[发明专利]终端的执行环境切换方法及系统、终端

说明书

技术领域

本发明涉及终端技术领域，具体而言，涉及一种终端的执行环境切换 方法、一种终端的执行环境切换系统和一种终端。

背景技术

目前，为了解决安全执行环境与普通执行环境之间的可信切换，引入 了一个特殊的机制——监控器模式，如图1所示的Monitor(监控器)， Monitor主要负责的任务就是管理不同执行环境之间的切换。每个带 TrustZone(ARM针对消费电子设备安全所提出的一种架构)安全扩展的 处理器核都有两个虚拟处理器核，每个处理器核分属不同的执行环境(安 全执行环境和非安全执行环境)，通过监控模块的协调来保证非安全虚拟 处理器仅仅能访问非安全系统资源，安全虚拟处理器能访问所有的资源。

监控器的工作机制具体为：为了区分当前系统是处于安全状态还是非 安全状态，在带TrustZone安全扩展的ARM处理器的CP15协处理器中有 一个安全配置寄存器(SCR)，该寄存器中有一个NS位(非安全标识 位)，用于指明当前系统的状态，如果NS为1，则当前系统处于非安全 状态；如果NS为0，则表示当前系统处于安全状态。而且，只有监控器 才能更改安全配置寄存器的NS位，也就是说普通执行环境的进程要想访 问安全系统资源，需要先进入监控器，通过监控器将安全配置寄存器的 NS位置为0，切换到安全执行环境。

通常情况下，普通执行环境中的进程要想进入监控器，有以下三种方 式：

(1)执行SMC指令(一条特殊指令，通过它可以调用监控器例程)；

(2)外部终止，包括预取外部终止和数据外部终止，外部终止是在 访问存储系统时发生，但不会被MMU(MemoryManagementUnit，内存 管理单元)检测到的异常，一般发生在普通环境访问安全环境的资源时；

(3)中断，包括FIQ(FastInterruptRequest，快速中断请求)中断 和IRQ(InterruptRequest，中断请求)中断。

普通执行环境中的进程，通过以上三种方式都能进入监控器模式，并 触发监控器的异常处理程序，监控器的具体功能可由软件开发者定义，但 执行环境的切换都要在监控器中进行，也就是说只能在监控器中修改安全 配置寄存器(SCR)的NS位。

现有的通过监控器Monitor来进行普通执行环境和安全执行环境的切 换方案，存在以下不足之处：监控器的安全得不到保证，任何软件通过 SMC指令、外部终止或者FIQ、IRQ中断，都能进入到监控器当中去，这 也使得恶意代码有机会在监控器中得到执行，有机会修改安全配置寄存器 (SCR)的NS位，从而切换到安全执行环境，访问系统安全资源。

因此，如何提高系统的安全性，防止恶意软件进入监控器，恶意切换 到安全执行环境，进而访问系统安全资源，威胁用户敏感资产成为亟待解 决的技术问题。

发明内容

本发明正是基于上述问题，提出了一种新的技术方案，通过客户端/ 服务器的验证过程，可以有效地防止监控器被恶意侵入并有机会切换到安 全执行环境，以访问系统安全资源并威胁用户敏感资产，进而有效地提高 系统的安全性，避免安全信息外泄，提高用户体验。

有鉴于此，本发明的一方面提出了一种终端的执行环境切换方法，用 于终端切换执行环境，包括：根据来自所述终端中的进程的切换请求，向 所述终端的验证服务器或与所述终端相连的外接验证服务器发送验证请 求；根据来自所述验证服务器或所述外接验证服务器的判断结果，确定是 否从当前执行环境切换至所述目标执行环境，其中，所述当前执行环境的 安全等级低于所述目标执行环境的安全等级。

在该技术方案中，当终端中有进程申请进入监控器模式时，即试图从 当前执行环境(普通执行环境)切换至目标执行环境(安全执行环境) 时，通过终端的验证服务器或与终端相连的外接验证服务器进行判断，根 据判断结果确定是否从当前执行环境切换到目标执行环境，如此，通过服 务器的验证过程，对申请进入监控器模式的进程进行严格的验证和把关， 可以有效地防止监控器被恶意侵入并有机会切换到安全执行环境，以访问 系统安全资源并威胁用户敏感资产，进而有效地提高系统的安全性，避免 安全信息外泄，提高用户体验。其中，当前执行环境的安全等级低于目标 执行环境的安全等级。