CN113536387B - 一种检测内核数据完整性的终端和方法 - Google Patents

Abstract

本发明公开了一种检测内核数据完整性的终端和方法，用以解决现有技术中存在的无法保证内核数据检测的安全性的问题。本发明的终端确定满足触发条件后，向运行在可信空间的KIMM‑TA发送度量完整性请求，KIMM‑TA接收到KIMM发送的完整性度量请求后，对内存中的内核镜像进行哈希运算，得到哈希值，然后将哈希运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，第一基准值为终端的系统首次启动时KIMM‑TA对内存中的内核镜像进行哈希运算得到的。由于在可信空间进行内核数据的完整性检测，可信空间是移动设备主处理器上的一个安全的区域，从而能够提高检测内核数据完整的安全性。

Description

一种检测内核数据完整性的终端和方法

技术领域

本发明涉及计算机技术领域，特别涉及一种检测内核数据完整性的终端和方法。

背景技术

内核数据完整性检测是为了检测加载到内存中的内核镜像是否被恶意篡改，如果加载到内存中的内核镜像被恶意篡改，则会导致运行结果发生改变。

目前，检测内核数据完整性时，通过运行在内核空间的内核度量模块周期性检测。

然而，由于内核空间容易被攻击，因此无法保证内核数据检测的安全性。

发明内容

本发明提供一种检测内核数据完整性的终端和方法，用以解决现有技术中存在的无法保证内核数据检测的安全性的问题。

第一方面，本发明实施例提供一种检测内核数据完整性的终端，应用于可信空间，该终端包括存储器和处理器：

所述存储器用于存储终端设备运行时所使用的数据或程序代码；

所述处理器用于执行所述程序代码，以实现如下过程：

接收到运行在内核空间的KIMM(Kernel Integration Meature Module，内核完整性度量模块)发送的度量完整性请求后，对内存中的内核镜像进行哈希运算，得到哈希值；

将运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，所述第一基准值为终端的系统首次启动时KIMM-TA(Kernel IntegrationMeature Module-Trusted Application，内核完整性度量可信应用)对内存中的内核镜像进行哈希运算得到的。

上述终端，首先在可信空间接收运行在内核空间的内核完整性度量模块KIMM发送的度量完整性请求，然后对内核中的内核镜像进行哈希运算，得到哈希值，最后将运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，第一基准值为终端的系统首次启动时KIMM-TA对内存中的内核镜像进行哈希运算得到的。由于在可信空间进行内核数据的完整性检测，可信空间是移动设备主处理器上的一个安全的区域，从而能够提高检测内核数据完整的安全性。

在一种可能的实现方式中，所述将哈希运算得到的哈希值作为所述第一基准值之后，将运算得到的哈希值与第一基准值进行比对之前，所述处理器还用于：

若所述度量完整性请求中包含KIMM标识，则将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对，并根据比对结果确定所述KIMM的数据完整，其中，所述第二基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM镜像进行哈希运算得到的；或

若所述度量完整性请求中包含KIMM-Client(Kernel Integration Meaturemodule-Client，内核完整性度量客户端)标识，则将内存中的KIMM-Client镜像进行哈希运算得到的哈希值与第三基准值进行比对，并根据比对结果确定所述KIMM-Client的数据完整，其中，所述第三基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM-Client镜像进行哈希运算得到的。

上述终端，在确定内核数据的完整性之前，确定KIMM的数据完整或确定KIMM-Client的数据完整，从而能够进一步提高检测内核数据完整的安全性。

在一种可能的实现方式中，所述将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对之后，所述处理器还用于：

根据比对结果确定所述KIMM的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息；或

根据比对结果确定所述KIMM-TA的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息。

上述终端，在确定KIMM的数据不完整或KIMM-TA的数据不完整时，向KIMM-Client发送停止已启动的所述系统的消息，从而减小内核被篡改的风险。

在一种可能的实现方式中，所述处理器还用于：

周期接收所述KIMM发送的包含KIMM标识的度量完整性请求。

上述终端，周期接收KIMM发送的包含KIMM标识的度量完整性请求，周期检测内核数据的完整性，从而进一步减小内核被篡改的风险。

第二方面，本发明实施例提供一种检测内核数据完整性的终端，应用于内核空间，该终端包括存储器和处理器：

所述存储器用于存储终端设备运行时所使用的数据或程序代码；

所述处理器用于执行所述程序代码，以实现如下过程：

确定满足触发条件；

向运行在可信空间的内核完整性度量可信应用KIMM-TA发送度量完整性请求，以使所述KIMM-TA确定内核数据的完整性。

上述终端，在内核空间确定满足触发条件后，向运行在可信空间的内核完整性度量应用KIMM-TA发送度量完整性请求，以使所述KIMM-TA确定内核数据的完整性。由于在可信空间进行内核数据的完整性检测，可信空间是移动设备主处理器上的一个安全的区域，从而能够提高检测内核数据完整的安全性。

在一种可能的实现方式中，若所述触发条件为启动所述终端的系统，则所述处理器具体用于：

向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求。

上述终端，向KIMM-TA发送携带所述KIMM标识的度量完整性请求，以使KIMM-TA根据KIMM标识确定检测KIMM的数据完整后，再检测内核数据的完整性，从而能够进一步提高检测内核数据完整的安全性。

在一种可能的实现方式中，所述处理器还用于：

周期向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求，其中，所述周期为所述处理器根据处理器的占用率与周期的对应关系确定的。

上述终端，确定发送度量完整性请求的周期，从而周期性向KIMM-TA发送度量完整性请求，使KIMM-TA周期性检测内核数据完整性，进一步减小内核被篡改的风险。

在一种可能的实现方式中，若所述触发条件为所述KIMM接收KIMM-Client发送的处理度量请求，则所述处理器具体用于：

向所述KIMM-TA发送携带所述KIMM-Client标识的度量完整性请求。

上述终端，向KIMM-TA发送携带所述KIMM-Client标识的度量完整性请求，以使KIMM-TA根据KIMM-Client标识确定检测KIMM-Client的数据完整后，再检测内核数据的完整性，从而能够进一步提高检测内核数据完整的安全性。

第三方面，本发明实施例提供一种检测内核数据完整性的方法，应用于终端中，该方法包括：

运行在可信空间的内核完整性度量可信应用KIMM-TA接收到运行在内核空间的内核完整性度量模块KIMM发送的度量完整性请求后，对内存中的内核镜像进行哈希运算，得到哈希值；

所述KIMM-TA将运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，所述第一基准值为终端的系统首次启动时所述KIMM-TA对内存中的内核镜像进行哈希运算得到的。

在一种可能的实现方式中，所述KIMM-TA将哈希运算得到的哈希值作为所述第一基准值之后，将运算得到的哈希值与第一基准值进行比对之前，还包括：

若所述度量完整性请求中包含KIMM标识，则所述KIMM-TA将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对，并根据比对结果确定所述KIMM的数据完整，其中，所述第二基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM镜像进行哈希运算得到的；或

若所述度量完整性请求中包含KIMM-Client标识，则所述KIMM-TA将内存中的KIMM-Client镜像进行哈希运算得到的哈希值与第三基准值进行比对，并根据比对结果确定所述KIMM-Client的数据完整，其中，所述第三基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM-Client镜像进行哈希运算得到的。

在一种可能的实现方式中，所述KIMM-TA将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对之后，还包括：

所述KIMM-TA根据比对结果确定所述KIMM的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息；或

所述KIMM-TA根据比对结果确定所述KIMM-TA的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息。

在一种可能的实现方式中，该方法还包括：

所述KIMM-TA周期接收所述KIMM发送的包含KIMM标识的度量完整性请求。

第四方面，本发明实施例提供一种检测内核数据完整性的方法，应用于终端中，该方法包括：

运行在内核空间的内核完整性度量模块KIMM确定满足触发条件；

所述KIMM向运行在可信空间的内核完整性度量可信应用KIMM-TA发送度量完整性请求，以使所述KIMM-TA确定内核数据的完整性。

在一种可能的实现方式中，若所述触发条件为启动所述终端的系统，则所述KIMM向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求。

在一种可能的实现方式中，该方法还包括：

所述KIMM周期向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求，其中，所述周期为所述KIMM根据所述终端的处理器的占用率与周期的对应关系确定的。

在一种可能的实现方式中，若所述触发条件为所述KIMM接收KIMM-Client发送的处理度量请求，则所述KIMM向所述KIMM-TA发送携带所述KIMM-Client标识的度量完整性请求。

第五方面，本申请还提供一种计算机存储介质，其上存储有计算机程序，该程序被处理单元执行时实现第三方面至第四方面中任一项所述检测内核完整性的步骤。

另外，第三方面至第四方面中任一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果，此处不再赘述。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种检测内核数据完整性的终端的结构示意图；

图2为本发明实施例提供的一种检测内核数据完整性的终端的软件结构框图；

图3为本发明实施例提供的一种检测内核数据完整性的终端用户界面的示意图；

图4为本发明实施例一种检测内核数据完整性的系统结构示意图；

图5为在终端的显示界面显示重启系统的示意图；

图6为本发明实施例提供的一种确定内核完整性度量基准值的方法流程示意图；

图7为本发明实施例提供的一种检测内核数据完整性的完整方法流程示意图；

图8为本发明实施例提供的KIMM模块确定向KIMM-TA发送携带KIMM-Client标识的完整性度量请求的方法的流程示意图；

图9为本发明实施例提供的一种检测内核数据完整性的方法流程示意图；

图10为本发明实施例提供的另一种检测内核数据完整性的方法流程示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

需要说明的是，本发明中的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

本发明实施例中“根据A确定B”并不意味着仅仅根据A确定B，还可以根据A和其它信息确定B。“A包括B”并不意味着A仅仅包括B，A还可能包括其他信息，如C、D等。

下面对文中出现的一些词语进行解释：

1、本发明实施例中术语TEE，可信执行环境，也可称为可信空间，是移动设备主处理器上的一个安全区域，其可以保证加载到该环境内部的代码和数据的安全性、机密性以及完整性。TEE是一个隔离的安全执行环境，提供的安全特性包含：隔离执行、可信应用的完整性、可信数据的机密性、安全存储等。

2、本发明实施例中术语RPMB，Replay Protected Memory Block，重放保护内存块，是eMMC中的一个具有安全特性的分区。写入数据到RPMB时，会校验数据的合法性，只有指定的Host才能写入；同时在读数据时，也提供了签名机制，保证Host读取到的数据时RPMB中的内部数据，而不是攻击者伪造的数据。

需要说明的是，以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的终端设备和方法的例子。

本发明实施例描述的应用场景是为了更加清楚的说明本发明实施例的技术方案，并不构成对于本发明实施例提供的技术方案的限定，本领域普通技术人员可知，随着新应用场景的出现，本发明实施例提供的技术方案对于类似的技术问题，同样适用。其中，在本发明的描述中，除非另有说明，“多个”的含义。

图1示出了终端100的结构示意图。

下面以终端100为例对实施例进行具体说明。应该理解的是，图1所示终端100仅是一个范例，并且终端100可以具有如图1中所示的更多的或者更少的部件，可以组合两个或多个的部件，或者可以具有不同的部件配置。图1中所示出的各种部件可以在包括一个或多个信号处理和/或专用集成电路在内的硬件、软件、或硬件和软件的组合中实现。

图1中示例性示出了根据示例性实施例中终端100的硬件配置框图。如图1所示，终端100包括：存储器110、显示单元120、传感器130、音频电路140、无线保真(WirelessFidelity，Wi-Fi)模块150、全球定位系统(Global Positioning System，GPS)模块160、处理器170、蓝牙模块151、射频(radio frequency，RF)电路180、摄像头190以及电源210等部件。

存储器110可用于终端100运行时所使用的数据或程序代码。处理器170通过运行存储在存储器110的数据或程序代码，从而执行终端100的各种功能以及数据处理。存储器110可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。存储器110存储有使得终端100能运行的操作系统。本申请中存储器110可以存储操作系统及各种应用程序，还可以存储执行本申请实施例所述方法的代码。

显示单元120可用于接收输入的数字或字符信息，产生与终端100的用户设置以及功能控制有关的信号输入，具体地，显示单元120可以包括设置在终端100正面的触摸屏121，可收集用户在其上或附近的触摸操作，例如点击按钮，拖动滚动框等。

显示单元120还可用于显示由用户输入的信息或提供给用户的信息以及终端100的各种菜单的图形用户界面(graphical user interface，GUI)。具体地，显示单元120可以包括设置在终端100正面的显示屏122。其中，显示屏122可以采用液晶显示器、发光二极管等形式来配置。显示单元120可以用于显示本申请中所述的各种图形用户界面。

其中，触摸屏121可以覆盖在显示屏122之上，也可以将触摸屏121与显示屏122集成而实现终端100的输入和输出功能，集成后可以简称触摸显示屏。本申请中显示单元120可以显示应用程序以及对应的操作步骤。

终端100还可以包括至少一种传感器130，比如温度传感器131、湿度传感器132、风速传感器133。终端100还可配置有陀螺仪、气压计、红外线传感器、光传感器、运动传感器等其他传感器。

音频电路140、扬声器141、麦克风142可提供用户与终端100之间的音频接口。音频电路140可将接收到的音频数据转换后的电信号，传输到扬声器141，由扬声器141转换为声音信号输出。终端100还可配置音量按钮，用于调节声音信号的音量。另一方面，麦克风142将收集的声音信号转换为电信号，由音频电路140接收后转换为音频数据，可以将音频数据输出至存储器110以便进一步处理。本申请中麦克风142可以获取用户的语音。

Wi-Fi属于短距离无线传输技术，终端100可以通过Wi-Fi模块150帮助用户收发电子邮件、浏览网页和访问流媒体等，它为用户提供了无线的宽带互联网访问。

GPS模块160可以获取终端100的地理位置信息。

处理器170是终端100的控制中心，利用各种接口和线路连接整个设备的各个部分，通过运行或执行存储在存储器110内的软件程序，以及调用存储在存储器110内的数据，执行终端100的各种功能和处理数据。在一些实施例中，处理器170可包括一个或多个处理单元；处理器170还可以集成应用处理器和基带处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，基带处理器主要处理无线通信。可以理解的是，上述基带处理器也可以不集成到处理器170中。本申请中处理器170可以运行操作系统、应用程序、用户界面显示及触控响应，以及本申请实施例所述的处理方法。另外，处理器170与显示单元120耦接。

本申请实施例中，在可信空间，处理器170用于接收到运行在内核空间的内核完整性度量模块KIMM发送的度量完整性请求后，对内存中的内核镜像进行哈希运算，得到哈希值；

将运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，所述第一基准值为终端的系统首次启动时KIMM-TA对内存中的内核镜像进行哈希运算得到的。

所述将哈希运算得到的哈希值作为所述第一基准值之后，将运算得到的哈希值与第一基准值进行比对之前，所述处理器170还用于：

若所述度量完整性请求中包含KIMM标识，则将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对，并根据比对结果确定所述KIMM的数据完整，其中，所述第二基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM镜像进行哈希运算得到的；或

若所述度量完整性请求中包含KIMM-Client标识，则将内存中的KIMM-Client镜像进行哈希运算得到的哈希值与第三基准值进行比对，并根据比对结果确定所述KIMM-Client的数据完整，其中，所述第三基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM-Client镜像进行哈希运算得到的。

所述将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对之后，所述处理器170还用于：

根据比对结果确定所述KIMM的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息；或

根据比对结果确定所述KIMM-TA的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息。

所述处理器170还用于：

周期接收所述KIMM发送的包含KIMM标识的度量完整性请求。

本申请实施例中，在内核空间，处理器170用于确定满足触发条件；

向运行在可信空间的内核完整性度量可信应用KIMM-TA发送度量完整性请求，以使所述KIMM-TA确定内核数据的完整性。

若所述触发条件为启动所述终端的系统，则所述处理器170具体用于：

向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求。

所述处理器170还用于：

周期向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求，其中，所述周期为所述处理器根据处理器的占用率与周期的对应关系确定的。

