CN114036527B - 一种代码注入方法、代码运行端、代码注入端及相关设备 - Google Patents
一种代码注入方法、代码运行端、代码注入端及相关设备 Download PDFInfo
- Publication number
- CN114036527B CN114036527B CN202111300300.8A CN202111300300A CN114036527B CN 114036527 B CN114036527 B CN 114036527B CN 202111300300 A CN202111300300 A CN 202111300300A CN 114036527 B CN114036527 B CN 114036527B
- Authority
- CN
- China
- Prior art keywords
- code
- trusted
- remote authentication
- execution environment
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种代码注入方法,应用于代码运行端,包括:通过远程认证机构对代码注入端进行远程认证;若远程认证通过,则利用远程认证密钥与所述代码注入端进行密钥协商得到完整密钥;利用所述完整密钥建立安全传输通道,并利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境;在所述可信执行环境下运行所述可信代码,本申请能够提高代码注入过程的安全性和效率。本申请还公开了一种代码运行端、代码注入端、存储介质和电子设备,具有以上有益效果。
Description
技术领域
本申请涉及信息安全技术领域,特别涉及一种代码注入方法、代码运行端、代码注入端及相关设备。
背景技术
随着B/S(Browser/Server,浏览器/服务器)模式应用开发的发展,用户可以通过注入代码的方式提交一段数据库查询代码,以便根据程序返回的结果获取想要得知的数据。在实际应用中,用户通过代码注入以改变或者调试某程序(或系统)的行为,使其以某种方式表现其行为,已完成程序测试。
相关技术中,通常将注入的目标文件放置REE(Rich execution environment,一般执行环境)侧,再通过共享内存将目标文件加载至TEE(Trusted executionenvironment,可信执行环境)侧进行文件解析,上述方式无法安全验证放置目标文件方的有效身份,且代码注入效率较低。
因此,如何提高代码注入过程的安全性和效率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种代码注入方法、代码运行端、代码注入端、存储介质和电子设备,能够提高代码注入过程的安全性和效率。
为解决上述技术问题,本申请提供一种代码注入方法,应用于代码运行端,包括:
通过远程认证机构对代码注入端进行远程认证;
若远程认证通过,则利用远程认证密钥与所述代码注入端进行密钥协商得到完整密钥;
利用所述完整密钥建立安全传输通道,并利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境;
在所述可信执行环境下运行所述可信代码。
可选的,在所述可信执行环境下运行所述可信代码之后,还包括:
判断所述可信代码的目标位置是否添加临时存储标识;
若是,则卸载所述可信代码。
可选的,在所述可信执行环境下运行所述可信代码之后,还包括:
将所述可信代码的运行结果返回至所述代码注入端。
可选的,在利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境之后,还包括:
对所述可信代码进行代码验证操作;
若所述可信代码通过代码验证操作,则执行在所述可信执行环境下运行所述可信代码的步骤。
本申请还提供了一种代码注入方法,应用于代码注入端,包括:
通过远程认证机构对代码运行端进行远程认证;
若远程认证通过,则利用远程认证密钥与所述代码运行端进行密钥协商得到完整密钥;
利用所述完整密钥建立安全传输通道;
利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境,以便所述代码运行端在所述可信执行环境下运行所述可信代码。
可选的,在利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境之前,还包括:
在所述可信代码的目标位置添加临时存储标识,以便所述代码运行端在所述可信执行环境下运行所述可信代码后卸载所述可信代码。
本申请还提供了一种代码运行端,包括:
第一认证模块,用于通过远程认证机构对代码注入端进行远程认证;
第一密钥组合模块,用于若远程认证通过,则利用远程认证密钥与所述代码注入端进行密钥协商得到完整密钥;
代码接收模块,用于利用所述完整密钥建立安全传输通道,并利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境;
代码执行模块,用于在所述可信执行环境下运行所述可信代码。
