安全认证并切换至加密域制造技术

一种用于在实施多个安全域的操作系统中切换至需要认证的加密域的设备和方法。提供与加密域和当前域不同的中间域。一旦接收到切换至加密域的请求，系统就切换至中间域。在中间域中显示针对对加密域的访问的认证质询。接收认证信息被用于解密用于提供对加密文件系统的访问的文件系统密钥。然后，安装加密文件系统，并且启动加密域。

【技术实现步骤摘要】
【国外来华专利技术】
本公开一般来说涉及移动设备安全性。更具体地，本公开涉及用于移动设备的安全域管理。
技术介绍
在诸如基于AndroidTM、LinuxTM或任何基于UnixTM的操作系统(例如，如iPhoneTM)的智能手机、平板电脑和移动互联网设备之类的移动设备上需要多个隔离的域，其中驻留在域中的应用程序和数据与可能由驻留在域外、在网站上、或在同一设备上的其他域中的应用程序产生的安全威胁隔离。这多个安全域通常会被单个用户、设备所有者使用以解决与不同的移动设备使用情况关联的变化的访问容易性、私密性和安全性需求。例如，对于移动银行应用和数据，与游戏应用相比，设备所有者可能具有不同的访问容易性、私密性和安全性要求，或者设备所有者可能希望与家人或朋友临时共享他们设备上的某些应用程序而不共享诸如个人邮件、联系人和文本消息之类的其他应用程序和数据。此外，存在不同的域由不同的实体(诸如设备所有者或诸如机构或公司的外部团体)管理的需求，其中每个实体可能对访问和使用他们所管理的域中的应用程序和数据有不同的安全性要求。例如，对于在每个域内允许的各个应用程序，以及应用程序可以在一域内执行需依据的条件(每一种条件都可能需要由对域进行管理的实体针对每个域可唯一配置)，各个域之间的要求可能不同。还存在支持依赖于域中包含的应用程序和数据的类型的、进入不同域所需要的不同用户认证机制、不同重认证时间帧(或者，可选的不要认证)的需求(例如，设备所有者可能不希望输入密码来玩游戏或者访问GoogleTM地图，但他们可能希望具有强有力的认证来访问移动银行应用)。移动设备安全性和域隔离的技术的当前状态已经使用了传统个人计算机(PC)和服务器计算安全技术，诸如用户账户、管理程序/虚拟化、应用程序包装和反病毒扫描。然而，移动设备的典型使用实质上与这些传统环境不同。本质上，移动设备是移动的，并且通常与设备所有者一起移动。它们联网，总是开启，并且需要对短周期任务的快速访问。它们以实质上与传统工作站和主机共享不同的方式共享。功耗也是移动设备
的关键，这是耗电的病毒扫描和虚拟化技术还没有在移动设备上得到广泛使用的一个原因。一个传统的域隔离方法是在设备上创建独立的用户账户，凭借该账户，每个用户必须登录到已为该用户配置的账户。依赖于操作系统(OS)，这可以强迫另一个用户被注销。这个方法支持单个设备上的多个用户，并且隔开或隔离每个用户的应用程序数据。全部用户利用相同的操作系统，并且全部用户具有相同的用户界面特征。安装的应用程序可由全部用户访问，这是存储器和中央处理单元(CPU)资源的有效使用。这还允许用户将他们的账户配置有他们希望的外观和感觉。虽然用户账户提供数据隔离以及在不同用户账户间使用相同应用程序和OS的功效，但是这个方法有以下局限性。其提供对设备全有或全无的访问，而没有临时访问的灵活性。“来宾”用户账户可以被建立为具有有限访问，但是这不利于与移动设备(例如，与家人或朋友)进行普通的自发共享。用户账户在被认为是个人设备的移动设备上通常不可用。用户仍旧必须在每个用户账户之间切换，这不反映人们希望使用他们的移动设备的方式。在切换用户账户时，用户必须登录，这使这个方法更不方便，因为在具有多个用户账户的第一用户和第二用户之间不存在隐含关系。通常不存在使得在切换域时不总是需要登录的不活动定时器或类似的机制。