基于TrustZone技術(shù)的移動平臺可信用戶界面框架的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于移動平臺安全技術(shù)領(lǐng)域��,具體地說����,是一種非侵?jǐn)_式的����、部署成本低的Android可信用戶界面框架�����。
【背景技術(shù)】
[0002]隨著現(xiàn)實生活中�����,移動設(shè)備越來越到地參與到安全敏感的業(yè)務(wù)中(如支付�、辦公),移動平臺逐漸聚集了大量的敏感數(shù)據(jù)�����。其中�����,用戶界面因為其涉及的軟件棧的龐大��、在應(yīng)用中所處位置的相對敏感(處理輸入和輸出)����,成為了惡意行為的主要目標(biāo)之一。攻擊用戶界面的方式多種多樣�,可大致分為數(shù)據(jù)的竊取和信息的篡改兩類。前一類攻擊���,既可以通過偽造用戶界面來獲取用戶輸入�、覆蓋正確內(nèi)容以欺騙用戶點擊等方法����,也可以通過攻陷內(nèi)核或Android后截取用戶輸入的內(nèi)容或者掃描屏幕內(nèi)容來實施;而一類攻擊��,惡意行為可以通過修改顯示內(nèi)容以造成用戶錯誤判斷等方法實施�����。從上述的多種攻擊方法可以看出�,用戶界面的攻擊表面非常大,因此很難通過加固原有系統(tǒng)的安全機制來進(jìn)行防御����。
[0003]可信Π被用來解決上述的問題。在當(dāng)前的移動平臺上���,可信Π通常利用ARM公司提供的TrustZone技術(shù)來實現(xiàn)����。
[0004]TrustZone技術(shù)為原有的移動設(shè)備處理器增添了額外的運行模式,被稱為安全模式(secure world)��。對應(yīng)的�,原有模式被稱為普通模式(normal world)。支持了 TrustZone的芯片在啟動時��,會預(yù)先進(jìn)入安全模式中�����。在這個階段���,可以配置兩個運行模式對于硬件資源(外部設(shè)備如屏幕)或內(nèi)存的訪問權(quán)限��。這個階段之后���,芯片回到普通模式下繼續(xù)常規(guī)的運行。但在普通模式下時�����,被劃分為安全的設(shè)備或內(nèi)存是無法訪問的,這些資源需要被切換至安全模式后才可以被訪問����。
[0005]TrustZone技術(shù)被可信Π充分地利用�。當(dāng)前主流的解決方案中,現(xiàn)有的系統(tǒng)運行在普通模式下�,可信UI運行在安全模式下并實現(xiàn)安全世界中的所有輸入與顯示功能,并額外用一個僅可由安全模式控制的狀態(tài)指示器(USB Indicator)來表示當(dāng)前所處的運行模式�����。這種方法將原有系統(tǒng)的所有潛在問題與Π的邏輯隔離�,能在原有系統(tǒng)被攻破的情況下保證用戶敏感數(shù)據(jù)不遭到竊取或篡改。
[0006]可信Π需要實現(xiàn)安全世界中的一整套輸入和顯示功能��,這帶來了兩個問題�。
[0007]第一,安全模式下缺乏成熟��、開放透明以及標(biāo)準(zhǔn)化的運行環(huán)境���。為了讓可信Π能夠在安全模式下運行�����,開發(fā)者需要接觸很多硬件細(xì)節(jié)�,比如直接管理硬件資源、處理可能的硬件異常��。在庫的支持方面��,安全模式下的運行環(huán)境對于當(dāng)前主流的庫(如標(biāo)準(zhǔn)C庫或者標(biāo)準(zhǔn)C++庫)的支持基本沒有支持�����,因此開發(fā)者可能還需要額外實現(xiàn)庫以輔助開發(fā)��。因此���,可信UI有著極高的開發(fā)門檻����。而且這一現(xiàn)象會隨著可信UI特性的增加而加劇�����。
[0008]第二���,可信Π的復(fù)用性較差���。由于移動平臺的具體硬件規(guī)格不同�,運行在不同硬件規(guī)格上的可信UI往往存在較大的差異����。可信UI提供的接口不一致�,運行方式與普通模式下的應(yīng)用存在較大的區(qū)別����。為了使用可信UI,應(yīng)用往往需要調(diào)整自己的運行邏輯或者整體架構(gòu)��。甚至這個行為需要對不同的硬件平臺分別進(jìn)行���。過高的部署成本為可信Π的使用造成了較大的障礙���。
【發(fā)明內(nèi)容】
