一种基于可信微域的终端安全防护方法、终端技术

技术编号:15705031 阅读:274 留言:0更新日期:2017-06-26 11:07
本发明专利技术公开了一种基于可信微域的终端安全防护方法、终端,所述方法包括:为目标应用设置子微域;通过所述子微域调用API以请求进行可信计算,以及通过所述子微域调用微域核心以请求进行签名验证的可信计算;当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块从微域可信存储区域中读取密钥,并利用所述密钥进行签名验证的可信计算;所述微域可信计算模块将计算结果发送至所述微域核心,所述微域核心将所述计算结果发送至所述子微域,所述子微域将所述计算结果发送至所述目标应用。

Terminal protection method and terminal based on credible micro domain

The invention discloses a terminal safety protection method, based on micro trusted domain, the method includes: setting up micro domain for the target application; through the sub micro domain call API to request for trusted computing and trusted computing through the sub micro micro domain core domain calls for signature verification to request through the micro domain; when the kernel invokes the API access micro domain trusted computing module, the micro domain trusted computing module reads the key from the micro domain trusted storage area, trusted computing and signature verification with the key; the micro domain trusted computation module results will be sent to the micro domain the core of the micro domain core results will be sent to the micro domain mentioned above, the sub micro domain results will be sent to the target of the application.

【技术实现步骤摘要】
一种基于可信微域的终端安全防护方法、终端
本专利技术涉及可信计算技术,尤其涉及一种基于可信微域的终端安全防护方法、终端。
技术介绍
多域技术通常指双域,通常用于携带自己的设备办公(BYOD,BringYourOwnDevice)场景中。参照图1,以三星产品型号为KNOX的设备为例进行如下说明:工作域是设备上的一个虚拟安卓(Android)环境,工作域拥有自己独立的界面、浏览器、应用以及组件。通过使用工作域,可以消除由移动办公员工使用个人移动终端工作时出现的数据泄露问题,同时还可以保证用于个人使用的应用及数据的安全。通过个人域与工作域独立的容器设置,达成了企业管理与员工隐私的双赢局面。可信计算(TC,TrustedComputing)是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。三星产品型号为KNOX的设备中,在架构(framework)层为企业的用户提供了一个安全可信的执行环境。从而为手机中的应用提供了一个单独的安全的运行环境,包括独立的主界面、进程空间、应用。多域技术目前主要用在BYOD场景中,保证了企业敏感数据的安全,为其数据的存储提供独立的安全存储空间。将工作域与个人域分开,给员工提供安全的办公环境;独立的空间也防止了恶意软件被下载到工作域。多域技术具体实现方法主要分为三类:(1)参照图2,独立的双操作系统,两套操作系统直接安装在系统的不同分区,相互独立,两个系统不共享系统内核,两个系统不能同时运行,需要重启才能切换到另一个操作系统,如Android系统和窗口手机系统(WindowsPhone)。(2)参照图3,硬件管理器(Hypervisor)方案的双操作系统,利用虚拟化技术,在单个硬件平台上运行多个操作系统,包括Android系统和非Android系统,这两个操作系统不共享内核完全隔离,两个系统同时运行,采用软切换模式进行切换,不需要重启。(3)参照图4,内核(Kernel)层隔离方案的双操作系统,两个操作系统共享同一内核,但是两个操作系统使用不同的应用运行时环境,两个操作系统也同时运行,使用时无需重启手机,可一键实现两个系统的无缝切换。可信计算架构下,终端系统分普通环境和安全环境;普通环境如Android操作系统,可信环境如MobiCore可信操作系统。为保护普通环境中某应用的敏感计算和存储,参照图5,可通过如下方案实现:1、将要保护的目标应用的敏感函数分离;2、将敏感函数在可信操作系统上单独实现为可信应用,该实现依赖可信系统和环境,由于不具有通用性,所以成本高,门槛高;3、通过预置或空中部署的方式,将Trustlet通过空中下载技术(OTA,OvertheAirTechnology)方式写入终端可信环境中,Trustlet在可信环境中隔离存储,各Trustlet见互不可见,而可信环境空间小,资源紧缺。现有的多域技术存在如下缺点:1、现有的多域技术粒度大,无论通过哪种方式实现的隔离技术,都是以域的粒度进行隔离,并将软件进行分类,分别装入不同的域中,隔离粒度不够,一旦安全域中的某应用被恶意利用,则安全域中的其他应用可能遭受攻击;而如果彻底将安全域的软件固定化,则灵活性和用户体验较差,使用不方便;2、每个域中的应用管理方案均通过Android操作系统框架层进行,无法进行精细化管理和权限控制;3、实现多域技术复杂,对Android操作系统框架层改动大,需要通过出厂前预置或刷机或系统升级的方式实现。现有的可信计算技术存在如下缺点:1、当前Android系统中,应用的可信计算部分是由其可信计算模块(Trustlet)完成的,而可信计算模块需要预装或通过OTA方式装入可信存储空间中。目前手机中可信存储空间太小,无法满足当前众多应用对可信存储空间和可信计算资源的需求;2、同时,应用的可信计算部分的开发对开发环境,可信操作系统,开发人员技术都有很高的要求,导致该部分的开发门槛和成本很高。3、应用实现的可信计算部分可移植性差,开发者需要针对每个可信系统实现可信计算部分,而当前可信系统无标准,实现厂家差异大。
技术实现思路
为解决上述技术问题,本专利技术实施例提供了一种基于可信微域的终端安全防护方法、终端。本专利技术实施例提供的基于可信微域的终端安全防护方法,包括:为目标应用设置子微域;通过所述子微域调用应用程序编程接口(API,ApplicationProgrammingInterface)以请求进行可信计算,以及通过所述子微域调用微域核心以请求进行签名验证的可信计算;当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块从微域可信存储区域中读取密钥,并利用所述密钥进行签名验证的可信计算;所述微域可信计算模块将计算结果发送至所述微域核心,所述微域核心将所述计算结果发送至所述子微域,所述子微域将所述计算结果发送至所述目标应用。本专利技术实施例中,所述为目标应用设置子微域,包括:当安装所述目标应用时,利用微域核心调用微域孵化器为所述目标应用设置子微域。本专利技术实施例中,所述方法还包括:当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块根据调用的API执行以下功能:可信用户交互(UI,UserInterface)功能、和/或可信存储功能、和/或可信计算功能。本专利技术实施例中,所述方法还包括:所述微域可信计算模块对所述微域核心的参数进行运算,并将运算结果和存储在所述微域可信存储区域中的数据进行比较,以确认所述微域核心的安全性。本专利技术实施例中,所述方法还包括:通过所述子微域对所述目标应用的请求指令进行权限管理。本专利技术实施例提供的终端,包括:设置单元,用于为目标应用设置子微域;第一调用单元,用于通过所述子微域调用API以请求进行可信计算,以及通过所述子微域调用微域核心以请求进行签名验证的可信计算;第二调用单元,用于当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块从微域可信存储区域中读取密钥,并利用所述密钥进行签名验证的可信计算;发送单元,用于所述微域可信计算模块将计算结果发送至所述微域核心,所述微域核心将所述计算结果发送至所述子微域,所述子微域将所述计算结果发送至所述目标应用。本专利技术实施例中,所述设置单元,还用于当安装所述目标应用时,利用微域核心调用微域孵化器为所述目标应用设置子微域。本专利技术实施例中,所述终端还包括:执行单元,用于当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块根据调用的API执行以下功能:可信用户交互UI功能、和/或可信存储功能、和/或可信计算功能。本专利技术实施例中,所述终端还包括:验证单元,用于通过所述微域可信计算模块对所述微域核心的参数进行运算,并将运算结果和存储在所述微域可信存储区域中的数据进行比较,以确认所述微域核心的安全性。本专利技术实施例中,所述终端还包括:管理单元,用于通过所述子微域对所述目标应用的请求指令进行权限管理。本专利技术实施例的技术方案中,为目标应用设置子微域;通过所述子微域调用API以请求进行可信计算,以及通过所述子微域调用微域核心以请求进行签名验证的可信计算;当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块从微域可信本文档来自技高网
...
一种基于可信微域的终端安全防护方法、终端

