一種基於可信執行環境高安全應用系統的實現方法

2023-04-29 13:42:46 1

一種基於可信執行環境高安全應用系統的實現方法
【專利摘要】本發明涉及一種基於可信執行環境高安全應用系統的實現方法，首先，使用敏感業務庫實現高敏感業務邏輯，並將敏感業務庫完成可信第三方CA的籤名；其次，通過墊片共享庫實現與可信環境中敏感業務庫的數據交互；最後，通過應用系統打包技術，發布高安全的應用系統供用戶下載安裝於支持可信執行環境的終端中，完成敏感業務庫動態安全地加載到可信執行環境中。本發明具有應用系統安全性高、開發周期短、降低可信執行環境構建的複雜度等優勢。
【專利說明】一種基於可信執行環境高安全應用系統的實現方法

【技術領域】
[0001] 本發明涉及一種基於可信執行環境高安全應用系統的實現方法，屬於移動終端基 於可信執行環境的高安全應用構建領域。

【背景技術】
[0002] 伴隨著移動網際網路的迅猛發展，行動裝置承載的業務已從原來的通信，簡訊，社 交，遊戲等，逐漸轉變為包含企業辦公，行動支付等高安全性需求領域。
[0003] 傳統方法上對於解決行動裝置高安全系統的需求，一般採用在智能終端的框架層 進行應用系統高敏感業務的處理（如數據的加解密、籤名驗籤，密鑰生成、銷毀等）。在該層 完成應用系統敏感業務處理，能一定程度上保證應用系統的安全，但是由於智能終端操作 系統（如安卓作業系統）本身存在嚴重的碎片化問題，若用戶行動裝置中諸多的系統漏洞 得不到及時的修復，將使應用系統面臨著嚴重的安全風險（如木馬威脅、應用系統被挾持 等）。同時所有的應用系統代碼運行在同一個智能終端作業系統中，很難保證與其他應用系 統的完全隔離，敏感數據不被竊取。因此，這種方案安全等級不夠高，難以真正地解決高敏 感應用系統的安全問題。為了從根本上解決上述問題，有必要從底層硬體架構、作業系統以 及應用服務等多個環節，設計軟硬體結合的高安全應用系統整體解決方案。
[0004] 目前，部分處理器已可提供安全擴展功能（如ARM處理器的TrustZone安全功 能），在移動終端構建普通程序執行環境和可信執行環境兩個獨立的運行世界，並利用處理 器的監控模式提供兩個世界的切換與數據傳遞，有效地實現應用系統高敏感業務與普通業 務的隔離。但是，基於可信執行環境的安全應用系統面臨著幾大問題，如何將應用系統的高 敏感數據和高敏感業務處理完整安全的加載到可信執行環境；如何開發者在不擁有可信執 行環境的源碼樹，將應用系統自身相關的敏感業務的原始碼與可信執行環境的原始碼樹混 合編譯，降低可信執行環境構建的複雜度；如何解決普通應用系統開發者，使用這種上層應 用開發和底層實現機制緊耦合綁定的方式，降低開發者開發效率、提高使用的方便性。


