WO2019233022A1

WO2019233022A1 - 防回滚方法及系统

Info

Publication number: WO2019233022A1
Application number: PCT/CN2018/113152
Authority: WO
Inventors: 蒋培福; 朱朋光; 曹锜; 万勇
Original assignee: 晶晨半导体(上海)股份有限公司
Priority date: 2018-06-06
Filing date: 2018-10-31
Publication date: 2019-12-12
Also published as: CN108985049A

Abstract

一种防回滚方法及系统，涉及软件安全领域。所述防回滚方法提供一存储单元(1)，用以存储应用程序的第一版本号的版本表单；所述防回滚方法包括下述步骤：获取所述应用程序的第二版本号；将所述第二版本号与所述存储单元中与所述应用程序关联的版本表单中的最小第一版本号的进行比较，当所述第二版本号小于所述最小第一版本号时，禁止所述应用程序加载。通过存储单元存储应用程序的版本表单，以保证在应用程序加载时依据版本表单检测待加载应用程序的安全性，实现在发现漏洞或安全隐患的情况下能够禁止应用程序加载的目的。

Description

防回滚方法及系统

技术领域

本发明涉及软件安全领域，尤其涉及一种应用程序的防回滚方法及系统。

背景技术

网络安全问题越来越受到大众的关注。随着网络技术的发展，家庭多媒体系统、手机等智能系统的普及，通过家庭多媒体系统或电脑手机进行在线购物，缴纳家庭水电费用，购买播放数字影音作品等新型消费购物方式已经逐渐走入了家庭生活。因而移动终端的安全问题越来越受到重视，目前主流的家庭多媒体系统和手机平板等移动终端系统中，普遍采用了ARM(全称：Advanced RISC Machines)处理器的TrustZone技术构建可信执行环境(Trusted execution environment，简称TEE)，让在线支付、数字版权管理(Digital Rights Management，简称DRM)播放等作为可信应用程序(Trusted Application，简称TA)在TEE环境中执行，增强其安全性。其中，TrustZone技术是系统范围的安全方法，针对高性能计算平台上的大量应用，包括安全支付、DRM、企业服务和基于Web的服务。

现有的一些系统中，其可信应用程序存在如下的安全问题：

1)某些系统上，可信应用程序固化在系统上，无法通过更新应用程序的手段来修补漏洞，若应用发现安全问题，那么这类问题无法通过升级方式修复，只能系统返厂；

2)某些系统上，可信应用程序虽然支持后续版本升级，不过不支持版本防回滚机制，这样破坏者能够用旧版本的可信应用程序版本替换新版本，从而绕过漏洞修复，对用户信息安全造成危害。

发明内容

针对可通过将有问题的旧版本的软件重新刷回系统从而危害用户个人信息安全的问题，现提供一种旨在实现当发现漏洞或安全隐患的情况下能够禁止应用程序加载保证用户信息安全的防回滚方法及系统。

本发明提供了一种防回滚方法，提供一存储单元，用以存储应用程序的第一版本号的版本表单；所述防回滚方法包括下述步骤：

获取所述应用程序的第二版本号；

将所述第二版本号与所述存储单元中与所述应用程序关联的版本表单中的最小第一版本号的进行比较，当所述第二版本号小于所述最小第一版本号时，禁止所述应用程序加载。

优选的，所述存储单元采用嵌入式多媒体存储卡，所述版本表单存储于所述嵌入式多媒体存储卡支持回放保护的物理分区中。

优选的，获取所述应用程序的第二版本号之前，还包括：

验证所述应用程序的签名，若通过验证则获取所述应用程序的第二版本号；若验证失败则禁止所述应用程序加载。

优选的，采用非对称加密算法，和/或安全散列算法验证所述应用程序的签名。

优选的，当所述第二版本号大于所述最小第一版本号时，则更新所述版本表单，将所述第二版本号更新为所述最小第一版本号，允许所述应用程序加载。

优选的，获取所述应用程序的第二版本号之前还包括：

触发所述应用程序在可信执行环境加载。

本发明还提供了一种防回滚的系统，包括：

存储单元，用以存储应用程序的第一版本号的版本表单；

获取单元，用以获取所述应用程序的第二版本号；

处理单元，连接所述获取单元和所述存储单元，用以将所述第二版本号与所述存储单元中与所述应用程序关联的版本表单中的最小第一版本号的进行比较，当所述第二版本号小于所述最小第一版本号时，禁止所述应用程序加载。

优选的，还包括：

验证单元，连接所述获取单元，用以验证所述应用程序的签名。

优选的，还包括：

更新单元，连接所述处理单元，当所述第二版本号大于所述最小第一版本号时，所述更新单元用以更新所述版本表单，将所述第二版本号更新为所述最小第一版本号，允许所述应用程序加载。

上述技术方案的有益效果：

本技术方案中，通过存储单元存储应用程序的版本表单，以保证在应用程序加载时依据版本表单检测待加载应用程序的安全性，实现在发现漏洞或安全隐患的情况下能够禁止应用程序加载的目的。

附图说明

图1为本发明所述的防回滚方法的方法流程图；

图2为本发明所述的防回滚的系统的一种实施例的模块图；

图3为本发明所述的防回滚的系统的一种实施例的工作原理图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。

如图1所示，一种防回滚方法，提供一存储单元，用以存储应用程序的第一版本号的版本表单(即：版本表格Version Table，简称VT)；该方法包括：

步骤S1.获取应用程序的第二版本号；

步骤S2.将第二版本号与存储单元中与应用程序关联的版本表单中的最小第一版本号的进行比较，当第二版本号小于最小第一版本号时，禁止应用程序加载。

需要说明的是，在本实施例中与存储于版本表单中的第一版本号对应的应用程序为可信应用程序。可信应用程序的头信息中携带可信应用程序的第二版本号(又称当前版本号Current Version Number，简称CVN)，该头信息会和可信应用程序的负载一起被签名。

进一步地，存储单元采用嵌入式多媒体存储卡(Embedded Multi Media Card，简称EMMC)，版本表单存储于嵌入式多媒体存储卡支持回放保护的物理分区(Replay Protected Memory Block，简称RPMB)中。其中，RPMB是EMMC上支持回放保护的特殊分区。存储单元存储无安全隐患的应用程序的版本表单。

可信应用程序的版本表单保存在EMMC的RPMB分区中，通过RPMB技术从硬件层面确保了数据的完整性，外部无法对存储的版本表单进行篡改，保证版本表单中数据的真实可靠。

在本实施例中，通过存储单元存储应用程序的版本表单，以保证在应用程序加载时依据版本表单检测待加载应用程序的安全性，实现在发现漏洞或安全隐患的情况下能够禁止应用程序加载的目的。

在优选的实施例中，在执行步骤S1获取应用程序的第二版本号之前，还包括：

步骤A.验证应用程序的签名，若通过验证则获取应用程序的第二版本号；若验证失败则禁止应用程序加载。

进一步地，可采用非对称加密算法(RSA)，和/或安全散列算法验证应用程序的签名。

作为一种较为优选的实施例，可采用非对称加密RSA-2048算法进行验证；还可采用安全散列算法(又称哈希函数SHA256)进行验证。从而保证验证的安全可靠，能够确保可信应用程序头信息及可信应用程序负载的完整性和真实性，保证包含在可信应用程序头信息中的第二版号不会被外部篡改。

在优选的实施例中，在执行步骤S1获取应用程序的第二版本号之前还包括：

步骤B.触发应用程序在可信执行环境加载。

具体应用时可信应用程序可通过其他应用程序触发加载，由富执行环境(Rich Execute Environment，简称REE)转为TEE环境中加载。可信应用程序的版本检测过程在TEE环境中完成，以保证整个检查过程无法被外部劫持或更改。

其中，REE环境一般指Linux、Android等操作系统。

在优选的实施例中，当第二版本号大于最小第一版本号时，则更新版本表单，将第二版本号更新为最小第一版本号(Minimum Version Number，简称MVN)，允许应用程序加载。

在本实施例中，版本号的比较是在TEE环境下进行的，从可信应用程序头信息获取可信应用程序的CVN；从EMMC的RPMB分区读取可信应用程序的版本表格，通过可信应用程序的通用唯一识别码(Universally Unique Identifier，简称UUID)检索到可信应用程序的MVN。对CVN和MVN进行比对，若CVN等于MVN，允许可信应用程序加载；若CVN大于MVN，安全系统会设置可信应用程序的MVN为CVN，并更新版本表单，版本检查通过，允许可信应用程序加载，可信应用程序正常运行。

当可信应用程序的CVN小于MVN时，版本检查失败，禁止可信应用程序加载，返回错误信息，可信应用程序加载失败。

如图2所示，本发明还提供了一种防回滚的系统，包括：

存储单元1，用以存储应用程序的第一版本号的版本表单；

获取单元3，用以获取应用程序的第二版本号；

处理单元2，连接获取单元3和存储单元1，用以将第二版本号与存储单元1中与应用程序关联的版本表单中的最小第一版本号的进行比较，当第二版本号小于最小第一版本号时，禁止应用程序加载。

进一步地，存储单元1采用嵌入式多媒体存储卡，版本表单存储于嵌入式多媒体存储卡支持回放保护的物理分区中。

在实际应用时，防回滚的系统可以是移动终端。存储单元1采用嵌入式多媒体存储卡，版本表单存储于嵌入式多媒体存储卡支持回放保护的物理分区中。

在优选的实施例中，还包括：

验证单元5，连接获取单元3，用以验证应用程序的签名。

进一步地，可采用非对称加密算法，和/或安全散列算法验证应用程序的签名。

作为一种较为优选的实施例，可采用非对称加密RSA-2048算法进行验证；还可采用安全散列算法进行验证。从而保证验证的安全可靠，能够确保可信应用程序头信息及可信应用程序负载的完整性和真实性，保证包含在可信应用程序头信息中的第二版号不会被外部篡改。

在优选的实施例中，还包括：

更新单元4，连接处理单元2，当第二版本号大于最小第一版本号时，更新单元4用以更新版本表单，将第二版本号更新为最小第一版本号，允许应用程序加载。

在本实施例中，版本号的比较是在TEE环境下进行的，对CVN和MVN进行比对，若CVN等于MVN，允许可信应用程序加载；若CVN大于MVN，安全系统会设置可信应用程序的MVN为CVN，并更新版本表单，版本检查通过，允许可信应用程序加载，可信应用程序正常运行。

可信应用程序可被其他应用程序(如：客户端程序，Client Application，简称CA，CA运行在REE环境中)触发加载，作为举例而非限定，例如：可信应用程序TA为支付应用程序，客户端程序CA为电费查询应用程序。当用户需要通过嵌入有Secure OS安全系统的移动终端交纳电费时，利用电费查询程序查询需交纳的电费，可通过电费查询程序触发支付应用程序在TEE环境中加载，该安全系统将支付应用程序的当前版本号与存储单元中的版本号进行比对，只有当前程序版本号大于或等于存储单元中的版本号时，支付应用程序才会加载成功，实现支付功能，通过存储单元中的该应用版本号会同步更新；否则加载失败。这种机制可以保证过时的支付应用程序无法正常加载运行，防止支付应用程序的版本回滚。

在实际操作时，可信应用程序可运行于Secure OS安全系统中由富执行环境转为TEE环境中加载。可信应用程序的版本检测过程在TEE环境中完成，以保证整个检查过程无法被外部劫持或更改。参考图3所示，具体如下：

CA客户端程序：tee_demo

TA可信应用程序：8aaaf200-2450-11e4-abe2-0002a5d5c51b.ta

TA UUID:8aaaf200-2450-11e4-abe2-0002a5d5c51b

TA MVN:1

TA CVN:2

如图3所示，TA可信应用程序具体版本检查实施过程如下：

步骤1：CA客户端程序tee_demo从REE环境发起请求，触发TA可信应用程序加载，从REE环境加载8aaaf200-2450-11e4-abe2-0002a5d5c51b.ta到TEE环境中；

步骤2：TEE安全系统对8aaaf200-2450-11e4-abe2-0002a5d5c51b.ta进行数字签名校验，若此校验过程失败返回错误；校验成功则继续；

步骤3：TEE安全系统读取TA 8aaaf200-2450-11e4-abe2-0002a5d5c51b的TA头信息，获取TA的CVN值；TEE安全系统从RPMB读取TA的版本表格VT，查询UUID为8aaaf200-2450-11e4-abe2-0002a5d5c51b的MVN值；

步骤4：TEE安全系统对比CVN和MVN的值，实验中，CVN＝2，MVN＝1，CVN>MVN，TEE安全系统更新VT中UUID为fd74bb1a32b4ae84457ff186b4efe7e7a661cd50的MVN为2，版本检查通过；

步骤5：TEE安全系统加载TA，TA开始正常运行。

本发明的防回滚方法的可信应用程序的头部信息中携带有当前版本号，存储单元中保存有可信程序通用唯一识别码及程序可运行最小版本号。可信应用程序加载的时候，安全系统会读取程序头信息中的版本号，并与存储单元中的版本号进行比对，只有当前程序版本号大于或等于存储单元中的版本号时，可信应用程序才会加载成功，同时，存储单元中的该应用版本号会同步更新；否则加载失败。这种机制可以保证过时的可信应用程序无法正常加载运行，防止可信应用程序的版本回滚。

以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。

Claims

一种防回滚方法，其特征在于：提供一存储单元，用以存储应用程序的第一版本号的版本表单；所述防回滚方法包括下述步骤：

获取所述应用程序的第二版本号；

将所述第二版本号与所述存储单元中与所述应用程序关联的版本表单中的最小第一版本号的进行比较，当所述第二版本号小于所述最小第一版本号时，禁止所述应用程序加载。
根据权利要求1所述的防回滚方法，其特征在于：所述存储单元采用嵌入式多媒体存储卡，所述版本表单存储于所述嵌入式多媒体存储卡支持回放保护的物理分区中。
根据权利要求1所述的防回滚方法，其特征在于：获取所述应用程序的第二版本号之前，还包括：

验证所述应用程序的签名，若通过验证则获取所述应用程序的第二版本号；若验证失败则禁止所述应用程序加载。
根据权利要求3所述的防回滚方法，其特征在于：采用非对称加密算法，和/或安全散列算法验证所述应用程序的签名。
根据权利要求1所述的防回滚方法，其特征在于：当所述第二版本号大于所述最小第一版本号时，则更新所述版本表单，将所述第二版本号更新为所述最小第一版本号，允许所述应用程序加载。
根据权利要求1所述的防回滚方法，其特征在于：获取所述应用程序的第二版本号之前还包括：

触发所述应用程序在可信执行环境加载。
一种防回滚的系统，其特征在于，包括：

存储单元，用以存储应用程序的第一版本号的版本表单；

获取单元，用以获取所述应用程序的第二版本号；

处理单元，连接所述获取单元和所述存储单元，用以将所述第二版本号与所述存储单元中与所述应用程序关联的版本表单中的最小第一版本号的进行比较，当所述第二版本号小于所述最小第一版本号时，禁止所述应用程序加载。
根据权利要求7所述的防回滚的系统，其特征在于：所述存储单元采用嵌入式多媒体存储卡，所述版本表单存储于所述嵌入式多媒体存储卡支持回放保护的物理分区中。
根据权利要求7所述的防回滚的系统，其特征在于：还包括：

验证单元，连接所述获取单元，用以验证所述应用程序的签名。
根据权利要求7所述的防回滚的系统，其特征在于：还包括：

更新单元，连接所述处理单元，当所述第二版本号大于所述最小第一版本号时，所述更新单元用以更新所述版本表单，将所述第二版本号更新为所述最小第一版本号，允许所述应用程序加载。