本发明总体上涉及数字安全。更具体地,本发明涉及对防止在主机装置的安全执行环境中可执行的可信应用的欺诈性回滚的技术改进。甚至更具体地,本发明涉及一种用于这样防止欺诈性回滚的方法、主机装置、可信应用、计算机化后端资源和计算机可读存储介质。
背景技术:
1、数字安全是用于保护功能性和数据免受无担保的信息披露、窃取或损坏的集合术语。数字安全广泛涉及对硬件、软件和数据的保护。主机装置,也称为网络主机,是适配为与网络上的其他主机进行通信的硬件装置。网络中的主机装置可包括发送或接收数据、服务或应用的客户端和服务器。
2、在近几十年信息技术研发快速发展的背景下,软件正持续变得越来越复杂。软件项目可能包括数百万行代码的情况并不少见。这带来的缺点是,每一行代码都可能潜在地与由例如编程错误导致的程序错误相关联。每个程序错误是例如有恶意意图的人或脚本的潜在攻击向量。显然,不同程序错误可能暴露不同安全漏洞。一些程序错误可能容易被检测到,而另一些则不那么容易被识别。操作系统内核程序错误的管理尤为关键,因为如果内核中的程序错误被利用,就存在危及整个系统的安全的风险。
3、为了在主机装置内安全地执行受保护功能性和数据,主机装置因此通常被配置有各种不同计算机化安全布置。安全布置可用于不同目的,其中一个目的是管理特定受保护功能性和数据的执行特权。受保护功能性和数据可被维持在安全布置的各种物理或虚拟位置中。本领域中已知的安全布置典型地涉及基于硬件的保护、基于软件的保护或它们的组合,以为受保护功能性和数据提供安全执行环境。
4、基于硬件的保护涉及将传统的内核执行环境划分成两个单独且各自隔离的执行环境,通常被称为富执行环境(ree)和可信执行环境(tee)。tee提供安全特征,安全特征隔离在tee内执行的应用的完整性以及它们的资源的保密性。因此,与在ree中执行的应用相比,在tee中执行的应用典型地与更高级别的安全相关联。因此,在tee中执行的应用通常被称为可信应用。尽管可信应用在tee中运行,但它们仍将需要访问由硬件资源维持的受保护功能性和数据。因此,所请求的硬件典型地由各种硬件支持来提供支持,该硬件支持确保可信应用可安全地访问受保护硬件资源。
5、基于软件的保护涉及在主机装置的软件内提供虚拟执行环境。可信应用仅被允许在该虚拟执行环境中执行,并且它们被配置为访问受保护硬件资源中的受保护功能性和数据。
6、即使上文提及的安全布置中的一个就位,主机装置仍可能易于受到一个或多个安全漏洞的影响。
7、具体来说,当执行可信应用的回滚时,可能暴露安全漏洞。回滚涉及将可信应用重新安装在历史执行状态中的技术,其中可信应用的受保护资产被“退回”到不早于当前状态的先前状态。例如,受保护资产可以是本地数字钱包的余额。
8、可信应用的回滚可能引发的一个安全漏洞与双重花费问题相关。双重花费问题可能发生在作为可信应用在安全执行环境中执行的本地数字钱包中。如果回滚的可信应用继续在无法进行即时在线支付验证的离线模式下操作,则可从已经消费过一次(即,在可信应用回滚之前)的本地数字钱包中消费数字货币。因此,相同数字货币被消费两次,即双重花费。相关安全漏洞可能在以下情况中发生:由于可信应用的回滚,表示有限数字资源(诸如服务订阅或许可方案)的受保护资产可能针对相同具体动作被使用一次以上,而这并非受保护资产的利益相关者的意图。
技术实现思路
1、根据上述观察,本发明人得出了有价值的技术见解,以解决或至少减轻前一小节中提到的挑战中的一个或多个。这些见解将在详细描述小节和附图中作为发明方面呈现。发明方面的列表并不被看作是详尽的,而只是特别有益的发明方面的概述。总体来说,除非本文另有明确定义,否则本文使用的所有术语都应根据它们在技术领域中的普通含义进行解释。
2、第一发明方面是一种防止在主机装置的安全执行环境中可执行的可信应用的欺诈性回滚的方法,所述可信应用包括受保护资产,所述方法涉及:重复地在所述可信应用内记录所述可信应用的执行状态,所述执行状态是所述可信应用的执行进度的单调函数;重复地致使在所述可信应用外部的实体中记录所述执行状态;在所述可信应用中发生事件时,向所述外部实体发送请求;从所述外部实体接收对所述请求的响应,所述响应包括使所述可信应用能够验证所述可信应用内的目前执行状态不早于如由所述外部实体所记录的最新执行状态的信息;以及取决于所述验证的结果来控制对所述受保护资产的访问,其中所述外部实体利用由所述外部实体保密的密码私钥将对所述可信应用的所述响应进行签名,并且其中作为由所述可信应用进行的所述验证的一部分,所述可信应用使用与所述密码私钥相对应的密码公钥来验证所述响应的所述签名。
