基于ARM架构的软件可信执行系统的制作方法

本实用新型属于信息安全技术领域，具体涉及一种基于ARM架构的软件可信执行系统。

背景技术：

随着移动互联网时代的来临，智能移动终端得到快速发展，各种终端应用(Application，以下简称APP)得到广泛应用。然而，智能移动终端快速发展的另一方面却为信息安全带来了重大的威信——个人数据被盗、智能移动终端信息遭到窃取等，都标明了智能移动终端信息安全在当今的重要性。

目前，市场上主流的智能移动终端基本上都是开放式的操作系统，方便用户自行安装及添加程序，但这也为窃密者提供了可乘之机。窃密者利用手机操作系统的漏洞，编写手机病毒、木马等程序，恶意窃取手机的控制权，导致通话外泄、个人隐私信息泄露、数据丢失、话费损失等严重后果。

另一方面，智能移动终端较强的上网功能和部分用户不安全的上网习惯，给了手机病毒、木马乘虚而入的机会。此外，彩信、邮件等也是传播手机病毒的重要途径。

目前，智能移动终端针对待检测软件的安全防护主要通过操作系统内运行的手机助手之类的应用对待检测软件的可信性进行检测。这种检测方式为不可信软件侵害开放式的操作系统提供了可乘之机，具有较大的安全风险。

技术实现要素：

针对现有技术中的缺陷，本实用新型提出一种基于ARM架构的软件可信执行系统，降低了应用软件造成的智能移动终端信息安全风险。

本实用新型提出的基于ARM架构的软件可信执行系统，包括：智能移动终端，该智能移动终端的微处理器包括第一处理器、第二处理器、及连接该第一处理器和第二处理器的接口装置；该智能移动终端还包括存储器，该存储器内存储有待检测软件；该待检测软件是由该第一处理器存储至该存储器的；远程服务器，用于处理该第二处理器提交的检测该待检测软件可信性的请求，并向该第二处理器发送可信性检测报告。

进一步地，上述软件可信执行系统中，该接口装置为安全配置寄存器。

进一步地，上述软件可信执行系统中，该智能移动终端的微处理器设置有ARM Trust Zone功能区域。

进一步地，上述软件可信执行系统中，该第一处理器为普通域环境；该第二处理器为可信域环境。

进一步地，上述软件可信执行系统中，所述微处理器设置有中断控制器。

进一步地，上述软件可信执行系统，所述微处理器为ARM Cortex-A15、ARM Cortex-A9、ARM Cortex-A8、ARM Cortex-A7。

进一步地，上述软件可信执行系统，所述远程服务器为IBM System x3850X5。

进一步地，上述软件可信执行系统，该智能移动终端包括：智能手机或智能平板电脑。

进一步地，上述软件可信执行系统，该第一处理器包括：申请访问可信区域模块，及配置为在检测到该待检测软件启动安装时，通知该申请访问可信区域模块向该第二处理器提交检测该待检测软件可信性的请求的软件安装启动检测模块。

进一步地，上述软件可信执行系统中，该第二处理器包括：配置为判断是否接受检测该待检测软件可信性的请求，并在接受检测该待检测软件可信性的请求后，通过该接口装置访问该存储器，提取待检测软件的描述信息的授权访问可信区域模块；配置为基于该待检测软件的描述信息，访问该远程服务器，获取该可信性检测报告的待检测软件可信性检测模块。

进一步地，上述软件可信执行系统，该第二处理器还包括：配置为基于该可信性检测报告，通知该第一处理器继续安装该待检测软件，或通知该第一处理器终止安装该待检测软件的待检测软件可信性通知模块。

