[发明专利]一种高安全可信移动终端安全体系架构及安全服务方法

摘要

本发明涉及一种高安全可信移动终端安全体系架构及安全服务方法，包括硬件、微内核Hyp、主操作系统MOS、极简可信隔离环境STEE和核心控制器CSC。基于虚拟化技术实现新型移动终端安全架构，在虚拟机管理层实现微内核Hyp，使得所有主系统对硬件的访问都要受到微内核Hyp的监控和安全管理；并在微内核Hyp中对主系统内核进行动态安全度量，实时监测内核安全性，当检测到内核受损时，迅速切换到备份系统，保证核心功能不受影响；结合虚拟机的虚拟隔离技术和TrustZone的硬件隔离能力，构建多个极简可信隔离环境STEE，实现不同STEE中运行独立的可信应用TA，从而降低可信隔离环境系统的复杂性，并实现TA的分离。

主权项

1.一种高安全可信移动终端安全体系架构，其特征在于：所述的架构包括硬件、微内核Hyp、主操作系统MOS、极简可信隔离环境STEE和核心控制器CSC；其中：所述硬件，提供数据处理与存储功能，为上层应用软件和应用提供物理支持；所述微内核Hyp，具备内核受损检测、可信恢复、硬件安全监管功能,实现对所有主操作系统MOS、极简可信隔离环境STEE和备系统对硬件访问的监控，微内核实现软件门卫功能，对主操作系统访问硬件和资源的行为进行监管，微内核基于虚拟化技术在虚拟机管理层优化实现；所述主操作系统MOS，部署于微内核Hyp之上的虚拟机控制域或虚拟机中，支持普通应用运行，当移动应用程序需要处理关键敏感数据或调用关键代码时，主操作系统的控制指令将被微内核中的CSC调用程序捕获，并进入到SWS模块，若通过SWS模块的执行环境切换合法性监测校验则换至极简可信执行环境STEE，在STEE中运行可信应用TA，以安全隔离的方式处理关键敏感数据，运行关键代码，执行完成后通过中断保护返回至主操作系统中程序执行位置，当主操作系统内核受到攻击时，具有及时关闭主操作系统，启用备用系统，并修复主操作系统的功能；所述可信隔离环境STEE，部署于运行轻量级嵌入式操作系统(轻量级嵌入式操作系统，STEE运行的轻量级嵌入式操作系统可由具体应用自行选择，并不唯一，如MiniOS等，而所谓轻量级，是指代码量小功能简单的嵌入式操作系统)的客户虚拟机中，实现多个STEE按需创建功能；实现STEE与MOS以及不同STEE之间相互隔离功能，以及极简可信隔离环境TEE的受攻击面、提升安全代码运行环境安全性的功能；STEE内运行极简操作系统，以减少攻击面，在用户对安全性要求可以降低的前提条件下，也可运行复杂操作系统，实现单一移动终端上的多级多域系统隔离；所述极简操作系统是指经过精心剪裁的轻量级操作系统，包括MiniOS；所述复杂操作系统如Linux、Android、基于Linux改造的移动操作系统等；所述核心控制器CSC，执行于TEE中，CSC包括安全内存隔离模块SMI、安全世界切换模块SWS、I/O资源隔离模块IOI；所述SMI通过启动时的控制域地址划分、内存地址读写权限访问控制和STEE的内存按需加密，实现内存隔离安全增强功能，SMI监管STEE和MOS的内存访问行为及实现内存执行区域隔离，SMI包括内存区域划分、内存页表访问控制和STEE内存加密方法；所述SWS通过对执行环境切换的硬件中断或切换指令所指向跳转的特权等级合法性检验，若为合法性切换则保护现场地址并执行I/O隔离操作，在切换目标环境的任务完成后返回至原程序执行位置；所述IOI实现I/O安全隔离，在SWS每次切换之前，首先禁止所有的I/O外设中断响应，并根据跳转的STEE的安全需求细粒度开启并维护一个最小中断向量表，避免非授权的I/O中断影响正在执行的STEE中代码执行。