CN104794395A - 基于体系结构特性的轻量级多***安全管理架构 - Google Patents
基于体系结构特性的轻量级多***安全管理架构 Download PDFInfo
- Publication number
- CN104794395A CN104794395A CN201510243615.1A CN201510243615A CN104794395A CN 104794395 A CN104794395 A CN 104794395A CN 201510243615 A CN201510243615 A CN 201510243615A CN 104794395 A CN104794395 A CN 104794395A
- Authority
- CN
- China
- Prior art keywords
- safety management
- management structure
- safety
- architecture
- commercial operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
一种属于移动平台安全技术领域的基于体系结构特性的轻量级多***安全管理架构,包括可信执行环境建立,多商用操作***之间的安全高效切换。本发明设计移动安全领域,利用移动设备或嵌入式设备的体系结构特性,设计了一种轻量级的多***安全管理架构,并且能够满足当下对于安全性和功能性方面的需求。本发明相对现有的解决方法,具有更好的性能、可移植性、易用性、隔离性、功能性和安全性。本发明提出的架构易于在当下大多数移动设备和嵌入式设备中部署,进而可以带来可观的社会效益及经济效益。
Description
技术领域
本发明属于移动平台安全技术领域,具体地说,是一种能够在安全性和功能性之间寻求到一个平衡点的轻量级多***安全管理架构。
背景技术
通常解决计算机***的安全问题的手段无外乎两个:加密与隔离。加密多是研究密码学和数学的学者研究的方面,***研究者通常只是使用一些基本的加密手段达到某一目的;而隔离作为***研究者的利器,一直被用于解决***安全的各类问题。在服务器领域,操作***的隔离主要是通过虚拟化完成,不同的操作***(虚拟机)通过虚拟机监控器同时共享所有的物理资源。然而在移动平台,虚拟化一直没能被广泛采用,一是硬件条件与资源限制(硬件虚拟化不成熟),二是需求不强烈(一部手机很少需要同时运行几个操作***,并且电量消耗也是一个棘手的问题)。不过如果一部手机能够运行两个OS,某个时间只有一个OS在执行却能带来不少好处:在保证更好的安全隔离性,给用户更多的选择的同时又不消耗过多的资源(电量)。
移动设备和嵌入式***的软件设计者经常受困于在安全性和功能性之间做出选择。ARM公司的TrustZone技术已经被用来建立一个可信执行环境,它能够与功能丰富的传统商用操作***并发运行,同时为可信应用提供一个隔离的安全的执行环境。TrustZone技术划分出两个运行世界,安全世界和正常世界。安全世界的特权等级更高,可信执行环境一般建立在其中。诚然,利用TrustZone技术建立可信执行环境能够满足安全性方面的需求。但是在功能性方面就受到了很大的限制,因为在基于TrustZone的可信执行环境中运行需要进行大量的权限检查等工作,从而导致性能较差、功能受限。
硬件虚拟化方法能够通过创建两个虚拟机,从而在安全性和功能性两个方面都取得较好的效果。但是实际生活中,大部分的嵌入式和移动设备都缺少硬件虚拟化支持。因此这种基于硬件虚拟化的双虚拟机架构难以在当下普及。
在研究界,还有一种***被称为“红绿双***”(Red-green dual-OS),其中的绿***提供一个安全可信的环境去执行安全相关任务,而红***为其它的普通应用任务服务。该***利用资源隔离而不是虚拟化去达到设计目标,现在很多移动设备采用这种设计,将绿***运行在TrustZone提供的安全世界中,红***运行在普通世界中。然后在这种已有架构中,绿***的特权等级高于红***,一旦绿***恶意的攻击者攻破,那么红***也就被攻破了,也就是说这并没有达到两者相互隔离的安全性要求。
因此如何同时满足安全性和功能性两个方面的需求,实已成为本领域技术人员亟待解决的技术难题。
发明内容
本发明的目的在于,设计一种***架构,能够方便地部署在当下拥有类似TrustZone技术的移动设备及嵌入式设备中,并且能够满足用户在服务安全性和***功能性方面与日俱增的需求。
为达到上述目的,本发明是通过以下技术方案来实现的,本发明包括可信执行环境建立,多商用操作***之间的安全高效切换。
进一步地,在本发明中,可信执行环境的建立包括加载轻量级可信内核,部署商用操作***监控器以及为商用操作***提供执行环境。
进一步地,在本发明中,多商用操作***之间的安全高效切换,是在本发明提出的架构中,在一个移动设备或嵌入式设备中可以运行多个商用操作***,该架构保证了这些操作***之间的隔离性,并且使得它们之间能够在毫秒级切换。
本发明提出的技术方案,一种基于体系结构特性的轻量级多***安全管理架构—TVisor,它能够创建两个具有相同特权等级的操作***,并且这两个操作***都能够使用安全世界中提供的可信执行环境。
本发明的主要模块有:一,安全内核和可信执行环境;二,为普通世界中运行的操作***提供的沙盒(运行环境);三,TVisor监视器,管理普通世界中运行的操作***和物理资源。
图1展示了整体的本发明的架构图。在安全世界中通过安全启动流程,验证可信内核的完整性,并将其加载到安全内存中,从而部署了一个可信的小型操作***,并且建立可信执行环境,从而能够支持可信应用的执行。该安全内核为普通世界的应用提供了符合国际标准的接口(API),也就是说普通世界的程序可以通过这些严格受控的接口去调用可信内核提供的安全服务,从而满足他们的安全需求,而大多数不需要很高安全性的时间里,这些程序可以运行在性能更好、功能更多的普通世界中。