【發明內容】

[0005] 本發明旨在針對移動終端基於可信執行環境的高安全應用系統構建領域技術挑 戰，本發明的目的在於提出一種基於可信執行環境高安全應用系統的實現方法。
[0006] 本發明擬利用可信執行環境作為安全應用系統運行的基礎平臺，並保證開發者的 開發效率下，首先，使用敏感業務庫實現高敏感業務邏輯，並將敏感業務庫完成可信第三方 CA的籤名；其次，通過墊片共享庫實現與可信環境中敏感業務庫的交互；最後，通過應用系 統打包技術，發布高安全的應用系統供用戶下載安裝於支持可信執行環境的終端中，完成 敏感業務庫動態安全地加載到可信執行環境中。基於此，本發明的基於可信執行環境高安 全應用系統的實現方法具有應用系統安全性高、開發周期短、降低可信執行環境構建複雜 度等優勢。
[0007] 下面簡要介紹下本方案的基本思想，本發明在吸取已有解決方案優點的基礎之 上，提出了自己的設計思想，具體來說，本發明技術方案包括下列幾個方面：
[0008] 方面一，開發者將應用系統的敏感業務邏輯用動態共享庫的方式實現，該庫被稱 為敏感業務庫，並且敏感業務庫被可信第三方CA籤名，同時保持了非敏感業務原有的開發 方式不變。該過程的實施將為基於可信執行環境高安全應用系統的實現奠定前提條件，實 現安全應用敏感業務邏輯處理單元與非敏感業務邏輯處理單元的分離，即將應用系統的敏 感業務邏輯單元轉移到可信執行環境中。
[0009] 方面二，藉助墊片共享庫，完成可信執行環境驅動層邏輯及通過處理器監控模式 實現與可信執行環境中敏感業務邏輯間的數據通信。該過程的實施將實現普通執行環境與 可信執行環境數據通信的安全，為可信執行環境中高安全應用系統的實現提供基礎互通條 件。
[0010] 方面三，利用打包技術，將應用系統的墊片共享庫、敏感業務庫和非敏感業務操作 打包發布，完成可信執行環境中高安全應用系統的開發。用戶在支持可信執行環境的智能 終端，下載安裝高安全應用系統，可信執行環境平臺將敏感業務庫動態安全地加載到可信 執行環境中，依次滿足用戶對高安全性應用的需求。
[0011] 本發明具體實現步驟為：
[0012] (1)首先，將智能終端應用系統的業務處理單元劃分為敏感業務處理單元和非敏 感業務處理單元，所述敏感業務處理單元包含核心數據的產生、存儲及密碼學相關操作；所 核心數據是指密碼信息、交易數據、身份信息；所述密碼學相關操作包括密鑰生成、籤名驗 籤、加解密函數、證書驗證及安全隨機數生成；所述非敏感業務處理單元是指處理非核心數 據的代碼邏輯；再將敏感業務處理邏輯單元用動態共享庫實現，作為敏感業務庫；所述非 核心數據即是指除核心數據以外的其它相關數據，非核心數據因為每個應用系統關注點不 同，一些非核心數據也能被一些定義為核心數據，如應用系統提供的位置信息、上網記錄、 播放視頻內容等；所述敏感業務庫是由一些處理核心數據的函數組成，包括密鑰生成函數、 加解密函數、籤名驗籤函數、安全隨機數函數；並完成敏感業務庫被可信第三方CA的籤名， 從而將敏感業務庫動態安全地加載到可信執行環境中；
[0013] (2)其次，通過墊片共享庫實現與可信環境中敏感業務庫的交互；
[0014] (3)最後，利用打包技術，將步驟⑴和步驟⑵實現的墊片共享庫、敏感業務庫及 非敏感業務處理單元打包發布，用戶在支持可信執行環境的智能終端，下載安裝應用系統， 可信執行環境平臺將敏感業務庫動態安全地加載到可信執行環境中。
