或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理�,從而在計算機或其他可編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
[0124]本發(fā)明中應(yīng)用了具體實施例對本發(fā)明的原理及實施方式進(jìn)行了闡述���,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想��;同時���,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想���,在【具體實施方式】及應(yīng)用范圍上均會有改變之處�����,綜上所述���,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制�����。
【主權(quán)項】
1.一種基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法���,其特征在于,包括: 對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測�����; 若所述對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測合格�����,將可信應(yīng)用安裝包對應(yīng)的可信應(yīng)用安裝于TEE環(huán)境中�; 運行所述可信應(yīng)用,驗證所述可信應(yīng)用的執(zhí)行時間的唯一性和原子性�����; 若驗證所述可信應(yīng)用的執(zhí)行時間的唯一性和原子性合格�����,提取所述可信應(yīng)用的預(yù)先設(shè)置的應(yīng)用標(biāo)識�,以及所述可信應(yīng)用的代碼和數(shù)據(jù)存儲的地址空間值; 根據(jù)所述應(yīng)用標(biāo)識和所述地址空間值對所述可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測�; 若對所述可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測合格,對所述可信應(yīng)用進(jìn)行漏洞檢測���,確定所述可信應(yīng)用是否為風(fēng)險惡意應(yīng)用�。2.根據(jù)權(quán)利要求1所述的基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法�����,其特征在于��,所述對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測�����,包括: 提取可信應(yīng)用安裝包內(nèi)的認(rèn)證信息;所述認(rèn)證信息包括可信應(yīng)用的簽名信息或者證書信息�����; 將所述認(rèn)證信息與本地存儲的已知認(rèn)證信息進(jìn)行匹配比較; 若所述認(rèn)證信息與本地存儲的已知認(rèn)證信息相匹配�����,確定所述可信應(yīng)用安裝包的信任鏈檢測合格����; 若所述認(rèn)證信息與本地存儲的已知認(rèn)證信息不匹配,確定所述可信應(yīng)用安裝包的信任鏈檢測不合格����。3.根據(jù)權(quán)利要求1所述的基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法,其特征在于�����,所述運行所述可信應(yīng)用�����,驗證所述可信應(yīng)用的執(zhí)行時間的唯一性和原子性���,包括: 對所述可信應(yīng)用進(jìn)行多次模擬操作��,在不同的動作執(zhí)行點上分別提取多個時間偏移變量�; 將每次模擬操作的各動作執(zhí)行點上的時間偏移變量構(gòu)成一離散函數(shù)曲線; 將每次模擬操作所對應(yīng)的離散函數(shù)曲線進(jìn)行比較�����; 若每次模擬操作所對應(yīng)的離散函數(shù)曲線一致��,則確定所述可信應(yīng)用的執(zhí)行時間唯一�����。4.根據(jù)權(quán)利要求3所述的基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法���,其特征在于,所述運行所述可信應(yīng)用�,驗證所述可信應(yīng)用的執(zhí)行時間的唯一性和原子性,還包括: 對所述可信應(yīng)用進(jìn)行多次失敗操作���; 獲取每次失敗操作后可信應(yīng)用的時間偏移變量���; 若所述每次失敗操作后可信應(yīng)用的時間偏移變量為0或為應(yīng)用執(zhí)行的初始值,則確定所述可信應(yīng)用的執(zhí)行時間具有原子性����。5.根據(jù)權(quán)利要求1所述的基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法�����,其特征在于�,所述根據(jù)所述應(yīng)用標(biāo)識和所述地址空間值對所述可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測���,包括: 從地址空間值與應(yīng)用標(biāo)識相對應(yīng)的關(guān)系信息中確定可信應(yīng)用的應(yīng)用標(biāo)識是否唯一對應(yīng)可信應(yīng)用的地址空間值�,并確定所述關(guān)系信息中的地址空間值是否彼此不重疊�����; 若可信應(yīng)用的應(yīng)用標(biāo)識唯一對應(yīng)可信應(yīng)用的地址空間值����,且所述關(guān)系信息中的地址空間值彼此不重疊,確定所述可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測合格���。6.