一種移動(dòng)平臺可信支付系統(tǒng)及方法
【專利摘要】本發(fā)明公開了一種移動(dòng)平臺可信支付系統(tǒng)及方法��,系統(tǒng)包括可信操作系統(tǒng)�����、普通操作系統(tǒng)���、虛擬機(jī)管理器、安全瀏覽器���、監(jiān)督程序和硬件層��;本發(fā)明將定制過的操作系統(tǒng)的鏡像文件存儲在存儲卡中�����,并在每次操作系統(tǒng)啟動(dòng)前都通過TPM芯片對鏡像文件進(jìn)行度量���。這款操作系統(tǒng)稱為可信操作系統(tǒng)����?����?尚挪僮飨到y(tǒng)需要通過第三方可信機(jī)構(gòu)的授權(quán)才能更新�,平時(shí)用戶使用普通手機(jī)操作系統(tǒng),但是當(dāng)可信支付系統(tǒng)檢測到用戶想要進(jìn)行支付時(shí)���,將自動(dòng)切換到可信操作系統(tǒng)來執(zhí)行支付操作����。而支付操作需要的網(wǎng)址����,則通過支付網(wǎng)址數(shù)據(jù)庫驗(yàn)證后加密傳入可信操作系統(tǒng)中�����。本發(fā)明為用戶提供了一個(gè)高度安全保護(hù)的支付環(huán)境��,同時(shí)由于該方法基于虛擬化技術(shù)��,能夠支持不同架構(gòu)的硬件平臺�。
【專利說明】[0001] 一種移動(dòng)平臺可信支付系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0002] 本發(fā)明屬于互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】��,涉及一種移動(dòng)平臺可信支付系統(tǒng)及方法�����,尤其涉及 一種基于可信平臺模塊(Trusted Platform Module�,TPM)和虛擬化技術(shù)的可信支付系統(tǒng)及 方法。
[0003]
【背景技術(shù)】
[0004] 隨著智能手機(jī)的日益普及�,手機(jī)支付也得到了廣泛的應(yīng)用����,針對手機(jī)支付的攻擊 也急劇增長,手機(jī)支付安全方面的研究目前已逐漸受到重視�����。而虛擬化技術(shù)則因其嚴(yán)格的 獨(dú)立性和安全的通信方式所提供的安全性能在研究中獲得了廣泛的應(yīng)用。
[0005] 虛擬化技術(shù)在多個(gè)虛擬執(zhí)行環(huán)境即虛擬機(jī)之間提供了隔離性和安全的通信方 式���。而可信度量保障了應(yīng)用程序�����、數(shù)據(jù)的完整性���。2012年,新西蘭奧克蘭大學(xué)的Giovanni Russello等人提出了一種名為MOSES的基于策略的安卓框架�,能夠給應(yīng)用和數(shù)據(jù)提供隔離 保護(hù),但是它缺乏對運(yùn)行環(huán)境的完整性度量��。2009年��,Muthukumaran基于SELinux設(shè)計(jì)出 了一種系統(tǒng)原型����,它可以通過強(qiáng)制訪問控制等方法保障系統(tǒng)下載的應(yīng)用程序的完整性、安 全性�����。2011年,哥倫比亞大學(xué)的Jeremy Andrus等人成功實(shí)現(xiàn)了在一臺手機(jī)上運(yùn)行多個(gè)虛 擬手機(jī)�����,他使用的輕量級虛擬化方法盡量讓不同虛擬手機(jī)之間共享一些存儲���,來節(jié)省資源�, 但是他的虛擬機(jī)不能夠在不同的移動(dòng)設(shè)備之間進(jìn)行轉(zhuǎn)移�,同時(shí)使用時(shí)也沒有考慮虛擬手機(jī) 的完整性是否被破壞。ARM TrustZone技術(shù)是系統(tǒng)級的提供安全保證的方法��,能夠提供硬件 資源和軟件資源的隔離����。同時(shí),TrustZone分離了兩個(gè)并行執(zhí)行的環(huán)境:不安全的"非安全" 執(zhí)行環(huán)境���;安全可信任的"安全"環(huán)境����,安全監(jiān)控器(Monitor)控制著"安全"與"非安全"環(huán) 境之間的轉(zhuǎn)換�。但是該方法主要利用ARM CPU對系統(tǒng)進(jìn)行隔離����,缺乏平臺通用性����。此外�,對 于可信執(zhí)行環(huán)境,僅采用隔離技術(shù)��,沒有對其進(jìn)行度量����,缺乏完整性保護(hù)。��。
