[发明专利]一种可信执行环境的访问控制方法

说明书

本发明公开了一种可信执行环境的访问控制系统及方法，涉及移动智能终端安全领域，包括相互连接的TSM服务器和移动智能终端；移动智能终端包括移动智能终端操作模块和可信执行环境模块；移动智能终端操作模块包括客户端应用单元、TSM客户端单元、TEE客户端API单元和TEE访问控制单元；可信执行环境模块用于提供安全的执行环境，用于提供可信交互界面、密码运算环境和安全存储环境；TSM服务器与TSM客户端单元进行双向认证并建立安全通道，与安全域管理单元建立传输业务数据的安全通道，实现安全域管理单元和可信应用单元的生命周期管理。本发明能够避免客户端应用伪造认证数据，且不同客户端应用和可信应用对话之间互不干扰。

技术领域

本发明涉及移动智能终端安全领域，具体涉及一种可信执行环境的访问控制系统及方法。

背景技术

随着移动通信技术的快速发展，移动智能终端不仅是单纯的语音通话工具，同时还集成了手机移动性、电信服务功能，电脑的处理界面、网络连接能力，将电信服务和移动互联网服务融合在一个设备中。

在使用时，可以在移动智能终端上安装从移动互联网上下载的第三方应用，并使用移动智能终端处理日常生活和工作中的各种事务：多媒体服务、移动支付、银行账户、手机办公等，移动智能终端已成为人们日常生活中不可或缺的组成部分。

但是，由于移动智能终端本身的开放性，导致其成为恶意软件、木马等病毒的攻击目标，当前移的移动智能终端的保护机制不够完善，使得移动智能终端上的软硬件容易受到攻击和篡改，而操作系统和第三方软件本身存在的安全漏洞使移动智能终端存在的安全威胁比PC终端更加严重。

TEE(Trusted Execution Environment，可信执行环境)是为了解决当前移动智能终端存在的安全风险而提出的技术方案，TEE构造了一个与移动智能终端操作系统(例如Android、iOS、Windows Phone) 相隔离的安全运行环境，TEE位于移动智能终端主处理器的安全区域中，在安全的环境中进行敏感数据的存储、处理和保护。TEE为授权的安全软件(即可信应用)提供了安全的执行环境，通过执行保护、保密、完整和数据访问权限实现了端到端的安全。

基于TEE的应用程序包括两部分：位于移动智能终端操作系统中客户端应用和位于TEE环境中的可信应用。其中客户端应用运行在安全级别较低的移动智能终端操作系统中，为用户提供与安全无关的功能；可信应用利用TEE中提供的应用编程接口，可为客户端应用提供例如密钥管理、密钥存储、数据安全存储、加解密操作和可信 UI等安全服务功能。

客户端应用与可信应用之间通过会话机制来建立连接，当创建一个新的会话时，客户端应用采用可信应用的UUID(Universally Unique Identifier，通用唯一识别码)来指定其要连接的可信应用，可信应用通过系统提供的login方法实现对客户端应用的鉴别或对运行该应用的用户进行认证。在创建会话时，客户端应用选择使用的login方法，并提供相应的认证数据，该认证数据可为运行客户端应用的用户或用户组，或者为应用本身相关数据，可信应用依据该数据对客户端应用进行认证。

目前的可信应用的访问控制方法存在如下缺陷：

a、客户端应用在创建会话时提供的认证数据为其自行提供的数据，可信应用无法鉴定认证数据的合法来源，存在客户端应用伪造认证数据的风险；b、可信应用存在DoS(Denial OfService，拒绝服务) 攻击风险，恶意的客户端应用可不停的建立会话并发送错误的认证数据至可信应用，从而导致其它应用无法与可信应用建立会话；c、没有定义统一的访问控制规则，由可信应用开发者自行定义。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种可信执行环境的访问控制系统及方法，能够避免客户端应用伪造认证数据，同时，不同客户端应用和可信应用对话之间互不干扰。

为达到以上目的，本发明采取的技术方案是：