用户(账户)之间的隔离处于用户空间，或者处于应用程序级，并且由OS实施。具有管理员或root访问的任一个或任意软件，包括恶意软件，都可以访问全部用户的数据。一些系统确实使一些用户数据能够加密以有助于缓解这个攻击，但是通常用户数据仍然十分脆弱，并且任意内核级利用或处理都可以修改应用程序、进程、拦截数据并访问其所期望的任意文件/对象。此外，在大型计算机时代开发并类似地扩展到台式机的传统用户账户，不能在诸如智能手机的真正个人设备上很好地工作。移动设备以与大型机或台式机不同的方式共享。设备所有者和用户越来越希望具有传统屏锁或者对移动设备的“全有或全无”的访问控制机制的替代。例如，设备所有者希望具有被频繁访问且在不需要用户认证的域中不包含敏感信息的应用程序；这与对个人受保护域或工作受保护域的需求不同。在这些应用程序和数据的安全性不被用户认为很重要(例如，天气或导航)时，这种开放的、共享的或公共域的主要目的是易于使用和快速访问。就这一点来说，用户不想在每次访问这种开放域时都输入密码或PIN。此外，这种开放域可以包括可能比用户或域所有者在他们的受保护域中可以允许的那些应用程序更不可靠的应用程序。例如，安卓(Android)上的许多应用程序被人熟知的是访问联系人数据库。最后，虽然在安装时间期间这种权限必须被授予以实现应用程序的安装，但是许多用户不会严密
检查和理解授予这种权限的含义。现在结合图1A至图1D描述其他传统的域隔离方法。本领域众所周知，且如图1A所示，诸如实施操作系统的移动设备之类的计算设备可以被理解为包括：硬件、包括内核和中间件的操作系统以及应用程序空间(或用户空间)。内核管理并提供输入/输出(I/O)服务至软件应用程序供其访问硬件，并且中间件向软件应用程序提供除内核提供的那些之外的服务。图1B和图1C中示出的一个传统域隔离方法采用基于管理程序的虚拟化或虚拟机。使用虚拟机，操作系统一定程度地被复制以提供不同的隔离的域。依赖于管理程序，存在不同类型的虚拟机。图1B示出的类型1(或裸机)管理程序直接在设备CPU(“裸机”)上运行，并通过针对每个域支持完整且独立的操作系统的去特权实例来提供域隔离。隔离只依赖于管理程序。图1C中示出的类型2管理程序是另一种虚拟化方法，其中第二来宾OS在主机OS上运行。还存在其他混合操作系统级虚拟化方法。基于管理程序的虚拟化提供域之间的隔离，但有以下局限性。OS和应用程序的复制意味着在设备存储器、CPU和功耗方面存在显著的设备开销。管理程序方案的高资源需求使得多个域的支持不切实际。虽然在被管理程序支持的情况下一些交叉域数据共享通过专门消息传送服务进行，但数据、应用程序共享和进程间通信(IPC)通常是不可能的。每个OS被暴露于可以破坏域之间的隔离的内核层恶意软件。用户必须在域之间来回切换(例如，从个人应用切换至工作应用)，这不反映人们希望使用他们的移动设备的方式。将类型1或类型2管理程序整合到移动设备上的时间和开销非常高，使得这种方法对低成本移动设备来说不可行。在域之间切换的性能影响很高。最后，不管这些方案支持什么，用户账户和用户认证都是被每个OS提供，这是传统的全有或全无的访问。图1D中示出的用于移动设备上的域隔离的第三传统方法涉及应用程序级的容器化。在这种情况下，应用程序容器(或域)共享相同的硬件和OS，但是使用容器化或包装技术作为容器中的应用程序与OS之间的代理。这通过提供间接层来创建多个独立的域，以使较低级设备资源、存储器和文件系统可以被透明地映射为应当只被容器或域中的应用程序访问的较高级资源。在移动设备资源的消耗方面，容器化是相对有效的，特别是与虚拟化相比，因为虽然应用程序通常在容器内和容器外被复制(例如，可以被用于容器内的工作和容器外的个人使用的电子邮件应用)，但只存在一个版本的OS。作为应用程序级方案本文档来自技高网...