与现有技术中在在同一个底层操作系统下检测软件可信性不同，本实用新型提出的基于ARM架构的软件可信执行系统利用具有ARM架构的智能移动终端支持的可信区域，将下载的应用软件在可信域环境内进行检测，待检测合格后，再返回普通域环境下运行下载的应用软件。应用软件的可信性检测在与保存有大量用户信息的普通域环境通过硬件隔离的可信域环境内完成，避免了不可信软件侵害运行在普通域环境内的用户操作系统，降低了应用软件造成的智能移动终端信息安全风险。

附图说明

为了更清楚地说明本实用新型具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1是本实用新型实施例基于ARM架构的软件可信执行系统的组成示意图；

图2是本实用新型实施例基于ARM架构的软件可信执行系统的又一组成示意图；

图3是本实用新型实施例基于ARM架构的可信区域与普通区域的结构图；

图4是本实用新型实施例基于ARM架构的软件可信执行系统中应用软件进入可信区域的流程图；

图5是本实用新型实施例基于ARM架构的软件可信执行系统中对应用软件可信性检测的流程图。

具体实施方式

下面将结合附图对本实用新型技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本实用新型的技术方案，因此只是作为示例，而不能以此来限制本实用新型的保护范围。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本实用新型所属领域技术人员所理解的通常意义。

实施例1

如图1所示，本实用新型实施例基于ARM架构的软件可信执行系统，包括：智能移动终端100，智能移动终端100的微处理器包括第一处理器10、第二处理器30、及连接第一处理器10和第二处理器30的接口装置20；智能移动终端100还包括存储器40，存储器内40存储有待检测软件；待检测软件是由第一处理器10存储至存储器40的；远程服务器200，用于处理第二处理器30提交的检测待检测软件可信性的请求，并向第二处理器30发送可信性检测报告。

本实用新型提出的基于ARM架构的软件可信执行系统由智能移动终端100内的第二处理器30对第一处理器10存入存储器40的待检测软件进行可信性检测，从而避免不可信的软件在第一处理器10内直接安装或运行时侵害由第一处理器管理的用户操作系统，导致用户信息泄露或其他的安全风险。远程服务器200与智能移动终端100无线连接，处理第二处理器30提交的检测待检测软件可信性的请求，并向第二处理器30发送可信性检测报告。该可行性检测报告可用于指导第一处理器是是否安装或运行该待检测软件。

本实用新型提出的基于ARM架构的软件可信执行系统通过硬件隔离的两个处理器对待检测软件进行可信性检测，提高了智能移动终端运行时的信息安全级别。

具体应用时，本实用新型实施例基于ARM架构的软件可信执行系统中，第一处理器与第二处理器之间的接口装置为可以安全配置寄存器(Secure Configuration Register，简称SCR)。

具体应用时，本实用新型实施基于ARM架构的例软件可信执行系统中，智能移动终端的微处理器可以设置有ARM Trust Zone功能区域。

ARM Trust Zone架构预先在硬件层将可信区域与普通区域硬件分离，从而使得用户操作系统运行在普通区域中，微内核操作系统运行在可信区域内。

具体应用时，本实用新型实施例基于ARM架构的软件可信执行系统中，第一处理器运行在普通域环境；第二处理器运行在可信域环境。

具体应用时，本实用新型实施例基于ARM架构的软件可信执行系统中，微处理器设置有中断控制器TZIC。

具体应用时，本实用新型实施例基于ARM架构的软件可信执行系统，微处理器为ARM Cortex-A15、ARM Cortex-A9、ARM Cortex-A8、ARM Cortex-A7。

具体应用时，本实用新型实施例基于ARM架构的软件可信执行系统，远程服务器为IBM System x3850X5。

具体应用时，本实用新型实施例基于ARM架构的软件可信执行系统，智能移动终端包括：智能手机或智能平板电脑。应当理解，智能移动终端还可以是个人数字助理(Personal Digital Assistant,PDA)、台式计算机、笔记本电脑、或可穿戴智能终端等。

