[发明专利]一种测试可信环境下API安全性的方法、装置及存储介质

说明书

本发明提供了一种测试可信环境下API安全性的方法、装置及存储介质。所述方法包括：根据被检测TEE的API文档，生成相关的模糊测试数据；加载模糊测试工具，并将模糊测试工具导入到测试设备的指定路径下；运行模糊测试工具，将被检测TEE的API的相关的模糊测试数据不断地送入到模糊测试工具的测试例中，生成被检测TEE的API的模糊测试报告。本发明可对TEE Internal API的安全性进行全方位的测试，实时准确捕捉异常的产生，具有高度自动化、运行灵活、易于移植等特点；此外，测试报告不仅有直观的检测结果，同时也包括了产生异常的API名称、测试项数和关键步骤比对次数，更包含了导致异常的模糊测试数据，出错的详细代码行数，便于TEE厂商进行错误重现，定位代码实现问题。

技术领域

本发明涉及模糊测试领域，尤其涉及一种测试可信环境下API安全性的方法、装置及存储介质。

背景技术

模糊测试(Fuzzing Test)是一种自动或半自动化地提供非预期的输入，并通过监视异常结果来发现实际的软件实现的漏洞。模糊测试的概念最早是由UniversityofWisconsin Madison的Professor Barton Miller和他的学生提出的，他在高级操作系统课程上，实现了一个简单原始的模糊器(fuzzer)来测试UNIX系统的健壮性。2006年开始，模糊测试技术在软件检测领域得到了长足的发展，2007年，team509安全团队的wushi通过模糊测试技术发现了QQ的一个溢出漏洞，wushi本着“负责任的漏洞披露过程”将漏洞细节告知了腾讯安全团队。为此，腾讯还专门发布了一个安全公告。2008年Godefroid等人，利用Fuzzing工具SAGE发现大型Windows应用程序中二十多个未知漏洞。近几年一些开源的模糊器和模糊测试框架渐渐走向成熟，例如American fuzzy lop，Peach，Sulley等，在发现软件漏洞这一领域，均取得了不俗的成果。模糊测试显然已经成为发现软件漏洞的重要手段与测试方式之一，然而实时高效准确地监控异常的监控模块一直是实现模糊测试工具的难点。

可信执行环境TEE(Trusted Execution Environment)是一个与移动智能终端设备上富执行环境REE(Rich Execution Environment)并存的操作系统，它提供了一个与Rich OS(通常是Android)隔离的运行环境，为移动支付、数字版权保护、身份验证和敏感信息存储等保驾护航。在具有TEE的移动设备上，一个应用程序，是由在REE(比如Android)端的CA(Client Application)和TEE中的TA(Trusted Application)两部分共同组成的。TEE的隔离设置是保障应用安全的重中之重，典型的TEE框架如图1所示。然而当TEE系统被攻破时，其提供的一切安全服务不再有任何可信度，应用的安全更无从谈起，所以TEE自身的安全性就显得尤为重要。近几年随着TEE技术的快速发展与实际应用(指纹解锁、手机转账等)，针对TEE报出的漏洞也是层出不穷，例如QSEE的提权漏洞(CVE-2015-6639)，可以利用该漏洞来提取密钥等重要敏感信息。2017年8月17日，iOS的Secure Enclave(Apple的TEE系统)固件的密钥被公布。

在基于TEE安全技术的移动智能设备飞速增长的今天，TEE潜在的安全隐患不容忽视，因此对TEE Internal API开展行之有效的模糊测试刻不容缓。

应该注意，上面对技术背景的介绍只是为了方便对本发明的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本发明的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。

发明内容

本发明实施例提供一种测试可信环境下API安全性的方法、装置及存储介质，以实现对TEE Internal API开展行之有效的模糊测试，并能实时监控并记录异常的产生，以及自动生成详细的测试报告及原始记录，以备后续的漏洞分析与渗透测试。