本申请还提供了一种代码注入端,包括:
第二认证模块,用于通过远程认证机构对代码运行端进行远程认证;
第二密钥组合模块,用于若远程认证通过,则利用远程认证密钥与所述代码运行端进行密钥协商得到完整密钥;
通道建立模块,用于利用所述完整密钥建立安全传输通道;
代码注入模块,用于利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境,以便所述代码运行端在所述可信执行环境下运行所述可信代码。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述代码注入方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述代码注入方法执行的步骤。
本申请提供了一种代码注入方法,应用于代码运行端,包括:通过远程认证机构对代码注入端进行远程认证;若远程认证通过,则利用远程认证密钥与所述代码注入端进行密钥协商得到完整密钥;利用所述完整密钥建立安全传输通道,并利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境;在所述可信执行环境下运行所述可信代码。
本申请在远程认证机构的远程认证通过后,通过与代码注入端进行密钥协商得到完整密钥,并利用该完整密钥建立安全传输通道,利用安全传输通道将可信代码传输至代码运行端的可信执行环境中,进而在代码运行端的可信执行环境下运行可信代码。上述过程通过远程认证建立安全通道,进而基于可信执行环境实现可信代码远程动态注入,无需将可信代码注入一般执行环境,因而能够提高代码注入过程的安全性和效率。本申请同时还提供了一种代码运行端、代码注入端、存储介质和电子设备,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种代码注入方法的流程图;
图2为本申请实施例所提供的另一种代码注入方法的流程图;
图3为本申请实施例所提供的一种基于TEE的可信代码远程动态注入方案的架构图;
图4为本申请实施例所提供的一种基于TEE的可信代码远程动态注入方案的交互流程示意图;
图5为本申请实施例所提供的一种代码运行端的结构示意图;
图6为本申请实施例所提供的一种代码注入端的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种代码注入方法的流程图。
具体步骤可以包括:
S101:通过远程认证机构对代码注入端进行远程认证;
其中,本实施例可以应用于代码注入系统中的代码运行端,代码注入系统控制包括远程认证机构、代码运行端和代码注入端。远程认证机构用于校验代码注入端和代码运行端双方的合法性;代码注入端指编写可信代码的终端,代码注入端需要将可信代码注入到代码运行端运行;代码运行端用于接收注入的可信代码,并运行注入的可信代码。
在本步骤中先通过远程认证机构对代码注入端进行远程认证,以便判断代码注入端的身份是否合法。此外,本实施例还可以存在通过远程认证机构对代码运行端将进行远程认证的操作。在代码注入端和代码运行端均通过远程认证后,可以继续执行S102~S104的相关操作。
S102:若远程认证通过,则利用远程认证密钥与所述代码注入端进行密钥协商得到完整密钥;
其中,本实施例得到的完整密钥具体指安全通道密钥,远程认证通过后,在远程认证密钥的保护下,本实施例可以利用密钥协商算法,通过代码注入端和代码运行端产生的两部分数据进行密钥协商计算得到完整密钥。具体的,本步骤之前还可以存在代码注入端和代码运行端分别协商密钥的操作,可以将代码注入端的一部分数据作为注入端密钥协商数据,将代码运行端的一部分数据作为运行端密钥协商数据,代码注入端和代码运行端分别基于上述数据进行密钥协商,将协商后密钥组合得到完整密钥。
S103:利用所述完整密钥建立安全传输通道,并利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境;
其中,在得到完整密钥之后,可以基于交换密钥机制利用该完整密钥建立加密的安全传输通道。代码注入端可以将可信代码通过安全传输通道远程注入至代码运行端的可信执行环境(Trusted Execution Environment,TEE);相应的,代码运行端可以利用上述安全传输通道将代码注入端远程注入的可信代码接收至可信执行环境。
进一步的,代码注入端可以动态地向代码运行端的可信执行环境注入可信代码,无需经由一般执行环境将可信代码通过共享内存传输至可信执行环境,因此能够实现高效率的动态代码注入。
S104:在所述可信执行环境下运行所述可信代码。
其中,在将可信代码存储至代码运行端的可信执行环境后,可以在可信执行环境下运行可信代码。上述代码运行过程在可信执行环境中实现,可信执行环境能够保证代码执行过程的安全性。
本实施例在远程认证机构的远程认证通过后,通过与代码注入端进行密钥协商得到完整密钥,并利用该完整密钥建立安全传输通道,利用安全传输通道将可信代码传输至代码运行端的可信执行环境中,进而在代码运行端的可信执行环境下运行可信代码。上述过程通过远程认证建立安全通道,进而基于可信执行环境实现可信代码远程动态注入,无需将可信代码注入一般执行环境,因而能够提高代码注入过程的安全性和效率。
