CN105787352A - 一种可执行模块的提供、加载方法及终端 - Google Patents
一种可执行模块的提供、加载方法及终端 Download PDFInfo
- Publication number
- CN105787352A CN105787352A CN201410790412.XA CN201410790412A CN105787352A CN 105787352 A CN105787352 A CN 105787352A CN 201410790412 A CN201410790412 A CN 201410790412A CN 105787352 A CN105787352 A CN 105787352A
- Authority
- CN
- China
- Prior art keywords
- hash table
- executable module
- segment
- packet
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种可执行模块的提供、加载方法及终端,该提供方法,在主机端执行的流程包括:对可执行模块进行哈希计算得到可执行模块哈希表;至少针对所述可执行模块哈希表进行签名得到签名信息;至少针对所述可执行模块哈希表、所述签名信息以及所述可执行模块进行封装,发布封装后的数据包,以使目标端至少基于所述可执行模块哈希表、所述签名信息以及所述可执行模块对数据包进行审核并通过后,加载所述数据包中的所述可执行模块。本发明应用在可执行模块的发布和加载过程中,通过对可执行模块的哈希表等信息进行签名,由移动通讯终端在加载该可执行模块前进行鉴权的方式,实现对该可执行模块的安全认证,避免可执行模块对***的注入性攻击。
Description
技术领域
本发明涉及可执行程序开发和使用技术领域,尤其涉及一种可执行模块的提供、加载方法及终端。
背景技术
在现有的内核模块(KernelModule,简称KMOD)开发领域,开发者通过命令insmod加载内核模块至内核空间,内核未对内核模块进行认证,直接加载至内核空间运行。若开发者对第三方合法二进制内核模块进行修改,加入攻击性代码,则会通过insmod方式,使内核自动执行加入的攻击性代码,导致严重的内核安全问题。
除了内核模块之外,其他的可执行模块的开发和加载过程也同样存在上述问题,因此,如何实现可执行模块的安全加载成为本领域亟待解决的技术问题。
发明内容
本发明要解决的技术问题是,提供一种可执行模块的提供、加载方法及终端,实现可执行模块的安全加载。
本发明采用的技术方案是,所述可执行模块的提供方法,在主机端执行的流程包括:
对可执行模块进行哈希计算得到可执行模块哈希表;
至少针对所述可执行模块哈希表进行签名得到签名信息;
至少针对所述可执行模块哈希表、所述签名信息以及所述可执行模块进行封装,发布封装后的数据包,以使目标端至少基于所述可执行模块哈希表、所述签名信息以及所述可执行模块对数据包进行审核并通过后,加载所述数据包中的所述可执行模块。
进一步的,封装后的数据包的组成部分包括以下几段:数据包头、哈希表段和可执行模块段;
所述哈希表段包括:启动镜像头、可执行模块哈希表、以及签名信息。
进一步的,所述哈希表段,还包括:对哈希表段进行哈希计算得到的哈希表段哈希表。
进一步的,所述数据包的组成部分还包括:段表,所述段表包括:哈希表段头和可执行模块段头;
所述哈希表段,还包括:对段表进行哈希计算得到的段表哈希表,和/或,对哈希表段进行哈希计算得到的哈希表段哈希表。
进一步的,至少针对所述可执行模块哈希表进行签名得到签名信息,包括:对所述可执行模块哈希表进行签名得到签名信息;
或者,
对所述可执行模块哈希表、以及以下至少之一进行签名得到的签名信息:启动镜像头、段表哈希表、哈希表段哈希表。
进一步的,所述数据包为ELF格式、APK格式、DMG格式或者ZIP格式的数据包;所述可执行模块的类型,包括:内核模块或者应用模块。
本发明还提供一种可执行模块的加载方法,在目标端执行的流程包括:
基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核;所述签名信息,包括:至少对所述可执行模块哈希表进行签名得到签名信息;
当审核通过时,加载所述数据包中的所述可执行模块。
进一步的,所述数据包的组成部分包括以下几段:数据包头、哈希表段和可执行模块段;
所述哈希表段包括:启动镜像头、可执行模块哈希表、以及所述签名信息。
进一步的,所述哈希表段,还包括:对哈希表段进行哈希计算得到的哈希表段哈希表。
进一步的,基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核,包括:
对签名信息进行鉴权;
当鉴权通过后,进行以下至少一项比对工作:
