一种基于双隔离的安全显示系统及方法技术方案

本发明专利技术涉及一种基于双隔离的安全显示系统及方法，主要包括：位于可信执行环境中的安全监控模块和中断配置模块；位于隔离计算环境中的图形显示库和触摸屏驱动；位于普通计算环境中的安全代理模块和应用程序；本发明专利技术在TrustZone技术的基础上，利用TrustZone的隔离技术和内存水印技术，将不同的安全级别代码隔离在不同的地址空间，实现了安全执行环境和非安全执行环境的隔离和监控，在敏感场景下为用户提供可信的安全显示界面和交互功能，具有实用性、通用性，强安全性等优势。

A security display system and method based on double isolation

The invention relates to a security display system and method based on double isolation, mainly including: security monitoring module and interrupt configuration module located in trusted execution environment; graphic display library and touch screen driver located in isolated computing environment; security agent module and application program located in ordinary computing environment; and the invention. On the basis of TrustZone technology, using TrustZone isolation technology and memory watermarking technology, different security level codes are isolated in different address space, and the security execution environment and non-security execution environment are isolated and monitored. The trusted security display interface and interaction function are provided for users in sensitive scenes. It has the advantages of practicality, versatility, strong security and so on.

【技术实现步骤摘要】
一种基于双隔离的安全显示系统及方法
本专利技术涉及一种基于双隔离的安全显示系统及方法，属于移动终端设备的数据安全领域。
技术介绍
随着移动互联网技术的发展，移动智能终端的普及，移动智能终端处理的业务已经从传统的通信，逐步发展到办公、支付等高敏感的业务场景。这些敏感场景包括但不限于：用户在移动智能终端上通过付款码进行在线支付，通过网上银行查询账户信息等。恶意应用可以利用任务栈劫持等技术，显示虚假界面，达到其欺骗用户，获取用户隐私账号信息等恶意目的，这就需要在敏感场景下提供可信的安全显示系统与方法。TrustZone技术：ARMTrustZone是ARM处理器提供的安全硬件拓展技术，提供内存隔离等功能。通过这些隔离技术隔离出具有不同安全等级的两个区域，一个安全域和一个非安全域，不同等级的安全域中运行不同安全等级的代码。内存隔离：TrustZone提供了一个虚拟内存管理单元机制，使得安全域和非安全域中的内存映射到不同的虚拟地址空间。不同安全域中的同一个虚拟地址将会映射到不同的物理内存中。TrustZone允许安全域去访问非安全域中的虚拟地址空间，反过来却不可以。虚拟内存管理单元机制可以隔离虚拟内存地址，但是不可以隔离物理内存地址，所以TrustZone包含了个地址空间控制器，利用地址空间控制器可以将内存划分为安全内存和非安全内存，通过内存水印技术，非安全域中的代码无法访问安全内存。
技术实现思路
本专利技术所要解决的问题为：针对用户在移动智能终端上的敏感使用场景，提供一种基于双隔离的安全显示系统及方法，保证显示界面的信息不被篡改和窃取，从而有效的保证用户的隐私安全，具有实用性、高安全性。本专利技术技术解决方案为：一种基于双隔离的安全显示系统，利用TrustZone技术实现一个可信执行环境，然后利用TrustZone的隔离技术和内存水印技术，实现一个隔离计算环境，将图形显示库和触摸驱动代码从普通计算环境中隔离出来，利用可信执行环境中安全监控模块和中断配置模块实现普通计算环境和隔离计算环境间的切换，从而实现可信的安全显示功能，具体包括以下几个模块：安全代理模块：接收来自应用程序的请求，进行检查和过滤，将合法的请求转发到安全监控模块；安全监控模块：接受来自安全代理模块和隔离计算环境中的图形显示库和触摸屏驱动的请求，监控Android系统的状态，结合CPU的安全状态信息，调用中断配置模块处理请求中断配置模块：执行隔离计算环境和普通计算环境间的切换，从普通环境切换到隔离计算环境之前，先将CPU的状态信息、寄存器和内存映射信息保存到安全内存中，清除掉当前运行环境的CPU状态信息、寄存器和内存映射信息，然后再执行切换，当切换回普通计算环境时，将保存在安全内存中的状态信息还原；图形显示库：运行在隔离计算环境中，用于实现安全显示的功能，当实现了安全显示之后，请求安全代理模块，从隔离计算环境切换到普通计算环境；触摸屏驱动：运行在隔离计算环境中，用于实现安全显示中的安全交互的功能，当实现了安全显示之后，请求安全代理模块，从隔离计算环境切换到普通计算环境。一种基于双隔离的安全显示方法，包括以下步骤：(1)请求代理：普通计算环境中的应用程序在需要使用安全显示功能时，会将这一请求发送到位于普通计算环境中的安全代理模块；(2)请求转发：安全代理模块接受到请求之后，会检查请求时候合法，对于合法的请求，将其转发到位于可信执行环境中的安全监控模块；所述合法的请求为符合函数调用语法规范；(3)状态检查：安全监控模块接收到来自安全代理模块转发的请求后，检查Android系统的安全状态，安全状态包括CPU的安全状态，寄存器和内存映射信息，如果Android系统处于安全状态，则将请求中断配置模块执行中断配置和环境切换，切换到隔离计算环境；(4)中断配置：将Android系统的CPU的状态信息、寄存器和内存映射信息保存到安全内存中，清除掉Android系统中的CPU状态信息、寄存器和内存映射信息，然后从普通计算环境切换到隔离计算环境；(5)安全显示：利用隔离计算环境中的图形显示库和触摸屏驱动模块实现安全显示的功能；(6)请求切换：执行完安全显示后，位于隔离计算环境中的图形显示库和触摸屏驱动模块请求位于可信执行环境中的安全监控模块，切换回位于普通计算环境中的应用程序中；(7)状态检查：安全监控模块接收到来自隔离计算环境中的图形显示库和触摸屏驱动模块的请求后，检查Android系统的安全状态，所述安全状态包括CPU的安全状态，寄存器和内存映射信息，如果Android系统处于安全状态，则将请求中断配置模块执行中断配置和环境切换，切换到普通计算环境；(8)中断配置：将系Android统的CPU的状态信息、寄存器和内存映射信息保存到安全内存中，清除掉CPU状态信息、寄存器和内存映射信息，然后从隔离计算环境切换到普通计算环境。本专利技术与现有技术相比，具有以下优点：(1)利用TrustZone技术实现系统级隔离保护，当用户需要使用安全显示的场景下，普通计算环境中的应用程序在使用显示和触摸等交互功能时，无法直接使用图形显示库和触摸屏驱动代码，也无法直接请求安全监控模块和终端配置模块，而是需要经过安全代理模块进行请求转发，由安全监控模块处理请求，将请求和显示相隔离，提高安全性；(2)通过内存水印技术，在系统中隔离出一个计算环境，这个计算环境具有良好的可扩展性，隔离计算环境中的代码可以随着版本的更新和功能需求的变动而进行更新，而不会影响到可信执行环境，降低了可信执行环境和隔离计算环境的耦合性；(3)由于隔离计算环境的拓展性，可信执行环境中的安全监控和中断配置模块的代码量可以保持不变的代码量，不会随着隔离环境中代码量的增加而增加，可以减小自身的攻击面；(4)隔离计算环境中有用于显示、触摸的驱动和代码库，为安全显示提供了基本的保证，在终端配置模块配置好环境之后，切换到隔离执行环境中，执行安全显示的代码，提高安全性；(5)可信执行环境中有安全监控模块，可以接受由安全代理和隔离计算环境发来的请求，然后根据系统的状态，对请求进行相应的处理，决定是否需要中断配置模块执行普通计算环境和隔离执行环境间的切换，提高安全性。附图说明图1为本专利技术的整体框架示意图；图2为用户程序请求使用安全显示的流程图；图3是安全显示执行完毕后，隔离计算环境中的模块请求安全监控模块，切换到应用程序流程图；图4为中断配置模块执行中断配置流程图。具体实施方式本专利技术利用ARMTrustZone硬件隔离技术和可信执行环境作为基础平台，实现了一种基于双隔离的安全显示系统与方法。为了使本专利技术的目的、技术方案及优点更加清楚，以下通过具体实施，并结合附图，对本专利技术进一步详细说明。图1从整体上描述了该方案实施的总体架构，主要包括以下六个部分:本专利技术的基于双隔离的安全显示系统包括：安全代理模块101、中断配置模块200、安全监控模块201、图形显示库300和触摸屏驱动模块301，以及应用程序100。中断配置模块200和安全监控模块201位于可信执行环境中，由TrustZone进行保护，属于高安全级别；图形显示库300和触摸屏驱动模块301处于利用TrustZone实现的隔离的技术的所隔离出来的隔离计算环境中，属于中安全级别；应用程序1本文档来自技高网...

【技术保护点】
1.一种基于双隔离的安全显示系统，其特征在于，包括：安全代理模块、安全监控模块、中断配置模块、图形显示库和触摸屏驱动模块；中断配置模块和安全监控模块位于可信执行环境中，由TrustZone进行保护，属于高安全级别；图形显示库和触摸屏驱动模块运行在隔离计算环境中，属于中安全级别；安全代理模块处于普通计算环境中，属于低安全级别；安全代理模块：接收来自普通计算环境中的应用程序的请求，进行检查和过滤，将合法的请求转发到安全监控模块；所述合法的请求为符合函数调用语法规范；安全监控模块：接受来自安全代理模块和隔离计算环境的请求，监控Android系统的状态，结合CPU的安全状态信息，调用中断配置模块的处理请求；中断配置模块：执行普通计算环境和隔离计算环境间的切换；从普通计算环境切换到隔离计算环境之前，先将CPU的状态信息、寄存器和内存映射信息保存到安全内存中，清除掉当前运行环境的CPU状态信息、寄存器和内存映射信息，然后再执行切换，当切换回普通计算环境时，将保存在安全内存中的状态信息还原；图形显示库：用于实现安全显示的功能，当实现了安全显示之后，请求安全代理模块，切换到普通计算环境；触摸屏驱动模块：用于实现安全显示中的安全交互的功能，当实现了安全显示之后，请求安全代理模块，切换到普通计算环境。...

【技术特征摘要】
1.一种基于双隔离的安全显示系统，其特征在于，包括：安全代理模块、安全监控模块、中断配置模块、图形显示库和触摸屏驱动模块；中断配置模块和安全监控模块位于可信执行环境中，由TrustZone进行保护，属于高安全级别；图形显示库和触摸屏驱动模块运行在隔离计算环境中，属于中安全级别；安全代理模块处于普通计算环境中，属于低安全级别；安全代理模块：接收来自普通计算环境中的应用程序的请求，进行检查和过滤，将合法的请求转发到安全监控模块；所述合法的请求为符合函数调用语法规范；安全监控模块：接受来自安全代理模块和隔离计算环境的请求，监控Android系统的状态，结合CPU的安全状态信息，调用中断配置模块的处理请求；中断配置模块：执行普通计算环境和隔离计算环境间的切换；从普通计算环境切换到隔离计算环境之前，先将CPU的状态信息、寄存器和内存映射信息保存到安全内存中，清除掉当前运行环境的CPU状态信息、寄存器和内存映射信息，然后再执行切换，当切换回普通计算环境时，将保存在安全内存中的状态信息还原；图形显示库：用于实现安全显示的功能，当实现了安全显示之后，请求安全代理模块，切换到普通计算环境；触摸屏驱动模块：用于实现安全显示中的安全交互的功能，当实现了安全显示之后，请求安全代理模块，切换到普通计算环境。2.一种基于双隔离的安全显示方法，其特征在于，包括以下步骤：(1)请求代理：普通计算环境中的应用程序在需要使用安全显示功能时，会将这一请求发送到位于普通计算环境中的安全代理模块；(2)请求转发...

【专利技术属性】
技术研发人员：田琛，周安源，王雅哲，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11