[发明专利]一种多安全环境下敏感应用动态度量的方法及系统

说明书

本发明涉及一种多安全环境下敏感应用动态度量的方法及系统，对程序源代码进行静态分析，生成函数调用图和每个函数控制流图，从而构建可信路径特征集；对程序源代码进行插桩预处理；在安全域对获取的动态路径进行分离，得到函数调用子图和函数控制流子图；利用安全域将函数调用子图与函数调用图进行匹配，确保函数调用子图是函数调用图的子图；然后利用安全域将函数控制流子图与函数控制流图进行匹配。本发明对敏感应用在可信路径执行过程中的执行完整性进行动态度量，保证程序按照顺序在可信路径上的执行。

技术领域

本发明涉及一种多安全环境下敏感应用动态度量的方法及系统，属于移动终端操作系统及关键应用的动态度量领域。

背景技术

随着移动互联网技术和移动智能终端的快速发展，对终端操作系统及关键应用的完整性保护日益受到重视，出现了各种完整性保护的模型和实施方法。在系统和应用运行的过程中，攻击者可以入侵修改程序的代码部分，因为程序的代码部分一旦被修改，整个程序的功能就会改变。例如，对于代码修改的方法而言，首先恶意进程伪装成目标进程欺骗操作系统，使自己能够获得对目标进程地址空间的内容进行修改的权限；接着修改目标进程地址空间部分页面的属性；然后对存放代码的页面内容进行修改，完成恶意进程希望实现的功能；最后将进程代码修改为未被修改的模样。本发明的主要目的是动态实时地发现和报告针对系统中已经运行的进程的完整性攻击，利用可信隔离环境ICE、硬件隔离环境TrustZone、函数调用图和控制流图实现可信的动态度量。

插桩，是指在保持程序原有逻辑完整性的基础上在程序中插入一些探针，这些探针的目的是采集函数及代码段的信息。插桩技术可用于记录程序运行时代码的执行路径，从而了解代码的执行情况。

静态度量，即利用哈希算法为应用生成一个度量值，在应用启动过程中，根据该度量值的匹配成功与否判断应用的可信与否。

动态度量，就是通过静态分析技术或者动态执行提取应用的行为特征，然后在应用实际运行过程中实时监控应用行为并与行为特征进行匹配，匹配成功则表示应用是可信的，匹配不成功则判定应用行为不可信。

ARM TrustZone硬件隔离技术，在移动终端构建普通执行环境和可信执行环境两个独立的运行环境，并利用处理器的监控模式提供两个环境的切换与数据传输。普通执行环境与可信执行环境相互隔离，保证了可信执行环境中操作的安全性，有效实现应用系统高敏感业务与普通业务的隔离。

TrustICE隔离计算环境，利用内存水印技术实现物理内存上的安全域隔离，当ICE运行时，其内存区域位于普通世界，其他ICE和普通操作系统均处于挂起状态；当ICE挂起时，其内存区域被添加到TrustZone的安全世界内存，其他ICE和普通操作系统无法访问。TrustICE将安全隔离功能由硬件实现改为软件实现，保证可信计算基不会随着敏感应用的增加而增大，并且降低了TrustZone安全应用的部署难度。

函数调用图，图中的每条有向边代表节点(函数)之间存在的先后调用关系，即如果节点u在节点v之前被调用，则存在从节点u指向节点v的一条有向边，u为调用节点，v是被调用节点。

控制流图，表示函数内部基本块之间的执行先后关系和控制流关系，每个函数都有一个控制流图，而控制流图是由代码基本块组成。

现有技术中对敏感应用的动态度量主要集中在敏感应用本身，没有深入到为敏感应用提供服务的系统框架层；动态度量的可信计算基的安全性和动态度量的效率有待提高；动态度量大多基于函数调用路径，动态度量的精准度有待提高。

发明内容

本发明的技术解决问题为：克服现有技术的动态度量范围、安全性、效率和精准度的不足，提供一种多安全环境下敏感应用动态度量的方法及系统，对敏感应用在可信路径执行过程中的执行完整性进行动态度量，保证程序按照顺序在可信路径上的执行；在执行过程中确保程序不因漏洞而被篡改执行顺序、调用其他代码；其他代码不应使用本敏感应用中的代码。