可信执行环境中的个性化密码安全访问控制制造技术

访问控制系统包括被配置为提供与富执行环境隔离的可信执行环境的处理器。富OS在富执行环境中运行，而可信OS在可信执行环境中运行。访问监视模块在富OS的内核中运行，而可信应用程序在可信OS中运行。访问监视模块拦截针对富OS的文件系统的文件请求，并将文件请求转发到可信应用程序。然后，可信应用程序评估文件请求是否被允许，并为访问监视模块提供响应。仅当可信应用程序批准请求时，访问监视模块才会将请求转发到文件系统。

【技术实现步骤摘要】
【国外来华专利技术】可信执行环境中的个性化密码安全访问控制相关申请的交叉引用本申请要求2018年7月27日提交的美国临时申请62/703933中的所有权益,临时申请的所有内容通过引用合并于此。
所描述的实施例涉及用于文件访问控制的系统和方法，尤其涉及使用可信执行环境来管理对加密数据文件的访问的系统和方法。
技术介绍
以下内容不承认以下讨论的内容是现有技术的一部分或本领域技术人员的公知常识的一部分。在日益数字化的世界中，数据是人、公司和国家最重要的资产之一。因此，广泛的措施被采取来确保敏感数据的安全性。但是，随着黑客技术变得越来越复杂，数据安全挑战也日益严峻。一种管理数据安全性的技术是预定义数据访问策略。数据访问策略可以指定是否允许给定程序访问某些类型的数据。当程序发出数据请求时，可以将该请求与访问策略进行比较，以确定是否允许该程序访问所请求的数据。管理数据安全性的另一种技术涉及将数据文件存储在系统中时对其进行加密。然后需要加密密钥来解密存储的数据文件并访问存储在其中的明文数据。对加密密钥的访问可以被管理，以防止对存储的数据文件的明文数据进行未经授权的访问。当授权用户和/或程序尝试访问加密文件时，该文件可以被解密以允许用户/程序访问存储在其中的明文数据。现有的数据保护技术(例如使用访问控制策略和/或文件加密的数据保护技术)通常在计算机操作系统的内核中执行。尽管通常认为内核比操作系统的一般用户模式部分更安全，但是由于采用了越来越复杂的黑客技术，因此计算机内核更频繁地被渗透(即被黑客入侵)。一旦恶意行为者(例如恶意用户或程序)可以访问内核，则在内核中实现的数据安全功能将受到威胁，并可能被恶意行为者操纵。
技术实现思路
提供以下概要是为了向读者介绍下面的更详细的讨论。该概要无意限制或定义任何要求保护的或尚未要求保护的专利技术。一个或多个专利技术可以存在于包括其权利要求和附图的本文的任何部分中公开的元素或处理步骤的任何组合或子组合。访问控制系统用于管理对存储在计算机系统的非易失性存储器中的数据文件的访问。访问控制系统的一部分可以与主操作系统隔离，以保护访问控制系统免受内核攻击。计算机系统的处理器被配置为可以支持以下至少两个隔离的执行环境。第一执行环境可以被称为富执行环境(REE)。普通或富操作系统(例如Android，Linux等)可以在REE中运行，并带有调用REE内核的用户模式进程。REE的内核可以包括一个访问监视模块，该模块从用户模式进程接收呼叫，以访问计算机系统存储的数据。第二执行环境可以被称为可信执行环境(TEE)。可将可信执行环境与富执行环境隔离，以使在富执行环境中运行的进程无法访问可信执行环境中的代码或数据。可信操作系统可以在TEE中运行。可信应用程序在可信操作系统中运行，以响应访问监控模块接收到的数据请求来管理对数据文件的访问。可信应用程序和访问监视模块可以安全地通信，以管理在富操作系统中运行的用户模式进程对数据的访问。可信应用程序可以提供个性化和密码学安全的访问控制，可以减少或消除与直接在主操作系统内核中实现的访问控制相关的问题。访问控制系统仍可以集成到富操作系统内核的文件系统中，即通过使用访问监视模块。