[0015] 所述步驟（1)中完成敏感業務庫被可信第三方CA的籤名的具體實現步驟如下：
[0016] (11)對敏感業務庫中函數的二進位信息進行哈希算法運行，生成各函數的哈希值HUuuthms = HashUimctioni)
[0017] (12)敏感業務庫對應的應用系統的包名進行哈希運行，生成應用系統包名的哈希 Hpackage = hash (package)；
[0018] (13)對各函數的哈希值#細和應用系統包名的哈希值Hpaekage進行哈希運算， 生成哈希值開=細Il ，用可信第三方CA對哈希值H籤名，生成籤 名值sign[H];其中package代表的是應用系統的包名，function代表敏感業務庫中的函 數。
[0019] 所述步驟（2)中的通過墊片共享庫實現與可信環境中敏感業務庫過程為：
[0020] (21)在墊片共享庫中利用可信執行環境提供的代理驅動層API接口，實現可信環 境代理驅動邏輯的處理工作；
[0021] (22)墊片共享庫藉助處理器監控模塊提供的API接口，及敏感業務庫中敏感業 務處理邏輯API接口，實現普通執行環境與敏感業務庫間的安全數據交互；處理器監控模 塊負責墊片共享庫與敏感業務庫間數據通信的監控工作，若存在不參照可信執行環境設置 模式的墊片共享庫，處理器監控模塊將拒絕墊片共享庫調用敏感業務庫的敏感業務處理請 求；
[0022] (23)墊片共享庫向普通執行環境上層代碼邏輯提供敏感業務通信的API接口，實 現普通執行環境上層代碼邏輯通過該接口對可信執行環境安全處理過數據的網絡通信，從 而完成基於可信執行環境的墊片共享庫。
[0023] 所述步驟（3)中用戶在支持可信執行環境的智能終端，下載安裝應用系統，可信 執行環境平臺將敏感業務庫動態安全地加載到可信執行環境中的具體步驟：
[0024] (31)通過加載/調用函數讀取敏感業務庫中特定欄位位置的數據信息，包括應用 系統包名、各函數欄位位置、籤名值和哈希算法；
[0025] (32)採用（31)步驟讀取的哈希算法對應用系統包名進行哈希運算，生成哈希值 Hpackage = hash (package);
[0026] (33)利用步驟（31)讀取的各函數欄位位置信息，讀取各函數的二進位 信息，並採用①讀取的哈希算法對各函數二進位信息進行哈希運算，生成哈希值Hnuuu〇n, =Hashifunctioni),
[0027] (34)對各函數的哈希值#和應用系統包名的哈希值Hpadtage採用步驟（31) 讀取的哈希算法進行哈希運算，生成哈希值醜=Il ;
[0028] (35)可信執行環境加載/調用函數讀取可信第三方CA的公鑰，驗證步驟（31)讀 取的籤名值得到= functiont Il ipdbgJ ;其中Package代表的是應用系統的 包名，function代表敏感業務庫中的函數；
[0029] (36)可信執行環境中的加載/調用函數比較哈希值H和H'是否相等，若相等，則 加載/調用函數加載該敏感庫到可信執行中，否則，停止加載。
[0030] 本發明與現有技術相比，具有以下優點：本發明在保證開發效率的情況下，將核心 數據操作轉移到可信執行環境中，將普通應用改造為基於可信執行環境的客戶端/伺服器 架構的安全應用系統。該方法在有效提高應用系統的安全性並保護了開發者的開發習慣， 同時降低了可信執行環境構建的複雜度，為市場中大部分高安全應用的研發提供了有力的 技術支持。

