【技术实现步骤摘要】
本专利技术涉及信息传输,具体涉及一种tee环境下的ree应用可信鉴别方法及系统。
技术介绍
1、终端上包含了大量的敏感业务,如移动支付、生物识别、手机银行等。为了在终端系统上更好地保护数据和操作的安全,终端厂商提供了一种硬件隔离技术(即tee)来隔离和保护敏感数据。然而,仅通过一个可信执行环境还不足以确保系统安全,如果任何应用程序都能访问tee,则会带来巨大的安全隐患。因此,只有经过应用鉴别和用户授权的应用才能够访问敏感数据和运行敏感操作。其中,tee环境下的应用鉴别主要依赖于应用的uid信息与tee中的uid信息匹配的结果,由于ree是非安全的,当攻击者拥有修改系统文件的权限时,ree中的uid信息很容易被篡改。另外,ree和tee之间存在语义鸿沟,tee中的操作系统内核无法对应用实施鉴别,一旦ree的应用鉴别机制被攻击者绕过,tee对应用的鉴别也会被绕过。现有的一种解决方案是在tee中将uid信息和公钥绑定在一起,当ree发起响应请求时,tee会发送一个随机数用作挑战响应。ree是非安全的,不能存私钥,此时会在应用对应的远程服务器后端存下这个私钥,ree每次请求后端基于私钥来做数字签名,用于tee的身份鉴别。这种方案只能在联网的情况下使用,如何在离线的环境下对ree中的应用进行可信身份鉴别,是亟待解决的问题,本专利技术基于此而研发。
技术实现思路
1、本专利技术正是针对上述的技术问题,提供一种tee环境下的ree应用可信鉴别方法及系统,利用ree应用申请tee服务时的执行特征信
2、本专利技术的技术方案包括以下内容:
3、一种tee环境下的ree应用可信鉴别方法,包括:
4、在ree应用申请tee服务时,采集ree应用特征信息;
5、在ree环境中,对所述ree应用特征信息进行真实性和完整性保护后,传递到tee环境中;
6、在tee环境中,对经过真实性和完整性保护的ree应用特征信息进行验证后,利用应用鉴别模型分析验证后的ree应用特征信息,以确定ree应用的身份;其中,所述应用鉴别模型利用机器学习模型得到。
7、进一步地,所述ree应用特征信息包括:ree应用执行过程的系统调用列表及调用时间、ree应用uid和appip。
8、进一步地,所述机器学习模型包括:随机森林模型或textcnn。
9、进一步地,对所述ree应用特征信息进行真实性和完整性保护,包括:
10、采用白盒加密技术来对ree应用特征信息进行加密,以得到经过真实性和完整性保护的ree应用特征信息。
11、一种tee环境下的ree应用可信鉴别系统,包括:
12、数据采集模块,用于采集ree应用申请tee服务时的ree应用特征信息;
13、白盒保护模块,用于在ree环境中,对所述ree应用特征信息进行真实性和完整性保护后,传递到tee环境中;
14、白盒验证模块,用于在tee环境中,对经过真实性和完整性保护的ree应用特征信息进行验证;
15、实时应用鉴别模块,用于在tee环境中,利用应用鉴别模型分析验证后的ree应用特征信息,以确定ree应用的身份;其中,所述应用鉴别模型利用机器学习模型得到。
16、进一步地,所述ree应用特征信息包括:ree应用执行过程的系统调用列表、调用时间、ree应用uid和appip。
17、进一步地,应用鉴别模型训练模块,用于利用机器学习模型对训练数据集进行训练,得到应用鉴别模型;其中,所述机器学习模型包括:随机森林模型或textcnn。
18、进一步地,所述白盒保护模块,还用于:
19、采用白盒加密技术来对ree应用特征信息进行加密,以得到经过真实性和完整性保护的ree应用特征信息。
20、一种计算机设备,所述计算机设备包括:处理器以及存储有计算机程序指令的存储器;所述处理器执行所述计算机程序指令时实现上述任一项所述的tee环境下的ree应用可信鉴别方法。
21、一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现上述任一项所述的tee环境下的ree应用可信鉴别方法。
22、与现有技术相比,本专利技术利用ree应用的执行特征信息及机器学习模型构建可信鉴别模型,当ree应用申请tee服务时,可信鉴别模型通过模型输出的分类标签来判断是否提供tee服务,能够有效鉴别出被攻击的ree应用。即使ree应用的某些信息,如uid信息被篡改了,由于ree应用的申请tee服务时的其他执行特征未发生改变,可信鉴别模型并不会输出被篡改的uid对应的标签,有效防止了密钥的非法访问。除此之外,通过tee中的可信鉴别模型,本专利技术允许用户在离线的条件下进行可信身份鉴别,而不是必须通过在线的后台协助,对有在离线条件下进行可信身份鉴别的应用十分友好。最后,本专利技术在ree中利用白盒保护模块对ree应用的执行特征信息进行保护,在tee中利用白盒验证模块对ree应用的执行特征信息进行验证,保证了特征信息的真实性和完整性。
本文档来自技高网...【技术保护点】
1.一种TEE环境下的REE应用可信鉴别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述REE应用特征信息包括:REE应用执行过程的系统调用列表及调用时间、REE应用uid和AppIp。
3.根据权利要求1所述的方法,其特征在于,所述机器学习模型包括:随机森林模型或TextCNN。
4.根据权利要求1所述的方法,其特征在于,对所述REE应用特征信息进行真实性和完整性保护,包括:
5.一种TEE环境下的REE应用可信鉴别系统,其特征在于,所述系统包括:
6.根据权利要求5所述的系统,其特征在于,所述REE应用特征信息包括:REE应用执行过程的系统调用列表、调用时间、REE应用uid和AppIp。
7.根据权利要求5所述的系统,其特征在于,所述系统还包括:
8.根据权利要求5所述的系统,其特征在于,所述白盒保护模块,还用于:
9.一种计算机设备,其特征在于,所述计算机设备包括:处理器以及存储有计算机程序指令的存储器;所述处理器执行所述计算机程序指令时实现权利
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现权利要求1至4中任一项所述的TEE环境下的REE应用可信鉴别方法。
...【技术特征摘要】
1.一种tee环境下的ree应用可信鉴别方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述ree应用特征信息包括:ree应用执行过程的系统调用列表及调用时间、ree应用uid和appip。
3.根据权利要求1所述的方法,其特征在于,所述机器学习模型包括:随机森林模型或textcnn。
4.根据权利要求1所述的方法,其特征在于,对所述ree应用特征信息进行真实性和完整性保护,包括:
5.一种tee环境下的ree应用可信鉴别系统,其特征在于,所述系统包括:
6.根据权利要求5所述的系统,其特征在于,所述ree应用特征信息包括:ree应用执...
【专利技术属性】
技术研发人员:雷灵光,叶钰莹,王跃武,王平建,马文涛,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。