在一些实施例中，在可信操作系统中运行的可信应用可以拦截和检查针对存储在非易失性存储存储器中的加密文件的所有文件请求和操作(例如，通过与访问监视模块的通信)。在第一广泛方面，本申请提供了一种访问控制系统，包括：被配置为提供至少两个隔离执行环境的处理器，其中，所述至少两个隔离执行环境包括富执行环境和可信执行环境，并且所述处理器被配置为在富执行环境中运行富操作系统，并在可信执行环境中运行可信操作系统，其中，富操作系统的内核被配置为包括文件访问监视模块，并且其中可信访问监视应用程序运行在可信操作系统上；非易失性存储器被配置为存储多个数据文件，其中，所述多个数据文件包括多个加密数据文件；其中，文件访问监视模块被配置为：接收对存储在非易失性存储器中的被请求文件的文件请求，其中，被请求文件对应于多个加密数据文件中的加密数据文件之一，并且从在富操作系统上运行的请求进程接收文件请求；将文件请求数据发送给可信访问监控应用，其中文件请求数据包括与被请求文件相关的文件访问数据和与请求进程相关的进程标识数据；可信访问监控应用程序被配置为：接收文件请求数据；从文件访问数据中确定与所请求文件相关联的文件标识数据；通过将文件标识数据和进程标识数据与可信访问监视应用程序存储的文件访问标准进行比较，确定是否允许请求进程访问所请求的文件；响应于确定允许请求进理访问所请求的文件，导出与所请求的文件相对应的加密密钥；将该加密密钥发送给文件访问监控模块；所述文件访问监控模块，在接收到所述加密密钥后，使用所述加密密钥对所请求的文件进行解密，并将所述解密文件提供给所述请求进程。在任何实施例中，可以使用文件特定的加密密钥对多个加密数据文件中的每个加密的数据文件进行加密，并且可以针对每个加密的数据文件独立地确定文件特定的加密密钥。在任何实施例中，与所请求的文件相关联的文件访问数据可以包括密钥信息，并且可信访问监视应用可以被配置为使用密钥信息来导出与所请求的文件相对应的加密密钥。在任何实施例中，包括在文件请求数据中的文件访问数据可以是加密的文件访问数据，其中，使用可信访问监视应用程序存储的秘密访问密钥对加密的文件访问数据进行加密。所述可信访问监控应用可以被配置为通过以下步骤从接收到的文件请求数据中确定文件访问数据：确定与所请求文件相关联的秘密访问密钥；使用秘密访问密钥解密加密的文件访问数据；确定文件访问数据为解密后的文件访问数据。在任何实施例中，可信访问监视应用可以被配置为：将秘密访问密钥存储为加密的访问密钥；以及通过解密加密的访问密钥来确定秘密访问密钥。在任何实施例中，可信访问监视应用可以被配置为通过以下步骤确定秘密访问密钥：在富操作系统中通过文件访问监视模块从运行的用户模式进程接收用户凭证；以及使用用户凭证解密加密的访问密钥，以确定秘密访问密钥。在任何实施例中，文件访问监视模块和可信访问监视应用可以被配置为使用安全通信通道进行通信，其中安全通信通道可以由处理器在富操作系统和可信操作系统的启动过程期间建立。在任何实施例中，文件访问监视模块可以被配置为存储与安全通信通道相对应的共享通信通道密钥；所述可信访问监控应用可以被配置为存储相同的共享通信通道密钥；所述文件访问监视模块还可以被配置为通过以下步骤将文件请求数据发送到可信访问监视应用程序：通过使用共享的通信通道密钥对文件请求数据进行加密来生成加密的文件请求消息；以及通过使用共享的通信通道密钥对文件请求数据进行哈希处理来生成哈希消息；将所述加密文件请求消息和所述哈希消息发送给所述可信访问监控应用；所述可信访问监视应用程序还可以被配置为：通过以下步骤确定文件请求数据的有效性：通过使用共享的通信通道密钥对加密的文件请求消息进行解密来生成解密的文件请求消息；通过使用共享通信通道密钥对解密文件请求消息进行哈希处理来生成本文档来自技高网...

【技术保护点】
1.一种访问控制系统,包括:/n(a)处理器，被配置为提供至少两个隔离的执行环境，其中，所述至少两个隔离的执行环境包括富执行环境和可信执行环境，所述处理器被配置为在所述富执行环境操作富操作系统以及在所述可信执行环境中操作可信操作系统，其中，所述富操作系统的内核被配置为包括文件访问监视模块，并且其中可信访问监视应用程序在所述可信操作系统上运行；以及/n(b)一种被配置为存储多个数据文件的非易失性存储器，其中，所述多个数据文件包括多个加密数据文件；/n其中，所述文件访问监控模块被配置为:/n接收对存储在所述非易失性存储器中的被请求文件的文件请求，其中，所请求的文件对应于多个所述加密数据文件中的加密数据文件之一，并且其中，所述文件请求是从运行在所述富操作系统上的请求进程接收到的；以及/n将文件请求数据发送给所述可信访问监控应用，其中所述文件请求数据包括与所请求文件相关的文件访问数据和与所述请求进程相关的进程标识数据；/n所述可信访问监视应用程序被配置为：/n接收所述文件请求数据；/n从所述文件访问数据中确定与所请求文件相关联的文件标识数据；/n通过将所述文件标识数据和所述进程标识数据与所述可信访问监视应用程序存储的文件访问标准进行比较，确定是否允许所述请求进程访问所请求的文件；以及/n响应于确定允许所述请求进程访问所请求的文件：/n导出对应于所请求文件的加密密钥；以及/n将所述加密密钥发送给所述文件访问监控模块；以及/n所述文件访问监控模块被配置为，响应于接收到所述加密密钥，使用所述加密密钥对所请求的文件进行解密，并将所述解密后的文件提供给所述请求进程。/n...

【技术特征摘要】
【国外来华专利技术】20180727 US 62/703,9331.一种访问控制系统,包括:
(a)处理器，被配置为提供至少两个隔离的执行环境，其中，所述至少两个隔离的执行环境包括富执行环境和可信执行环境，所述处理器被配置为在所述富执行环境操作富操作系统以及在所述可信执行环境中操作可信操作系统，其中，所述富操作系统的内核被配置为包括文件访问监视模块，并且其中可信访问监视应用程序在所述可信操作系统上运行；以及
(b)一种被配置为存储多个数据文件的非易失性存储器，其中，所述多个数据文件包括多个加密数据文件；
其中，所述文件访问监控模块被配置为:
接收对存储在所述非易失性存储器中的被请求文件的文件请求，其中，所请求的文件对应于多个所述加密数据文件中的加密数据文件之一，并且其中，所述文件请求是从运行在所述富操作系统上的请求进程接收到的；以及
将文件请求数据发送给所述可信访问监控应用，其中所述文件请求数据包括与所请求文件相关的文件访问数据和与所述请求进程相关的进程标识数据；
所述可信访问监视应用程序被配置为：
接收所述文件请求数据；
从所述文件访问数据中确定与所请求文件相关联的文件标识数据；
通过将所述文件标识数据和所述进程标识数据与所述可信访问监视应用程序存储的文件访问标准进行比较，确定是否允许所述请求进程访问所请求的文件；以及
响应于确定允许所述请求进程访问所请求的文件：
导出对应于所请求文件的加密密钥；以及
将所述加密密钥发送给所述文件访问监控模块；以及
所述文件访问监控模块被配置为，响应于接收到所述加密密钥，使用所述加密密钥对所请求的文件进行解密，并将所述解密后的文件提供给所述请求进程。


2.按权利要求1所述的访问控制系统，其中，使用文件特定的加密密钥对所述多个加密数据文件中的每个加密的数据文件进行加密，并且针对每个加密的数据文件独立地确定所述文件特定的加密密钥。


3.按权利要求1和2中任一权利要求所述的访问控制系统，其中，与所请求的文件相关联的文件访问数据包括密钥信息，并且所述可信访问监视应用程序被配置为使用所述密钥信息来导出与所请求的文件相对应的加密密钥。


4.按权利要求1至3中任一权利要求所述的访问控制系统，其中，
(a)所述文件请求数据中包括的所述文件访问数据为加密文件访问数据，其中，使用所述可信访问监控应用存储的秘密访问密钥对所述加密文件访问数据进行加密；以及
(b)所述可信访问监视应用程序被配置为通过以下方式从所述接收到的文件请求数据中确定所述文件访问数据：
(i)确定与所请求文件关联的所述秘密访问密钥；
(ii)使用所述秘密访问密钥解密所述加密的文件访问数据；以及
(iii)确定所述文件访问数据为所述解密的文件访问数据。


5.按权利要求4所述的访问控制系统，其中，
(a)所述可信访问监视应用程序被配置为：
(i)将所述秘密访问密钥存储为加密的访问密钥；以及
(ii)通过解密所述加密的访问密钥来确定所述秘密访问密钥。


6.按权利要求5所述的访问控制系统，其中，所述可信访问监视应用被配置为：
(a)通过以下方式确定所述秘密访问密钥：
(i)从在所述富操作系统中运行的用户模式进程接收用户凭证，其中，通过所述文件访问监视模块接收所述用户凭证；以及
(ii)使用所述用户凭据解密所述加密的访问密钥，以确定所述秘密访问密钥。


7.按权利要求1至6中任一权利要求所述的访问控制系统，其中，所述文件访问监视模块和所述可信访问监视应用被配置为使用安全通信通道进行通信，其中，所述安全通信通道是在所述富操作系统和所述可信操作系统的启动过程中由所述处理器建立的。


8.按权利要求7所述的访问控制系统，其中：
(a)所述文件访问监控模块被配置为存储所述安全通信通道对应的共享通信通道密钥：
(b)所述可信访问监控应被用配置为存储所述相同的共享通信通道密钥；
(c)所述文件访问监控模块进一步被配置为通过以下方式将所述文件请求数据发送给所述可信访问监控应用：
(i)通过使用所述共享通信通道密钥对所述文件请求数据进行加密来生成加密的文件请求消息；
(ii)通过使用所述共享通信通道密钥对所述文件请求数据进行哈希处理来生成哈希消息；以及
(iii)将所述加密文件请求消息和所述哈希消息发送给所述可信访问监控应用；以及
(d)所述可信访问监视应用程序进一步被配置为：
(i)通过以下方式确定所述文件请求数据的有效性：
通过使用所述共享通信通道密钥对所述加密的文件请求消息进行解密来生成解密的文件请求消息；
通过使用所述共享通信通道密钥对所述解密文件请求消息进行哈希处理来生成哈希解密消息；
比较所述哈希解密消息和所述哈希消息；以及
当所述哈希解密消息与所述哈希消息匹配时，确定所述接收到的文件请求数据有效；以及
(ii)确定仅在所述接收到的文件请求数据有效时，才允许所述请求进程访问所请求的文件。


9.按权利要求1至8中任一权利要求所述的访问控制系统，其中：
(a)所述文件访问监控模块被配置为：
(i)从所述富操作系统中运行的创建进程中接收文件创建请求；
(ii)确定所述文件创建请求与创建额外的加密数据文件有关；
(iii)向所述可信访问监控应用发送加密文件创建请求，其中所述加密文件创建请求包括与所述创建进程对应的进程标识数据；
(b)所述可信访问监视应用程序被配置为：
(i)通过将所述进程标识数据与所述可信访问监视应用程序存储的文件创建标准进行比较，确定允许所述创建进程生成所述额外加密数据文件；
(ii)响应于确定所述创建进程被允许生成所述额外加密数据文件，
根据所述文件访问标准为所述额外加密数据文件生成额外文件标识数据；
为所述额外加密数据文件生成额外密钥信息；
使用所述额外密钥信息为所述额外加密数据文件生成额外加密密钥；
使用所述额外文件标识数据和所述额外密钥信息定义文件访问数据；
通过使用由所述可信访问监视应用程序存储的秘密访问密钥对所述文件访问数据进行加密来生成额外加密文件访问数据；
将所述额外加密密钥和所述额外加密文件访问数据发送至所述文件访问监控模块；
(c)所述文件访问监控模块进一步被配置为：
(i)向所述富操作系统的文件系统提供所述额外加密密钥和所述额外加密文件访问数据，其中所述文件系统可操作为使用所述额外加密密钥生成所述额外加密数据文件，并且所述文件系统可操作为将所述额外加密数据文件存储在所述非易失性存储器中，并将所述额外加密文件访问数据与所述额外加密数据文件相关联地存储在所述非易失性存储器中。