在普通世界中,每个传统商用操作***运行在一个沙盒中(沙盒就是为操作***运行提供的执行环境)。在该发明当前实现中,有两个沙盒运行在普通世界中,分别对应传统的红绿双***的红***(非安全***)和绿***(安全***)。在某一个时间点,普通世界中只有一个操作***处于运行状态。当一个操作***处于运行状态时,利用类似TrustZone的硬件支持,它的内存被标记成非安全的,而其余内存被标记成安全的,从而在物理层面上根本地实现了隔离。进而保证了当前运行的操作***不能意外地或者是恶意地篡改其它操作***和在安全世界中运行的程序的状态。一个正在运行的操作***能够通过安全世界提供的接口,与运行在可信执行环境的服务进行通信。
TVisor监视器在监视模式下运行,它负责管理在普通世界中运行的操作***的状态,包括外部设备的隔离分配和管理以及不同沙盒之间的切换和调度。此外,一个运行在普通世界的操作***可以TVisor监视器中注册一些实时任务,从而监视器能够保证该操作***能够处理它的重要的实时的任务(如打电话),即便事件发生时该操作***不在运行状态。
具体举例来说,如图2所示,该发明中切换操作***的具体流程是Android与Ubuntu***均运行在普通世界中,在安全世界中运行可信内核,可信内核充当监视器管理这两个***。在开始阶段运行的是***A(假设为Android),一旦用户想要切换到***B(Ubuntu)运行,那么可信内核(监视器)会将发一个命令给Android,让其进入休眠状态,然后会保存Android的所有必要的运行状态,包含处理器状态、中断表状态以及所有必要的外设的状态,然后将Android所在的内存段设为安全内存(防止Ubuntu篡改Android状态)。接着载入之前保存过的Ubuntu***状态,然后恢复并切换到Ubuntu运行。
本发明的有益效果是:本发明提出的基于体系机构特性的轻量级多***安全管理架构—Tvsior,保证了普通世界中不用操作***的隔离性,能够有效利用当下已有的硬件技术达到安全性与功能性的双赢。本发明利用体系结构特性提出了一种无需硬件虚拟化的轻量级的多***安全管理架构,从而在安全性和功能性之间寻求到了一个平衡点。该架构能够被部署到大部分具有类似TrustZone技术支持的嵌入式设备和移动设备中。
附图说明
图1是本发明的***架构图;
图2是本发明中普通世界操作***切换示意图。
具体实施方式
下面结合附图对本发明的实施例作详细说明,本实施例以本发明技术方案为前提,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
实施例
基于体系结构特点的轻量级多***管理架构的具体部署流程包括【加载安全内核】、【建立可信执行环境】、【创建操作***运行环境】和【***间切换运行】四个阶段。以下将通过具体实施示例来详细描述本发明。
本发明的示例具体步骤如下:
步骤在移动设备或嵌入式设备开机启动的时候,利用内置的启动加载器从外部设备中将一个轻量级可信内核加载到安全的内存区域中,在加载过程中验证该内核的身份证书,以此来保证这是一个完整的安全的内核。
步骤①,当轻量级可信内核被加载到硬件保证的安全内存后,该内核会对内存区域进行划分,对不同外部设备设置不同权限,建立安全***服务表,从而建立起可信执行环境。
步骤②,TVsior监视器被设置为在安全世界的监视模式下运行,该监视器收集硬件信息并且初始化自己的相关数据结构如中断表等。监视普通世界中操作***的行为并及时作出相应。
步骤③,当普通世界中的商用操作***启动时,TVsior会为划分出一些物理内存,外部设备以适当权限给它使用,从而为它创建一个运行环境,并且协助完成它设置中断等必要初始化任务。然后,该商用操作***会向模拟器注册一些必要事件,并且建立通信通道。
(重复步骤③可以在普通世界中建立多个商用操作***,如建立商用操作***1和2)。
步骤④,在普通世界中,当用户希望从商用操作***1切换到商用操作***2,此时监视器会通过预先设置好的通信通道发命令给商用操作***1,告诉它暂时不能继续运行,让其进入休眠状态。安全世界中的可信内核会保存商用操作***1的所有必要的运行状态,并且将其内存段设为安全内存。然后恢复之前保存过的商用操作***2的运行状态,监视器通知它可以继续执行了。
(重复步骤④可以完成在普通世界中不同商用操作***间的安全切换)。
上述实施案例仅列示性说明本发明的原理及功效,而非用于限制本发明。任何熟悉此项技术的人员均可在不违背本发明的精神及范围下,对上述实施例进行修改。因此,本发明的权利保护范围,应如权利要求书所列。
Claims (3)
1.一种基于体系结构特性的轻量级多***安全管理架构,其特征在于,包括:1)可信执行环境建立;2)多商用操作***之间的安全高效切换。
2.根据权利要求1所述的基于体系结构特性的轻量级多***安全管理架构,其特征在于,所述可信执行环境的建立包括加载轻量级可信内核,部署商用操作***监控器以及为商用操作***提供执行环境。
