CN109241783B - 移动终端管控策略的实施方法及装置 - Google Patents
移动终端管控策略的实施方法及装置 Download PDFInfo
- Publication number
- CN109241783B CN109241783B CN201810924747.4A CN201810924747A CN109241783B CN 109241783 B CN109241783 B CN 109241783B CN 201810924747 A CN201810924747 A CN 201810924747A CN 109241783 B CN109241783 B CN 109241783B
- Authority
- CN
- China
- Prior art keywords
- management
- control
- control strategy
- mobile terminal
- abstract
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
本发明实施例提供一种移动终端管控策略的实施方法及装置,该方法包括:在可信执行环境下,计算当前获取的第一管控策略的摘要,若该摘要与第一目标摘要不一致,则获取预先存储并设置为只读的第二管控策略;在可信执行环境下,根据第二管控策略,修改管控对象对应的内存数据。由于第二管控策略是在可信执行环境下通过修改管控对象对应的内存实数据施的,从而使普通环境中的攻击者无法直接干预而导致管控失效,且第二管控策略是只读的,从而根本上保证了第二管控策略的完整和不被篡改。另外,由于移动终端根据第二管控策略实施管控,从而无需锁死移动终端,且不需要管控平台的参与,进而实现了对移动终端进行安全有效的管控。
Description
技术领域
本发明涉及移动通信领域,特别是涉及一种移动终端管控策略的实施方法及装置。
背景技术
随着移动互联网高速发展,政务等敏感业务有着显著的移动化的发展趋势。高安全等级的移动终端作为敏感业务的基础支撑,对提升高安全需求行业的工作效率、保障移动互联网信息安全具有重要意义。然而,通过移动终端引发的敏感业务的信息泄露事件屡见不鲜,对移动终端外设管控不力是引起这类事件的重要原因之一。因此,如何保证对移动终端进行有效的管控是移动终端在高安全领域的关键问题之一。
对于移动终端的管控多采用自管控方式,通过移动终端自身存储管控策略来实现。为防止管控策略在存储过程中被篡改、替换、破坏及污染,移动终端会在实施管控策略以前,对该管控策略进行完整性验证。具体而言,移动终端计算管控策略的摘要,与预存时生成的摘要进行对比。若二者一致,则证明移动终端当前存储的管控策略与预存时一致。若二者不一致,则终端无法实施相应的管控策略,移动终端进入失控状态。目前,解决此问题的主要方法为在预存管控策略完整性验证失败时,移动终端告知管控平台重新下发正确管控策略。
由于预存管控策略被篡改或删除,说明普通环境已被入侵,从而导致再次接收到的新的管控策略仍存在被篡改或删除的可能。因此,目前的移动终端管控策略的实施方法在管控策略受到篡改或破坏时无法实现移动终端安全有效的管控。
发明内容
为了解决上述问题,本发明实施例提供一种移动终端管控策略的实施方法及装置。
第一方面,本发明提供一种移动终端管控策略的实施方法,包括:在可信执行环境下,计算当前获取的第一管控策略的摘要,若当前获取的第一管控策略的摘要与第一目标摘要不一致,则获取预先存储并设置为只读的第二管控策略;在可信执行环境下,根据所述第二管控策略,修改管控对象对应的内存数据。
第二方面,本发明提供一种移动终端管控策略的实施装置,包括:获取模块,用于在可信执行环境下,计算当前获取的第一管控策略的摘要,若当前获取的第一管控策略的摘要与第一目标摘要不一致,则获取预先存储并设置为只读的第二管控策略;处理模块,用于在可信执行环境下,根据所述第二管控策略,修改管控对象对应的内存数据。
第三方面,本发明提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现本发明第一方面移动终端管控策略的实施方法的步骤。
第四方面,本发明提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本发明第一方面移动终端管控策略的实施方法的步骤。
本发明实施例提供的移动终端管控策略的实施方法,在可信执行环境下,根据获取的预先存储并设为只读的第二管控策略,通过修改管控对象对应的内存数据,实现第二管控策略的实施。由于第二管控策略是在可信执行环境下通过修改管控对象对应的内存实数据施的,从而使普通环境中的攻击者无法直接干预而导致管控失效,且第二管控策略是只读的,从而根本上保证了第二管控策略的完整和不被篡改。另外,由于移动终端根据第二管控策略实施管控,从而无需锁死移动终端,且不需要管控平台的参与,进而实现了对移动终端进行安全有效的管控。
附图说明
图1为本发明实施例提供的移动终端管控策略的实施方法流程图;
图2为本发明实施例提供的移动终端管控策略的实施装置结构图;
图3为本发明实施例提供的移动终端结构图;
图4为本发明实施例提供的硬件模组结构图;
图5为本发明另一实施例提供的移动终端管控策略的实施方法流程图;
图6为本发明另一实施例提供的移动终端管控策略的实施方法信令交互图;
图7为本发明又一实施例提供的移动终端管控策略的实施方法流程图;