【技术保护点】
在包括处理器和存储指令的存储器的设备中，其中所述指令由所述处理器可执行以实施提供包括当前域和目标域的多个域的操作系统，其中所述目标域被至少部分地存储在加密文件系统中，其中对所述目标域的访问需要认证和对所述加密文件系统的访问，一种从所述当前域切换至所述目标域的方法，所述方法包括：提供与所述当前域和所述目标域不同的中间域；接收切换至所述目标域的请求；确定所述目标域未在运行，至少部分存储在所述加密文件系统中并且需要访问认证；切换至所述中间域；在所述中间域中显示针对对所述目标域的访问的认证质询；接收响应于所述认证质询的认证信息；基于所述认证信息解密用于提供对所述加密文件系统的访问的文件系统密钥；基于所述文件系统密钥提供对所述加密文件系统的访问，并且安装所述加密文件系统；以及启动所述目标域。

【技术特征摘要】
【国外来华专利技术】2013.08.12 US 61/864,899;2014.07.18 US 62/026,2721.在包括处理器和存储指令的存储器的设备中，其中所述指令由所述处理器可执行以实施提供包括当前域和目标域的多个域的操作系统，其中所述目标域被至少部分地存储在加密文件系统中，其中对所述目标域的访问需要认证和对所述加密文件系统的访问，一种从所述当前域切换至所述目标域的方法，所述方法包括：提供与所述当前域和所述目标域不同的中间域；接收切换至所述目标域的请求；确定所述目标域未在运行，至少部分存储在所述加密文件系统中并且需要访问认证；切换至所述中间域；在所述中间域中显示针对对所述目标域的访问的认证质询；接收响应于所述认证质询的认证信息；基于所述认证信息解密用于提供对所述加密文件系统的访问的文件系统密钥；基于所述文件系统密钥提供对所述加密文件系统的访问，并且安装所述加密文件系统；以及启动所述目标域。2.根据权利要求1所述的方法，其中在没有与所述目标域关联的进程在运行时，所述目标域未在运行。3.根据权利要求1所述的方法，其中与所述目标域关联的至少一些用户界面元素被存储在与所述加密文件系统不同的文件系统中，所述方法进一步包括与所述认证质询一起显示所述用户界面元素。4.根据权利要求1所述的方法，进一步包括与所述认证质询一起显示标识所述目标域的视觉元素。5.根据权利要求4所述的方法，其中所述视觉元素是壁纸。6.根据权利要求1所述的方法，其中与所述目标域关联的输入法编辑器被存储在与所述加密文件系统不同的文件系统中，并且其中接收响应于所述认证质询的认证信息包括：通过所述输入法编辑器接收所述认证信息。7.根据权利要求1所述的方法，其中与所述目标域关联的输入法编辑器被存储在所述加密文件系统中，所述方法进一步包括：在接收所述认证信息之前，接收输入法编辑器的选择，其中接收响应于所述认证质询的认证信息包括：通过所述输入法编辑器接收所述认证信息。8.根据权利要求1所述的方法，其中所述操作系统包括Linux内核，并且其中基于所述文件系统密钥提供对所述加密文件系统的访问包括：将所述文件系统密钥存储在内核密钥环中。9.根据权利要求1所述的方法，其中所述加密文件系统是密码堆叠文件系统。10.根据权利要求1所述的方法，其中所述加密文件系统是eCryptFS文件系统。11.根据权利要求1所述的方法，其中附加的块级数据加密被应用于所述加密文件系统。12.根据权利要求1所述的方法，其中附加的设备级数据加密被应用于所述加密文件系统。13.根据权利要求1所述的方法，进一步包括：在安装所述加密文件系统之后摒弃与所述目标域关联的锁屏。14.根据权利要求1所述的方法，其中所述中间域被配置为允许只启动来自应用程序或服务的预定组的进程。15.根据权利要求1所述的方法，其中所述中间域的策略被配置为允许只启动应用程序或服务的预定组。16.根据权利要求15所述的方法，其中所述操作系统是SEAndroid操作系统，...

【专利技术属性】
技术研发人员：詹姆士·亨利·阿兰·普德雷尔，詹姆斯·亚历山大·缪尔，亚历山大·詹姆斯·迈因，
申请(专利权)人：哥莱菲特软件公司，
类型：发明
国别省市：加拿大;CA