[发明专利]一种移动终端高可信管控方法与系统

说明书

本发明提出一种移动终端高可信管控系统及方法，包括：高安全终端在可信隔离环境TIE中部署管控验证代理，管控验证代理包括签名/验签模块以及外设状态读取模块，外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值；在高可信Hypervisor中，包括有主系统内核修复模块和外设状态监测模块，所述外设状态监测模块基于Hypervisor的不可绕过性，为管控验证代理读取真实的被管控对象/终端外设状态值提供可信的接口；所述管控后台中部署有管控实施验证模块。

技术领域

本发明涉及信息安全领域，尤其是一种移动终端高可信管控方法与系统。

背景技术

通过移动终端引发的敏感信息泄露事件屡见不鲜，其中，在高安全需求场景中对移动终端外设管控不力是引起这类事件的重要原因之一。现代移动智能终端普遍具备了丰富的数据采集和环境感知能力(例如，摄像头、麦克风、GPS等)，以及多种数据传输能力(如，4G/5G、WiFi、蓝牙等)。这些能力增加了移动终端的攻击面，易被攻击者利用非法获取高安全需求行业敏感信息，例如，攻击者可以直接利用移动终端的麦克风、摄像头录制敏感会议的音视频内容，并通过移动网络、无线网络等通信手段获取相关内容。因此，对移动终端外设模块(如，摄像头、麦克风、GPS、4G/5G、WiFi、蓝牙等)进行有效管控是推动移动终端在高安全领域应用的必要手段之一。

移动终端管控通常有被管控与自管控两种模式。在被管控模式中，终端管控后台下发管控策略/指令，而移动终端接收并执行相应的管控策略/指令；在自管控模式中，场景标识信息与管控策略映射关系表预置于移动终端中，移动终端根据电子围栏等获取场景标识信息并执行相应的管控策略。

实现上述两种管控模式通常需要在移动终端中安装特定的管控应用。终端管控应用一般运行于主系统(如，安卓操作系统)，例如，根据标准，移动警务终端中负责管控策略解析、执行及结果上报的安全监控组件运行于操作系统软件和用户应用软件的中间。但是，由于目前业界仍然难以通过形式化验证等技术证明商业操作系统内核的安全性，因此，漏洞一直伴生于商用操作系统。根据文献统计，尽管安卓操作系统内核漏洞在持续修补中，但是仍有大量的内核漏洞未被发现。这些漏洞随时可能被攻击者利用形成内核劫持、欺骗、绕过等管控对抗行为。具体而言：内核管控绕过攻击是指绕过管控应用，由内核直接对移动终端外设进行非法操作；内核管控欺骗攻击是指对管控应用/操作系统的欺骗，如，伪造外设状态或管控策略的执行情况；管控劫持攻击是指通过对管控应用或操作系统外设管控调用进行劫持。针对上述管控对抗攻击，必须采用有效的应对手段保证终端管控策略可信实施，规避失泄密事件发生。

目前已有的移动终端安全管控实施技术方案可分为以下三类：

(1)在终端主操作系统中监测管控行为，这种方式显然无法有效应对内核劫持、欺骗、绕过等管控对抗行为。

(2)在终端的Hypervisor中实现对外设管控行为的监测，由于Hypervisor难以理解各种系统的调用，实现在线管控行为监测必须在Hypervisor中额外引入复杂的分析引擎，导致监测分析消耗大量存储与计算资源，大幅降低终端性能与用户体验。

(3)在终端的可信执行环境(TEE)中监测外设状态，这种技术方案需要在TEE中引入硬件外设驱动和管控行为监测模块，必然导致TEE代码量激增与运行中的频繁TEE陷入，从而大幅降低终端性能与用户体验，并且不可避免增大TEE攻击面。

发明内容

针对现有技术方案存在的问题，本发明提出一种移动终端外设可信管控系统与方法，本发明与在终端主操作系统中监测管控行为的技术方案相比，本发明可有效应对内核劫持、欺骗、绕过等管控对抗行为。

本发明的技术方案为一种移动终端高可信管控系统，包括：