WO2020073750A1

WO2020073750A1 - 终端攻击防御方法、装置、终端及云服务器

Info

Publication number: WO2020073750A1
Application number: PCT/CN2019/103044
Authority: WO
Inventors: 亢治; 徐洋; 姚英亮; 王濯尘
Original assignee: 华为技术有限公司
Priority date: 2018-10-12
Filing date: 2019-08-28
Publication date: 2020-04-16
Also published as: CN111046383B; CN111046383A; US20200387600A1

Abstract

本申请公开了一种终端攻击防御方法、装置、终端及云服务器，在CA和TA进行通信之前，由安全执行环境，例如TEE,验证当期CA操作对应的场景特征信息，例如屏幕点击信息，由此确定是用户的真实操作还是黑客的攻击行为，若是黑客的攻击行为，则不会有屏幕点击信息。若存在黑客攻击的危险，就不建立CA与TA之间的通信，进而CA无法正常运行，阻断了黑客为发现系统漏洞发起的试探。

Description

终端攻击防御方法、装置、终端及云服务器

本申请要求在2018年10月12日提交中国专利局、申请号201811188595.2、发明名称为“终端攻击防御方法、装置、终端及云服务器”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机技术，尤其涉及一种攻击防御技术、以及应用该攻击防御技术的多种计算机设备。

背景技术

黑客攻击，简单地说，就是黑客发现终端系统或网络的缺陷，针对这些缺陷实施攻击的技术。这里说的缺陷，包括软件缺陷、硬件缺陷、网络协议缺陷和管理缺陷等。

传统技术中为了防御黑客的攻击，一般有以下几种防御方法：地址空间布局随机化(address apace layout randomization，ASLR)防御方法，如图1所示，ASLR防御方法通过一个随机地址发生器将原来栈上的内存地址变成随机化地址，当黑客发现一个栈溢出漏洞时，查找对应栈的地址，植入黑客代码，但是当终端重启后，栈地址发生变化，使得黑客攻击失败。控制流完整性(control flow integrity，CFI)防御方法，如图2所示，CFI防御方法会对运行的程序进行解析，在程序运行时将程序执行的间接转移指令与预先获取的间接转移指令白名单进行对比，如果解析出的间接转移指令不在白名单中，则确定发生了攻击，终止程序运行。基于栈金丝雀的防御方法，如图3所示，该方法在初始栈上预设一个校验用的金丝雀，当黑客发现栈溢出漏洞，植入黑客代码后金丝雀就会发生变化。当程序运行前检查金丝雀，从而防止了黑客恶意代码的执行。

然而黑客一般在实施真正攻击前，需要对终端系统进行反复的试探，才能发现系统漏洞，根据发现的系统漏洞对终端系统进行攻击。但是上述传统的黑客攻击防御方法都是在黑客已经发现系统漏洞进行恶意攻击时进行直接防御，无法阻止黑客提前为发现系统漏洞而进行的反复试探。

发明内容

本申请提供了一种终端攻击防御方法、装置、终端及云服务器，以解决传统的黑客攻击防御方法无阻止黑客反复试探，从而发现系统漏洞的问题。

第一方面，本申请提供了一种终端攻击防御方法，所述方法包括：安全执行环境接收第一CA请求与第一TA通信的通信请求，所述安全执行环境包括可信执行环境TEE和云端安全环境中的任意一个或两个，所述通信请求中包含所述第一CA当前的第一场景特征信息。场景为任一CA的任一操作，每个场景对应的CA名称和CA操作是唯一的。所述场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括以下信息中的任意一种或多种：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括以下信息中的任意一种或多种：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行。当所述安全执行环境对所述第一场景特征信息验证通过时,所述安全执行环境建立所述第一TA与所述第一CA之间的通信。

所述安全执行环境判断所述第一场景特征信息是否合法，示例性地，判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，所述预存的场景特征信息集合中包含所有CA对应的场景特征信息，如果所述场景特征信息集合中存在与所述第一场景特征信息相匹配的所述第二场景特征信息，则认为合法。若所述第一场景特征信息被验证通过，则所述安全执行环境建立所述第一TA与所述第一CA之间的通信。

采用本实现方式，当安全执行环境接收到任一CA请求与对应TA通信的通信请求时，安全执行环境从通信请求中获取当前CA对应的场景特征信息，并验证该信息是否合法，若不合法，则表明当前CA不是用户在操作，存在黑客攻击的危险，不建立CA与TA之间的通信，进而CA无法正常运行，阻断了黑客为发现系统漏洞发起的试探。通过对场景特征信息的判断能够有效避免非用户操作的黑客攻击行为，有效提升系统的安全性。

结合第一方面，则第一方面第一种可能的实现方式中，所述安全执行环境验证所述第一场景特征信息包括：所述安全执行环境判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，所述预存的场景特征信息集合中包含多个CA和所述多个CA的多种操作对应的场景特征信息。

结合第一方面第一种可能的实现方式，在第一方面第二种可能的实现方式中，所述安全执行环境判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，包括：遍历所述场景特征信息集合，以获得所述CA名称和所述CA操作与所述第一场景特征信息相同的所述第二场景特征信息；判断所述第二场景特征信息与所述第一场景特征信息是否一致。

结合第一方面第一或二种可能的实现方式，在第一方面第三种可能的实现方式中，还包括：所述安全执行环境从REE侧接收场景特征信息更新数据；根据所述场景特征信息更新数据更新所述场景特征信息集合。第二方面，本申请提供了一种终端攻击防御方法，所述终端上部署有REE，所述方法包括：所述REE发送第一CA请求与第一TA通信的通信请求，所述通信请求中包含所述第一CA当前的第一场景特征信息，其中，场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括以下信息中的任意一种或多种：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括以下信息中的任意一种或多种：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行；根据所述第一CA与所述第一TA的通信状态控制所述第一CA当前操作。

结合第二方面，在第二方面第一种可能的实现方式中，所述根据所述第一CA与所述第一TA的通信状态控制所述第一CA当前操作，包括：如果所述第一CA与所述第一TA建立通信，则允许所述第一CA的当前操作。

结合第二方面或第二方面第一种可能的实现方式，在第二方面第二种可能的实现方式中，还包括：所述REE从网络侧接收场景特征信息更新数据；将所述场景特征信息更新数据发送给所述安全执行环境。

第三方面，本申请提供了一种终端攻击防御装置，所述装置包括：接收模块，部署在安全执行环境中，用于接收第一客户应用CA请求与第一安全应用TA通信的通信请求，所述安全执行环境包括可信执行环境TEE和云端安全环境中的任意一个或两个，所述通信请求中包含所述第一CA当前的第一场景特征信息；其中，场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括以下信息中的任意一种或多种：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括以下信息中的任意一种或多种：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行。处理模块，部署在安全执行环境中，用于当所述第一场景特征信息验证通过时,建立所述第一TA与所述第一CA之间的通信。

结合第三方面，在第三方面第一种可能的实现方式中，所述处理模块包括：判断单元，用于判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，所述预存的场景特征信息集合中包含多个CA和所述多个CA的多种操作对应的场景特征信息。

结合第三方面第一种可能的实现，在第三方面第二种可能的实现方式中，所述判断单元包括：获取子单元，用于遍历所述场景特征信息集合，以获得所述CA名称和所述CA操作与所述第一场景特征信息相同的所述第二场景特征信息；判断子单元，判断所述获取单元获取的所述第二场景特征信息与所述第一场景特征信息是否一致。

结合第三方面第一或二种可能的实现，在第三方面第三种可能的实现方式中，所述接收模块还包括：接收单元，用于从终端上部署的通用执行环境REE侧接收场景特征信息更新数据；更新单元，用于根据所述接收单元接收的所述场景特征信息更新数据更新所述场景特征信息集合。

第四方面，本申请提供了一种终端，所述终端包括：发送模块，用于所述REE发送第一CA请求与第一TA通信的通信请求，所述通信请求中包含所述第一CA当前的第一场景特征信息，所述场景为任一所述CA的任一操作，每个所述场景对应的CA名称和CA操作是唯一的；所述场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行；控制模块，用于根据所述第一CA与所述第一TA的通信状态控制所述第一CA当前操作。

结合第四方面，在第四方面第一种可能的实现方式中，所述控制模块包括：控制单元，用于如果所述第一CA与所述第一TA建立通信，则允许所述第一CA的当前操作。

结合第四方面或第四方面第一种可能的实现方式，在第四方面第二种可能的实现方式中，还包括：接收单元，用于所述REE从网络侧接收场景特征信息更新数据；发送单元，用于将所述场景特征信息更新数据发送给所述安全执行环境。

第五方面，本申请提供了一种终端，所述终端上部署有REE和TEE，所述终端包括：处理器；存储器，用于存储计算机可执行指令；当所述处理器执行所述计算机可执行指令时，所述TEE执行如前述第一方面及第一方面任一种可能的实现方式的方法，所述REE执行如前述第二方面及第二方面任一种可能的实现方式的方法。

第六方面，本申请提供了一种终端，所述终端上部署有REE，所述终端包括：处理器；存储器，用于存储计算机可执行指令；当所述处理器执行所述计算机可执行指令时，所述REE执行如前述第二方面及第二方面任一种可能的实现方式的方法。

第七方面，本申请实施例提供了一种云服务器，所述云服务器与部署REE的终端通信，所述云服务器包括：云存储器，用于存储指令程序；所述云服务器内运行所述指令程序时，生成云端安全环境，所述云端安全环境执行执行如前述第一方面及第一方面任一种可能的实现方式的方法。

第八方面，本申请提供一种计算机存储介质，可以是非易失性的。该计算机存储介质中包括计算机程序，该计算机程序在被一个或多个处理器执行时实现前述任意一个方面或实现方式所提供的方法。

第九方面，本申请提供一种计算机程序或计算机程序产品。该计算机程序或程序产品中包括计算机程序，该计算机程序在被一个或多个处理器执行时实现前述任意一个方面或实现方式所提供的方法。

附图说明

为了更清楚地说明本申请的技术方案，下面将对实施例中所需要使用的附图作简单地介绍。

图1为ASLR防御方法示意图；

图2为CFI防御方法示意图；

图3为基于栈金丝雀的防御方法示意图；

图4为本申请实施例提供的终端系统部署REE-TEE的构架图；

图5为本申请实施例提供的一种终端攻击防御方法的流程示意图；

图6为本申请实施例提供的另一种终端攻击防御方法的流程示意图；

图7为本申请实施例提供的一种终端攻击防御装置的结构示意图；

图8为本申请实施例提供的一种终端的结构示意图；

图9为本申请实施例提供的一种终端的结构示意图；

图10为申请实施例提供的一种云服务器与终端通信的示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请实施例中的技术方案，下面结合附图对本申请实施例中技术方案作进一步详细的说明。

为了能够更好的对本申请实施例提供的技术方案进行说明，首先说明一下安全执行环境和通用执行环境(rich execution environment，REE)，本实施例中的安全执行环境包括可信执行环境(trust execution environment,TEE)和云端安全环境，REE一般指通用的操作系统执行环境，位于REE中应用程序为普通的客户应用CA。云端安全环境为在网络侧虚拟一个安全执行环境，可以通过安全模块或安全程序生成。TEE为可以部署在终端相比REE安全级别更高的执行环境，为了保证TEE自身的可信性，TEE在安全启动过程中要通过验证并且与REE隔离。安全执行环境提供了授权安全应用，也就是安全应用TA，安全执行环境保护TA的资源和数据的保密性、完整性和访问权限。在安全执行环境中，每个TA是相互独立的，而且不能在未授权的情况下相互访问。简单的说，安全执行环境具有其自身的执行空间，在安全执行环境中有与REE中的CA对应的TA，TEE里的每一个TA也需要授权并相互独立运行。

当本申请实施例是基于终端系统同时部署有REE和TEE，参见图4为本申请实施例提供的一种终端系统部署REE-TEE的构架图。REE侧包括CA、感知调度平台和本地框架层，本地框架层内设置感知模块。终端启动时，感知调度平台会进行采集终端屏幕状态信息、终端屏幕触碰信息和CA运行信息。具体的终端屏幕状态信息包括：屏幕是处于亮屏还是处于黑屏状态、屏幕当前时刻的亮度值相比前一时刻是否发生变化等。终端屏幕触碰信息为用户正常操作CA时对终端屏幕的操作，包括：终端屏幕的点击次数、终端屏幕的点击位置和如何点击终端屏幕，是连续点击数次，还是在一定的时间内长按终端屏幕。CA运行信息则是用于指示CA是否在前台运行。

感知调度平台采集到上述场景特征信息后会发送给设置在本地框架层内的感知模块，感知模块将接收到的场景特征信息进行加密打包发送给TEE。具体地，TEE包括TA和TEE核心服务层。本实施例中的TEE核心服务层内设置有感知决策模块，感知决策模块接收REE中感知模块发送的场景特征信息，并将接收到的场景特征信息进行解压，预存在TEE内。

需要指出的是，上述给出的REE-TEE的构架图只是示意性的，在实际平台实现时，还需要更多的服务组件，例如驱动组件、接口组件等，在本实施例中不做过多描述。

由上述可知，在TEE中有与REE中的CA对应的TA，当REE侧任一CA启动或运行中需要安全操作时，需要请求与TEE中对应的TA建立通信，当CA与TA建立通信成功后，REE才会允许CA正常运行。但是并不是所有的通信请求都是正常的通信请求，在网络环境下会存在少量黑客远程试探产生的通信请求。因此，只有保证CA启动或运行中的操作为用户操作产生的，才能保证当前的通信请求不是黑客远程试探控制生成的。鉴于此，本申请实施例提供了一种终端攻击防御方法。参见图5，所述终端攻击防御方法包括：

S101,安全执行环境接收第一CA请求与第一TA通信的通信请求，所述通信请求中包含第一CA当前的第一场景特征信息。

本实施例中的安全执行环境为TEE，位于REE中的第一CA准备启动运行或正在运行中时，如果在上述过程中需要安全操作，即需要TEE的支持时，第一CA则会请求与第一TA进行通信，第一TA即为在TEE中与第一CA对应的安全应用。当第一CA请求与第一TA进行通信时，REE并不是简单的将通信请求进行发送，此时REE会采集第一CA对应的第一场景特征信息。由上述可知，在本实施例提供的REE-TEE构架中，REE中的存在感知调度平台，感知调度平台在终端启动时对REE中的每个CA对应的场景特征信息进行了采集。本实施例中，当第一CA请求与第一TA进行通信时，感知调度平台也会采集第一CA当前操作下的第一场景特征信息。第一场景特征信息包括：操作第一CA时对应的终端屏幕状态信息、终端屏幕触碰信息和第一CA运行信息。REE将采集到的第一场景特征信息与通信请求一并发送给TEE，TEE接收REE发送的携带第一场景特征信息的通信请求。

需要指出的是，本实施例中的场景特征信息可以为操作第一CA时对应的终端屏幕状态信息、终端屏幕触碰信息和第一CA运行信息中一种或多种，对此本申请不做具体限定。而且场景特征信息中的“场景”为CA的具体操作，例如启动CA、CA运行中输入密码等。而且每个确定的场景下的场景特征信息对应的CA名称和CA操作也是唯一的。比如A支付应用启动，则CA名称为A支付应用，CA操作为启动，因此此时要获取的场景特征信息为： A支付应用启动对应的屏幕状态信息、终端屏幕触碰信息和A支付应用运行信息，以上对应的场景特征信息可以为任意组合，包括：终端屏幕触碰信息，终端屏幕状态信息和终端屏幕触碰信息组合、终端屏幕状态信息和A支付应用运行信息组合、终端屏幕触碰信息和A支付应用运行信息组合等等。

具体地，由于终端屏幕状态信息包括：屏幕是处于亮屏还是处于黑屏状态、屏幕当前时刻的亮度值相比前一时刻是否发生变化等。终端屏幕触碰信息为用户正常操作CA时对终端屏幕的操作，包括：终端屏幕的点击次数、终端屏幕的点击位置和如何点击终端屏幕，是连续点击数次，还是在一定的时间内长按终端屏幕。CA运行信息则是用于指示CA是否在前台运行。因此上述场景特征信息也可以具体到每个场景特征信息包含的可能具体特征信息的组合。同样以A支付应用启动为例，A支付应用对应的场景特征信息可能为：点击终端屏幕1次，点击位置在终端屏幕的中间位置，屏幕状态为亮屏状态，当前时刻只有A支付应用在前台运行。当然，以上只是示意性的，可能的组合有很多种，比如某些CA启动时可能需要点击2次或更多，而且每次点击的位置也是不一样的，在每次点击之间屏幕会发生亮度变化等，具体不再一一举例。

S102,当安全执行环境对场景特征信息验证通过时,安全执行环境建立所述第一TA与所述第一CA之间的通信。

当TEE接收到REE发送的第一CA请求与第一TA通信的通信请求后，解析所述通信请求，获取通信请求携带的第一场景特征信息。然后获取第一CA的CA名称和当前对第一CA的操作。按照第一CA的CA名称和CA操作遍历预存在TEE中的场景特征信息集合，获取CA名称和CA操作一致的第二场景特征信息，将第一场景特征信息与第二场景特征信息进行比对。

本实施例中的场景特征信息集合包含了REE中所有CA不同操作下的场景特征信息，而且不同操作对应的场景特征信息是独立的。例如，启动A支付应用、A支付应用启动后输入支付密码、修改支付密码或绑定手机号等操作对应的场景特征信息，启动B应用、在B应用注册用户信息、在B应用中修改用户信息对应的场景特征信息，启动C应用、设置C应用的解锁密码、修改C应用的解锁密码对应的在场景特征信息。上述所有的特征信息，对应到场景特征信息集合对应到数据库是分别一条条独立出来的，如表1所示。表1中给出的A、B和C应用以及不同应用在不同操作下对应的场景特征信息都是示意性的，为本申请技术方案实现的一部分。

表1场景特征信息集合数据库

应用名称	应用操作	场景特征信息
A支付应用	启动	屏幕亮屏，应用前台运行
A支付应用	输入支付密码	屏幕亮屏，点击两次屏幕
A支付应用	修改支付密码	点击两次屏幕及对应位置
A支付应用	绑定手机号	屏幕亮屏，点击三次屏幕
B应用	启动	屏幕亮屏，应用前台运行
B应用	注册用户信息	屏幕亮屏，点击两次屏幕
B应用	修改用户信息	屏幕亮屏，点击三次屏幕
C应用	启动	屏幕亮屏，点击一次屏幕
C应用	设置解锁密码	屏幕亮屏，按压屏幕时长
C应用	修改解锁密码	点击三次屏幕及对应位置

如果第一场场景特征信息对应的第一CA名称为A支付应用，第一CA操作为修改支付密码。则TEE遍历场景特征信息集合，如果找到了第二场景特征信息对应CA名称和CA操作分别为A支付应用、修改支付密码。则将第一场景特征信息和第二场景特征信息进行比对，以确定第一场景特征信息和第二场景特征信息是否匹配。

如果第一场景特征信息和第二场景特征信息匹配是一致的，则表明当前对应第一场景特征信息的操作为用户操作，直接建立第一TA与第一CA的通信。

一示意性举例，比如A支付应用修改支付密码，TEE从场景特征信息集合中获取到A支付应用修改支付密码对应的第二场景特征信息为：屏幕亮屏且屏幕发生跳转中间屏幕亮度值发生变化、点击屏幕两次且第一次点击屏幕的第一位置、第二次点击的第二位置。TEE从场景特征信息集合中。如果第一场景特征信息与第二场景特征信息一致，则确定此前在A支付应用修改支付密码为用户操作。但是如果获取到的第一场景特征信息为：屏幕亮屏且屏幕发生跳转，则可以确定屏幕亮屏和屏幕发生跳转为黑客远程控制模拟的，此时不建立A支付应用与对应A支付应用的TA之间的通信。

上述是针对安全执行环境为TEE，当安全执行环境为云端安全环境时，终端攻击防御方法步骤与上述是一致的。与TEE不同的是，当REE与TEE进行数据传输时，在终端内就可以实现，但是当安全执行环境为云端安全环境时，REE发送给云端安全环境时，需要借助网络进行传输和通信，因此此时需要对传输的数据通道和通信的信号进行加密，以保证REE与云端安全环境交互的安全性。

需要指出的是，安全执行环境并不仅限于上述实施例提供的安全执行环境TEE和远端安全环境，也可以为其他可以实现保证终端CA安全操作的任意安全执行环境。

由于终端可能会存在系统更新、新CA的添加、旧CA的卸载导致某些CA在终端屏幕显示位置发生变化，此时控制对应CA启动时，点击位置会发生变化。尤其考虑一种特殊情况，如果黑客攻击技术升级，导致可以远程模拟出大部分CA的操作动作，此时如果保持原有场景特征信息不变，则在安全执行环境中就会有误判的情况发生，仍然不能有效防止黑客的试探行为，此时需要对CA操作的步骤进行细化。综上所述，本申请实施例还会对安全执行环境中的场景特征信息集合进行更新。

具体的场景特征信息更新，可以为人工操作或机器自主学习，具体方式本申请不做详细限定。场景特征信息更新数据可以发送到网络侧云端，然后终端自主获取或人工推送。部署在终端中的REE首先获取场景特征更新数据，根据场景特征更新数据完成REE中所有CA的场景特征更新，然后将场景更新数据发送给安全执行环境。安全执行环境接收到场景特征信息后，更新当前的场景特征信息集合，其中当安全执行环境为云端安全环境时，REE获取场景特征更新数据的同时，云端安全环境可以不需要REE的发送，直接进行获取。

由上述实施例可知，本实施例提供的终端攻击防御方法中当安全执行环境接收到任一CA请求与对应TA通信的通信请求时，安全执行环境从通信请求中获取当前CA对应的场景特征信息，并验证该信息是否合法，若不合法，则表明当前CA不是用户在操作，存在黑客攻击的危险，不建立CA与TA之间的通信，进而CA无法正常运行，阻断了黑客为发现系统漏洞发起的试探。通过对场景特征信息的判断能够有效避免非用户操作的黑客攻击行为，有效提升系统的安全性。

参见图6，为本申请实施例提供的另一种终端攻击防御方法，所述终端攻击防御方法包括：

S201,REE发送第一CA请求与第一TA通信的通信请求，通信请求中包含第一CA当前的第一场景特征信息。

终端启动时，REE中的感知调度平台会对REE中所有CA的场景特征信息进行采集。场景特征信息包括不同CA不同操作下的终端屏幕状态信息、终端屏幕触碰信息和CA运行信息。终端屏幕状态信息包括：屏幕是处于亮屏还是处于黑屏状态、屏幕当前时刻的亮度值相比前一时刻是否发生变化等。终端屏幕触碰信息为用户正常操作CA时对终端屏幕的操作，包括：终端屏幕的点击次数、终端屏幕的点击位置和如何点击终端屏幕，是连续点击数次，还是在一定的时间内长按终端屏幕；CA运行信息则是用于指示CA是否在前台运行。REE将上述采集的所有CA在不同操作下对应的场景特征信息打包发送给安全执行环境。

REE中的第一CA准备启动运行或正在运行中，如果运行过程中需要安全操作，即需要安全执行环境的支持时，REE则将第一CA请求与安全执行环境中第一TA进行通信的通信请求发送给安全执行环境。当第一CA发出通信请求时，REE并不是简单的将通信请求进行发送，此时REE会采集第一CA对应的第一场景特征信息。本实施例中，当第一CA发出通信请求的同时，感知调度平台也会采集第一场景特征信息。第一场景特征信息包括：操作第一CA时对应的终端屏幕状态信息、终端屏幕触碰信息和第一CA运行信息。REE将采集到的第一场景特征信息与通信请求进行打包，发送给TEE。

S202,根据第一CA与第一TA的通信状态控制第一CA当前操作。

如果在安全执行环境中预存的场景特征信息集合中遍历到与第一CA场景特征信息对应的CA名称和CA操作一致的第二场景特征信息，且第一场景特征信息与第二场景特征信息进行比对后，第一场景特征信息与第二场景特征信息相匹配，则安全执行环境建立第一CA与第一TA的通信。此时REE获知第一CA与第一TA成功建立通信，则允许第一CA的当前操作。对应地，如果第一CA与第一TA建立通信失败，则第一CA当前的操作为黑客远程控制产生的操作行为，则REE终止当前第一CA的运行。

示意性举例，如果是A支付应用启动，如果A支付应用与安全执行环境中对应的TA成功建立通信，则允许A支付应用启动。否则，A支付应用直接闪退或关闭，无法正常启动。如果是A支付应用运行中，需要跳转到修改支付密码界面，如果A支付应用与安全执行环境中对应的TA成功建立通信，则顺利跳转页面，进入下一步操作。但是A支付应用与安全执行环境中对应的TA建立通信失败，则可能存在黑客远程篡改用户支付密码的危险，则跳转页面失败，无法进行修改支付密码的操作。或者，为了避免黑客反复的远程控制，直接控制A支付应用终止运行，使得黑客找不到A支付应用进行远程操作。

同样地，由于终端可能会存在系统更新、新CA的添加、旧CA的卸载导致某些CA在终端屏幕显示位置发生变化，此时控制对应CA启动时，点击位置会发生变化。尤其考虑一种特殊情况，如果黑客攻击技术升级，导致可以远程模拟出大部分CA的操作动作，此时如果保持原有场景特征信息不变，则在安全执行环境中就会有误判的情况发生，仍然不能有效防止黑客的试探行为，此时需要对CA操作的步骤进行细化，对安全执行环境中的场景特征信息集合进行更新。

具体的场景特征信息更新，可以为人工操作或机器自主学习，具体方式本申请不做详细限定。场景特征信息更新数据可以发送到网络侧云端，然后终端自主获取或人工推送。REE首先获取场景特征更新数据，根据场景特征更新数据完成REE中所有CA的场景特征更新，然后将场景更新数据发送给安全执行环境。其中当安全执行环境为云端安全环境时，REE获取场景特征更新数据的同时，云端安全环境可以不需要REE的发送，直接进行获取。

由上述实施例可知，终端启动时，REE采集所有CA对应的场景特征信息发送给安全执行环境，REE中的CA正常运行启动或运行过程中需要与安全执行环境中对应TA建立通信。当REE中任一CA需要与安全执行环境中对应的TA建立通信时，REE获取取当前CA对应的场景特征信息，将当前CA对应的场景特征信息与通信请求一起发送给安全执行环境。如果安全执行环境在场景特征信息集合中找不到相匹配的场景特征信息，则表明当前CA是非用户操作，存在黑客攻击的危险，不建立CA与TA之间的通信，进而CA无法正常运行，阻断了黑客为发现系统漏洞发起的试探。通过对场景特征信息的判断能够有效避免非用户操作的黑客攻击行为，有效提升系统的安全性。

与图5所示的终端攻击防御方法相对应，本申请还提供了一种终端攻击防御装置的实施例。参见图7，终端攻击防御装置30包括：接收模块301和处理模块302。

接收模块301，部署在安全执行环境中，用于接收第一客户应用CA请求与第一安全应用TA通信的通信请求，所述安全执行环境包括可信执行环境TEE和云端安全环境中的任意一个或两个，所述通信请求中包含所述第一CA当前的第一场景特征信息；其中，场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括以下信息中的任意一种或多种：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括以下信息中的任意一种或多种：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行。

处理模块302，部署在安全执行环境中，用于当所述第一场景特征信息验证通过时,建立所述第一TA与所述第一CA之间的通信。

可选地，处理模块302包括：判断单元，用于判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，所述预存的场景特征信息集合中包含多个CA和所述多个CA的多种操作对应的场景特征信息。

判断单元包括：获取子单元和判断子单元。获取子单元，用于遍历所述场景特征信息集合，以获得所述CA名称和所述CA操作与所述第一场景特征信息相同的所述第二场景特征信息；判断子单元，判断所述获取单元获取的所述第二场景特征信息与所述第一场景特征信息是否一致。

可选地，本申请实施例中的接收模块301还包括接收单元和更新单元，接收单元，用于从终端上部署的通用执行环境REE侧接收场景特征信息更新数据。更新单元，用于根据接收单元接收的场景特征信息更新数据更新场景特征信息集合。

与图6所示的终端攻击防御方法相对应，本申请还提供了另一种终端的实施例。参见图8，终端40包括：发送模块401和控制模块402。

发送模块401，用于所述REE发送第一CA请求与第一TA通信的通信请求，所述通信请求中包含所述第一CA当前的第一场景特征信息，所述场景为任一所述CA的任一操作，每个所述场景对应的CA名称和CA操作是唯一的；所述场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行。控制模块402，用于根据第一CA与第一TA的通信状态控制第一CA当前操作。

可选地，控制模块402包括：控制单元，用于如果第一CA与第一TA建立通信，则允许第一CA的当前操作。

可选地，本实施例提供的终端攻击防御装置40还包括：接收单元和发送单元。接收单元，用于REE从网络侧接收场景特征信息更新数据。发送单元，用于将场景特征信息更新数据发送给部署在安全执行环境中的接收模块301。

参见图9，本申请实施例还提供了一种终端，终端50上部署有REE和TEE，终端50包括：处理器501、存储器502和通信接口503。

存储器502，用于存储计算机可执行指令，当处理器501执行所述计算机可执行指令时，

TEE执行以下操作：接收第一CA请求与第一TA通信的通信请求，所述通信请求中包含所述第一CA当前的第一场景特征信息；判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，所述预存的场景特征信息集合中包含所有CA对应的场景特征信息；如果所述场景特征信息集合中存在与所述第一场景特征信息相匹配的所述第二场景特征信息，则所述TEE建立所述第一TA与所述第一CA之间的通信。

REE执行以下操作：所述REE发送第一CA请求与第一TA通信的通信请求，所述通信请求中包含所述第一CA当前的第一场景特征信息；根据所述第一CA与所述第一TA的通信状态控制所述第一CA当前操作。

处理器501、存储器502和通信接口503可以通过总线相互连接；总线可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

处理器501可以是通用处理器，例如，中央处理器(英文：central processing unit，缩写：CPU)，网络处理器(英文：network processor，缩写：NP)或者CPU和NP的组合。处理器401也可以是微处理器(MCU)。处理器501还可以包括硬件芯片。上述硬件芯片可以是专用集成电路(ASIC)，可编程逻辑器件(PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(CPLD)，现场可编程逻辑门阵列(FPGA)等。

存储器502可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

通信接口503用于REE接收网络侧发送的场景特征信息更新数据。所述通信接口503包括有线通信接口，还可以包括无线通信接口。其中，有线通信接口包括数据接口，还可以包括以太网接口。无线通信接口可以为WLAN接口，蜂窝网络通信接口或其组合等。

终端50还可以包括电源组件，用于为终端50的各种组件提供电力。电源组件可以包括电源管理系统，一个或多个电源。具体实现中，本申请实施例还提供一种计算机存储介质，其中，该计算机存储介质可存储有指令，该指令执行时可包括本申请提供的终端攻击防御方法的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，ROM)或随机存储记忆体(random access memory，RAM)等。

参见图10，一种云服务器60，云服务器60与部署REE的终端70通信，云服务器60包括：云存储器601，用于存储指令程序。

云服务器60内运行所述指令程序时，生成云端安全环境，云端安全环境执行执行以下步骤：

接收第一CA请求与第一TA通信的通信请求，所述通信请求中包含第一CA当前的第一场景特征信息；判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，所述预存的场景特征信息集合中包含所有CA对应的场景特征信息；如果所述场景特征信息集合中存在与所述第一场景特征信息相匹配的所述第二场景特征信息，则云端安全环境建立第一TA与第一CA之间的通信。

终端70包括：处理器701和存储器702，存储器702用于存储计算机可执行指令。当处理器701执行所述计算机可执行指令时，REE执行以下步骤：

所述REE发送第一CA请求与第一TA通信的通信请求，所述通信请求中包含第一CA当前的第一场景特征信息；根据第一CA与第一TA的通信状态控制第一CA当前操作。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本申请说明书中各个实施例之间相同相似的部分互相参见即可。尤其，对于装置、终端、云服务器实施例而言，由于其中的方法基本相似于终端攻击防御方法的实施例，所以描述的比较简单，相关之处参见终端攻击防御方法实施例中的说明即可。

以上所述的本申请实施方式并不构成对本申请保护范围的限定。

Claims

一种终端攻击防御方法，其特征在于，所述方法包括：

安全执行环境接收第一客户应用CA请求与第一安全应用TA通信的通信请求，所述安全执行环境包括可信执行环境TEE和云端安全环境中的任意一个或两个，所述通信请求中包含所述第一CA当前的第一场景特征信息；其中，场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括以下信息中的任意一种或多种：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括以下信息中的任意一种或多种：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行；

当所述安全执行环境对所述第一场景特征信息验证通过时,所述安全执行环境建立所述第一TA与所述第一CA之间的通信。
根据权利要求1所述的方法，其特征在于，所述安全执行环境验证所述第一场景特征信息包括：所述安全执行环境判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，所述预存的场景特征信息集合中包含多个CA和所述多个CA的多种操作对应的场景特征信息。
根据权利要求2所述的方法，其特征在于，所述安全执行环境判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，包括：

遍历所述场景特征信息集合，以获得CA名称和CA操作分别与所述第一CA和所述第一CA的当前操作相同的第二场景特征信息；

判断所述第二场景特征信息与所述第一场景特征信息是否一致。
根据权利要求2或3所述的方法，其特征在于，还包括：

所述安全执行环境从通用执行环境REE侧接收场景特征信息更新数据；

根据所述场景特征信息更新数据更新所述场景特征信息集合。
一种终端攻击防御方法，其特征在于，所述终端上部署有REE，所述方法包括：

所述REE发送第一CA请求与第一TA通信的通信请求，所述通信请求中包含所述第一CA当前的第一场景特征信息，其中，场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括以下信息中的任意一种或多种：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括以下信息中的任意一种或多种：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行；

根据所述第一CA与所述第一TA的通信状态控制所述第一CA当前操作。
根据权利要求5所述的方法，其特征在于，所述根据所述第一CA与所述第一TA的通信状态控制所述第一CA当前操作，包括：

如果所述第一CA与所述第一TA建立通信，则允许所述第一CA的当前操作。
根据权利要求5或6所述的方法，其特征在于，还包括：

所述REE从网络侧接收场景特征信息更新数据；

将所述场景特征信息更新数据发送给安全执行环境。
一种终端攻击防御装置，其特征在于，所述装置包括：

接收模块，部署在安全执行环境中，用于接收第一客户应用CA请求与第一安全应用TA通信的通信请求，所述安全执行环境包括可信执行环境TEE和云端安全环境中的任意一个或两个，所述通信请求中包含所述第一CA当前的第一场景特征信息；其中，场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括以下信息中的任意一种或多种：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括以下信息中的任意一种或多种：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行；

处理模块，部署在安全执行环境中，用于当对所述第一场景特征信息验证通过时,建立所述第一TA与所述第一CA之间的通信。
根据权利要求8所述的装置，其特征在于，所述处理模块包括：判断单元，用于判断预存的场景特征信息集合是否存在与所述第一场景特征信息匹配的第二场景特征信息，所述预存的场景特征信息集合中包含多个CA和所述多个CA的多种操作对应的场景特征信息。
根据权利要求9所述的装置，其特征在于，所述判断单元包括：

获取子单元，用于遍历所述场景特征信息集合，以获得所述CA名称和所述CA操作与所述第一场景特征信息相同的所述第二场景特征信息；

判断子单元，判断所述获取单元获取的所述第二场景特征信息与所述第一场景特征信息是否一致。
根据权利要求9或10所述的装置，其特征在于，所述接收模块还包括：

接收单元，用于从终端上部署的通用执行环境REE侧接收场景特征信息更新数据；

更新单元，用于根据所述接收单元接收的所述场景特征信息更新数据更新所述场景特征信息集合。
一种终端，其特征在于，所述终端包括：

发送模块，用于所述REE发送第一CA请求与第一TA通信的通信请求，所述通信请求中包含所述第一CA当前的第一场景特征信息，所述场景为任一所述CA的任一操作，每个所述场景对应的CA名称和CA操作是唯一的；所述场景特征信息包括以下信息中的任意一种或多种：终端屏幕触碰信息、终端屏幕状态信息和CA运行信息，所述终端屏幕触碰信息包括：操作所述CA时终端屏幕点击次数、终端屏幕点击位置和终端屏幕点击方式，所述终端屏幕状态信息包括：终端屏幕亮屏状态和终端屏幕亮度值，所述CA运行信息用于指示所述CA是否在前台运行；

控制模块，用于根据所述第一CA与所述第一TA的通信状态控制所述第一CA当前操作。
根据权利要求12所述的终端，其特征在于，所述控制模块包括：

控制单元，用于如果所述第一CA与所述第一TA建立通信，则允许所述第一CA的当前操作。
根据权利要求12或13所述的终端，其特征在于，还包括：

接收单元，用于所述REE从网络侧接收场景特征信息更新数据；

发送单元，用于将所述场景特征信息更新数据发送给安全执行环境。
一种终端，其特征在于，所述终端上部署有REE和TEE，所述终端包括：

处理器；

存储器，用于存储计算机可执行指令；

当所述处理器执行所述计算机可执行指令时，TEE执行如权利要求1-4任一项所述的方法，所述REE执行如权利要求5-7任一项所述的方法。
一种终端，其特征在于，所述终端上部署有REE，所述终端包括：

处理器；

存储器，用于存储计算机可执行指令；

当所述处理器执行所述计算机可执行指令时，所述REE执行如权利要求5-7任一项所述的方法。
一种云服务器，其特征在于，所述云服务器与部署REE的终端通信，

所述云服务器包括：

云存储器，用于存储指令程序；

所述云服务器内运行所述指令程序时，生成云端安全环境，所述云端安全环境执行执行如权利要求1-4任一项所述的方法。