The invention discloses a terminal safety protection method, based on micro trusted domain, the method includes: setting up micro domain for the target application; through the sub micro domain call API to request for trusted computing and trusted computing through the sub micro micro domain core domain calls for signature verification to request through the micro domain; when the kernel invokes the API access micro domain trusted computing module, the micro domain trusted computing module reads the key from the micro domain trusted storage area, trusted computing and signature verification with the key; the micro domain trusted computation module results will be sent to the micro domain the core of the micro domain core results will be sent to the micro domain mentioned above, the sub micro domain results will be sent to the target of the application.
【技术实现步骤摘要】
一种基于可信微域的终端安全防护方法、终端
本专利技术涉及可信计算技术,尤其涉及一种基于可信微域的终端安全防护方法、终端。
技术介绍
多域技术通常指双域,通常用于携带自己的设备办公(BYOD,BringYourOwnDevice)场景中。参照图1,以三星产品型号为KNOX的设备为例进行如下说明:工作域是设备上的一个虚拟安卓(Android)环境,工作域拥有自己独立的界面、浏览器、应用以及组件。通过使用工作域,可以消除由移动办公员工使用个人移动终端工作时出现的数据泄露问题,同时还可以保证用于个人使用的应用及数据的安全。通过个人域与工作域独立的容器设置,达成了企业管理与员工隐私的双赢局面。可信计算(TC,TrustedComputing)是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。三星产品型号为KNOX的设备中,在架构(framework)层为企业的用户提供了一个安全可信的执行环境。从而为手机中的应用提供了一个单独的安全的运行环境,包括独立的主界面、进程空间、应用。多域技术目前主要用在BYOD场景中,保证了企业敏感数据的安全,为其数据的存储提供独立的安全存储空间。将工作域与个人域分开,给员工提供安全的办公环境;独立的空间也防止了恶意软件被下载到工作域。多域技术具体实现方法主要分为三类:(1)参照图2,独立的双操作系统,两套操作系统直接安装在系统的不同分区,相互独立,两个系统不共享系统内核,两个系统不能同时运行,需要重启才能切换到另一个操作系统,如Android系统和窗口手机系统(WindowsPhone)。(2)参照 ...
【技术保护点】
一种基于可信微域的终端安全防护方法,其特征在于,所述方法包括:为目标应用设置子微域;通过所述子微域调用应用程序编程接口API以请求进行可信计算,以及通过所述子微域调用微域核心以请求进行签名验证的可信计算;当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块从微域可信存储区域中读取密钥,并利用所述密钥进行签名验证的可信计算;所述微域可信计算模块将计算结果发送至所述微域核心,所述微域核心将所述计算结果发送至所述子微域,所述子微域将所述计算结果发送至所述目标应用。
【技术特征摘要】
1.一种基于可信微域的终端安全防护方法,其特征在于,所述方法包括:为目标应用设置子微域;通过所述子微域调用应用程序编程接口API以请求进行可信计算,以及通过所述子微域调用微域核心以请求进行签名验证的可信计算;当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块从微域可信存储区域中读取密钥,并利用所述密钥进行签名验证的可信计算;所述微域可信计算模块将计算结果发送至所述微域核心,所述微域核心将所述计算结果发送至所述子微域,所述子微域将所述计算结果发送至所述目标应用。2.根据权利要求1所述的基于可信微域的终端安全防护方法,其特征在于,所述为目标应用设置子微域,包括:当安装所述目标应用时,利用微域核心调用子微域孵化器为所述目标应用设置子微域。3.根据权利要求1所述的基于可信微域的终端安全防护方法,其特征在于,所述方法还包括:当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块根据调用的API执行以下功能:可信用户交互UI功能、和/或可信存储功能、和/或可信计算功能。4.根据权利要求1所述的基于可信微域的终端安全防护方法,其特征在于,所述方法还包括:所述微域可信计算模块对所述微域核心的参数进行运算,并将运算结果和存储在所述微域可信存储区域中的数据进行比较,以确认所述微域核心的安全性。5.根据权利要求1所述的基于可信微域的终端安全防护方法,其特征在于,所述方法还包括:通过所述子微域对所述目标...
【专利技术属性】
技术研发人员:齐文杰,穆家松,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。