WO2014206172A1

WO2014206172A1 - 移动设备中的非可信环境与可信环境之间的切换

Info

Publication number: WO2014206172A1
Application number: PCT/CN2014/078594
Authority: WO
Inventors: 陈成钱; 周钰; 郭伟
Original assignee: 中国银联股份有限公司
Priority date: 2013-06-27
Filing date: 2014-05-28
Publication date: 2014-12-31
Also published as: CN104252388A; CN104252388B

Abstract

本发明涉及计算机技术，特别涉及在移动设备中实现非可信环境与可信环境之间切换的方法以及实现该方法的移动设备。按照本发明一个实施例的方法包括下列步骤：检测是否从外部设备接收到指示使所述移动设备从所述非可信环境切换至所述可信环境的第一切换命令；如果检测到所述第一切换命令，执行从所述非可信环境至所述可信环境的第一切换操作，该第一切换操作包括在所述非可信环境下的上下文信息的保存；以及所述移动设备在所述可信环境下执行所述外部设备指定的安全应用以执行业务处理。

Description

移动设备中的非可信环境与可信环境之间的切换技术领域

本发明涉及计算机技术，特别涉及在移动设备中实现非可信环境与可信环境之间切换的方法以及实现该方法的移动设备。背景技术

随着宽带无线接入技术和移动终端技术的飞速发展，移动互联网应运而生并且成为发展最快、潜力最大和前景最为诱人的市场。基于移动互联网的业务正在滲入人们日常生活的各个方面，例如社交、购物、金 n交易和生活信息获取等。许多移动互联网业务涉及敏臻信息 (例如用户除私、登录身份和密码等）的存储、读取和传输，因此需要提供安全机制加以保护。

在现有的移动设备中，基于安全机制的安全应用一般处于开放性搡作系统与曹通应用之间，其可以被曹通应用调用以实现相应的安全机制。随着安全需求的日益增多，移动设备中内匿了更多数量的安全应用。此外，为了提供更高的安全性，有些应用的整个业务处理流程被设计为都在可信环境下完成。上面这些技术发展态势使得集成多种安全应用的应用平台应运而生，由于其独立于开放性搡作系统，因此其又被称为安全操作系统。

在双搡作系统的架构下，为了实现敏感数据在可信环境下的封闭处理，外部设备需要直接与安全搡作系统上的安全应用进行交互。然而在现有的移动设备中，一般需要用户干预才能实现在开放性搡作系统（例如界面友好的多媒体搡作系统）与安全搡作系统之间的切换，例如通过用户来启动调用安全应用的普通应用或者通过用户搡作以将移动设备切换到可信环境。这无疑会降低用户体验，特别是在对响应要求较高的应用场景下。

由此可见，如何在移动设备中实现非可信环境与可信环境之间的流畅切换是一个迫切需要解决的问题。发明内容本发明的目的之一是提供一种在移动设备中实现非可信环境与可信环境之间切换的方法，其具有高效和实现简单等优点。

按照本实施例的方法包括下列步骤：境切换至所述可信环境的第一切换命令；

如果检測到所述第一切换命令，执行从所述非可信环境至所述可信环境的第一切换搡作，该第一切换搡作包括在所述非可信环境下的上下文信息的保存；以及

所述移动设备在所述可信环境下执行所述外部设备指定的安全应用以执行业务处理。

在上述实施例中，响应于切换命令的接收而触发切换搡作，而该切换命令可以由外部设备自动生成，因此无需用户手动搡作并且提高了应用的响应速度。

优选地，在上述方法中，进一步包括下列步骤：

如果检測到从外部设备接收的使所述移动设备从所述可信环境切换到所述非可信环境的第二切换命令，或者如果所述业务处理由所述安全应用结束执行，则执行从所述可信环境至所述非可信环境的第二切换搡作。

优选地，在上述方法中，借助内匿于所述非可信环境下运行的监測模块来检測第一切换命令的接收和执行所述第一切换搡作。

优选地，在上述方法中，借助内匿于所述可信环境下提供的应用程序接口执行所述第二切换搡作。

优选地，在上述方法中，所述可信环境由安全搡作系统搵供，其包括应用分发模块和安全应用列表，按照下列方式执行所述外部设备指定的安全应用程序：

所述应用分发模块对接收自所述外部设备的应用选择命令进行解析；以及

所述应用分发模块在所述应用列表中査找与解析得到的应用匹配的应用并且执行该匹配的应用。

本发明的还有一个目的是提供一种移动设备，其可以高效和简单的方式实现非可信环境与可信环境之间的切换。

按照本发明一个实施例的移动设备包括：适于与外部设备进行通信的通信单元；

存储器；

适于存储安全应用的安全载体；

与所述通信单元、存储《和安全载体 «合并且适于在非可信环塊和可信环境下运行的处理器，其被配匿为当经所述通信单元从所述外部设备接收到从所述非可信环境切换至所述可信环境的第一切换命令时，执行从所述非可信环境至所述可信环境的第一切换搡作，该第一切换搡作包括所述非可信环塊下的上下文信息在所述存储《内的保存，所述处理器还被配匿为在所述可信环境下执行所述安全载体内的、由所述外部设备指定的安全应用以执行业务处理。

优选地，在上述移动设备中，所述安全载体为智能卡或 USB加密锁。

优选地，在上述移动设备中，所述处理器进一步配匿为：当经所述通信单元从所述外部设备接收到从所述可信环境切换至所述非可信环境的第二切换命令时，或者当所述业务处理由所述安全应用结朿执行时，执行从所述可信环境至所述非可信环境的第二切换搡作。

优选地，在上述移动设备中，所述通信单元包含下列接口中的至少一种：近场通信接口、 7816接口、 SDIO接口和 WiFi接口。

优选地，在上述移动设备中，所述可信环境由安全搡作系统实现。附图说明

从结合附图的以下详细说明中，将会使本发明的上述和其它目的及优点更加完全清楚。

图 1为按照本发明一个实施例的移动设备的架构图。

图 2为可应用于图 1所示移动设备的双搡作系统架构的示意图。图 3为按照本发明另一个实施例的在移动设备中实现非可信环境与可信环境之间切换的方法的流程图。具体实施方式

下面通过参考附图描述具体实施方式来阐述本发明。但是需要理解的是，这些具体实施方式仅仅是示例性的，对于本发明的精神和保护范围并无限制作用。在本说明书中， " 包含" 和" 包括" 之类的用语表示除了具有在说明书和权利要求书中有直接和明病表述的单元和步骤以外，本发明的技术方案也不排除具有未被直接或明确表述的其它单元和步骤的情形。再者，诸如" 第一" 、 " 第二" 、 " 第三" 和" 第四" 之类的用语并不表示单元或数值在时间、空间、大小等方面的順序而仅仅是作区分各单元或数值之用。

在本说明书中，可信环境指的是在该环境下，组件、过程或搡作的行为在任意搡作条件下是可预測的，并且能很好地抵御不良代码和一定的物理干扰造成的破坏。在现有的移动设备中，可信环境由硬件平台与安全搡作系统协同搵供。

在本说明书中，安全搡作系统指的是使移动设备在安全模式下工作的搡作系统，非安全搡作系统指的是使移动设备在正常模式下工作的开放性搡作系统。

在本说明书中，安全载体指的是一种具有计算和存储功能的独立硬件模块，其一方面配匿实现安全功能的应用程序，另一方面还向外部装匿搵供可调用的安全机制服务。安全载体的例子包括但不限于

SIM卡和智能 SD卡等。

按照本发明的实施例，在诸如多媒体搡作系统之类的非安全搡作系统中坩设一个监測模块，用于检測从外部设备接收到的消息中是否包含切换命令并且在检測到切换命令时使移动设备从非可信环境切换至可信环境。在上述实施例中，当由非可信环境切换至可信环境时，原先在非可信环境下的上下文信息将被保留，并且随后外部设备与移动设备之间交互的控制权将交由安全搡作系统，使得移动设备执行安全载体内的、由外部设备指定或调用的安全应用。另一方面，当外部设备发送由可信环境切换至非可信环境的命令或者安全应用主动结束执行业务处理时，安全搡作系统将结束运行并启动非安全搡作系统。

图 1为按照本发明一个实施例的移动设备的架构图。

如图 1所示，本实施例的移动设备 10包括通信接口 110、存储 « 120、安全载体 130和处理器 140，其中，处理器 140与通信单元 110、存储器 120和安全载体 130耦合。

通信单元 110负责移动设备 10与外部设备 20之间的通信，其例如可以包含下列接口中的至少一种：如 WIFI接口、 NFC接口、 7816 接口和 SDIO接口等。

在本实施例中，存储器 120包括非易失存储器 121和动态随机存储器 122。当移动设备 10加电启动时，非易失存储器 121中存储的计算机程序（例如非安全搡作系统）被加载到动态随机存储 « 122 内。安全搡作系统可以在加电启动时加载到动态存储器 122 内，或者在接收到切换命令时被加载到动态存储器 122内。

安全应用存储在安全载体 130内，并且安全应用执行过程中所涉及的敏感数据的操作（例如敏感数据的加密、解密和修改等）等都在安全载体 130内部完成，并且敏感数据在安全载体 130外部都以密文的形式呈现。

处理器 140运行加载到动态存储器 121中的计算机程序，从而与移动设备 10的其它部件协同完成各种应用处理。例如，当处理 « 140 在非可信环境运行时，其可经通信单元 110与外部设备 20交互以执行普通的业务处理。与此同时，处理器 140运行监測模块以检測外部设备 20是否发送从非可信环境到可信环境的第一切换命令，并且在检測到该命令后，将非可信环境下产生的上下文信息保存到动态随机存储器 122内，随后结束非安全搡作系统的运行并启动安全搡作系统。在可信环境下，安全搡作系统对通信单元 110从外部设备 20接收的请求消息进行解析以¾定需要调用的安全应用，随后，在安全搡作系统的控制下，外部设备 20与安全载体 130之间进行交互以在安全模式下执行业务处理。另一方面，在可信环境下，当安全搡作系统检測到外部设备 20发送的从可信环境到非可信环境的第二切换命令时，安全搡作系统将结束运行并启动非安全搡作系统以返回非可信环境。另外，在可信环境下，当安全载体 130内的安全应用结朿执行上述业务处理时，处理器 140也将执行从可信环境至非可信环境的切换搡作。

图 2为可应用于图 1所示移动设备的双搡作系统架构的示意图。如图 2所示，双操作系统架构 200包括非安全搡作系统 210和安全搡作系统 220。在本实施例中，非安全搡作系统例如包括但不限于 Android, Linux平台之类的多媒体搡作系统，安全搡作系统基于硬件安全技术（例如 ARM公司的 TrustZone技术、 Intel公司的 chaabi技术）。

非安全搡作系统 210包括通信模块 211和与通信模块 211親合的监測模块 212。监测模块 212对通信模块 211从外部设备接收到的消息进行检測，并且当检測到从非可信环境到可信环境的第一切换命令时将非可信环境下产生的上下文信息保存到动态随机存储器 122内，随后结朿非安全搡作系统的运行并启动安全搡作系统。

安全操作系统 220包括应用分发模块 221和安全应用列表 222，其中应用分发模块 221与监测模块 212耦合。当监測模块 212检测到第一切换命令时而使移动设备切换至安全搡作系统后，应用分发模块 221 开始运行。应用分发模块 221将对通信单元 110从外部设备 20接收的应用选择命令进行解析，然后从安全应用列表 222中选出与解析结果匹配的安全应用并运行，由此外部设备 20与该安全应用交互以执行相应的业务处理。当整个业务处理流程结朿后，移动设备 10将从可信环境返回非可信环境，该切换搡作（也即上述第二切换搡作）可以由下列事件触发。具体而言，当所执行的安全应用主动结束业务处理流程时，该安全应用将直接执行第二切换搡作；或者可以由外部设备 20在结束业务处理流程时，通过向移动设备 10发送执行第二切换搡作的切换命令，由安全操作系统完成第二切换。优选地，安全应用执行的切换搡作可以统一由安全搡作系统提供的 API来实现。

图 3为按照本发明另一个实施例的在移动设备中实现非可信环境与可信环境之间切换的方法的流程图。示例性地，这里假设采用图 1 所示的移动设备的架构以及图 2所示的双搡作系统架构，但是从下面的描述中将会认识到，本实施例的方法并不依赖于特定的架构。

如图 3所示，在步骤 S301中，外部设备 20与移动设备 10建立通信连接，该通信连接可以基于各种技术，例如包括但不限于近场通信技术、蓝牙技术和 WiFi技术等。

随后在步骤 S302中，移动设备 10从外部设备 20接收消息。接着执行步骤 S303，处于非可信环境下的移动设备 10例如借助监測模块 212检測从外部设备 20接收到的消息中是否包含从非可信环境切换至可信环境的第一切换命令，如果检測到第一切换命令，则进入步骤 S304，否则返回步骤 S302。

在步骤 S304，非可信环境下的上下文信息被保存在动态存储器 122中，并且对移动设备 10的控制权由非安全操作系统 210被转交至安全搡作系统 220以实现从非可信环境切换至可信环境的切换。随后执行步骤 S305，安全搡作系统 210的应用分发模块 211对外部设备 20发送的消息进行解析以搵取应用选择命令，该应用选择命令指定需要执行的安全应用。

接着进入步骤 S306，应用分发模块 211检索安全应用列表 211以确定是否存在与解析结果匹配的安全应用，如果存在，则进入步骤 S307，否则进入步骤 S308。

在步骤 S307，外部设备 20与安全载体 130内的安全应用交互以开始所需的业务处理。接着执行步骤 S309，安全操作系统 220检測是否接收到外部设备 20发送的从可信环境返回非可信环境的第二切换命令，或者业务处理由被执行的安全应用结束，如果检測到上述事件的任一个，则进入步骤 S310，由安全搡作系统 220执行从可信环境至非可信环境的切换操作，否则继续检测。

回到步骤 S306的后续另一个分支。在步骤 S308，安全搡作系统将执行从可信环境至非可信环境的切换搡作并且向外部设备 20发送安全应用调用失败的消息。

由于可以在不背禽本发明基本精神的情况下，以各种形式实施本发明，因此上面描述的具体实施方式仅是说明性的而不是限制性的。本发明的范围由所附权利要求定义，对上面描述方式所作的各种变化或变动都厲于所附权利要求的保护范围。

Claims

权利要求

1. 一种在移动设备中实现非可信环境与可信环境之间切换的方法，其特征在于，所述方法包括下列步骤：

检測是否从外部设备接收到指示使所述移动设备从所述非可信环塊切换至所述可信环境的第一切换命令；

2. 如权利要求 1所述的方法，其中，进一步包括下列步骤：如果检測到从外部设备接收的使所述移动设备从所述可信环境切换到所述非可信环境的第二切换命令，或者如果所述业务处理由所述安全应用结束执行，则执行从所述可信环境至所述非可信环境的第二切换搡作。

3. 如权利要求 2所述的方法，其中，借助内匿于所述非可信环境下运行的监測模块来检測第一切换命令的接收和执行所述第一切换搡作。

4. 如权利要求 1所述的方法，其中，借助内匿于所述可信环境下提供的应用程序接口执行所述第二切换搡作。

5. 如权利要求 1所述的方法，其中，所述可信环境由安全操作系统提供，其包括应用分发模块和安全应用列表，按照下列方式执行所述外部设备指定的安全应用程序：

6. 一种移动设备，其特征在于，包括：

适于与外部设备进行通信的通信单元；

存储器；

适于存储安全应用的安全载体；与所述通信单元、存储器和安全载体耦合并且适于在非可信环境和可信环境下运行的处理器，其被配匿为当经所述通信单元从所述外部设备接收到从所述非可信环境切换至所述可信环境的第一切换命令时，执行从所述非可信环境至所述可信环塊的第一切换搡作，该第一切换搡作包括所述非可信环境下的上下文信息在所述存储器内的保存，所述处理器还被配匿为在所述可信环境下执行所述安全载体内的、由所述外部设备指定的安全应用以执行业务处理。

7. 如权利要求 6所述的移动设备，其中，所述安全载体为智能卡或 USB加密锁。

8. 如权利要求 6所述的移动设备，其中，所述处理器进一步配匿为：当经所述通信单元从所述外部设备接收到从所述可信环境切换至所述非可信环塊的第二切换命令时，或者当所述业务处理由所述安全应用结束执行时，执行从所述可信环境至所述非可信环境的第二切换搡作。

9. 如权利要求 6所述的移动设备，其中，所述通信单元包含下列接口中的至少一种：近场通信接口、 7816 接口、 SDIO 接口和 WiFi 接口。

10. 如权利要求 6所述的移动设备，其中，所述可信环境由安全搡作系统实现。