[发明专利]用于验证电子设备的完整性的系统和方法

说明书

本文档揭示一种用于验证电子设备的系统完整性的系统和方法。所述电子设备包含提供于所述电子设备的安全环境内的验证器模块以及提供于所述电子设备的正常环境内的扫描器模块，由此所述安全环境包括与所述正常环境中的硬件隔离的所述硬件，即，这两个环境是硬件隔离的。

技术领域

本发明涉及一种用于验证电子设备的系统完整性的系统和方法。电子设备包含提供于电子设备的安全环境内的验证器模块以及提供于电子设备的正常环境内的扫描器模块，由此安全环境包括与正常环境中的硬件分离的硬件，即，这两个环境是硬件分离的。在电子设备的完整性验证期间，验证器模块验证安装在正常环境中的扫描器模块和操作系统两者的完整性。

背景技术

在获得超级用户和/或管理员权限或从电子设备清除所有用户限制，例如，支持Android操作系统或越狱iPhone操作系统的目标下，对电子设备作出未授权修改使电子设备易受安全漏洞攻击并且损害设备的总体安全性。电子设备中的关键或特权模块包含在设备的操作系统(Operating System，OS)核心内或在设备的系统内执行的系统关键过程或系统管理后台程序。

对电子设备的大部分未授权修改会在设备的操作系统中留下某种踪迹。例如，在Linux设备中，当root此设备时，root过程将创建SU命令模块(即，使未授权应用程序能够获得较高权限的模块)或将递增给予某些过程的权限。因此，验证是否已root设备的方法涉及扫描用于SU命令模块或用于递增某些过程的权限的设备。验证设备的完整性的其它方法涉及检查设备的文件系统，检查用于某些核心代码的固定存储器位置或检查用于具有root/系统权限的未知过程的设备存储器的动态部分。毫无疑问，恶意攻击者将适应这些扫描技术并且将不断地想出新方法来掩盖其踪迹，由此避免检测。

此类反恶意程序解决方案面临的共同问题是检测/保护程序通常安装在待保护的操作系统中。因此，如果攻击者意识到在系统中运行的此类反恶意程序解决方案的存在，攻击者可以实施使反恶意程序解决方案修改的攻击，由此有效地停用所述解决方案的有效性。简而言之，安装在正常操作空间内的反恶意程序解决方案总是易遭受精心设计的攻击。

用于确定设备的完整性的所提出方法涉及相对于原始核心内包含的数据周期性地检查设备核心的数据。执行此方法的模块提供于设备的安全状态内。验证模块通常安装在此类安全区域内，因为理论上仅超级用户或系统管理员可以访问提供于此区域中的模块或对所述模块作出修改。这确保安装在此类安全区域内的模块将与攻击和未授权修改分离。

完成此的本领域中已知的解决方案是基于信任区的完整性测量架构(TrustZone-based Integrity Measurement Architecture，TIMA)解决方案。TIMA解决方案完全在信任环境中运行，因此没有攻击可以修改TIMA机构。然而，由于在TIMA解决方案中未利用安装在正常操作系统内的应用程序，因此这表示TIMA解决方案可以仅检查简单攻击踪迹。例如，所述TIMA解决方案仅能够检查是否已修改核心代码(即，通过计算已知存储器区域的数字散列并且将结果与预定值相比较)，并且仅能够用存储于信任环境中的秘密密钥来验证模块的标志。因此，所述TIMA解决方案不能够检测设备或设备的操作系统的复杂变化，例如，已修改的数据、已改变的过程权限等。实际上，存在一些已知攻击工具，例如，可以用于在不被检测到的情况下攻击TIMA实施的设备的“towelroot”、“pingpong root”和“kingroot”。另外，对安装在信任环境内的应用程序或模块实施更新会困难得多。因此，信任环境中的这些模块不能够处理由于更新这些模块时的低效和困难引起的最新攻击。