CN107305607A - 一种防止后台恶意程序独立运行的方法和装置 - Google Patents

Abstract

本发明实施例提供一种防止后台恶意程序独立运行的方法，所述方法应用于采用TrustZone的系统，所述采用TrustZone的系统包括应用运行环境REE和可信执行环境TEE两种工作模式，其中所述方法包括：当REE系统接收到触控的调用请求后，向TEE系统发出所述调用请求；TEE系统采用加密算法，生成调用请求的私钥，并将所述私钥返回REE系统；如果REE系统通过预先获取的公钥判断所述私钥有效，则执行请求调用的应用程序。本发明实施例能够防止木马程序在后台恶意访问系统资源。

Description

一种防止后台恶意程序独立运行的方法和装置

技术领域

本发明实施例涉及安全技术领域，尤其涉及一种防止后台恶意程序独立运行的方法和装置。

背景技术

移动设备已发展为能够从Internet下载各种大型应用程序的开放软件平台。这些应用程序通常由设备OEM进行验证以确保质量，但并非可对所有功能进行测试，并且攻击者正在不断创建越来越多以此类设备为目标的恶意代码。同时，移动设备处理重要服务的需求日益增加。从能够支付、下载和观看某一特定时段的最新好莱坞大片，到能够通过手机远程支付帐单和管理银行帐户，这一切都表明，新的商业模式已开始出现。这些发展趋势已使手机有可能成为恶意软件、木马和rootkit等病毒的下一软件攻击目标。

目前市场上最流行的手机开源操作系统就是Android OS，该Android OS的主要优势在于开放和开源。但随着对人们对Android研究的深入，该Android OS下的木马程序也越来越多，这些木马程序制造者利用各种系统漏洞，开发出危害更大的木马软件。木马软件会随着其他软件一起安装到Android OS中，并驻留在后台，窥探手机上的各种私人信息。

为了确保Android应用程序的合法性，数字签名的方法是现在普遍应用的安全手段。数字签名的主要缺点是，它不需要权威部门认证，木马制造者可以自己完成签名认证，并随意的发布捆绑木马的应用程序，并通过技术伪装与诱骗的手段实现木马植入。因此，虽然所有的Android应用程序都必须有数字签名，但是只要有相同的数字签名的应用程序之间就可以共享数据资源。所以，很多人利用这个特点，在研究了相应的应用程序漏洞后，将木马程序一起植入进来，这样，当在安装未经认证的应用后，会同时将木马程序安装到系统中。木马程序都具有隐藏功能，它们会在后台隐秘的操作私有文件，从而实现信息盗取与外泄。

如图1所示的现有技术中应用程序获取特定事件信息后执行特定操作示意图，对于一般的用户操作而言，每一次触控屏幕，都有相应的响应事件上报给特定的应用程序。如图1所示，正常的执行顺序是①-②-③-④。

木马程序具有隐秘性，侵入系统的木马程序可以在后台模拟想要的操作，获取用户信息。如果被恶意程序植入后，正常的执行顺序可能会被改变，恶意程序会利用代码中的漏洞，选择执行了其它操作。如上图，异常执行顺序①-②-③-⑥-⑦。这种情况下，用户数据很可能在不知情的情况下就被泄露出去。

发明内容

针对现有的缺点，本发明实施例提供了一种防止后台恶意程序独立运行的方法和装置，能够防止木马程序在后台恶意访问系统资源。

本发明实施例提供了一种防止后台恶意程序独立运行的方法，所述方法应用于采用TrustZone的系统，所述采用TrustZone的系统包括应用运行环境REE和可信执行环境TEE两种工作模式，其中所述方法包括：当REE系统接收到触控的调用请求后，向TEE系统发出所述调用请求；TEE系统采用加密算法，生成调用请求的私钥，并将所述私钥返回REE系统；如果REE系统通过预先获取的公钥判断所述私钥有效，则执行请求调用的应用程序。

进一步地，所述当REE系统接收到触控的调用请求后，向TEE系统发出所述调用请求，包括：REE系统的内核驱动接收用户触控事件，所述内核驱动包括TEE触控模块库，通过所述TEE触控模块库向TEE系统发出用户触控事件对应的调用请求。

