一示例性实施例示出的一种电子设备的示意图。

该电子设备包括至少一个处理器、网络接口、存储介质和总线。当然，在实际应用中，该电子设备还可包括其他硬件，比如逻辑芯片、输入/输出接口等。这里只是对电子设备的硬件进行示例性地说明，不对其进行具体地限定。

其中，处理器、网络接口、存储介质可通过总线完成相互间的通信。

上述处理器可以是ARM(Advanced RISC Machines，先进RISC处理器芯片)芯片(比如ARMv8)，也可以是Intel x86(英特尔x86)芯片等。这里只是对处理器的型号进行示例性地说明，不对该处理器型号进行具体地限定。

电子设备中的每个处理器独立运行各自的操作系统，并在其运行的操作系统下执行各自的任务。

例如，处理器运行的操作系统可包括基础操作系统和安全操作系统。处理器默认运行基础操作系统，当需要处理安全任务时，处理器才将自身运行的基础操作系统切换为安全操作系统。在安全操作系统的系统环境中执行安全任务，在安全任务执行完成后，再将自身的操作系统由安全操作系统切换为基础操作系统。

上述存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含存储信息，如可执行指令、数据读写，等等。例如，处理器可读写存储介质可以是：易失存储器、非易失性存储器或者类似的存储介质。

需要说明的是，电子设备可包括：移动终端设备(如手机、IPAD等)、PC机、便携式计算机等。这里只是对电子设备进行示例性地说明，不对其进行具体地限定。

在介绍本申请提供的安全任务处理方法之前，先介绍下本申请提供的微安全架构。

微安全架构是本申请新提出的一种架构，是一种具有很强兼容能力的微架构，该微安全架构可以兼容支持多种不同规格的处理器的安全操作系统。

比如，该微安全架构可以兼容Inter X86处理器的安全操作系统，可以兼容ARM处理器的安全操作系统等。

该微安全架构具有调用操作系统基础功能的权限。如：中断注册，进程创建，进程注销，内存管理，文件系统管理，Timer注册等功能。这里只是对微安全架构的功能进行示例性地说明，不对该微安全架构的功能进行具体地限定。

该微安全架构可包括至少一个安全应用服务。比如，该微安全架构可包括：解锁服务、支付过程中的签名服务等等。这里只是对微安全架构的安全应用服务进行示例性地说明，不对其进行具体地限定。

微安全架构可以使得安全应用服务与各处理器的安全操作系统隔离开，便于安全应用服务的升级、维护和移植。此外，由于微安全架构可以兼容支持多种不同规格的处理器的安全操作系统，开发人员只需开发微安全架构，就可实现在多种处理器的安全操作系统中同时部署安全应用服务，大大提高了安全应用服务的部署效率。

其中，该微安全架构可以是Super TA(高级权限安全应用管理)架构，当然，该微安全架构也可以是其他架构，这里只是对微安全架构进行示例性地说明，不对其进行具体地限定。

下面从基于微安全架构进行安全任务处理、以及微安全架构创建两方面对本申请提供的安全任务处理方法进行详细地说明。

1、基于微安全架构进行安全任务处理

参见图2，图2是本申请一示例性实施例示出的一种安全任务处理方法的流程图，该方法可应用在图1所示的电子设备中的任一处理器。该处理器搭载了安全操作系统。安全操作系统包括微安全架构。微安全架构包含至少一个安全应用服务。该安全任务处理方法可包括如下所示步骤。

步骤202：处理器响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统。

其中，安全任务是指安全性要求高的任务。比如，用户通过安全应用(比如支付类的APP等)完成账单或者订单支付相关的任务。再比如，用户通过安全应用进行用户信息认证的任务等。再比如，用户打开屏幕时触发的屏幕解锁任务等。这里只是对安全任务进行示例性地说明，不对其进行具体地限定。

安全应用服务，是用于完成安全任务的程序。每种安全任务对应有安全应用服务。

比如，安全任务为屏幕解锁任务，则处理该安全任务的安全应用服务是屏幕解锁服务。该屏幕解锁服务可对用户输入的屏幕解锁密码与用户预先设置的解锁密码进行匹配。若匹配成功，则完成屏幕的解锁，若匹配失败，则显示密码错误的提示信息。

