一種實現虛擬安全載體vse的方法
2024-04-07 13:18:05
一種實現虛擬安全載體vse的方法
【專利摘要】本發明公開一種實現虛擬安全載體VSE的方法,包括以下步驟:由安全載體管理器SEM生成請求,該請求包括虛擬化配置信息;由超級監督者Hypervisor中的虛擬機監視器VMM根據上述請求為VSE分配地址空間。
【專利說明】-種實現虛擬安全載體VSE的方法
【技術領域】
[0001] 本發明涉及虛擬化技術,並且尤其涉及一種實現虛擬安全載體VSE的方法。
【背景技術】
[0002] 在計算機方面的虛擬化通常指計算元件在虛擬的基礎上而不是真實的基礎上運 行。虛擬化技術可以擴大硬體的容量,簡化軟體的重新配置過程。例如,CPU的虛擬化技術 可以使單CPU模擬多CPU並行,以允許一個平臺同時運行多個作業系統,並且應用程式能夠 在相互獨立的空間內運行而互不影響,從而顯著提高計算機的工作效率。
[0003] 現有技術中,SE (secure element)設備主要指的是一些具有安全晶片的物理硬體 設備,如SM卡、SD卡等。然而,作為物理硬體設備的現有SE設備存在一些不足。例如,現 有的SE設備不能滿足人們對於行動裝置智能化管理的需求,用戶並不能夠直觀地查看SE 設備上的具體信息,也不能夠便捷地對指定SE設備進行資源管理。現有SE設備也越來越 不能適應行動裝置越來越輕薄的形態的挑戰,換句話說,行動裝置的形態將受SE設備的限 制。另一方面,作為物理硬體設備的現有SE設備將不可避免地增加行動裝置的成本,而且 仍存在安全風險。
[0004] 因此,需要一種利用虛擬化技術實現虛擬SE的方法,以克服上述的一個或多個缺 點。其中,這裡的虛擬SE指的是在作業系統中具有類似真實物理SE設備完整硬體性能的 虛擬設備,即這些虛擬SE與真實物理SE設備一樣也都具有C0S和I/O接口等組成部分。
【發明內容】
[0005] 根據本發明的一個目的,公開一種實現虛擬安全載體VSE的方法,包括以下步驟: 由安全載體管理器SEM生成請求,該請求包括虛擬化配置信息; 由超級監督者Hypervisor中的虛擬機監視器VMM根據上述請求為VSE分配地址空間。
[0006] 優選地,在SEM生成請求之前,該SEM使用安全密鑰對當前作業系統的可信性進行 安全驗證。
[0007] 優選地,所述虛擬化配置信息包括VSE的晶片作業系統C0S、VSE的存儲空間大小、 VSE的個人化數據,所述SEM為VSE設置C0S和個人化數據。
[0008] 優選地,所述Hypervisor記錄為VSE所分配的地址信息。
[0009] 根據本發明的一個目的,公開另一種實現虛擬安全載體VSE的方法,包括以下步 驟: 由安全載體管理器SEM生成請求,該請求包括虛擬化配置信息; 由存儲器管理單元MMU根據上述請求為VSE分配地址空間。
[0010] 根據本發明的一個目的,公開另一種實現虛擬安全載體VSE的方法,包括以下步 驟: 由安全載體管理器SEM生成請求,該請求包括虛擬化配置信息; 由作業系統根據上述請求創建線程,並為每一個線程啟動一個虛擬機; 所述虛擬機根據虛擬化配置信息為VSE分配地址空間。
[0011] 本發明的優勢在於,可以根據實際需求選擇虛擬SE的實現的方法。虛擬SE可以 在一定層面上替代物理SE設備,避免了物理SE設備的成本,同時也能夠更加充分地利用安 全硬體平臺的資源,提高虛擬SE的安全性與可操作性。虛擬化後的各個VSE設備之間,互 相獨立、安全隔離、互不幹涉。各個VSE設備具備各自的完整硬體環境和作業系統,並共享 著原有設備的存儲空間,能夠運行各自獨立的應用程式和完成各自的系統操作。
【專利附圖】
【附圖說明】
[0012] 在參照附圖閱讀了本發明的【具體實施方式】以後,本領域技術人員將會更清楚地了 解本發明的各個方面。本領域技術人員應當理解的是,這些附圖僅僅用於配合具體實施方 式說明本發明的技術方案,而並非意在對本發明的保護範圍構成限制。
