应用运行方法、装置、电子设备和计算机可读存储介质与流程

本申请涉及计算机安全，特别是涉及一种应用运行方法、装置、电子设备和计算机可读存储介质。

背景技术：

1、随着移动互联网的发展，智能终端设备的应用越来越普遍。为了提供智能终端设备的丰富功能和可扩展性，并且保护用户隐私和信息安全，终端设备构建在提供开放式操作环境的富执行环境(rich execution environment，ree)和可信执行环境(trustedexecution environment)之上。ree无法直接访问tee的硬件和软件资源，因此tee能够抵御在ree侧发生的软件攻击，因此，在tee环境中执行可信应用程序(trusted application，ta)，可以很好地保障业务ta运行时的安全性，但tee本身不具备存储能力，往往将ta保存在外部存储空间，如emmc(embedded multi media card，内嵌式存储器)或者ufs(universalflash storage，通用闪存存储)中，在运行时再从外部加载到tee环境中执行，基于此，攻击者可以通过分析外部存储的ta文件，逆向编译ta代码，获取机密数据，影响业务安全。

2、传统方法大都是通过各种加密算法对外部存储的ta文件进行加密，而运行时在tee中进行解密，一旦出现解密密钥泄露的情形，所有设备的ta文件均不安全，导致数据的安全性不高。

技术实现思路

1、本申请实施例提供了一种应用运行方法、装置、电子设备、计算机可读存储介质，可以提高数据的安全性。

2、第一方面，本申请提供了一种应用运行方法。所述方法包括：

3、响应于对目标可信应用的运行触发，在可信执行环境中运行所述目标可信应用的可信应用文件，得到所述目标可信应用的业务程序和引导程序；

4、基于所述引导程序，将所述业务程序中的初始机器码转码为运行平台所对应的目标机器码，并执行所述目标机器码；所述初始机器码为预先定义的机器码。

5、第二方面，本申请还提供了一种应用运行装置。所述装置包括：

6、文件解析模块，用于响应于对目标可信应用的运行触发，在可信执行环境中运行所述目标可信应用的可信应用文件，得到所述目标可信应用的业务程序和引导程序；

7、机器码转码模块，用于基于所述引导程序，将所述业务程序中的初始机器码转码为运行平台所对应的目标机器码；所述初始机器码为预先定义的机器码；

8、运行模块，用于执行所述目标机器码。

9、第三方面，本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

10、响应于对目标可信应用的运行触发，在可信执行环境中运行所述目标可信应用的可信应用文件，得到所述目标可信应用的业务程序和引导程序；

11、基于所述引导程序，将所述业务程序中的初始机器码转码为运行平台所对应的目标机器码，并执行所述目标机器码；所述初始机器码为预先定义的机器码。

12、第四方面，本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

13、响应于对目标可信应用的运行触发，在可信执行环境中运行所述目标可信应用的可信应用文件，得到所述目标可信应用的业务程序和引导程序；

14、基于所述引导程序，将所述业务程序中的初始机器码转码为运行平台所对应的目标机器码，并执行所述目标机器码；所述初始机器码为预先定义的机器码。

15、第五方面，本申请还提供了一种计算机程序产品。所述计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

16、响应于对目标可信应用的运行触发，在可信执行环境中运行所述目标可信应用的可信应用文件，得到所述目标可信应用的业务程序和引导程序；

17、基于所述引导程序，将所述业务程序中的初始机器码转码为运行平台所对应的目标机器码，并执行所述目标机器码；所述初始机器码为预先定义的机器码。

18、上述应用运行方法、装置、电子设备、计算机可读存储介质及计算机程序产品，通过响应于对目标可信应用的运行触发，在可信执行环境中运行目标可信应用的可信应用文件，得到目标可信应用的业务程序和引导程序，基于引导程序，将业务程序中的初始机器码转码为运行平台所对应的目标机器码，并执行目标机器码，而初始机器码为预先定义的机器码，攻击者无法将初始机器码进行反编译而得到对应可信应用的业务实现逻辑，无法获取机密数据，从而可以保障可信应用安全运行，提高机密数据的安全性。

技术特征：

1.一种应用运行方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述将所述业务程序中的初始机器码转码为运行平台所对应的目标机器码，包括：

3.根据权利要求1所述的方法，其特征在于，所述基于所述引导程序，将所述业务程序中的初始机器码转码为运行平台所对应的目标机器码，并执行所述目标机器码，包括：

4.根据权利要求3所述的方法，其特征在于，所述引导程序包括转码模块和运行模块；所述基于所述引导程序，调用安全芯片的转码器，基于所述转码器将所述初始机器码转码为运行平台所对应的目标机器码，并执行所述目标机器码，包括：

5.根据权利要求1至4任一项所述的方法，其特征在于，在可信执行环境中运行所述目标可信应用的可信应用文件，得到所述目标可信应用的业务程序和引导程序之前，还包括：

6.根据权利要求1所述的方法，其特征在于，所述初始机器码的生成方式，包括：

7.根据权利要求1所述的方法，其特征在于，所述目标可信应用的可信应用文件的生成方式，包括：

8.一种应用运行装置，其特征在于，包括：

9.一种电子设备，包括存储器及处理器，所述存储器中储存有计算机程序，其特征在于，所述计算机程序被所述处理器执行时，使得所述处理器执行如权利要求1至7中任一项所述的方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的方法的步骤。

技术总结
本申请涉及一种应用运行方法、装置、计算机设备、存储介质和计算机程序产品。方法包括：响应于对目标可信应用的运行触发，在可信执行环境中运行目标可信应用的可信应用文件，得到目标可信应用的业务程序和引导程序；基于引导程序，将业务程序中的初始机器码转码为运行平台所对应的目标机器码，并执行目标机器码；初始机器码为预先定义的机器码。采用本方法能够保障可信应用安全运行，以及提高可信应用的机密数据的安全性。

技术研发人员：赵飞华
受保护的技术使用者：OPPO广东移动通信有限公司
技术研发日：
技术公布日：2024/3/27