【專利附圖】

【附圖說明】
[0031] 圖1為本發明的整體實施示意圖；
[0032] 圖2為本發明中敏感業務庫實現的示意圖；
[0033] 圖3為本發明中墊片共享庫實現的示意圖；
[0034] 圖4為本發明發布與安裝實現方法的示意圖。

【具體實施方式】
[0035] 為使本發明的目的、優點以及技術方案更加清楚明白，以下通過具體實施，並結合 附圖，對本發明進一步詳細說明。
[0036] 對於圖1從整體上描述了該方案實施的總體架構，主要包括下面三個部分的內 容。
[0037] -、基於可信執行環境安全應用系統的敏感業務庫實現方法
[0038] 高安全應用的開發者將應用系統的敏感業務處理單元和非敏感業務處理單元，非 敏感業務處理單元是指處理非核心數據的代碼邏輯，敏感業務處理單元是處理核心數據的 代碼邏輯，並完成敏感業務庫被可信第三方CA籤名，從而實現基於可信執行環境應用系統 敏感業務庫。下面結合圖2具體描述其處理過程：
[0039] a)高安全應用的開發者，要將安全應用系統的業務處理單元，清晰的劃分為敏感 業務處理單元和非敏感業務處理單元，如敏感業務處理邏輯單元包含核心數據的產生、存 儲，密碼學相關操作（密鑰生成、籤名驗籤、加解密函數、證書驗證、安全隨機數生成）等，並 將敏感業務處理邏輯單元用動態共享庫實現，作為敏感業務庫，如安卓系統下so庫；
[0040] b)開發者對敏感業務庫完成可信第三方CA的籤名，籤名步驟為：①敏感業務庫 中各函數（敏感業務庫是由一些處理核心數據的函數組成，如密鑰生成函數、加解密函 數、籤名驗籤函數、安全隨機數函數等）的二進位信息進行哈希算法（如SHA1、SHA256、 SHA512、SM3等）運行，生成各函數的哈希值"細= 服力;②敏感業務庫 對應的應用系統包名進行哈希運行，生成應用系統包名的哈希值Hpaekage = hash (package); ③對各函數的哈希值#和應用系統包名的哈希值Hpadtage進行哈希運算，生成哈 希值if = 11 南)，用可信第三方CA對哈希值H籤名，生成籤名值 sign[H]；
[0041] c)開發者需按照可信執行環境設定模式，將上述b)所涉及到信息，如應用系統包 名、各函數欄位位置、籤名值及哈希算法（如SHA256、SHA512、SM3等），按照可信執行環境 加載模式規定欄位位置，存放在敏感業務庫內，以便在可信執行環境中實現該庫動態安全 地加載。
[0042] 該過程執行是基於可信執行環境高安全應用系統實施的第一步，將為基於可信執 行環境高安全應用系統的實現奠定前提條件。
[0043] 二、基於可信執行環境安全應用系統的墊片共享庫實現方法
[0044] 開發者在墊片共享庫中實現可信執行環境驅動邏輯處理，及利用處理器監控模 式，實現普通執行環境與可信執行環境中敏感業務邏輯間的數據通信。下面結合附圖3具 體描述其處理過程：
[0045] a)開發者在墊片共享庫中利用可信執行環境提供的代理驅動層API接口，實現可 信環境代理驅動邏輯的處理工作；
[0046] b)墊片共享庫藉助處理器監控模塊提供的API接口，及敏感業務庫中敏感業務處 理邏輯API接口，如密鑰生成API接口、籤名驗籤API接口、加解密函數API接口、證書驗證 API接口、安全隨機數生成API接口，實現普通執行環境與敏感業務庫間的安全數據交互。 處理器監控模塊負責墊片共享庫與敏感業務庫間數據通信的監控工作，若存在不參照可信 執行環境設置模式的墊片共享庫，處理器監控模塊將拒絕墊片共享庫調用敏感業務庫的敏 感業務處理請求；
[0047] c)墊片共享庫向普通執行環境上層代碼邏輯（如java層代碼）提供敏感業務通 信的API接口，實現普通執行環境上層代碼邏輯通過該接口對可信執行環境安全處理過數 據的網絡通信，從而完成基於可信執行環境的墊片共享庫，如安卓系統下so庫。
[0048] 該過程的實施將實現普通執行環境與可信執行環境中敏感業務庫數據安全通信， 為可信執行環境中高安全應用系統的實現奠定通信基礎。
[0049] 三、基於可信執行環境安全應用系統發布與安裝的實現方法
[0050] 如圖4所示，利用打包技術，將步驟一和步驟二完成應用系統的墊片共享庫、敏感 業務庫及非敏感業務處理單元打包發布，用戶在支持可信執行環境的智能終端，下載安裝 高安全應用系統，可信執行環境平臺將敏感業務庫動態安全地加載到可信執行環境中，實 現用戶對高安全性應用的處理需求。
[0051] a)開發者通過打包技術，將墊片共享庫、敏感業務庫及普通業務操作邏輯打包發 布應用系統；
[0052] b)用戶在支持可信執行環境的智能終端安裝a)打包的應用系統，可信執 行環境中的加載/調用函數庫完成敏感業務庫的動態安全加載，具體步驟：①通過加 載/調用函數讀取敏感業務庫中特定欄位位置的數據信息，如應用系統包名、各函數 欄位位置、籤名值和哈希算法；②採用①步驟讀取的哈希算法對應用系統包名進行哈 希運算，生成哈希值Hpaekage = hash (package);③利用①步驟讀取的各函數欄位位置信 息，讀取各函數的二進位信息，並採用①讀取的哈希算法對各函數二進位信息進行哈 希運算，生成哈希值#/"時_ = );④對各函數的哈希值//細和 應用系統包名的哈希值Hpadtage採用①步驟讀取的哈希算法進行哈希運算，生成哈希值 /7 = /細(7/〇": Il ;⑤可信執行環境加載/調用函數讀取可信第三方CA的 公鑰，驗證①步驟讀取的籤名值得到開11 ;⑥可信執行環境 中的加載/調用函數比較哈希值H和H '是否相等，若相等，則加載/調用函數加載該敏感 庫到可信執行中，否則，停止加載。
[0053] c)可信執行環境在加載敏感業務庫成功後，為該敏感業務庫創建守護服務，保證 及時處理來自普通程序執行環境中的敏感業務處理單元請求，至此基於可信執行環境高安 全應用系統實施完畢。
[0054] 提供以上實施例僅僅是為了描述本發明的目的，而並非要限制本發明的範圍。本 發明的範圍由所附權利要求限定。不脫離本發明的精神和原理而做出的各種等同替換和修 改，均應涵蓋在本發明的範圍之內。
【權利要求】
1. 一種基於可信執行環境高安全應用系統的實現方法，其特徵在於實現步驟為： (1) 首先，將智能終端應用系統的業務處理單元劃分為敏感業務處理單元和非敏感業 務處理單元，所述敏感業務處理單元包含核心數據的產生、存儲及密碼學相關操作；所核心 數據是指密碼信息、交易數據、身份信息等；所述密碼學相關操作包括密鑰生成、籤名驗籤、 加解密函數、證書驗證及安全隨機數生成；所述非敏感業務處理單元是指處理非核心數據 的代碼邏輯；再將敏感業務處理邏輯單元用動態共享庫實現，作為敏感業務庫，所述敏感業 務庫是由一些處理核心數據的函數組成，包括密鑰生成函數、加解密函數、籤名驗籤函數、 安全隨機數函數；並完成敏感業務庫被可信第三方CA的籤名，從而將敏感業務庫動態安全 地加載到可信執行環境中； (2) 其次，通過墊片共享庫實現與可信環境中敏感業務庫的交互； (3) 最後，利用打包技術，將步驟（1)和步驟（2)實現的墊片共享庫、敏感業務庫及非敏 感業務處理單元打包發布，用戶在支持可信執行環境的智能終端，下載安裝應用系統，可信 執行環境平臺將敏感業務庫動態安全地加載到可信執行環境中。
2. 根據權利要求1所述的基於可信執行環境高安全應用系統的實現方法，其特徵在 於：所述步驟（1)中完成敏感業務庫被可信第三方CA的籤名的具體實現步驟如下： (11) 對敏感業務庫中函數的二進位信息進行哈希算法運行，生成各函數的哈希值
(12) 敏感業務庫對應的應用系統的包名進行哈希運行，生成應用系統包名的哈希值 Hpackage =hash(package); (13) 對各函數的哈希值和應用系統包名的哈希值Hpadtage進行哈希運算，生成 哈希值
，用可信第三方CA對哈希值H籤名，生成籤名值 sign[H];其中package代表的是應用系統的包名，function代表敏感業務庫中的函數。
3. 根據權利要求1所述的基於可信執行環境高安全應用系統的實現方法，其特徵在 於：所述步驟（2)中的通過墊片共享庫實現與可信環境中敏感業務庫過程為： (21) 在墊片共享庫中利用可信執行環境提供的代理驅動層API接口，實現可信環境代 理驅動邏輯的處理工作； (22) 墊片共享庫藉助處理器監控模塊提供的API接口，及敏感業務庫中敏感業務處理 邏輯API接口，實現普通執行環境與敏感業務庫間的安全數據交互；處理器監控模塊負責 墊片共享庫與敏感業務庫間數據通信的監控工作，若存在不參照可信執行環境設置模式的 墊片共享庫，處理器監控模塊將拒絕墊片共享庫調用敏感業務庫的敏感業務處理請求； (23) 墊片共享庫向普通執行環境上層代碼邏輯提供敏感業務通信的API接口，實現普 通執行環境上層代碼邏輯通過該接口對可信執行環境安全處理過數據的網絡通信，從而完 成基於可信執行環境的墊片共享庫。
4. 根據權利要求1所述的基於可信執行環境高安全應用系統的實現方法，其特徵在 於：所述步驟（3)中用戶在支持可信執行環境的智能終端，下載安裝應用系統，可信執行環 境平臺將敏感業務庫動態安全地加載到可信執行環境中的具體步驟： (31)通過加載/調用函數讀取敏感業務庫中特定欄位位置的數據信息，包括應用系統 包名、各函數欄位位置、籤名值和哈希算法； (32) 採用（31)步驟讀取的哈希算法對應用系統包名進行哈希運算，生成哈希值Hpadtage =hash(package)； (33) 利用步驟（31)讀取的各函數欄位位置信息，讀取各函數的二進位信 息，並採用①讀取的哈希算法對各函數二進位信息進行哈希運算，生成哈希值
(34) 對各函數的哈希值，和應用系統包名的哈希值民^^採用步驟（31)讀取 的哈希算法進行哈希運算，生成哈希值-
(35) 可信執行環境加載/調用函數讀取可信第三方CA的公鑰，驗證步驟（31)讀取的 籤名值得到
；其中package代表的是應用系統的包名， function代表敏感業務庫中的函數； (36) 可信執行環境中的加載/調用函數比較哈希值H和H'是否相等，若相等，則加載 /調用函數加載該敏感庫到可信執行中，否則，停止加載。
【文檔編號】G06F21/57GK104408371SQ201410543247
【公開日】2015年3月11日 申請日期:2014年10月14日 優先權日:2014年10月14日
【發明者】王雅哲, 王瑜, 田琛 申請人:中國科學院信息工程研究所