访问控制的方法、装置和系统制造方法及图纸

本发明专利技术提供了一种访问控制的方法、装置和系统，属于虚拟化技术领域。所述方法包括：接收应用程序发送的访问TrustZone的访问请求，访问请求包括应用程序所在的虚拟机标识，应用程序的应用标识；根据预设的访问策略、虚拟机标识和应用标识，确定应用程序能够访问TrustZone；将访问请求发送至TrustZone的请求响应模块。本发明专利技术接收应用程序发送的访问TrustZone的访问请求；根据预设的访问策略、虚拟机标识和应用标识，确定应用程序能够访问TrustZone；将访问请求发送至TrustZone的请求响应模块，实现了针对不同虚拟机标识和不同应用标识的访问权限进行灵活控制。

【技术实现步骤摘要】
【国外来华专利技术】访问控制的方法、装置和系统
本专利技术涉及虚拟化
，尤其涉及访问控制的方法、装置和系统。
技术介绍
《中华人民共和国通信行业标准——移动终端可信环境技术要求(报批稿)》中规定，移动终端的可信环境是存在与移动终端内，通过混合使用硬件和软件的方法在SoC(SystemonChip，系统级芯片)上隔离出两个平行的执行环境：普通的非保密执行环境和安全的保密环境。其中，称非保密执行环境为富执行环境REE(RichExecutionEnvironment)，它执行移动终端操作系统；安全的保密环境被称为可信执行环境TEE(TrustedExecutionEnvironment)，它针对在REE环境中生成的软件攻击提供保护，其架构如图1所示。其中，一种在SoC上运行TEE的平台的架构为TrustZone。TrustZone是ARM针对消费电子设备安全所提出的一种架构，是整个系统设计过程中的安全体系的扩展，目标是防范设备可能遭受到的多种特定威胁，包括来自恶意软件或设备的持有人的威胁。在需要TrustZone提供保护的各场景中，访问控制是重要场景之一。以图1所示架构中的支付应用需要访问TrustZone，并在TrustZone中运行以实现支付应用的支付功能为例，应用程序生成访问TrustZone的访问请求，访问请求中包括支付应用的标识；TrustZone获得访问请求后，其请求响应模块根据访问请求中支付应用的标识，对该访问请求进行响应，以在支付功能实现过程中提供保护。随着虚拟化技术的发展，移动终端中虚拟化技术和可信环境技术进行了融合，产生如图2所示的架构，其中，Hypervisor，也叫虚拟机监视器，是一种运行在物理服务器和操作系统之间的中间软件层，可允许多个虚拟机和应用共享一套基础物理硬件，它可以协调访问服务器上的所有物理设备和虚拟机，是所有虚拟化技术的核心。对于图2所示的架构，任一虚拟机均能够以发送访问请求的方式访问TrustZone，实现功能，即每个虚拟机的访问TrustZone的权限均相同。然而，随着虚拟机的增多，不同虚拟机的需要不同的访问权限，以对虚拟机的访问进行灵活的控制。
技术实现思路
为解决对虚拟机的访问进行灵活控制的问题，本专利技术实施例提出了一种访问控制的方法、装置和系统。第一方面，本专利技术实施例提供了一种访问控制的方法，所述方法包括：接收应用程序发送的访问TrustZone的访问请求，所述访问请求包括所述应用程序所在的虚拟机标识，所述应用程序的应用标识；根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone；将所述访问请求发送至所述TrustZone的请求响应模块。可选地，若确定所述应用程序不能访问所述TrustZone，则向所述应用程序反馈不能访问所述TrustZone的第一消息。可选地，所述根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone，包括：虚拟机监视器Hypervisor根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用能够访问所述TrustZone。