[0013] 圖1是根據本發明實施例的實現虛擬安全載體VSE的方法示意圖。
[0014] 圖2是根據本發明實施例的實現虛擬安全載體VSE的系統架構示意圖。
[0015] 圖3是根據本發明另一個實施例的實現虛擬安全載體VSE的系統架構示意圖。
【具體實施方式】
[0016] 在下面的描述中,為了解釋的目的,陳述許多具體細節以便提供對實施例的一個 或多個方面的透徹理解。然而,對於本領域技術人員可以顯而易見的是,可以這些具體細節 的較少程度來實踐各實施例的一個或多個方面。因此下面的描述不被視為局限性的,而是 通過所附權利要求來限定保護範圍。
[0017] 首先,將解釋本發明中提到的技術術語。
[0018] 安全載體SE (secure element)是一種具有計算和存儲功能的獨立硬體模塊,其 內設計有許多功能用以保護其所存儲數據的安全,並提供相應的安全機制服務供外界的設 備使用。SE常用於表示一些提供安全服務的硬體設備,如SM卡、SD卡等。
[0019] 虛擬安全載體VSE(virtual secure element)是相對於安全載體SE而言的。VSE 指的是對SE設備進行虛擬化後所得到的虛擬SE設備,它與物理SE設備一樣,擁有仿真的 硬體環境和晶片作業系統,並且在其上也能夠執行相關應用。
[0020] 安全載體管理器SEM (Secure Element Manager)用於管理作業系統中的SE設備 (作業系統中的所有物理SE設備以及VSE設備),同時存儲創建VSE所必須的虛擬配置信息、 安全密鑰信息。SEM既可位於硬體平臺的作業系統也可位於與硬體平臺相關聯的雲端。
[0021] 虛擬機監視器VMM (Virtual Machine Monitor)是用於虛擬化的模塊,其例如可 以讓多個作業系統共享一個單一的硬體處理器。VMM包含在超級監督者(Hypervisor)中。 Hypervisor是一種運行在物理硬體和作業系統之間的可用於虛擬化的中間軟體層,實現硬 件層和作業系統層的隔離。
[0022] 存儲器管理單兀MMU (Memory Management Unit)是中央處理器(CPU)中用來管 理虛擬存儲器、物理存儲器的控制線路,其同時也負責將虛擬地址映射為物理地址,以及提 供硬體機制的內存訪問授權。
[0023] 下面將參照附圖,對本發明的【具體實施方式】作進一步的詳細描述。圖1是根據本 發明實施例的實現虛擬安全載體VSE的方法示意圖。如圖1所示,該方法包括三個大致的 步驟。在步驟101中,生成創建VSE請求。在該步驟中,由安全載體管理器SEM生成請求, 該請求包括虛擬化配置信息。虛擬化配置信息可以包括VSE的晶片作業系統COS、VSE的存 儲空間大小、VSE的個人化數據。在步驟102中,為VSE分配地址空間。被分配的各個地址 空間將使得各個VSE之間互相隔離,互不幹擾。在步驟103中,實例化VSE,使得VSE具備 SE的屬性和功能。在該步驟中,SEM為VSE設置COS和個人化數據。
[0024] 以下將結合圖2 - 3說明根據本發明的實施例的為VSE分配地址空間的三種方 式。
[0025] 圖2是根據本發明實施例的實現虛擬安全載體VSE的系統架構示意圖。如圖2所 示,該架構包括物理硬體層、Hypervisor層(虛擬化層)、待實現的虛擬SE層(可以包括一個 或多個VSE)、作業系統層。
[0026] 作業系統層可以包括通訊協議、通用接口、文件系統等部分為硬體平臺提供各種 基礎功能,如存儲功能、通訊功能、聯網功能、硬體驅動功能等。
[0027] 待實現的虛擬SE層用於存放虛擬化後所得到的VSE,其能夠獨立運行VSE,具備完 整的硬體環境的多個模擬硬體單元。
[0028] 虛擬SE層可以通過Hypervisor實現。Hypervisor直接運行在硬體上,用於管理 硬體資源分配以及共享資源。具體地,Hypervisor可以通過VMM來對虛擬化的SE進行監 控、管理。每一個運行在Hypervisor上的VMM可以通過硬體抽取,對硬體存儲空間和1/0 設備等部分進行資源共享並完成硬體設備虛擬化。