1)对可执行模块进行哈希计算得到第一动态哈希表,将第一动态哈希表与数据包中的可执行模块哈希表进行比对;
2)对哈希表段进行哈希计算得到第二动态哈希表,将第二动态哈希表与数据包中的哈希表段哈希表进行比对;
若所进行的各项比对的结果均一致,则审核通过,否则审核不通过。
进一步的,所述数据包的组成部分还包括:段表;所述段表包括:哈希表段头和可执行模块段头;
所述哈希表段,还包括:对段表进行哈希计算得到的段表哈希表,和/或,对哈希表段进行哈希计算得到的哈希表段哈希表。
进一步的,基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核,包括:
对签名信息进行鉴权;
当鉴权通过后,进行以下至少一项比对工作:
1)对可执行模块进行哈希计算得到第一动态哈希表,将第一动态哈希表与数据包中的可执行模块哈希表进行比对;
2)对哈希表段进行哈希计算得到第二动态哈希表,将第二动态哈希表与数据包中的哈希表段哈希表进行比对;
3)对段表进行哈希计算得到第三动态哈希表,将第三动态哈希表与数据包中的段表哈希表进行比对;
若所进行的各项比对的结果均一致,则审核通过,否则审核不通过。
进一步的,所述签名信息,还包括以下至少之一进行签名得到的签名信息:启动镜像头、段表哈希表、哈希表段哈希表。
进一步的,所述数据包为ELF格式、APK格式、DMG格式或者ZIP格式的数据包;所述可执行模块的类型,包括:内核模块或者应用模块。
本发明还提供一种主机终端,包括:
第一处理器,用于对可执行模块进行哈希计算得到可执行模块哈希表;
至少针对所述可执行模块哈希表进行签名得到签名信息;
至少针对所述可执行模块哈希表、所述签名信息以及所述可执行模块进行封装,发布封装后的数据包,以使目标端至少基于所述可执行模块哈希表、所述签名信息以及所述可执行模块对数据包进行审核并通过后,加载所述数据包中的所述可执行模块。
本发明还提供一种目标终端,包括:
第二处理器,用于基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核;所述签名信息,包括:至少对所述可执行模块哈希表进行签名得到签名信息;
当审核通过时,加载所述数据包中的所述可执行模块。
采用上述技术方案,本发明至少具有下列优点:
本发明所述可执行模块的提供、加载方法及终端,实现可执行模块的安全加载,应用在移动通讯终端***中的可执行模块中,例如内核模块或者应用模块的发布和加载过程中,通过对这些二进制的可执行模块的哈希表等信息进行签名,由移动通讯终端在加载该可执行模块前进行鉴权的方式,实现对该可执行模块的安全认证,避免可执行模块对***的注入性攻击。
附图说明
图1为本发明第一实施例的可执行模块的提供方法流程图;
图2为本发明第三实施例的可执行模块的加载方法流程图;
图3为本发明第五实施例的主机终端组成结构示意图;
图4为本发明第六实施例的目标终端组成结构示意图;
图5为本发明第七实施例的内核模块的提供和加载***中的签名单元的一种实现流程示意图;
图6为本发明第七实施例的内核模块的提供和加载***中的鉴权单元的一种实现流程示意图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明第一实施例,一种可执行模块的提供方法,如图1所示,在主机端执行的流程包括以下具体步骤:
步骤S101,对可执行模块进行哈希计算得到可执行模块哈希表。
具体的,本领域公知的,哈希计算是针对程序模块或者文件的二进制数值进行的哈希计算,得到哈希表。
步骤S102,至少针对所述可执行模块哈希表进行签名得到签名信息。
具体的,签名信息的格式包括以下两段:签名段和认证段。
步骤S103,至少针对所述可执行模块哈希表、所述签名信息以及所述可执行模块进行封装,发布封装后的数据包,以使目标端在获取到数据包时至少基于所述可执行模块哈希表、所述签名信息以及所述可执行模块对数据包进行审核并通过后,加载所述数据包中的所述可执行模块。
具体的,封装后的数据包的组成部分包括以下几段:数据包头、哈希表段和可执行模块段;其中,数据包头中放置该数据包的总文件大小、哈希表段头和可执行模块段头,哈希表段头的内容是哈希表段相对于该数据包起始位置的偏移量,可执行模块段头的内容是可执行模块段相对于该数据包起始位置的偏移量。可执行模块段中放置的是可执行模块。
该哈希表段,包括:启动镜像头、可执行模块哈希表、以及签名信息,其中,启动镜像头用于记录可执行模块哈希表相对于该启动镜像头起始位置的偏移量、以及签名信息相对于该启动镜像头起始位置的偏移量。
优选的,该哈希表段,还包括:对哈希表段进行哈希计算得到的哈希表段哈希表。实际上就是将针对哈希表段中的所有内容即启动镜像头、可执行模块哈希表、以及签名信息进行哈希计算得到的结果,也放入该哈希表段中。
在本实施例中,该数据包为ELF格式、APK格式、DMG格式或者ZIP格式的数据包。该可执行模块的类型,包括:内核模块或者应用模块。
本发明第二实施例,一种可执行模块的提供方法,本实施例所述方法与第一实施例大致相同,区别在于,该数据包的组成部分还包括:段表。该哈希表段,还包括:段表哈希表,和/或,哈希表段哈希表。以及,本实施例的步骤S102中的签名信息也有些不同。
具体的,在本实施例中,该数据包的组成部分包括以下几段:数据包头、段表、哈希表段和可执行模块段,这类似于ELF格式;其中,该段表包括:哈希表段头和可执行模块段头,哈希表段头的内容是哈希表段相对于该数据包起始位置的偏移量,可执行模块段头的内容是可执行模块段相对于该数据包起始位置的偏移量。
此时,该哈希表段,除了包括启动镜像头、可执行模块哈希表、以及签名信息之外,还包括:对段表进行哈希计算得到的段表哈希表,和/或,对哈希表段进行哈希计算得到的哈希表段哈希表。
当哈希表段不包含段表哈希段时,对哈希表段进行哈希计算得到的哈希表哈希段是指:针对启动镜像头、可执行模块哈希表、以及签名信息进行哈希计算得到的结果;当哈希表段包含段表哈希段时,对哈希表段进行哈希计算得到的哈希表哈希段是指:针对此时哈希表段的所有内容即启动镜像头、可执行模块哈希表、签名信息、以及段表哈希段进行哈希计算得到的结果。
在步骤S102中,至少针对所述可执行模块哈希表进行签名得到签名信息,包括:仅针对所述可执行模块哈希表进行签名得到签名信息;或者,
对所述可执行模块哈希表、以及以下至少之一进行签名得到的签名信息:启动镜像头、段表哈希表、哈希表段哈希表。签名信息的格式包括以下两段:签名段和认证段。
本发明第三实施例,与第一实施例中主机终端运行的可执行模块提供方法对应,本实施例介绍一种可执行模块的加载方法,如图2所示,在目标端执行的流程包括:
步骤S301,获取数据包。
具体的,获得的数据包的组成部分包括以下几段:数据包头、哈希表段和可执行模块段,其中,数据包头中放置该数据包的总文件大小、哈希表段头和可执行模块段头,哈希表段头的内容是哈希表段相对于该数据包起始位置的偏移量,可执行模块段头的内容是可执行模块段相对于该数据包起始位置的偏移量。
该哈希表段,包括:启动镜像头、可执行模块哈希表、以及所述签名信息,其中,启动镜像头用于记录可执行模块哈希表相对于该启动镜像头起始位置的偏移量、以及所述签名信息相对于该启动镜像头起始位置的偏移量。
优选的,该哈希表段,还包括:对哈希表段进行哈希计算得到的哈希表段哈希表。
步骤S302,基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核;所述签名信息,包括:至少对所述可执行模块哈希表进行签名得到签名信息;
具体的,步骤S302,包括:
A1:对签名信息进行鉴权。具体的,对该签名信息中的签名段和认证段分别进行鉴权,均鉴权通过时才算作对该签名信息鉴权通过。
A2:当鉴权通过后,进行以下至少一项比对工作:
1)对可执行模块进行哈希计算得到第一动态哈希表,将第一动态哈希表与数据包中的可执行模块哈希表进行比对;
2)对哈希表段进行哈希计算得到第二动态哈希表,将第二动态哈希表与数据包中的哈希表段哈希表进行比对;
若所进行的各项比对的结果均一致,则审核通过,否则审核不通过。
步骤S303,当审核通过时,加载所述数据包中的所述可执行模块。
在本实施例中,该数据包为ELF格式、APK格式、DMG格式或者ZIP格式的数据包。该可执行模块的类型,包括:内核模块或者应用模块。
本发明第四实施例,与第二实施例中主机端运行的可执行模块提供方法对应,本实施例介绍一种在目标端侧运行的可执行模块的加载方法。本实施例的加载方法与第三实施例大致相同,区别仅在于,该数据包的组成部分还包括:段表。该哈希表段,还包括:段表哈希表,和/或,哈希表段哈希表。以及,本实施例的签名信息组成和步骤S302的审核过程也有些不同。
具体的,在本实施例中,该数据包的组成部分包括以下几段:数据包头、段表、哈希表段和可执行模块段;其中,该段表包括:哈希表段头和可执行模块段头,哈希表段头的内容是哈希表段相对于该数据包起始位置的偏移量,可执行模块段头的内容是可执行模块段相对于该数据包起始位置的偏移量。
此时,该哈希表段,除了包括启动镜像头、可执行模块哈希表、以及签名信息之外,还包括:对段表进行哈希计算得到的段表哈希表,和/或,对哈希表段进行哈希计算得到的哈希表段哈希表。
该签名信息,包括:仅针对所述可执行模块哈希表进行签名得到签名信息;或者,对所述可执行模块哈希表、以及以下至少之一进行签名得到的签名信息:启动镜像头、段表哈希表、哈希表段哈希表。签名信息的格式包括以下两段:签名段和认证段。
在步骤S302中,基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核,包括:
B1:对签名信息进行鉴权;具体的,对该签名信息中的签名段和认证段分别进行鉴权,均鉴权通过时才算作对该签名信息鉴权通过。
B2:当鉴权通过后,进行以下至少一项比对工作:
1)对可执行模块进行哈希计算得到第一动态哈希表,将第一动态哈希表与数据包中的可执行模块哈希表进行比对;
2)对哈希表段进行哈希计算得到第二动态哈希表,将第二动态哈希表与数据包中的哈希表段哈希表进行比对;
3)对段表进行哈希计算得到第三动态哈希表,将第三动态哈希表与数据包中的段表哈希表进行比对;
若所进行的各项比对的结果均一致,则审核通过,否则审核不通过。
本发明第五实施例,一种主机终端,可以作为实体装置来理解,如图3所示,包括以下组成部分:
第一处理器10,用于对可执行模块进行哈希计算得到可执行模块哈希表;
至少针对所述可执行模块哈希表进行签名得到签名信息;
至少针对所述可执行模块哈希表、所述签名信息以及所述可执行模块进行封装,发布封装后的数据包,以使目标端至少基于所述可执行模块哈希表、所述签名信息以及所述可执行模块对数据包进行审核并通过后,加载所述数据包中的所述可执行模块。
本实施例中第一处理器10所完成的功能细节上与第一、二实施例中主机端侧的流程所涉及的具体步骤相对应。
本发明第六实施例,一种目标终端,可以作为实体装置来理解,如图4所示,包括以下组成部分:
第二处理器20,用于基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核;所述签名信息,包括:至少对所述可执行模块哈希表进行签名得到签名信息;
当审核通过时,加载所述数据包中的所述可执行模块。
本实施例中第二处理器20所完成的功能细节上与第三、四实施例中目标端端侧的流程所涉及的具体步骤相对应。
本发明第七实施例,本实施例是在上述实施例的基础上,以内核模块的开发和加载为例,结合附图5~6介绍一个本发明的应用实例。
本实施例的一种内核模块的提供和加载***,包括以下两个部分:签名单元和鉴权单元。签名单元的功能类似于第五实施例中的主机终端,鉴权单元的功能类似于第六实施例中的目标终端。
在签名单元中,首先对二进制内核模块进行哈希计算,生成哈希表,并对此哈希表进行签名,生成签名段(SignatureSection)和认证段(CertificateSection)。
然后,将此二进制内核模块封装为ELF格式的新的内核模块,封装的内容包括:ELF文件头(ELFHeader)、段表(ProgramHeaderTable)、哈希表段(HashTableSegment)、内核模块段(KernelModuleSegment)等。
其中,段表由两部分组成,包括:哈希表段头(HashTableHeader)、内核模块段头(KernelModuleHeader)。
哈希表段由六部分组成,包括:启动镜像头(BootImageHeader)、段表哈希表(HashSegment0)、哈希表段哈希表(HashSegment1)、内核模块哈希表(HashSegment1)、签名段、认证段等。
在鉴权单元中,内核在加载内核模块前,提取此封装后的ELF文件中的哈希表段中的认证段进行鉴权,若鉴权通过,则提取此内核模块中的签名段进行鉴权,若鉴权通过,则提取此封装后的ELF文件中的哈希表段中的各哈希表进行哈希表比对,若比对正确,则认为此内核模块合法,加载至内核空间。
若上述认证段鉴权、签名段鉴权、哈希表段比对过程中,任一过程未通过鉴权或比对,则认为此内核模块非法,拒绝加载至内核空间。
该***不仅可应用于内核模块签名、鉴权,也可扩展为对其它的可执行模块进行签名、鉴权,如:该***可对手机***中内核模块进行签名和鉴权,避免可执行程序对内核空间的非法操作。
如图5所示,下面介绍签名单元的一种实现流程,如下:
步骤C1:在主机端,对二进制内核模块进行哈希计算,生成哈希表。
步骤C2:在主机端,对哈希表进行签名,生成签名段和认证段。
步骤C3:在主机端,对二进制内核模块进行封装,生成包含哈希表、签名段、认证段等内容的新二进制内核模块。
相应的,如图6所示,介绍鉴权单元的一种实现流程,如下:
步骤D1:在目标端,内核提取内核模块中的认证段进行鉴权。
步骤D2:在目标端,内核提取内核模块中的签名段进行鉴权。
步骤D3:在目标端,内核提取内核模块中的哈希表段进行哈希表比对。
步骤D4:若步骤D1、D2、D3中,鉴权和比对均通过,则内核加载内核模块至内核空间;若鉴权和比对未通过,则内核拒绝加载内核模块至内核空间。实现对内核模块的安全认证,避免内核模块对***内核的注入性攻击。
本发明实施例的可执行模块的提供、加载方法及终端,实现可执行模块的安全加载,应用在涉及移动通讯终端***中的可执行模块,例如内核模块或者应用模块的发布和加载过程中,通过对二进制的可执行模块的哈希表等信息进行签名,由移动通讯终端在加载该可执行模块前进行鉴权的方式,实现对该可执行模块的安全认证,避免可执行模块对***的注入性攻击。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
Claims (16)
1.一种可执行模块的提供方法,其特征在于,在主机端执行的流程包括:
对可执行模块进行哈希计算得到可执行模块哈希表;
至少针对所述可执行模块哈希表进行签名得到签名信息;
至少针对所述可执行模块哈希表、所述签名信息以及所述可执行模块进行封装,发布封装后的数据包,以使目标端至少基于所述可执行模块哈希表、所述签名信息以及所述可执行模块对数据包进行审核并通过后,加载所述数据包中的所述可执行模块。
2.根据权利要求1所述的可执行模块的提供方法,其特征在于,封装后的数据包的组成部分包括以下几段:数据包头、哈希表段和可执行模块段;
所述哈希表段包括:启动镜像头、可执行模块哈希表、以及签名信息。
3.根据权利要求2所述的可执行模块的提供方法,其特征在于,所述哈希表段,还包括:对哈希表段进行哈希计算得到的哈希表段哈希表。
4.根据权利要求2所述的可执行模块的提供方法,其特征在于,所述数据包的组成部分还包括:段表,所述段表包括:哈希表段头和可执行模块段头;
所述哈希表段,还包括:对段表进行哈希计算得到的段表哈希表,和/或,对哈希表段进行哈希计算得到的哈希表段哈希表。
5.根据权利要求4所述的可执行模块的提供方法,其特征在于,至少针对所述可执行模块哈希表进行签名得到签名信息,包括:
对所述可执行模块哈希表进行签名得到签名信息;
或者,
对所述可执行模块哈希表、以及以下至少之一进行签名得到的签名信息:启动镜像头、段表哈希表、哈希表段哈希表。
6.根据权利要求1~5中任一项所述的可执行模块的提供方法,其特征在于,所述数据包为ELF格式、APK格式、DMG格式或者ZIP格式的数据包;所述可执行模块的类型,包括:内核模块或者应用模块。
7.一种可执行模块的加载方法,其特征在于,在目标端执行的流程包括:
基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核;所述签名信息,包括:至少对所述可执行模块哈希表进行签名得到签名信息;
当审核通过时,加载所述数据包中的所述可执行模块。
8.根据权利要求7所述的可执行模块的加载方法,其特征在于,所述数据包的组成部分包括以下几段:数据包头、哈希表段和可执行模块段;
所述哈希表段包括:启动镜像头、可执行模块哈希表、以及所述签名信息。
9.根据权利要求8所述的可执行模块的加载方法,其特征在于,所述哈希表段,还包括:对哈希表段进行哈希计算得到的哈希表段哈希表。
10.根据权利要求9所述的可执行模块的加载方法,其特征在于,基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核,包括:
对签名信息进行鉴权;
当鉴权通过后,进行以下至少一项比对工作:
1)对可执行模块进行哈希计算得到第一动态哈希表,将第一动态哈希表与数据包中的可执行模块哈希表进行比对;
2)对哈希表段进行哈希计算得到第二动态哈希表,将第二动态哈希表与数据包中的哈希表段哈希表进行比对;
若所进行的各项比对的结果均一致,则审核通过,否则审核不通过。
11.根据权利要求8所述的可执行模块的加载方法,其特征在于,所述数据包的组成部分还包括:段表;所述段表包括:哈希表段头和可执行模块段头;
所述哈希表段,还包括:对段表进行哈希计算得到的段表哈希表,和/或,对哈希表段进行哈希计算得到的哈希表段哈希表。
12.根据权利要求11所述的可执行模块的加载方法,其特征在于,基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核,包括:
对签名信息进行鉴权;
当鉴权通过后,进行以下至少一项比对工作:
1)对可执行模块进行哈希计算得到第一动态哈希表,将第一动态哈希表与数据包中的可执行模块哈希表进行比对;
2)对哈希表段进行哈希计算得到第二动态哈希表,将第二动态哈希表与数据包中的哈希表段哈希表进行比对;
3)对段表进行哈希计算得到第三动态哈希表,将第三动态哈希表与数据包中的段表哈希表进行比对;
若所进行的各项比对的结果均一致,则审核通过,否则审核不通过。
13.根据权利要求11所述的可执行模块的加载方法,其特征在于,所述签名信息,还包括以下至少之一进行签名得到的签名信息:启动镜像头、段表哈希表、哈希表段哈希表。
14.根据权利要求7~13中任一项所述的可执行模块的加载方法,其特征在于,所述数据包为ELF格式、APK格式、DMG格式或者ZIP格式的数据包;所述可执行模块的类型,包括:内核模块或者应用模块。
15.一种主机终端,其特征在于,包括:
第一处理器,用于对可执行模块进行哈希计算得到可执行模块哈希表;
至少针对所述可执行模块哈希表进行签名得到签名信息;
至少针对所述可执行模块哈希表、所述签名信息以及所述可执行模块进行封装,发布封装后的数据包,以使目标端至少基于所述可执行模块哈希表、所述签名信息以及所述可执行模块对数据包进行审核并通过后,加载所述数据包中的所述可执行模块。
16.一种目标终端,其特征在于,包括:
第二处理器,用于基于数据包中的可执行模块哈希表、可执行模块以及签名信息,对所述数据包进行审核;所述签名信息,包括:至少对所述可执行模块哈希表进行签名得到签名信息;
当审核通过时,加载所述数据包中的所述可执行模块。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410790412.XA CN105787352A (zh) | 2014-12-18 | 2014-12-18 | 一种可执行模块的提供、加载方法及终端 |
| PCT/CN2015/083043 WO2016095489A1 (zh) | 2014-12-18 | 2015-07-01 | 一种可执行模块的提供、加载方法、终端、存储介质 |
| PCT/CN2015/088659 WO2016095566A1 (zh) | 2014-12-18 | 2015-08-31 | 一种可执行模块的提供、加载方法及终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410790412.XA CN105787352A (zh) | 2014-12-18 | 2014-12-18 | 一种可执行模块的提供、加载方法及终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105787352A true CN105787352A (zh) | 2016-07-20 |
Family
ID=56125802
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410790412.XA Withdrawn CN105787352A (zh) | 2014-12-18 | 2014-12-18 | 一种可执行模块的提供、加载方法及终端 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105787352A (zh) |
| WO (2) | WO2016095489A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106815031A (zh) * | 2017-02-22 | 2017-06-09 | 百度在线网络技术(北京)有限公司 | 内核模块加载方法和装置 |
| CN107786504A (zh) * | 2016-08-26 | 2018-03-09 | 腾讯科技(深圳)有限公司 | Elf文件发布方法、elf文件校验方法、服务器及终端 |
| CN110389786A (zh) * | 2018-04-20 | 2019-10-29 | 伊姆西Ip控股有限责任公司 | 内核管理方法、设备和计算机程序产品 |
| WO2022001944A1 (zh) * | 2020-06-28 | 2022-01-06 | 中兴通讯股份有限公司 | Linux内核的修改方法、终端设备和存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107122663B (zh) * | 2017-04-28 | 2021-04-02 | 北京梆梆安全科技有限公司 | 一种注入攻击检测方法及装置 |
| CN107480056B (zh) * | 2017-07-31 | 2023-04-07 | 北京云测信息技术有限公司 | 一种软件测试方法和装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101796837A (zh) * | 2007-09-11 | 2010-08-04 | Lg电子株式会社 | 安全签名方法、安全认证方法和iptv*** |
| CN102812473A (zh) * | 2010-02-11 | 2012-12-05 | 惠普发展公司,有限责任合伙企业 | 基于可执行程序身份的文件访问 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040003390A1 (en) * | 2002-06-27 | 2004-01-01 | Microsoft Corporation | System and method for installing a software application in a non-impactfull manner |
| WO2007117585A2 (en) * | 2006-04-06 | 2007-10-18 | Smobile Systems Inc. | System and method for managing malware protection on mobile devices |
| US8239686B1 (en) * | 2006-04-27 | 2012-08-07 | Vudu, Inc. | Method and system for protecting against the execution of unauthorized software |
| CN102024120A (zh) * | 2009-09-18 | 2011-04-20 | 无锡安腾软件开发有限公司 | 使用数字签名检测软件是否经过篡改 |
| CN102640160B (zh) * | 2009-10-09 | 2015-02-11 | 诺基亚公司 | 用于控制资源访问的方法和装置 |
| CN102855274B (zh) * | 2012-07-17 | 2015-12-09 | 北京奇虎科技有限公司 | 一种可疑进程检测的方法和装置 |
-
2014
- 2014-12-18 CN CN201410790412.XA patent/CN105787352A/zh not_active Withdrawn
-
2015
- 2015-07-01 WO PCT/CN2015/083043 patent/WO2016095489A1/zh active Application Filing
- 2015-08-31 WO PCT/CN2015/088659 patent/WO2016095566A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101796837A (zh) * | 2007-09-11 | 2010-08-04 | Lg电子株式会社 | 安全签名方法、安全认证方法和iptv*** |
| CN102812473A (zh) * | 2010-02-11 | 2012-12-05 | 惠普发展公司,有限责任合伙企业 | 基于可执行程序身份的文件访问 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786504A (zh) * | 2016-08-26 | 2018-03-09 | 腾讯科技(深圳)有限公司 | Elf文件发布方法、elf文件校验方法、服务器及终端 |
| CN107786504B (zh) * | 2016-08-26 | 2020-09-04 | 腾讯科技(深圳)有限公司 | Elf文件发布方法、elf文件校验方法、服务器及终端 |
| CN106815031A (zh) * | 2017-02-22 | 2017-06-09 | 百度在线网络技术(北京)有限公司 | 内核模块加载方法和装置 |
| WO2018153052A1 (zh) * | 2017-02-22 | 2018-08-30 | 百度在线网络技术(北京)有限公司 | 内核模块加载方法和装置 |
| KR20190039279A (ko) * | 2017-02-22 | 2019-04-10 | 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 | 커널 모듈 로딩 방법 및 장치 |
| CN106815031B (zh) * | 2017-02-22 | 2020-03-24 | 百度在线网络技术(北京)有限公司 | 内核模块加载方法和装置 |
| KR102244281B1 (ko) * | 2017-02-22 | 2021-04-23 | 바이두 온라인 네트웍 테크놀러지 (베이징) 캄파니 리미티드 | 커널 모듈 로딩 방법 및 장치 |
| US11237844B2 (en) | 2017-02-22 | 2022-02-01 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method and apparatus for loading kernel module |
| CN110389786A (zh) * | 2018-04-20 | 2019-10-29 | 伊姆西Ip控股有限责任公司 | 内核管理方法、设备和计算机程序产品 |
| CN110389786B (zh) * | 2018-04-20 | 2022-10-14 | 伊姆西Ip控股有限责任公司 | 内核管理方法、电子设备和计算机可读存储介质 |
| WO2022001944A1 (zh) * | 2020-06-28 | 2022-01-06 | 中兴通讯股份有限公司 | Linux内核的修改方法、终端设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016095489A1 (zh) | 2016-06-23 |
| WO2016095566A1 (zh) | 2016-06-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105787352A (zh) | 一种可执行模块的提供、加载方法及终端 | |
| US9112854B1 (en) | Secure communication between applications on untrusted platforms | |
| US11042384B2 (en) | Managing the customizing of appliances | |
| CN107301343B (zh) | 安全数据处理方法、装置及电子设备 | |
| US10726130B2 (en) | Method and device for verifying upgrade of diagnosis connector of diagnostic equipment, and diagnosis connector | |
| CN106156635A (zh) | 终端启动方法和装置 | |
| CN110532766A (zh) | 一种基于多容器的可信应用程序的处理方法及相关设备 | |
| CN103561040A (zh) | 一种文件下载方法及*** | |
| CN104102499A (zh) | 移动终端及其软件升级的方法 | |
| US11310622B2 (en) | Integrated subscriber identity module having a core OS and an application OS | |
| CN103744686A (zh) | 智能终端中应用安装的控制方法和*** | |
| EP3343424A1 (en) | Control board secure start method, and software package upgrade method and device | |
| US10621335B2 (en) | Method and device for verifying security of application | |
| JP2018509723A (ja) | 動的なセキュリティーモジュール端末装置及びその駆動方法 | |
| CN111143854A (zh) | 芯片的安全下载启动装置、***及方法 | |
| CN107273742A (zh) | 一种安卓应用的授权安装方法、扫码支付终端、服务器及*** | |
| CN105873044B (zh) | 基于安卓平台的应用程序发布方法、开发者追溯方法和装置 | |
| US20210357198A1 (en) | Controlled scope of authentication key for software update | |
| CN111193707A (zh) | 一种基于企业浏览器的预验证访问方法和装置 | |
| CN108241798B (zh) | 防止刷机的方法、装置及*** | |
| CN104079527A (zh) | 一种信息处理方法及电子设备 | |
| CN105930730A (zh) | 在可信执行环境下终端***安全更新方法及装置 | |
| Plappert et al. | Secure and Lightweight ECU Attestations for Resilient Over-the-Air Updates in Connected Vehicles | |
| US11973762B2 (en) | System for prevention of unauthorized access using authorized environment hash outputs | |
| US11423160B2 (en) | System for analysis and authorization for use of executable environment data in a computing system using hash outputs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20160720 |
|
| WW01 | Invention patent application withdrawn after publication |