The invention provides a method, device, and terminal based on a trusted execution environment free run application, which includes the creation of a memory file system corresponding to the target application in the memory of the trusted execution environment TEE when the target application is monitored; and the target application is run in the memory file system. Preface; when monitoring the end of the target application, delete the related data in the memory file system and uninstall the memory file system from the memory of the TEE. This invention combines the TEE technology to isolate the application's running data in the secure and trusted memory, because TEE technology is based on the hardware isolation means. It ensures the security of the application data in dynamic memory, avoids the full application data stored in the dynamic memory to be stolen, and eliminates the application data in time at the end of the run, without leaving traces, and further avoids the risk of data leakage.
【技术实现步骤摘要】
基于可信执行环境无痕运行应用程序的方法、装置和终端
本专利技术涉及移动互联网
,具体而言,本专利技术涉及一种基于可信执行环境无痕运行应用程序的方法、装置和终端。
技术介绍
移动互联网是移动通信和互联网发展到一定阶段的必然发展方向和融合产物。但随着移动互联网的迅猛发展,引发了一些突出的安全问题。在用户使用终端设备的过程中,一方面,由于移动终端往往安装大量应用,使用场景多而复杂,互联网中的各种病毒木马一直在不停寻找机会向各终端设备进行非法入侵,以盗取用户的隐私信息;另一方面,终端设备不免存在丢失的风险,也会带来了数据泄露问题。以上两方面问题导致终端设备上数据安全问题日益凸显,个人私密数据,企业重要信息都将存在被窃取的威胁。例如,我们经常能从网络上阅览到由于个人短信支付密码被窃取,进而蒙受经济损失的新闻;以及众多在移动终端中运行的企业应用,也都忌惮着终端中的数据被非法获取。甚至存在更为极端的数据窃取手段,可以将手机存储设备部件拆下来后利用专用读取设备读取数据。传统的通过加密技术对终端设备中的用户敏感数据及隐私数据进行加密,能够一定程度上解决部分移动设备丢失后被非法窃取数据的问题。但是,数据加密仍然存在各种问题,如:现有技术中往往将明文密钥存储在终端设备中,密文数据虽无法直接使用,但终端设备丢失后,非法用户依然可通过非法遍历整个终端设备的存储区得到明文密钥,从而对密文进行解密。此外,除了对存储的敏感数据及隐私数据进行盗取,对于运行过程中的应用程序,也存在泄露数据的危险。主要原因就是应用程序在运行过程中,动态内存中存储着完整的应用数据,一旦应用程序运行所在的动 ...
【技术保护点】
一种基于可信执行环境无痕运行应用程序的方法,其特征在于,包括如下步骤:当监测到目标应用程序启动时,在可信执行环境TEE的内存中创建与所述目标应用程序对应的内存文件系统;在所述内存文件系统中运行所述目标应用程序;当监测到所述目标应用程序结束运行时,删除所述内存文件系统中的相关数据,并从所述TEE的内存中卸载所述内存文件系统。
【技术特征摘要】
1.一种基于可信执行环境无痕运行应用程序的方法,其特征在于,包括如下步骤:当监测到目标应用程序启动时,在可信执行环境TEE的内存中创建与所述目标应用程序对应的内存文件系统;在所述内存文件系统中运行所述目标应用程序;当监测到所述目标应用程序结束运行时,删除所述内存文件系统中的相关数据,并从所述TEE的内存中卸载所述内存文件系统。2.根据权利要求1所述的方法,其特征在于,所述可信执行环境TEE的内存是在系统冷启动时按照预定地址大小分配的。3.根据权利要求1所述的方法,其特征在于,目标应用程序启动之前,还包括:所述TEE对所述目标应用程序进行授权;其中,所述在所述内存文件系统中运行所述目标应用程序的步骤之前,还包括:所述TEE对所述目标应用程序的授权状态进行认证。4.根据权利要求1所述的方法,其特征在于,当包括多个应用容器系统时,所述当监测到目标应用程序启动时,在可信执行环境TEE的内存中创建与所述目标应用程序对应的内存文件系统的步骤包括:确定所述目标应用程序所处的应用容器系统;基于所述应用容器系统在所述TEE的内存中创建相应的内存文件系统。5.根据权利要求1所述的方法,其特征在于,在监测到目标应用程序启动的步骤之前,还包括:当监测到目标应用程序的安装包启动运行时,获取所述目标应用程序的安装包,并存放至所述TEE的内存中。6.一种基于...
【专利技术属性】
技术研发人员:高连凯,
申请(专利权)人:北京元心科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。