图8为本发明实施例提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现代智能移动终端普遍具备了多元化信息感知(如,摄像头、运动传感器、音频传感器等)和数据传输(如,蓝牙、Wifi、4G等)能力。这些能力易被攻击者利用,从而造成敏感信息外泄。例如,攻击者可以直接使用移动终端的麦克风获取敏感会议的录音,并通过移动网络、无线网络以及蓝牙发送至外部终端。即便麦克风权限被禁用,陀螺仪、气压计等获取的数据也可被用于还原声音信息。因此,如何保证对移动终端进行有效的管控是移动终端在高安全领域的关键问题之一。
目前,对于移动终端的管控采用自管控方式或实时交互管控方式。在移动终端的自管控方式中,移动终端存储有管控策略,并会在实施管控策略以前,对该管控策略进行完整性验证。若由于攻击者的篡改导致完整性验证失败,则终端无法实施相应的管控策略,移动终端进入失控状态。移动终端的实时交互管控方式,依赖于云端的管控平台实施远程策略验证与管控策略实施。但是,某些敏感场景无法保证二者间的通信链接,如某些敏感场景要求移动终端禁用无线网卡与蜂窝网络网卡。另外,频繁的远程交互将增大管控攻击面,并增加终端系统开销。因此,目前的移动终端管控策略的实施无法实现移动终端安全有效的管控。
为解决上述问题,本发明实施例提供一种移动终端管控策略的实施方法。该方法可以用于实施移动终端管控策略的场景,也可以用于其他通过无线信号传输信息的设备实施管控策略的场景,如无人机管控策略实施,本发明实施例对此不作具体限定。结合不同的使用场景,该方法可以由不同的设备执行,本发明实施例对此也不作具体限定。在移动终端管控策略实施场景中,本发明实施例的执行主体以移动终端示例,本发明实施例中的移动终端包括智能手机、平板电脑、机顶盒及智能电视等。
图1为本发明实施例提供的移动终端管控策略的实施方法流程图,如图1所示,本发明实施例提供一种移动终端管控策略的实施方法,包括:
101,在可信执行环境下,计算当前获取的第一管控策略的摘要,若当前获取的第一管控策略的摘要与第一目标摘要不一致,则获取预先存储并设置为只读的第二管控策略。
在执行101之前,需要说明的是,还包括如下过程:
移动终端在自管控方式下,预存有第一管控策略,并根据第一管控策略计算并存储第一目标摘要。移动终端在交互式管控方式下,会接收管控平台下发的第一管控策略和第一管控策略对应的用于验证第一管控策略的第一目标摘要。管控策略的摘要用于对应管控策略的唯一性,第一管控策略用于移动终端在普通环境(Rich Execution Environment,简称REE)下对管控对象进行管控。可信执行环境(Trusted Execution Environment,简称TEE)是移动终端主处理器上的一个安全区域,相对于普通环境,其可以保证加载到该环境内部的代码和数据的安全性、机密性以及完整性。
当移动终端需要执行管控策略时,若为移动终端自管控的方式,移动终端从数据库中提取出当前存储的第一管控策略,在可信执行环境下计算当前存储的第一管控策略的摘要与预存时所保存的第一目标摘要比对。若为交互式管控方式,移动终端接收管控平台下发的第一管控策略并存储,在实施第一管控策略之前计算存储的第一管控策略的摘要,并与管控平台下发的第一目标摘要对比。本发明实施例不对移动终端需要执行管控策略时的场景作具体限定,包括但不限于移动终端根据收到的触发信息触发或移动终端根据时间周期性的触发。
在101中,移动终端自管控方式下,当前获取的第一管控策略为移动终端从数据库中提取出的当前存储的第一管控策略,第一目标摘要为预存时的根据第一管控策略计算得出的摘要。交互式管控方式下,当前获取的第一管控策略为移动终端从管控平台接收的第一管控策略,第一目标摘要为管控平台同时下发的该第一管控策略对应的用于验证的摘要。在上述场景下,第一目标摘要均对应着未被篡改和破坏的正确完整的第一管控策略。由于移动终端的第一管控策略受到攻击而被篡改或遭到破坏,从而移动终端检测到当前获取的第一管控策略的摘要与第一目标摘要不一致。其中,管控策略与其相应的摘要信息一一对应,管理策略的任何变动都会导致相应摘要信息发生改变。因此,摘要信息可作为相应管控策略的唯一标识。
移动终端在可信执行环境下获取预先存储的第二管控策略。可信执行环境提供了一个隔离的执行环境,使第二管控策略的实施能够实现完整性、机密性和安全存储等。第二管控策略是一种高安全等级的管控策略,定义了移动终端在第一管控策略失效的情况下应执行的管控规则的集合。第二管控策略设置为只读,从而无法通过网络攻击实现篡改。第二管控策略可在硬件制造过程中被写入只读的第二管控策略存储模块中,之后无法以任何方式擦除和篡改,硬件层面确保了第二管控策略存储的完整性。
第二管控策略作为更高安全等级的管控策略,与一般管控策略相比,对移动终端外设的管控更为严格,如可通过关闭相应的外设实现管控。实施第二管控策略的移动终端在任何敏感区域内都难以造成敏感信息外泄。在关闭部分移动终端外设的同时,第二管控策略为移动终端保留了一定的可用性,为在线恢复管控对象的功能、还原失效的第一管控策略创造了条件。
102,在可信执行环境下,根据第二管控策略,修改管控对象对应的内存数据。
在102中,第二管控策略中包含有管控规则,管控对象包括需要实行管控的终端外设,包括但不限于GPS模块、摄像头、麦克风,蓝牙模块以及无线网卡等外设。本发明实施例不对第二管控策略中的管控规则的内容作具体限定,包括但不限于:限制或关闭GPS模块,关闭摄像头,关闭麦克风以及关闭无线网卡等终端模块等。管控对象对应的内存数据包括根据第二管控策略修改管控对象时,需要获取并修改的内存数据。在可信执行环境下,移动终端根据第二管控策略中预设的管控规则,获取修改管控对象的管控状态所需数据对应的内存地址。根据获取到的内存地址,读取对应内存的数据。移动终端对读取到的内存数据进行分析,并根据第二管控策略中预设的管控规则生成修改后的内存数据。将修改后的内存数据替换管控对象对应的原有内存数据,从而达到将管控对象的管控状态修改为和第二管控策略中的管控规则一致。
