[发明专利]基于屏幕分层管理的系统执行状态验证方法

说明书

技术领域

本发明属于移动平台安全技术领域，具体地说，是一种利用屏幕分层显示的技术以改善现有移动平台执行环境的系统执行状态验证方法。

背景技术

随着移动平台的日益普及，其安全性也受到越来越多的关注。现有一种主流的移动平台安全解决方案是利用特定的硬件结构为系统划分出两个执行环境：可信执行环境(TEE)与普通执行环境(REE)。硬件结构保证了两个执行环境之间的隔离性，从而使得运行于可信执行环境中的安全应用可以免受普通执行环境中攻击者的“骚扰”。以支付软件为例，其中用户输入功能可以“放入”可信执行环境中运行，当用户输入密码时，系统切换到可信执行环境处理用户输入事件以防止用户密码的泄露。因此用户为了确认当前操作是否安全，需要一种方式以验证当前系统是否处于可信运行环境中。当前主流的执行环境验证方式有两种，“预留字符”验证与基于LED灯的验证。具体流程分别如下：

“预留字符”验证：

1)预留字符：用户在第一次使用系统时，系统进入可信执行环境(TEE)将并要求用户输入预留字符。此时用户输入的字符将仅被可信执行环境获取并储存。

2)字符显示与验证：系统初始化之后，每当用户希望验证当前系统是否处于可信执行环境(TEE)中时，可以要求系统输出之前设置好的“预留字符”。由于只有可信执行环境拥有该字符串，因此可以根据系统能否显示“预留字符”以验证当前系统是否处于可信执行环境。

LED灯验证：

1)LED灯管理权限分配：在系统开机时，会将硬件资源分配给不同的执行环境，此时将LED灯的管理权限分配给可信执行环境(TEE)。分配之后，普通执行环境(REE)将无法控制LED灯。

2)运行时LED灯验证：当系统进入可信运行环境中时，可信运行环境会将LED灯设为特定的颜色(例如绿色)，退出可信运行环境之前将LED灯设为另一颜色(例如红色)。用户可以根据LED灯的颜色以验证系统当前是否处于可信执行环境。

以上两种主流解决方案都利用了不同执行环境之间的隔离性，使用仅被可信执行环境管理的资源(“预留字符”、LED灯)来验证当前系统所处的执行环境。但两者均未考虑到移动平台另一特性，那就是易被他人接触。例如安全非常敏感的POS机，攻击者可以轻易“偷窥”得到系统的“预留字符”，从而恶意输出“预留字符”以欺骗用户认为系统处于可信执行环境。即使使用LED灯验证方式，攻击者也可以通过简便的“物理攻击”(剪短LED灯的连接线)以控制LED灯，从而达到欺骗用户的目的。因此移动安全领域亟需一种简单有效并且能够抵御攻击者“物理攻击”的执行环境验证方法。

发明内容

本发明的目的在于，利用显示设备分层的特性，将显示设备拥有的两个显示层分别交由不同的执行环境管理。同时配合不同执行环境之间的隔离性以提供一种系统执行环境验证方式。同时本方法需要能够抵御移动平台较易受到的“物理攻击”。

为了达到上述目的，本发明是通过以下技术方案来实现的，本发明包括双层屏幕显示区域权限划分，屏幕保留区管理与显示机制。

进一步地，在本发明中，双层屏幕显示区域权限划分，包括以下步骤：第一，将屏幕显示缓冲区中的上层“显示区”与下层“显示区”分别交由不同的执行环境管理；第二，利用不同执行环境之间的隔离将上下层“显示区”的管理进行分离。

更进一步地，在本发明中，屏幕保留区管理与显示机制，包括以下内容，第一，利用上层“显示区”会覆盖下层“显示区”这一特性，使得可信执行环境能够使用其管理的上层“显示区”维护一个屏幕保留区；第二，通过在保留区中显示特定验证字符以帮助用户验证当前系统所处的执行环境。

当系统需要在屏幕上显示内容时，会将希望显示的内容写入屏幕的显示缓冲区。屏幕将会读取显示缓冲区的内容并设置对应像素点的颜色从而完成整个显示的过程。显示缓冲区实际可以分为两个“显示层”(上层和下层)，最终屏幕会将两个显示层合并以进行显示。合并过程中如果上层非透明，其将会覆盖下层的内容。利用该特点，本发明提出了双层屏幕显示区域权限分配技术，会将显示缓冲区中不同的“显示层”的管理权限分配给不同的执行环境。

双层屏幕显示区域权限分配的基本流程：(1)系统启动，加载并进入可信执行环境运行；(2)分配显示缓冲区不同“显示层”的管理权限，将上层交由可信执行环境管理，下层交由普通执行环境管理；(3)系统切到普通执行环境正常运行。