进一步地，所述TEE系统采用加密算法，生成调用请求的私钥，并将所述私钥返回REE系统，包括：所述TEE系统采用高级加密标准算法，生成调用请求的私钥，并将所述私钥返回所述REE系统中的TEE触控模块库，并逐层上报给REE系统应用模块。

进一步地，所述方法还包括：所述TEE触控模块库将所述私钥传送给TEE应用模块库，所述TEE应用模块库使用预先获取的公钥对所述私钥进行验证，判断PriKey是否有效。

进一步地，所述如果REE系统通过预先获取的公钥判断所述私钥有效，则执行请求调用的应用程序，包括：如果所述TEE应用模块库使用预先获取的公钥对所述私钥验证通过，则所述私钥有效，从所述TEE应用模块库中获取请求调用的应用程序，并执行所述应用程序。

本发明实施例还提供了一种防止后台恶意程序独立运行的装置，所述装置应用于采用TrustZone的系统，所述采用TrustZone的系统包括应用运行环境REE和可信执行环境TEE两种工作模式，其中所述装置包括：REE系统，用于接收到触控的调用请求后，向TEE系统发出所述调用请求；TEE系统，用于采用加密算法，生成调用请求的私钥，并将所述私钥返回REE系统；REE系统，还用于通过预先获取的公钥判断所述私钥有效，则执行请求调用的应用程序。

进一步地，所述REE系统包括内核驱动，所述内核驱动设有TEE触控模块库；所述REE系统，具体用于：当内核驱动接收用户触控事件，通过所述TEE触控模块库向TEE系统发出用户触控事件对应的调用请求。

进一步地，所述TEE系统，具体用于：采用高级加密标准算法，生成调用请求的私钥，并将所述私钥返回所述TEE触控模块库。

进一步地，所述REE系统还包括TEE应用模块库；所述REE系统，还用于：所述TEE触控模块库将所述私钥传送给TEE应用模块库，所述TEE应用模块库使用预先获取的公钥对所述私钥进行验证，判断判断PriKey是否有效。

进一步地，所述REE系统，还用于：如果所述TEE应用模块库使用预先获取的公钥对所述私钥验证通过，则所述私钥有效，从所述TEE应用模块库中获取请求调用的应用程序，并执行所述应用程序。

本发明实施例提供的防止后台恶意程序独立运行的方法和装置，利用TrustZone系统的封闭特性，保证加密算法的安全；利用触摸屏的物理中断触发特性，并改造TP驱动，使每次真实触控屏幕时，都会由TEE的安全算法产生一组安全密钥PriKey；应用程序再利用这组密钥，实现“第二次安全认证”，达到保护程序的安全调用目的。

本发明实施例的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为现有技术中应用程序获取特定事件信息后执行特定操作示意图。

图2为TrustZone模式下二个并行安全环境的示意图。

图3为TrustZone通过对CPU架构和内存子系统的硬件引入安全区域的概念的示意图。

图4为本发明实施例中防止后台恶意程序独立运行的方法示意图。

图5为本发明实施例中防止后台恶意程序独立运行的装置示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

ARM TrustZone技术是系统范围的安全方法，其核心思想在嵌入式产品的软硬件及物理特性设计中加入安全性控制，保证产品不受外部恶意攻击，把增强系统安全的措施从CPU内核设计开始，集成到系统的整体设计中。TrustZone技术把保护措施集成到内核以保证系统的安全性，同时提供安全软件平台，使半导体制造商、原始设备制造商(OEM)和操作系统合作商在一个可共用的框架上扩展和开发自己的安全解决方案。

如图2所示的TrustZone模式下二个并行安全环境的示意图，其中，TrustZone分离了两个并行执行的环境：非安全的普通环境，以及安全可信任的安全环境，监控器控制着安全环境与普通环境之间的转换。