作为对于图1对应实施例的进一步介绍,在所述可信执行环境下运行所述可信代码之后,还可以判断所述可信代码的目标位置是否添加临时存储标识;若是,则卸载所述可信代码。
具体的,若可信代码的目标位置添加有临时存储标识,则说明该代码为临时存储,可以在运行可信代码后卸载上述可信代码。若可信代码的目标位置未添加临时存储标识,则说明该代码可以永久存储。通过上述方式能够对敏感的可信代码运行后立即删除,解决了敏感代码泄露的安全问题。
作为一种可行的实施方式,在所述可信执行环境下运行所述可信代码之后,还可以将所述可信代码的运行结果返回至所述代码注入端。具体的可以将上述运行结果通过安全传输通道返回至代码注入端。
作为一种可行的实施方式,在利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境之后,本实施例可以对所述可信代码进行代码验证操作;若所述可信代码通过代码验证操作,则执行在所述可信执行环境下运行所述可信代码的步骤。若可信代码未通过代码验证操作,则结束流程。
下面请参见图2,图2为本申请实施例所提供的另一种代码注入方法的流程图。
S201:通过远程认证机构对代码运行端进行远程认证;
本实施例可以应用于代码注入系统中的代码注入端,在本步骤中先通过远程认证机构对代码运行端进行远程认证,以便判断代码运行端的身份是否合法。本实施例还可以存在通过远程认证机构对代码注入端将进行远程认证的操作。在代码注入端和代码运行端均通过远程认证后,可以继续执行S202~S204的相关操作。
S202:若远程认证通过,则利用远程认证密钥与所述代码运行端进行密钥协商得到完整密钥;
本实施例中,可以将代码注入端的一部分数据作为注入端密钥协商数据,将代码运行端的一部分数据作为运行端密钥协商数据,代码注入端和代码运行端分别基于上述数据进行密钥协商,将协商后密钥组合得到完整密钥。
S203:利用所述完整密钥建立安全传输通道;
其中,在得到完整密钥之后,可以基于交换密钥机制利用该完整密钥建立加密的安全传输通道。
S204:利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境,以便所述代码运行端在所述可信执行环境下运行所述可信代码。
其中,在将可信代码存储至代码运行端的可信执行环境后,可以在可信执行环境下运行可信代码。上述代码运行过程在可信执行环境中实现,可信执行环境能够保证代码执行过程的安全性。
本实施例在远程认证机构的远程认证通过后,通过与代码注入端进行密钥协商得到完整密钥,并利用该完整密钥建立安全传输通道,利用安全传输通道将可信代码传输至代码运行端的可信执行环境中,进而在代码运行端的可信执行环境下运行可信代码。上述过程通过远程认证建立安全通道,进而基于可信执行环境实现可信代码远程动态注入,无需将可信代码注入一般执行环境,因而能够提高代码注入过程的安全性和效率。
作为一种可行的实施方式,在利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境之前,还可以在所述可信代码的目标位置添加临时存储标识,以便所述代码运行端在所述可信执行环境下运行所述可信代码后卸载所述可信代码。具体的,若可信代码的目标位置添加有临时存储标识,则说明该代码为临时存储,可以在运行可信代码后卸载上述可信代码。若可信代码的目标位置未添加临时存储标识,则说明该代码可以永久存储。通过上述方式能够对敏感的可信代码运行后立即删除,解决了敏感代码泄露的安全问题。
下面通过在实际应用中的实施例说明上述实施例描述的流程。
在常规的代码注入方案中,通常将注入的可信代码放置在代码运行端的REE侧,再通过共享内存将可信代码加载至TEE侧,再由TEE进行文件解析,上述方式无法安全验证放置可信代码的代码运行端的有效身份。进一步的,上述常规的代码诸如方案将可信代码预置在REE侧,由REE侧的加载程序发起加载请求然后将目标文件放入共享内存,这种方式无法实时的远程更新动态加载目标文件。
为解决上述相关技术存在的安全性和及时性问题,本申请提供一种基于TEE的可信代码远程动态注入方案。本方案解决了代码方合法性和安全性问题;同时,本实施例中代码注入是远程实时动态注入的,解决了代码需要提前预置的问题;另外,本实施例中动态代码可以分为长久注入和临时注入,对于敏感代码可以运行后删除,需要存储的代码可以永久存储,解决了敏感代码泄漏的安全问题。
请参见图3,图3为本申请实施例所提供的一种基于TEE的可信代码远程动态注入方案的架构图。代码注入端(又称动态代码注入方)指编写可信代码方,可以将可信代码注入到平台(代码运行端,又称代码运行方)运行。代码运行端可以在可信执行环境TEE中执行注入的可信代码。远程认证机构可以校验代码注入端和代码运行端双方的合法性。动态注入的代码在可信的TEE环境中进行运行,对于敏感代码可以运行后及时清除,对于需要存储的代码可以永久存储。上述基于TEE的可信代码远程动态注入技术通过远程认证建立安全通道,解决了代码方合法性和安全性问题;同时,代码注入是远程实时动态注入的,解决了代码需要提前预置的问题。本实施例中动态代码可以分为长久注入和临时注入,对于敏感代码可以运行后删除,需要存储的代码可以永久存储,解决了敏感代码泄漏的安全问题。
请参见图4,图4为本申请实施例所提供的一种基于TEE的可信代码远程动态注入方案的交互流程示意图。图4中Service表示服务,Service在REE环境下和TEE环境是并行关系;接收到的数据都会先转给Service,再由Service处理后交互给TEE。图4所示的流程包括以下操作:远程认证、建立安全通道、动态代码注入及结果。
具体的,远程认证流程是远程代码注入端和代码接收端相互认证的一个过程,代码注入端和代码接收端会相互生成一个认证密钥,并由远程认证机构签发相应证书。然后远程认证机构会对远程认证报告、可信应用度量值相关数据使用认证密钥进行签名,另一方收到认证密钥证书和远程认证报告、可信应用度量值相关数据签名,会通过远程认证机构验签认证密钥证书,再使用认证密钥公钥验签远程认证报告、可信应用度量值相关数据,从而验证代码注入端和代码接收端的合法性。本实施例基于TEE的可信代码远程动态注入技术会进行远程认证,从而认证代码注入方和运行方两方身份的合法性,保证代码安全注入的前提。
本实施例在远程认证后建立安全通道来保证传输的安全。在远程认证时,代码注入端和代码接收端会相互协商对称密钥。远程认证通过后,使用协商的对称密钥组成完整密钥,后续使用该完整密钥做加密传输,从而建立安全传输通道。
在代码注入流程中,代码注入端会将待注入的代码通过建立的安全通道进行加密传输给代码运行端,同时代码注入端会标注该注入代码是敏感临时存储还是永久存储。代码运行端会解析和验证注入的动态代码,验证安全合法后,解析加载该动态代码;若该动态代码是敏感临时存储则运行完卸载该代码,若永久存储则加载安装该动态代码。运行该动态代码后,可以将运行结果返回给代码注入端。本实施例基于TEE的可信代码远程动态注入技术提供代码临时注入及长久注入两种模式,从而为不同需求的代码提供不同的存储方式。上述代码的即用即删功能避免了敏感代码泄露。本实施例可以在TEE中的RTOS(实时操作系统Real Time Operating System)运行新加载的可信代码,本方案能够实时操作系统添加动态加载应用的功能、使实时操作系统支持用户态。
本实施例提供了一种基于TEE的可信代码远程动态注入方案,可以远程动态注入合法的代码,便于功能的增添和修改,在TEE中的数据流转也确保了代码的安全可信。上述方案实现了在安全传输通道内可认证的远程端向代码接收端完成远程代码动态注入的功能,实现了对TEE环境内代码的高效、安全、实时加载运行功能。
请参见图5,图5为本申请实施例所提供的一种代码运行端的结构示意图,代码运行端包括:
第一认证模块501,用于通过远程认证机构对代码注入端进行远程认证;
第一密钥组合模块502,用于若远程认证通过,则利用远程认证密钥与所述代码注入端进行密钥协商得到完整密钥;
代码接收模块503,用于利用所述完整密钥建立安全传输通道,并利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境;
代码执行模块504,用于在所述可信执行环境下运行所述可信代码。
本实施例在远程认证机构的远程认证通过后,通过与代码注入端进行密钥协商得到完整密钥,并利用该完整密钥建立安全传输通道,利用安全传输通道将可信代码传输至代码运行端的可信执行环境中,进而在代码运行端的可信执行环境下运行可信代码。上述过程通过远程认证建立安全通道,进而基于可信执行环境实现可信代码远程动态注入,无需将可信代码注入一般执行环境,因而能够提高代码注入过程的安全性和效率。
进一步的,还包括:
卸载模块,用于在所述可信执行环境下运行所述可信代码之后,判断所述可信代码的目标位置是否添加临时存储标识;若是,则卸载所述可信代码。
进一步的,还包括:
结构返回模块,用于在所述可信执行环境下运行所述可信代码之后,将所述可信代码的运行结果返回至所述代码注入端。
进一步的,还包括:
验证模块,用于在利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境之后,对所述可信代码进行代码验证操作;
若所述可信代码通过代码验证操作,则执行在所述可信执行环境下运行所述可信代码的步骤。
请参见图6,图6为本申请实施例所提供的一种代码注入端的结构示意图,该代码注入端包括:
第二认证模块601,用于通过远程认证机构对代码运行端进行远程认证;
第二密钥组合模块602,用于若远程认证通过,则利用远程认证密钥与所述代码运行端进行密钥协商得到完整密钥;
通道建立模块603,用于利用所述完整密钥建立安全传输通道;
代码注入模块604,用于利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境,以便所述代码运行端在所述可信执行环境下运行所述可信代码。
本实施例在远程认证机构的远程认证通过后,通过与代码注入端进行密钥协商得到完整密钥,并利用该完整密钥建立安全传输通道,利用安全传输通道将可信代码传输至代码运行端的可信执行环境中,进而在代码运行端的可信执行环境下运行可信代码。上述过程通过远程认证建立安全通道,进而基于可信执行环境实现可信代码远程动态注入,无需将可信代码注入一般执行环境,因而能够提高代码注入过程的安全性和效率。
进一步的,还包括:
标识添加模块,用于在利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境之前,在所述可信代码的目标位置添加临时存储标识,以便所述代码运行端在所述可信执行环境下运行所述可信代码后卸载所述可信代码。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种代码注入方法,其特征在于,应用于代码运行端,包括:
通过远程认证机构对代码注入端进行远程认证;
若远程认证通过,则利用远程认证密钥与所述代码注入端进行密钥协商得到完整密钥;
利用所述完整密钥建立安全传输通道,并利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境;
在所述可信执行环境下运行所述可信代码。
2.根据权利要求1所述代码注入方法,其特征在于,在所述可信执行环境下运行所述可信代码之后,还包括:
判断所述可信代码的目标位置是否添加临时存储标识;
若是,则卸载所述可信代码。
3.根据权利要求1所述代码注入方法,其特征在于,在所述可信执行环境下运行所述可信代码之后,还包括:
将所述可信代码的运行结果返回至所述代码注入端。
4.根据权利要求1所述代码注入方法,其特征在于,在利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境之后,还包括:
对所述可信代码进行代码验证操作;
若所述可信代码通过代码验证操作,则执行在所述可信执行环境下运行所述可信代码的步骤。
5.一种代码注入方法,其特征在于,应用于代码注入端,包括:
通过远程认证机构对代码运行端进行远程认证;
若远程认证通过,则利用远程认证密钥与所述代码运行端进行密钥协商得到完整密钥;
利用所述完整密钥建立安全传输通道;
利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境,以便所述代码运行端在所述可信执行环境下运行所述可信代码。
6.根据权利要求5所述代码注入方法,其特征在于,在利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境之前,还包括:
在所述可信代码的目标位置添加临时存储标识,以便所述代码运行端在所述可信执行环境下运行所述可信代码后卸载所述可信代码。
7.一种代码运行端,其特征在于,包括:
第一认证模块,用于通过远程认证机构对代码注入端进行远程认证;
第一密钥组合模块,用于若远程认证通过,则利用远程认证密钥与所述代码注入端进行密钥协商得到完整密钥;
代码接收模块,用于利用所述完整密钥建立安全传输通道,并利用所述安全传输通道将所述代码注入端远程注入的可信代码接收至可信执行环境;
代码执行模块,用于在所述可信执行环境下运行所述可信代码。
8.一种代码注入端,其特征在于,包括:
第二认证模块,用于通过远程认证机构对代码运行端进行远程认证;
第二密钥组合模块,用于若远程认证通过,则利用远程认证密钥与所述代码运行端进行密钥协商得到完整密钥;
通道建立模块,用于利用所述完整密钥建立安全传输通道;
代码注入模块,用于利用所述安全传输通道将可信代码加密传输至所述代码运行端的可信执行环境,以便所述代码运行端在所述可信执行环境下运行所述可信代码。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至6任一项所述代码注入方法的步骤。
10.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至6任一项所述代码注入方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111300300.8A CN114036527B (zh) | 2021-11-04 | 2021-11-04 | 一种代码注入方法、代码运行端、代码注入端及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111300300.8A CN114036527B (zh) | 2021-11-04 | 2021-11-04 | 一种代码注入方法、代码运行端、代码注入端及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114036527A CN114036527A (zh) | 2022-02-11 |
| CN114036527B true CN114036527B (zh) | 2023-01-31 |
Family
ID=80142800
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111300300.8A Active CN114036527B (zh) | 2021-11-04 | 2021-11-04 | 一种代码注入方法、代码运行端、代码注入端及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114036527B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6167521A (en) * | 1997-08-29 | 2000-12-26 | International Business Machines Corporation | Securely downloading and executing code from mutually suspicious authorities |
| US7904419B1 (en) * | 2000-12-08 | 2011-03-08 | Teradata Us, Inc. | Managing allocation of temporary and permanent files in a database system |
| CN109657764A (zh) * | 2018-10-22 | 2019-04-19 | 北京握奇智能科技有限公司 | 一种tee环境下生成二维码的方法及系统 |
| US10601590B1 (en) * | 2017-11-09 | 2020-03-24 | Amazon Technologies, Inc. | Secure secrets in hardware security module for use by protected function in trusted execution environment |
| CN112288435A (zh) * | 2020-11-20 | 2021-01-29 | 天翼电子商务有限公司 | 一种支持可信执行环境的智能合约执行方法 |
| CN113343234A (zh) * | 2021-06-10 | 2021-09-03 | 支付宝(杭州)信息技术有限公司 | 对代码安全性进行可信检查的方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10897459B2 (en) * | 2017-01-26 | 2021-01-19 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment using encryption key |
| US10419402B2 (en) * | 2017-01-26 | 2019-09-17 | Microsoft Technology Licensing, Llc | Addressing a trusted execution environment using signing key |
| US10601828B2 (en) * | 2018-08-21 | 2020-03-24 | HYPR Corp. | Out-of-band authentication based on secure channel to trusted execution environment on client device |
-
2021
- 2021-11-04 CN CN202111300300.8A patent/CN114036527B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6167521A (en) * | 1997-08-29 | 2000-12-26 | International Business Machines Corporation | Securely downloading and executing code from mutually suspicious authorities |
| US7904419B1 (en) * | 2000-12-08 | 2011-03-08 | Teradata Us, Inc. | Managing allocation of temporary and permanent files in a database system |
| US10601590B1 (en) * | 2017-11-09 | 2020-03-24 | Amazon Technologies, Inc. | Secure secrets in hardware security module for use by protected function in trusted execution environment |
| CN109657764A (zh) * | 2018-10-22 | 2019-04-19 | 北京握奇智能科技有限公司 | 一种tee环境下生成二维码的方法及系统 |
| CN112288435A (zh) * | 2020-11-20 | 2021-01-29 | 天翼电子商务有限公司 | 一种支持可信执行环境的智能合约执行方法 |
| CN113343234A (zh) * | 2021-06-10 | 2021-09-03 | 支付宝(杭州)信息技术有限公司 | 对代码安全性进行可信检查的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114036527A (zh) | 2022-02-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110784491B (zh) | 一种物联网安全管理系统 | |
| US11258792B2 (en) | Method, device, system for authenticating an accessing terminal by server, server and computer readable storage medium | |
| KR100463736B1 (ko) | 보안 환경에서의 이동 통신 장치 소프트웨어의 디버깅 및테스팅 허가 방법 | |
| CN110858249B (zh) | 一种数据库文件加密方法、解密方法和相关装置 | |
| US8495383B2 (en) | Method for the secure storing of program state data in an electronic device | |
| CN107743067B (zh) | 数字证书的颁发方法、系统、终端以及存储介质 | |
| CN111708991A (zh) | 服务的授权方法、装置、计算机设备和存储介质 | |
| US20050149722A1 (en) | Session key exchange | |
| CN106936588B (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN111541542B (zh) | 请求的发送和验证方法、装置及设备 | |
| KR20150059347A (ko) | 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 | |
| CN104426659A (zh) | 动态口令生成方法、认证方法及系统、相应设备 | |
| CN115664655A (zh) | 一种tee可信认证方法、装置、设备及介质 | |
| CN110838919A (zh) | 通信方法、存储方法、运算方法及装置 | |
| CN114036527B (zh) | 一种代码注入方法、代码运行端、代码注入端及相关设备 | |
| CN117240473A (zh) | 电子合同签署方法、装置、电子设备和存储介质 | |
| Kern et al. | Integrating privacy into the electric vehicle charging architecture | |
| CN108429621B (zh) | 一种身份验证方法及装置 | |
| CN116680687A (zh) | 数据处理方法、装置、设备和存储介质 | |
| KR101711024B1 (ko) | 부정조작방지 장치 접근 방법 및 그 방법을 채용한 단말 장치 | |
| CN115795446A (zh) | 在可信计算平台中处理数据的方法及管理装置 | |
| US11550932B2 (en) | Method for a terminal to acquire and access data | |
| CN115348077A (zh) | 一种虚拟机加密方法、装置、设备、存储介质 | |
| CN114640491A (zh) | 通信方法和系统 | |
| KR20070081363A (ko) | 디바이스에서 drm 컨텐츠를 로밍하여 사용하는 방법 및장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 571924 building 8848, Walker Park, Hainan Ecological Software Park, Laocheng high tech industry demonstration zone, Hainan Province Applicant after: Yunhai Chain Holdings Co., Ltd. Address before: 571924 building 8848, Walker Park, Hainan Ecological Software Park, Laocheng high tech industry demonstration zone, Hainan Province Applicant before: Hainan Nanhai cloud Holding Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |