[发明专利]软件安装方法、装置、电子设备和存储介质

权利要求书

1.一种软件安装方法，其特征在于，应用于软件安装系统中的电子设备，所述软件安装系统还包括可信监视系统，所述电子设备包括可信执行系统，所述可信执行系统包括可信执行内核，所述方法包括：

通过所述可信执行内核获取待安装的软件包；

通过所述可信执行内核对所述待安装的软件包的签名信息进行签名验证，其中，所述签名信息由所述可信监视系统对待安装的软件包进行可信应用签名获得的；

在签名验证通过后，通过所述可信执行内核对所述待安装的软件包进行安装。

2.根据权利要求1所述的方法，其特征在于，所述可信执行系统还包括可信服务程序，在通过所述可信执行内核获取待安装的软件包之后，通过所述可信执行内核对所述待安装的软件包的签名信息进行签名验证之前，所述方法还包括：

通过所述可信服务程序计算所述待安装的软件包的第一数字摘要；

通过所述可信执行内核根据所述第一数字摘要判断所述待安装的软件包是否存在于可信白名单中；

若存在，则通过所述可信执行内核对所述待安装的软件包进行安装。

3.根据权利要求2所述的方法，其特征在于，在签名验证通过后，所述方法还包括：

通过所述可信执行内核将签名验证通过的所述待安装的软件包加入所述可信白名单中。

4.根据权利要求2所述的方法，其特征在于，所述通过所述可信服务程序计算所述待安装的软件包的第一数字摘要，包括：

采用SM3算法计算所述待安装的软件包的第一数字摘要。

5.根据权利要求2所述的方法，其特征在于，通过所述可信执行内核对所述待安装的软件包进行签名验证，包括：

获取所述待安装的软件包的数字证书及签名信息；

通过解密公钥对所述签名信息进行解密，获得解密后的第二数字摘要；

判断所述第一数字摘要和所述第二数字摘要是否相同；

若相同，则签名验证通过。

6.根据权利要求5所述的方法，其特征在于，在获取所述待安装的软件包的数字证书及签名信息之后，通过解密公钥对所述签名信息进行解密之前，所述方法还包括：

判断所述数字证书是否合法；

若合法，则从所述数字证书中获取解密公钥；

若不合法，则阻止安装所述待安装的软件包。

7.根据权利要求1所述的方法，其特征在于，所述可信监视系统对待安装的软件包进行可信应用签名，包括：

通过所述SM3算法计算所述待安装的软件包的第二数字摘要；

通过所述RSA签名算法的加密私钥对所述第二数字摘要进行加密，获得所述待安装的软件包的签名信息。

8.一种软件安装装置，其特征在于，应用于软件安装系统中的电子设备，所述软件安装系统还包括可信监视系统，所述电子设备包括可信执行系统，所述可信执行系统包括可信执行内核，所述装置包括：

获取模块，用于通过所述可信执行内核获取待安装的软件包；

验证模块，用于通过所述可信执行内核对所述待安装的软件包的签名信息进行签名验证，其中，所述签名信息由所述可信监视系统使用SM3算法和RSA签名算法对待安装的软件包进行可信应用签名获得的；

安装模块，用于在签名验证通过后，通过所述可信执行内核对所述待安装的软件包进行安装。

9.根据权利要求8所述的装置，其特征在于，所述装置还包括：

计算模块，用于计算所述待安装的软件包的第一数字摘要；

白名单过滤模块，通过所述可信执行内核根据所述第一数字摘要判断所述待安装的软件包是否存在于可信白名单中；若存在，则通过所述可信执行内核对所述待安装的软件包进行安装。