[0009]針對上述現(xiàn)有技術(shù)的不足,本發(fā)明旨在設(shè)計一套非侵?jǐn)_的��、部署成本低的可信UI框架��。本發(fā)明的可信UI框架試圖解決當(dāng)前可信UI的開發(fā)難度大和部署成本高的問題�。本發(fā)明將可信Π的定制與實現(xiàn)解耦。通過該可信Π框架,開發(fā)者可以在不涉及安全世界的前提下���,為自己應(yīng)用定義一套符合自身需求的可信U1
[0010]為達(dá)到上述目的����,本發(fā)明是通過以下技術(shù)方案來實現(xiàn)的�����,本發(fā)明包括可信用戶界面的定制與實現(xiàn)分離方法���,可信Π和普通Π的多緩沖區(qū)分層渲染機制����。
[0011]進(jìn)一步地����,在本發(fā)明中,可信Π的定制與實現(xiàn)的分離的方法���,包括以下步驟��,第一�����,將可信UI的定制部分的邏輯封裝成UI控件�����,集成在Android框架中并提供與AndroidUI框架類似的接口 ���;第二�����,將可信Π的具體機制運行在安全模式下,使用一套的安全的顯示以及輸入驅(qū)動��。
[0012]更進(jìn)一步地�,在本發(fā)明中,可信Π與普通Π的渲染分離機制�����,包括以下內(nèi)容����,第一��,利用TrustZone技術(shù)配置一塊安全的緩沖區(qū)中�;第二�����,在安全緩沖區(qū)中渲染可信Π的內(nèi)容����,在普通緩沖區(qū)中渲染其余內(nèi)容;第三���,安全緩沖區(qū)被疊于普通緩沖區(qū)上層����,在屏幕上被優(yōu)先顯示���;第四����,確?��?尚纽帮@示內(nèi)容的完整性和保密性��,避免對普通用戶界面內(nèi)容的破壞����。
[0013]為達(dá)到該目的,本發(fā)明主做到了如下的幾點:1)將可信Π框架根據(jù)兩個運行模式中的職責(zé)進(jìn)行分離�����,用戶僅需要面向可信Π框架中的普通模式中的組件進(jìn)行開發(fā)����,完全隔離來自安全模式的復(fù)雜技術(shù)細(xì)節(jié);2)在普通模式中����,將可信Π框架實現(xiàn)為Android自身的UI框架中的擴展�����,提供與原有UI框架類似的接口���,該部分將負(fù)責(zé)與安全模式中對應(yīng)組件的交互����;3)在安全模式下,實現(xiàn)一套具有一定通用性的UI框架�。它運用TrustZone技術(shù),使用安全輸入與用戶交互�����,將顯示內(nèi)容繪制在一塊僅可由安全模式訪問的顯示緩沖區(qū)中��。
[0014]根據(jù)上述幾點�,本發(fā)明分為三個組成部分,如圖1�����。它們分別是����,位于普通模式的可信UI框架請求組件、位于普通模式的模式切換組件和位于安全模式下的可信UI框架服務(wù)組件���。本發(fā)明主要運行在以Android為操作系統(tǒng)的移動設(shè)備上�,依賴于TrustZone技術(shù)�����。本發(fā)明需要移動設(shè)備上集成模式指示器(USB Indicator)。
[0015]可信Π請求組件被整合在Android框架中���,呈現(xiàn)的形式為Π控件(如文本框����、按鈕等)����。當(dāng)一個Android應(yīng)用中使用了這(些)安全的UI控件,該Android應(yīng)用在處理相關(guān)邏輯時就能獲得來自本發(fā)明的UI安全增強���。
[0016]可信Π控件會向安全模式發(fā)出兩種指令��,繪制指令和安全業(yè)務(wù)處理指令���。當(dāng)進(jìn)入一個包含安全Π控件的場景時,可信Π控件會向安全模式發(fā)出繪制指令����,這使得安全世界中的可信UI服務(wù)組件把UI控件繪制在安全顯示緩沖區(qū)中�。該繪制指令僅在剛剛進(jìn)入該場景后觸發(fā)一次,之后不再被觸發(fā)����?�?尚纽翱丶邮盏接脩舻氖录?,會發(fā)出安全業(yè)務(wù)處理請求�,通過模式切換組件轉(zhuǎn)發(fā)給可信UI服務(wù)組件。
[0017]模式切換組件為普通模式下Linux操作系統(tǒng)的一個內(nèi)核模塊�����。該內(nèi)核模塊的功能較為簡單���,負(fù)責(zé)將可信UI框架請求端發(fā)送的請求通過處理器模式切換的方式轉(zhuǎn)發(fā)給位于安全模式下的可信Π框架服務(wù)端�,以及待可信Π的處理邏輯完成后將結(jié)果返回給應(yīng)用�。處理器模式切換主要是通過TrustZone技術(shù)的SMC指令實現(xiàn)的。
[0018]可信UI服務(wù)組件工作在安全模式下���。該組件