基于体系结构特性的轻量级多系统安全管理架构的制作方法
【技术领域】
[0001] 本发明属于移动平台安全技术领域,具体地说,是一种能够在安全性和功能性之 间寻求到一个平衡点的轻量级多系统安全管理架构。
【背景技术】
[0002] 通常解决计算机系统的安全问题的手段无外乎两个:加密与隔离。加密多是研宄 密码学和数学的学者研宄的方面,系统研宄者通常只是使用一些基本的加密手段达到某一 目的;而隔离作为系统研宄者的利器,一直被用于解决系统安全的各类问题。在服务器领 域,操作系统的隔离主要是通过虚拟化完成,不同的操作系统(虚拟机)通过虚拟机监控器 同时共享所有的物理资源。然而在移动平台,虚拟化一直没能被广泛采用,一是硬件条件与 资源限制(硬件虚拟化不成熟),二是需求不强烈(一部手机很少需要同时运行几个操作系 统,并且电量消耗也是一个棘手的问题)。不过如果一部手机能够运行两个OS,某个时间只 有一个OS在执行却能带来不少好处:在保证更好的安全隔离性,给用户更多的选择的同时 又不消耗过多的资源(电量)。
[0003] 移动设备和嵌入式系统的软件设计者经常受困于在安全性和功能性之间做出选 择。ARM公司的TrustZone技术已经被用来建立一个可信执行环境,它能够与功能丰富的 传统商用操作系统并发运行,同时为可信应用提供一个隔离的安全的执行环境。TrustZone 技术划分出两个运行世界,安全世界和正常世界。安全世界的特权等级更高,可信执行环境 一般建立在其中。诚然,利用TrustZone技术建立可信执行环境能够满足安全性方面的需 求。但是在功能性方面就受到了很大的限制,因为在基于TrustZone的可信执行环境中运 行需要进行大量的权限检查等工作,从而导致性能较差、功能受限。
[0004] 硬件虚拟化方法能够通过创建两个虚拟机,从而在安全性和功能性两个方面都取 得较好的效果。但是实际生活中,大部分的嵌入式和移动设备都缺少硬件虚拟化支持。因 此这种基于硬件虚拟化的双虚拟机架构难以在当下普及。
[0005] 在研宄界,还有一种系统被称为"红绿双系统"(Red-greendual-OS),其中的绿系 统提供一个安全可信的环境去执行安全相关任务,而红系统为其它的普通应用任务服务。 该系统利用资源隔离而不是虚拟化去达到设计目标,现在很多移动设备采用这种设计,将 绿系统运行在TrustZone提供的安全世界中,红系统运行在普通世界中。然后在这种已有 架构中,绿系统的特权等级高于红系统,一旦绿系统恶意的攻击者攻破,那么红系统也就被 攻破了,也就是说这并没有达到两者相互隔离的安全性要求。
[0006] 因此如何同时满足安全性和功能性两个方面的需求,实已成为本领域技术人员亟 待解决的技术难题。
【发明内容】
[0007] 本发明的目的在于,设计一种系统架构,能够方便地部署在当下拥有类似 TrustZone技术的移动设备及嵌入式设备中,并且能够满足用户在服务安全性和系统功能 性方面与日俱增的需求。
[0008] 为达到上述目的,本发明是通过以下技术方案来实现的,本发明包括可信执行环 境建立,多商用操作系统之间的安全高效切换。
[0009] 进一步地,在本发明中,可信执行环境的建立包括加载轻量级可信内核,部署商用 操作系统监控器以及为商用操作系统提供执行环境。
[0010] 进一步地,在本发明中,多商用操作系统之间的安全高效切换,是在本发明提出的 架构中,在一个移动设备或嵌入式设备中可以运行多个商用操作系统,该架构保证了这些 操作系统之间的隔离性,并且使得它们之间能够在毫秒级切换。
[0011] 本发明提出的技术方案,一种基于体系结构特性的轻量级多系统安全管理架构一 TVisor,它能够创建两个具有相同特权等级的操作系统,并且这两个操作系统都能够使用 安全世界中提供的可信执行环境。
[0012] 本发明的主要模块有:一,安全内核和可信执行环境;二,为普通世界中运行的操 作系统提供的沙盒(运行环境);三,TVisor监视器,管理普通世界中运行的操作系统和物 理资源。
[0013] 图1展示了整体的本发明的架构图。在安全世界中通过安全启动流程,验证可信 内核的完整性,并将其加载到安全内存中,从而部署了一个可信的小型操作系统,并且建立 可信执行环境,从而能够支持可信应用的执行。该安全内核为普通世界的应用提供了符合 国际标准的接口(API),也就是说普通世界的程序可以通过这些严格受控的接口去调用可 信内核提供的安全服务,从而满足他们的安全需求,而大多数不需要很高安全性的时间里, 这些程序可以运行在性能更好、功能更多的普通世界中。
[0014] 在普通世界中,每个传统商用操作系统运行在一个沙盒中(沙盒就是为操作系统 运行提供的执行环境)。在该发明当前实现中,有两个沙盒运行在普通世界中,分别对应 传统的红绿双系统的红系统(非安全系统)和绿系统(安全系统)。在某一个时间点,普 通世界中只有一个操作系统处于运行状态。当一个操作系统处于运行状态时,利用类似 TrustZone的硬件支持,它的内存被标记成非安全的,而其余内存被标记成安全的,从而在 物理层面上根本地实现了隔离。进而保证了当前运行的操作系统不能意外地或者是恶意地 篡改其它操作系统和在安全世界中运行的程序的状态。一个正在运行的操作系统能够通过 安全世界提供的接口,与运行在可信执行环境的服务进行通信。
[0015] TVisor监视器在监视模式下运行,它负责管理在普通世界中运行的操作系统的状 态,包括外部设备的隔离分配和管理以及不同沙盒之间的切换和调度。此外,一个运行在普 通世界的操作系统可以TVisor监视器中注册一些实时任务,从而监视器能够保证该操作 系