CN109522754B - 一种移动终端可信隔离环境核心控制方法 - Google Patents

Abstract

本发明公开了一种移动终端可信隔离环境核心控制方法，针对移动终端中不同运行环境的可信隔离问题，基于TrustZone技术实现在安全域中的核心控制器CSC，使得不同运行环境之间的可信隔离安全性得到增强。根据细粒度安全策略库的管控，实现监管不同运行环境的内存访问行为，保证不同运行环境互相无法访问代码和数据；并监管不同运行环境的运行状态，保证非法操作不能获得相应权限。

Description

一种移动终端可信隔离环境核心控制方法

技术领域

本发明涉及一种移动终端可信隔离环境核心控制方法，增强不同执行环境的安全隔离能力。

背景技术

基于Xen on ARM移动终端虚拟环境构建技术正在蓬勃发展，移动终端的虚拟化带来诸多优点。基于虚拟化技术，移动终端上可运行多个客户机，用于部署多个不同的运行环境，满足同一用户不同的使用需求，如在同一移动终端内可同时启动多个客户机，构建办公应用运行环境、个人娱乐生活应用运行环境与高安全等级应用(如支付应用、敏感政务应用运行环境)，使得不同环境之间的资源和数据相互隔离，减小攻击面。移动终端虚拟化提供按需灵活配置，可以根据用户不同需求配置不同的安全运行环境，从而更好地符合不同安全应用场景。移动终端虚拟化可提供用户数据安全功能，可以及时灵活地对用户数据进行迁移备份，有效保证重要敏感数据的可用性与完整性。

Xen是一个开放源代码虚拟机管理器，起源于英国的剑桥大学计算机实验室。最初设计时操作系统必须进行显式地修改并移植在Xen上运行，这使得Xen无需特殊硬件支持，就能达到高性能的虚拟化。Xen能够支持多个客户机同时运行，并且能够达到相对较高的性能水平和资源隔离。Xen直接运行于硬件之上，其上存在一个协助管理的客户机Dom0，其他被虚拟化的客户机DomU(可以有多个)运行于硬件之上的第二层。Xen on ARM实现的是半虚拟化环境，半虚拟化需要对操作系统做一些修改，操作系统被修改之后，使用特殊的系统调用ABI，而不是调用原有的接口，从而使Xen能够达到高性能。

Xen核心称为Hypervisor，Hypervisor是一种运行在物理机和操作系统之间的中间软件层，可允许多个操作系统和应用共享一套基础物理硬件，因此也可以看作是虚拟环境中的“元”操作系统，它可以协调访问服务器上的所有物理设备和客户机，也叫客户机监视器(Virtual Machine Monitor，VMM)。

Hypervisor会对物理内存和线性空间进行重新规划，管理客户机运行与进行所有物理内存管理；由于客户机进行物理资源的共享，Hypervisor管理物理资源的调度，控制不同客户机对资源的使用；Hypervisor管理所有客户机的运行和控制，比如客户机的新建，开启，挂起，销毁和迁移等操作；由于各种资源的共享，Hypervisor提供客户机之间的安全隔离，保证各客户机之间拥有隔离的运行空间。Xen Hypervisor控制整个虚拟化运行平台，具有最高管理权限。

Xen虽然具有高性能、占用资源少优势，但Xen依然在隔离上存在不少安全漏洞。CVE-2016-6258漏洞，Xen平台半虚拟化模式下运行的客户机存在权限提升漏洞，综合利用漏洞，可提升普通用户权限，进而控制整个客户机系统，造成用户主机数据泄漏风险。CVE-2015-7835漏洞存在于Xen Hypervisor的内存管理机制中，Xen为了优化检查步骤，提高运行速度，在Xen Hypervisor中提供了快速更新页表选择功能，该功能缺乏严格的检查流程，带来客户机逃逸的风险。CVE-2018-3620漏洞，对装有带预测执行和地址翻译功能微处理器的系统，可能会被利用终端页面错误和侧信道分析获取了本地用户访问权，攻击者可以在未授权情况下抽取出一级数据缓存中的信息。Hypervisor、Dom0层的安全漏洞，以及平台中存在的各类侧信道攻击手段，使得不同客户机之间的资源和数据无法真正得到隔离。由此可见，Xen平台虽然为移动终端提供了多运行环境隔离的基础能力，但隔离控制能力仍需要进一步增强。

发明内容

本发明技术解决问题：针对移动终端中不同运行环境的可信隔离问题，提供一种移动终端虚拟环境的可信隔离增强核心控制器方法，基于TrustZone技术(ARM TrustZone是一种硬件安全扩展机制，提供一个可信执行环境TEE和一个富执行环境REE，广泛应用于移动平台，用于保护关键数据和敏感代码)实现在安全域中的核心控制器CSC，使得不同运行环境之间的可信隔离安全性得到增强。根据细粒度安全策略库的管控，实现监管不同运行环境的内存访问行为，保证不同运行环境互相无法访问代码和数据；并监管不同运行环境的运行状态，保证非法操作不能获得相应权限。

本发明技术解决方案：一种移动终端可信隔离环境核心控制方法，由位于可信执行环境TEE，即安全世界中的核心安全控制器CSC和位于富执行环境REE，即普通世界中微内核中的核心安全控制器CSC的安全陷入模块共同实现；所述核心安全控制器CSC的安全陷入模块实现对富执行环境REE运行环境事实监控功能，响应REE运行环境对自身运行环境内存增减、不同REE运行环境状态改变的敏感行为；位于可信执行环境TEE中的核心控制器CSC由安全内存隔离模块SMI、运行状态监控模块OSM和策略库DB构成；安全内存隔离模块SMI负责实现不同运行环境的内存隔离增强能力，运行状态监控模块OSM负责实现监控不同运行环境的运行状态以及相关敏感操作，策略库DB负责为安全内存隔离模块SMI、运行状态监控模块OSM提供安全策略，安全策略是对SMI和OSM提供的一系列操作行为约束，当符合相应策略规则的事件发生时，执行对应的事件处理。

所述安全内存隔离模块SMI实现为：将普通世界中客户机的地址映射核心功能移交给SMI，将Hypervisor的页表映射功能在SMI上独立实现，通过修改Hypervisor来移除修改页表机制和禁用页表映射的相关指令以及设置所有的页表项操作权限，并以独占的方式协助完成客户机的安全内存地址映射功能；通过将原来位于Hypervisor中加载页表和修改页表项的功能进行封装，然后以接口的方式提供给Hypervisor进行调用，对普通世界的客户机之间内存隔离进行增强；此外，SMI读取安全世界中安全策略库的相关安全策略规则，根据安全策略规则监视Hypervisor的代码段执行与修改、客户机的代码段执行，内存新页申请的敏感操作行为，当这些操作行为发生时执行安全策略库的相关安全策略进行处理。

所述运行状态监控模块OSM通过识别普通世界CSC安全陷入模块传递的异常信息，判断监控客户机的运行状态，包括运行、暂停、关闭，保证不同运行环境之间的进程相互隔离性；当接收到客户机合法的切换请求时，通过查询策略库中的客户机的访问权限，进行相应的策略验证，验证不同状态切换请求的合法性，然后返回相应的处理结果，如果合法返回可以切换的结果，否则视为异常且不能切换，保证不同环境切换过程的合法性；此外OSM执行安全策略库的安全策略，对普通世界中客户机运行状态进行监控，并监视所述客户机运行环境切换、启动、挂起、恢复、关闭操作过程，保证客户机运行状态可控。

所述安全策略库的安全策略是对内存页表管理、代码执行检查、运行环境状态监控、客户机操作管理的敏感行为控制，对于SMI，当SMI在运行时将Hypervisor的代码段映射为只读，禁止申请新页及不可降级执行客户机的内存片段，Hypervisor无法将新内存页映射为可执行权限，在客户机发生虚拟地址转换时禁止调用地址转换相关内部hypercall代码，在客户机产生中断时禁止执行原有Hypervisor的中断逻辑；对于OSM通过识别CSC模块传递的异常信息，判断当前客户机的运行状态，当接收到客户机合法的切换请求时，查询策略库中的客户机的访问权限，策略验证正确后返回允许切换的结果；SMI和OSM依据相关约束策略进行对内存隔离和不同运行环境运行状态监控与管理提供安全增强；由于安全策略库位于TEE环境中，所有运行环境均没有访问策略库的权限，因此不能对安全策略库进行访问和修改。

本技术与现有技术相比，具有以下优点：

(1)移动终端上可以运行多个运行环境，多个运行环境之间相互隔离，由TEE中高特权等级CSC提供安全控制能力，实现基于ARM硬件级别的安全特性加强。

(2)本发明在传统hypervisor的安全基础隔离之上，对相应的内存敏感操作根据策略库规则进一步进行控制和权限管理，实现更安全内存操作保障。

(3)通过联合使用hypervisor和TEE-kernel的安全保障，利用策略库规则进行操作控制，从而降低hypervisor和TEE-kernel独立存在带来的的安全威胁，提升安全性。

(4)位于TEE环境的策略库提供所有敏感操作的安全策略，通过细粒度、多维、上下文可感知的安全策略，保证核心控制器的安全性。

综上所述，本发明相比较于传统的可信隔离环境核心控制器，不仅提高了可信隔离服务的安全性，同时也提升了可扩展性和可移植性。

附图说明

图1是本发明针对移动终端的结构示意图。

具体实施方式

为使本发明的目的、优点以及技术方案更加清楚明白，以下通过具体实施描述对本发明进一步详细说明。

为方便说明，先介绍一些本发明中将用到的部分缩写标记。

CSC Core Security Control 核心安全控制器

Hyp Hypervisor 微内核

SMI Security Memory Isolation 安全内存隔离

TEE Trusted Execution Environment 可信执行环境

OE Operating Environment 运行环境

OMM Operating Status Monitor 运行状态监控

本发明主要是构建一个通用的高可信移动终端隔离执行环境核心控制架构，本架构中将TrustZone和虚拟化安全隔离结合起来，通过将安全世界的TrustZone的SMI、OSM和相应的安全策略共同协作为每个客户机提供多重安全世界。SMI控制客户机的安全内存映射，OSM监控不同客户机的运行状态，并控制客户机之间的所有安全切换，安全策略库提供的相关安全策略提供安全内存映射相关的策略控制，从而有效地保证数据和代码的安全性和隔离性。基于此，本发明的高可信移动终端可信隔离环境核心控制方法具有提供细粒度策略保护、硬件级安全保护、安全服务增强、可扩展性等优势。

本发明中安全世界的SMI模块作为普通世界域之间的内存操作安全隔离增强模块，提供对Hypervisor及客户机之间的一系列内存操作安全控制。当SMI在运行时，SMI将Hypervisor的代码段映射为只读并禁止申请新页，因此Hypervisor在运行期间不可对其内存代码段执行修改或写入操作和在运行期间不可申请新的可执行内存页。当系统启动之后，SMI控制Hypervisor无法将新内存页映射为可执行权限。当客户机发生虚拟地址转换时，由于客户机使用Hypercall请求Hypervisor协助完成，Hypervisor禁止调用相关实现代码或其他代码，Hypervisor只能用接口方式调用SMI实现的具体方法。SMI为了防止Hypervisor对客户机的内存操作，Hypervisor在运行期间不可降级执行客户机的内存片段。当客户机发生缺页中断时，由于Hypervisor对客户机操作过程MMU进行了相关虚拟化，禁止执行原有Hypervisor的中断逻辑，相应的缺页异常处理程序涉及页表加载和页表项修改的代码转为对SMI调用。当客户机的内存发生页面映射共享访问时，客户机之间的操作请求和授权允许操作完成后，SMI检查相应的共享内存页面，当页面包含敏感数据或具有可执行权限时，撤销页面映射共享。SMI保证了Hypervisor中内存映射的一系列安全操作。SMI对Hypervisor所属线性内存空间代码段进行控制外，同时对Hypervisor的页表操作进行控制。SMI模块需要确保Hypervisor完全剥离原有的地址映射部分的加载页表和修改页表项功能，这些功能必须只能由SMI提供。本发明将Hypervisor的页表映射功能在SMI上独立实现，通过修改Hypervisor移除修改页表机制和禁用页表映射的相关指令，从而实现Hypervisor无法加载和禁用页表映射，同时通过设置所有的页表项为只读权限，从而实现Hypervisor无法具有修改页表项的权限。

本发明中安全世界的OSM模块监控不同客户机的运行状态，并监控客户机之间的所有可信切换。OSM执行安全策略库的安全策略，对客户机运行状态进行监控，并监视运行环境切换、启动、挂起、恢复、关闭等操作过，保证客户机运行状态严格可控。可信切换监控是指对不同运行环境之间进行切换时的访问控制，OSM保证不同运行环境之间的切换请求都会先跳转到OSM本身，这些请求都是由异常引起的，如硬件中断异常(IRQ/FIQ中断)，由任何捕获指令(如SMC、协处理器访问、超级调用等)引起的客户同步异常，或者是数据中止异常。CSC安全陷入模块首先捕获这些异常，并将其通过TrustZone硬件安全通信方式将该异常传送到CSC的OSM中，OSM通过查询策略库DB中的安全策略，判断该切换请求是否属于合法请求，若该请求拥有切换权限，OSM返回切换指令，微内核进行不同运行环境之间的切换。

上述模块所依据的安全策略由运行于安全世界的策略库实现；策略库包括但不限于以下策略集：

P1内存访问隔离安全策略集：

<mSUB，mOBJ，OP，CXT，ALLOW/DENY/OTHER>

P2客户机切换安全策略集：

<sourceVM，targetVM，OP，CXT，ALLOW/DENY/OTHER>

内存访问隔离安全策略集P1中的每条策略描述了何种mSUB内存访问主体在何种上下文条件CXT下，对何种内存资源客体mOBJ执行何种内存访问操作OP，应当被允许ALLOW，还是拒绝DENY，或进行其他监管行为OTHER。其中：

a)mSUB内存访问主体可以是任意客户机或hypervisor。

Hypervisor可表示为Hyp，单一客户机可表示为VM1，VM2，…，VMn，所有客户机可表示为VMs

b)客体mOBJ可以是满足某种条件的内存页表、内存页表条目、物理内存区域、页表基地址寄存器等，包括但不限于以下表示方式：

CodeM(mSUB):某主体当前的内存代码段

DataM(mSUB):某主体当前的内存数据段

ALLM(mSUB):某主体当前的所有内存

HisM(Msub，deltaT，Perm):某主体在deltaT时间段内曾经拥有权限Perm的内存段

PA(X1，X2):起始位置为X1，X2的物理内存段

TransTable(descr):满足条件描述descr的地址转换表条目

PAGE(descry):满足条件描述desc的内存页

PRegister(mSUB):某主体的页表基地址寄存器.

NEWPAGE:新内存页

c)内存访问操作OP可以是修改内存页表条目，映射新物理内存空间，修改内存访问权限、修改基址寄存器等，包括但不限于以下表示方式：

READ:读内存

WRITE:写内存

MODIFY:修改内存

DELETE:删除内存数据

EXE:执行内存

ALLAccess：综合以上所有内存访问方式

APPLYP(PERM)：申请新页，申请权限集设置为PERM

MODIFYP(PERM):修改内存页权限集为PERM

DELETEP:移除内存页

d)CXT上下文条件是对访问上下文状态的描述，如访问时机、访问地点、访问状态等，访问时机可以为任意时间段描述，访问地点是对访问时移动终端所处位置的描述，访问状态对访问时终端各部件的状态进行约束，如处于Xen启动、系统启动、域创建、域挂起状态，或某客户机cpu、内存等资源使用状态等。

P1策略集应至少包含对Hypervisor及域的如下约束策略：

P1-0:<Hyp，CodeM(Hyp)，MODIFY/WRITE，Running，Deny>

Hypervisor在SMI运行期间不可对Hypervisor的代码段(CodeM(Hyp))执行修改或写入操作

P1-1:<Hyp，ALLM(VMs)，DeEXE，Running，Deny>

Hypervisor在运行期间不可降级执行客户机的内存片段(ALLM(Guest))

P1-2:<Hyp，NewMPage，Apply(EXE)，Running，Deny>

Hypervisor在运行期间不可申请新的可执行内存页

P1-3:<Hpy，CodeM(Hyp)，EXE，Running，Deny>

域发生缺页中断时，通过Hypercall传递到Hypervisor时，禁止执行Hypervisor的原有中断逻辑代码

P1-4:<VMs except VM1，PA(X1，X2)，AllAccess，Running，Deny>

除VM1运行环境之外的所有客户机运行环境在运行期间不可以任何形式访问申请新的可执行内存页

P1-5:<VMs，PA(X1，X2)，EXE，Running，Deny>

所有客户机在运行期间，发生页面映射共享访问时，共享内存页禁止具有可执行权限

客户机运行监管安全策略集P2中的每条策略描述了在何种上下文条件CXT下源客户机sourceVM和目标客户机targetVM之间进行何种交互操作时，应当被允许ALLOW，还是拒绝DENY，或进行其他监管OTHER。如targetVM为空，则此条策略描述在何种上下文条件CXT下某客户机sourceVM进入何种OP状态，应当被允许ALLOW，还是拒绝DENY，或进行其他监管OTHER。

其中：

a)sourceVM、targetVM是对客户机所应满足性质的描述，为其<属性，值>键值对的集合，可以包括客户机ID属性、客户机安全标签、客户机运行状态等各类属性，具体属性值可视实际需求制定。

1)客户机ID属性为客户机编号，用来标识主体、客体的唯一性；

2)客户机安全标签用来表示客户机所具备的安全等级，不同安全等级具有不同的权限；可根据实际需求自行定义安全标签的格式；

3)客户机运行状态包括但不限于以下表达方式:

RUN：运行

PAUSE：挂起/暂停

STOP：关闭

b)OP操作包括源客户机和目标客户机之间的切换、合法消息传递、事件响应、远程调用等操作，或单个客户机的启动、挂起、恢复、关闭等操作。包括但不限于以下表示方式：

1)源客户机和目标客户机之间的操作:

SWITCH：切换

TRANSMIT：合法的消息传递

ANSWER：事件响应

CALL：远程调用

2)单个客户机的操作:

START：启动操作，仅指将处于STOP状态的客户机启动，使其变为RUN状态

SUSPEND：暂停/挂起操作，仅指将处于RUN状态的客户机暂停或挂起，使其变为PAUSE状态

RECOVER：恢复操作，仅指将处于PAUSE状态的客户机恢复为RUN状态

EXIT：关闭操作，关闭客户机，使其变为STOP状态

c)CXT上下文条件是对切换上下文状态的描述，如切换时机、切换地点、切换状态等，切换时机可以为任意时间段描述，切换地点是对访问时移动终端所处位置的描述，切换状态对访问时终端各部件的状态进行约束，如处于Xen启动、系统启动、域创建、域挂起状态，或某客户机cpu、内存等资源使用状态等。

可根据实际运行环境的设置需求，添加不同的切换策略，如在工作日期间(周一至周五早9点至晚5点)在单位办公地点，不允许生活域客户机启动、运行、挂起，只能处于关闭状态；又如：高安全域客户机在任意时间任意地点不能与其他客户机进行消息传递、事件响应、远程调用等操作；任何时间不允许生活域客户机向高安全域客户机切换。

策略集应至少包含对客户机的如下约束策略：

P1-0:<sourceVM(具有高安全标签)，-，RUN，EXIT，Deny>

当具有高安全标签的客户机处于RUN状态时，禁止关闭正在运行的客户机

P1-1:<sourceVM(具有高安全标签)，-，PAUSE，EXIT，Deny>

当具有高安全标签的客户机处于PAUSE状态时，禁止关闭正在挂起的客户机。

总之，本发明将TrustZone和虚拟化安全隔离结合起来，通过将安全世界的TrustZone的安全内存隔离SMI、OSM和相应的安全策略共同协作为每个客户机提供多重安全世界；SMI控制客户机的安全内存映射，OSM监控不同客户机的运行状态，并控制客户机之间的所有安全切换，安全策略库提供的相关安全策略提供安全内存映射相关的策略控制，从而有效地保证数据和代码的安全性和隔离性。

Claims (1)

1.一种移动终端可信隔离环境核心控制方法，其特征在于：由位于可信执行环境TEE，即安全世界中的核心安全控制器CSC和位于富执行环境REE，即普通世界中Hypervisor中的核心安全控制器CSC的安全陷入模块共同实现；所述核心安全控制器CSC的安全陷入模块实现对富执行环境REE运行环境实时监控功能，响应REE运行环境对自身运行环境内存增减、不同REE运行环境状态改变的敏感行为；位于可信执行环境TEE中的核心控制器CSC由安全内存隔离模块SMI、运行状态监控模块OSM和策略库DB构成；安全内存隔离模块SMI负责实现不同运行环境的内存隔离增强能力，运行状态监控模块OSM负责实现监控不同运行环境的运行状态以及相关敏感操作，策略库DB负责为安全内存隔离模块SMI、运行状态监控模块OSM提供安全策略，安全策略是对SMI和OSM提供的一系列操作行为约束，当符合相应策略规则的事件发生时，执行对应的事件处理；

所述运行状态监控模块OSM通过识别普通世界CSC安全陷入模块传递的异常信息，判断监控客户机的运行状态，包括运行、暂停、关闭，保证不同运行环境之间的进程相互隔离性；当接收到客户机合法的切换请求时，通过查询策略库中的客户机的访问权限，进行相应的策略验证，验证不同状态切换请求的合法性，然后返回相应的处理结果，如果合法返回可以切换的结果，否则视为异常且不能切换，保证不同环境切换过程的合法性；此外OSM执行安全策略库的安全策略，对普通世界中客户机运行状态进行监控，并监视所述客户机运行环境切换、启动、挂起、恢复、关闭操作过程，保证客户机运行状态可控；

所述安全内存隔离模块SMI实现为：将普通世界中客户机的地址映射核心功能移交给SMI，将Hypervisor的页表映射功能在SMI上独立实现，通过修改Hypervisor来移除修改页表机制和禁用页表映射的相关指令以及设置所有的页表项操作权限，并以独占的方式协助完成客户机的安全内存地址映射功能；通过将原来位于Hypervisor中加载页表和修改页表项的功能进行封装，然后以接口的方式提供给Hypervisor进行调用，对普通世界的客户机之间内存隔离进行增强；此外，SMI读取安全世界中安全策略库的相关安全策略规则，根据安全策略规则监视Hypervisor的代码段执行与修改、客户机的代码段执行，内存新页申请的敏感操作行为，当这些操作行为发生时执行安全策略库的相关安全策略进行处理；

所述安全策略库的安全策略是对内存页表管理、代码执行检查、运行环境状态监控、客户机操作管理的敏感行为控制，对于SMI，当SMI在运行时将Hypervisor的代码段映射为只读，禁止申请新页及不可降级执行客户机的内存片段，Hypervisor无法将新内存页映射为可执行权限，在客户机发生虚拟地址转换时禁止调用地址转换相关内部hypercall代码，在客户机产生中断时禁止执行原有Hypervisor的中断逻辑；对于OSM通过识别CSC模块传递的异常信息，判断当前客户机的运行状态，当接收到客户机合法的切换请求时，查询策略库中的客户机的访问权限，策略验证正确后返回允许切换的结果；SMI和OSM依据相关约束策略进行对内存隔离和不同运行环境运行状态监控与管理提供安全增强；由于安全策略库位于TEE环境中，所有运行环境均没有访问策略库的权限，因此不能对安全策略库进行访问和修改。

Images