[发明专利]一种移动终端可信隔离环境核心控制方法

说明书

本发明公开了一种移动终端可信隔离环境核心控制方法，针对移动终端中不同运行环境的可信隔离问题，基于TrustZone技术实现在安全域中的核心控制器CSC，使得不同运行环境之间的可信隔离安全性得到增强。根据细粒度安全策略库的管控，实现监管不同运行环境的内存访问行为，保证不同运行环境互相无法访问代码和数据；并监管不同运行环境的运行状态，保证非法操作不能获得相应权限。

技术领域

本发明涉及一种移动终端可信隔离环境核心控制方法，增强不同执行环境的安全隔离能力。

背景技术

基于Xen on ARM移动终端虚拟环境构建技术正在蓬勃发展，移动终端的虚拟化带来诸多优点。基于虚拟化技术，移动终端上可运行多个客户机，用于部署多个不同的运行环境，满足同一用户不同的使用需求，如在同一移动终端内可同时启动多个客户机，构建办公应用运行环境、个人娱乐生活应用运行环境与高安全等级应用(如支付应用、敏感政务应用运行环境)，使得不同环境之间的资源和数据相互隔离，减小攻击面。移动终端虚拟化提供按需灵活配置，可以根据用户不同需求配置不同的安全运行环境，从而更好地符合不同安全应用场景。移动终端虚拟化可提供用户数据安全功能，可以及时灵活地对用户数据进行迁移备份，有效保证重要敏感数据的可用性与完整性。

Xen是一个开放源代码虚拟机管理器，起源于英国的剑桥大学计算机实验室。最初设计时操作系统必须进行显式地修改并移植在Xen上运行，这使得Xen无需特殊硬件支持，就能达到高性能的虚拟化。Xen能够支持多个客户机同时运行，并且能够达到相对较高的性能水平和资源隔离。Xen直接运行于硬件之上，其上存在一个协助管理的客户机Dom0，其他被虚拟化的客户机DomU(可以有多个)运行于硬件之上的第二层。Xen on ARM实现的是半虚拟化环境，半虚拟化需要对操作系统做一些修改，操作系统被修改之后，使用特殊的系统调用ABI，而不是调用原有的接口，从而使Xen能够达到高性能。

Xen核心称为Hypervisor，Hypervisor是一种运行在物理机和操作系统之间的中间软件层，可允许多个操作系统和应用共享一套基础物理硬件，因此也可以看作是虚拟环境中的“元”操作系统，它可以协调访问服务器上的所有物理设备和客户机，也叫客户机监视器(Virtual Machine Monitor，VMM)。

Hypervisor会对物理内存和线性空间进行重新规划，管理客户机运行与进行所有物理内存管理；由于客户机进行物理资源的共享，Hypervisor管理物理资源的调度，控制不同客户机对资源的使用；Hypervisor管理所有客户机的运行和控制，比如客户机的新建，开启，挂起，销毁和迁移等操作；由于各种资源的共享，Hypervisor提供客户机之间的安全隔离，保证各客户机之间拥有隔离的运行空间。Xen Hypervisor控制整个虚拟化运行平台，具有最高管理权限。

Xen虽然具有高性能、占用资源少优势，但Xen依然在隔离上存在不少安全漏洞。CVE-2016-6258漏洞，Xen平台半虚拟化模式下运行的客户机存在权限提升漏洞，综合利用漏洞，可提升普通用户权限，进而控制整个客户机系统，造成用户主机数据泄漏风险。CVE-2015-7835漏洞存在于Xen Hypervisor的内存管理机制中，Xen为了优化检查步骤，提高运行速度，在Xen Hypervisor中提供了快速更新页表选择功能，该功能缺乏严格的检查流程，带来客户机逃逸的风险。CVE-2018-3620漏洞，对装有带预测执行和地址翻译功能微处理器的系统，可能会被利用终端页面错误和侧信道分析获取了本地用户访问权，攻击者可以在未授权情况下抽取出一级数据缓存中的信息。Hypervisor、Dom0层的安全漏洞，以及平台中存在的各类侧信道攻击手段，使得不同客户机之间的资源和数据无法真正得到隔离。由此可见，Xen平台虽然为移动终端提供了多运行环境隔离的基础能力，但隔离控制能力仍需要进一步增强。

发明内容