CN115470477A - 智能终端及其处理器系统、可信执行方法 - Google Patents

Abstract

本发明公开了一种智能终端及其处理器系统、可信执行方法。根据本发明实施例的智能终端的处理器系统包括安全子系统，所述安全子系统的至少一部分运行于所述智能终端的可信执行环境，用于提供可信根和/或进行密码运算。根据本发明实施例的可信执行方法从所述可信执行环境中获取可信根；和/或通过所述可信执行环境进行密码运算。根据本发明实施例的智能终端及其处理器系统、可信执行方法，安全性更好、成本更低，且更容易升级维护。

Description

智能终端及其处理器系统、可信执行方法

技术领域

本发明涉及智能终端的安全技术领域，特别涉及一种智能终端及其处理器系统、可信执行方法。

背景技术

TPM(Trusted Platform Module，可信平台模块)/TCM(Trust cryptographymodule，可信密码模块)安全芯片用途十分广泛，配合专用软件可以实现存储、管理BIOS(Basic Input Output System，基本输入输出系统)开机密码以及硬盘密码，对登录系统、应用软件登录等进行加密，加密硬盘任意分区等功能。

在现有技术中，TPM/TCM构建技术不具备对主机系统进行主动访问和监控的能力，甚至难以掌控系统上电时的代码可信性。此外，TPM/TCM芯片通常为廉价芯片，性能普遍偏低，在成本、功耗、散热等方面不利因素较多，且芯片封装不易升级维护。

因此，希望能有一种新的智能终端及其处理器系统、可信执行方法，能够解决上述问题。

发明内容

鉴于上述问题，本发明的目的在于提供一种智能终端及其处理器系统、可信执行方法，从而提高安全性，降低成本。

根据本发明的一方面，提供一种智能终端的处理器系统，包括安全子系统，所述安全子系统的至少一部分运行于所述智能终端的可信执行环境，用于提供可信根和/或进行密码运算。

可选地，所述安全子系统包括可信平台模块，所述可信平台模块的至少一部分运行于所述可信执行环境，用于提供可信根；可信密码模块，所述可信密码模块的至少一部分运行于所述可信执行环境，用于进行密码运算。

可选地，所述安全子系统通过物理接口与被度量设备相连接以进行通信；所述安全子系统还包括可信根单元和可信应用单元，所述可信根单元与所述可信应用单元相连接以提供可信根。

可选地，所述可信根单元包括可信度量根子单元、可信报告根子单元和可信存储根子单元中的至少一种。

可选地，所述安全子系统包括应用处理单元和可信平台/可信密码系统单元；所述应用处理单元用于客户端应用的运行，所述客户端应用运行于富执行环境；所述可信平台/可信密码系统单元调用运行于所述可信执行环境中的可信应用以支持所述客户端应用的运行。

可选地，所述可信应用包括对称引擎、非对称引擎、杂凑引擎、随机数发生器、HMAC引擎、执行引擎、非易失性存储器、易失性存储器、密钥生成器、电源控制器、管理器和授权器中的至少一种。

可选地，所述安全子系统包括内核单元；所述内核单元用于可信执行环境的驱动。

可选地，所述安全子系统包括硬件单元；所述硬件单元包括随机数产生器、时钟器、密码算法引擎和非易失性存储器中的至少一种。

根据本发明的另一方面，提供一种智能终端，该智能终端包括如上所述的处理器系统。

根据本发明的又一方面，提供一种可信执行方法，应用于如上所述的智能终端，该可信执行方法包括从所述可信执行环境中获取可信根；和/或通过所述可信执行环境进行密码运算。

可选地，所述可信执行方法包括客户端应用在所述处理器系统上电时启动并初始化，所述可信执行环境对可信应用进行完整性校验；所述客户端应用通过调用可信执行环境打开所述可信应用，其中，打开所述可信应用时，所述可信应用进行固件完整性检测；所述客户端应用接收可信服务管理平台下发的指令，通过物理串口协议收发数据；所述客户端应用对接收的数据进行处理，并判断指令是否接收完整，在所述指令完整的情况下，打开所述可信应用，并通过所述可信执行环境将所述指令传递给所述可信应用处理；所述可信应用对所述指令进行分发处理，并通过调用GP标准接口使用硬件资源，返回响应数据；所述客户应用端关闭所述可信应用；将所述响应数据发送给所述可信服务管理平台。