可选地，在所述Hypervisor确定所述应用能够访问所述TrustZone之后，在将所述访问请求发送至所述TrustZone的请求响应模块之前，还包括：所述Hypervisor获取用户信息，并对所述用户信息第一验证通过；所述用户信息为使用所述应用程序的用户的信息。可选地，当第一验证不通过时，所述Hypervisor向所述应用程序反馈不能访问所述TrustZone的第二消息。可选地，所述Hypervisor获取用户信息，包括：所述Hypervisor调用第一用户信息采集设备获取用户信息；所述第一用户信息采集设备被所述方法所在终端中各模块调用。可选地，所述访问请求还包括用户信息；所述Hypervisor获取用户信息，包括：所述Hypervisor获取所述访问请求中的用户信息。可选地，所述根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone，包括：所述TrustZone的验证模块根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用能够访问所述TrustZone。可选地，在所述验证模块确定所述应用能够访问所述TrustZone之后，在将所述访问请求发送至所述TrustZone的请求响应模块之前，还包括：所述验证模块获取用户信息，并对所述用户信息第二验证通过。可选地，当第二验证不通过时，所述验证模块向所述应用程序反馈不能访问所述TrustZone的第三消息。可选地，所述验证模块获取用户信息，包括：所述验证模块调用第二用户信息采集设备获取用户信息；所述第二用户信息采集设备被所述TrustZone中各模块调用。可选地，所述访问请求还包括用户信息；所述验证模块获取用户信息，包括：所述验证模块获取所述访问请求中的用户信息。可选地，所述根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone，包括：所述Hypervisor根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用能够访问所述TrustZone。可选地，在所述Hypervisor确定所述应用能够访问所述TrustZone之后，在将所述访问请求发送至所述TrustZone的请求响应模块之前，还包括：所述验证模块根据预设的第二访问策略、所述虚拟机标识和所述应用标识，确定所述应用能够访问所述TrustZone。可选地，在所述验证模块确定所述应用能够访问所述TrustZone之后，在将所述访问请求发送至所述TrustZone的请求响应模块之前，还包括：所述验证模块获取用户信息，并对所述用户信息第三验证通过。可选地，当第三验证不通过时，所述验证模块向所述应用程序反馈不能访问所述TrustZone的第四消息。可选地，所述验证模块获取用户信息，包括：所述验证模块调用所述第二用户信息采集设备获取用户信息。可选地，所述访问请求还包括用户信息；所述验证模块获取用户信息，包括：所述验证模块获取所述访问请求中的用户信息。第二方面，本专利技术实施例提供了一种访问控制的装置，所述装置包括：接收子模块，用于接收应用程序发送的访问TrustZone的访问请求，所述访问请求包括所述应用程序所在的虚拟机标识，所述应用程序的应用标识；第一确定子模块，用于根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone；发送子模块，用于将所述接收子模块接收的访问请求发送至所述TrustZone的请求响应模块。可选地，所述装置还包括：第一反馈子模块，用于当确定所述应用程序不能访问所述TrustZone时，向所述应用程序反馈不能访问所述TrustZone的第一消息。可选地，所述第一确定子模块位于虚拟机监视器Hypervisor中，用于根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用能够访问所述TrustZone。可选地，所述装置，还包括：第一获取子模块，所述第一获取子模块位于所述Hypervisor中，用于获取用户信息；第一验证子模块，所述第一验证子模块位于所述本文档来自技高网...