3、第二发明方面是一种主机装置,所述主机装置包括用于执行可信应用的安全执行环境,所述可信应用包括受保护资产,所述主机装置被配置为通过执行根据第一发明方面所述的方法的功能性来防止所述可信应用的欺诈性回滚。
4、第三发明方面是一种可信应用,所述可信应用包括在主机装置的安全执行环境中可执行的计算机程序代码,所述可信应用包括受保护资产并且被配置为通过执行根据第一发明方面所述的方法的功能性来防止欺诈性回滚。
5、第四发明方面是一种用于防止在主机装置的安全执行环境中可执行的可信应用的欺诈性回滚的计算机化后端资源,所述可信应用包括受保护资产,所述计算机化后端资源被配置为执行根据第一发明方面所述的方法中的所述计算机化后端资源的功能性。
6、另外的发明方面是各自在其上存储有计算机程序的非暂态计算机可读存储介质,所述计算机程序包括计算机程序代码,所述计算机程序代码用于在根据第一发明方面所述的方法中分别执行所述主机装置、所述可信应用和所述计算机化后端资源的功能性。
7、发明方面的其他方面、目的、特征和优点将从以下详细公开内容以及从权利要求书和附图显现。总体来说,除非本文另有明确定义,否则本文使用的所有术语都应根据它们在技术领域中的普通含义进行解释。
8、应强调,术语“包括(comprises)/包括(comprising)”当在本说明书中使用时用来指明陈述的特征、整数、步骤或部件的存在,但不排除一个或多个其他特征、整数、步骤、部件或它们的组的存在或添加。除非本文另有明确定义,否则权利要求书中使用的所有术语都应根据它们在技术领域中的普通含义进行解释。除非本文另有明确陈述,否则对“一种/一个/所述[元件、设备、部件、装置、步骤等]”的所有引用应被开放性地解释为是指元件、设备、部件、构件、步骤等的至少一个实例。除非有明确陈述,否则本文公开的任何方法的步骤都不必按所公开的确切顺序执行。
9、如“[事物]被配置用于…[执行活动]”或“[事物]被配置为…[执行活动]”的表述将包括其中计算机化“事物”(具有一个或多个控制器、处理单元、可编程电路系统等)执行安装在计算机化“事物”中的软件或固件的典型情况,其中执行发生,以便执行所讨论的活动。
1.一种防止在主机装置(hd)的安全执行环境(see)中可执行的可信应用(ta)的欺诈性回滚的方法(500),所述可信应用(ta)包括受保护资产(ta_asset),所述方法(500)涉及:
2.如权利要求1所述的方法(500),
3.如任一项前述权利要求所述的方法(500),其中由所述方法(500)防止的所述欺诈性回滚是为之前已经执行一次的具体动作重新使用所述受保护资产(ta_asset)。
4.如任一项前述权利要求所述的方法(500),所述主机装置(hd)被配置用于在非安全普通执行环境(nee)中执行非安全普通应用(na),其中控制(550)对所述受保护资产(ta_asset)的访问涉及:当所述验证成功时,准予所述非安全普通应用(na)对所述受保护资产(ta_asset)的完全使用;以及当所述验证失败时,防止所述非安全普通应用(na)对所述受保护资产(ta_asset)的任何和所有访问使用。
5.如权利要求1至3中任一项所述的方法(500),所述主机装置(hd)被配置用于在非安全普通执行环境(nee)中执行非安全普通应用(na),其中控制(550)对所述受保护资产(ta_asset)的访问涉及:当所述验证成功时,准予所述非安全普通应用(na)完全使用所述受保护资产(ta_asset);以及当所述验证失败时,准予所述非安全普通应用(na)对所述受保护资产(ta_asset)的受限使用。
6.如权利要求5所述的方法(500),其中当所述验证失败时准予所述非安全普通应用(na)对所述受保护资产(ta_asset)的受限使用包括准予在某一时间段期间对所述受保护资产(ta_asset)的使用。
7.如权利要求5所述的方法(500),其中当所述验证失败时准予所述非安全普通应用(na)对所述受保护资产(ta_asset)的受限使用包括准予仅针对最大数量的动作对所述受保护资产(ta_asset)的使用。
8.如权利要求6所述的方法(500),其中当所述验证失败时准予所述非安全普通应用(na)对所述受保护资产(ta_asset)的受限使用包括准予针对第一类型的动作而不针对第二类型的动作对所述受保护资产(ta_asset)的使用。
9.如任一项前述权利要求所述的方法(500),
10.如权利要求9所述的方法(500),
11.如权利要求9或10所述的方法(500),
12.如权利要求9或10所述的方法(500),
13.如任一项前述权利要求所述的方法(500),
14.如任一项前述权利要求所述的方法(500),其中所述外部实体是包括受保护硬件资源(18)的主机装置(hd)。
15.如权利要求1至13中任一项所述的方法(500),其中所述外部实体是可通过一个或多个通信网络与所述主机装置(hd)连接的计算机化后端资源。
16.如权利要求15所述的方法(500),其中所述请求向所述计算机化后端资源的所述发送和所述响应从所述计算机化后端资源的所述接收涉及电路交换电信。
17.如权利要求16所述的方法(500),其中所述可信应用(ta)支持对所述受保护资产(ta_asset)进行操作并且涉及与所述计算机化后端资源进行分组交换广域网通信的动作。
18.如任一项前述权利要求所述的方法(500),其中,在发现所述可信应用(ta)内的所述目前执行状态不早于如由所述计算机化后端资源所记录的最新执行状态的情况下,所述计算机化后端资源禁止对所述受保护资产(ta_asset)进行操作的进一步动作。
19.如任一项前述权利要求所述的方法(500),其中所述可信应用(ta)中的所述事件是以下中的任一个:
20.如任一项前述权利要求所述的方法(500),其中所述安全执行环境(see)是基于软件的虚拟执行环境(vee),并且其中所述受保护资产(ta_asset)被维持在当在所述基于软件的虚拟执行环境(vee)中执行时所述可信应用(ta)可访问的受保护硬件资源(18)中。
21.如任一项前述权利要求所述的方法(500),其中所述受保护资产(ta_asset)表示有限数字资源,诸如服务订阅或许可方案。
22.如权利要求1至20中任一项所述的方法(500),其中所述可信应用(ta)是用于支付应用服务的安全数字钱包,并且所述受保护资产(ta_asset)表示所述安全数字钱包的余额。
23.如权利要求22所述的方法(500),其中所述可信应用(ta)支持由充当付款人装置的所述主机装置(hd)与充当收款人装置的外部通信装置之间的短距离无线通信传达的离线数字支付。
24.一种主机装置(hd),所述主机装置包括用于执行可信应用(ta)的安全执行环境(see),所述可信应用(ta)包括受保护资产(ta_asset),所述主机装置(hd)被配置为通过执行如权利要求1所述的方法(500)的功能性来防止所述可信应用(ta)的欺诈性回滚。
25.如权利要求24所述的主机装置,所述主机装置被进一步配置为执行如权利要求2至23中任一项所述的方法(500)的功能性。
26.一种可信应用(ta),所述可信应用包括可在主机装置(hd)的安全执行环境(see)中执行的计算机程序代码,所述可信应用(ta)包括受保护资产(ta_asset)并且被配置为通过执行如权利要求1所述的方法(500)的功能性来防止欺诈性回滚。
27.如权利要求26所述的可信应用(ta),所述可信应用被进一步配置为执行如权利要求2至23中任一项所述的功能性。
28.一种用于防止在主机装置(hd)的安全执行环境(see)中可执行的可信应用(ta)的欺诈性回滚的计算机化后端资源(be),所述可信应用(ta)包括受保护资产(ta_asset),所述计算机化后端资源(be)被配置为执行根据权利要求1所述的方法(500)中的所述计算机化后端资源的功能性。
29.如权利要求28所述的计算机化后端资源(be),所述计算机化后端资源被进一步配置为执行如权利要求2至23中任一项所述的、特别是如权利要求15至18中任一项所述的功能性。
30.一种在其上存储有计算机程序的非暂态计算机可读存储介质,所述计算机程序包括计算机程序代码,所述计算机程序代码用于在所述计算机程序代码由处理装置执行时执行如权利要求1至23中任一项所述的方法(500)中的所述主机装置(hd)的功能性。
31.一种在其上存储有计算机程序的非暂态计算机可读存储介质,所述计算机程序包括计算机程序代码,所述计算机程序代码用于在所述计算机程序代码由处理装置执行时执行如权利要求1至23中任一项所述的方法(500)中的所述可信应用(ta)的功能性。
32.一种在其上存储有计算机程序的非暂态计算机可读存储介质,所述计算机程序包括计算机程序代码,所述计算机程序代码用于在所述计算机程序代码由处理装置执行时执行如权利要求1至23中任一项所述的方法(500)中的所述计算机化后端资源(be)的功能性。