本实施例提供的移动终端管控策略的实施方法,在可信执行环境下,根据获取的预先存储并设为只读的第二管控策略,通过修改管控对象对应的内存数据,实现第二管控策略的实施。由于第二管控策略是在可信执行环境下通过修改管控对象对应的内存实数据施的,从而使普通环境中的攻击者无法直接干预而导致管控失效,且第二管控策略是只读的,从而根本上保证了第二管控策略的完整和不被篡改。另外,由于移动终端根据第二管控策略实施管控,从而无需锁死移动终端,且不需要管控平台的参与,进而实现了对移动终端进行安全有效的管控。
考虑到实施第二管控策略的移动终端离开敏感区域后,管控对象的管控状态并不能随之完全解除。只有失效的第一管控策略还原后,实施的第二管控策略才能完全解除。因此,当移动终端离开敏感区域后,需执行第一管控策略的恢复与第二管控策略的解除。基于上述实施例的内容,作为一种可选实施例,在可信执行环境下,根据第二管控策略,修改管控对象对应的内存数据之后,还包括:
若检测到通过网络接收并储存的第一管控策略的摘要,与通过网络接收的第二目标摘要一致,则将管控对象恢复到可用状态,并将通过网络接收并存储的第一管控策略作为当前的管控策略。
移动终端离开敏感区域后,之前已验证本地存储的第一管控策略已被篡改或破坏。因此,移动终端需通过网络接收正确的第一管控策略,本发明实施例不对通过网络接收正常的第一管控策略的方法作具体限定,包括但不限于通过设置的管控平台接收。由于执行第二管控策略后可能存在网络外设作为管控对象被关闭或其驱动被卸载,因此需要恢复能够接收新的第一管控策略的网络连接。本发明实施例不对恢复能够接收新的第一管控策略的网络连接的方法作具体限定,包括但不限于:移动终端周期性恢复网络连接,通过网络接收新的第一管控策略。
移动终端与管控平台建立连接后,管控平台将下发正确的第一管控策略和与该管控策略对应的第二目标摘要。第二目标摘要作为对应管控策略的唯一性标识,由管控平台根据第一管控策略计算得出,用于移动终端接收新的第一管控策略后对其完整性和正确性进行校验。移动终端将通过网络接收到的第一管控策略进行存储,在可信执行环境下读取内存中通过网络接收到的第一管控策略,并验证其摘要和第二目标摘要是否一致。若一致,则管控策略已处于可信状态,应撤销第二管控策略对管控对象的修改。移动终端恢复第二管控策略下管控对象的功能,即将其恢复到可用状态,并将内存中通过网络接收到的第一管控策略作为当前管控策略。
本实施例提供的移动终端管控策略的实施方法,根据检测到通过网络接收并储存的第一管控策略的摘要,与通过网络接收的第二目标摘要一致时,将管控对象恢复到可用状态,并将通过网络接收并存储的第一管控策略作为当前的管控策略。使移动终端在离开易受攻击区域后,所有外设都能够及时恢复到正常使用的状态,并使第一管控策略恢复正常。
考虑到在一些对安全等级要求较高的敏感区域,如商业秘密会议等场所,需要持续关闭网络连接,在实施第二管控策略后无法决定何时从网络中获取新的第一管控策略。基于上述实施例的内容,作为一种可选实施例,在可信执行环境下,计算当前获取的第一管控策略的摘要之前,还包括:接收管控使能信息;相应地,若检测到通过网络接收并存储的第一管控策略的摘要,与通过网络接收的第二目标摘要一致之前,还包括:若在预设时长后未收到管控使能信息,则通过网络接收第一管控策略。
在本实施例中,该敏感区域设置有用于触发管控策略实施的管控信标。当移动终端进入该敏感区域后,收到管控信标发送的管控使能信息。移动终端计算当前获取的第一管控策略的摘要,由于移动终端的第一管控策略受到攻击而被篡改或遭到破坏,从而该摘要与第一目标摘要不一致。因此,移动终端实施第二管控策略,根据第二管控策略中的管控规则,将相关管控对象的状态修改。
当移动终端离开该敏感区域后,可以恢复网络连接并将移动终端相关的管控对象恢复到可用状态。本发明实施例不对触发移动终端恢复网络连接的方法作具体限定,包括但不限于:若移动终端在预设时长后仍未收到管控信标发送的管控使能信息,则恢复网络连接。移动终端恢复网络连接后,通过网络接收正确的第一管控策略和该管控策略对应的第二目标摘要并存储。在可信执行环境下,移动终端读取内存中通过网络接收到的第一管控策略,并验证其摘要和第二目标摘要是否一致。若二者一致,则管控策略处于可信状态,应撤销第二管控策略对管控对象的修改。将管控对象恢复到可用状态,并将通过网络接收并存储的第一管控策略作为当前的管控策略。
本实施例提供的移动终端管控策略的实施方法,通过移动终端接收管控使能信息触发实施管控策略,通过预设时长后未收到管控使能信恢复管控对象的功能。从而能够实现对移动终端及时的管控,和及时的恢复正常功能,进而能够对移动终端实现安全有效的管控。
考虑到当移动终端离开敏感区域后,需解除管控;移动终端连接到管控平台进行管控策略恢复时,也需要部分解除管控。为了能够快速地解除管控,基于上述实施例的内容,作为一种可选实施例,根据第二管控策略修改管控对象的管控状态之前,还包括:获取管控对象对应的内存数据并存储;相应地,将管控对象恢复到可用状态,包括:根据存储的管控对象对应的内存数据将管控对象恢复到可用状态。