如图3所示的TrustZone通过对CPU架构和内存子系统的硬件设计升级，引入安全区域的概念。

CPU架构上的关键改变之一是增加一个S位，以指明当前系统是否在安全状态下。这个S位不仅可以影响CPU内核和内存子系统，还能影响片内外设的工作。监控器被用来控制系统的安全状态和指令、数据的访问权限。监控器模式通过修改S位实现安全状态和普通状态的切换。作为保卫系统安全的网关，监控器模式还负责保存当前的上下文状态。

内存管理的关键改变是通过对一个增强的内存子系统CACHE和MMU增加相应的控制逻辑实现。所有CACHE内部的数据读被标记为安全或者普通，该标记和S位联合进行动态验证，以确保仅得到授权的操作可以访问标记为安全的数据；在安全状态下可通过使用不同页表精确定义安全存储区域。根据应用需要，TrustZone还可以将安全性扩展到系统其他层次的内存和外设上。内核会把代码对内存和外设的访问发送到AMBA总线上，安全监控代码根据系统是否处于安全状态决定S位的设置。TrustZone将S位用于整个系统框架下的安全性控制。

基于图2和图3及对应的描述，TrustZone有两种工作模式，一种是正常模式(Normal World)，可以执行终端指令，称为REE(Rich ExecutionEnvironment，应用运行环境)，另一种模式就是安全模式(secure world)，只能执行受信指令，成为TEE(Trusted Execution Environment，可信执行环境)。

图4为本发明实施例中防止后台恶意程序独立运行的方法的流程示意图，如图4所示，该方法包括：

步骤41，当接收到触控的调用请求后，通过REE系统中的TEE触控模块库向TEE系统发出所述调用请求。

在本步骤中，当用户点击屏幕或按键后，REE系统中的内核驱动接收用户触控事件，内核驱动包括TEE触控模块库，通过TEE触控模块库向TEE系统发出用户触控事件对应的调用请求。

步骤42，TEE系统采用加密算法，生成调用请求的私钥(PriKey)，并向TEE触控模块库返回所述PriKey。

在本步骤中，TEE系统采用加密算法生成调用请求的PriKey，并向TEE触控模块库返回所述PriKey，其中所述加密算法可以为AES(AdvancedEncryption Standard，高级加密标准)，当然还有其他的加密算法，在此不做限制。

步骤43，TEE触控模块库通过TEE应用模块库判断PriKey是否有效，如果有效，进入步骤44；如果无效，进入步骤45。

在本步骤中，TEE触控模块库将调用请求的PriKey传送给TEE应用模块库，TEE应用模块库的专用接口使用预先获取的公钥(PubKey)对所述PriKey进行验证，判断判断PriKey是否有效。

步骤44，从所述TEE应用模块库中获取请求调用的应用程序执行所述应用程序。

在本步骤中，如果有效，所述调用请求合法，从TEE应用模块库中获取请求调用的应用程序，并执行所述应用程序。

步骤45，驳回调用请求。

在本步骤中，如果无效，所述调用请求不合法，驳回调用请求，不允许从TEE应用模块库中获取请求调用的应用程序。

图5为本发明实施例中防止后台恶意程序独立运行的装置示意图。如图5所示，该装置包括：

REE系统和TEE系统，其中REE系统包括内核驱动和应用模块，其中内核驱动包括TEE触控模块库，应用模块连接TEE应用模块库；

当用户点击屏幕或按键后，REE系统中的内核驱动接收触控事件，内核驱动包括TEE触控模块库，通过TEE触控模块库向TEE系统发出用户触控事件对应的调用请求；

TEE系统采用加密算法生成调用请求的PriKey，并向TEE触控模块库返回所述PriKey；

TEE触控模块库将调用请求的PriKey传送给TEE应用模块库，TEE应用模块库的专用接口使用预先获取的PubKey对所述PriKey进行验证，判断判断PriKey是否有效；

如果有效，从TEE应用模块库中获取请求调用的应用程序执行所述应用程序；

如果无效，驳回调用请求。

本发明利用TrustZone系统的封闭特性，保证加密算法的安全；利用触摸屏的物理中断触发特性，并改造TP驱动，使每次真实触控屏幕时，都会由TEE的安全算法产生一组安全密钥PriKey；应用程序再利用这组密钥，实现“第二次安全认证”，达到保护程序的安全调用目的。