以上选型中一项或多项的组合，均能提高本实用新型实施例基于ARM架构的软件可信执行系统执行应用软件可信性检测步骤的快速性和效率。

实施例2

本实施例是在实施例1的基础上，对检测待检测软件可信性的各硬件模块进行说明。

如图2所示，本实用新型实施例基于ARM架构的软件可信执行系统中，第一处理器10可以包括申请访问可信区域模块12；和配置为在检测到待检测软件启动安装时，通知申请访问可信区域模块12向第二处理器30提交检测待检测软件可信性的请求的软件安装启动检测模块11。

如图2所示，具体应用时，本实用新型实施例基于ARM架构的软件可信执行系统中，第二处理器30可以包括：配置为判断是否接受检测待检测软件可信性的请求，并在接受检测待检测软件可信性的请求后，通过接口装置20访问存储器40，提取待检测软件的描述信息的授权访问可信区域模块31；配置为基于待检测软件的描述信息，访问远程服务器200，获取可信性检测报告的待检测软件可信性检测模块32。

该软件描述信息可以是源代码或哈希值。

如图2所示，具体应用时，本实用新型实施例基于ARM架构的软件可信执行系统中，第二处理器30还可以包括：配置为基于可信性检测报告，通知第一处理器继续安装待检测软件，或通知第一处理器终止安装待检测软件的待检测软件可信性通知模块33。

需要说明的是，上述申请访问可信区域模块、软件安装启动检测模块、待检测软件可信性检测模块、授权访问可信区域模块和待检测软件可信性通知模块分别为独立设置的硬件模块，并可根据需要进行组合，以实现组合后的功能。

本实用新型实施例基于ARM架构的软件可信执行系统利用具有ARM架构的智能移动终端支持的可信区域，将下载的应用软件在可信域环境内进行检测，待检测合格后，再返回普通域环境下运行下载的应用软件。应用软件的可信性检测在与保存有大量用户信息的普通域环境通过硬件隔离的可信域环境内完成，避免了不可信软件侵害运行在普通域环境内的用户操作系统，降低了应用软件造成的智能移动终端信息安全风险。

实施例3

以下结合附图对本实用新型做进一步的详细说明。

具体应用时，本实用新型实施例基于ARM架构的软件可信执行系统，该智能移动终端包括用户操作系统和微内核操作系统；该微处理器包括可信区域和普通区域，该用户操作系统配置在该普通区域内，该微内核操作系统配置在该可信区域内，两个操作系统彼此之间相互独立。

本实用新型实施例基于ARM架构的软件可信执行系统利用ARM架构的特点，在底层建立可信执行区域，并在该可信执行区域配置微内核操作系统，从而与配置在普通执行区域的用户操作系统实现了硬件隔离。通过用户操作系统启动执行待检测软件的安装代码，将该待检测软件源代码或者源代码哈希值发送至可信执行区域内的微内核操作系统。并由可信执行区域内的微内核操作系统连接远程服务器对待检测软件源代码或哈希值进行安全扫描。在确认安全无误后，通知微内核操作系统允许用户操作系统执行此待检测软件。

本实用新型基于ARM架构的软件可信执行系统利用ARM架构的特点，在底层建立可信执行区域，并在该可信执行区域配置微内核操作系统，从而与配置在普通执行区域的用户操作系统实现了硬件隔离，降低了应用软件造成的智能移动终端信息安全风险。

ARM架构，过去称作进阶精简指令集机器，是一个32位精简指令集(RISC)处理器架构，其广泛地使用在智能移动终端处理器系统设计中。Trust Zone技术出现在ARMv6KZ以及较晚期的应用核心架构中。针对系统单芯片片上系统(System on chip，简称SoC)内加入专属的安全核心，由硬件建构的存取控制方式支持两颗虚拟的处理器。这个方式可使得应用程序能够在两个状态之间切换。在此架构下可以避免信息从较可信的核心领域泄露至较不安全的领域，通常称为普通执行区域。这种内核领域之间的切换通常与处理器其他功能无关联性，因此各个领域可以各自独立运作但却仍能使用同一颗内核。内存和周边装置也可因此得知目前内核运作的领域，并能针对这个方式来提供对装置的机密和编码进行存取控制。

本实用新型实施例是在ARM架构下启动Trust Zone区域，使微内核操作系统处在一个安全的环境下，然后对应用软件进行扫描、检测，以确保应用软件的安全性和可靠性。

本实用新型实施例采用的软件安全运行方法由两个步骤组成，步骤一为建立可信执行区域，利用ARM架构中Trust Zone(TM)技术建立与用户操作系统相互独立的微内核操作系统；步骤二为由微内核操作系统执行对应用软件的扫描检测。具体为：应用软件启动后先进入可信执行区域操作系统，在此安全环境下，对应用软件进行扫描检测。

具体地，为保证在ARM架构智能移动终端的软件应用安全可靠，可以分为以下几个步骤:

步骤1：建立可信执行环境。如图3所示，在硬件架构上利用建构存取的控制方式，使用户操作系统，又称为普通执行环境系统(现主流系统为IOS和Android)和可信执行环境系统(又称微内核操作系统)分别运行在两颗虚拟的处理器中，两个操作系统在硬件架构上是相互独立的。普通执行环境系统通过安全环境应用程序编程接口申请进入可信执行环境系统，在可信执行环境下，微内核操作系统对申请进行审核，允许正常的申请进入可信区域，并执行相应的功能模块。

步骤2：应用软件程序进入可信执行区域。如图4所示，应用软件进入微内核操作系统内主要有两种方法，第一种是在应用软件中含有申请进入可信执行环境的代码，在普通执行环境系统启动后通过普通执行环境系统与微内核操作系统之间的API接口申请进入可信环境。另一种为，通过第三方软件，为需要进入可信环境的应用软件提前做好申请进入可信执行环境的代码。启动应用软件时，首先通过普通执行环境系统进入可信执行环境下。

需要说明的是，上述的“可信环境”包括硬件、软件、中间件，“可信区域”则更偏向硬件。

步骤3：对应用软件的检测。如图5所示，主要有两种方式，第一种通过远程服务器检测。启动应用软件后，普通执行环境会启动可信执行环境，在可信环境下将该软件源代码(或者哈希值)发送至云端的可信代码服务器(Trusted Code Server，简称TCS)，在TCS上进行基于软件源代码的安全扫描操作，TCS已存放有不同的从官方下载的安全的软件程序，如果用户下载的软件在TCS上不存在，TCS会从预先定义好的安全链接下载该软件。

在TCS上的检测过程中，如果用户下载的软件代码与预存在TCS上的软件代码相同，则TCS给智能移动终端发送确认消息VM(Verification Message，简称VM)，告知用户该软件没有问题，可以使用；如果用户下载的软件代码与预存在TCS上的软件代码不同，说明用户下载的软件可能被攻击者篡改过或存在安全漏洞，该软件存在使用风险，随后TCS会给用户发送告警消息AM(Alert Message)，告知用户该软件存在使用风险，并建议用户通过其他途径下载该应用软件。

通过在TCS对应用软件的源代码进行比对检测，可以识别存在安全风险的应用软件，进一步能够确保应用软件的安全运行。

另一种方式为将代码下载到可信环境系统下进行对比。若初次执行应用软件，进入可信执行环境下会到应用软件的指定服务器下载软件代码，然后在可信环境下对应用软件进行扫描检测；若不是初次执行则可直接进行扫描检测。

检测完成后，若无安全隐患返回普通环境下执行应用软件；若有安全隐患向用户发起警报。

应当理解的是，本说明书中未详细阐述的部分均为现有技术。

最后应说明的是：以上各实施例仅用以说明本实用新型的技术方案，而非对其限制；尽管参照前述各实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本实用新型各实施例技术方案的范围，其均应涵盖在本实用新型的权利要求和说明书的范围当中。