这里只是对安全任务和安全应用服务进行示例性地说明，不对其进行具体地限定。

在本说明书实施例中，当安全应用客户端(比如支付宝等)的驱动监测到用户触发安全应用客户端上的安全任务时，安全应用客户端的驱动可发起安全任务处理请求。

处理器在监听到该安全任务处理请求时，可以响应该安全任务处理请求，将该处理器运行的操作系统由基础操作系统切换为安全操作系统。

在进行操作系统切换时，处理器可以调取存储介质中的切换固件中记录的切换逻辑，将该处理器的操作系统由基础操作系统切换为安全操作系统。

例如，当该处理器为ARMv8处理器时，该电子设备的存储介质中存储有Secure monitor(安全监控器)固件。处理器可以调用Secure monitor固件中的切换逻辑，将该处理器运行的操作系统由基础操作系统切换为安全操作系统。

这里只是对操作系统切换方式进行示例性地说明，不对其进行具体地限定。

步骤204：处理器在安全操作系统的系统环境中，运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务。

在一种可选的实现方式中，微安全架构包含了用于处理电子设备所支持的所有安全任务的安全应用服务。

上述安全任务处理请求中携带有所请求的目标安全应用服务的服务标识。

处理器在安全操作系统的系统环境中，运行微安全架构，并在微安全架构包含的多个安全应用服务中，确定该服务标识所指示的目标安全应用服务。

在另一种可选的实现方式中，微安全架构包含了用于处理电子设备所支持的部分安全任务的安全应用服务，安全操作系统中包括了用于处理电子设备所支持的部分安全任务的安全应用服务。

在实现时，处理器可确定安全任务处理请求所请求的目标安全应用服务是否为所述微安全架构所包含的安全应用服务。

若安全任务处理请求所请求的目标安全应用服务是所述微安全架构所包含的安全应用服务，则运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务。

若安全任务处理请求所请求的目标安全应用服务不是所述微安全架构所包含的安全应用服务，则在安全操作系统中配置的安全应用服务中，查找与该安全任务处理请求匹配的目标安全应用服务。

下面介绍下“确定安全任务处理请求所请求的目标安全应用服务是否为所述微安全架构所包含的安全应用服务”的方法。

方法一：安全任务处理请求携带了所请求的目标安全应用服务的服务标识。

电子设备的存储介质中维护了微安全架构所包含的所有安全应用服务的服务标识名单。

处理器可调用该服务标识名单，在该服务标识名单中查找是否存在该安全任务处理请求所携带的服务标识。若该服务标识名单中存在该安全任务处理请求所携带的服务标识，则确定安全任务处理请求所请求的安全应用服务为微安全架构所包含的安全应用服务。若该服务标识名单中不存在该安全任务处理请求所携带的服务标识，则确定安全任务处理请求所请求的安全应用服务不是微安全架构所包含的安全应用服务。

例如，微安全架构所包含的安全应用服务的服务标识名单包括：安全应用服务1、安全应用服务2和安全应用服务3。

该安全任务处理请求携带了所请求的安全应用服务的服务标识为安全应用服务1。

由于安全任务处理请求携带的安全应用服务1包含在该服务标识名单中，所以处理器可确定该安全任务处理请求所请求的安全应用服务为微安全架构所包含的安全应用服务。

方式二：安全任务处理请求携带了所请求的目标安全应用服务的服务标识。该服务标识可以指示出目标安全应用服务为安全操作系统的安全应用服务还是微安全架构所包含的安全应用服务。

比如可以指定该服务标识中的某一指定位来指示目标安全应用服务所在位置。处理器可以获取该安全任务处理请求携带的目标安全应用服务的服务标识，若该服务标识的指定位的取值为第一预设值(比如1)，则确定该目标安全应用服务为微安全架构所包含的安全应用服务。若该服务标识的指定位的取值为第二预设值(比如0)，则确定目标安全应用服务为安全操作系统所包含的安全应用服务。

当然，这里只是对“确定安全任务处理请求所请求的目标安全应用服务是否为所述微安全架构所包含的安全应用服务”进行示例性地说明，不对其进行具体地限定。

在本申请实施例中，若安全任务处理请求所请求的目标安全应用服务是所述微安全架构所包含的安全应用服务，运行微安全架构，并在微安全架构包含的多个安全应用服务中，确定该服务标识所指示的目标安全应用服务。

