一種安全管控的方法、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及安全管控技術(shù)領(lǐng)域,具體涉及一種安全管控的方法、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]信任區(qū)(TrustZone)是一種全新的安全技術(shù),通過對中央處理器(CentralProcessing Unit,CPU)的架構(gòu)和內(nèi)存子系統(tǒng)的硬件設(shè)計升級,引入信任區(qū)的概念。信任區(qū)和非信任區(qū)的硬件隔離各,通過監(jiān)控模式實現(xiàn)二者之間的通信。
[0003]信任區(qū)的引入可以增強系統(tǒng)的安全性,例如:錢包類支付操作,在運行時需要驗證用戶的指紋。在信任區(qū)獲取指紋和識別是否正確,將結(jié)果返回給非信任區(qū)。這樣既能保正用戶的真實性,同時還可以保護指紋不會泄露。
[0004]Security-Enhanced Linux簡稱為SELinux,SELinux是Linux歷史上最杰出的安全子系統(tǒng)。
[0005]用戶空間對系統(tǒng)資源的訪問,都必須通過系統(tǒng)調(diào)用(SystemCall,SYSCALL)來實現(xiàn),而在這條關(guān)鍵路徑上,SELinux會對SYSCALL是否允許被用戶調(diào)用進行權(quán)限檢查。
[0006]SELinux大大增強了對用戶空間訪問系統(tǒng)資源的管理,使得用戶態(tài)進程被攻擊的可能性大大減小,如SELinux成功的防御了 skype漏洞和Vo Id漏洞。但SELinux面對來自Linux kernel的漏洞攻擊則無能為力,如Pingpangroot的攻擊。
【發(fā)明內(nèi)容】
[0007]為了解決現(xiàn)有技術(shù)中SELinux面對來自Linux kernel的漏洞攻擊則無能為力相比,本發(fā)明實施例提供一種安全管控的方法,可以通過TEE中可信應(yīng)用裝置主動檢測SELinux安全服務(wù)裝置,當REE側(cè)的系統(tǒng)被攻擊時,可以及時發(fā)現(xiàn),從而可以快速的進行安全處理操作,降低了用戶風險。本發(fā)明實施例還提供了相應(yīng)的裝置及系統(tǒng)。
[0008]本發(fā)明第一方面提供一種安全管控的方法,所述方法應(yīng)用于信任區(qū)TrustZone管理系統(tǒng),所述信任區(qū)管理系統(tǒng)包括可信執(zhí)行環(huán)境TEE和普通執(zhí)行環(huán)境REE,所述可信執(zhí)行環(huán)境中包括可信應(yīng)用裝置和安全操作裝置,所述普通執(zhí)行環(huán)境中包括驗證代理裝置和SELinux安全服務(wù)裝置,所述方法包括:
[0009]所述可信應(yīng)用裝置向所述驗證代理裝置發(fā)送測試命令,所述測試命令用于所述驗證代理裝置對所述SELinux安全服務(wù)裝置進行安全性檢測;
[0010]所述可信應(yīng)用裝置接收所述驗證代理裝置返回的檢測結(jié)果;
[0011]所述可信應(yīng)用裝置根據(jù)所述檢測結(jié)果確定所述SELinux安全服務(wù)裝置被攻擊,則向所述安全操作裝置發(fā)送異常通知,所述異常通知用于所述安全操作裝置對所述SELinux安全服務(wù)裝置進行安全處理操作。
[0012]可以通過TEE中可信應(yīng)用裝置主動檢測SELinux安全服務(wù)裝置,當REE側(cè)的系統(tǒng)被攻擊時,可以及時發(fā)現(xiàn),從而可以快速的進行安全處理操作,降低了用戶風險。
[0013]結(jié)合第一方面,在第一種可能的實現(xiàn)方式中,所述可信應(yīng)用裝置向所述驗證代理裝置發(fā)送測試命令之前,所述方法還包括:
[0014]所述可信應(yīng)用裝置從存儲于所述可信執(zhí)行環(huán)境的原始SELinux策略文件中隨機抽取一條策略,打包成所述測試命令。
[0015]測試命令是隨機抽取的策略,REE側(cè)不可獲知,進一步提高了安全性。
[0016]結(jié)合第一方面或第一方面第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中,所述可信應(yīng)用裝置根據(jù)所述檢測結(jié)果確定所述SELinux安全服務(wù)裝置被攻擊,包括:
[0017]所述可信應(yīng)用裝置在確定所述檢測結(jié)果返回超時,則確定所述SELinux安全服務(wù)裝置被攻擊。
[0018]返回超時,也被確認為是不安全的,進一步提高了安全性。
[0019]結(jié)合第一方面或第一方面第一種可能的實現(xiàn)方式,在第三種可能的實現(xiàn)方式中,所述可信應(yīng)用裝置根據(jù)所述檢測結(jié)果確定所述SELinux安全服務(wù)裝置被攻擊,包括:
[0020]所述可信應(yīng)用裝置確定所述檢測結(jié)果與預(yù)期結(jié)果不符,則確定所述SELinux安全服務(wù)裝置被攻擊。
[0021]本發(fā)明第二方面提供一種安全管控的方法,所述方法應(yīng)用于信任區(qū)TrustZone管理系統(tǒng),所述信任區(qū)管理系統(tǒng)包括可信執(zhí)行環(huán)境TEE和普通執(zhí)行環(huán)境REE,所述可信執(zhí)行環(huán)境中包括可信應(yīng)用裝置和安全操作裝置,所述普通執(zhí)行環(huán)境中包括驗證代理裝置和SELinux安全服務(wù)裝置,所述方法包括:
[0022]所述安全操作裝置接收所述可信應(yīng)用裝置發(fā)送的異常通知,所述異常通知是所述可信應(yīng)用裝置通過所述驗證代理裝置確定所述SELinux安全服務(wù)裝置被攻擊后發(fā)出的;
[0023]所述安全操作裝置根據(jù)所述異常通知,對所述SELinux安全服務(wù)裝置進行安全處理操作。
[0024]可以通過TEE中可信應(yīng)用裝置主動檢測SELinux安全服務(wù)裝置,當REE側(cè)的系統(tǒng)被攻擊時,可以及時發(fā)現(xiàn),從而可以快速的進行安全處理操作,降低了用戶風險。
[0025]結(jié)合第二方面,在第一種可能的實現(xiàn)方式中,所述安全操作裝置根據(jù)所述異常通知,對所述SELinux安全服務(wù)裝置進行安全處理操作,包括:
[0026]所述安全操作裝置根據(jù)所述異常通知在確定所述SELinux安全服務(wù)裝置中的SELinux策略文件被修改后,從所述可信執(zhí)行環(huán)境中獲取原始SELinux策略文件;
[0027]所述安全操作裝置用所述原始SELinux策略文件替換所述SELinux安全服務(wù)裝置中已被修改的SELinux策略文件。
[0028]確定策略文件被修改后,及時進行修復(fù),可以提高用戶體驗。
[0029]結(jié)合第二方面,在第二種可能的實現(xiàn)方式中,所述安全操作裝置根據(jù)所述異常通知,對所述SELinux安全服務(wù)裝置進行安全處理操作,包括:
[0030]所述安全操作裝置根據(jù)所述異常通知,拒絕來自所述普通執(zhí)行環(huán)境的調(diào)用請求,并給出風險提示。
[0031]在有異常出現(xiàn)時,拒絕REE側(cè)的請求,可以進一步提高安全性。
[0032]本發(fā)明第三方面提供一種可信應(yīng)用裝置,所述可信應(yīng)用裝置應(yīng)用于信任區(qū)TrustZone管理系統(tǒng),所述信任區(qū)管理系統(tǒng)包括可信執(zhí)行環(huán)境TEE和普通執(zhí)行環(huán)境REE,所述可信執(zhí)行環(huán)境中包括所述可信應(yīng)用裝置和安全操作裝置,所述普通執(zhí)行環(huán)境中包括驗證代理裝置和SELinux安全服務(wù)裝置,所述可信應(yīng)用裝置包括:
[0033]發(fā)送單元,用于向所述驗證代理裝置發(fā)送測試命令,所述測試命令用于所述驗證代理裝置對所述SELinux安全服務(wù)裝置進行安全性檢測;
[0034]接收單元,用于接收所述驗證代理裝置返回的檢測結(jié)果;
[0035]確定單元,用于根據(jù)所述接收單元接收的所述檢測結(jié)果確定所述SELinux安全服務(wù)裝置被攻擊;
[0036]所述發(fā)送單元,還用于在所述確定單元確定所述SELinux安全服務(wù)裝置被攻擊后,向所述安全操作裝置發(fā)送異常通知,所述異常通知用于所述安全操作裝置啟動對所述SELinux安全服務(wù)裝置的安全處理操作。
[0037]可以通過TEE中可信應(yīng)用裝置主動檢測SELinux安全服務(wù)裝置,當REE側(cè)的系統(tǒng)被攻擊時,可以及時發(fā)現(xiàn),從而可以快速的進行安全處理操作,降低了用戶風險。
[0038]結(jié)合第三方面,在第一種可能的實現(xiàn)方式中,所述可信應(yīng)用裝置還包括:
[0039]命令生成單元,用于從存儲于所述可信執(zhí)行環(huán)境的原始SELinux策略文件中隨機抽取一條策略,打包成所述發(fā)送單元發(fā)送的所述測試命令。
[0040]測試命令是隨機抽取的策略,REE側(cè)不可獲知,進一步提高了安全性。
[0041 ]結(jié)合第三方面或第三方面第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中,
[0042]所述確定單元,具體用于在確定所述檢測結(jié)果返回超時,則確定所述SELinux安全服務(wù)裝置被攻擊。
[0043]返回超時,也被確認為是不安全的,進一步提高了安全性。
[0044]結(jié)合第三方面或第三方面第一種可能的實現(xiàn)方式,在第三種可能的實現(xiàn)方式中,
[0045]所述確定單元,具體用于確定所述檢測結(jié)果與預(yù)期結(jié)果不符,則確定所述SELinux安全服務(wù)裝置被攻擊。
[0046]本發(fā)明第四方面提供一種安全操作裝置,所述安全操作裝置應(yīng)用于信任區(qū)TrustZone管理系統(tǒng),所述信任區(qū)管理系統(tǒng)包括可信執(zhí)行環(huán)境TEE和普通執(zhí)行環(huán)境REE,所述可信執(zhí)行環(huán)境中包括可信應(yīng)用裝置和所述安全操作裝置,所述普通執(zhí)行環(huán)境中包括驗證代理裝置和SELinux安全服務(wù)裝置,所述安全操作裝置包括:
[0047]接收單元,用于接收所述可信應(yīng)用裝置發(fā)送的異常通知,所述異常通知是所述可信應(yīng)用裝置通過所述驗證代理裝置確定SELinux安全服務(wù)裝置被攻擊后發(fā)出的;
[0048]處理單元,用于根據(jù)所述接收單元接收的所述異常通知,啟動對所述SELinux安全服務(wù)裝置的安全處理操作。
[0049]可以通過TEE中可信應(yīng)用裝置主動檢測SELinux安全服務(wù)裝置,當REE側(cè)的系統(tǒng)被攻擊時,可以及時發(fā)現(xiàn),從而可以快速的進行安全處理操作,降低了用戶風險。
[0050]結(jié)合第四方面,在第一種可能的實現(xiàn)方式中,
[0051]所述處理單元,具體用于用所述原始SELinux策略文件替換所述SELinux安全服務(wù)裝置中已被修改的SELinux策略文件。
[0052]確定策略文件被修改后,及時進行修復(fù),可以提高用戶體驗。
[0053]結(jié)合第四方面,在第二種可能的實現(xiàn)方式中,
[0054]所述處理單元,具體用于根據(jù)所述異常通知,拒絕來自所述普通執(zhí)行環(huán)境的調(diào)用請求,并給出風險提示。
[0055]在有異常出現(xiàn)時,拒絕REE側(cè)的請求,可以進一步提高安全性。
[0056]本發(fā)明第五方面提供一種信任區(qū)管理系統(tǒng),包括可信執(zhí)行環(huán)境TEE和普通執(zhí)行環(huán)境REE,所述可信執(zhí)行環(huán)境中包括可信應(yīng)用裝置和安全操作裝置,所述普通執(zhí)行環(huán)境中包括驗證代理裝置和SELinux安全服務(wù)裝置;
[0057]所述可信應(yīng)用裝置向所述驗證代理裝置發(fā)送測試命令;
[0058]所述驗證代理裝置根據(jù)所述測試命令對所述SELinux安全服務(wù)裝置進行安全性檢測,并向所述可信應(yīng)用裝置返回