【技术保护点】
一种基于可信微域的终端安全防护方法,其特征在于,所述方法包括:为目标应用设置子微域;通过所述子微域调用应用程序编程接口API以请求进行可信计算,以及通过所述子微域调用微域核心以请求进行签名验证的可信计算;当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块从微域可信存储区域中读取密钥,并利用所述密钥进行签名验证的可信计算;所述微域可信计算模块将计算结果发送至所述微域核心,所述微域核心将所述计算结果发送至所述子微域,所述子微域将所述计算结果发送至所述目标应用。

【技术特征摘要】
1.一种基于可信微域的终端安全防护方法,其特征在于,所述方法包括:为目标应用设置子微域;通过所述子微域调用应用程序编程接口API以请求进行可信计算,以及通过所述子微域调用微域核心以请求进行签名验证的可信计算;当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块从微域可信存储区域中读取密钥,并利用所述密钥进行签名验证的可信计算;所述微域可信计算模块将计算结果发送至所述微域核心,所述微域核心将所述计算结果发送至所述子微域,所述子微域将所述计算结果发送至所述目标应用。2.根据权利要求1所述的基于可信微域的终端安全防护方法,其特征在于,所述为目标应用设置子微域,包括:当安装所述目标应用时,利用微域核心调用子微域孵化器为所述目标应用设置子微域。3.根据权利要求1所述的基于可信微域的终端安全防护方法,其特征在于,所述方法还包括:当通过所述微域核心调用API访问微域可信计算模块时,所述微域可信计算模块根据调用的API执行以下功能:可信用户交互UI功能、和/或可信存储功能、和/或可信计算功能。4.根据权利要求1所述的基于可信微域的终端安全防护方法,其特征在于,所述方法还包括:所述微域可信计算模块对所述微域核心的参数进行运算,并将运算结果和存储在所述微域可信存储区域中的数据进行比较,以确认所述微域核心的安全性。5.根据权利要求1所述的基于可信微域的终端安全防护方法,其特征在于,所述方法还包括:通过所述子微域对所述目标...

【专利技术属性】
技术研发人员:齐文杰穆家松
申请(专利权)人:中国移动通信集团公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1