可选地，所述可信应用进行固件完整性检测包括所述安全子系统上电，所述可信执行环境安全引导启动；所述客户应用端和所述可信应用进行算法正确性自测试，其中，在所述算法正确性自测试失败的情况下，所述安全子系统锁定；在所述算法正确性自测试成功后，获取所述可信执行环境验证固件使用的公钥；获取所述固件的签名结果，其中，在所述签名结果获取失败的情况下，所述安全子系统锁定；在所述签名结果获取成功后，验证所述签名结果是否合法，其中，在所述验证结果不合法的情况下，所述安全子系统锁定；在所述签名结果验证成功后，启动所述安全子系统。

根据本发明实施例的智能终端及其处理器系统、可信执行方法，由可信执行环境提供可信根和/或在可信执行环境中进行密码运算，无需专门的硬件支持，在降低装置成本的同时，降低了升级维护的难度。

进一步地，安全子系统的至少一部分运行在可信执行环境，代码执行效率高，安全性也更高。

进一步地，在数据处理过程中，包括固件完整性校验，能够防止客户端应用或者可信应用被非法篡改，提高了安全性。

进一步地，客户应用端在富执行环境下运行，可信应用在可信执行环境下运行，保证了运行的效率。

附图说明

通过以下参照附图对本发明实施例的描述，本发明的上述以及其他目的、特征和优点将更为清楚，在附图中：

图1示出了根据本发明实施例的安全子系统的结构示意图。

图2示出了根据本发明实施例的基于可信执行环境的可信计算平台功能架构。

图3示出了根据本发明实施例的基于可信执行环境的安全子系统架构。

图4示出了根据本发明实施例的可信执行方法的方法流程图。

图5示出了图4所示方法流程图对应的流程框图。

图6示出了根据本发明实施例的固件完整性检测的方法流程图。

图7示出了图6所示方法流程图对应的流程框图。

具体实施方式

以下将参照附图更详细地描述本发明的各种实施例。在各个附图中，相同的元件采用相同或类似的附图标记来表示。为了清楚起见，附图中的各个部分没有按比例绘制。此外，在图中可能未示出某些公知的部分。

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。在下文中描述了本发明的许多特定的细节，例如部件的结构、材料、尺寸、处理工艺和技术，以便更清楚地理解本发明。但正如本领域的技术人员能够理解的那样，可以不按照这些特定的细节来实现本发明。

应当理解，在描述部件的结构时，当将一层、一个区域称为位于另一层、另一个区域“上面”或“上方”时，可以指直接位于另一层、另一个区域上面，或者在其与另一层、另一个区域之间还包含其它的层或区域。并且，如果将部件翻转，该一层、一个区域将位于另一层、另一个区域“下面”或“下方”。

可信基础模块始于2000年可信计算平台联盟(trusted computing platformalliance)制定的TPM1.0规范，随后逐渐发展出TPM1.1规范、TPM1.2规范、TPM2.0规范。2007年12月，国家密码管理局将可信基础模块定义为可信密码模块(trust cryptographymodule，TCM)。相较于TPM，TCM采用了国密算法，同时引入了对称密钥算法，简化了TPM中复杂的密钥管理。

现有的TPM和TCM的构成和功能类似，提供可信计算平台的信任根，是由CPU、存储器、I/O、密码协处理器、随机数产生器和嵌入式操作系统等部件组成的独立SoC芯片。发明人发现，随着信息安全应用需求的不断变化，基于TPM/TCM的信任链方案，存在着BIOS可擦写、通讯数据可被窃取、可信根缺乏对硬件设备的控制权等问题，已经不能满足应用需求。

