一種基于TrustZone的域空間切換系統及方法
【技術領域】
[0001]本發明涉及信息安全技術領域,特別涉及一種基于TrustZone的域空間切換系統及方法。
【背景技術】
[0002]隨著信息化的發展,智能移動終端得到越來越廣泛的應用。為了提高智能移動終端對數據信息的管理能力,現在可以通過在一臺智能移動終端上設置多個域空間,以利用不同的域空間對不同的用戶數據進行管理。
[0003]然而,在對智能移動終端上不同的域空間進行切換操作時,所需的切換密鑰是保存在文件系統中的,如保存在Android的data分區或persist分區等分區上。由于這些分區在保護數據方面的安全性較差,從而導致保存在這些分區上的切換密鑰很容易被他人盜取,進而無法保證用戶空間信息的安全性。
[0004]綜上所述可以看出,如何提高切換密鑰的安全性,從而提高用戶空間信息的安全性是目前亟待解決的問題。
【發明內容】
[0005]有鑒于此,本發明的目的在于提供一種基于TrustZone的域空間切換系統及方法,提高了切換密鑰的安全性,從而提高了用戶空間信息的安全性。其具體方案如下:
[0006]—種基于TrustZone的域空間切換系統,應用于智能移動終端的多域空間,所述多域空間包括至少兩個域空間;所述系統包括:
[0007]切換請求獲取模塊,用于當所述多域空間中的第一域空間需要切換至第二域空間時,獲取相應的切換請求指令;
[0008]提取指令生成模塊,用于獲取所述切換請求獲取模塊發送的所述切換請求指令,并根據所述切換請求指令,生成密鑰提取指令;
[0009]TrustZone,用于存儲切換密鑰;
[0010]域空間切換器,用于獲取所述密鑰提取指令,在所述密鑰提取指令的控制下,從所述TrustZone中提取與切換至所述第二域空間時所對應的切換密鑰;并利用該切換密鑰完成從所述第一域空間切換至所述第二域空間的切換操作。
[0011]優選的,所述系統還包括:
[0012]原始信息獲取模塊,用于獲取原始信息;
[0013]密鑰生成模塊,用于獲取所述原始信息獲取模塊發送的所述原始信息,并利用密鑰生成算法,對所述原始信息進行處理,得到切換密鑰,并將該切換密鑰發送到所述TrustZone,以利用所述TrustZone對該切換密鑰進行存儲。
[0014]優選的,所述原始信息獲取模塊為指紋特征信息探測模塊、虹膜特征信息探測模塊、臉部特征信息探測模塊、聲音特征信息探測模塊、掌紋特征信息探測模塊或鍵盤。
[0015]優選的,所述原始信息獲取模塊為域空間ID提取模塊;
[0016]所述域空間ID提取模塊,用于提取域空間的ID,并將域空間的ID作為原始信息。
[0017]優選的,所述系統,還包括:
[0018]數據傳輸通道,用于連接所述TrustZone和所述域空間切換器,當所述域空間切換器需要從所述TrustZone中提取切換密鑰時,將該切換密鑰傳輸至所述域空間切換器;
[0019]通道數據加密模塊,用于對所述數據傳輸通道中傳輸的數據進行加密傳輸。
[0020]本發明還公開了一種基于TrustZone的域空間切換方法,應用于智能移動終端的多域空間,所述多域空間包括至少兩個域空間;所述方法包括:
[0021]當所述多域空間中的第一域空間需要切換至第二域空間時,獲取相應的切換請求指令;
[0022]根據所述切換請求指令,生成密鑰提取指令;
[0023]在所述密鑰提取指令的控制下,從TrustZone中提取預先存儲的與切換至所述第二域空間時所對應的切換密鑰;并利用該切換密鑰完成從所述第一域空間切換至所述第二域空間的切換操作。
[0024]優選的,所述方法還包括:
[0025]獲取原始信息,并利用密鑰生成算法,對所述原始信息進行處理,得到切換密鑰,并將該切換密鑰發送到所述TrustZone,以利用所述TrustZone對該切換密鑰進行存儲。
[0026]優選的,所述獲取原始信息的過程包括:獲取用戶的指紋特征信息、虹膜特征信息、臉部特征信息、聲音特征信息、掌紋特征信息或通過鍵盤輸入的字符串信息。
[0027]優選的,所述獲取原始信息的過程包括:提取域空間的ID,并將域空間的ID作為所述原始信息。
[0028]優選的,所述方法,還包括:
[0029]當所述域空間切換器需要從所述TrustZone中提取切換密鑰時,通過數據傳輸通道,將該切換密鑰傳輸至所述域空間切換器;
[0030]對所述數據傳輸通道中傳輸的數據進行加密傳輸。
