·101· 电信科学 2018 年第 2 期
典型的是可信执行环境(trusted execution envi-
ronment,TEE)技术,在与设备上的 rich OS
(Android、iOS 等操作系统)并存的运行环境中实
现独立的可信运行,并且给 rich OS 提供安全服
务。TEE 有多种实现技术,典型的是基于硬件的
TrustZone,也可采用基于 Hypervisor、安全容器
等软件实现,隔离出安全操作系统和普通操作系
统。TEE 具有其自身的执行空间,比 rich OS 的安
全级别更高。TEE 所能访问的软硬件资源与 rich
OS 分离。TEE 提供了授权安全软件可信应用
(trusted appilication,TA)的安全执行环境,同时
也保护 TA 的资源和数据的保密性、完整性和访
问权限,如图 2 所示。
图 2 可信执行环境
(3)多协议栈/多系统终端,降低系统与硬件
的耦合度,降低终端研发及硬件成本
移动终端设计、生产厂商从降低系统与硬件
耦合、快速将原有协议栈移植到新设计的终端,
或从硬件资源复用、降低硬件成本等方面考虑,
采用虚拟化技术实现隔离的多协议栈、多系统终
端。本场景中,主要是终端厂商基于成本考虑,
使用者在终端使用上,并不能直接感受到多系统/
协议栈的存在。
• 多/旧协议栈隔离与兼容:随着技术的发
展通信制式也不断演进,目前智能手机普
遍要求同时支持 GSM 、 CDMA 、
WCDMA、cdma2000 1x Ev-Do、HSPA 和
最新的 LTE TDD、FDD 等通信制式。在
同一手机平台中继承原有稳定的协议栈,
又要快速支持新的协议栈,同时避免不同
协议栈之间耦合产生的兼容性问题,是目
前智能手机设计中的一大重点。用虚拟化
技术,可将原有稳定的协议栈与实时操作
系统(real-time operating system,RTOS)
一并迁移到虚拟机上。只需要虚拟出原有
RTOS 需要的硬件环境,而对 RTOS 本身
和其承载的协议软件不需要任何修改。同
时根据资源分配原则使各个协议栈子系
统相对独立。既可以快速继承原有协议
栈,又避免了各个协议栈之间的干扰,如
图 3 所示。
图 3 协议栈隔离
• 硬件资源复用:智能手机除具备传统的通
信功能外,还需运行功能丰富的应用软件。
由于通信栈和普通应用具有不同的要求和
特性:通信栈具有高实时性的要求、应用
软件具有功能丰富的特性,现有的面向基
带处理的 RTOS 和面向应用处理的智能操
作系统都不能独立地满足系统需求,主流
的智能手机通常采用基带(base band,BB)+
应用处理器(application processor,AP)
结构,存在硬件 IP 地址的重复浪费。采用
虚拟化技术,则可在单一的 CPU 上模拟两
个处理器,运行两种不同类型的操作系统,
从而可简化手机设计、降低硬件成本,如
图 4 所示。如早在 2009 年,摩托罗拉公司
就曾采用 OKL4 的虚拟化方案推出 Evoke
QA4 手机。
2018099-3