3.根据权利要求2所述的基于体系结构特性的轻量级多***安全管理架构,其特征在于,所述多商用操作***之间的安全高效切换,是在本发明提出的架构中,在一个移动设备或嵌入式设备中可以运行多个商用操作***,该架构保证了这些操作***之间的隔离性,并且使得它们之间能够在毫秒级切换。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510243615.1A CN104794395A (zh) | 2015-05-13 | 2015-05-13 | 基于体系结构特性的轻量级多***安全管理架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510243615.1A CN104794395A (zh) | 2015-05-13 | 2015-05-13 | 基于体系结构特性的轻量级多***安全管理架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104794395A true CN104794395A (zh) | 2015-07-22 |
Family
ID=53559184
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510243615.1A Pending CN104794395A (zh) | 2015-05-13 | 2015-05-13 | 基于体系结构特性的轻量级多***安全管理架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104794395A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105574720A (zh) * | 2015-12-14 | 2016-05-11 | 联想(北京)有限公司 | 安全的信息处理方法以及信息处理装置 |
| CN107038128A (zh) * | 2016-02-03 | 2017-08-11 | 华为技术有限公司 | 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置 |
| CN107066331A (zh) * | 2016-12-20 | 2017-08-18 | 华为技术有限公司 | 一种基于TrustZone的资源分配方法及设备 |
| CN107563224A (zh) * | 2017-09-04 | 2018-01-09 | 济南浪潮高新科技投资发展有限公司 | 一种多用户物理隔离方法及装置 |
| CN107679393A (zh) * | 2017-09-12 | 2018-02-09 | 中国科学院软件研究所 | 基于可信执行环境的Android完整性验证方法和装置 |
| CN107844713A (zh) * | 2016-09-18 | 2018-03-27 | 展讯通信(上海)有限公司 | 一种运行可信执行环境的电子设备 |
| WO2019072158A1 (zh) * | 2017-10-13 | 2019-04-18 | 华为技术有限公司 | 安全控制方法及计算机*** |
| CN112346789A (zh) * | 2020-11-06 | 2021-02-09 | 中国电子信息产业集团有限公司 | 双***休眠及唤醒方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103020531A (zh) * | 2012-12-06 | 2013-04-03 | 中国科学院信息工程研究所 | Android智能终端运行环境可信控制方法及*** |
| US20130227264A1 (en) * | 2012-02-24 | 2013-08-29 | Samsung Electronics Co. Ltd. | Integrity protection method and apparatus for mobile terminal |
| CN103391374A (zh) * | 2013-08-08 | 2013-11-13 | 北京邮电大学 | 一种支持无缝切换的双***终端 |
| CN103677989A (zh) * | 2013-12-13 | 2014-03-26 | Tcl集团股份有限公司 | 一种利用linux内核实现多***的装置及方法 |
-
2015
- 2015-05-13 CN CN201510243615.1A patent/CN104794395A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130227264A1 (en) * | 2012-02-24 | 2013-08-29 | Samsung Electronics Co. Ltd. | Integrity protection method and apparatus for mobile terminal |
| CN103020531A (zh) * | 2012-12-06 | 2013-04-03 | 中国科学院信息工程研究所 | Android智能终端运行环境可信控制方法及*** |
| CN103391374A (zh) * | 2013-08-08 | 2013-11-13 | 北京邮电大学 | 一种支持无缝切换的双***终端 |
| CN103677989A (zh) * | 2013-12-13 | 2014-03-26 | Tcl集团股份有限公司 | 一种利用linux内核实现多***的装置及方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105574720A (zh) * | 2015-12-14 | 2016-05-11 | 联想(北京)有限公司 | 安全的信息处理方法以及信息处理装置 |
| CN107038128A (zh) * | 2016-02-03 | 2017-08-11 | 华为技术有限公司 | 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置 |
| CN107038128B (zh) * | 2016-02-03 | 2020-07-28 | 华为技术有限公司 | 一种执行环境的虚拟化、虚拟执行环境的访问方法及装置 |
| US11321452B2 (en) | 2016-02-03 | 2022-05-03 | Huawei Technologies Co., Ltd. | Execution environment virtualization method and apparatus and virtual execution environment access method and apparatus |
| CN107844713A (zh) * | 2016-09-18 | 2018-03-27 | 展讯通信(上海)有限公司 | 一种运行可信执行环境的电子设备 |
| CN107066331B (zh) * | 2016-12-20 | 2021-05-18 | 华为技术有限公司 | 一种基于TrustZone的资源分配方法及设备 |
| CN107066331A (zh) * | 2016-12-20 | 2017-08-18 | 华为技术有限公司 | 一种基于TrustZone的资源分配方法及设备 |
| CN107563224A (zh) * | 2017-09-04 | 2018-01-09 | 济南浪潮高新科技投资发展有限公司 | 一种多用户物理隔离方法及装置 |
| CN107679393A (zh) * | 2017-09-12 | 2018-02-09 | 中国科学院软件研究所 | 基于可信执行环境的Android完整性验证方法和装置 |
| CN107679393B (zh) * | 2017-09-12 | 2020-12-04 | 中国科学院软件研究所 | 基于可信执行环境的Android完整性验证方法和装置 |
| WO2019072158A1 (zh) * | 2017-10-13 | 2019-04-18 | 华为技术有限公司 | 安全控制方法及计算机*** |
| US11687645B2 (en) | 2017-10-13 | 2023-06-27 | Huawei Technologies Co., Ltd. | Security control method and computer system |
| CN112346789A (zh) * | 2020-11-06 | 2021-02-09 | 中国电子信息产业集团有限公司 | 双***休眠及唤醒方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104794395A (zh) | 基于体系结构特性的轻量级多***安全管理架构 | |
| CN109086100A (zh) | 一种高安全可信移动终端安全体系架构及安全服务方法 | |
| CN101866408B (zh) | 一种基于虚拟机架构的透明信任链构建*** | |
| CN102929719B (zh) | 一种多核计算机上多操作***的控制方法及多核计算机 | |
| CN102959555B (zh) | 虚拟计算机***、虚拟计算机控制方法及半导体集成电路 | |
| CN104036185B (zh) | 基于虚拟化的宏内核操作***载入模块权能隔离方法 | |
| CN104598294B (zh) | 用于移动设备的高效安全的虚拟化方法及其设备 | |
| CN112003877B (zh) | 一种网络隔离方法、装置、电子设备及存储介质 | |
| CN106255955B (zh) | 多操作***装置的访问隔离 | |
| CN102708028B (zh) | 一种可信冗余容错计算机*** | |
| CN103019836B (zh) | 状态切换方法和电子设备 | |
| CN103902885A (zh) | 面向多安全等级虚拟桌面***虚拟机安全隔离***及方法 | |
| CN103841198A (zh) | 一种净室云计算数据处理方法及*** | |
| CN104885057A (zh) | 虚拟化计算***中隔离的客创建 | |
| CN101149685A (zh) | 从移动存储设备启动多操作***的组合装置及其方法 | |
| CN112948063B (zh) | 云平台的创建方法、装置、云平台以及云平台实现*** | |
| CN107003891A (zh) | 虚拟机切换方法、装置、电子设备和计算机程序产品 | |
| CN108549812A (zh) | 基于Trustzone的安全隔离方法、安全隔离装置及车载终端 | |
| CN102147763A (zh) | 一种网络日志的记录方法、***及计算机 | |
| CN107463856B (zh) | 一种基于可信内核的防攻击数据处理器 | |
| CN106970823A (zh) | 高效的基于嵌套虚拟化的虚拟机安全保护方法及*** | |
| CN103870749A (zh) | 一种实现虚拟机***的安全监控***及方法 | |
| CN108549571A (zh) | 一种适用于可信执行环境中的安全虚拟化方法 | |
| JP2015524128A5 (zh) | ||
| CN105940375A (zh) | 针对多操作***设备的动态再分配 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150722 |
|
| RJ01 | Rejection of invention patent application after publication |