[发明专利]基于信任区的操作系统和方法

说明书

本发明实施例公开了一种基于信任区的操作系统和方法。该操作系统包括运行可信执行环境TEE、TEE监控区域和安全切换装置的安全模式子系统；TEE在接收到TEE中的可信应用TA发送的敏感操作请求时，将敏感指令标识和敏感操作请求的操作参数写入到通用寄存器中，并向安全切换装置发送切换请求；安全切换装置接收切换请求，将安全模式子系统的运行环境由TEE切换至TEE监控区域；TEE监控区域存储操作系统中的敏感指令，在运行环境由TEE切换至TEE监控区域之后，根据第一敏感指令标识调用对应的第一敏感指令，通过第一敏感指令和第一操作参数执行相应的第一敏感操作。通过本发明实施例，能够有效提高操作系统的安全性。

技术领域

本发明涉及安全技术领域，具体涉及一种基于信任区的操作系统和方法。

背景技术

随着互联网技术和智能终端的高速发展，对于智能终端运行环境的安全级别的要求也越来越高，信任区(TrustZone)已逐渐成为智能终端的标配。TrustZone是由ARM公司提出的一种安全技术，TrustZone引入了监控模式，在监控模式之上分为安全模式(secureworld)与普通模式(normal world)，安全模式下运行安全级别较高的程序。监控模式的安全级别是最高的，可通过它实现安全模式与普通模式之间的切换。安全模式是与普通模式完全隔离的，但是安全模式可以访问普通模式的所有物理内存等信息。终端设备启动时，会首先进入安全模式，然后由安全模式下的程序负责切换到普通模式启动终端系统。

安全模式中运行的环境，通常称为可信执行环境(Trust ExecutionEnvironment，TEE)，普通模式中运行的环境，通常称为普通执行环境(Rich ExecutionEnvironment，REE)，一般也称TEE和REE为Secure World和Normal World。TEE具有其自身的执行空间，比普通操作系统(Rich OS)的安全级别更高。TEE所能访问的软硬件资源是与Rich OS分离的。TEE提供了授权安全软件(Trusted Application，TA)的安全执行环境，同时也保护TA的资源和数据的保密性、完整性和访问权限。为了保证TEE本身的可信根，TEE在安全启动过程中是要通过验证并且与Rich OS隔离的。

随着生态系统的发展，TEE已经成为安全关键应用程序的平台，支持各种可信应用(TAs)动态安装。这种开放性不可避免地会导致TEE的两方面的问题：复杂性越高，攻击面越大。作为构建安全模型中的可信计算基(Trusted Computing Base，TCB)，如果TEE受到威胁，就会威胁整个系统的安全。例如，由于TEE具有最高的特权，攻击者可以利用TEE的错误来写入称为“回旋镖”攻击，通过该攻击获取到REE的控制权限，对REE系统的安全性造成极大的威胁。同时，如果TEE受到威胁，则可能会进一步损害TAs并导致诸如指纹数据或密钥等重要数据信息的泄漏。

发明内容

本发明实施例提供了一种基于信任区的操作系统和操作系统的启动方法，用于提高系统的安全性

第一方面，本发明实施例提供一种基于信任区的操作系统，所述操作系统应用于终端设备中，所述操作系统包括安全模式子系统，所述安全模式子系统中运行可信执行环境TEE、TEE监控区域和安全切换装置，所述TEE和所述TEE监控区域分别与所述安全切换装置连接；

所述TEE，用于在接收到所述TEE中的可信应用TA发送的第一敏感操作请求后，将所述第一敏感操作请求对应的第一敏感指令标识和所述第一敏感操作请求的第一操作参数存储到通用寄存器中，并向所述安全切换装置发送携带有第一切换标识的第一切换请求，所述第一切换标识用于标识需要将所述安全模式子系统的运行环境由所述TEE切换至所述TEE监控区域；

所述安全切换装置，用于接收所述第一切换请求，根据所述第一切换请求将所述安全模式子系统的运行环境由所述TEE切换至所述TEE监控区域；