[0031]本發明中,域空間切換系統包括切換請求獲取模塊、提取指令生成模塊、TrustZone和域空間切換器。其中,切換請求獲取模塊用于當多域空間中的第一域空間需要切換至第二域空間時,獲取相應的切換請求指令;提取指令生成模塊可根據切換請求指令,生成密鑰提取指令JrustZone則用于存儲切換密鑰;而域空間切換器則可在密鑰提取指令的控制下,從TrustZone中提取與切換至第二域空間時所對應的切換密鑰;并利用該切換密鑰完成從第一域空間切換至第二域空間的切換操作。由此可見,本發明利用TrustZone存儲用于切換域空間的切換密鑰,由于TrustZone自身采用嚴格的安全機制進行構建,其內部保存的數據難以被外界盜取。本發明將切換密鑰存儲在TrustZone上,并且當需要利用切換密鑰對域空間進行切換時,可通過域空間切換器從TrustZone中提取出相關的切換密鑰便可。可見,本發明在保證不影響域空間的切換過程的前提下,提高了切換密鑰的安全性,從而提高了用戶空間信息的安全性。
【附圖說明】
[0032]為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明的實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據提供的附圖獲得其他的附圖。
[0033]圖1為本發明實施例公開的一種基于TrustZone的域空間切換系統應用結構示意圖;
[0034]圖2為本發明實施例公開的一種具體的基于TrustZone的域空間切換系統應用結構示意圖;
[0035]圖3為本發明實施例公開的一種基于TrustZone的域空間切換方法流程圖。
【具體實施方式】
[0036]下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。基于本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都屬于本發明保護的范圍。
[0037]本發明實施例公開了一種基于TrustZone的域空間切換系統,應用于智能移動終端的多域空間,多域空間包括至少兩個域空間;參見圖1所示,該系統包括:
[0038]切換請求獲取模塊11,用于當多域空間中的第一域空間需要切換至第二域空間時,獲取相應的切換請求指令;
[0039]提取指令生成模塊12,用于獲取切換請求獲取模塊11發送的切換請求指令,并根據切換請求指令,生成密鑰提取指令;
[0040]TrustZonel3,用于存儲切換密鑰;
[0041]域空間切換器14,用于獲取密鑰提取指令,在密鑰提取指令的控制下,從TrustZonel3中提取與切換至第二域空間時所對應的切換密鑰;并利用該切換密鑰完成從第一域空間切換至第二域空間的切換操作。
[0042]需要說明的是,TrustZone是一種用于提升消費電子設備數據安全性的架構,基于嚴格的安全機制進行構建,具有極高的安全性。
[0043]另外,本實施例中切換至不同的域空間時,所需的切換密鑰可不同,當然根據實際的需要,也可采用相同的切換密鑰。
[0044]本發明實施例中,域空間切換系統包括切換請求獲取模塊、提取指令生成模塊、TrustZone和域空間切換器。其中,切換請求獲取模塊用于當多域空間中的第一域空間需要切換至第二域空間時,獲取相應的切換請求指令;提取指令生成模塊可根據切換請求指令,生成密鑰提取指令JrustZone則用于存儲切換密鑰;而域空間切換器則可在密鑰提取指令的控制下,從TrustZone中提取與切換至第二域空間時所對應的切換密鑰;并利用該切換密鑰完成從第一域空間切換至第二域空間的切換操作。
[0045]由此可見,本發明實施例利用TrustZone存儲用于切換域空間的切換密鑰,由于TrustZone自身采用嚴格的安全機制進行構建,其內部保存的數據難以被外界盜取。本發明實施例將切換密鑰存儲在TrustZone上,并且當需要利用切換密鑰對域空間進行切換時,可通過域空間切換器從TrustZone中提取出相關的切換密鑰便可。可見,本發明實施例在保證不影響域空間的切換過程的前提下,提高了切換密鑰的安全性,從而提高了用戶空間信息的安全性。
[0046]本發明公開了一種具體的基于TrustZone的域空間切換系統,參見圖2所示,相對于上一實施例,本發明實施例對技術方案展開了進一步的說明和優化。具體如下:
[0047]本實施例中系統還可以包括原始信息獲取模塊15和密鑰生成模塊16。其中,
[0048]原始信息獲取模塊15可用于獲取原始信息;密鑰生成模塊16可用于獲取原始信息獲取模塊15發送的原始信息,并利用密鑰生成算法,對原始信息進行處理