[0006]
【發(fā)明內(nèi)容】
[0007] 為了解決上述技術(shù)問題�,本發(fā)明提出了一種基于TPM和虛擬化技術(shù)的可信支付系 統(tǒng)及方法,利用TPM芯片對虛擬機(jī)進(jìn)行完整性驗(yàn)證保證其安全并將虛擬機(jī)置于存儲卡中使 其可以在不同手機(jī)中進(jìn)行轉(zhuǎn)移�����。
[0008] 本發(fā)明的系統(tǒng)采用的技術(shù)方案是:一種移動(dòng)平臺可信支付系統(tǒng)�,其特征在于: 主要包括可信操作系統(tǒng)T0S (Trusted Operating System)、普通操作系統(tǒng)NOS (Normal Operating System)����、虛擬機(jī)管理器 Limb〇-VMM、安全瀏覽器 SEB (Security -Enhanced Browser)、監(jiān)督程序(Monitor)和硬件層�;所述的可信操作系統(tǒng)T0S是一個(gè)帶有諸如監(jiān)督程 序和瀏覽器類支付必需軟件的定制系統(tǒng),該系統(tǒng)的鏡像文件存儲在存儲卡中�����,并在每次該 系統(tǒng)啟動(dòng)前都通過TPM芯片對鏡像文件進(jìn)行完整性度量���;所述的普通操作系統(tǒng)NOS是常用 的運(yùn)行于手機(jī)上的Android操作系統(tǒng)�,無需對其進(jìn)行更改����;所述的虛擬機(jī)管理器Limb-VMM 用來提供普通操作系統(tǒng)NOS和可信操作系統(tǒng)T0S之間的隔離,用戶使用的普通操作系統(tǒng)NOS 和可信操作系統(tǒng)T0S通過虛擬機(jī)管理器Limbo-VMM來進(jìn)行隔離��,他們之間無法進(jìn)行直接通 信����;所述的安全瀏覽器SEB根據(jù)用戶輸入的URL類型來選擇操作,如果用戶輸入的是支付相 關(guān)的網(wǎng)站�,所述的安全瀏覽器SEB將啟動(dòng)可信操作系統(tǒng)并在可信操作系統(tǒng)中打開該網(wǎng)站, 否則���,將直接在所述的安全瀏覽器中打開該網(wǎng)站���;所述的監(jiān)督程序負(fù)責(zé)與安全瀏覽器SEB 做溝通;所述的硬件層包括除了移動(dòng)設(shè)備常用硬件外�����,還包括TPM芯片和存儲卡���,所述的可 信操作系統(tǒng)T0S的鏡像文件存儲在存儲卡上�����,TPM芯片用來對所述的可信操作系統(tǒng)T0S的 鏡像文件進(jìn)行度量����,為可信操作系統(tǒng)T0S提供平臺完整性保障�;所述的可信操作系統(tǒng)TOSH 有得到第三方可信機(jī)構(gòu)的授權(quán)才能更新,平時(shí)用戶使用普通手機(jī)操作系統(tǒng)N0S��,但當(dāng)所述的 移動(dòng)平臺可信支付系統(tǒng)檢測到用戶想要進(jìn)行支付時(shí)��,將自動(dòng)切換到可信操作系統(tǒng)T0S來執(zhí) 行支付操作�,而支付操作需要的網(wǎng)址,則通過支付網(wǎng)址數(shù)據(jù)庫驗(yàn)證后加密傳入可信操作系 統(tǒng)T0S中�����。
[0009] 作為優(yōu)選,所述的TPM芯片用來對所述的可信操作系統(tǒng)T0S的鏡像文件進(jìn)行完整 性度量���,具體實(shí)現(xiàn)包括以下步驟: 步驟A :將可信操作系統(tǒng)T0S的鏡像文件mount到指定位置��; 步驟B:讀入度量配置文件���,該配置文件存有待度量的內(nèi)核文件、啟動(dòng)文件��、系統(tǒng)驅(qū)動(dòng) 類文件的路徑�、名稱,生成待度量文件鏈表�����; 步驟C :對待度量文件鏈表中的文件一一進(jìn)行度量���,最后得到迭代hash值����; 步驟D :將最后獲取的迭代hash值存入PCR寄存器中�。
[0010] 作為優(yōu)選����,所述的監(jiān)督程序負(fù)責(zé)與安全瀏覽器SEB做溝通�����,負(fù)責(zé)接收SEB發(fā)來的網(wǎng) 址�����,向SEB發(fā)送一些關(guān)閉信息或者錯(cuò)誤提示信息等���,其溝通過程為:當(dāng)監(jiān)督程序收到來自安 全瀏覽器SEB的消息時(shí),監(jiān)督程序?qū)饷茉撔畔?,然后將得到的明文URL提取出域名關(guān)鍵 字,再進(jìn)行加密�����,將域名關(guān)鍵字的密文送入支付網(wǎng)址數(shù)據(jù)庫TODB中進(jìn)行查詢���,如果是PUDB 中有的支付類網(wǎng)址��,則說明該消息是安全瀏覽器SEB發(fā)來的合法請求�,否則,該消息有可能 是攻擊者發(fā)出的或者安全瀏覽器SEB發(fā)出的URL遭到篡改��。
[0011] 本發(fā)明的方法所采用的技術(shù)方案是:一種移動(dòng)平臺可信支付方法�,其特征在于,包 括以下步驟: 步驟1 :用戶在安全瀏覽器SEB的地址欄輸入一個(gè)URL后���,安全瀏覽器SEB提取該URL 的域名關(guān)鍵字����,在數(shù)據(jù)庫中查找該關(guān)鍵字的密文是否被記錄�����,來判斷該URL是否是需要安 全保護(hù)的支付類網(wǎng)站�; 如果該關(guān)鍵字的密文沒有被記錄,則該URL不是需要高安全保障的支付類網(wǎng)址�����,進(jìn)入 步驟2 ; 如果該關(guān)鍵字的密文被記錄�����,則該URL是需要高安全保障的支付類網(wǎng)址��,進(jìn)入步驟3 ; 步驟2 :系統(tǒng)直接在安全瀏覽器SEB上打開該網(wǎng)站,本流程結(jié)束����; 步驟3 :安全瀏覽器SEB已經(jīng)判斷該URL為需要安全保護(hù)的支付類網(wǎng)站,安全瀏覽器 SEB將對可信操作系統(tǒng)T0S的鏡像文件進(jìn)行度量����,并與PCR中存儲的基準(zhǔn)值進(jìn)行比較,所述 的基準(zhǔn)值由可信第三方提供����,并存儲在本地TPM的特定PCR中��,根據(jù)校驗(yàn)結(jié)果分為兩類: 若校驗(yàn)沒有通過���,則進(jìn)入步驟4 ; 若校驗(yàn)通過����,則進(jìn)入步驟5 ; 步驟4 :安全瀏覽器SEB將向用戶返回錯(cuò)誤報(bào)告頁面��,告知可信操作系統(tǒng)TOS的鏡像文 件可能被篡改���,讓用戶通過可信第三方更新系統(tǒng)鏡像�����,本流程結(jié)束�����; 步驟5 :安全瀏覽器SEB將啟動(dòng)虛擬機(jī)管理器Limbo-VMM�,打開可信操作系統(tǒng)TOS ; 步驟6 :安全瀏覽器SEB通過socket將經(jīng)過AES加密的URL發(fā)送給監(jiān)督程序; 步驟7 :監(jiān)督程序接收到AES加密后的URL后����,首先監(jiān)督程序?qū)⑵浣饷埽玫皆糢RL��, 監(jiān)督程序再次進(jìn)行URL合法性檢測��,以防止SQL注入攻擊����,然后提取該URL的域名關(guān)鍵字, 加密該域名關(guān)鍵字��,然后在數(shù)據(jù)庫中查詢該URL關(guān)鍵字的密文是否被記錄��,通過二次檢驗(yàn), 以確保SEB發(fā)送的URL沒有被非法篡改��; 若檢驗(yàn)失敗����,則進(jìn)入步驟8; 若檢驗(yàn)成功,則進(jìn)入步驟9 ; 步驟8 :監(jiān)督程序?qū)⑾虬踩珵g覽器SEB發(fā)送URL可能被篡改的提示以及關(guān)閉信息����,進(jìn)入 步驟10 ; 步驟9 :監(jiān)督程序?qū)?dòng)可信操作系統(tǒng)T0S中的瀏覽器,待用戶正常退出后�,將向安全 瀏覽器SEB發(fā)送關(guān)閉信息; 步驟10 :安全瀏覽器SEB接受到關(guān)閉信息后���,將虛擬機(jī)管理器Limbo-VMM關(guān)閉。
[0012] 作為優(yōu)選��,所述的域名關(guān)鍵字均通過加密后存儲在數(shù)據(jù)庫中��。
[0013] 作為優(yōu)選���,步驟1中所述的用戶在安全瀏覽器SEB的地址欄輸入一個(gè)URL后�����,安全 瀏覽器SEB首先判斷該URL是否是一個(gè)合法的URL��,來避免SQL注入攻擊���,然后���,檢驗(yàn)數(shù)據(jù)庫 文件是否被篡改; 若被篡改�,則提示用戶通過可信第三方更新該數(shù)據(jù)庫,本流程結(jié)束���; 若沒有被篡改�,則安全瀏覽器SEB將提取該URL的域名關(guān)鍵字���,在數(shù)據(jù)庫中查找該關(guān)鍵 字的密文是否被記錄���,來判斷該URL是否是需要安全保護(hù)的支付類網(wǎng)站。
