一种通用的外置式智能终端安全运行环境构建方法技术

本发明专利技术公开了一种通用的外置式智能终端安全运行环境构建方法。本方法为：1）应用发布方为目标应用建立一包括ramdisk文件和内核镜像的应用安全策略包；在该Android系统设置一系统安全控制模块后对系统进行编译生成所述内核镜像；系统安全控制模块包括一安全策略文件；2）设置一可信执行模块TEM，发送命令信息给该智能终端，使其从该TEM端下载该应用安全策略包，并在该智能终端上启动系统；3）系统安全控制模块监控系统运行过程中映射入内存的所有文件，检查其是否属于安全策略文件中的文件，如果是则该系统安全控制模块对本次映射操作予以放行，否则拒绝本次映射操作。本方法无需对智能终端原有软硬件进行更改，易于推行。

【技术实现步骤摘要】

本专利技术涉及一种基于ARM与Android的智能终端构建可信运行环境的方法，侧重于在不影响智能终端原有软硬件结构的基础上实现为目标Android应用程序建立可信运行环境的目的，适用于安全敏感的应用领域，如电子支付业务、安全通信等，属于信息系统安全范畴。
技术介绍
以智能手机、平板电脑为代表的智能终端拥有功能完善的操作系统、强大的应用处理器(CPU)和内存以及优秀的人机交互界面，用户可以根据个人需要实时扩展机器功能，可以安装更多的应用程序，实现了软件市场同步的人性化功能。智能终端已经发展成为一个功能强大，集通话、短信、影视娱乐、网络接入为一体的综合性个人手持终端设备。智能终端的以上特点使得它可以随时随地的满足用户的多种需求。然而，随着智能终端的广泛应用，越来越多的安全问题也随之出现，诸多非法流氓应用程序、恶意软件以及未知病毒程序入侵带来的用户信息安全问题日趋严重，使得用户的个人信息包括通讯录、日程、位置信息、短信、照片和语音备忘录等个人隐私以及电子账户财产安全都存在严重的安全隐患。 可信计算相关技术是解决终端安全问题的一个有效手段，传统以TPM(可信平台模本文档来自技高网...

【技术保护点】
一种通用的外置式智能终端安全运行环境构建方法，其步骤为： 1）应用发布方为目标应用建立一应用安全策略包，其包括一ramdisk文件和一内核镜像；所述ramdisk文件为支持运行该目标应用的智能终端所采用的Android系统中的ramdisk文件，在该Android系统的内核部分设置一系统安全控制模块后对该Android系统进行编译生成所述内核镜像；所述系统安全控制模块包括一安全策略文件； 2）设置一可信执行模块TEM，将存储有该应用安全策略包的设备与该TEM数据连接，将该TEM与支持运行该目标应用的智能终端数据连接； 3）该TEM发送命令信息给该智能终端，使其从该TEM端下载该应用安全策略包，...

【技术特征摘要】
1.一种通用的外置式智能终端安全运行环境构建方法，其步骤为: 1)应用发布方为目标应用建立一应用安全策略包，其包括一ramdisk文件和一内核镜像；所述ramdisk文件为支持运行该目标应用的智能终端所采用的Android系统中的ramdisk文件,在该An droid系统的内核部分设置一系统安全控制模块后对该An droid系统进行编译生成所述内核镜像；所述系统安全控制模块包括一安全策略文件； 2)设置一可信执行模块TEM，将存储有该应用安全策略包的设备与该TEM数据连接，将该TEM与支持运行该目标应用的智能终端数据连接； 3)该TEM发送命令信息给该智能终端，使其从该TEM端下载该应用安全策略包，并在该智遗终纟而上启动Android系统； 4)该系统安全控制模块在内核态监控该Android系统运行过程中映射入内存的所有文件，对于每个文件，检查其是否属于该安全策略文件中的文件，如果是则该系统安全控制模块对本次映射操作予以放行，否则拒绝本次映射操作。2.如权利要求1所述的方法，其特征在于所述安全策略文件包括一组允许运行的文件信息。3.如权利要求2所述的方法，其特征在于所述安全策略文件包括一允许运行的应用程序APK包中dex文件的哈希值列表。4.如权利要求3所述的方法，其特征在于所述哈希列表的生成方法为:首先使用APK解包工具对允许运行的应用程序APK包进行解包得到dex文件；然后对dex文件做SHAl运算；然后将SHAl运算得到的HASH值以数组形式预置到该系统安全控制模块中。5.如权利要求3所述的方法，其特征在于该系统安全控制模块首先检查每个映射如内存的文件后缀名，如果为dex文件，则对其执行哈希操作，将操作结...

【专利技术属性】
技术研发人员：于爱民，陈路，杨文思，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11