【技术保护点】
一种访问控制的方法，其特征在于，所述方法包括：接收应用程序发送的访问TrustZone的访问请求，所述访问请求包括所述应用程序所在的虚拟机标识，所述应用程序的应用标识；根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone；将所述访问请求发送至所述TrustZone的请求响应模块。

【技术特征摘要】
【国外来华专利技术】1.一种访问控制的方法，其特征在于，所述方法包括：接收应用程序发送的访问TrustZone的访问请求，所述访问请求包括所述应用程序所在的虚拟机标识，所述应用程序的应用标识；根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone；将所述访问请求发送至所述TrustZone的请求响应模块。2.根据权利要求1所述的方法，其特征在于，若确定所述应用程序不能访问所述TrustZone，则向所述应用程序反馈不能访问所述TrustZone的第一消息。3.根据权利要求2所述的方法，其特征在于，所述根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone，包括：虚拟机监视器Hypervisor根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用能够访问所述TrustZone。4.根据权利要求3所述的方法，其特征在于，在所述Hypervisor确定所述应用能够访问所述TrustZone之后，在将所述访问请求发送至所述TrustZone的请求响应模块之前，还包括：所述Hypervisor获取用户信息，并对所述用户信息第一验证通过；所述用户信息为使用所述应用程序的用户的信息。5.根据权利要求4所述的方法，其特征在于，当第一验证不通过时，所述Hypervisor向所述应用程序反馈不能访问所述TrustZone的第二消息。6.根据权利要求4所述的方法，其特征在于，所述Hypervisor获取用户信息，包括：所述Hypervisor调用第一用户信息采集设备获取用户信息；所述第一用户信息采集设备被所述方法所在终端中各模块调用。7.根据权利要求4所述的方法，其特征在于，所述访问请求还包括用户信息；所述Hypervisor获取用户信息，包括：所述Hypervisor获取所述访问请求中的用户信息。8.根据权利要求2所述的方法，其特征在于，所述根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone，包括：所述TrustZone的验证模块根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用能够访问所述TrustZone。9.根据权利要求8所述的方法，其特征在于，在所述验证模块确定所述应用能够访问所述TrustZone之后，在将所述访问请求发送至所述TrustZone的请求响应模块之前，还包括：所述验证模块获取用户信息，并对所述用户信息第二验证通过。10.根据权利要求9所述的方法，其特征在于，当第二验证不通过时，所述验证模块向所述应用程序反馈不能访问所述TrustZone的第三消息。11.根据权利要求9所述的方法，其特征在于，所述验证模块获取用户信息，包括：所述验证模块调用第二用户信息采集设备获取用户信息；所述第二用户信息采集设备被所述TrustZone中各模块调用。12.根据权利要求9所述的方法，其特征在于，所述访问请求还包括用户信息；所述验证模块获取用户信息，包括：所述验证模块获取所述访问请求中的用户信息。13.根据权利要求2所述的方法，其特征在于，所述根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone，包括：所述Hypervisor根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用能够访问所述TrustZone。14.根据权利要求13所述的方法，其特征在于，在所述Hypervisor确定所述应用能够访问所述TrustZone之后，在将所述访问请求发送至所述TrustZone的请求响应模块之前，还包括：所述验证模块根据预设的第二访问策略、所述虚拟机标识和所述应用标识，确定所述应用能够访问所述TrustZone。15.根据权利要求14所述的方法，其特征在于，在所述验证模块确定所述应用能够访问所述TrustZone之后，在将所述访问请求发送至所述TrustZone的请求响应模块之前，还包括：所述验证模块获取用户信息，并对所述用户信息第三验证通过。16.根据权利要求15所述的方法，其特征在于，当第三验证不通过时，所述验证模块向所述应用程序反馈不能访问所述TrustZone的第四消息。17.根据权利要求15所述的方法，其特征在于，所述验证模块获取用户信息，包括：所述验证模块调用所述第二用户信息采集设备获取用户信息。18.根据权利要求15所述的方法，其特征在于，所述访问请求还包括用户信息；所述验证模块获取用户信息，包括：所述验证模块获取所述访问请求中的用户信息。19.一种访问控制的装置，其特征在于，所述装置包括：接收子模块，用于接收应用程序发送的访问TrustZone的访问请求，所述访问请求包括所述应用程序所在的虚拟机标识，所述应用程序的应用标识；第一确定子模块，用于根据预设的第一访问策略、所述虚拟机标识和所述应用标识，确定所述应用程序能够访问所述TrustZone；发送子模块，用于将所述接收子模块接收的访问请求发送至所述TrustZone的请求响应模块。20.根据权利要求19所述的装置，其特征在于，所述装置还包括：第一反馈子模块，用于当确定所述应用程序不能访问所述TrustZone时，向所述应用程序反馈不能访问所述TrustZone的第一消息。21.根据权利要求20所述的装置，其特征在于，所述第一确定子模块位于虚拟机监视器Hypervisor中，用于根据预设的第一访...

【专利技术属性】
技术研发人员：王永辉，
申请(专利权)人：深圳前海达闼云端智能科技有限公司，
类型：发明
国别省市：广东,44