[0029] SEM可用於調用VMM進行VSE創建以及VSE信息配置、安全密鑰驗證等。
[0030] 物理硬體層例如可以包括RAM、ROM、1/0等固有硬體和外設硬體。
[0031] 根據圖2所示的系統架構,實現虛擬安全載體VSE的方法可以包括由安全載體管 理器SEM生成請求,該請求包括虛擬化配置信息;以及由超級監督者Hypervisor中的虛擬 機監視器VMM根據上述請求為VSE創建地址空間。上述請求可以通過命令的形式被發送給 Hypervisor。VMM根據SEM發來的虛擬化配置信息,先對物理硬體進行合理資源抽取,隔離 出符合配置要求的地址空間。這些地址空間相互獨立、安全隔離、互不幹涉。虛擬化後所得 到的虛擬硬體即對應於圖2中的虛擬SE層。所述虛擬化配置信息包括VSE的晶片作業系統 COS、VSE的存儲空間大小、VSE的個人化數據。在所述地址空間被分配給VSE後,所述SEM 為VSE設置C0S和個人化數據。
[0032] 可選地,在SEM生成請求之前,該SEM使用安全密鑰對當前作業系統的可信性進行 安全驗證,驗證不通過則拒絕為當前作業系統創建VSE。例如,可以採用基於對稱加密算法 的單向式安全驗證。當作業系統註冊到SEM時,兩者間就會協商出一個共享私密信息(比如 一個16byte的數據)。之後當作業系統連接到SEM時,SEM會向作業系統發出一個請求信 息(可以是一個隨機數據)。作業系統在接收到該請求信息後就會使用共享私密信息對其進 行對稱加密,並將加密後所得的值返回給SEM。接著,SEM就可以對作業系統所返回的加密 值進行檢驗比對,一致則驗證通過,通過則系統可信。當然,本發明的驗證方法不僅限於此, 例如可以採用其他驗證方式(如雙向式安全驗證(基於對稱加密算法)或者是更為安全的基 於非對稱加密算法的安全驗證等。
[0033] 通過上述步驟,利用Hypervisor層就順利完成了 VSE的創建。同時,Hypervisor 層還可以對每個VSE所分配的地址及其相關信息進行記錄,這樣將更有利於日後作業系統 對VSE進行更進一步地操作與管理。
[0034] 圖3是根據本發明另一個實施例的實現虛擬安全載體VSE的系統架構示意圖。如 圖所示,在該實施例中,虛擬SE層可以通過虛擬機或進程實現。該虛擬SE層位於作業系統 層之上,通過調用作業系統來對物理硬體進行資源分配。在該架構下,根據虛擬化配置信息 在作業系統中對所分配出來的地址空間進行VSE的創建和配置。
[0035] 現在描述通過MMU實現VSE的地址空間分配,以及通過進程維護VSE。
[0036] 為了更好地進行進程控制,可以使用CPU中的MMU模塊來協助完成進程模擬。由 存儲器管理單元MMU根據VSE的創建請求為VSE分配地址空間。MMU模塊可以在作業系統 中開闢一個地址空間作為虛擬存儲器,並將所有進程安排到這個虛擬存儲器中;之後,MMU 再為每一個進程各自分配一個獨立的地址空間,即一個進程對應一個VSE,從而保持所有進 程之間相互獨立,互不影響。
[0037] MMU還記錄進程號和為VSE所分配的地址信息,以便後期安全作業系統能夠更好 地對VSE進行資源管理。
[0038] 現在描述通過虛擬機實現VSE的地址空間分配。這裡的虛擬機是指擁有自己專有 的指令集、寄存器、堆棧以及文件格式等,並能夠獨立完成自己的堆棧管理、垃圾管理、內存 管理、線程管理的虛擬計算機。在該架構下,SEM可以通過命令請求作業系統進行系統線程 的創建,並在線程上啟動對應的虛擬機。其中,虛擬化配置信息附加在該命令中。如此,每個 線程各自執行著一個虛擬機。然後,虛擬機根據虛擬化配置信息為VSE分配地址空間。在 VSE存儲空間的邏輯劃分完成後,SEM將在相應的存儲空間安裝指定C0S、下載個人化數據。
[0039] 作業系統可以通過設計一個虛擬機管理器分別對每一個虛擬機及其運行的VSE 進行相關資源管理。
[0040] 上文中所提到的硬體平臺可以是能滿足SE設備安全性需求的安全硬體環境。這 種安全硬體平臺能夠最大限度的對外界信息進行驗證,並儘可能地避免外界信息對其內部 程序的幹擾,具體示例如基於TrustZone硬體架構的行動裝置安全作業系統平臺、智慧卡 安全硬體平臺等。上文中所提到的作業系統可以是在安全硬體平臺下所搭建出來的安全操 作系統,由於該作業系統是基於安全硬體平臺的,它也就能夠保證此時其內程序正常運行、 通訊的安全性。
[0041] 本發明公開了在硬體平臺上進行SE設備虛擬化的技術方案,在不需要外接物理 SE設備的參與下,完成虛擬SE的創建。本發明通過使用具備實體SE設備功能的虛擬SE設 備在一定程度上擺脫實體SE設備的限制,從而避免了採用物理SE設備的成本。
[0042] 本發明所實現的VSE可以被配置在安全硬體環境下,從而能夠受到整個硬體環境 的安全防護,使得外界無法輕易對其進行惡意攻擊,從而更進一步提高了 VSE的安全性,確 保了內部程序正常運行的需求。
[0043] 另外,本發明可以基於安全硬體平臺進行虛擬化,因此可以利用安全硬體平臺硬 件層中的KeyPad (例如,行動裝置上的密碼鍵盤)來進行VSE的可視化管理操作,這樣不僅 能夠更為充分地利用安全硬體平臺的資源,也更好地提高了虛擬SE的可管理性與可操作 性。
[0044] 通過以上實施方式的描述,本領域中的普通技術人員能夠理解,在不偏離本發明 的精神和範圍的情況下,還可以對本發明的【具體實施方式】作各種變更和替換。這些變更和 替換都落在本發明權利要求書所限定的範圍內。
【權利要求】
1. 一種實現虛擬安全載體VSE的方法,其特徵在於,包括以下步驟: 由安全載體管理器SEM生成請求,該請求包括虛擬化配置信息; 由超級監督者Hypervisor中的虛擬機監視器VMM根據上述請求為VSE分配地址空間。
2. 如權利要求1所述的方法,其特徵在於, 在SEM生成請求之前,該SEM使用安全密鑰對當前作業系統的可信性進行安全驗證。
3. 如權利要求2所述的方法,其特徵在於, 所述虛擬化配置信息包括VSE的晶片作業系統COS、VSE的存儲空間大小、VSE的個人 化數據, 所述SEM為VSE設置COS和個人化數據。
4. 如權利要求3所述的方法,其特徵在於, 所述Hypervisor記錄為VSE所分配的地址信息。
5. -種實現虛擬安全載體VSE的方法,其特徵在於,包括以下步驟: 由安全載體管理器SEM生成請求,該請求包括虛擬化配置信息; 由存儲器管理單元MMU根據上述請求為VSE分配地址空間。
6. 如權利要求5所述的方法,其特徵在於, 在SEM生成請求之前,該SEM使用安全密鑰對當前執行環境的可信性進行安全驗證。
7. 如權利要求6所述的方法,其特徵在於, 所述虛擬化配置信息包括VSE的晶片作業系統COS、VSE的存儲空間大小、VSE的個人 化數據, 所述MMU為每一個VSE分配一個進程, 所述SEM為VSE設置COS和個人化數據。
8. 如權利要求7所述的方法,其特徵在於, 所述MMU還記錄進程號和為VSE所分配的地址信息。
9. 一種實現虛擬安全載體VSE的方法,其特徵在於,包括以下步驟: 由安全載體管理器SEM生成請求,該請求包括虛擬化配置信息; 由作業系統根據上述請求創建線程,並為每一個線程啟動一個虛擬機; 所述虛擬機根據虛擬化配置信息為VSE分配地址空間。
10. 如權利要求9所述的方法,其特徵在於, 在SEM生成請求之前,該SEM使用安全密鑰對當前執行環境的可信性進行安全驗證。
11. 如權利要求10所述的方法,其特徵在於, 所述虛擬化配置信息包括VSE的晶片作業系統COS、VSE的存儲空間大小、VSE的個人 化數據, 所述SEM為VSE設置COS和個人化數據。
【文檔編號】G06F9/455GK104102524SQ201310126082
【公開日】2014年10月15日 申請日期:2013年4月12日 優先權日:2013年4月12日
【發明者】柴洪峰, 魯志軍, 何朔, 郭偉, 周鈺, 李定洲 申請人:中國銀聯股份有限公司