—種基于硬件隔離環(huán)境的可信應(yīng)用檢測的裝置��,其特征在于�,包括: 信任鏈檢測單元,用于對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測����; 可信應(yīng)用安裝單元,用于在所述對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測合格后�,將可信應(yīng)用安裝包對應(yīng)的可信應(yīng)用安裝于TEE環(huán)境中; 時間特性檢測單元��,用于運行所述可信應(yīng)用�����,驗證所述可信應(yīng)用的執(zhí)行時間的唯一性和原子性���; 數(shù)據(jù)提取單元,用于在驗證所述可信應(yīng)用的執(zhí)行時間的唯一性和原子性合格后�����,提取所述可信應(yīng)用的預(yù)先設(shè)置的應(yīng)用標(biāo)識����,以及所述可信應(yīng)用的代碼和數(shù)據(jù)存儲的地址空間值; 應(yīng)用間隔離檢測單元��,用于根據(jù)所述應(yīng)用標(biāo)識和所述地址空間值對所述可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測; 漏洞檢測單元�����,用于在對所述可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測合格��,對所述可信應(yīng)用進(jìn)行漏洞檢測�����,確定所述可信應(yīng)用是否為風(fēng)險惡意應(yīng)用��。7.根據(jù)權(quán)利要求6所述的基于硬件隔離環(huán)境的可信應(yīng)用檢測的裝置��,其特征在于��,所述信任鏈檢測單元����,包括: 認(rèn)證信息提取模塊,用于提取可信應(yīng)用安裝包內(nèi)的認(rèn)證信息�����;所述認(rèn)證信息包括可信應(yīng)用的簽名信息或者證書信息��; 匹配模塊,用于將所述認(rèn)證信息與本地存儲的已知認(rèn)證信息進(jìn)行匹配比較��; 信任鏈檢測模塊����,用于在所述認(rèn)證信息與本地存儲的已知認(rèn)證信息相匹配時,確定所述可信應(yīng)用安裝包的信任鏈檢測合格���,并在所述認(rèn)證信息與本地存儲的已知認(rèn)證信息不匹配時��,確定所述可信應(yīng)用安裝包的信任鏈檢測不合格����。8.根據(jù)權(quán)利要求6所述的基于硬件隔離環(huán)境的可信應(yīng)用檢測的裝置��,其特征在于���,所述時間特性檢測單元,包括: 模擬操作模塊�����,用于對所述可信應(yīng)用進(jìn)行多次模擬操作�,在不同的動作執(zhí)行點上分別提取多個時間偏移變量�; 離散函數(shù)曲線生成模塊�,用于將每次模擬操作的各動作執(zhí)行點上的時間偏移變量構(gòu)成一離散函數(shù)曲線; 離散函數(shù)曲線比較模塊�,用于將每次模擬操作所對應(yīng)的離散函數(shù)曲線進(jìn)行比較; 唯一性確定模塊��,用于在每次模擬操作所對應(yīng)的離散函數(shù)曲線一致時���,確定所述可信應(yīng)用的執(zhí)行時間唯一��。9.根據(jù)權(quán)利要求8所述的基于硬件隔離環(huán)境的可信應(yīng)用檢測的裝置�����,其特征在于����,所述時間特性檢測單元��,還包括: 失敗操作模塊��,用于對所述可信應(yīng)用進(jìn)行多次失敗操作�,獲取每次失敗操作后可信應(yīng)用的時間偏移變量; 原子性確定模塊�����,用于在所述每次失敗操作后可信應(yīng)用的時間偏移變量為0或為應(yīng)用執(zhí)行的初始值時,確定所述可信應(yīng)用的執(zhí)行時間具有原子性�����。10.根據(jù)權(quán)利要求6所述的基于硬件隔離環(huán)境的可信應(yīng)用檢測的裝置����,其特征在于,所述應(yīng)用間隔離檢測單元���,包括: 判斷模塊�����,用于從地址空間值與應(yīng)用標(biāo)識相對應(yīng)的關(guān)系信息中確定可信應(yīng)用的應(yīng)用標(biāo)識是否唯一對應(yīng)可信應(yīng)用的地址空間值�,并確定所述關(guān)系信息中的地址空間值是否彼此不重疊�����; 應(yīng)用間隔離檢測模塊��,用于在可信應(yīng)用的應(yīng)用標(biāo)識唯一對應(yīng)可信應(yīng)用的地址空間值��,且所述關(guān)系信息中的地址空間值彼此不重疊時�����,確定所述可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測合格���。
【專利摘要】本發(fā)明提供了一種基于硬件隔離環(huán)境的可信應(yīng)用檢測的方法及裝置��,涉及可信執(zhí)行環(huán)境技術(shù)領(lǐng)域�����。該方法包括:對待被檢測的可信應(yīng)用安裝包進(jìn)行信任鏈檢測����;若信任鏈檢測合格�����,將可信應(yīng)用安裝包對應(yīng)的可信應(yīng)用安裝于TEE環(huán)境中�;運行可信應(yīng)用,驗證可信應(yīng)用的執(zhí)行時間的唯一性和原子性����;若驗證可信應(yīng)用的執(zhí)行時間的唯一性和原子性合格�,提取可信應(yīng)用的預(yù)先設(shè)置的應(yīng)用標(biāo)識��,以及可信應(yīng)用的代碼和數(shù)據(jù)存儲的地址空間值���,進(jìn)行應(yīng)用間隔離檢測�;若對可信應(yīng)用進(jìn)行應(yīng)用間隔離檢測合格�,對可信應(yīng)用進(jìn)行漏洞檢測,確定可信應(yīng)用是否為風(fēng)險惡意應(yīng)用�。本發(fā)明可以解決TEE執(zhí)行環(huán)境下的可信應(yīng)用安全性問題。
【IPC分類】G06F21/56
【公開號】CN105447387
【申請?zhí)枴緾N201510744721
【發(fā)明人】國煒, 潘娟, 余泉, 陳婉瑩, 謝春霞
【申請人】工業(yè)和信息化部電信研究院
【公開日】2016年3月30日
【申請日】2015年11月5日