若所述触发条件为所述KIMM接收KIMM-Client发送的处理度量请求，则所述处理器170具体用于：

向所述KIMM-TA发送携带所述KIMM-Client标识的度量完整性请求。

蓝牙模块151，用于通过蓝牙协议来与其他具有蓝牙模块的蓝牙设备进行信息交互。例如，终端100可以通过蓝牙模块151与同样具备蓝牙模块的可穿戴电子设备(例如智能手表)建立蓝牙连接，从而进行数据交互。

RF电路180可用于在收发信息或通话过程中信号的接收和发送，可以接收基站的下行数据后交给处理器170处理；可以将上行数据发送给基站。通常，RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等器件。

摄像头190可用于捕获静态图像或视频。物体通过镜头生成光学图像投射到感光元件。感光元件可以是电荷耦合器件(charge coupled device，CCD)或互补金属氧化物半导体(complementary metal-oxide-semiconductor，CMOS)光电晶体管。感光元件把光信号转换成电信号，之后将电信号传递给处理器170转换成数字图像信号。

终端100还包括给各个部件供电的电源180(比如电池)。电源180可以通过电源管理系统与处理器170逻辑相连，从而通过电源管理系统实现管理充电、放电以及功耗等功能。终端100还可配置有电源按钮，用于终端设备的开机和关机，以及锁屏等功能。

图2是本发明实施例的终端100的软件结构框图。

分层架构将软件分成若干个层，每一层都有清晰的角色和分工。层与层之间通过软件接口通信。在一些实施例中，将Android系统分为四层，从上至下分别为应用程序层，应用程序框架层，安卓运行时(Android runtime)和系统库，以及内核层。

应用程序层可以包括一系列应用程序包。

如图2所示，应用程序包可以包括相机，图库，日历，通话，地图，导航，WLAN，蓝牙，音乐，视频，短信息等应用程序。

应用程序框架层为应用程序层的应用程序提供应用编程接口(applicationprogramming interface，API)和编程框架。应用程序框架层包括一些预先定义的函数。

如图2所示，应用程序框架层可以包括窗口管理器，内容提供器，视图系统，电话管理器，资源管理器，通知管理器等。

窗口管理器用于管理窗口程序。窗口管理器可以获取显示屏大小，判断是否有状态栏，锁定屏幕，截取屏幕等。

内容提供器用来存放和获取数据，并使这些数据可以被应用程序访问。所述数据可以包括视频，图像，音频，拨打和接听的电话，浏览历史和书签，电话簿等。

视图系统包括可视控件，例如显示文字的控件，显示图片的控件等。视图系统可用于构建应用程序。显示界面可以由一个或多个视图组成的。例如，包括短信通知图标的显示界面，可以包括显示文字的视图以及显示图片的视图。

电话管理器用于提供终端设备100的通信功能。例如通话状态的管理(包括接通，挂断等)。

资源管理器为应用程序提供各种资源，比如本地化字符串，图标，图片，布局文件，视频文件等等。

通知管理器使应用程序可以在状态栏中显示通知信息，可以用于传达告知类型的消息，可以短暂停留后自动消失，无需用户交互。比如通知管理器被用于告知下载完成，消息提醒等。通知管理器还可以是以图表或者滚动条文本形式出现在系统顶部状态栏的通知，例如后台运行的应用程序的通知，还可以是以对话窗口形式出现在屏幕上的通知。例如在状态栏提示文本信息，发出提示音，通信终端振动，指示灯闪烁等。

Android Runtime包括核心库和虚拟机。Android runtime负责安卓系统的调度和管理。

核心库包含两部分：一部分是java语言需要调用的功能函数，另一部分是安卓的核心库。

应用程序层和应用程序框架层运行在虚拟机中。虚拟机将应用程序层和应用程序框架层的java文件执行为二进制文件。虚拟机用于执行对象生命周期的管理，堆栈管理，线程管理，安全和异常的管理，以及垃圾回收等功能。

系统库可以包括多个功能模块。例如：表面管理器(surface manager)，媒体库(Media Libraries)，三维图形处理库(例如：OpenGL ES)，2D图形引擎(例如：SGL)等。

表面管理器用于对显示子系统进行管理，并且为多个应用程序提供了2D和3D图层的融合。

媒体库支持多种常用的音频，视频格式回放和录制，以及静态图像文件等。媒体库可以支持多种音视频编码格式，例如:MPEG4，H.264，MP3，AAC，AMR，JPG，PNG等。

三维图形处理库用于实现三维图形绘图，图像渲染，合成，和图层处理等。

2D图形引擎是2D绘图的绘图引擎。

内核层是硬件和软件之间的层。内核层至少包含显示驱动，摄像头驱动，音频驱动，传感器驱动。

下面结合捕获拍照场景，示例性说明终端100软件以及硬件的工作流程。

当触摸屏121接收到触摸操作，相应的硬件中断被发给内核层。内核层将触摸操作加工成原始输入事件(包括触摸坐标，触摸操作的时间戳等信息)。原始输入事件被存储在内核层。应用程序框架层从内核层获取原始输入事件，识别该输入事件所对应的控件。以该触摸操作是触摸单击操作，该单击操作所对应的控件为相机应用图标的控件为例，相机应用调用应用框架层的接口，启动相机应用，进而通过调用内核层启动摄像头驱动，通过摄像头190捕获静态图像或视频。

本申请实施例中的终端100可以为手机、平板电脑、可穿戴设备、笔记本电脑、电视以及存在内核空间、用户空间和TEE空间等运行环境的设备等。

图3是用于示出终端(例如图1的通信终端100)上的用户界面的示意图。在一些具体实施中，用户通过触摸用户界面上的应用图标可以打开相应的应用程序，或者通过触摸用户界面上的文件夹图标可以打开相应的文件夹，然后触摸文件夹中的图标打开相应的应用程序。

本发明实施例中，当用户打开第三方应用程序时，运行在用户空间的KIMM-Client会检测到启动的程序为存在潜在威胁的应用程序；然后KIMM-Client通过ioctl方式给运行在内核空间的KIMM发送“内核完整性度量请求”，使KIMM向运行在可信空间的KIMM-TA发送检测内核数据完整性的请求，KIMM-TA检测内核数据的完整性。

具体的，KIMM-TA检测内核数据的完整性时，首先在可信空间接收运行在内核空间的内核完整性度量模块KIMM发送的度量完整性请求，然后对内核中的内核镜像进行哈希运算，得到哈希值，最后将运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，第一基准值为终端的系统首次启动时KIMM-TA对内存中的内核镜像进行哈希运算得到的。由于在可信空间进行内核数据的完整性检测，可信空间是移动设备主处理器上的一个安全的区域，从而能够提高检测内核数据完整的安全性。

下面以具体实施例对检测内核数据完整性的方法进行说明。

结合图4所示，本发明实施例一种检测内核数据完整性的系统包括：内核完整性度量可信应用(KIMM-TA)10、内核完整性度量模块(KIMM)20。

内核完整性度量可信应用(KIMM-TA)10，用于接收到运行在内核空间的内核完整性度量模块KIMM发送的度量完整性请求后，对内存中的内核镜像进行哈希运算，得到哈希值；将运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，所述第一基准值为终端的系统首次启动时所述KIMM-TA对内存中的内核镜像进行哈希运算得到的。

内核完整性度量模块(KIMM)20，用于确定满足触发条件；向运行在可信空间的内核完整性度量可信应用KIMM-TA发送度量完整性请求，以使所述KIMM-TA确定内核数据的完整性。

本发明实施例，运行在内核空间的KIMM确定满足触发条件后，向运行在可信空间的KIMM-TA发送度量完整性请求，KIMM-TA接收到KIMM发送的完整性度量请求后，对内存中的内核镜像进行哈希运算，得到哈希值，然后将哈希运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，第一基准值为终端的系统首次启动时KIMM-TA对内存中的内核镜像进行哈希运算得到的。由于在可信空间进行内核数据的完整性检测，可信空间是移动设备主处理器上的一个安全的区域，从而能够提高检测内核数据完整的安全性。

这里的触发条件，可以为启动该终端的系统，还可以为KIMM接收运行在用户空间的KIMM-Client发送的处理度量请求，下面分别进行说明。

如果触发条件为启动终端的系统，则KIMM会向KIMM-TA发送携带KIMM标识的度量完整性请求。

相应的，KIMM-TA接收到携带KIMM标识的度量完整性请求后，在检测内核数据的完整性之前，为了进一步提高检测内核数据的安全性，先检测KIMM的数据的安全性。

具体的，KIMM-TA从内存中获取KIMM镜像，然后对获取到的KIMM镜像进行哈希运算，得到哈希值，将得到的哈希值与RPMB中存储的第二基准值进行比对，如果比对结果为相同，则确定KIMM的数据完整；如果比对结果为不同，则确定KIMM的数据不完整。

需要说明的是，第二基准值为在终端的系统首次启动时，内存加载KIMM镜像，然后对KIMM镜像进行哈希运算，得到第二基准值，并将第二基准值保存在RPMB中。

可选的，如果确定KIMM数据完整，则检测内核数据是否完整；如果确定KIMM数据不完整，则KIMM-TA向KIMM-Client发送停止已启动的系统的消息。

相应的，KIMM-Client接收到停止已启动的系统的消息后，停止已启动的系统的运行。

具体的，KIMM-Client接收到停止已启动的系统的消息后，终端可以重启系统。

由于镜像加载到内存之前是一个boot.img文件，文件只有加载到内存中才能被执行。boot.img文件是只读的，无法被修改。但是加载到内存中的镜像就可以被修改，进而导致程序执行逻辑发生变化。如果重启系统，则会在内存中重新加载镜像，因此重启系统可以防止内核数据被篡改。

如图5所示，为在终端的显示界面显示重启系统的示意图。

在终端显示界面上显示“安全提醒，系统内核存在被篡改的风险，请重启手机”。

在一种可选的实施方式中，当触发条件为启动终端的系统，KIMM周期向KIMM-TA发送携带所述KIMM标识的度量完整性请求，该周期为KIMM根据终端的处理器的占用率与周期的对应关系确定的。

需要说明的是，可以预先设置CPU的占用率与发送度量完整性请求的周期的对应关系，然后根据CPU当前的占用率确定发送度量完整性请求的周期。

比如，CPU当前的占用率为0-20％，则发送度量完整性请求的周期为2s；CPU当前的占用率为20％-40％，则发送度量完整性请求的周期为5s。

在实施中，CPU的占用率与发送度量完整性请求的周期的对应关系可以是每10％的CPU的占用率对应一个完整性度量周期。这种对应关系可以通过表格的形式固定下来。因为每一个平台的CPU的架构和性能不同，所以每个平台的对应关系也是不一样的。对应关系的确定是通过实验获取的，保证内核完整性度量运算不能明显影响系统的正常运行。

在一种可能的实现方式中，KIMM会根据CPU当前的占用率动态调整发送度量完整性请求的周期。

动态调整发送度量完整性请求的周期，可以降低CPU的工作压力。

上述是对触发条件为启动终端的系统的说明，下面对触发条件为KIMM接收KIMM-Client发送的处理度量请求进行说明。

如果触发条件为KIMM接收KIMM-Client发送的处理度量请求，则KIMM向KIMM-TA发送携带KIMM-Client标识的度量完整性请求。

在实施中，运行在用户空间中的KIMM-Client开机启动，当KIMM-Client检测到用户空间中程序内shell脚本的执行、未知应用的启动、使用shell运行命令等行为存在潜在的危险动作时，KIMM-Client向KIMM发送处理度量请求，然后KIMM向KIMM-TA发送携带KIMM-Client标识的度量完整性请求。

相应的，KIMM-TA接收到携带KIMM-Client标识的度量完整性请求后，可以先检测内核数据的完整性，也可以在确定KIMM-Client的数据完整后，再检测内核数据的完整性。

具体的，确定KIMM-Client的数据完整时，KIMM-TA从内存中获取KIMM-Client镜像，然后对获取到的KIMM-Client镜像进行哈希运算，得到哈希值，将得到的哈希值与RPMB中存储的第三基准值进行比对，如果比对结果为相同，则确定KIMM-Client的数据完整；如果比对结果为不同，则确定KIMM-Client的数据不完整。

需要说明的是，第三基准值为在终端的系统首次启动时，内存加载KIMM-Client镜像，然后对KIMM-Client镜像进行哈希运算，得到第三基准值，并将第三基准值保存在RPMB中。

可选的，如果确定KIMM-Client的数据完整，则检测内核数据是否完整；如果确定KIMM-Client的数据不完整，则KIMM-TA向KIMM-Client发送停止已启动的系统的消息。

相应的，KIMM-Client接收到停止已启动的系统的消息后，停止已启动的系统的运行。

具体与上述实施例中实现方式相同，此处不再赘述。

本发明实施例在确定内核数据的完整性时，首先对内存中的内核镜像进行哈希运算，得到哈希值，然后将得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性。

具体的，如果比对结果为相同，则确定内核数据完整，如果比对结果为不同，则确定比对结果为不同，则KIMM-TA向KIMM-Client发送停止已启动的系统的消息。

KIMM-Client接收到停止已启动的系统的消息后的具体操作与上述实施例中实现方式相同，此处不再赘述。

下面以具体实施方式对本发明进行说明。

实施例1：

如图6所示，为本发明实施例提供的一种确定内核完整性度量基准值的方法流程示意图。

S600、系统开启secureboot功能；

系统开启secureboot功能可以保证系统镜像加载的正确性。

S601、系统首次启动，加载bootimage到内存并启动；

S602、KIMM模块向KIMM-TA发送计算完整性度量基准值的命令；

S603、KIMM-TA获取内存中的内核镜像；

S604、KIMM-TA将获取到的内核镜像进行哈希运算，将得到的哈希值作为完整性度量基准值；

S605、KIMM-TA将完整性度量基准值保存到RPMB中。

由于RPMB中的默认值是空值，写入后就不能被二次修改，从而保证了基准值的唯一性。

实施例2：

如图7所示，为本发明实施例提供的一种检测内核数据完整性的完整方法流程示意图。

步骤700、系统启动，加载bootimage到内存并启动；

步骤701、加载并启动KIMM模块；

步骤702、KIMM模块按照系统当前的负荷计算度量周期；

步骤703、KIMM模块根据度量周期向KIMM-TA发送携带KIMM标识的度量完整性请求；

步骤704、KIMM-TA被加载到TEE安全可信环境中运行；

步骤705、KIMM-TA确定KIMM模块的完整性；

步骤706、KIMM-TA计算内存中内核镜像的哈希值；

步骤707、KIMM-TA将计算得到的哈希值与RPMB中存储的完整性度量基准值比对；

步骤708、将比对结果返回给用户空间的客户端；

步骤709、如果比对结果为不同，则用户空间的客户端弹框提示用户重启手机；

步骤710、用户空间中的KIMM-Client开机启动；

步骤711、KIMM-Client检测到存在危险动作；

步骤712、KIMM-Client向KIMM模块发送处理度量请求；

步骤713、KIMM模块接收到处理度量请求后，根据请求中的内容及当前系统中度量命令的执行状态确定向KIMM-TA发送携带KIMM-Client标识的完整性度量请求；

步骤714、KIMM-TA确定KIMM-Client模块的完整性；

步骤715、KIMM-TA计算内存中内核镜像的哈希值；

步骤716、KIMM-TA将计算得到的哈希值与RPMB中存储的完整性度量基准值比对；

步骤717、将比对结果返回给用户空间的客户端；

步骤718、如果比对结果为不同，则用户空间的客户端弹框提示用户重启手机。

实施例3：

如图8所示，为本发明实施例提供的KIMM模块确定向KIMM-TA发送携带KIMM-Client标识的完整性度量请求的方法的流程示意图。

S800、未知第三方应用程序A启动；

S801、运行在用户空间的KIMM-Client模块检测到启动的程序A为存在潜在威胁的应用程序；

S802、KIMM-Client模块通过ioctl方式给KIMM模块发送内核完整性度量请求；

S803、KIMM模块接收到来自KIMM-Client模块的请求后，根据条件(系统当前负载、前一次度量命令的发出时间、用户空间启动的进程的类型等)确定发送度量命令的时机；

需要说明的是，KIMM模块发送到KIMM-TA模块的度量命令会携带参数(也可称为标识)，标识该次命令来自用户空间。

S804、KIMM-TA模块执行内核完整性度量动作，依次检查KIMM-Client模块的完整性、KIMM模块的完整性、内核数据的完整性，并反馈结果给KIMM-Client模块。

如图9所示，为本发明实施例提供的一种检测内核数据完整性的方法，应用于终端中，该方法包括：

S900、运行在可信空间的内核完整性度量可信应用KIMM-TA接收到运行在内核空间的内核完整性度量模块KIMM发送的度量完整性请求后，对内存中的内核镜像进行哈希运算，得到哈希值；

S901、所述KIMM-TA将运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，所述第一基准值为终端的系统首次启动时所述KIMM-TA对内存中的内核镜像进行哈希运算得到的。

可选的，所述KIMM-TA将哈希运算得到的哈希值作为所述第一基准值之后，将运算得到的哈希值与第一基准值进行比对之前，还包括：

若所述度量完整性请求中包含KIMM标识，则所述KIMM-TA将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对，并根据比对结果确定所述KIMM的数据完整，其中，所述第二基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM镜像进行哈希运算得到的；或

若所述度量完整性请求中包含KIMM-Client标识，则所述KIMM-TA将内存中的KIMM-Client镜像进行哈希运算得到的哈希值与第三基准值进行比对，并根据比对结果确定所述KIMM-Client的数据完整，其中，所述第三基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM-Client镜像进行哈希运算得到的。

可选的，所述KIMM-TA将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对之后，还包括：

所述KIMM-TA根据比对结果确定所述KIMM的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息；或

所述KIMM-TA根据比对结果确定所述KIMM-TA的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息。

可选的，该方法还包括：

所述KIMM-TA周期接收所述KIMM发送的包含KIMM标识的度量完整性请求。

如图10所示，为本发明实施例提供的另一种检测内核数据完整性的方法，应用于终端中，该方法包括：

S1000、运行在内核空间的内核完整性度量模块KIMM确定满足触发条件；

S1001、所述KIMM向运行在可信空间的内核完整性度量可信应用KIMM-TA发送度量完整性请求，以使所述KIMM-TA确定内核数据的完整性。

可选的，若所述触发条件为启动所述终端的系统，则所述KIMM向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求。

可选的，该方法还包括：

所述KIMM周期向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求，其中，所述周期为所述KIMM根据所述终端的处理器的占用率与周期的对应关系确定的。

可选的，若所述触发条件为所述KIMM接收KIMM-Client发送的处理度量请求，则所述KIMM向所述KIMM-TA发送携带KIMM-Client标识的度量完整性请求。

进一步的，本发明实施例还提供一种计算机可存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述任一方法的步骤。

以上参照示出根据本申请实施例的方法、装置(系统)和/或计算机程序产品的框图和/或流程图描述本申请。应理解，可以通过计算机程序指令来实现框图和/或流程图示图的一个块以及框图和/或流程图示图的块的组合。可以将这些计算机程序指令提供给通用计算机、专用计算机的处理器和/或其它可编程数据处理装置，以产生机器，使得经由计算机处理器和/或其它可编程数据处理装置执行的指令创建用于实现框图和/或流程图块中所指定的功能/动作的方法。

相应地，还可以用硬件和/或软件(包括固件、驻留软件、微码等)来实施本申请。更进一步地，本申请可以采取计算机可使用或计算机可读存储介质上的计算机程序产品的形式，其具有在介质中实现的计算机可使用或计算机可读程序代码，以由指令执行系统来使用或结合指令执行系统而使用。在本申请上下文中，计算机可使用或计算机可读介质可以是任意介质，其可以包含、存储、通信、传输、或传送程序，以由指令执行系统、装置或设备使用，或结合指令执行系统、装置或设备使用。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种检测内核数据完整性的终端，其特征在于，应用于可信空间，该终端包括存储器和处理器：

所述存储器用于存储终端设备运行时所使用的数据或程序代码；

所述处理器用于执行所述程序代码，以实现如下过程：

接收到运行在内核空间的内核完整性度量模块KIMM发送的度量完整性请求后，对内存中的内核镜像进行哈希运算，得到哈希值；

将运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，所述第一基准值为终端的系统首次启动时内核完整性度量可信应用KIMM-TA对内存中的内核镜像进行哈希运算得到的；

其中，将哈希运算得到的哈希值作为所述第一基准值之后，将运算得到的哈希值与第一基准值进行比对之前，所述处理器还用于：

若所述度量完整性请求中包含KIMM标识，则将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对，并根据比对结果确定所述KIMM的数据完整，其中，所述第二基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM镜像进行哈希运算得到的；或

若所述度量完整性请求中包含内核完整性度量客户端KIMM-Client标识，则将内存中的KIMM-Client镜像进行哈希运算得到的哈希值与第三基准值进行比对，并根据比对结果确定所述KIMM-Client的数据完整，其中，所述第三基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM-Client镜像进行哈希运算得到的。

2.如权利要求1所述的终端，其特征在于，所述将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对之后，所述处理器还用于：

根据比对结果确定所述KIMM的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息；或

根据比对结果确定所述KIMM-Client的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息。

3.如权利要求1所述的终端，其特征在于，所述处理器还用于：

周期接收所述KIMM发送的包含KIMM标识的度量完整性请求。

4.一种检测内核数据完整性的终端，其特征在于，应用于内核空间，该终端包括存储器和处理器：

所述存储器用于存储终端设备运行时所使用的数据或程序代码；

所述处理器用于执行所述程序代码，以实现如下过程：

确定满足触发条件；

向运行在可信空间的内核完整性度量可信应用KIMM-TA发送度量完整性请求，以使所述KIMM-TA将内存中的内核完整性度量模块KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对，并根据比对结果确定所述KIMM的数据完整后，检测内核数据的完整性，其中，所述第二基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM镜像进行哈希运算得到的；或将内存中的内核完整性度量客户端KIMM-Client镜像进行哈希运算得到的哈希值与第三基准值进行比对，并根据比对结果确定所述KIMM-Client的数据完整后，检测内核数据的完整性，其中，所述第三基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM-Client镜像进行哈希运算得到的；

其中，若所述触发条件为启动所述终端的系统，则所述处理器具体用于：

向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求，以使所述KIMM-TA根据所述KIMM标识确定检测KIMM的数据完整性后，检测内核数据的完整性；

若所述触发条件为所述KIMM接收KIMM-Client发送的处理度量请求，则所述处理器具体用于：

向所述KIMM-TA发送携带所述KIMM-Client标识的度量完整性请求，以使所述KIMM-TA根据所述KIMM-Client标识确定检测KIMM-Client的数据完整性后，检测内核数据的完整性。

5.如权利要求4所述的终端，其特征在于，所述处理器还用于：

周期向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求，其中，所述周期为所述处理器根据处理器的占用率与周期的对应关系确定的。

6.一种检测内核数据完整性的方法，其特征在于，应用于终端中，该方法包括：

运行在可信空间的内核完整性度量可信应用KIMM-TA接收到运行在内核空间的内核完整性度量模块KIMM发送的度量完整性请求后，对内存中的内核镜像进行哈希运算，得到哈希值；

所述KIMM-TA将运算得到的哈希值与第一基准值进行比对，根据比对结果确定内核数据的完整性，其中，所述第一基准值为终端的系统首次启动时所述KIMM-TA对内存中的内核镜像进行哈希运算得到的；

其中，所述KIMM-TA将哈希运算得到的哈希值作为所述第一基准值之后，将运算得到的哈希值与第一基准值进行比对之前，还包括：

若所述度量完整性请求中包含KIMM标识，则所述KIMM-TA将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对，并根据比对结果确定所述KIMM的数据完整，其中，所述第二基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM镜像进行哈希运算得到的；或

若所述度量完整性请求中包含内核完整性度量客户端KIMM-Client标识，则所述KIMM-TA将内存中的KIMM-Client镜像进行哈希运算得到的哈希值与第三基准值进行比对，并根据比对结果确定所述KIMM-Client的数据完整，其中，所述第三基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM-Client镜像进行哈希运算得到的。

7.如权利要求6所述的方法，其特征在于，所述KIMM-TA将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对之后，还包括：

所述KIMM-TA根据比对结果确定所述KIMM的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息；或

所述KIMM-TA根据比对结果确定所述KIMM-Client的数据不完整，则向所述KIMM-Client发送停止已启动的所述系统的消息。

8.如权利要求6所述的方法，其特征在于，该方法还包括：

所述KIMM-TA周期接收所述KIMM发送的包含KIMM标识的度量完整性请求。

9.一种检测内核数据完整性的方法，其特征在于，应用于终端中，该方法包括：

运行在内核空间的内核完整性度量模块KIMM确定满足触发条件；

所述KIMM向运行在可信空间的内核完整性度量可信应用KIMM-TA发送度量完整性请求，以使所述KIMM-TA将内存中的KIMM镜像进行哈希运算得到的哈希值与第二基准值进行比对，并根据比对结果确定所述KIMM的数据完整后，检测内核数据的完整性，其中，所述第二基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM镜像进行哈希运算得到的；或将内存中的内核完整性度量客户端KIMM-Client镜像进行哈希运算得到的哈希值与第三基准值进行比对，并根据比对结果确定所述KIMM-Client的数据完整，其中，所述第三基准值为所述终端的系统首次启动时，所述KIMM-TA对内存中的KIMM-Client镜像进行哈希运算得到的；

其中，若所述触发条件为启动所述终端的系统，则所述KIMM向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求，以使所述KIMM-TA根据所述KIMM标识确定检测KIMM的数据完整性后，检测内核数据的完整性；

若所述触发条件为所述KIMM接收KIMM-Client发送的处理度量请求，则所述KIMM向所述KIMM-TA发送携带KIMM-Client标识的度量完整性请求，以使所述KIMM-TA根据所述KIMM-Client标识确定检测KIMM-Client的数据完整性后，检测内核数据的完整性。

10.如权利要求9所述的方法，其特征在于，该方法还包括：

所述KIMM周期向所述KIMM-TA发送携带所述KIMM标识的度量完整性请求，其中，所述周期为所述KIMM根据所述终端的处理器的占用率与周期的对应关系确定的。