若安全任务处理请求所请求的目标安全应用服务不是所述微安全架构所包含的安全应用服务，则在安全操作系统中配置的安全应用服务中，查找与该安全任务处理请求携带的服务标识所指示的目标安全应用服务。

步骤206：处理器调用所述目标安全应用服务，以完成与所述安全任务处理请求所对应的安全任务。

在实现，处理器可先获取安全任务处理请求所对应的安全任务。

在一种可选的获取方式中，该安全任务处理请求中携带了安全任务，处理器可以对该安全任务处理请求进行解析，获取该安全任务处理请求中携带的安全任务。

在另一种可选的获取方式中，该安全任务处理请求携带了安全任务的标识。当用户触发该安全任务后，该安全任务可以记录在缓存中。处理器可以对该安全任务处理请求进行解析，获取该安全任务处理请求携带的安全任务的标识，并基于该安全任务的标识在缓存中读取该安全任务。

这里只是对“获取安全任务处理请求所对应的安全任务”进行示例性地说明，不对其进行具体地限定。

2、微安全架构创建

在本申请实施例中，处理器可在安全操作系统的初始化阶段，基于预配置的微安全架构的配置文件，创建微安全架构。

下面以处理器为ARMv8处理器为例，对该创建过程进行说明。

参见图3，图3是本申请一示例性实施例示出的一种ARMv8架构的示意图。

先对图3中所涉及的概念进行解释。

1)EL0、EL1和EL3

EL0表示ARMv8架构的执行等级0，应用程序(即图3中的Application)在EL0等级下执行。

EL1表示ARMv8架构的执行等级1，内核操作系统在EL1等级下执行。其中内核操作系统可包括：安全操作系统(即图3中的Secure OS)，基础操作系统(如图3中的Normal OS)。

EL3表示ARMv8架构的执行等级3，Secure Monitor(安全监测器)固件在EL3等级下执行。

2)BL1、BL2和BL31

BL1是指电子设备的第一个启动阶段。

BL2是指电子设备第二个启动阶段。

BL31是指电子设备第三个启动阶段。

如图3所示，在电子设备上电后，电子设备可进入BL1阶段。电子设备的处理器可采用BL1阶段中的校验方法校验BL2阶段的固件。若BL2阶段的固件检验通过，则基于BL2阶段的固件执行BL2阶段的启动。

然后，处理器可采用BL2阶段中的校验方法校验BL31阶段中的固件的合法性，采用BL2阶段中的校验方法校验Bootloader固件的合法性，采用BL2阶段中的校验方法校验安全操作系统给的合法性。

若BL31阶段中的固件合法、以及安全操作系统合法，处理器则采用BL31阶段中的固件执行BL31阶段的启动，并在BL31阶段初始化安全操作系统。在安全操作系统初始化过程中，基于预配置的微安全架构的配置文件，创建微安全架构。

需要说明的是，本申请所述的创建微安全架构包括创建微安全架构以及该微安全架构所包含的安全应用服务。

此外，若Bootloader合法，处理器还可在BL31阶段执行Bootloader，以使得Bootloader完成基础操作系统的初始化。在基础操作系统初始化完成后，处理器可运行基础操作系统。

上述只是示例性地说明了处理器架构为ARMv8架构下的微安全架构的创建过程。当然，该处理器也可以是其他类型的处理器(比如Inter X86处理器)。在创建微安全架构时，只要微安全架构在安全操作系统初始化阶段完成即可，而各安全操作系统的初始化过程可与该处理器架构相关，这里不再赘述。

由上述描述可知，一方面，本申请提出了一种微安全架构，该微安全架构可以部署在处理器搭载的安全操作系统中，可包括至少一个安全应用服务。微安全架构可以使得安全应用服务与各处理器的安全操作系统隔离开，便于安全应用服务的升级、维护和移植。

此外，微安全架构具有很强的兼容性，可以兼容支持多种不同规格的处理器的安全操作系统。开发人员只需开发微安全架构，就可实现在多种处理器的安全操作系统中同时部署安全应用服务，大大便捷了安全应用服务的部署。

