CN113141612B - 一种移动终端高可信管控方法与系统 - Google Patents
一种移动终端高可信管控方法与系统 Download PDFInfo
- Publication number
- CN113141612B CN113141612B CN202110411848.3A CN202110411848A CN113141612B CN 113141612 B CN113141612 B CN 113141612B CN 202110411848 A CN202110411848 A CN 202110411848A CN 113141612 B CN113141612 B CN 113141612B
- Authority
- CN
- China
- Prior art keywords
- control
- management
- module
- terminal
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提出一种移动终端高可信管控系统及方法,包括:高安全终端在可信隔离环境TIE中部署管控验证代理,管控验证代理包括签名/验签模块以及外设状态读取模块,外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值;在高可信Hypervisor中,包括有主系统内核修复模块和外设状态监测模块,所述外设状态监测模块基于Hypervisor的不可绕过性,为管控验证代理读取真实的被管控对象/终端外设状态值提供可信的接口;所述管控后台中部署有管控实施验证模块。
Description
技术领域
本发明涉及信息安全领域,尤其是一种移动终端高可信管控方法与系统。
背景技术
通过移动终端引发的敏感信息泄露事件屡见不鲜,其中,在高安全需求场景中对移动终端外设管控不力是引起这类事件的重要原因之一。现代移动智能终端普遍具备了丰富的数据采集和环境感知能力(例如,摄像头、麦克风、GPS等),以及多种数据传输能力(如,4G/5G、WiFi、蓝牙等)。这些能力增加了移动终端的攻击面,易被攻击者利用非法获取高安全需求行业敏感信息,例如,攻击者可以直接利用移动终端的麦克风、摄像头录制敏感会议的音视频内容,并通过移动网络、无线网络等通信手段获取相关内容。因此,对移动终端外设模块(如,摄像头、麦克风、GPS、4G/5G、WiFi、蓝牙等)进行有效管控是推动移动终端在高安全领域应用的必要手段之一。
移动终端管控通常有被管控与自管控两种模式。在被管控模式中,终端管控后台下发管控策略/指令,而移动终端接收并执行相应的管控策略/指令;在自管控模式中,场景标识信息与管控策略映射关系表预置于移动终端中,移动终端根据电子围栏等获取场景标识信息并执行相应的管控策略。
实现上述两种管控模式通常需要在移动终端中安装特定的管控应用。终端管控应用一般运行于主系统(如,安卓操作系统),例如,根据标准,移动警务终端中负责管控策略解析、执行及结果上报的安全监控组件运行于操作系统软件和用户应用软件的中间。但是,由于目前业界仍然难以通过形式化验证等技术证明商业操作系统内核的安全性,因此,漏洞一直伴生于商用操作系统。根据文献统计,尽管安卓操作系统内核漏洞在持续修补中,但是仍有大量的内核漏洞未被发现。这些漏洞随时可能被攻击者利用形成内核劫持、欺骗、绕过等管控对抗行为。具体而言:内核管控绕过攻击是指绕过管控应用,由内核直接对移动终端外设进行非法操作;内核管控欺骗攻击是指对管控应用/操作系统的欺骗,如,伪造外设状态或管控策略的执行情况;管控劫持攻击是指通过对管控应用或操作系统外设管控调用进行劫持。针对上述管控对抗攻击,必须采用有效的应对手段保证终端管控策略可信实施,规避失泄密事件发生。
目前已有的移动终端安全管控实施技术方案可分为以下三类:
(1)在终端主操作系统中监测管控行为,这种方式显然无法有效应对内核劫持、欺骗、绕过等管控对抗行为。
(2)在终端的Hypervisor中实现对外设管控行为的监测,由于Hypervisor难以理解各种系统的调用,实现在线管控行为监测必须在Hypervisor中额外引入复杂的分析引擎,导致监测分析消耗大量存储与计算资源,大幅降低终端性能与用户体验。
(3)在终端的可信执行环境(TEE)中监测外设状态,这种技术方案需要在TEE中引入硬件外设驱动和管控行为监测模块,必然导致TEE代码量激增与运行中的频繁TEE陷入,从而大幅降低终端性能与用户体验,并且不可避免增大TEE攻击面。
发明内容
针对现有技术方案存在的问题,本发明提出一种移动终端外设可信管控系统与方法,本发明与在终端主操作系统中监测管控行为的技术方案相比,本发明可有效应对内核劫持、欺骗、绕过等管控对抗行为。
本发明的技术方案为一种移动终端高可信管控系统,包括:
高安全终端在可信隔离环境TIE中部署管控验证代理,管控验证代理包括签名/验签模块以及外设状态读取模块,外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值;
在高可信Hypervisor中,包括有主系统内核修复模块和外设状态监测模块,所述外设状态监测模块基于Hypervisor的不可绕过性,为管控验证代理读取真实的被管控对象/终端外设状态值提供可信的接口;
所述管控后台中部署有管控实施验证模块。
进一步的,基于TIE的高安全性,安全终端在TIE中部署管控验证代理,其中的外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值,从而确保所读取的被管控对象/终端外设状态值真实可信。
进一步的,终端管控平台包括签名/验签模块、管控策略下发模块、管控实施验证模块和管控异常处置模块:
所述管控策略下发模块:根据管理员配置生成管控策略,将其发送至签名/验签模块和管控实施验证模块。
所述签名/验签模块:对终端管控平台通过管控策略下发模块下发的策略签名;对所接收的管控响应进行验签,将验签结果和管控响应报告发送至管控异常处置模块;
所述管控实施验证模块:管控策略下发模块后启动计时,若在管理员所设定的计时阈值范围内未收到验签结果和高安全终端的管控响应报告,则视为管控异常,进而通知管控异常处置模块进行处置;若未超时,则根据验签结果和高安全终端的管控响应报告,判断管控策略是否可信实施,若管控策略未实施或验签失败,则通知管控异常处置模块进行处置;
所述管控异常处置模块:接收到处置管控响应超时、管控策略未实施、验签失败等异常管控响应通知时,向终端发送内核修复指令。
进一步的,在管控策略实施过程中,管控验证代理使用外设状态读取模块周期性地调用高可信Hypervisor读取被管控对象/终端外设真实状态值,并持续将最新的被管控对象/终端外设真实状态值上报至管控平台检测,确保管控过程中发生的任何管控异常都在管控平台被及时发现。
进一步的,高安全终端在主系统中包括管控策略接收模块、管控策略执行模块、管控响应上报模块;
其中,管控策略接收模块用于接收管控平台下发的管控策略或场景信标广播;管控策略执行模块用于根据管控策略,对被管控对象即,终端外设执行管控操作;管控响应上报模块用于与TIE中的管控验证代理交互;通知管控验证代理所执行的管控动作及需验证的外设状态;接收并发送管控验证代理签名的管控行为验证报告至管控平台。
进一步的,所述终端侧签名/验签模块用于验证来自管控策略的签名;接收外设状态读取模块读取值,基于接收值生成管控验证报告,对报告签名后发送给管控响应上报模块;
所述外设状态读取模块用于调用高可信Hypervisor中外设状态监测模块提供的接口,读取被管控外设的状态值;
所述外设状态监测模块用于仅向TIE中的管控验证代理的通过外设状态读取模块提供接口,使管控验证代理能够读取真实、可信的被管控外设的状态值;
所述主系统内核修复模块用于根据管控平台的管控异常处置指令修复主系统内核。
根据本发明的另一方面,提出一种利用前述系统实现被管控策略的方法,包括如下步骤:
(1)终端管控平台通过终端侧签名/验签模块利用预存的私钥对管控指令进行带时间戳的签名,并启动管控响应计时,若超时则执行第(14)步;
(2)终端管控平台将签名后的管控指令通过管控策略下发模块及通信模块经WiFi或蜂窝网络发送到终端;
(3)终端管控应用的管控策略接收模块接收到带签名的管控指令后,通过管控响应上报模块将其上报给TIE中的管控验证代理;
(4)管控验证代理通过终端侧签名/验签模块,用预存的公钥对管控指令进行验签。若验签失败,则执行第(5)-(6)步;若验签通过,从第(7)步开始执行;
(5)若验签失败,管控验证代理通过终端侧签名/验签模块利用预存的私钥对第(4)步中涉及的“验签失败消息”进行签名,并发送给管控应用;
(6)管控应用将管控验证代理生成的验签失败消息及签名通过管控响应上报模块及通信模块上报终端管控平台,管控平台执行第(15)步;
(7)若验签成功,管控应用通过管控策略执行模块执行相应的系统调用,使得被管控对象/终端外设实施管控策略;
(8)管控应用执行管控策略后,通知管控验证代理对所执行的操作进行验证;
(9)管控验证代理通过调用高可信Hypervisor外设状态监测模块提供的接口读取对应被管控对象/终端外设的状态值;
(10)管控验证代理通过终端侧签名/验签模块利用预存的私钥对被管控对象/终端外设的状态值进行带时间戳的签名;
(11)管控验证代理将签名的被管控对象/终端外设状态值反馈给管控应用;
(12)管控应用将被管控对象/终端外设的状态值与签名通过管控响应上报模块及通信模块发送至终端管控平台;
(13)终端管控平台通过签名/验签模块中预存的公钥对签名验签。通过管控实施验证模块根据被管控对象/终端外设状态值对管控指令实施进行检测,若验签失败或检测到管控异常则执行第(15)步;
(14)若管控响应超时,终端管控平台告警,并执行第(15)步;
(15)终端管控平台利用管控异常处置模块分析异常信息后,通过通信模块通知高可信hypervisor调用主系统内核修复模块修复内核级漏洞。
根据本发明的另一方面,提出一种利用前述系统实现自管控策略的方法,包括如下步骤:
(1)终端管控平台通过其终端侧签名/验签模块利用预存的私钥对场景信标值进行带时间戳的签名;
(2)终端管控平台通过场景信标将签名后的场景信标值通过蓝牙广播给终端;
(3)终端管控应用的管控策略接收模块接收到签名后的场景信标值后,通过管控响应上报模块将其上报给TIE中的管控验证代理;
(4)管控验证代理通过终端侧签名/验签模块,用预存的公钥对场景信标值进行验签。若验签失败,则执行第(5)-(6)步;若验签通过,从第(7)步开始执行;
(5)若验签失败,管控验证代理通过终端侧签名/验签模块利用预存的私钥对第(4)步中涉及的“验签失败消息”签名后通知管控应用;
(6)管控应用将管控验证代理生成的验签失败消息及签名通过管控响应上报模块及通信模块上报终端管控平台,终端管控平台执行第(15)步;
(7)若验签成功,管控应用通过管控策略执行模块,根据场景信标值读取对应的管控策略,通过执行相应的系统调用,对被管控对象/终端外设实施管控策略;
(8)管控应用执行管控策略后,通知管控验证代理对所执行的操作进行验证;
(9)管控验证代理通过调用高可信Hypervisor外设状态监测模块提供的接口读取对应被管控对象/终端外设的状态值;
(10)管控验证代理通过终端侧签名/验签模块利用预存的私钥对被管控对象/终端外设的状态值进行带时间戳的签名;
(11)管控验证代理将签名的被管控对象/终端外设状态值反馈给管控应用;
(12)管控应用将被管控对象/终端外设状态值与签名通过管控响应上报模块及通信模块发送至管控平台;
(13)终端管控平台通过签名/验签模块中预存的公钥对签名验签。管控实施验证模块根据被管控对象/终端外设状态值对管控指令实施进行检测,若验签失败或检测到管控异常则执行第(14)步;
(14)终端管控平台利用管控异常处置模块分析异常信息后,通过通信模块通知高可信hypervisor调用主系统内核修复模块修复内核级漏洞。
有益效果
本发明与现有技术相比具有如下优点:
1)与在终端主操作系统中监测管控行为的技术方案相比,本发明可有效应对内核劫持、欺骗、绕过等管控对抗行为。
2)与在终端的Hypervisor中实现对外设管控行为监测的技术方案相比,本发明无需在在Hypervisor中额外引入复杂的分析引擎,在实现终端管控高可信实施的同时,可有效保证用户体验。
3)与在终端的可信执行环境(TEE)中监测外设状态的技术方案相比,本发明无需在TEE中引入硬件外设驱动和管控行为监测模块,可有效控制TEE代码量与攻击面,在实现终端管控高可信实施的同时,可有效保证用户体验。
附图说明
图1移动终端管控系统部署图;
图2本发明移动终端管控可信实施系统功能模块图;
图3本发明被管控可信实施方法流程;
图4本发明自管控可信实施方法流程。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅为本发明的一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域的普通技术人员在不付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明的保护范围。
如图1所示,根据本发明的一个实施例,移动终端管控可信实施系统包括:高安全移动终端(以下简称“高安全终端”)和终端管控平台,双方可通过蜂窝网络、WiFi、蓝牙等多种通信方式交互。
在高安全终端和终端管控平台中分别引入了多个保证管控策略可信实施的功能模块;
如图2所示,在高安全终端架构中,包括安全世界与现实世界。在安全世界中,可信执行环境(TEE)基于终端芯片TrustZone构建,为移动终端软硬件中的基础信息、敏感数据和关键服务提供了基于硬件的安全;在现实世界中,主操作系统与可信隔离环境(TrustedIsolation Environment,TIE)彼此独立运行于高可信Hypervisor之上的虚拟机中。其中,TIE采用虚拟TEE的方式来构建,与主系统内存隔离,其系统镜像通过可信度量机制保证其安全启动。TIE系统功能简单,仅提供签名验签、与Hypervisor交互等功能,攻击面较小。TIE能够有效保证其中的逻辑代码执行不受来自主系统及其内核的安全威胁影响。
基于TIE的高安全性,高安全终端在TIE中部署管控验证代理,其中的外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值,从而确保所读取的被管控对象/终端外设状态值真实可信。相应地,在高可信Hypervisor中,设计有外设状态监测模块,基于Hypervisor的不可绕过性,为管控验证代理读取真实的被管控对象/终端外设状态值提供可信的接口。此外,高安全终端与管控平台的交互,如管控指令的接收与管控响应的上报,均采用基于数字签名的双向认证和完整性保护机制,以抵御包括重放攻击在内的各种管控对抗行为。利用TIE的高安全性和对主系统的隔离性,其中关键的签名与验签操作均由TIE的签名/验签模块实施。
在管控策略实施过程中,管控验证代理使用外设状态读取模块周期性地调用高可信Hypervisor读取被管控对象/终端外设真实状态值,并持续将最新的被管控对象/终端外设真实状态值上报至管控平台检测。通过这一机制,能够确保管控过程中发生的任何管控异常都在管控平台被及时发现。