管控对象对应的内存数据包括管控对象当前正常运行时的数据。在根据第二管控策略的管控规则修改管控对象的管控状态之前,将管控对象当前正常运行时的数据进行存储。本发明实施例不对管控对象正常运行时的数据做具体限定,包括但不限于管控对象相应的驱动、功能函数及相关参数的内存数据。
若检测到通过网络接收并存储的第一管控策略的摘要,与通过网络接收的第二目标摘要一致,则管控策略处于可信状态,应撤销第二管控策略对管控对象的修改。通过存储的管控对象正常运行时的数据将管控对象恢复到可用状态,以解除第二管控策略对管控对象的管控状态的修改。
本实施例提供的移动终端管控策略的实施方法,通过在根据第二管控策略修改管控对象的管控状态之前,获取管控对象对应的内存数据并存储,通过管控对象对应的内存数据将管控对象恢复到可用状态。因此,在解除第二管控策略时,移动终端能够快速恢复相应的终端外设的功能。
考虑到第二管控策略的实施过程中,会因移动终端的重启,导致管控对象状态的修改被重置。因此,在移动终端启动过程中,操作系统可以根据第二管控策略的实施标识,决定第二管控策略是否应被实施。基于上述实施例的内容,作为一种可选实施例,本发明实施例提供的方法还包括设置第二管控策略实施标识,用于重启后第二管控策略根据第二管控策略实施标识触发实施动作。
第二管控策略实施标识包括了第二管控策略是否实施的信息。移动终端重启后,操作系统通过第二管控策略实施标识获取是否实施第二管控策略的信息,根据该信息决定第二管控策略是否实施。以第二管控策略实施标识为0和1为例,移动终端检测到当前获取的第一管控策略计算后的摘要与预先存储的第一目标摘要不一致,则进入实施第二管控策略的过程,此时将第二管控策略实施标识设置为1。若移动终端重启后,第二管控策略对管控对象的修改被重置,操作系统读取到第二管控策略实施标识设置为1,则进入到实施第二管控策略的过程,并根据第二管控策略中的管控规则修改管控对象的管控状态。
相应地,若移动终端离开敏感区域后检测到通过网络接收并存储的第一管控策略的摘要与接收的第二目标摘要一致,则将第二管控策略实施标识设置为0。此时若移动终端发生重启,操作系统读取到第二管控策略实施标识设置为0,则不实施第二管控策略。
本实施例提供的移动终端管控策略的实施方法,根据第一管控策略的失效状态,存储第二管控策略的实施状态信息。由于第二管控策略的是通过判断实施状态信息决定是否实施的,从而在发生重启等终端情况仍可以正常实施第二管控策略,进而能够实现移动终端安全有效的管控。
考虑到攻击者可能通过还原内存以及重新安装外设驱动等方法,使实施的第二管控策略失效。基于上述实施例的内容,作为一种可选实施例,在可信执行环境下,根据第二管控策略,修改管控对象对应的内存数据之后,还包括:计算管控对象管控状态修改后对应的内存数据的摘要,作为第三目标摘要;在可信执行环境下,重复获取管控对象在普通环境中运行后对应的内存数据,并计算摘要;若管控对象在普通环境中运行后对应的内存数据的摘要与第三目标摘要不一致,则在可信执行环境下,根据第二管控策略,修改管控对象对应的内存数据。
移动终端在可信执行环境下实施第二管控策略后,根据第二管控策略中的管控规则,将管控对象修改到相应的管控状态,获取此时的管控对象所处管控状态下的内存数据,并根据该内存数据计算得出第三目标摘要,第三目标摘要对应着成功修改后的管控对象正确的内存数据。由于此后移动终端将运行在普通环境下,攻击者可能通过还原内存、重新安装外设驱动等方法,使对相应管控对象实施的第二管控策略失效。
在本实施例中,移动终端周期性的在可信环境下,获取当前管控对象在普通环境中运行后对应的内存数据并计算摘要,将计算后得到的摘要与第三目标摘要对比。若管控对象在普通环境中运行后对应的内存数据的摘要与第三目标摘要不一致,则说明攻击者通过还原内存以及重新安装外设驱动等方法,使实施的第二管控策略失效。移动终端再次触发第二管控策略对管控对象管控状态的修改过程。
本实施例提供的移动终端管控策略的实施方法,通过计算管控对象管控状态修改后对应的内存数据的摘要,作为第三目标摘,并在可信执行环境下重复获取管控对象在普通环境中运行后对应的内存数据,并计算摘要。若管控对象在普通环境中运行后对应的内存数据的摘要与管控对象管控状态修改后对应的内存数据的摘要不一致,则根据第二管控策略修改管控对象对应的内存数据。由于周期性重复获取管控对象对应的内存数据,在验证与根据第二管控策略修改后对应的内存数据不一致时,根据第二管控策略中的管控规则修改管控对象对应的内存数据,从而可以在第二管控策略失效后再次执行,进而使管控对象按照第二管控策略进行安全有效的管控。
图2为本发明实施例提供的移动终端管控策略的实施装置结构图,如图2所示,该移动终端管控策略的实施装置包括:获取模块201和处理模块202。其中,获取模块201用于在可信执行环境下,计算当前获取的第一管控策略的摘要,若当前获取的第一管控策略的摘要与第一目标摘要不一致,则获取预先存储并设置为只读的第二管控策略;处理模块202用于在可信执行环境下,根据第二管控策略,修改管控对象对应的内存数据。
移动终端自管控方式下,当前获取的第一管控策略为获取模块201从数据库中提取出的当前存储的第一管控策略,第一目标摘要为预存时的根据第一管控策略计算得出的摘要。交互式管控方式下,当前获取的第一管控策略为获取模块201从管控平台接收的第一管控策略,第一目标摘要为管控平台同时下发的该第一管控策略对应的用于验证的摘要。在上述场景下,第一目标摘要均对应着未被篡改和破坏的正确完整的第一管控策略。由于移动终端的第一管控策略受到攻击而被篡改或遭到破坏,获取模块201检测到当前获取的第一管控策略的摘要与预先存储的第一目标摘要不一致,则在可信执行环境下获取预先存储的第二管控策略。可信执行环境提供了一个隔离的执行环境,使第二管控策略的实施能够实现完整性、机密性和安全存储等。第二管控策略中的管控规则为第二管控策略中预先设置的管控规则的集合,管控对象包括需要实行管控的终端外设。处理模块202根据第二管控策略中的管控规则,修改管控对象对应的内存数据以实现对管控对象的管控。
