信應(yīng)用的時間偏移變量;
[0048]原子性確定模塊����,用于在所述每次失敗操作后可信應(yīng)用的時間偏移變量為0或者為應(yīng)用執(zhí)行的初始值時,確定所述可信應(yīng)用的執(zhí)行時間具有原子性�。
[0049]具體的,所述應(yīng)用間隔離檢測單元���,包括:
[0050]判斷模塊�����,用于從地址空間值與應(yīng)用標(biāo)識相對應(yīng)的關(guān)系信息中確定可信應(yīng)用的應(yīng)用標(biāo)識是否唯一對應(yīng)可信應(yīng)用的地址空間值�����,并確定所述關(guān)系信息中的地址空間值是否彼此不重疊����;
[0051]應(yīng)用間隔離檢測模塊,用于在可信應(yīng)用的應(yīng)用標(biāo)識唯一對應(yīng)可信應(yīng)用的地址空間值����,且所述關(guān)系信息中的地址空間值彼此不重疊時,確定所述可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測合格�����。
[0052]本發(fā)明實施例提供的基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法及裝置��,通過對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測����,并驗證可信應(yīng)用的執(zhí)行時間的唯一性和原子性,而且還對可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測和漏洞檢測����。其中,信任鏈檢測與應(yīng)用間隔離檢測涉及到了 TEE環(huán)境��,使得基于硬件隔離環(huán)境的可信應(yīng)用檢測可以確認(rèn)TEE環(huán)境下的可信應(yīng)用的安全性�。這樣,本發(fā)明避免了僅通過對移動應(yīng)用本身進(jìn)行惡意代碼檢測��、應(yīng)用漏洞庫檢測等并不能確認(rèn)TEE環(huán)境下的可信應(yīng)用的安全性的問題����。
【附圖說明】
[0053]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹��,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的一些實施例�,對于本領(lǐng)域普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖�。
[0054]圖1為本發(fā)明實施例提供的一種基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法的流程圖一;
[0055]圖2為本發(fā)明實施例提供的一種基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法的流程圖二�;
[0056]圖3為本發(fā)明實施例提供的一種基于硬件隔離環(huán)境的可信應(yīng)用檢測的裝置的結(jié)構(gòu)示意圖一;
[0057]圖4為本發(fā)明實施例提供的一種基于硬件隔離環(huán)境的可信應(yīng)用檢測的裝置的結(jié)構(gòu)示意圖二���。
【具體實施方式】
[0058]下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚�、完整地描述,顯然��,所描述的實施例僅僅是本發(fā)明一部分實施例���,而不是全部的實施例����?����;诒景l(fā)明中的實施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護(hù)的范圍��。
[0059]本發(fā)明實施例提供一種基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法����,如圖1所示,包括:
[0060]步驟101�、對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測。
[0061 ]步驟102����、若對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測合格,將可信應(yīng)用安裝包對應(yīng)的可信應(yīng)用安裝于TEE環(huán)境中�����。
[0062]步驟103�、運行可信應(yīng)用,驗證可信應(yīng)用的執(zhí)行時間的唯一性和原子性��。
[0063]步驟104�、若驗證可信應(yīng)用的執(zhí)行時間的唯一性和原子性合格,提取可信應(yīng)用的預(yù)先設(shè)置的應(yīng)用標(biāo)識��,以及可信應(yīng)用的代碼和數(shù)據(jù)存儲的地址空間值。
[0064]步驟105���、根據(jù)應(yīng)用標(biāo)識和地址空間值對可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測��。
[0065]步驟106��、若對可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測合格���,對可信應(yīng)用進(jìn)行漏洞檢測,確定可信應(yīng)用是否為風(fēng)險惡意應(yīng)用����。