10.按权利要求1至9中任一权利要求所述的访问控制系统，其中：
(a)所述文件请求包括文件操作请求，其中所述文件操作请求标识所述请求进程正在请求对所请求的文件执行的所请求的操作；
(b)所述文件访问监控模块被配置为将与所请求的操作相关的操作数据包括在发送给所述信任访问监控应用的所述文件请求数据中；
(c)所述可信访问监视应用程序被配置为：
(i)通过将所述文件标识数据，所述进程标识数据和所述操作数据与可信访问监视应用程序存储的所述文件访问标准进行比较，确定是否允许所述请求进程对所请求的文件执行所请求的操作；以及
(ii)响应于确定所述请求进程被允许对所请求的文件执行所请求的操作，向所述文件访问监控模块发送操作允许信号；
(iii)响应于确定不允许所述请求进程对所请求的文件执行所请求的操作，向所述文件访问监控模块发送操作拒绝信号；
(d)所述文件访问监控模块进一步被配置为：
(i)响应于接收到所述操作许可信号，将所述解密文件提供给所述请求进程，以使所请求的操作生效；以及
(ii)响应于接收到所述操作拒绝信号，防止所述请求进程执行所请求的操作。


11.按权利要求1至10中任一权利要求所述的访问控制系统，其中：
(a)所述可信访问监控应用被配置为维护在所述富操作系统上运行的一个或多个用户特定进程的激活记录，其中所述激活记录包括与在所述富操作系统上运行的每个用户特定进程相关联的活跃进程标识数据；
(b)所述文件访问监控模块被配置为：
(i)响应于确定在所述富操作系统上正在运行新的特定于用户的进程，将进程启动消息发送到所述可信访问监视应用程序，其中，所述进程启动消息包括与所述新的特定于用户的进程相关联的所述活跃进程标识数据，其中，使用来自处理器的用户的有效用户凭证来生成所述进程启动消息，其中，在确定所述新的特定于用户的进程正在所述富操作系统上运行之后，向用户征求所述用户凭证；
(ii)响应于确定特定于用户特定的进程不再在所述富操作系统上运行，将进程终止消息发送到所述可信访问监视应用程序，其中，所述特定于用户特定的进程与包括在所述激活记录中的活跃进程标识数据相关联，其中所述进程终止消息包括具有特定于用户特定的进程的所述活跃进程标识数据；以及
(c)所述可信访问监控应用进一步被配置为：
(i)响应于接收到进所述程启动消息，更新所述激活记录以包括与所述新的用户特定进程相关联的所述活跃进程标识数据；
(ii)响应于接收到所述进程终止消息，更新所述激活记录以去除所述与特定于用户的特定进程相关联的所述活跃进程标识数据；以及
(iii)确定仅当所述激活记录包括与所述请求进程关联的所述活跃进程标识数据时，才允许所述请求进程访问所请求的文件。


12.一种用于控制对存储在非易失性存储器中的多个数据文件的访问的方法，其中，所述多个数据文件包括多个加密的数据文件，所述方法使用被配置为提供至少两个隔离的执行环境的处理器来执行，其中，所述至少两个隔离执行环境包括富执行环境和可信执行环境，并且所述处理器被配置为在所述富执行环境中操作富操作系统以及在所述可信执行环境中操作可信操作系统，所述方法包括：
(a)操作在所述富操作系统的内核中的文件访问监视模块，以：
接收对存储在所述非易失性存储器中的被请求文件的文件请求，其中，所请求的文件对应于所述多个加密数据文件中的加密数据文件之一，并且其中，所述文件请求是从运行在所述富操作系统上的请求进程接收到的；并且将文件请求数据发送到在所述可信操作系统上运行的可信访问监控应用，其中，所述文件请求数据包括与所请求的...

【专利技术属性】
技术研发人员：杨恩辉，孟进，余祥，张洪涛，苏切维茨·托马斯，
申请(专利权)人：百可德罗德公司，佰倬信息科技有限责任公司，
类型：发明
国别省市：加拿大;CA