随着移动互联网和智能终端的发展，极大地提高了智能终端获取和处理信息的能力。这促使了部分原来只能由PC处理的数据业务转移到了移动终端上，这使得移动终端越来越多地接触到用户敏感信息。而普通移动终端操作系统的开放性和复杂性使得移动终端平台的安全性得不到保障。为此，ARM公司推出了TrustZone技术，可以通过Trustzone技术实现内存隔离和外设保护。GlobalPlatform发布了安全隔离的软硬件件架构，提出了可信执行环境的概念。本文在TrustZone硬件隔离技术和GlobalPlatform软件架构基础上设计实现了可信执行环境原型系统。该原型系统包括操作系统TOS，普通执行环境通信代理、可信执行环境通信代理以及调用安全服务的客户端API接口。其中，TOS是可信执行环境重要的组件之一。它为安全服务提供基本的执行环境，负责系统安全环境配置，同时还要完成普通执行环境和可信执行环境间的切换。TOS是一个非独立的专用操作系统，受普通执行环境发来的命令驱动控制。TOS不支持应用程序的动态创建，应用程序与操作系统内核处于同一地址空间中。TOS的进程调度是非抢占的，只有当前进程运行结束或因等待设备而主动放弃CPU的情况下其它进程才有机会被调度运行。普通执行环境通信代理和可信执行环境通信代理实现了两个执行环境间的底层通信功能。客户端API接口是对普通执行环境通信代理的封装，为用户访问可信执行环境下的安全服务提供友好的接口。普通执行环境采用了流行的Android系统，其通信代理是以Linux驱动的形式实现。可信执行环境的通信代理是TOS上的守护进程。在此基础上，针对移动支付应用需求，本文提出了在可信执行环境原型系统基础上的移动支付模型。利用该模型，解决了移动支付的两个安全问题：安全存储和安全输入输出。论文最后给出了基于该移动支付安全模型的程序框架。