面向管控策略可信实施,高安全终端在主系统中引入管控策略接收模块、管控策略执行模块、管控响应上报模块,均实现于专用的管控应用中;在TIE中引入了签名/验签模块和外设状态读取模块,均实现于管控验证代理中;在高可信Hypervisor中引入了主系统内核修复模块和外设状态监测模块。上述模块的主要功能说明如下:
管控策略接收模块:接收管控平台下发的管控策略或场景信标广播。
管控策略执行模块:根据管控策略,对被管控对象(即,终端外设)执行管控操作(如,开启或关闭)。
管控响应上报模块:与TIE中的管控验证代理交互;通知管控验证代理所执行的管控动作及需验证的外设状态;接收并发送管控验证代理签名的管控行为验证报告至管控平台。
终端侧签名/验签模块:验证来自管控策略的签名;接收外设状态读取模块读取值,基于接收值生成管控验证报告,对报告签名后发送给管控响应上报模块。
外设状态读取模块:调用高可信Hypervisor中外设状态监测模块提供的接口,读取被管控外设的状态值。
外设状态监测模块:仅向TIE中的管控验证代理(通过外设状态读取模块)提供接口,使管控验证代理能够读取真实、可信的被管控外设的状态值。
主系统内核修复模块:根据管控平台的管控异常处置指令修复主系统内核。具体而言,利用Hypervisor本身的数据流抓取能力,并通过单指令匹配等方法识别管控异常处置指令,进而直接触发主系统内核修复,具体的内核修复技术可使用自适应热修复技术等。
如图2所示,终端管控平台包括签名/验签、管控策略下发、管控实施验证和管控异常处置四个功能模块。它们的主要功能说明如下::
管控策略下发模块:根据管理员配置生成管控策略,将其发送至签名/验签模块和管控实施验证模块。
签名/验签模块:对终端管控平台(通过管控策略下发模块)下发的策略签名;对所接收的管控响应进行验签,将验签结果和管控响应报告发送至管控异常处置模块。
管控实施验证模块:管控策略下发模块后启动计时,若在管理员所设定的计时阈值范围内未收到验签结果和高安全终端的管控响应报告,则视为管控异常,进而通知管控异常处置模块进行处置;若未超时,则根据验签结果和高安全终端的管控响应报告,判断管控策略是否可信实施,若管控策略未实施或验签失败,则通知管控异常处置模块进行处置。
管控异常处置模块:接收到处置管控响应超时、管控策略未实施、验签失败等异常管控响应通知时,向终端发送内核修复指令。
根据本发明的一个实施例,提出了管控策略可信实施方法,其设计的核心思想在于结合了高可信Hypervisor的不可绕过性与TIE的高安全性:由高可信Hypervisor提供被管控对象/终端外设状态的读取接口,并通过部署于TIE的管控验证代理读取,从而确保读取的被管控对象/终端外设状态真实可信,即便主系统内核级的强力攻击也无法对其实施篡改。同时,在管控策略可信实施方法中,管控指令的下发与管控响应的上报均采用了基于带时间戳数字签名的完整性保护机制,从而保证了攻击者对管控响应信息的任何篡改、谎报和欺骗都能够被及时发现。此外,管控策略可信实施方法还设计有管控响应超时,能够检出终端管控长时间无响应的异常。
管控策略可信实施方法支持被管控、自管控两种管控模式。其中,被管控模式面向由安全事件或人为触发的远程终端管控,例如,高安全终端用户向管理员申请进入敏感区域(如,实验场所、机房、会议室等)时,由管理员对高安全终端的外设、应用、基本功能进行远程管控;自管控模式面向由终端进入特定的地理范围自动触发的终端管控,例如,用户携带高安全终端进入部署信标的会议室。下面将分别介绍具体的自管控、被管控可信实施方法。
根据本发明的一个实施例,被管控可信实施方法具体如下:
作为被动管控可信实施的前提,利用PKI体系中的证书管理协议(CMP)对终端的管控验证代理和终端管控平台之间进行身份认证。
被管控可由安全事件或人为触发,其工作流程如图3所示,具体描述如下:
(1)终端管控平台通过终端侧签名/验签模块利用预存的私钥对管控指令(如,关闭MIC)进行带时间戳的签名,并启动管控响应计时,若超时则执行第(14)步。
(2)终端管控平台将签名后的管控指令通过管控策略下发模块及通信模块经WiFi或蜂窝网络发送到终端。
(3)终端管控应用的管控策略接收模块接收到带签名的管控指令后,通过管控响应上报模块将其上报给TIE中的管控验证代理。
(4)管控验证代理通过终端侧签名/验签模块,用预存的公钥对管控指令进行验签。若验签失败,则执行第(5)-(6)步;若验签通过,从第(7)步开始执行。
(5)若验签失败,管控验证代理通过终端侧签名/验签模块利用预存的私钥对第(4)步中涉及的“验签失败消息”进行签名,并发送给管控应用。
(6)管控应用将管控验证代理生成的验签失败消息及签名通过管控响应上报模块及通信模块上报终端管控平台,管控平台执行第(15)步。
(7)若验签成功,管控应用通过管控策略执行模块执行相应的系统调用,使得被管控对象/终端外设实施管控策略(如,关闭MIC)。
(8)管控应用执行管控策略后,通知管控验证代理对所执行的操作进行验证。
(9)管控验证代理通过调用高可信Hypervisor外设状态监测模块提供的接口读取对应被管控对象/终端外设的状态值。
(10)管控验证代理通过终端侧签名/验签模块利用预存的私钥对被管控对象/终端外设的状态值进行带时间戳的签名。
(11)管控验证代理将签名的被管控对象/终端外设状态值反馈给管控应用。