[0066]本發(fā)明實施例提供的基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法,通過對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測�,并驗證可信應(yīng)用的執(zhí)行時間的唯一性和原子性,而且還對可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測和漏洞檢測����。其中,信任鏈檢測與應(yīng)用間隔離檢測涉及到了 TEE環(huán)境���,使得基于硬件隔離環(huán)境的可信應(yīng)用檢測可以確認(rèn)TEE環(huán)境下的可信應(yīng)用的安全性��。這樣���,本發(fā)明避免了僅通過對移動應(yīng)用本身進(jìn)行惡意代碼檢測、應(yīng)用漏洞庫檢測等并不能確認(rèn)TEE環(huán)境下的可信應(yīng)用的安全性的問題�。
[0067]為了使得本領(lǐng)域的技術(shù)人員更好的了解本發(fā)明,下面列舉一個更為具體的實施例��,如圖2所示�,本發(fā)明一種基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法,包括:
[0068]步驟201����、提取待被檢測的可信應(yīng)用安裝包內(nèi)的認(rèn)證信息。
[0069]其中���,該認(rèn)證信息包括可信應(yīng)用的簽名信息或者證書信息�。
[0070]步驟202��、將認(rèn)證信息與本地存儲的已知認(rèn)證信息進(jìn)行匹配比較���。
[0071 ] TEE系統(tǒng)內(nèi)有一個硬件的信任根���,其之上的TEE內(nèi)核、TEE操作系統(tǒng)以及可信應(yīng)用的裝載和運行都以該信任根為基礎(chǔ)���。例如TEE內(nèi)核的裝載和執(zhí)行要經(jīng)過信任根的驗證���,驗證成功則裝載和執(zhí)行TEE內(nèi)核���。可見���,可信應(yīng)用的裝載和執(zhí)行要經(jīng)過TEE操作系統(tǒng)的驗證���,驗證主要以簽名、證書技術(shù)為手段�。
[0072]步驟203、若認(rèn)證信息與本地存儲的已知認(rèn)證信息相匹配�,確定可信應(yīng)用安裝包的信任鏈檢測合格。之后執(zhí)行步驟205���。
[0073]步驟204���、若認(rèn)證信息與本地存儲的已知認(rèn)證信息不匹配,確定可信應(yīng)用安裝包的信任鏈檢測不合格����。之后執(zhí)行步驟220�。
[0074]步驟205���、將可信應(yīng)用安裝包對應(yīng)的可信應(yīng)用安裝于TEE環(huán)境中�����。
[0075]步驟206、運行可信應(yīng)用���,對可信應(yīng)用進(jìn)行多次模擬操作�����,在不同的動作執(zhí)行點上分別提取多個時間偏移變量���。
[0076]步驟207、將每次模擬操作的各動作執(zhí)行點上的時間偏移變量構(gòu)成一離散函數(shù)曲線����。
[0077]步驟208、將每次模擬操作所對應(yīng)的離散函數(shù)曲線進(jìn)行比較����。
[0078]步驟209���、若每次模擬操作所對應(yīng)的離散函數(shù)曲線一致,則確定可信應(yīng)用的執(zhí)行時間唯一�����。之后執(zhí)行步驟211���。
[0079]可信應(yīng)用的唯一性是指該應(yīng)用執(zhí)行時的時間偏移變量不依賴于其它的可信應(yīng)用�����。
[0080]步驟210�、若每次模擬操作所對應(yīng)的離散函數(shù)曲線不一致���,則確定可信應(yīng)用的執(zhí)行時間不唯一�����。之后執(zhí)行步驟220�。
[0081]步驟211����、對可信應(yīng)用進(jìn)行多次失敗操作����,獲取每次失敗操作后可信應(yīng)用的時間偏移變量���。
[0082]步驟212�、若每次失敗操作后可信應(yīng)用的時間偏移變量為0或者為應(yīng)用執(zhí)行的初始值�����,則確定可信應(yīng)用的執(zhí)行時間具有原子性�����。之后執(zhí)行步驟214��。
[0083]可信應(yīng)用的執(zhí)行時間的原子性是指應(yīng)用在執(zhí)行過程中����,時間不會中途停滯或保存�����,只有執(zhí)行的動作成功完成時,時間偏移變量才會保持計數(shù)�,否則時間偏移變量從零初始化。
[0084]步驟213�、若失敗操作后有可信應(yīng)用的時間偏移變量未恢復(fù)為0或者未恢復(fù)為應(yīng)用執(zhí)行的初始值,則確定可信應(yīng)用的執(zhí)行時間不具有原子性��。之后執(zhí)行步驟220��。
[0085]步驟214����、提取可信應(yīng)用的預(yù)先設(shè)置的應(yīng)用標(biāo)識,以及可信應(yīng)用的代碼和數(shù)據(jù)存儲的地址空間值�����。
[0086]步驟215�����、從地址空間值與應(yīng)用標(biāo)識相對應(yīng)的關(guān)系信息中確定可信應(yīng)用的應(yīng)用標(biāo)識是否唯一對應(yīng)可信應(yīng)用的地址空間值�,并確定關(guān)系信息中的地址空間值是否彼此不重置。
[0087]步驟216�����、若可信應(yīng)用的應(yīng)用標(biāo)識唯一對應(yīng)可信應(yīng)用的地址空間值