WO2017167166A1

WO2017167166A1 - 一种tee访问控制方法以及实现该方法的移动终端

Info

Publication number: WO2017167166A1
Application number: PCT/CN2017/078347
Authority: WO
Inventors: 陈成钱; 周钰; 郭伟
Original assignee: China Unionpay Co Ltd
Current assignee: China Unionpay Co Ltd
Priority date: 2016-04-01
Filing date: 2017-03-28
Publication date: 2017-10-05
Anticipated expiration: 2018-10-01
Also published as: EP3438868A4; CA3026781A1; CN105809036B; CA3026781C; US11544378B2; CN105809036A; EP3438868B1; US20190318087A1; EP3438868A1

Abstract

本发明涉及多媒体系统对安全操作系统的访问控制方法以及实现该方法的移动终端。该方法包步骤：从多媒体系统的客户端应用对安全操作系统发起用于选择可信应用的应用访问请求；判断当前发起调用的客户端应用是否为恶意应用，若不是恶意应用则继续下述步骤，若是恶意应用，则向客户端应用返回选择失败并中断处理；将所述应用访问请求从多媒体系统发送到安全操作系统；在安全操作系统根据所述应用访问请求获取可信应用并返回到多媒体系统。根据本发明能够在不切换系统的情况下防止恶意应用对安全操作系统中可信应用发起的恶意访问，能够避免恶意访问造成的可信应用不可访问的问题。

Description

一种TEE访问控制方法以及实现该方法的移动终端

技术领域

本发明涉及计算机技术，特别涉及在移动终端中实现从多媒体操作系统访问安全操作系统的访问控制方法以及实现该访问控制方法的移动终端。

背景技术

随着计算机和网络应用的日益广泛以及不同领域的业务种类的日益丰富，用于安全性信息交互(即对安全性要求较高的信息交互，例如金融领域中的交易处理过程)的设备(尤其是基于移动终端的安全性信息交互设备)变得越来越重要。

在传统的技术方案中，为了提高信息交互设备的安全性，已经提出了可信执行环境(Trusted Execution Environment，TEE)的概念。由于TEE的出现，越来越多的外部安全载体出于安全性考虑，都会处于TEE控制下，由TEE来对这些外部安全载体进行管理，这样也很好地提高了这些外部安全载体的安全性，确保用户使用的外部安全载体是正确的外部安全载体，用户与外部安全载体的操作不被其他恶意第三方所篡改。

TEE作为智能终端上与多媒体操作系统(在本申请的之后的描写中都以Android系统为例)并存的一个安全操作系统，上面运行的各类可信应用可为Android应用提供各种可靠的安全服务。TEE可信应用对其安全服务的访问权限控制上，即TEE可信应用允许哪些Android应用可以访问它的安全服务，现有采用的技术方式是一种基于用户名/密码的访问机制，即当每个Android应用在选择具体TEE可信应用时，同时附上用户名与密码，TEE根据可信应用标识，转发该选择命令到选定的可信应用中，由该可信应用对用户名与密码进行判定，若判定有效，则给TEE返回成功，由TEE生成一个有效的凭证，后续Android应用可凭此凭证访问该可信应用的安全服务；若判定无效，则给TEE返回失败，TEE不生成凭证，并最终向Android应用返回可信应用选择失败的通知。

然而，该方式存在以下不足：

当一个Android应用使用该机制对TEE可信应用进行不间断地恶意访问时，由于每次选择都需要由TEE进行判定访问是否有效，导致终端要不停地切换到TEE上执行，造成终端在Android与TEE之间来回不停的切换，容易造成系统抖动现象，导致Android系统反应迟钝。同时，对于TEE应用的发起不停地恶意选择访问时，也易使TEE可信应用一直处于用户权限判断状态中，不能响应合法应用的正常访问请求。

发明内容

鉴于上述问题，本发明提出一种TEE访问控制方法以及实现该TEE访问控制方法的移动终端，该TEE访问控制方法能够有效避免恶意访问造成的TEE可信应用不可访问的问题，能够提高TEE系统的整体可用性和可靠性。

本发明的多媒体系统对安全操作系统的访问控制方法，其特征在于，包括下列步骤：

安全服务请求步骤，从多媒体系统的客户端应用对安全操作系统发起用于选择可信应用的应用访问请求；

访问权限判断步骤，判断当前发起调用的客户端应用是否为恶意应用，若不是恶意应用则继续下述应用请求发送步骤，若是恶意应用，则向客户端应用返回选择失败并中断处理；

应用请求发送步骤，将所述应用访问请求从多媒体系统发送到安全操作系统；以及

应用调取步骤，在安全操作系统根据所述应用访问请求获取可信应用并返回到多媒体系统。

优选地，在所述访问权限判断步骤中包括下述子步骤：

获取当前发起调用的客户端应用的应用标识；

根据应用标识判断该客户端应是否为恶意应用；以及

若不是恶意应用则继续下述应用请求发送步骤，若是恶意应用，则向客户端应用返回选择失败并中断处理。

优选地，在根据应用标识判断该客户端应是否为恶意应用的子步骤中，查询多媒体系统中存储的恶意应用注册表，根据应用标识来判断该客户端应用是否为恶意应用，其中，所述恶意应用注册表至少存储恶意应用的应用标识。

优选地，在所述应用调取步骤中包括下述子步骤：

在安全操作系统根据所述应用访问请求中的可信应用标识，选定相应的可信应用并将应用访问请求发送到相应的可信应用；

从应用访问请求中获取用户名和密码并对用户名和密码进行合法性判定；以及将合法性判定的结果作为可信应用选择结果从安全操作系统返回到多媒体系统。

优选地，在所述应用调取步骤中，多媒体系统获取可信应用选择结果，根据预先存储的规则条件判定该客户端应用是否为恶意应用，如果判定该客户端应用为恶意应用的情况下，将该客户端应用注册到恶意应用注册表中。

本发明的能够实现多媒体系统对安全操作系统的访问控制的移动终端，该移动终端包括多媒体系统和安全操作系统，其特征在于，

所述多媒体系统具备：

客户端应用，对安全操作系统发起用于选择可信应用的应用访问请求；

交互模块，用于对所述客户端应用提供访问安全操作系统的应用访问接口；

控制访问模块，用于判定当前进行访问的客户端应用是否为恶意应用，另一方面，用于监听客户端应用选择可信应用的处理结果并且根据规定规则对当该客户端应用发起的访问是否为恶意访问进行判定；以及

第一通信模块，用于实现多媒体系统和安全操作系统之间的数据传输，

所述安全操作系统包括：

一个或者多个可信应用；

命令分发模块，将来自多媒体操作系统的应用访问请求分发到相应的可信应用；用户权限管理模块，由所述可信应用调用，用于对所述应用访问请求的合法性进行判定；以及

第二通信模块，用于实现安全操作系统和多媒体系统之间的数据传输。

优选地，所述交互模块从所述客户端应用发送来的应用访问请求中获取客户端应用的应用标识并且提供给所述控制访问模块。

优选地，所述控制访问模块包括：

恶意应用注册表，用于至少存储恶意应用的应用标识；

规则文件，用于至少存储用于判定是否为恶意应用的规定规则；以及

控制处理模块，根据所述恶意应用注册表中存储的恶意应用的应用标识判定从所述交互模块提供的当前进行访问的客户端应用是否为恶意应用，另一方面，用于监听客户端应用选择可信应用的处理结果并且根据所述规则文件中存储的规定规则对当该客户端应用发起的访问是否为恶意访问进行判定。

优选地，所述控制处理模块从所述第一通信模块获得客户端应用选择可信应用的处理结果。

优选地，所述用户权限管理模块根据所述可信应用的调用，判定所述应用访问请求中包含的用户名和密码是否正确。

如上所述，本发明的访问控制访问，能够对从多媒体系统向安全操作系统进行的恶意访问进行控制，利用控制访问模块获取上层多媒体系统对安全操作系统的可信应用的处理结果，当控制访问模块发现该客户端应用出现多次的可信应用选择失败时，则可判定该多媒体系统正在发起恶意访问，标识该多媒体系统的客户应用为恶意应用，把该多媒体系统应用之后对安全操作系统发起的任何访问请求都视为是恶意访问。因而，当被标识为恶意应用的客户端应用之后再次调用交互模块发起对安全操作系统的访问时，交互模块根据控制访问模块的标识结果，直接拒绝该客户端应用的访问，无需切换到安全操作系统，这样能够避免由于终端进行系统切换时所造成的各个问题。

本发明的TEE访问控制方法以是对现有TEE可信应用访问控制机制的一种补充，能够在不切换系统的情况下防止恶意应用对TEE可信应用发起的恶意访问，也避免了由于恶意访问造成的TEE可信应用不可访问的问题，提高了TEE系统的整体可用性与可靠性。

附图说明

图1是本发明一个实施方式的移动终端的结构框图。

图2是本发明一个实施方式的访问控制方法的流程图。

具体实施方式

下面介绍的是本发明的多个实施例中的一些，旨在提供对本发明的基本了解。并不旨在确认本发明的关键或决定性的要素或限定所要保护的范围。

下面对于本发明的访问控制方法以及实现该访问控制方法的移动终端进行说明。在本说明书中作为多媒体操作系统以Android系统为例、作为安全操作系统以TEE系统为例进行说明。当然，本发明不仅限于Android系统，还可以是其他多媒体操作系统。

图1是本发明一个实施方式的移动终端的结构框图。

如图1所示，本发明一个实施方式的移动终端包括多媒体操作系统系统和安全操作系统系统。

其中，在多媒体操作系统(例如，Android系统)中包括：客户端应用100、交互模块200、控制访问模块300以及第一通信模块400。

其中，客户端应用100处于多媒体操作系统内，通过交互模块200向安全操作系统(例如，TEE系统)中的可信应用800发起各种安全访问请求的应用。

交互模块200向多媒体操作系统上的客户端应用100提供访问安全操作系统的可信应用的具体应用访问接口。交互模块200获取客户端应用的标识，转发给控制访问模块300，由控制访问模块300进行是否为恶意应用的判定。

控制访问模块300包括：控制处理模块301、规则文件302以及恶意应用注册表303(如图2所示)。控制处理模块301一方面接受来自交互模块200的客户应用的标识，参照恶意应用注册表303中存储的恶意应用的标识，判定当前进行访问的客户端应用是否为恶意应用，另一方面，控制处理模块301监听客户端应用选择可信应用的处理结果，并从规则文件302中读取相应的判定规则，根据判定规则对当该客户端应用发起的访问是否为恶意访问进行判定，如果判定为是恶意应用，则将该客户端应用作为恶意应用进行标识并且存储到恶意应用注册表303中。

第一通信模块400实现多媒体系统和安全操作系统之间的系统切换，提供客户端应用100访问请求数据到安全操作系统的可信应用中的数据传输通道。

安全操作系统包括：第二通信模块500、命令分发模块600、用户权限管理模块700以及多个可信应用800。

其中，第二通信模块500实现安全操作系统与多媒体系统之间的系统切换，提供安全操作系统的可信应用到多媒体操作系统的数据传输通道。

命令分发模块600根据来自多媒体操作系统的请求访问数据中的可信应用标识，转送访问请求数据到指定的可信应用800中。

用户权限模块700由可信应用800调用，用以判断普通应用访问请求中的用户名与密码是否正确，以决定是否接受处理普通应用发送来的访问请求。可信应用800位于安全操作系统内，可以为多个，它是为普通应用提供各种安全服务的应用。

接着，对于利用上述移动终端实现的本发明一个实施方式的访问控制方法进行具体说明。

图2是本发明一个实施方式的访问控制方法的流程图。

下面参照图2对于该实施方式的访问控制方法的具体流程进行说明。

在步骤S100中，当一个客户端应用100要对可信应用800发起安全服务访问请求时，首先，调用交互模块200发送TEE可信应用选择命令用以选择要发起安全服务请求的具体可信应用。

在步骤S101中，交互模块200从多媒体操作系统层提供的API(Application Programming Interface，应用编程接口)获取发起调用的客户端应用100的应用标识(例如以应用哈希值、应用包名等方式作为应用标识)，并将该客户端应用标识发给控制访问模块300，用以获取当前发起调用的客户端应用是否属于恶意应用。

步骤S102中，控制访问模块300查询其存储的恶意应用注册表，根据收到的客户端应用100的应用标识，判断该客户端应用100的应用标识是否存在于恶意应用注册表，如果该应用标识存在于该恶意应用注册表中则判断为恶意应用，否则判断为非恶意应用，将判断结果返回交互模块200。

步骤S103中，交互模块200根据来自控制访问模块300的返回结果，若是返回结果为当前应用为恶意应用，则直接向当前客户端应用100返回应用选择失败；若不是恶意应用，则在步骤S104中交互模块200经由第一通信模块400和第二通信模块500将选择应用请求数据发送给安全操作系统。

步骤S105中，命令分发模块600根据选择应用请求数据中的可信应用的应用标识，选择对应的可信应用，将请求数据发往对应的可信应用进行处理。

步骤S106中，被选择的可信应用从请求数据中取出用户名与密码，并调用用户权限管理模块700对该用户名与密码的合法性进行判定，用户权限管理模块700将判断结果返回至可信应用，可信应用将判定结果返回命令分发模块600。

在步骤S107中，命令分发模块600将判断结果通过经由第二通信模块500和第一通信模块400返回到多媒体操作系统，在步骤S109中返回到交互模块200，接着逐步上送，在步骤S110中，最终返回给客户端应用100。其中，在步骤S108中，在安全操作系统的可信应用每次的选择过程中，控制访问模块300从第一通信模块400中获取可信应用选择结果，若该结果为可信应用选择失败，则控制访问模块300中的控制处理模块301从控制访问模块300中存储的规则文件302中读取的条件描述(例如，失败次数不得超过三次等)，判断该客户端应用是否为恶意应用。若满足条件描述的情况下，则标识当前客户端应用为恶意应用，并且控制处理模块301将该客户端应用的用户标识注册到恶意应用注册表302中。另一方面，后台系统900(后台系统900可以是设置在移动终端外的第三方，也可以是移动终端中的其他应用程序)与控制访问模块300通信连接，后台系统900能够对控制访问模块300中的规则文件302以及恶意应用注册表302进行更新。在本发明的控制访问模块300中，如上所述，规则文件302中存储有用于判断是否为恶意应用的条件，恶意应用注册表303至少存储有恶意应用的标识。

如上所述，为了防止多媒体操作系统例如Android系统的客户端应用对安全操作系统例如TEE系统发起频繁恶意的访问，本发明提出一种的访问控制方法，在多媒体操作系统就对这种恶意访问进行控制。具体地，本发明的主要发明点在于，在Android系统增加控制访问模块300，该控制访问模块300获取上层Android应用选择TEE可信应用的处理结果，当发现该Android应用出现多次的TEE可信应用选择失败时，则可判定该Android正在发起恶意访问，标识该Android应用为恶意应用，把该Android应用之后对TEE发起的任何访问请求都视为是恶意访问。因而，当被标识为恶意应用的android应用之后再次调用交互模块200发起对TEE可信应用发起访问时，交互模块200根据控制访问模块300的标识结果，直接拒绝该Android应用的访问，无需切换到TEE系统，避免了上述问题描述时所涉及的由于终端进行系统切换时所造成的各个问题。

本发明的访问控制方法以是对现有TEE可信应用访问控制机制的一种补充，能够在不切换系统的情况下防止恶意应用对TEE可信应用发起的恶意访问，也避免了由于恶意访问造成的TEE可信应用不可访问的问题，提高了TEE系统的整体可用性与可靠性。

以上例子主要说明了本发明的访问控制方法以及实现该访问控制方法的移动终端。尽管只对其中一些本发明的具体实施方式进行了描述，但是本领域普通技术人员应当了解，本发明可以在不偏离其主旨与范围内以许多其他的形式实施。因此，所展示的例子与实施方式被视为示意性的而非限制性的，在不脱离如所附各权利要求所定义的本发明精神及范围的情况下，本发明可能涵盖各种的修改与替换。

Claims

一种多媒体系统对安全操作系统的访问控制方法，其特征在于，包括下述步骤：安全服务请求步骤，从多媒体系统的客户端应用对安全操作系统发起用于选择可信应用的应用访问请求；

访问权限判断步骤，判断当前发起调用的客户端应用是否为恶意应用，若不是恶意应用则继续下述应用请求发送步骤，若是恶意应用，则向客户端应用返回选择失败并中断处理；

应用请求发送步骤，将所述应用访问请求从多媒体系统发送到安全操作系统；以及

应用调取步骤，在安全操作系统根据所述应用访问请求获取可信应用并返回到多媒体系统。
如权利要求1所述的多媒体系统对安全操作系统的访问控制方法，其特征在于，

在所述访问权限判断步骤中包括下述子步骤：

获取当前发起调用的客户端应用的应用标识；

根据应用标识判断该客户端应是否为恶意应用；以及

若不是恶意应用则继续下述应用请求发送步骤，若是恶意应用，则向客户端应用返回选择失败并中断处理。
如权利要求1或2所述多媒体系统对安全操作系统的访问控制方法，其特征在于，

在根据应用标识判断该客户端应是否为恶意应用的子步骤中，查询多媒体系统中存储的恶意应用注册表，根据应用标识来判断该客户端应用是否为恶意应用，其中，所述恶意应用注册表至少存储恶意应用的应用标识。
如权利要求3所述的多媒体系统对安全操作系统的访问控制方法，其特征在于，

在所述应用调取步骤中包括下述子步骤：

在安全操作系统根据所述应用访问请求中的可信应用标识，选定相应的可信应用并将应用访问请求发送到相应的可信应用；

从应用访问请求中获取用户名和密码并对用户名和密码进行合法性判定；以及

将合法性判定的结果作为可信应用选择结果从安全操作系统返回到多媒体系统。
如权利要求4所述的多媒体系统对安全操作系统的访问控制方法，其特征在于，

在所述应用调取步骤中，多媒体系统获取可信应用选择结果，根据预先存储的规则条件判定该客户端应用是否为恶意应用，如果判定该客户端应用为恶意应用的情况下，将该客户端应用注册到恶意应用注册表中。
如权利要求5所述的多媒体系统对安全操作系统的访问控制方法，其特征在于，

设定所述规则条件为该客户端应用调取可信应用失败次数超过规定次数。
一种能够实现多媒体系统对安全操作系统的访问控制的移动终端，该移动终端包括多媒体系统和安全操作系统，其特征在于，

所述多媒体系统具备：

客户端应用，对安全操作系统发起用于选择可信应用的应用访问请求；

交互模块，用于对所述客户端应用提供访问安全操作系统的应用访问接口；

控制访问模块，用于判定当前进行访问的客户端应用是否为恶意应用，另一方面，用于监听客户端应用选择可信应用的处理结果并且根据规定规则对当该客户端应用发起的访问是否为恶意访问进行判定；以及

第一通信模块，用于实现多媒体系统和安全操作系统之间的数据传输，

所述安全操作系统包括：

一个或者多个可信应用；

命令分发模块，将来自多媒体操作系统的应用访问请求分发到相应的可信应用；用户权限管理模块，由所述可信应用调用，用于对所述应用访问请求的合法性进行判定；以及

第二通信模块，用于实现安全操作系统和多媒体系统之间的数据传输。
如权利要求7所述的能够实现多媒体系统对安全操作系统的访问控制的移动终端，其特征在于，

所述交互模块从所述客户端应用发送来的应用访问请求中获取客户端应用的应用标识并且提供给所述控制访问模块。
如权利要求8所述的能够实现多媒体系统对安全操作系统的访问控制的移动终端，其特征在于，

所述控制访问模块包括：

恶意应用注册表，用于至少存储恶意应用的应用标识；

规则文件，用于至少存储用于判定是否为恶意应用的规定规则；以及

控制处理模块，根据所述恶意应用注册表中存储的恶意应用的应用标识判定从所述交互模块提供的当前进行访问的客户端应用是否为恶意应用，另一方面，用于监听客户端应用选择可信应用的处理结果并且根据所述规则文件中存储的规定规则对当该客户端应用发起的访问是否为恶意访问进行判定。
如权利要求9所述的能够实现多媒体系统对安全操作系统的访问控制的移动终端，其特征在于，

所述控制处理模块从所述第一通信模块获得客户端应用选择可信应用的处理结果。
如权利要求10所述的能够实现多媒体系统对安全操作系统的访问控制的移动终端，其特征在于，

所述用户权限管理模块根据所述可信应用的调用，判定所述应用访问请求中包含的用户名和密码是否正确。