(12)管控应用将被管控对象/终端外设的状态值与签名通过管控响应上报模块及通信模块发送至终端管控平台。
(13)终端管控平台通过签名/验签模块中预存的公钥对签名验签。通过管控实施验证模块根据被管控对象/终端外设状态值对管控指令实施进行检测,若验签失败或检测到管控异常则执行第(15)步。
(14)若管控响应超时,终端管控平台告警,并执行第(15)步。
(15)终端管控平台利用管控异常处置模块分析异常信息后,通过通信模块通知高可信hypervisor调用主系统内核修复模块修复内核级漏洞。
根据本发明的一个实施例,自管控可信实施方法具体如下:
作为自管控可信实施的前提,利用PKI体系中的证书管理协议(CMP)对终端的管控验证代理和场景信标之间进行身份认证。此外,管控平台需预先将管控策略及对应场景信标值下发至终端,由终端安全保存。当终端进入由场景信标所标定的“电子围栏”区域后,将收到场景信标广播的场景信标值,从而触发对应自管控策略的实施。
其工作流程如图4所示,具体描述如下:
(1)终端管控平台通过其终端侧签名/验签模块利用预存的私钥对场景信标值(如,关闭MIC)进行带时间戳的签名。
(2)终端管控平台通过场景信标将签名后的场景信标值通过蓝牙广播给终端(蓝牙)。
(3)终端管控应用的管控策略接收模块接收到签名后的场景信标值后,通过管控响应上报模块将其上报给TIE中的管控验证代理。
(4)管控验证代理通过终端侧签名/验签模块,用预存的公钥对场景信标值进行验签。若验签失败,则执行第(5)-(6)步;若验签通过,从第(7)步开始执行。
(5)若验签失败,管控验证代理通过终端侧签名/验签模块利用预存的私钥对第(4)步中涉及的“验签失败消息”签名后通知管控应用。
(6)管控应用将管控验证代理生成的验签失败消息及签名通过管控响应上报模块及通信模块上报终端管控平台,终端管控平台执行第(15)步。
(7)若验签成功,管控应用通过管控策略执行模块,根据场景信标值读取对应的管控策略,通过执行相应的系统调用,对被管控对象/终端外设实施管控策略(如,关闭MIC)。
(8)管控应用执行管控策略后,通知管控验证代理对所执行的操作进行验证。
(9)管控验证代理通过调用高可信Hypervisor外设状态监测模块提供的接口读取对应被管控对象/终端外设的状态值。
(10)管控验证代理通过终端侧签名/验签模块利用预存的私钥对被管控对象/终端外设的状态值进行带时间戳的签名。
(11)管控验证代理将签名的被管控对象/终端外设状态值反馈给管控应用。
(12)管控应用将被管控对象/终端外设状态值与签名通过管控响应上报模块及通信模块发送至管控平台。
(13)终端管控平台通过签名/验签模块中预存的公钥对签名验签。管控实施验证模块根据被管控对象/终端外设状态值对管控指令实施进行检测,若验签失败或检测到管控异常则执行第(14)步。
(14)终端管控平台利用管控异常处置模块分析异常信息后,通过通信模块通知高可信hypervisor调用主系统内核修复模块修复内核级漏洞。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,且应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。
Claims (5)
1.一种移动终端高可信管控系统,其特征在于,包括高安全移动终端和终端管控平台:
所述高安全移动终端包括主系统、可信隔离环境TIE、可信执行环境TEE、高可信Hypervisor;
高安全移动终端在可信隔离环境TIE中部署管控验证代理,管控验证代理包括终端侧签名/验签模块以及外设状态读取模块,外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值; TIE采用虚拟TEE的方式来构建,与主系统内存隔离,其系统镜像通过可信度量机制保证其安全启动;
可信执行环境TEE基于终端芯片TrustZone构建,为移动终端软硬件中的基础信息、敏感数据和关键服务提供了基于硬件的安全;
在高可信Hypervisor中,包括有主系统内核修复模块和外设状态监测模块,所述外设状态监测模块基于Hypervisor的不可绕过性,为管控验证代理读取真实的被管控对象/终端外设状态值提供可信的接口;
所述主系统内核修复模块用于根据管控平台的管控异常处置指令修复主系统内核;
所述外设状态监测模块用于仅向TIE中的管控验证代理通过外设状态读取模块提供接口,使管控验证代理能够读取真实、可信的被管控外设的状态值;
基于TIE的高安全性,安全终端在TIE中部署管控验证代理,其中的外设状态读取模块能够不受主系统干扰地调用高可信Hypervisor读取被管控对象/终端外设状态值,从而确保所读取的被管控对象/终端外设状态值真实可信;
高安全移动终端在主系统中包括管控策略接收模块、管控策略执行模块、管控响应上报模块;
其中,管控策略接收模块用于接收管控平台下发的管控策略或场景信标广播;管控策略执行模块用于根据管控策略,对被管控对象即,终端外设执行管控操作;管控响应上报模块用于与TIE中的管控验证代理交互;通知管控验证代理所执行的管控动作及需验证的外设状态;接收并发送管控验证代理签名的管控行为验证报告至管控平台;
所述终端侧签名/验签模块用于验证来自管控策略的签名;接收外设状态读取模块读取值,基于接收值生成管控验证报告,对报告签名后发送给管控响应上报模块;
所述外设状态读取模块用于调用高可信Hypervisor中外设状态监测模块提供的接口,读取被管控外设的状态值;
终端管控平台中部署有管控实施验证模块。
2.根据权利要求1所述的一种移动终端高可信管控系统,其特征在于,终端管控平台包括签名/验签模块、管控策略下发模块、管控实施验证模块和管控异常处置模块:
所述管控策略下发模块:根据管理员配置生成管控策略,将其发送至签名/验签模块和管控实施验证模块;
所述签名/验签模块:对终端管控平台通过管控策略下发模块下发的策略签名;对所接收的管控响应进行验签,将验签结果和管控响应报告发送至管控异常处置模块;
所述管控实施验证模块:管控策略下发模块后启动计时,若在管理员所设定的计时阈值范围内未收到验签结果和高安全移动终端的管控响应报告,则视为管控异常,进而通知管控异常处置模块进行处置;若未超时,则根据验签结果和高安全移动终端的管控响应报告,判断管控策略是否可信实施,若管控策略未实施或验签失败,则通知管控异常处置模块进行处置;
所述管控异常处置模块:接收到处置管控响应超时、管控策略未实施、验签失败等异常管控响应通知时,向终端发送内核修复指令。
3.根据权利要求1所述的一种移动终端高可信管控系统,其特征在于,在管控策略实施过程中,管控验证代理使用外设状态读取模块周期性地调用高可信Hypervisor读取被管控对象/终端外设真实状态值,并持续将最新的被管控对象/终端外设真实状态值上报至管控平台检测,确保管控过程中发生的任何管控异常都在管控平台被及时发现。
4.一种利用权利要求1-3之一的系统实现被管控策略的方法,其特征在于包括如下步骤:
(1) 终端管控平台通过终端侧签名/验签模块利用预存的私钥对管控指令进行带时间戳的签名,并启动管控响应计时,若超时则执行第(14)步;
(2) 终端管控平台将签名后的管控指令通过管控策略下发模块及通信模块经WiFi或蜂窝网络发送到终端;
(3) 终端管控应用的管控策略接收模块接收到带签名的管控指令后,通过管控响应上报模块将其上报给TIE中的管控验证代理;
(4) 管控验证代理通过终端侧签名/验签模块,用预存的公钥对管控指令进行验签;若验签失败,则执行第(5)-(6)步;若验签通过,从第(7)步开始执行;
(5) 若验签失败,管控验证代理通过终端侧签名/验签模块利用预存的私钥对第(4)步中涉及的“验签失败消息”进行签名,并发送给管控应用;
(6) 管控应用将管控验证代理生成的验签失败消息及签名通过管控响应上报模块及通信模块上报终端管控平台,管控平台执行第(15)步;
(7) 若验签成功,管控应用通过管控策略执行模块执行相应的系统调用,使得被管控对象/终端外设实施管控策略;
(8) 管控应用执行管控策略后,通知管控验证代理对所执行的操作进行验证;
(9) 管控验证代理通过调用高可信Hypervisor外设状态监测模块提供的接口读取对应被管控对象/终端外设的状态值;
(10)管控验证代理通过终端侧签名/验签模块利用预存的私钥对被管控对象/终端外设的状态值进行带时间戳的签名;
(11)管控验证代理将签名的被管控对象/终端外设状态值反馈给管控应用;
(12)管控应用将被管控对象/终端外设的状态值与签名通过管控响应上报模块及通信模块发送至终端管控平台;
(13)终端管控平台通过签名/验签模块中预存的公钥对签名验签;通过管控实施验证模块根据被管控对象/终端外设状态值对管控指令实施进行检测,若验签失败或检测到管控异常则执行第(15)步;
(14)若管控响应超时,终端管控平台告警,并执行第(15)步;
(15)终端管控平台利用管控异常处置模块分析异常信息后,通过通信模块通知高可信hypervisor调用主系统内核修复模块修复内核级漏洞。
5.一种利用权利要求1-3之一的系统实现自管控策略的方法,其特征在于包括如下步骤:
(1) 终端管控平台通过其终端侧签名/验签模块利用预存的私钥对场景信标值进行带时间戳的签名;
(2) 终端管控平台通过场景信标将签名后的场景信标值通过蓝牙广播给终端;
(3) 终端管控应用的管控策略接收模块接收到签名后的场景信标值后,通过管控响应上报模块将其上报给TIE中的管控验证代理;
(4) 管控验证代理通过终端侧签名/验签模块,用预存的公钥对场景信标值进行验签;若验签失败,则执行第(5)-(6)步;若验签通过,从第(7)步开始执行;
(5) 若验签失败,管控验证代理通过终端侧签名/验签模块利用预存的私钥对第(4)步中涉及的“验签失败消息”签名后通知管控应用;
(6) 管控应用将管控验证代理生成的验签失败消息及签名通过管控响应上报模块及通信模块上报终端管控平台,终端管控平台执行第(15)步;
(7) 若验签成功,管控应用通过管控策略执行模块,根据场景信标值读取对应的管控策略,通过执行相应的系统调用,对被管控对象/终端外设实施管控策略;
(8) 管控应用执行管控策略后,通知管控验证代理对所执行的操作进行验证;
(9) 管控验证代理通过调用高可信Hypervisor外设状态监测模块提供的接口读取对应被管控对象/终端外设的状态值;
(10)管控验证代理通过终端侧签名/验签模块利用预存的私钥对被管控对象/终端外设的状态值进行带时间戳的签名;
(11)管控验证代理将签名的被管控对象/终端外设状态值反馈给管控应用;
(12)管控应用将被管控对象/终端外设状态值与签名通过管控响应上报模块及通信模块发送至管控平台;
(13)终端管控平台通过签名/验签模块中预存的公钥对签名验签;管控实施验证模块根据被管控对象/终端外设状态值对管控指令实施进行检测,若验签失败或检测到管控异常则执行第(14)步;
(14)终端管控平台利用管控异常处置模块分析异常信息后,通过通信模块通知高可信hypervisor调用主系统内核修复模块修复内核级漏洞。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110411848.3A CN113141612B (zh) | 2021-04-16 | 2021-04-16 | 一种移动终端高可信管控方法与系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110411848.3A CN113141612B (zh) | 2021-04-16 | 2021-04-16 | 一种移动终端高可信管控方法与系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113141612A CN113141612A (zh) | 2021-07-20 |
CN113141612B true CN113141612B (zh) | 2022-09-16 |
Family
ID=76812630
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110411848.3A Active CN113141612B (zh) | 2021-04-16 | 2021-04-16 | 一种移动终端高可信管控方法与系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113141612B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105786588A (zh) * | 2016-02-22 | 2016-07-20 | 中南大学 | 一种净室可信虚拟机监控器的远程认证方法 |
CN109086100A (zh) * | 2018-07-26 | 2018-12-25 | 中国科学院信息工程研究所 | 一种高安全可信移动终端安全体系架构及安全服务方法 |
CN109241783A (zh) * | 2018-08-14 | 2019-01-18 | 中国科学院信息工程研究所 | 移动终端管控策略的实施方法及装置 |
CN109522754A (zh) * | 2018-11-28 | 2019-03-26 | 中国科学院信息工程研究所 | 一种移动终端可信隔离环境核心控制方法 |
CN112464182A (zh) * | 2020-12-09 | 2021-03-09 | 北京元心科技有限公司 | 一种移动设备管理的安全管控方法、装置、介质和设备 |
CN112583826A (zh) * | 2020-12-10 | 2021-03-30 | 四川虹微技术有限公司 | 一种基于区块链的远程度量方法、监控方法、装置及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9578008B2 (en) * | 2015-05-11 | 2017-02-21 | Intel Corporation | Technologies for secure bootstrapping of virtual network functions |
US10341321B2 (en) * | 2016-10-17 | 2019-07-02 | Mocana Corporation | System and method for policy based adaptive application capability management and device attestation |
-
2021
- 2021-04-16 CN CN202110411848.3A patent/CN113141612B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105786588A (zh) * | 2016-02-22 | 2016-07-20 | 中南大学 | 一种净室可信虚拟机监控器的远程认证方法 |
CN109086100A (zh) * | 2018-07-26 | 2018-12-25 | 中国科学院信息工程研究所 | 一种高安全可信移动终端安全体系架构及安全服务方法 |
CN109241783A (zh) * | 2018-08-14 | 2019-01-18 | 中国科学院信息工程研究所 | 移动终端管控策略的实施方法及装置 |
CN109522754A (zh) * | 2018-11-28 | 2019-03-26 | 中国科学院信息工程研究所 | 一种移动终端可信隔离环境核心控制方法 |
CN112464182A (zh) * | 2020-12-09 | 2021-03-09 | 北京元心科技有限公司 | 一种移动设备管理的安全管控方法、装置、介质和设备 |
CN112583826A (zh) * | 2020-12-10 | 2021-03-30 | 四川虹微技术有限公司 | 一种基于区块链的远程度量方法、监控方法、装置及系统 |
Non-Patent Citations (2)
Title |
---|
基于TEE的主动可信TPM/TCM设计与实现;董攀等;《软件学报》;20200515(第05期);全文 * |
基于TrustZone的开放环境中敏感应用防护方案;张英骏等;《计算机研究与发展》;20171015(第10期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113141612A (zh) | 2021-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110113167B (zh) | 一种智能终端的信息保护方法、系统以及可读存储介质 | |
Cazorla et al. | Cyber stealth attacks in critical information infrastructures | |
CN108632276B (zh) | 一种计算机网络信息安全系统 | |
WO2015149663A1 (zh) | 一种智能电网嵌入式设备网络攻击诱捕系统和诱捕方法 | |
Lalande et al. | Hiding privacy leaks in android applications using low-attention raising covert channels | |
CN109344609B (zh) | 一种tcu模块、tcu系统及保护方法 | |
CN112351017B (zh) | 横向渗透防护方法、装置、设备及存储介质 | |
CN116708210A (zh) | 一种运维处理方法和终端设备 | |
CN111010384A (zh) | 一种物联网终端自我安全防御系统及其安全防御方法 | |
Lei et al. | A threat to mobile cyber-physical systems: Sensor-based privacy theft attacks on android smartphones | |
CN113382076A (zh) | 物联网终端安全威胁分析方法及防护方法 | |
Dellios et al. | Information security compliance over intelligent transport systems: Is it possible? | |
US11222116B2 (en) | Heartbeat signal verification | |
Rekik et al. | A cyber-physical threat analysis for microgrids | |
Strandberg et al. | Resilient shield: Reinforcing the resilience of vehicles against security threats | |
CN108694329B (zh) | 一种基于软硬件结合的移动智能终端安全事件可信记录系统及方法 | |
Nilsson et al. | Creating a secure infrastructure for wireless diagnostics and software updates in vehicles | |
CN113141612B (zh) | 一种移动终端高可信管控方法与系统 | |
CN110401621A (zh) | 一种敏感指令的防护方法、设备及存储介质 | |
CN111898167A (zh) | 包括身份信息验证的外接式终端防护设备及防护系统 | |
KR101614809B1 (ko) | 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법 | |
CN107968777B (zh) | 网络安全监控系统 | |
Chen et al. | Classified security protection evaluation for vehicle information system | |
CN111556024B (zh) | 一种反向接入控制系统及方法 | |
CN111555857B (zh) | 一种边缘网络和网络传输方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |