[发明专利]应用程序的可信度量方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，特别是涉及一种应用程序的可信度量方法及装置。

背景技术

随着科学技术的快速发展，互联网技术正以其不可阻挡的趋势影响着社会的发展和人们的生活，网络环境中的信息在现代化生活中发挥的作用也越来越大，已经成为市场竞争的重要手段。恰恰是因为这些信息资源在竞争日益激烈的今天发挥着举足轻重的地位，越来越多的企业或个人试图用网络病毒、恶意软件、网络攻击等不正当手段盗取这些资源，损害大众的利益。因此，如何保证网络环境下的信息安全也成为当今研究的热门话题。

目前，网络环境中多种多样的网络攻击手段的攻击目标是计算机终端上的操作系统及运行在系统上的应用程序，所以保证信息安全必须首先从计算机终端系统的安全和应用程序的安全着手，才能从根本上解决这些问题。传统的安全解决方案大多采用纯软件形态或专用硬件设备实现，但前者容易受计算平台内运行的其它软件或网络通信的影响，无法应对现有的安全威胁；后者虽然安全性较高，但造价高昂且容易受产品异构性的影响。

针对上述问题，提出了一种可信计算。可信计算在计算和通信系统中广泛使用，基于硬件安全模块支持下的可信计算平台，然后在该平台上通过软硬件结合的方式构建可信计算环境，以提高系统以及运行在其上的应用程序整体的安全性。目前，可信计算已在Windows、Linux系统以及移动终端得到了支持，然而，这些可信计算大多均只能保障操作系统的安全，针对应用程序的可信度量方法仍然较少，因此目前尚无一种很好的可信度量方法能够针对应用程序的安全性进行校验。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的应用程序的可信度量方法及装置。

依据本发明的一个方面，提供了一种应用程序的可信度量方法，应用于终端设备，所述方法包括：

接收到针对应用程序的指定请求；

调用所述终端设备内的系统调用接口，并利用所述系统调用接口拦截所述指定请求；

判断所述应用程序是否为可信应用程序；

当确定所述应用程序为可信应用程序时，解除对所述指定请求的拦截，并针对所述应用程序执行与所述指定请求对应的操作。

可选地，所述指定请求为安装请求；判断所述应用程序是否为可信应用程序，包括：

调用由终端系统管理的可信计算平台的可信服务提供层TSP接口；

利用所述可信服务提供层TSP接口判断所述应用程序是否通过所述可信计算平台的可信验证机制，其中，所述可信验证机制包括所述可信计算平台对所述应用程序的完整性验证、身份认证中的至少一项；

若是，则确定所述应用程序为可信应用程序。

可选地，针对所述应用程序执行与所述指定请求对应的操作，包括：

调用所述终端设备内的强制访问控制接口，利用所述强制访问控制接口生成用于表明所述应用程序被允许执行的安全标识；

调用所述可信计算平台的可信度量接口，利用所述可信度量接口计算所述应用程序的第一可信度量值；

将所述安全标识插入所述应用程序中，并将所述第一可信度量值存储至所述终端设备的可信存储根中。

可选地，所述指定请求为运行请求；判断所述应用程序是否为可信应用程序，包括：

获取所述应用程序中预先插入的度量标识，所述度量标识用于表明所述应用程序是否被允许执行，以及从所述终端设备的可信存储根中获取所述应用程序的第二可信度量值；

根据所述度量标识及所述第二可信度量值判断所述应用程序是否为可信应用程序。

可选地，根据所述度量标识及所述第二可信度量值判断所述应用程序是否为可信应用程序，包括：

根据所述度量标识判断所述应用程序是否被允许执行；

若是，则调用由终端系统管理的可信计算平台的可信度量接口，并利用所述可信度量接口计算所述应用程序的第三可信度量值；

对比所述第二可信度量值和所述第三可信度量值，并判断所述对比结果是否一致；

若是，则确定所述应用程序为可信应用程序。

可选地，根据所述度量标识及所述第二可信度量值判断所述应用程序是否为可信应用程序，还包括：

当所述对比结果不一致时，利用所述第三可信度量值替换所述第二可信度量值。

可选地，判断所述应用程序是否为可信应用程序，还包括：

当所述应用程序中不包含预先插入的度量标识时，确定所述应用程序为不可信应用程序。