[0014] 本發(fā)明的系統(tǒng)基于虛擬化技術(shù)����,對ARM,X86等各種硬件平臺兼容性良好���,本發(fā)明 的有益效果為: 1. 安全性增強(qiáng)����。本系統(tǒng)采用了可信計(jì)算技術(shù)和虛擬化技術(shù),在提供隔離性的同時(shí)�����,還對 虛擬機(jī)進(jìn)行完整性度量�����,更多一重保障���。并且還在其他方面做了安全性增強(qiáng)�����,比如自主實(shí)現(xiàn) 的安卓安全瀏覽器SEB���,防止SQL注入等措施�。本系統(tǒng)能夠抵御當(dāng)前移動(dòng)支付領(lǐng)域諸多直接 或者間接的安全威脅; 2. 對移動(dòng)支付支持良好��。當(dāng)前的各大移動(dòng)支付類網(wǎng)站,如網(wǎng)上銀行����、支付寶等都能夠在 本系統(tǒng)上得到很好的支持,同時(shí)良好兼容支付最關(guān)鍵的安全控件��。同時(shí)由于基于虛擬化技 術(shù),本系統(tǒng)可用于ARM和X86等多種硬件體系的移動(dòng)設(shè)備����; 3. 簡單易用,安裝方便�����。移動(dòng)支付日益普及�����,除了安全性���。針對廣大的普通用戶����,易用 性很重要���。本系統(tǒng)易用性方面也做了很多工作�,例如使用虛擬化技術(shù)時(shí),傳統(tǒng)虛擬機(jī)VMware 等需要自行建立虛擬機(jī)���,設(shè)定CPU����、內(nèi)存等��,再點(diǎn)擊開機(jī)��,而本系統(tǒng)虛擬機(jī)是基于google code上的一個(gè)開源項(xiàng)目Limbo-Android做的修改��,在安全瀏覽器跳轉(zhuǎn)至虛擬機(jī)Limbo-VMM 時(shí)����,已經(jīng)做了相關(guān)設(shè)定,用戶無需做任何操作����。裝配本系統(tǒng),像普通安卓手機(jī)安裝APP -樣 簡單�。
[0015]
【專利附圖】
【附圖說明】
[0016] 圖1 :是本發(fā)明實(shí)施例的系統(tǒng)部署結(jié)構(gòu)圖�����; 圖2 :是本發(fā)明實(shí)施例的SEB模塊結(jié)構(gòu)圖; 圖3 :是本發(fā)明實(shí)施例的系統(tǒng)主要運(yùn)行流程����; 圖4 :是本發(fā)明實(shí)施例的TPM可信度量流程。
[0017]
【具體實(shí)施方式】
[0018] 為了便于本領(lǐng)域普通技術(shù)人員理解和實(shí)施本發(fā)明����,下面結(jié)合附圖及實(shí)施例對本發(fā) 明作進(jìn)一步的詳細(xì)描述,應(yīng)當(dāng)理解���,此處所描述的實(shí)施示例僅用于說明和解釋本發(fā)明�����,并不 用于限定本發(fā)明���。
[0019] 請見圖1,本發(fā)明的一種移動(dòng)平臺可信支付系統(tǒng)����,主要包括可信操作系統(tǒng)T0S (Trusted Operating System)、普通操作系統(tǒng) NOS (Normal Operating System)�、虛擬機(jī)管理 器 Limb〇-VMM�、安全瀏覽器 SEB (Security-Enhanced Browser)�、監(jiān)督程序(Monitor)和硬件 層。
[0020] 安全瀏覽器SEB是一個(gè)功能簡單�����、安全性增強(qiáng)的瀏覽器�����。在安全方面���,本系統(tǒng)采取 了很多措施來加強(qiáng)它的安全性��,比如防止SQL注入和反調(diào)試技術(shù)等�。當(dāng)用戶輸一個(gè)網(wǎng)址時(shí)�, 安全瀏覽器SEB將查詢支付網(wǎng)址數(shù)據(jù)庫(PUDB)來判斷該網(wǎng)址是否是一個(gè)支付相關(guān)的網(wǎng)址。 如果是支付相關(guān)的��,安全瀏覽器SEB將會對該網(wǎng)址進(jìn)行加密并通過socket連接發(fā)送給可信 操作系統(tǒng)T0S內(nèi)的監(jiān)督程序Monitor�,監(jiān)督程序?qū)俅未_定是否是安全的支付類網(wǎng)站,如 果是�,則用可信操作系統(tǒng)T0S內(nèi)瀏覽器打開該址。如果瀏覽器鑒別出該網(wǎng)址只是一個(gè)普通 的����,那么該網(wǎng)站將直接在安全瀏覽器SEB打開。