发明人提出了一种新的智能终端的处理器系统。该处理器系统包括安全子系统，安全子系统的至少一部分运行于智能终端的可信执行环境，用于提供可信根和/或进行密码运算。可选地，处理器系统包括智能终端的中央处理器(central processing unit，CPU)。

图1示出了根据本发明实施例的安全子系统的结构示意图。在一个具体实施例中，安全子系统100包括可信平台模块110和可信密码模块120。

具体地讲，可信平台模块110的至少一部分运行于可信执行环境，用于提供可信根。

可信密码模块120的至少一部分运行于可信执行环境，用于进行密码运算。

图2示出了根据本发明实施例的基于可信执行环境的可信计算平台功能架构。如图2所示，安全子系统100通过物理接口与被度量设备200相连接以进行通信。可选地，物理接口例如包括物理串口，安全子系统100和被度量设备200通过通信串口进行通信。

安全子系统100包括可信根单元和可信应用单元(Trusted Application，TA)，可信根单元与可信应用单元相连接以提供可信根。可选地，可信根单元包括可信度量根子单元、可信报告根子单元和可信存储根子单元中的至少一种。具体地讲，信任根是可信计算机的可信起基点，也是实施安全控制的点。可信度量根(root of trust for measurement,RTM)，是可信平台进行可信度量的基点，在TCG的可信平台中，是平台启动时首先执行的一段软件，用以对计算机可信度量。又被称为可信度量根核(CRTM)。具体到可信计算PC中，是BIOS中最开始的代码。可信存储根(root of trust for storage，RTS)，RTS是对可信度量值进行安全存储的基点。

图3示出了根据本发明实施例的基于可信执行环境的安全子系统架构。

可信执行环境(Trusted execution environment，TEE)基于硬件安全的CPU实现了基于内存隔离的安全计算，可在保证计算效率的前提下完成隐私保护的计算。TEE是一个与设备操作系统并行，但相互隔离的执行环境。TEE可以保护其中的数据免受一般的软件攻击，TEE可以使用多种技术实现，在不同的技术实现下TEE的安全性等级也会有所不同。

TEE提供了一个与富执行环境(Rich Execution Environment，REE)隔离的环境保存用户的敏感信息，TEE可以直接获取REE的信息，而REE不能获取TEE的信息。TEE所能访问的软硬件资源是与Rich OS分离的。TEE提供了授权安全软件(可信应用，TA)的安全执行环境，同时也保护TA的资源和数据的保密性，完整性和访问权限。为了保证TEE本身的可信根，TEE在安全启动过程中是要通过验证并且与Rich OS隔离的。在TEE中，每个TA是相互独立的，而且不能在未授权的情况下不能互相访问。

如图3所示，安全子系统100包括应用处理单元、可信平台(TPM)/可信密码(TCM)系统单元、内核单元(REE+TEE内核空间)和硬件单元(硬件资源)中的至少一种。

在一个具体实施例中，TEE环境实现的TCM/TPM密码模块，采用CA应用+TA应用配合实现模块功能。CA在REE环境下运行，TA在TEE环境下运行。具体地，安全子系统100包括应用处理单元和可信平台/可信密码系统单元。应用处理单元用于客户端应用(TCM(TPM)-CA应用)的运行，该客户端应用运行于富执行环境。可信平台/可信密码系统单元调用运行于可信执行环境中的可信应用(TCM(TPM)-TA)以支持客户端应用的运行。

