[发明专利]一种移动终端可信隔离环境核心控制方法

权利要求书

1.一种移动终端可信隔离环境核心控制方法，其特征在于：由位于可信执行环境TEE，即安全世界中的核心安全控制器CSC和位于富执行环境REE，即普通世界中Hypervisor中的核心安全控制器CSC的安全陷入模块共同实现；所述核心安全控制器CSC的安全陷入模块实现对富执行环境REE运行环境实时监控功能，响应REE运行环境对自身运行环境内存增减、不同REE运行环境状态改变的敏感行为；位于可信执行环境TEE中的核心控制器CSC由安全内存隔离模块SMI、运行状态监控模块OSM和策略库DB构成；安全内存隔离模块SMI负责实现不同运行环境的内存隔离增强能力，运行状态监控模块OSM负责实现监控不同运行环境的运行状态以及相关敏感操作，策略库DB负责为安全内存隔离模块SMI、运行状态监控模块OSM提供安全策略，安全策略是对SMI和OSM提供的一系列操作行为约束，当符合相应策略规则的事件发生时，执行对应的事件处理；

所述运行状态监控模块OSM通过识别普通世界CSC安全陷入模块传递的异常信息，判断监控客户机的运行状态，包括运行、暂停、关闭，保证不同运行环境之间的进程相互隔离性；当接收到客户机合法的切换请求时，通过查询策略库中的客户机的访问权限，进行相应的策略验证，验证不同状态切换请求的合法性，然后返回相应的处理结果，如果合法返回可以切换的结果，否则视为异常且不能切换，保证不同环境切换过程的合法性；此外OSM执行安全策略库的安全策略，对普通世界中客户机运行状态进行监控，并监视所述客户机运行环境切换、启动、挂起、恢复、关闭操作过程，保证客户机运行状态可控；

所述安全内存隔离模块SMI实现为：将普通世界中客户机的地址映射核心功能移交给SMI，将Hypervisor的页表映射功能在SMI上独立实现，通过修改Hypervisor来移除修改页表机制和禁用页表映射的相关指令以及设置所有的页表项操作权限，并以独占的方式协助完成客户机的安全内存地址映射功能；通过将原来位于Hypervisor中加载页表和修改页表项的功能进行封装，然后以接口的方式提供给Hypervisor进行调用，对普通世界的客户机之间内存隔离进行增强；此外，SMI读取安全世界中安全策略库的相关安全策略规则，根据安全策略规则监视Hypervisor的代码段执行与修改、客户机的代码段执行，内存新页申请的敏感操作行为，当这些操作行为发生时执行安全策略库的相关安全策略进行处理；

所述安全策略库的安全策略是对内存页表管理、代码执行检查、运行环境状态监控、客户机操作管理的敏感行为控制，对于SMI，当SMI在运行时将Hypervisor的代码段映射为只读，禁止申请新页及不可降级执行客户机的内存片段，Hypervisor无法将新内存页映射为可执行权限，在客户机发生虚拟地址转换时禁止调用地址转换相关内部hypercall代码，在客户机产生中断时禁止执行原有Hypervisor的中断逻辑；对于OSM通过识别CSC模块传递的异常信息，判断当前客户机的运行状态，当接收到客户机合法的切换请求时，查询策略库中的客户机的访问权限，策略验证正确后返回允许切换的结果；SMI和OSM依据相关约束策略进行对内存隔离和不同运行环境运行状态监控与管理提供安全增强；由于安全策略库位于TEE环境中，所有运行环境均没有访问策略库的权限，因此不能对安全策略库进行访问和修改。