终端的执行环境切换方法及系统、终端的制作方法
【技术领域】
[0001]本发明涉及终端技术领域,具体而言,涉及一种终端的执行环境切换方法、一种终端的执行环境切换系统和一种终端。
【背景技术】
[0002]目前,为了解决安全执行环境与普通执行环境之间的可信切换,引入了一个特殊的机制一一监控器模式,如图1所示的MonitoH监控器),Monitor主要负责的任务就是管理不同执行环境之间的切换。每个带TrUStZ0ne(ARM针对消费电子设备安全所提出的一种架构)安全扩展的处理器核都有两个虚拟处理器核,每个处理器核分属不同的执行环境(安全执行环境和非安全执行环境),通过监控模块的协调来保证非安全虚拟处理器仅仅能访问非安全系统资源,安全虚拟处理器能访问所有的资源。
[0003]监控器的工作机制具体为:为了区分当前系统是处于安全状态还是非安全状态,在带TrustZone安全扩展的ARM处理器的CP15协处理器中有一个安全配置寄存器(SCR),该寄存器中有一个NS位(非安全标识位),用于指明当前系统的状态,如果NS为1,则当前系统处于非安全状态;如果NS为0,则表示当前系统处于安全状态。而且,只有监控器才能更改安全配置寄存器的NS位,也就是说普通执行环境的进程要想访问安全系统资源,需要先进入监控器,通过监控器将安全配置寄存器的NS位置为0,切换到安全执行环境。
[0004]通常情况下,普通执行环境中的进程要想进入监控器,有以下三种方式:
[0005](I)执行SMC指令(一条特殊指令,通过它可以调用监控器例程);
[0006](2)外部终止,包括预取外部终止和数据外部终止,外部终止是在访问存储系统时发生,但不会被MMU (Memory Management Unit,内存管理单元)检测到的异常,一般发生在普通环境访问安全环境的资源时;
[0007](3)中断,包括FIQ(Fast Interrupt Request,快速中断请求)中断和IRQ (Interrupt Request,中断请求)中断。
[0008]普通执行环境中的进程,通过以上三种方式都能进入监控器模式,并触发监控器的异常处理程序,监控器的具体功能可由软件开发者定义,但执行环境的切换都要在监控器中进行,也就是说只能在监控器中修改安全配置寄存器(SCR)的NS位。
[0009]现有的通过监控器Monitor来进行普通执行环境和安全执行环境的切换方案,存在以下不足之处:监控器的安全得不到保证,任何软件通过SMC指令、外部终止或者FIQ、IRQ中断,都能进入到监控器当中去,这也使得恶意代码有机会在监控器中得到执行,有机会修改安全配置寄存器(SCR)的NS位,从而切换到安全执行环境,访问系统安全资源。
[0010]因此,如何提高系统的安全性,防止恶意软件进入监控器,恶意切换到安全执行环境,进而访问系统安全资源,威胁用户敏感资产成为亟待解决的技术问题。
【发明内容】
[0011]本发明正是基于上述问题,提出了一种新的技术方案,通过客户端/服务器的验证过程,可以有效地防止监控器被恶意侵入并有机会切换到安全执行环境,以访问系统安全资源并威胁用户敏感资产,进而有效地提高系统的安全性,避免安全信息外泄,提高用户体验。
[0012]有鉴于此,本发明的一方面提出了一种终端的执行环境切换方法,用于终端切换执行环境,包括:根据来自所述终端中的进程的切换请求,向所述终端的验证服务器或与所述终端相连的外接验证服务器发送验证请求;根据来自所述验证服务器或所述外接验证服务器的判断结果,确定是否从当前执行环境切换至所述目标执行环境,其中,所述当前执行环境的安全等级低于所述目标执行环境的安全等级。
[0013]在该技术方案中,当终端中有进程申请进入监控器模式时,即试图从当前执行环境(普通执行环境)切换至目标执行环境(安全执行环境)时,通过终端的验证服务器或与终端相连的外接验证服务器进行判断,根据判断结果确定是否从当前执行环境切换到目标执行环境,如此,通过服务器的验证过程,对申请进入监控器模式的进程进行严格的验证和把关,可以有效地防止监控器被恶意侵入并有机会切换到安全执行环境,以访问系统安全资源并威胁用户敏感资产,进而有效地提高系统的安全性,避免安全信息外泄,提高用户体验。其中,当前执行环境的安全等级低于目标执行环境的安全等级。
[0014]在上述技术方案中,优选地,所述确定是否从当前执行环境切换至目标执行环境,具体包括:当所述判断结果为是时,从所述当前执行环境切换至所述目标执行环境;当所述判断结果为否时,禁止从所述当前执行环境切换至所述目标执行环境,并发出提示。
[0015]在该技术方案中,当终端的验证服务器或外接服务器的判断结果为是时,即进程可以进入监控器模式并修改NS位时,则进程可以进入监控器并从当前执行环境切换到目标执行环境,否则,禁止进入监控器以及从当前执行环境切换到目标执行环境,并在禁止切换时发出提示,如此,可以确保申请进入监控器模式的进程的可信性和安全性,进而确保终端系统的安全性。
[0016]在上述技术方案中,优选地,在所述确定是否从当前执行环境切换至目标执行环境之前,还包括:控制所述验证服务器或所述外接验证服务器根据所述验证请求判断所述进程是否属于可信进程数据库;以及控制所述验证服务器或所述外接验证服务器对所述判断结果进行加密处理后反馈至所述终端。
[0017]在该技术方案中,通过终端的验证服务器或外接验证服务器根据验证请求判断请求进入监控器模式的进程是否属于验证服务器的可信进程数据库,并将判断结果加密后反馈给终端,以使终端根据判断结果确定是否从当前执行环境切换至目标执行环境,如此,可以确保验证服务器反馈的判断结果不被劫持和修改,进一步确保申请进入监控器模式的进程的可信性,以保证从当前执行环境切换至目标执行环境的准确性和安全性。
[0018]在上述技术方案中,优选地,还包括:根据所述提示控制所述进程到所述验证服务器或所述外接验证服务器进行注册验证,以供进入所述可信进程数据库。
[0019]在该技术方案中,当判定申请进入监控器模式即从当前执行环境切换至目标执行环境的进程不属于可信进行数据库时,可以根据判断结果提示控制该进程到终端的验证服务器或外接验证服务器进行注册验证,通过验证服务器对进程的可信验证的严格把关,可以有效保证可信进程数据库的完整性,进而提高终端的执行环境切换的效率和安全性。
[0020]在上述技术方案中,优选地,通过所述终端的验证客户端将所述验证请求发送至所述验证服务器或所述外接验证服务器。
[0021]在该技术方案中,当接收到来自进程的切换请求时,通过终端的验证客户端向终端的验证服务器或外接服务器发送验证请求,如此,通过客户端/服务器的验证过程,可以有效地防止监控器被恶意侵入并有机会切换到安全执行环境,以访问系统安全资源并威胁用户敏感资产,进而有效地提高系统的安全性,避免安全信息外泄,提高用户体验。
[0022]在上述技术方案中,优选地,所述提示的方式包括:声、文字和/或图像。
[0023]在该技术方案中,在判定终端中的进程不属于终端的验证服务器或外接验证服务器的可信进程数据