可选地，可信应用包括对称引擎、非对称引擎、杂凑引擎、随机数发生器、HMAC引擎、执行引擎、非易失性存储器、易失性存储器、密钥生成器、电源控制器、管理器和授权器中的至少一种。非易失性存储器用作存储永久数据的存储单元。易失性存储器用作TCM运行时临时数据的存储单元。随机数发生器用作生成随机数的单元。对称(算法)引擎用作执行对称密码运算的单元。非对称(算法)引擎用作产生非对称秘钥对和执行非对称加/解密、签名运算的单元。HMAC引擎用作基于杂凑引擎的计算消息认证码单元。杂凑(算法)引擎用作执行杂凑运算的单元。执行引擎用作TCM的运算执行单元。可选地，安全子系统100还包括内部总线和I/O。内部总线作为可信密码模块内部数据传输的总线。I/O作为TCM的输入输出硬件接口。

可选地，安全子系统100包括内核单元，内核单元用于可信执行环境的驱动。内核单元包括TEE驱动和tee-internal-api接口。

可选地，安全子系统100包括硬件单元。硬件单元包括随机数产生器、时钟器、密码算法引擎和非易失性存储器中的至少一种。其中，密码算法引擎用于实现SM2、SM3、SM4、DES、AES、RSA、HASH算法等中的至少一种。

根据本发明的另一方面，提供一种智能终端，包括如上所述的处理器系统。智能终端可以是所有能运行TEE OS的设备，包含智能手机、平板电脑、计算机、服务器、智能电视等。

根据本发明的再一方面，提供一种可信执行方法。该可信执行方法应用于如上所述的智能终端，从可信执行环境中获取可信根；和/或通过可信执行环境进行密码运算。

图4示出了根据本发明实施例的可信执行方法的方法流程图。如图4所示，根据本发明实施例的可信执行方法(TCM/TPM密码模块数据处理流程)包括以下步骤：

在步骤S101中，客户端应用在所述处理器系统上电时启动并初始化，所述可信执行环境对可信应用进行完整性校验；

客户端应用(CA)在TEE设备上电时启动并初始化，同时TEE对可信应用(TA)进行完整性检验。

在步骤S102中，所述客户端应用通过调用可信执行环境打开所述可信应用，其中，打开所述可信应用时，所述可信应用进行固件完整性检测；

客户端应用通过调用TEE标准API(Application Programming Interface，用户编程接口)打开可信应用端，打开可信应用端时，可信应用端会进行固件完整性检测流程。完整性检测通过后，可信应用进行初始化，然后关闭可信应用端。

在步骤S103中，所述客户端应用接收可信服务管理平台下发的指令，通过物理串口协议收发数据；

客户端应用等待接收可信服务管理平台(Trusted Service Manager，TSM)下发的指令，通过I/O物理串口(UEFI协议/串口/socket等协议)协议收发数据。

在步骤S104中，所述客户端应用对接收的数据进行处理，并判断指令是否接收完整，在所述指令完整的情况下，打开所述可信应用，并通过所述可信执行环境将所述指令传递给所述可信应用处理；

客户端应用对接收数据进行处理，判断一条指令是否接收完整。如果不完整，则继续执行步骤S101；若完整，则打开可信应用，并通过TEE标准API将命令传递给可信应用处理。

在步骤S105中，所述可信应用对所述指令进行分发处理，并通过调用GP标准接口使用硬件资源，返回响应数据；

可信应用对命令进行分发处理(TCM/TPM命令功能实现)，通过调用GP标准接口使用硬件资源，返回响应数据。其中，GP(Global Platform)在TEE的标准化方面下足了工夫，基础的规范有TEE内部API，TEE客户端API，当然目前还有一系列的补充的功能性API规范，以及应用管理、调试功能、安全保护轮廓等规范正在制定中。

在步骤S106中，所述客户应用端关闭所述可信应用；

客户端应用关闭可信应用。

在步骤S107中，将所述响应数据发送给所述可信服务管理平台。

将命令响应数据发送给可信服务管理平台，然后继续执行步骤S101。

图5示出了图4所示方法流程图对应的流程框图。结合图2和图3所示的架构，TEE环境实现的TCM/TPM密码模块，采用CA应用+TA应用配合实现模块功能。CA在REE环境下运行，TA在TEE环境下运行。具体的数据处理流程参照图5所示。

