基于高保证内核模块的移动终端操作系统及其实现方法

摘要

本发明公开一种基于高保证内核模块的移动终端操作系统及其实现方法，包括：移动终端操作子系统模块、高保证内核模块、以及资源管理框架模块，其中，移动终端操作子系统模块，包含至少两个移动终端操作子系统，每个移动终端操作子系统对应相应的用户界面；高保证内核模块访问移动终端的全部硬件资源，为移动终端操作子系统模块提供运行所需要的基本安全机制；资源管理框架模块访问移动终端的部分硬件资源，为移动终端操作子系统模块提供基本的资源管理服务。本发明通过对高保证内核模块进行分区设计，并对硬件资源的访问进行管理，可以更好地提高移动终端操作系统的安全性。

说明书

技术领域

本发明涉及一种移动终端操作系统，特别涉及一种基于高保证内 核模块的移动终端操作系统，同时还涉及一种基于高保证内核模块的 移动终端操作系统的实现方法，属于通信技术领域。

背景技术

近年来，随着移动终端技术的发展，如智能手机、平板电脑以及 汽车电子产品的智能终端设备也得到了迅猛的发展。由于智能终端的 便携、性格比高的特点，使其在各行各业有了广泛的应用，移动支付、 定位、信息处理、身份验证等方面，成为移动办公、移动商务的重要 工具。由于涉及到用户的隐私、账户密码等重要信息，因此其安全性 也越来越受到人们的关注。安卓作为开源的移动终端操作系统，其安 全性也是重要的一环。

针对目前应用最为广泛的安卓系统，目前有多种安全增强措施。

其中，专利申请号为CN201310703974的中国发明申请公开了一 种基于密码学和策略驱动的安卓机密性完整性增强访问控制系统。该 系统包括五个模块：联系人管理模块、、短信管理模块、感知来源控 制模块、策略管理模块和密钥管理模块；该系统对联系人管理模块、、 短信管理模块、感知来源控制模块实施控制；该系统定义两个管理模 块来实现系统功能，分别是策略管理模块与密钥管理模块，用户可以 指定联系人、短信的加解密策略以及对于感知来源的细粒度访问控制 策略；在密钥管理模块上，初始化安卓设备时，用户可以设置联系人 以及短信应用的初始化密钥，并可修改密钥。通过上述各个模块之间 想到协作，最终实现安卓用户数据访问和感知模块访问的安全性，还 可以实现在不同场景下对个人数据以及对感知来源进行不同的保护 设置，简化安全策略的复杂度。

专利申请号为CN201210263550的中国发明专利申请公开了一种 保护安卓应用程序的方法。该方法通过使用本地调用接口与安全虚拟 机，将安卓应用程序的关键代码无缝的移植到安全环境中运行，提高 反编译和跟踪的难度。由于在软件中不存在对安全虚拟机的直接调 用，因此保护方案的安全度得到了比较大的提升。

由上述两个案例说明，目前这些发明都是对安卓系统本身的改 进，通过改进安卓系统的访问控制策略以及更改应用程序的执行环境 来提升系统及应用的安全性。这些发明主要是通过打补丁的方式来提 高系统的安全性，在一定程度上可以缓解对安卓系统的威胁，但是这 不是一个长效机制，在实际应用时，要受到很多条件的制约。具体表 现在：

(1)安卓系统更新速度快，每次版本更新时，安装补丁的工作 量比较大，同时，补丁也占据了较大的存储空间。

(2)安卓系统从本质上分析是改造过的linux内核，属于宏内核 系统。驱动代码由不同的硬件厂商提供，并且各种外部设备驱动运行 在内核中，如果驱动代码发生异常，有可能会使整个系统崩溃。因此， 内核存在可能崩溃的不安全因素的基础了，对用户层面的安全改进都 将无法较大程度的提升系统的安全性。

(3)由于移动终端自身会带有较多的系统软件，降低系统的运 行速率。因此用户希望通过root手机系统，从而删除系统软件。但是 手机系统一旦root，就会给一些具有特定功能的病毒提供机会。这些 病毒取得root权限后在后台自行操作，使系统原有的权限检查功能形 同虚设，大大降低了系统的安全性。

(4)为满足不同用户的需要，不同的手机厂商会对安卓系统进 行优化形成定制系统。部分用户喜欢使用不同的定制系统，对自己的 手机进行刷机进行体验。由于市面上的ROM种类较多，部分ROM 在制作时会植入广告软件或者暗扣软件，对于改进系统来说，可能无 法顾及，给系统的安全留下较大的隐患。

发明内容

本发明要解决的技术问题是如何提高移动终端内设置有多个移 动终端操作系统并存时的安全性。

为实现上述的发明目的，本发明提供了一种基于高保证内核模块 的移动终端操作系统及其实现方法

一方面，本发明提供一种基于高保证内核模块的移动终端操作系 统，包括：移动终端操作子系统模块、高保证内核模块、以及资源管 理框架模块，其中，

所述移动终端操作子系统模块，包含至少两个移动终端操作子系 统，每个移动终端操作子系统对应相应的用户界面；

所述高保证内核模块访问移动终端的全部硬件资源，为所述移动 终端操作子系统模块提供运行所需要的基本安全机制；

所述资源管理框架模块访问所述移动终端的部分硬件资源，为所 述移动终端操作子系统模块提供基本的资源管理服务。

其中较优地，所述高保证内核模块按移动终端操作子系统的数量 对应划分相应的分区，不同的所述分区的地址空间相互独立，且每个 所述分区独立访问相应权限的数据。

其中较优地，所述至少两个移动终端操作子系统运行在对应的地 址空间中，保证不同移动终端操作子系统的分区隔离。

其中较优地，所述高保证内核模块还用于重新启动并恢复所述移 动终端操作子系统模块中运行不正常的应用程序。

其中较优地，所述资源管理框架模块还对所述移动终端的资源进 行划分并分离，然后分配给预设的可信程序和所述移动终端操作子系 统模块使用。

其中较优地，所述可信程序对外部设备进行可信访问，获取外部 设备的状态信息，实现移动终端的可信路径管理。

另一方面，本发明还提供一种基于高保证内核模块的移动终端操 作系统的实现方法，用于实现上述的移动终端操作系统，包括以下步 骤：

(1)从移动终端操作子系统模块中选择一个移动终端操作子系 统，所述高保证内核模块为所述移动终端操作子系统配置分区，所述 移动终端操作子系统独立访问所述分区的数据；当访问其他分区时， 所述高保证内核模块对所述移动终端操作子系统的数据流进行控制； 同时，所述高保证内核模块与所述资源管理框架模块将共享资源分配 给移动终端操作子系统；

(2)当从移动终端操作子系统模块中选择另一个移动终端操作 子系统时，所述高保证内核模块为所述另一个移动终端操作子系统配 置与其相应权限的分区，同时所述高保证内核模块与所述资源管理框 架模块将共享资源配置给所述另一个移动终端操作子系统。

其中较优地，所述步骤(1)中，所述高保证内核为每个分区建 立了分区授权表，用于维护分区中的资源，通过查询分区授权表所述 高保证内核模块对所述移动终端操作子系统的数据流进行控制，若所 述移动终端操作子系统发出的访问请求存在于所述分区授权表中，则 所述高保证内核模块中转所述访问请求，若不存在，则所述高保证内 核模块拒绝中转。

其中较优地，所述步骤(2)中，至少两个移动终端操作子系统 通过多路复用方式利用共享的资源。

其中较优地，所述步骤(2)中，在切换移动终端操作子系统时， 若切换前后的移动终端操作子系统分别属于不同的分区，则切换后的 移动终端操作子系统不能获得切换前的移动终端操作子系统的分区 信息。

与现有技术相比，本发明具有以下有益效果：

(1)通过高保证内核模块的基本安全机制，为资源管理框架模 块以及移动终端操作子系统模块提供了安全基础。

(2)资源管理框架模块通过根据预设功能结合高保证内核模块 的不同分区，实现不同服务的隔离，且依据用户预先定义好的安全访 问控制策略对特定服务的访问进行授权控制，增加移动终端操作子系 统的安全性。

(3)移动终端操作子系统以应用程序的形式运行在高保证内核 模块上，只需对移动终端操作子系统模块进行一定的改进，使其可以 在高保证内核模块上运行即可。

(4)支持多个终端操作系统(如安卓等)运行在同一个移动终 端上，对于共享的外部设备资源，如屏幕和按键等，通过资源共享服 务实现安全的共享。

附图说明

图1是本发明中，基于高保证内核模块的移动终端操作系统框图；

图2是本发明一实施例中，具有两个移动终端操作子系统的操作 界面示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细 描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

为解决现有移动终端操作系统面临的安全性问题，本发明对现有 移动终端的系统结构进行改进，提供了一种基于高保证内核模块的移 动终端操作系统，包括：移动终端操作子系统模块、高保证内核模块、 以及资源管理框架模块，其中，移动终端操作子系统模块，包含至少 两个移动终端操作子系统，每个移动终端操作子系统对应相应的用户 界面；高保证内核模块访问移动终端的全部硬件资源，为移动终端操 作子系统模块提供运行所需要的基本安全机制；资源管理框架模块访 问移动终端的部分硬件资源，为移动终端操作子系统模块提供基本的 资源管理服务。如图1所示高保证内核模块是本发明的架构的核心部 件，它提供了上层的移动终端操作子系统模块运行所需要的基本安全 机制，高保证内核模块运行在内核态，所谓内核态是此时任务在内核 代码中执行，处理器具有最高的级别，可以访问移动终端操作系统的 全部资源。资源管理框架模块为上层的移动终端操作子系统模块提供 了基本的资源管理服务，资源管理框架模块运作在用户态，所谓用户 态是指任务在用户的程序中执行，此时处理器具有最低的级别，可以 访问部分系统资源。

下面对本发明的移动终端操作系统进行详细的描述。

高保证内核模块提供了上层的移动终端操作子系统模块运行的 基本安全机制，主要包括分区隔离、数据流控、故障恢复和周期处理 等。其中，

(1)分区隔离：高保证内核模块按照移动操作子系统的数量设 置了多个分区，为每个分区配置了相互独立的地址空间，并且，每个 分区应用只具有访问相应的资源的权限。对于不同分区中的数据，该 分区可以进行访问，但是禁止其他分区随意访问。本发明通过分区设 置，从而可以防止未授权的数据读写或恶意代码从一个分区传播到其 他分区中。

(2)数据流控：通常情况下，恶意代码或者病毒通过移动终端 操作子系统中隐蔽的通道传输数据。为此，本发明对数据流进行了控 制。分区间的数据流是由高保证内核模块进行控制的，因此不存在其 他的隐蔽通道。

高保证内核模块为每个分区建立了分区授权表，用于维护该分区 中的资源请求，即相应的分区可以访问哪些服务。当某分区需要访问 某一资源而发起访问请求时，高保证内核模块会接收该访问请求，并 进行查询分区授权表，如果该访问请求在分区授权表中得到授权，则 高保证内核模块将该访问请求进行中转，如果未得到授权，则拒绝中 转。为杜绝恶意代码或者病毒私自建立传输通道，本发明对所有数据 流进行控制，使其不能绕开该保护机制，从而提高数据传输的安全性。

(3)故障恢复：高保证内核模块工作在内核态，且所有分区的 应用程序都是高保证内核模块的用户态程序。因此，当某一个分区的 应用程序出现运行错误或者崩溃时，高保证内核模块可以重新启动该 应用程序，使其恢复到软件刚启动时的初始运行状态。通过故障恢复 机制，可以极大提高移动终端操作系统的运行效率。

(4)周期处理：在不同分区进行切换时，切换后的分区不能共 享切换前的分区的信息。例如，当从一个分区的应用程序切换到另一 个分区的应用程序时，切换后的分区应用程序不能获得来自切换前的 任何分区信息，如栈数据、cache数据等，执行周期处理能保证处理 器本身不会成为信息泄露的途径，从而提高移动终端操作系统的安全 性。

此外，高保证内核模块还为上层的移动终端操作子系统模块运行 提供了底层的硬件资源描述，包括处理器和内存等。相对于Linux内 核与Windows内核动辄百万行级别的代码量，高保证内核模块采用了 非常少量的代码完成，可以使用数学方法进行形式验证，从而确保了 高保证内核模块的代码的正确性。

资源管理框架模块为上层移动终端操作子系统模块提供了基本 的资源管理服务，主要包括内存分配、进程管理、程序加载以及实时 数据分发等，资源管理框架模块运作在用户态，可以访问部分移动终 端系统的资源。利用高保证内核模块提供的分区隔离机制，根据预定 的分配策略，将移动终端的资源进行划分并分配给预设的可信程序和 移动终端操作子系统模块使用，实现移动终端的资源隔离；可信程序 与移动终端操作系统的资源之间是分离的，二者无法互相访问。通过 预设的可信程序获取外部设备的状态信息并对外部设备可信访问，实 现移动终端的可信路径管理。对于移动终端可信路径的管理方法，专 利申请号为CN2014101559111的中国发明专利申请中给了详细的描 述，本发明不再详细描述。

资源管理框架模块中还实现了信息流控策略，依据明确定义的分 区间信息流策略，确保只有策略授权的分区间通信才被允许。

资源管理框架模块与高保证内核模块构成了移动终端操作系统 的可信计算基(TCB)，两部分的代码量应控制在几万行左右，从而 可以验证系统的TCB代码。

在本发明中，对于高保证内核模块而言，最上层的移动终端操作 子系统模块只是一个运行在用户态的普通应用。多个移动终端操作子 系统运行在各自的地址空间中，从而保证不同移动终端操作子系统模 块间的分区隔离。对于共享的资源，如触摸屏和按键等外部设备，共 享资源服务通过多路复用方式实现，即一个驱动可以同时服务多个普 通应用，降低了系统的开销，提高了使用效率。

本发明还提供了一种基于高保证内核模块的移动终端操作系统 的实现方法，用于实现上述的移动终端操作系统，包括以下步骤：

(1)从移动终端操作子系统模块中选择一个移动终端操作子系 统，高保证内核模块为移动终端操作子系统配置分区，移动终端操作 子系统独立访问分区的数据；当访问其他分区时，高保证内核模块对 移动终端操作子系统的数据流进行控制；同时，高保证内核模块与资 源管理框架模块将共享资源分配给移动终端操作子系统；

(2)当从移动终端操作子系统模块中选择另一个移动终端操作 子系统时，高保证内核模块为另一个移动终端操作子系统配置与其相 应权限的分区，同时高保证内核模块与资源管理框架模块将共享资源 配置给另一个移动终端操作子系统。

下面以移动终端操作子系统模块具有两个移动终端操作子系统 为例，对上述方法进行详细说明。

如图2所示，移动终端设置有2个移动终端操作子系统模块，均为 安卓操作系统，并且两个操作子系统模块可以相互切换。

在移动终端的LCD屏幕上，有一块固定的可信程序显示区域，该 显示区域由高保证内核模块和资源管理框架模块共同管理。在该显示 区域内有2个切换按钮，用户可以通过该2个按钮，在两个安卓操作系 统之间进行切换。

当用户选择“安卓操作系统1”按钮时，在高保证内核模块和资 源管理框架模块共同控制下，安卓操作系统1控制LCD屏幕，用户使 用“安卓操作系统桌面1”进行操作，可以访问互联网等外部网络资 源；当用户选择“安卓操作系统2”按钮时，在高保证内核模块和资 源管理框架模块共同控制下，安卓操作系统2控制LCD屏幕，用户使 用“安卓操作系统桌面2”进行操作，可以访问企业内网等内部受控 网络资源。

用户通过安卓操作系统1访问互联网所引入的病毒、木马等安全 威胁时，由于最上层的移动终端操作子系统模块相对于高保证内核模 块是一个运行在用户态的普通应用，并且安卓操作系统1只在自己的 地址空间内运行，因此不会影响用户的安卓操作系统2，从而使得用 户利用安卓操作系统2访问企业内网时，不会对内网安全产生威胁。

当用户的安卓操作系统1被来自互联网的病毒、木马等恶意软件 破坏无法运行后，可以由高保证内核模块和资源管理框架模块进行恢 复，使安卓操作系统1恢复到初始状态；如果安卓操作系统1被来自互 联网的病毒、木马等恶意软件控制下长时间占用移动终端硬件资源 (如终端的CPU或外部设备)，在高保证内核模块和资源管理框架模 块的周期处理机制下，用户可以随时通过LCD屏幕的“显示控制区域” 切换到安卓操作系统2，进行正常的企业内网资源访问。

综上所述，本发明在高保证内核模块的基础之上，对运行的某一 个移动终端操作系统提供分区隔离、数据流控、故障恢复以及周期处 理等安全机制，将安全问题的影响限制在该操作系统的内部，使其不 影响其他正在运行的移动终端操作系统，从而保证移动终端操作系统 的安全性。具有以下优点：

(1)多个移动终端操作系统都运行在用户态(CPU的用户模式)， 只有高保证内核模块运行在内核态(CPU的特权模式)，用户态与内 核态程序通过高保证内核模块提供的系统调用接口进行交互。

(2)多个移动终端操作系统在高保证内核模块上都是以应用的 形式存在，由高保证内核模块接管所有的硬件资源，上层移动终端操 作系统应用(如安卓的某应用)如需访问某一硬件资源，必须通过高 保证内核模块才能进行，实现了对硬件资源的授权访问。

(3)通过划分多个移动终端操作系统各自的职责，为用户提供 BYOD服务，即用户可以一个操作系统设置为自用，一个设置有公司 用，两个不同移动终端操作系统用于不同的场景，互相之间无任何影 响。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关 技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下， 还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明 的范畴，本发明的专利保护范围应由权利要求限定。