[发明专利]一种移动终端高可信管控方法与系统

权利要求书

1.一种移动终端高可信管控系统，其特征在于，包括高安全移动终端和终端管控平台：

所述高安全移动终端包括主系统、可信隔离环境TIE、可信执行环境TEE、高可信Hypervisor；

高安全移动终端在可信隔离环境TIE中部署管控验证代理，管控验证代理包括终端侧签名/验签模块以及外设状态读取模块，外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值； TIE采用虚拟TEE的方式来构建，与主系统内存隔离，其系统镜像通过可信度量机制保证其安全启动；

可信执行环境TEE基于终端芯片TrustZone构建，为移动终端软硬件中的基础信息、敏感数据和关键服务提供了基于硬件的安全；

在高可信Hypervisor中，包括有主系统内核修复模块和外设状态监测模块，所述外设状态监测模块基于Hypervisor的不可绕过性，为管控验证代理读取真实的被管控对象/终端外设状态值提供可信的接口；

所述主系统内核修复模块用于根据管控平台的管控异常处置指令修复主系统内核；

所述外设状态监测模块用于仅向TIE中的管控验证代理通过外设状态读取模块提供接口，使管控验证代理能够读取真实、可信的被管控外设的状态值；

基于TIE的高安全性，安全终端在TIE中部署管控验证代理，其中的外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值，从而确保所读取的被管控对象/终端外设状态值真实可信；

高安全移动终端在主系统中包括管控策略接收模块、管控策略执行模块、管控响应上报模块；

其中，管控策略接收模块用于接收管控平台下发的管控策略或场景信标广播；管控策略执行模块用于根据管控策略，对被管控对象即，终端外设执行管控操作；管控响应上报模块用于与TIE中的管控验证代理交互；通知管控验证代理所执行的管控动作及需验证的外设状态；接收并发送管控验证代理签名的管控行为验证报告至管控平台；

所述终端侧签名/验签模块用于验证来自管控策略的签名；接收外设状态读取模块读取值，基于接收值生成管控验证报告，对报告签名后发送给管控响应上报模块；

所述外设状态读取模块用于调用高可信Hypervisor中外设状态监测模块提供的接口，读取被管控外设的状态值；

终端管控平台中部署有管控实施验证模块。

2.根据权利要求1所述的一种移动终端高可信管控系统，其特征在于，终端管控平台包括签名/验签模块、管控策略下发模块、管控实施验证模块和管控异常处置模块：

所述管控策略下发模块：根据管理员配置生成管控策略，将其发送至签名/验签模块和管控实施验证模块；

所述签名/验签模块：对终端管控平台通过管控策略下发模块下发的策略签名；对所接收的管控响应进行验签，将验签结果和管控响应报告发送至管控异常处置模块；

所述管控实施验证模块：管控策略下发模块后启动计时，若在管理员所设定的计时阈值范围内未收到验签结果和高安全移动终端的管控响应报告，则视为管控异常，进而通知管控异常处置模块进行处置；若未超时，则根据验签结果和高安全移动终端的管控响应报告，判断管控策略是否可信实施，若管控策略未实施或验签失败，则通知管控异常处置模块进行处置；

所述管控异常处置模块：接收到处置管控响应超时、管控策略未实施、验签失败等异常管控响应通知时，向终端发送内核修复指令。

3.根据权利要求1所述的一种移动终端高可信管控系统，其特征在于，在管控策略实施过程中，管控验证代理使用外设状态读取模块周期性地调用高可信Hypervisor读取被管控对象/终端外设真实状态值，并持续将最新的被管控对象/终端外设真实状态值上报至管控平台检测，确保管控过程中发生的任何管控异常都在管控平台被及时发现。