此外，本申请还提供了与上述安全任务处理方法对应的安全任务处理装置。

参见图4，图4是本申请一示例性实施例示出的一种安全任务处理装置的框图。所述装置应用于电子设备中的处理器，所述处理器搭载了安全操作系统；其中，所述安全操作系统包括微安全架构，所述微安全架构包含至少一个安全应用服务；所述装置包括如下所示单元。

切换单元401，用于响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统；

确定单元402，用于在安全操作系统的系统环境中，运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务；

调用单元403，用于调用所述目标安全应用服务，以完成与所述安全任务处理请求所对应的安全任务。

可选的，所述装置还包括：

所述确定单元402，用于若是，则运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务。

可选的，所述微安全架构包括Super TA。

此外，本申请还提供了一种电子设备，该电子设备包括：处理器；

用于存储处理器可执行指令的存储器；其中，所述处理器通过运行所述可执行指令执行响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统；

所述处理器通过运行所述可执行指令执行在安全操作系统的初始化阶段，基于预配置的微安全架构的配置文件，创建微安全架构。

可选的，所述处理器通过运行所述可执行指令，在运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务之前，执行确定所述安全任务处理请求所请求的目标安全应用服务是否为所述微安全架构所包含的安全应用服务；若是，则执行所述运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务的步骤。

可选的，所述微安全架构包括Super TA。

此外，本申请还提供一种机器可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统；

可选的，该指令被处理器执行时实现在安全操作系统的初始化阶段，基于预配置的微安全架构的配置文件，创建微安全架构。

可选的，该指令被处理器执行时实现确定所述安全任务处理请求所请求的目标安全应用服务是否为所述微安全架构所包含的安全应用服务；若是，则执行运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务。

可选的，所述微安全架构包括Super TA。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

在一个典型的配置中，计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

在本说明书一个或多个实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

以上所述仅为本说明书一个或多个实施例的较佳实施例而已，并不用以限制本说明书一个或多个实施例，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例保护的范围之内。

Claims

一种安全任务的处理方法，所述方法应用于电子设备中的处理器，所述处理器搭载了安全操作系统；其中，所述安全操作系统包括微安全架构，所述微安全架构包含至少一个安全应用服务；所述方法包括：

响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统；

在安全操作系统的系统环境中，运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务；

调用所述目标安全应用服务，以完成与所述安全任务处理请求所对应的安全任务。
根据权利要求1所述的方法，所述微安全架构为兼容支持多种不同规格的处理器的安全操作系统的通用微安全架构。
根据权利要求1所述的方法，所述方法还包括：

在安全操作系统的初始化阶段，基于预配置的微安全架构的配置文件，创建微安全架构。
根据权利要求1所述的方法，在所述运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务之前，所述方法还包括：

确定所述安全任务处理请求所请求的目标安全应用服务是否为所述微安全架构所包含的安全应用服务；

若是，则执行所述运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务的步骤。
根据权利要求1-4中任一所述的方法，所述微安全架构包括Super TA。
一种安全任务的处理装置，所述装置应用于电子设备中的处理器，所述处理器搭载了安全操作系统；其中，所述安全操作系统包括微安全架构，所述微安全架构包含至少一个安全应用服务；所述装置包括：

切换单元，用于响应于监听到的安全任务处理请求，将所述处理器运行的操作系统切换为安全操作系统；

确定单元，用于在安全操作系统的系统环境中，运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务；

调用单元，用于调用所述目标安全应用服务，以完成与所述安全任务处理请求所对应的安全任务。
根据权利要求6所述的装置，所述微安全架构为兼容支持多种不同规格的处理器的安全操作系统的通用微安全架构。
根据权利要求6所述的装置，所述装置还包括：

创建单元，用于在安全操作系统的初始化阶段，基于预配置的微安全架构的配置文件，创建微安全架构。
根据权利要求6所述的装置，所述装置还包括：

检测单元，用于确定所述安全任务处理请求所请求的目标安全应用服务是否为所述微安全架构所包含的安全应用服务；

所述确定单元，用于若是，则运行所述微安全架构，并在所述微安全架构包含的多个安全应用服务中，确定与所述安全任务处理请求匹配的目标安全应用服务。
根据权利要求6至9中任一所述的装置，所述微安全架构包括Super TA。
一种电子设备，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器通过运行所述可执行指令以实现如权利要求1-5中任一项所述的方法。
一种机器可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现如权利要求1-5中任一项所述方法的步骤。