此外，只要应用模块或平台系统对安全性有要求，每一次物理触控操作都可以实施安全认证，每次生成PriKey都可以不同，TEE应用模块库和TEE触控模块库可以对每一次生成的Prikey进行区分，这样就可以应用到更多的应用场景中。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.一种防止后台恶意程序独立运行的方法，其特征在于，所述方法应用于采用TrustZone的系统，所述采用TrustZone的系统包括应用运行环境REE和可信执行环境TEE两种工作模式，其中所述方法包括：

当REE系统接收到触控的调用请求后，向TEE系统发出所述调用请求；

TEE系统采用加密算法，生成调用请求的私钥，并将所述私钥返回REE系统；

如果REE系统通过预先获取的公钥判断所述私钥有效，则执行请求调用的应用程序。

2.根据权利要求1所述的防止后台恶意程序独立运行的方法，其特征在于，所述当REE系统接收到触控的调用请求后，向TEE系统发出所述调用请求，包括：

REE系统的内核驱动接收用户触控事件，所述内核驱动包括TEE触控模块库，通过所述TEE触控模块库向TEE系统发出用户触控事件对应的调用请求。

3.根据权利要求2所述的防止后台恶意程序独立运行的方法，其特征在于，所述TEE系统采用加密算法，生成调用请求的私钥，并将所述私钥返回REE系统，包括：

所述TEE系统采用高级加密标准算法，生成调用请求的私钥，并将所述私钥返回所述REE系统中的TEE触控模块库，并逐层上报给REE系统应用模块。

4.根据权利要求3所述的防止后台恶意程序独立运行的方法，其特征在于，所述方法还包括：

所述TEE触控模块库将所述私钥传送给TEE应用模块库，所述TEE应用模块库使用预先获取的公钥对所述私钥进行验证，判断PriKey是否有效。

5.根据权利要求4所述的防止后台恶意程序独立运行的方法，其特征在于，所述如果REE系统通过预先获取的公钥判断所述私钥有效，则执行请求调用的应用程序，包括：

如果所述TEE应用模块库使用预先获取的公钥对所述私钥验证通过，则所述私钥有效，从所述TEE应用模块库中获取请求调用的应用程序，并执行所述应用程序。

6.一种防止后台恶意程序独立运行的装置，其特征在于，所述装置应用于采用TrustZone的系统，所述采用TrustZone的系统包括应用运行环境REE和可信执行环境TEE两种工作模式，其中所述装置包括：

REE系统，用于接收到触控的调用请求后，向TEE系统发出所述调用请求；

TEE系统，用于采用加密算法，生成调用请求的私钥，并将所述私钥返回REE系统；

REE系统，还用于通过预先获取的公钥判断所述私钥有效，则执行请求调用的应用程序。

7.根据权利要求6所述的防止后台恶意程序独立运行的装置，其特征在于，所述REE系统包括内核驱动，所述内核驱动设有TEE触控模块库；

所述REE系统，具体用于：

当内核驱动接收用户触控事件，通过所述TEE触控模块库向TEE系统发出用户触控事件对应的调用请求。

8.根据权利要求7所述的防止后台恶意程序独立运行的装置，其特征在于，所述TEE系统，具体用于：

采用高级加密标准算法，生成调用请求的私钥，并将所述私钥返回所述TEE触控模块库。

9.根据权利要求8所述的防止后台恶意程序独立运行的装置，其特征在于，所述REE系统还包括TEE应用模块库；

所述REE系统，还用于：

所述TEE触控模块库将所述私钥传送给TEE应用模块库，所述TEE应用模块库使用预先获取的公钥对所述私钥进行验证，判断判断PriKey是否有效。

10.根据权利要求9所述的防止后台恶意程序独立运行的装置，其特征在于，所述REE系统，还用于：

如果所述TEE应用模块库使用预先获取的公钥对所述私钥验证通过，则所述私钥有效，从所述TEE应用模块库中获取请求调用的应用程序，并执行所述应用程序。