[0021] 虛擬機(jī)管理器Limb-VMM用來提供普通操作系統(tǒng)N0S和可信操作系統(tǒng)T0S之間的 隔離����。虛擬機(jī)管理器Limbo-VMM是基于開源工程Limbo-Android的基礎(chǔ)上修改得到的。本 系統(tǒng)修改了其中機(jī)器配置�,使之對當(dāng)前主流ARMv7架構(gòu)的CPU支持更好。此外�����,為了用戶使 用的便捷�����,本系統(tǒng)還直接針對當(dāng)前支付環(huán)境的需要�����,為用戶配置好了可信操作系統(tǒng)T0S的 CPU���、內(nèi)存��、可信操作系統(tǒng)T0S的鏡像路徑等參數(shù)���。當(dāng)虛擬機(jī)管理器Limbo-VMM啟動(dòng)時(shí)��,可信 操作系統(tǒng)T0S將直接啟動(dòng)�,而不需要新建虛擬機(jī)�、設(shè)定虛擬機(jī)參數(shù),同時(shí)點(diǎn)擊開始按鈕等一 系列操作�����。
[0022] 可信操作系統(tǒng)T0S是一個(gè)帶有監(jiān)督程序Monitor和瀏覽器等支付必需軟件的定制 系統(tǒng)����。可信操作系統(tǒng)T0S如果需要升級必須經(jīng)過可信第三方的認(rèn)證����。可信操作系統(tǒng)T0S里 面的瀏覽器可以很好地支持當(dāng)前的移動(dòng)支付類網(wǎng)站�����。
[0023] 普通操作系統(tǒng)N0S是常用的運(yùn)行于手機(jī)上的android操作系統(tǒng)�����,無需對其進(jìn)行更 改。
[0024] 監(jiān)督程序(Monitor)負(fù)責(zé)與安全瀏覽器SEB做溝通����,當(dāng)監(jiān)督程序收到來自安全瀏 覽器SEB的消息時(shí),監(jiān)督程序Monitor將會按先前的約定�����,解密該信息���,然后將得到的明文 URL提取出域名關(guān)鍵字,再按照約定加密(因?yàn)閿?shù)據(jù)庫中存儲的是密文)���,將域名關(guān)鍵字的密 文送入支付網(wǎng)址數(shù)據(jù)庫(PUDB)中進(jìn)行查詢����,如果是PUDB中有的支付類網(wǎng)址�,則說明該消息 是安全瀏覽器SEB發(fā)來的合法請求。否則�,該消息有可能是攻擊者發(fā)出的或者SEB發(fā)出的 URL遭到篡改。
[0025] 請見圖2,本實(shí)施例的SEB結(jié)構(gòu)為: MainActivity :MainActivity是安全瀏覽器SEB的主類��,包含了用戶界面以及調(diào)用 Encryptool、Anet�、DBManager等其他類完成加解密、與Limbo-VMM的通信�、查詢支付網(wǎng)址數(shù) 據(jù)庫等功能,其他一些操作如BASE64編碼等也在MainActivity中完成�����。
[0026] Encryptool :Encryptool類通過調(diào)用OpenSSL中的實(shí)現(xiàn)了 SHA256加解密功能����。
[0027] Anet :Anet類負(fù)責(zé)與可信操作系統(tǒng)中的監(jiān)督程序完成交互,包括將支付URL加密 后通過socket傳送給監(jiān)督程序���、以及接收監(jiān)督程序的反饋等操作���。
[0028] DBManager :DBManager類負(fù)責(zé)數(shù)據(jù)庫相關(guān)操作,主要功能是判斷某一 URL是否是 需要高度安全保障的支付相關(guān)的網(wǎng)址�����。
[0029] 請見圖3,本發(fā)明的方法所采用的技術(shù)方案是:一種移動(dòng)平臺可信支付方法����,包括 以下步驟: 步驟1 :用戶在安全瀏覽器SEB的地址欄輸入一個(gè)URL后�����,安全瀏覽器SEB首先判斷該 URL是否是一個(gè)合法的URL���,來避免SQL注入攻擊,然后�����,檢驗(yàn)數(shù)據(jù)庫文件是否被篡改�; 若被篡改����,則提示用戶通過可信第三方更新該數(shù)據(jù)庫,本流程結(jié)束��; 若沒有被篡改�,則安全瀏覽器SEB將提取該URL的域名關(guān)鍵字(如支付寶的所有子站點(diǎn) 都將被提取出關(guān)鍵字alipay. com,這樣可以保證所有子站點(diǎn)都被識別)��,域名關(guān)鍵字均通過 加密后存儲在數(shù)據(jù)庫中����,在數(shù)據(jù)庫中查找該關(guān)鍵字的密文是否被記錄,來判斷該URL是否 是需要安全保護(hù)的支付類網(wǎng)站; 如果該關(guān)鍵字的密文沒有被記錄�����,則該URL不是需要高安全保障的支付類網(wǎng)址���,進(jìn)入 步驟2 ; 如果該關(guān)鍵字的密文被記錄���,則該URL是需要高安全保障的支付類網(wǎng)址,進(jìn)入步驟3 ; 步驟2 :系統(tǒng)直接在安全瀏覽器SEB上打開該網(wǎng)站��,本流程結(jié)束�; 步驟3 :安全瀏覽器SEB已經(jīng)判斷該URL為需要安全保護(hù)的支付類網(wǎng)站,安全瀏覽器 SEB將對可信操作系統(tǒng)T0S的鏡像文件進(jìn)行度量�,并與PCR中存儲的基準(zhǔn)值進(jìn)行比較(基準(zhǔn) 值由可信第三方提供,并存儲在本地TPM的特定PCR中)��,根據(jù)校驗(yàn)結(jié)果分為兩類: 若校驗(yàn)沒有通過�����,則進(jìn)入步驟4 ; 若校驗(yàn)通過�,則進(jìn)入步驟5 ; 步驟4 :安全瀏覽器SEB將向用戶返回錯(cuò)誤報(bào)告頁面,告知可信操作系統(tǒng)T0S的鏡像文 件可能被篡改��,讓用戶通過可信第三方更新系統(tǒng)鏡像,本流程結(jié)束���; 步驟5 :安全瀏覽器SEB將啟動(dòng)虛擬機(jī)管理器Limbo-VMM�,打開可信操作系統(tǒng)T0S ; 步驟6 :安全瀏覽器SEB通過socket將經(jīng)過AES加密的URL發(fā)送給監(jiān)督程序�����; 步驟7 :監(jiān)督程序接收到AES加密后的URL后���,首先監(jiān)督程序?qū)⑵浣饷?,得到原始URL��, 監(jiān)督程序再次進(jìn)行URL合法性檢測���,以防止SQL注入攻擊,然后提取該URL的域名關(guān)鍵字����, 加密該域名關(guān)鍵字,然后在數(shù)據(jù)庫中查詢該URL關(guān)鍵字的密文是否被記錄�,通過二次檢驗(yàn), 以確保SEB發(fā)送的URL沒有被非法篡改��; 若檢驗(yàn)失敗,則進(jìn)入步驟8; 若檢驗(yàn)成功�,則進(jìn)入步驟9 ; 步驟8 :監(jiān)督程序?qū)⑾虬踩珵g覽器SEB發(fā)送URL可能被篡改的提示以及關(guān)閉信息,進(jìn)入 步驟10 ; 步驟9 :監(jiān)督程序?qū)?dòng)可信操作系統(tǒng)TOS中的瀏覽器���,待用戶正常退出后����,將向安全 瀏覽器SEB發(fā)送關(guān)閉信息��; 步驟10 :安全瀏覽器SEB接受到關(guān)閉信息后���,將虛擬機(jī)管理器Limbo-VMM關(guān)閉����。
[0030] 請見圖4, TPM芯片用來對可信操作系統(tǒng)T0S的鏡像文件進(jìn)行完整性度量����,具體實(shí) 現(xiàn)包括以下步驟: 步驟A :將T0S的鏡像mount到指定位置; 步驟B:讀入度量配置文件(存有待度量的內(nèi)核文件�����、啟動(dòng)文件����、系統(tǒng)驅(qū)動(dòng)類文件的路 徑��、名稱)����,生成待度量文件鏈表�����; 步驟C :對待度量文件鏈表中的文件一一進(jìn)行度量��,最后得到迭代hash值��; 步驟D :將最后獲取的迭代hash值存入PCR寄存器中���。
[0031] 應(yīng)當(dāng)理解的是����,本說明書未詳細(xì)闡述的部分均屬于現(xiàn)有技術(shù)����。
[0032] 應(yīng)當(dāng)理解的是�,上述針對較佳實(shí)施例的描述較為詳細(xì)�,并不能因此而認(rèn)為是對本 發(fā)明專利保護(hù)范圍的限制�����,本領(lǐng)域的普通技術(shù)人員在本發(fā)明的啟示下�����,在不脫離本發(fā)明權(quán) 利要求所保護(hù)的范圍情況下����,還可以做出替換或變形,均落入本發(fā)明的保護(hù)范圍之內(nèi)����,本發(fā) 明的請求保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
【權(quán)利要求】
1. 一種移動(dòng)平臺可信支付系統(tǒng)����,其特征在于:主要包括可信操作系統(tǒng)TOS、普通操作系 統(tǒng)N0S���、虛擬機(jī)管理器Limbo-VMM����、安全瀏覽器SEB、監(jiān)督程序和硬件層�����; 所述的可信操作系統(tǒng)T0S是一個(gè)帶有諸如監(jiān)督程序和瀏覽器類支付必需軟件的定制 系統(tǒng)��,該系統(tǒng)的鏡像文件存儲在存儲卡中����,并在每次該系統(tǒng)啟動(dòng)前都通過TPM芯片對鏡像 文件進(jìn)行完整性度量; 所述的普通操作系統(tǒng)N0S是常用的運(yùn)行于手機(jī)上的Android操作系統(tǒng)�; 所述的虛擬機(jī)管理器Limb-VMM用來提供普通操作系統(tǒng)N0S和可信操作系統(tǒng)T0S之間 的隔離,用戶使用的普通操作系統(tǒng)N0S和可信操作系統(tǒng)T0S通過虛擬機(jī)管理器Limbo-VMM 來進(jìn)行隔離����,他們之間無法進(jìn)行直接通信; 所述的安全瀏覽器SEB根據(jù)用戶輸入的URL類型來選擇操作�,如果用戶輸入的是支 付相關(guān)的網(wǎng)站,所述的安全瀏覽器SEB將啟動(dòng)可信操作系統(tǒng)并在可信操作系統(tǒng)中打開該網(wǎng) 站��,否則�,將直接在所述的安全瀏覽器中打開該網(wǎng)站; 所述的監(jiān)督程序負(fù)責(zé)與安全瀏覽器SEB做溝通��,負(fù)責(zé)接收SEB發(fā)來的網(wǎng)址�,向SEB發(fā)送 一些關(guān)閉信息或者錯(cuò)誤提示信息等; 所述的硬件層包括除了移動(dòng)設(shè)備常用硬件外���,還包括TPM芯片和存儲卡�����,所述的可信 操作系統(tǒng)T0S的鏡像文件存儲在存儲卡上���,TPM芯片用來對所述的可信操作系統(tǒng)T0S的鏡 像文件進(jìn)行完整性度量,為可信操作系統(tǒng)T0S提供平臺完整性保障����; 所述的可信操作系統(tǒng)T0S只有得到第三方可信機(jī)構(gòu)的授權(quán)才能更新,平時(shí)用戶使用普 通手機(jī)操作系統(tǒng)N0S�,但當(dāng)所述的移動(dòng)平臺可信支付系統(tǒng)檢測到用戶想要進(jìn)行支付時(shí),將自 動(dòng)切換到可信操作系統(tǒng)T0S來執(zhí)行支付操作�,而支付操作需要的網(wǎng)址,則通過支付網(wǎng)址數(shù) 據(jù)庫驗(yàn)證后加密傳入可信操作系統(tǒng)T0S中��。
2. 根據(jù)權(quán)利要求1所述的移動(dòng)平臺可信支付系統(tǒng)���,其特征在于:所述的TPM芯片用來 對所述的可信操作系統(tǒng)T0S的鏡像文件進(jìn)行完整性度量�����,具體實(shí)現(xiàn)包括以下步驟: 步驟A :將可信操作系統(tǒng)T0S的鏡像文件mount到指定位置�����; 步驟B:讀入度量配置文件�,該配置文件存有待度量的內(nèi)核文件、啟動(dòng)文件�、系統(tǒng)驅(qū)動(dòng) 類文件的路徑、名稱���,生成待度量文件鏈表�����; 步驟C :對待度量文件鏈表中的文件一一進(jìn)行度量�,最后得到迭代hash值�����; 步驟D :將最后獲取的迭代hash值存入PCR寄存器中�。
3. 根據(jù)權(quán)利要求1所述的移動(dòng)平臺可信支付系統(tǒng),其特征在于:所述的監(jiān)督程序負(fù)責(zé) 與安全瀏覽器SEB做溝通����,負(fù)責(zé)接收SEB發(fā)來的網(wǎng)址�,向SEB發(fā)送一些關(guān)閉信息或者錯(cuò)誤提 示信息等�,其溝通過程為:當(dāng)監(jiān)督程序收到來自安全瀏覽器SEB的消息時(shí)�����,監(jiān)督程序?qū)?密該信息����,然后將得到的明文URL提取出域名關(guān)鍵字,再進(jìn)行加密��,將域名關(guān)鍵字的密文送 入支付網(wǎng)址數(shù)據(jù)庫PUDB中進(jìn)行查詢���,如果是PUDB中有的支付類網(wǎng)址�,則說明該消息是安全 瀏覽器SEB發(fā)來的合法請求�����,否則����,該消息有可能是攻擊者發(fā)出的或者安全瀏覽器SEB發(fā)出 的URL遭到篡改�。
4. 一種利用權(quán)利要求1所述的移動(dòng)平臺可信支付系統(tǒng)進(jìn)行支付的方法��,其特征在于�, 包括以下步驟: 步驟1 :用戶在安全瀏覽器SEB的地址欄輸入一個(gè)URL后,安全瀏覽器SEB提取該URL 的域名關(guān)鍵字�����,在數(shù)據(jù)庫中查找該關(guān)鍵字的密文是否被記錄���,來判斷該URL是否是需要安 全保護(hù)的支付類網(wǎng)站���; 如果該關(guān)鍵字的密文沒有被記錄,則該URL不是需要高安全保障的支付類網(wǎng)址�����,進(jìn)入 步驟2 ; 如果該關(guān)鍵字的密文被記錄���,則該URL是需要高安全保障的支付類網(wǎng)址���,進(jìn)入步驟3 ; 步驟2 :系統(tǒng)直接在安全瀏覽器SEB上打開該網(wǎng)站,本流程結(jié)束���; 步驟3 :安全瀏覽器SEB已經(jīng)判斷該URL為需要安全保護(hù)的支付類網(wǎng)站���,安全瀏覽器 SEB將對可信操作系統(tǒng)TOS的鏡像文件進(jìn)行度量���,并與PCR中存儲的基準(zhǔn)值進(jìn)行比較,所述 的基準(zhǔn)值由可信第三方提供��,并存儲在本地TPM的特定PCR中����,根據(jù)校驗(yàn)結(jié)果分為兩類: 若校驗(yàn)沒有通過���,則進(jìn)入步驟4 ; 若校驗(yàn)通過����,則進(jìn)入步驟5 ; 步驟4 :安全瀏覽器SEB將向用戶返回錯(cuò)誤報(bào)告頁面����,告知可信操作系統(tǒng)TOS的鏡像文 件可能被篡改,讓用戶通過可信第三方更新系統(tǒng)鏡像�,本流程結(jié)束; 步驟5 :安全瀏覽器SEB將啟動(dòng)虛擬機(jī)管理器Limbo-VMM�,打開可信操作系統(tǒng)TOS ; 步驟6 :安全瀏覽器SEB通過socket將經(jīng)過AES加密的URL發(fā)送給監(jiān)督程序��; 步驟7 :監(jiān)督程序接收到AES加密后的URL后���,首先監(jiān)督程序?qū)⑵浣饷埽玫皆糢RL�����, 監(jiān)督程序再次進(jìn)行URL合法性檢測����,以防止SQL注入攻擊,然后提取該URL的域名關(guān)鍵字���, 加密該域名關(guān)鍵字�,然后在數(shù)據(jù)庫中查詢該URL關(guān)鍵字的密文是否被記錄�����,通過二次檢驗(yàn)����, 以確保SEB發(fā)送的URL沒有被非法篡改; 若檢驗(yàn)失敗����,則進(jìn)入步驟8; 若檢驗(yàn)成功�,則進(jìn)入步驟9 ; 步驟8 :監(jiān)督程序?qū)⑾虬踩珵g覽器SEB發(fā)送URL可能被篡改的提示以及關(guān)閉信息��,進(jìn)入 步驟10 ; 步驟9 :監(jiān)督程序?qū)?dòng)可信操作系統(tǒng)T0S中的瀏覽器�,待用戶正常退出后,將向安全 瀏覽器SEB發(fā)送關(guān)閉信息�����; 步驟10 :安全瀏覽器SEB接受到關(guān)閉信息后�,將虛擬機(jī)管理器Limbo-VMM關(guān)閉。
5. 根據(jù)權(quán)利要求4所述的移動(dòng)平臺可信支付方法����,其特征在于:所述的域名關(guān)鍵字均 通過加密后存儲在數(shù)據(jù)庫中��。
6. 根據(jù)權(quán)利要求4所述的移動(dòng)平臺可信支付方法����,其特征在于:步驟1中所述的用戶 在安全瀏覽器SEB的地址欄輸入一個(gè)URL后,安全瀏覽器SEB首先判斷該URL是否是一個(gè) 合法的URL����,來避免SQL注入攻擊���,然后,檢驗(yàn)數(shù)據(jù)庫文件是否被篡改�; 若被篡改,則提示用戶通過可信第三方更新該數(shù)據(jù)庫�,本流程結(jié)束; 若沒有被篡改�,則安全瀏覽器SEB將提取該URL的域名關(guān)鍵字,在數(shù)據(jù)庫中查找該關(guān)鍵 字的密文是否被記錄�����,來判斷該URL是否是需要安全保護(hù)的支付類網(wǎng)站���。
【文檔編號】G06Q20/34GK104063788SQ201410339491
【公開日】2014年9月24日 申請日期:2014年7月16日 優(yōu)先權(quán)日:2014年7月16日
【發(fā)明者】王鵑, 林武桃, 杜變霞, 孟軻, 李皓宇 申請人:武漢大學(xué)