[发明专利]一种基于处理器安全扩展的智能终端隔离系统及方法

摘要

一种基于处理器安全扩展的智能终端隔离系统及方法，包括安全启动模块、事务委托模块、通信代理模块、安全扩展抽象层、安全操作系统、安全中间件、可信应用模块、普通应用模块。安全启动模块对智能终端硬件环境进行简单初始化，并认证和引导安全操作系统。通信代理模块负责可信应用模块和普通应用模块的底层数据封装与通信。安全扩展抽象层将为安全操作系统提供统一的调用接口。安全操作系统将为整个安全域内可信应用模块提供相互独立的运行空间，并管理安全域内所有软硬件资源。安全中间件实现安全功能、事务委托相关的核心库，并为可信应用提供相关的功能接口。本发明目的在于为智能终端提供完整的安全隔离机制，提高软件运行环境的安全性。

主权项

一种基于处理器安全扩展的智能终端隔离系统，其特征在于包括：启动模块(106)、通信代理模块(105)、安全扩展抽象层(107)、安全操作系统(103)、安全中间件(109)、普通操作系统(102)、可信应用模块(101)、普通应用模块(100)和各个处理器安全扩展模块(108)；事务委托模块(104)、其中普通应用模块(100)、普通操作系统(102)和事务委托模块(104)运行在非安全域；可信应用模块(101)、安全中间件(109)、安全操作系统(103)和启动模块(106)运行在安全域；所述安全域是指安全状态下执行的代码、访问的数据和设备；所述非安全域是指非安全状态下执行的代码、访问的数据和设备；其中：安全启动模块(106)，对智能终端硬件环境进行简单初始化，并认证、引导安全操作系统(103)；通信代理模块(105)，负责可信应用模块和普通应用模块的底层数据封装与通信；安全扩展抽象层(107)，为安全操作系统(103)提供统一的调用接口，隔离各个处理器安全扩展模块(108)的具体差异，即具体各个处理器安全扩展模块(108)的底层软件、硬件和上层功能模块的解耦；安全操作系统(103)，为整个安全域内可信应用模块(101)提供相互独立的运行空间、任务调度与管理、内存管理、安全设备管理、安全中断管理；安全中间件(109)，实现安全功能、事务委托相关的核心库，并为可信应用模块(101)提供相关的功能接口；普通应用模块(100)，完成不同应用程序的常规交互功能，并通过通信代理模块(105)向可信应用模块(101)发起安全请求；所述的安全请求是普通应用模块(100)向可信应用模块(101)发起的远程调用，普通应用模块(100)将高敏感业务封装在可信应用模块(101)中，实现安全隔离；可信应用模块(101)，接受安全操作系统(103)的调度，并处理普通应用模块(100)的安全请求；可信应用模块(101)功能通过调用安全中间件(109)来完成；普通操作系统(102)，将实现智能终端设备常规操作系统的任务，负责提供终端用户日常生活中低安全性要求的功能服务，安全操作系统(103)与普通操作系统(102)处于物理上相互隔离的系统，通过通信代理模块(105)进行相互间的数据通信；处理器安全扩展模块(108)是芯片级的安全支撑模块，包括的功能：(1)支持处理器运行在安全和非安全运行状态，两种运行环境相互独立、物理上隔离，关键寄存器在安全与非安全运行状态能够进行硬件级自动备份；(2)支持处理器地址空间的安全与非安全划分，当处理器处于安全状态时，能够访问所有的地址空间，当处理器处于非安全状态时，只能访问非安全地址空间；(3)当发生异常时，处理器根据当前运行状态，跳转到相应的安全、非安全或守护状态的异常向量表执行异常处理代码；(4)支持处理器的守护状态，所述守护状态属于一种特殊的安全状态，该状态下的处理器能够同时访问安全、非安全状态下的各个寄存器值、存储空间以及外部设备；(5)IRQ以及FIQ能够进行安全、非安全的中断类型设置；事务委托模块(104)，安全操作系统(103)通过该事务委托模块(104)能够将低安全性的功能需求委托给普通操作系统(102)进行处理；所述事务委托模块包括客户端服务接口层、可信应用事务委托接口层及事务委托处理模块；事务委托模块负责为普通应用模块提供安全请求接口，为可信应用提供事务委托接口，并负责安全操作系统委托的相关事务的处理，将加密后的文件回写普通文件系统；普通应用模块通过客户端服务接口层提供的接口发起安全请求，该请求将会被事务委托处理模块捕获，并通过通信代理模块转发给可信应用模块做进一步处理；当可信应用程序需要进行耗时、低安全性操作时，通过调用可信应用事务委托接口层发起事务委托请求，通过通信代理模块转发给事务委托处理模块并由事务委托处理模块进行请求处理；所述安全操作系统将作为整个隔离系统的管理者，由内存管理模块、加密文件系统、安全调度器、可信应用加载模块、系统调用模块、安全设备与驱动管理模块、安全守护模块、安全中断管理模块、各类安全设备驱动程序组成；内存管理模块为安全设备与驱动管理模块、安全守护模块、可信应用加载模块、安全中断管理模块、进程调度模块的运行提供底层的内存分配与释放机制，并负责设置普通操作系统以及安全操作系统各自的物理内存区域，负责操作系统之间共享内存块的分配与撤销，通过安全设备与驱动管理模块，加密文件系统可以方便的操作各类存储设备，对文件进行读取和写回操作；安全中断管理模块为安全设备与驱动管理模块提供底层的中断响应机制；安全设备与驱动管理模块负责管理各类安全设备；各类安全设备驱动通过安全设备与驱动管理模块完成对安全设备的初始化以及各类请求响应，由于安全操作系统运行在内核态，为了满足可信应用和安全操作系统的交互需求，系统调用模块提供一系列接口函数帮助用户态的可信应用获得安全操作系统的功能支持；当可信应用模块需要运行时，由可信应用加载模块进行认证，确保可信应用的完整性、合法性，随后通过认证的可信应用模块将被加载到内存；安全调度器作为所有可信应用的调度器，负责从运行队列中挑选出合适的应用程序占有处理器，获得执行机会；安全守护模块运行在处理器守护态，功能包括：(1)负责安全操作系统以及普通操作系统之间的上下文切换与恢复；(2)负责普通应用模块与安全应用模块通信数据的安全性检查；(3)和安全设备与驱动管理模块一起负责设备在安全与非安全运行状态切换下，设备上下文切换与恢复，数据切换与恢复；(4)和安全中断管理模块共同管理中断信号，中断信号的类型包括异步和同步；当中断发生时，负责捕获中断，并根据中断类型、中断策略，决定中断的响应机制。所述安全守护模块和安全设备与驱动管理模块一起负责设备在安全与非安全运行状态切换下，设备上下文切换与恢复，数据切换与恢复，具体实现为：当设备处于安全域运行时，则称为安全设备；当处于非安全域运行时，则称为非安全设备；如果处理器安全扩展模块支持动态改变设备运行状态，即将设备从安全状态转化为非安全状态，或者将设备从非安全状态转化为安全状态，这意味着同一个设备被安全域和非安全域所共享；为了确保设备数据的隔离，安全守护模块将负责设备上下文的切换以及数据的切换与恢复；随后调用安全设备与驱动管理模块转向各类安全设备驱动程序；如果处理器安全扩展模块不支持动态改变设备运行状态，则由安全设备与驱动管理模块初始化时直接设定各类设备是否属于安全域。