本实施例提供的移动终端管控策略的实施装置,获取模块在可信执行环境下,根据获取的预先存储并设为只读的第二管控策略,处理模块通过修改管控对象对应的内存数据,实现第二管控策略的实施。由于第二管控策略是在可信执行环境下通过修改管控对象对应的内存实数据施的,从而使普通环境中的攻击者无法直接干预而导致管控失效,且第二管控策略是只读的,从而根本上保证了第二管控策略的完整和不被篡改。另外,由于移动终端根据第二管控策略实施管控,从而无需锁死移动终端,且不需要管控平台的参与,进而实现了对移动终端进行安全有效的管控。
本发明实施例提供的装置实施例是为了实现上述各方法实施例的,具体流程和详细内容请参照上述方法实施例,此处不再赘述。
图3为本发明实施例提供的移动终端结构图,如图3所示,该移动终端包括第二管控策略硬件模组、移动终端普通环境以及移动终端可信执行环境中相互协作的管控策略可信实施功能模块。
第二管控策略硬件模组中的相关功能模块包括:
1)第二管控策略存储模块:第二管控策略存储模块是一种只读的硬件存储模块,其存有移动终端的第二管控策略。
2)内存分析模块:内存分析模块用于对内核内存进行分析,向输入输出模块提供修改的内存。通过修改移动终端内存实施第二管控策略,第二管控策略硬件模组需要对内存进行细粒度分析,得到确切的修改内存地址,并输出修改的内存。移动终端的每一个外设都对应着内核中的一个模块,而外设的每个功能(如网卡发送网络数据功能)都对应着相应内核模块中的某个函数。内核加载模块时,会将模块的函数地址设置到内核的指针变量中。因此,通过遍历内存,找出指针变量,第二管控策略硬件模组可以获得外设对应内核模块的内存地址。进而通过修改内核模块,实施对外设的管控,如使用第二管控策略中预置的傀儡驱动内存替代原内存,实现对外设部分功能的禁用。
3)实施状态记录模块:实施状态记录模块利用闪存记录第二管控策略的实施状态,防止由于移动终端由于掉电等原因重启时造成的第二管控策略的执行中断。定义第二管控策略实施如下:第二管控策略实施时该状态为1,否则为0。移动终端重启时,将依据该状态决定是否实施第二管控策略。
4)原内存备份模块:原内存备份模块中保存了因执行第二管控策略而被修改的内存空间的原始信息,用于在第二管控策略解除后恢复外设功能时提供相应内存信息。
5)输入输出模块:输入输出模块用于与移动终端可信执行环境下相关功能模块进行交互,包括:接收第二管控策略实施信令、状态确认信令、外设管控解除信令和错误信号,接收读取的内存数据并返回待修改内存的地址范围等。
可信执行环境下相关功能模块包括:
1)第二管控策略硬件模组驱动:提供移动终端与第二管控策略硬件模组交互的基本接口。
2)管控系统控制模块:移动终端管控策略可信实施系统的控制进程,负责调用可信执行环境下其它功能模块实现,同时使用第二管控策略硬件模组驱动提供的接口,向第二管控策略硬件模组下发指令、传输内存数据并读取其输出。
3)内存完整性验证模块:可信执行环境下,移动终端周期性地读取各个已修改内存区域的内存,计算出新的摘要,与保存的摘要对比,判断内存是否被篡改。
4)外设恢复模块完整性验证:当外设管控解除,需要恢复外设功能时,验证相关代码的完整性,确保外设恢复模块可信。
5)内存读写模块:基于原生接口,将普通环境的内存映射到可信执行环境,实现安全的内存读取与修改。
6)管控策略还原模块:基于可信执行环境的密码学算法和存储的密钥,实现与管控平台的互认证,对管控平台重新下发的失效管控策略进行完整性验证,存储通过完整性验证的管控策略,完成失效预存管控策略的还原。
普通环境下相关功能模块包括:
1)外设恢复模块:外设管控解除后,负责恢复受控外设的功能。模块相关代码经过形式化验证,具有足够的安全性。
2)通信代理模块:管控策略还原过程中,负责与管控平台建立安全连接。模块相关代码在执行前由管控策略还原模块验证完整性,并且经过形式化验证,具有足够的安全性。
图4为本发明实施例提供的硬件模组结构图,如图4所示,一种硬件模组,该硬件模组包括但不限于独立芯片、主控芯片中的模块以及密码芯片中的模块。以该硬件模组是外部芯片的形式为例,该硬件模组可作为外设经内存管理器和访问控制硬件接入到系统总线。访问控制硬件从硬件层面确保第二管控策略硬件模组仅工作于可信执行环境。第二管控策略硬件模组内部集成了微处理、内部总线、RAM、ROM、非易失性闪存等设备。其中ROM主要存储第二管控策略,而闪存负责保存外设原内存备份数据和第二管控策略实施状态。
基于上述移动终端和上述各方法实施例,图5为本发明另一实施例提供的移动终端管控策略的实施方法流程图,图6为本发明另一实施例提供的移动终端管控策略的实施方法信令交互图。如图5及图6所示,移动终端管控策略的实施方法的实施流程包含以下步骤:
501,移动终端在可信执行环境下,向第二管控策略硬件模组发送第二管控策略实施信令。
502,第二管控策略硬件模组收到第二管控策略实施信令,将实施状态记录模块的第二管控策略实施状态置为1,状态1表示第二管控策略正在实施。
503,第二管控策略硬件模组使用输入输出模块向移动终端发送读取内存的地址范围。
504,移动终端在可信执行环境下调用内存读写模块,读取指定内存地址范围的内存,计算其摘要并保存。
505,移动终端在将读取到的内存发送给第二管控策略硬件模组。
506,第二管控策略硬件模组调用内存分析模块对内存进行分析,确定外设对应内核模块的内存地址,根据第二管控策略的管控规则生成修改的内存,同时将原内存备份存储到原内存备份模块。
507,第二管控策略硬件模组使用输入输出模块向移动终端发送修改的内存。
508,为避免出现修改冲突,移动终端在可信执行环境下收到修改的内存后,挂起普通环境的运行。
509,移动终端的管控系统控制模块再次调用内存读写模块读取指定区域的内存,与先前保存的摘要对比。
510,若摘要不一致,则恢复普通环境运行的同时,并向第二管控策略硬件模组发送一个错误信号,第二管控策略硬件模组收到错误信号后将重复读取和修改的过程,直至成功。若摘要一致,则调用内存读写模块,使用修改的内存替换掉原内存,恢复普通环境运行。
基于上述移动终端和上述各方法实施例。实施第二管控策略的移动终端离开敏感区域后,管控并不能随之完全解除。只有失效的预存管控策略还原后,实施的第二管控策略才能完全解除。因此,当移动终端离开敏感区域后,需执行管控策略恢复与第二管控策略解除的步骤。图7为本发明又一实施例提供的移动终端管控策略的实施方法流程图,如图7所示,包括步骤如下:
701,移动终端通过定期检测是否收到管控信标的广播,判断自身是否处于敏感区域。
702,若移动终端不再接收到管控信标的广播,则在可信执行环境下检测内核是否可信。
703,若内核不可信,移动终端基于微内核进行内核恢复,直至内核处于可信状态。
704,内核可信后,移动终端恢复与管控平台通信所必要的外设功能。
705,移动终端与管控中心建立网络连接。
706,移动终端与管控中心互认证。
707,移动终端接收重新下发的失效管控规则,解密并验证完整性,存储摘要。
708,移动终端保存重新下发的失效管控规则。
709,移动终端读取保存上一步保存的管控规则,计算摘要。
710,移动终端对比前后两次摘要,若二者一致,移动终端解除第二管控策略,恢复所有受控外设的功能。
711,移动终端的第二管控策略硬件模组将第二管控策略实施状态置0。
图8为本发明实施例提供的一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)801、通信接口(Communications Interface)802、存储器(memory)803和总线804,其中,处理器801,通信接口802,存储器803通过总线804完成相互间的通信。通信接口802可以用于电子设备的信息传输。处理器801可以调用存储器803中的逻辑指令,以执行包括如下的方法:在可信执行环境下,计算当前获取的第一管控策略的摘要,若当前获取的第一管控策略的摘要与第一目标摘要不一致,则获取预先存储并设置为只读的第二管控策略;在可信执行环境下,根据第二管控策略,修改管控对象对应的内存数据。
此外,上述的存储器803中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明上述各方法实施例的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储计算机指令,该计算机指令使计算机执行上述实施例所提供的移动终端管控策略的实施方法,例如包括:在可信执行环境下,计算当前获取的第一管控策略的摘要,若当前获取的第一管控策略的摘要与第一目标摘要不一致,则获取预先存储并设置为只读的第二管控策略;在可信执行环境下,根据第二管控策略,修改管控对象对应的内存数据。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种移动终端管控策略的实施方法,其特征在于,包括:
在可信执行环境下,计算当前获取的第一管控策略的摘要,若当前获取的第一管控策略的摘要与第一目标摘要不一致,则获取预先存储并设置为只读的第二管控策略;
在可信执行环境下,根据所述第二管控策略,修改管控对象对应的内存数据;
所述第二管控策略为更高安全等级的管控策略,管控方式包括,通过关闭相应的外设实现管控;
所述在可信执行环境下,根据所述第二管控策略,修改管控对象对应的内存数据之后,还包括:
若检测到通过网络接收并存储的第一管控策略的摘要,与通过网络接收的第二目标摘要一致,则将所述管控对象恢复到可用状态,并将通过网络接收并存储的第一管控策略作为当前的管控策略;
所述在可信执行环境下,计算当前获取的第一管控策略的摘要之前,还包括:接收管控使能信息;相应地,所述若检测到通过网络接收并储存的第一管控策略的摘要,与通过网络接收的第二目标摘要一致之前,还包括:
若在预设时长后未收到所述管控使能信息,则通过网络接收第一管控策略;
其中,所述管控使能信息用于在对安全等级要求高的区域,触发管控策略的实施。
2.根据权利要求1所述的方法,其特征在于,所述在可信执行环境下,根据所述第二管控策略,修改管控对象对应的内存数据之前,还包括:获取所述管控对象对应的内存数据并存储;相应地,所述将所述管控对象恢复到可用状态,包括:
根据存储的所述管控对象对应的内存数据将所述管控对象恢复到可用状态。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
设置第二管控策略实施标识,用于重启后第二管控策略根据第二管控策略实施标识触发实施动作。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述在可信执行环境下,根据所述第二管控策略,修改管控对象对应的内存数据之后,还包括:
计算所述管控对象管控状态修改后对应的内存数据的摘要,作为第三目标摘要;
在可信执行环境下,重复获取所述管控对象在普通环境中运行后对应的内存数据,并计算摘要;
若所述管控对象在普通环境中运行后对应的内存数据的摘要与所述第三目标摘要不一致,则在可信执行环境下,根据所述第二管控策略,修改所述管控对象对应的内存数据。
5.一种移动终端管控策略的实施装置,其特征在于,包括:
获取模块,用于在可信执行环境下,计算当前获取的第一管控策略的摘要,若当前获取的第一管控策略的摘要与第一目标摘要不一致,则获取预先存储并设置为只读的第二管控策略;所述获取模块还用于,所述在可信执行环境下,计算当前获取的第一管控策略的摘要之前,接收管控使能信息;
处理模块,用于在可信执行环境下,根据所述第二管控策略,修改管控对象对应的内存数据;
所述第二管控策略为更高安全等级的管控策略,管控方式包括,通过关闭相应的外设实现管控;
所述处理模块,还用于:若检测到通过网络接收并存储的第一管控策略的摘要,与通过网络接收的第二目标摘要一致,则将所述管控对象恢复到可用状态,并将通过网络接收并存储的第一管控策略作为当前的管控策略;
所述获取模块,还用于:若在预设时长后未收到所述管控使能信息,则通过网络接收第一管控策略;其中,所述管控使能信息用于在对安全等级要求高的区域,触发管控策略的实施。
6.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述移动终端管控策略的实施方法的步骤。
7.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述移动终端管控策略的实施方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810924747.4A CN109241783B (zh) | 2018-08-14 | 2018-08-14 | 移动终端管控策略的实施方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810924747.4A CN109241783B (zh) | 2018-08-14 | 2018-08-14 | 移动终端管控策略的实施方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109241783A CN109241783A (zh) | 2019-01-18 |
| CN109241783B true CN109241783B (zh) | 2021-04-06 |
Family
ID=65070890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810924747.4A Active CN109241783B (zh) | 2018-08-14 | 2018-08-14 | 移动终端管控策略的实施方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109241783B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112182557B (zh) * | 2019-09-19 | 2022-05-03 | 中国科学院信息工程研究所 | 一种芯片级内置式的主动安全监控架构实现方法及电子装置 |
| CN113141612B (zh) * | 2021-04-16 | 2022-09-16 | 中国科学院信息工程研究所 | 一种移动终端高可信管控方法与系统 |
| CN113297121B (zh) * | 2021-06-16 | 2024-02-23 | 深信服科技股份有限公司 | 一种接口管理方法、装置、设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102244659A (zh) * | 2011-06-30 | 2011-11-16 | 成都市华为赛门铁克科技有限公司 | 安全策略脚本执行方法、装置以及安全策略系统 |
| CN102930185A (zh) * | 2012-11-28 | 2013-02-13 | 中国人民解放军国防科学技术大学 | 运行时程序安全关键数据的完整性验证方法及装置 |
| CN105468980A (zh) * | 2015-11-16 | 2016-04-06 | 华为技术有限公司 | 一种安全管控的方法、装置及系统 |
| CN106534148A (zh) * | 2016-11-29 | 2017-03-22 | 北京元心科技有限公司 | 应用的访问管控方法及装置 |
| CN107426174A (zh) * | 2017-06-09 | 2017-12-01 | 武汉果核科技有限公司 | 一种可信执行环境的访问控制系统及方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006338587A (ja) * | 2005-06-06 | 2006-12-14 | Hitachi Ltd | アクセス制御サーバ、利用者端末及び情報アクセス制御方法 |
| CN105656860A (zh) * | 2014-11-20 | 2016-06-08 | 中兴通讯股份有限公司 | Android系统的安全管控方法、装置及其系统 |
| US9830480B2 (en) * | 2015-05-27 | 2017-11-28 | Google Llc | Policies for secrets in trusted execution environments |
| CN104978543A (zh) * | 2015-07-09 | 2015-10-14 | 黄凯锋 | 一种移动终端信息安全防护系统和方法 |
| CN106559258A (zh) * | 2016-10-11 | 2017-04-05 | 北京元心科技有限公司 | 移动终端管控方法和系统 |
-
2018
- 2018-08-14 CN CN201810924747.4A patent/CN109241783B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102244659A (zh) * | 2011-06-30 | 2011-11-16 | 成都市华为赛门铁克科技有限公司 | 安全策略脚本执行方法、装置以及安全策略系统 |
| CN102930185A (zh) * | 2012-11-28 | 2013-02-13 | 中国人民解放军国防科学技术大学 | 运行时程序安全关键数据的完整性验证方法及装置 |
| CN105468980A (zh) * | 2015-11-16 | 2016-04-06 | 华为技术有限公司 | 一种安全管控的方法、装置及系统 |
| CN106534148A (zh) * | 2016-11-29 | 2017-03-22 | 北京元心科技有限公司 | 应用的访问管控方法及装置 |
| CN107426174A (zh) * | 2017-06-09 | 2017-12-01 | 武汉果核科技有限公司 | 一种可信执行环境的访问控制系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109241783A (zh) | 2019-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110113167B (zh) | 一种智能终端的信息保护方法、系统以及可读存储介质 | |
| CN106330958B (zh) | 一种安全访问方法及装置 | |
| CN111835689B (zh) | 数字钥匙的身份认证方法、终端设备及介质 | |
| CN109241783B (zh) | 移动终端管控策略的实施方法及装置 | |
| US9817972B2 (en) | Electronic assembly comprising a disabling module | |
| RU2639898C2 (ru) | Способ и устройство для мониторинга файла в системном разделе | |
| US9609119B2 (en) | Disablement of lost or stolen device | |
| CN113168474A (zh) | 固件的安全验证 | |
| US20110173691A1 (en) | Method for downloading software | |
| CN105122260A (zh) | 到安全操作系统环境的基于上下文的切换 | |
| US20160004648A1 (en) | Data erasing apparatus, data erasing method, and computer-readable storage medium | |
| KR20150007894A (ko) | 디나이얼 발생시 대응 메뉴얼을 제안하는 전자 장치 및 방법 | |
| CN113449269B (zh) | 核心模组激活方法、装置及存储介质 | |
| CN112115477B (zh) | 内核修复方法、装置、电子设备及存储介质 | |
| CN112422281B (zh) | 一种更改安全模块中密钥的方法及系统 | |
| CN104281811A (zh) | 一种终端的自毁方法、系统及装置 | |
| CN110362983B (zh) | 一种保证双域系统一致性的方法、装置及电子设备 | |
| WO2021134712A1 (zh) | 一种负载认证方法及系统、可移动平台、负载、转接装置 | |
| CN108228219B (zh) | 一种带外刷新bios时验证bios合法性的方法及装置 | |
| CN111625811A (zh) | 数据授权方法及装置 | |
| WO2023024888A1 (zh) | 数据处理方法、装置、设备及存储介质 | |
| CN110580179A (zh) | 信息处理方法及装置、电子设备及存储介质 | |
| CN115168908B (zh) | 文件保护方法、装置、设备及存储介质 | |
| EP4328774A1 (en) | User data management method and related device | |
| US11190546B2 (en) | Secure failsafe apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |