[发明专利]软件可信启动方法、装置、电子设备和存储介质

说明书

本申请实施例提供了一种软件可信启动方法、装置、电子设备和存储介质，该方法应用于电子设备，电子设备包括可信执行环境，可信执行环境包括可信执行内核，电子设备首先通过可信执行内核获取请求启动的待启动程序，然后再通过可信执行内核对待启动程序进行可信启动校验，其中，可信启动校验包括可信白名单校验，以及完整性校验和/或权限校验；当可信校验通过后，通过可信执行内核启动待启动程序。上述方法在待启动程序请求启动时，对待启动程序进行多种不同方式的可信启动校验，多种可信启动校验方式可以组成一条可信启动链，确保恶意的应用程序无法启动，从而避免用户的个人隐私或商业秘密被窃取，以保障电子设备的信息安全。

技术领域

本申请涉及应用安全技术领域，具体地，涉及一种软件可信启动方法、装置、电子设备和存储介质。

背景技术

随着移动互联网技术的快速发展，移动智能终端设备的应用程序已从传统的通信功能延伸到移动办公、移动支付等高安全、高敏感的应用领域。移动终端需要处理越来越多的商业秘密和个人隐私等敏感信息，如公司的商业文件、银行账户服务、个人购物订单等。

目前，移动终端上可安装的应用程序的数量和种类越来越多，若用户下载并安装了一些恶意的应用程序(即不可信应用程序)，在启动恶意的应用程序后，可能会导致移动终端面临着严峻的安全挑战和安全威胁，例如恶意订购、自动联网、木马软件和硬件后门等引起用户经济损失、敏感数据泄露的风险。

因此，如何保障移动终端的信息安全，防止恶意的应用程序窃取用户隐私是目前需要解决的技术问题。

发明内容

本申请实施例中提供了一种软件可信启动方法、装置、电子设备和存储介质，用于保障移动终端的信息安全，防止恶意的应用程序窃取用户隐私。

根据本申请实施例的第一个方面，提供了一种软件可信启动方法，应用于电子设备，所述电子设备包括可信执行环境，所述可信执行环境包括可信执行内核，所述方法包括：

通过所述可信执行内核获取请求启动的待启动程序；

对所述待启动程序进行可信启动校验，其中，所述可信启动校验包括可信白名单校验，以及完整性校验和/或权限校验；

当可信启动校验通过后，通过所述可信执行内核启动所述待启动程序。

在一种可选的实施方式中，对所述待启动程序进行可信白名单校验，包括：

通过所述可信执行内核对所述待启动程序进行可信白名单校验。

在一种可选的实施方式中，通过所述可信执行内核对所述待启动程序进行可信白名单过滤，包括：

获取预设的可信白名单，其中，所述可信白名单存储在所述可信执行环境的可信存储区域；

判断所述待启动程序是否存在于所述可信白名单中；

若存在，则判定可信白名单校验通过；

若不存在，则判定可信白名单校验未通过。

在一种可选的实施方式中，判断所述待启动程序是否存在于所述可信白名单中，包括：

获取待启动程序及所述待启动程序配置文件的特征值；其中，所述特征值是采用加密算法对所述待启动程序及所述待启动程序配置文件计算得到的；

当所述待启动程序及所述待启动程序配置文件的特征值与白名单中存储的特征值一致时，判定所述待启动程序存在于所述可信白名单中，否则，判定所述待启动程序不存在于所述可信白名单中。

在一种可选的实施方式中，可信执行环境还包括可信服务程序，若可信白名单过滤未通过，所述方法还包括：

将所述待启动程序的路径发送至所述可信服务程序；