进一步地，为了保证客户端应用与可信应用的安全，在上述步骤S102中，需要进行固件完整性检测流程，防止客户端应用或者可信应用被非法篡改。

图6示出了根据本发明实施例的固件完整性检测的方法流程图。图7示出了图6所示方法流程图对应的流程框图。结合图6和图7所示，根据本发明实施例的固件完整性检测包括以下步骤：

在步骤S201中，所述安全子系统上电，所述可信执行环境安全引导启动；

安全子系统(TCM/TPM模块)上电，TEE安全引导启动。

在步骤S202中，所述客户应用端和所述可信应用进行算法正确性自测试，其中，在所述算法正确性自测试失败的情况下，所述安全子系统锁定；

客户应用端和可信应用端配合进行算法正确性自测试，若自测试失败则系统锁定。其中，系统锁定指的是客户应用端或者可信应用被非法篡改的情况下，某一方或者双方的身份认证不通过，TCM/TPM功能将不能被使用。

在步骤S203中，在所述算法正确性自测试成功后，获取所述可信执行环境验证固件使用的公钥；

算法正确性自测试成功后，获取TEE验证固件使用的公钥Pk。

在步骤S204中，获取所述固件的签名结果，其中，在所述签名结果获取失败的情况下，所述安全子系统锁定；

获取固件的签名结果，如果获取失败，则系统锁定。

在步骤S205中，在所述签名结果获取成功后，验证所述签名结果是否合法，其中，在所述验证结果不合法的情况下，所述安全子系统锁定；

使用Pk固件数据，验证签名结果是否合法：如果不合法，表示固件发生了篡改，系统锁定。

在步骤S206中，在所述签名结果验证成功后，启动所述安全子系统。

签名结果验证成功后，启动系统。

TrustZone是ARM CPU的TEE安全扩展机制，能够保证安全态软件在加电时首先启动，并对后续加载的启动映像进行逐级验证。TrustZone提供了完善的隔离能力，对于资源的访问许可严格受控于安全态，安全态的资源禁止被常态软件所访问。模态切换功能由SMC(secure monitorcall)指令负责实现。

为了保证可信执行环境的完备性，TrustZone技术包含了TBBR(trusted boardboot requirements)子规范，特别定义了系统从加电之后的可信保障流程以及软硬件需求。TBBR规定系统必须有一个信任根作为一个信任起点(例如SoC one-time-programmable(OTP)存储器中的公钥)，从reset加电之后立即发挥作用，通过可信根建立可信链，并逐步验证：进一步的签名方式、启动代码、TEE环境、TEE服务以及常规主机环境等。

TEE技术为计算平台提供一个隔离于平台其他软硬件资源的运行环境，其中TrustZone技术被设计为在系统加电后优先获得控制权，并拥有比主机更高的访问和控制权限，可以满足TPM/TCM的功能和安全性需求。

本发明实施例提供的基于TEE实现的安全子系统(TPM/TCM密码模块)，相较于现有技术，具有以下技术进步：

1)性能更好：传统的密码模块，需要在主板上添加模块芯片，增加主板的功耗。一般情况下，TEE平台使用的芯片都适用于计算机，芯片性能也普遍比传统的密码模块所使用的性能要好，同时在TEE实现的TPM/TCM密码模块，大多数代码运行在TEE系统中，代码执行效率也高于一般密码模块。

2)成本更低：传统的密码模块，需要芯片实体模块，才能保证安全可靠，本发明不需要额外采购芯片模块，就能满足TPM/TCM的功能和安全性需求。

3)升级更方便：传统的密码模块，芯片封装不易升级维护，本发明使用的架构，在TEE环境下，只需要在系统中增加或修改相应的软/固件，即可进行升级，方便维护。

4)可以保证加载和运行时的固件/软件完整性。

应当说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

依照本发明的实施例如上文所述，这些实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施例。显然，根据以上描述，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地利用本发明以及在本发明基础上的修改使用。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (12)

1.一种智能终端的处理器系统，包括：

安全子系统，所述安全子系统的至少一部分运行于所述智能终端的可信执行环境，用于提供可信根和/或进行密码运算。

2.根据权利要求1所述的处理器系统，其中，所述安全子系统包括：

可信平台模块，所述可信平台模块的至少一部分运行于所述可信执行环境，用于提供可信根；

可信密码模块，所述可信密码模块的至少一部分运行于所述可信执行环境，用于进行密码运算。

3.根据权利要求1所述的处理器系统，其中，所述安全子系统通过物理接口与被度量设备相连接以进行通信；

所述安全子系统还包括可信根单元和可信应用单元，所述可信根单元与所述可信应用单元相连接以提供可信根。

4.根据权利要求3所述的处理器系统，其中，所述可信根单元包括可信度量根子单元、可信报告根子单元和可信存储根子单元中的至少一种。

5.根据权利要求1所述的处理器系统，其中，所述安全子系统包括应用处理单元和可信平台/可信密码系统单元；

所述应用处理单元用于客户端应用的运行，所述客户端应用运行于富执行环境；

所述可信平台/可信密码系统单元调用运行于所述可信执行环境中的可信应用以支持所述客户端应用的运行。

6.根据权利要求5所述的处理器系统，其中，所述可信应用包括对称引擎、非对称引擎、杂凑引擎、随机数发生器、HMAC引擎、执行引擎、非易失性存储器、易失性存储器、密钥生成器、电源控制器、管理器和授权器中的至少一种。

7.根据权利要求1所述的处理器系统，其中，所述安全子系统包括内核单元；

所述内核单元用于可信执行环境的驱动。

8.根据权利要求1所述的处理器系统，其中，所述安全子系统包括硬件单元；

所述硬件单元包括随机数产生器、时钟器、密码算法引擎和非易失性存储器中的至少一种。

9.一种智能终端，包括：

如权利要求1-8中任一项所述的处理器系统。

10.一种可信执行方法，应用于如权利要求9所述的智能终端，包括：

从所述可信执行环境中获取可信根；和/或

通过所述可信执行环境进行密码运算。

11.根据权利要求10所述的可信执行方法，其中，所述可信执行方法包括：

客户端应用在所述处理器系统上电时启动并初始化，所述可信执行环境对可信应用进行完整性校验；

所述客户端应用通过调用可信执行环境打开所述可信应用，其中，打开所述可信应用时，所述可信应用进行固件完整性检测；

所述客户端应用接收可信服务管理平台下发的指令，通过物理串口协议收发数据；

所述客户端应用对接收的数据进行处理，并判断指令是否接收完整，在所述指令完整的情况下，打开所述可信应用，并通过所述可信执行环境将所述指令传递给所述可信应用处理；

所述可信应用对所述指令进行分发处理，并通过调用GP标准接口使用硬件资源，返回响应数据；

所述客户应用端关闭所述可信应用；

将所述响应数据发送给所述可信服务管理平台。

12.根据权利要求11所述的可信执行方法，其中，所述可信应用进行固件完整性检测包括：

所述安全子系统上电，所述可信执行环境安全引导启动；

所述客户应用端和所述可信应用进行算法正确性自测试，其中，在所述算法正确性自测试失败的情况下，所述安全子系统锁定；

在所述算法正确性自测试成功后，获取所述可信执行环境验证固件使用的公钥；

获取所述固件的签名结果，其中，在所述签名结果获取失败的情况下，所述安全子系统锁定；

在所述签名结果获取成功后，验证所述签名结果是否合法，其中，在所述验证结果不合法的情况下，所述安全子系统锁定；

在所述签名结果验证成功后，启动所述安全子系统。

Images