[发明专利]用于动态创建应用程序执行环境以保护所述应用程序的方法以及相关的计算机程序产品和计算装置

说明书

发明内容

本申请涉及一种用于动态创建用来执行待保护的应用程序的环境以保护所述应用程序的方法，所述方法由计算装置实现，所述计算装置包括信息处理单元和存储器，所述存储器与所述信息处理单元相关并且包括操作系统、所述待保护的应用程序以及至少包括一个安全函数的安全库，所述操作系统包括函数库集，所述函数库集包括不安全函数库，所述待保护的应用程序在执行期间用来调用所述不安全函数库的函数。

本发明还涉及一种计算机程序产品，所述计算机程序产品包括软件指令，当所述软件指令由集成到计算装置中的信息处理单元实施时，所述软件指令实现这种方法。

本发明还涉及一种计算装置，包括：

-信息处理单元；

-存储器，所述存储器包括操作系统、至少一个待保护的应用程序，以及包括至少一个安全函数的安全库，所述存储器与所述信息处理单元相关；

所述操作系统包括函数库集，所述函数库集包括不安全函数库，所述待保护的应用程序被设计为调用来自所述不安全函数库的函数。

计算装置是已知的，例如上述类型的移动终端。该移动终端由安卓平台承载的应用程序进行管理。该安卓平台包括Linux内核，C或C++语言的函数库集，以及能够执行由安卓平台承载的应用程序的Dalvik虚拟机。

必须保护敏感性应用程序的操作，以保护由那些应用程序处理的数据且防止由移动终端丢失或被窃或移动终端与另一计算设备之间通信的拦截而引起的信息恢复的风险。于是一种数据保护方案包括修改每个待保护的应用程序的源代码或二进制代码，以使其调用包括适当安全函数的特定库。

然而，这种对应用程序的保护需要修改每个应用程序的源代码或二进制代码，这是相当受限的，而且当代码的修改是由第三方进行时，这样并不总是受到该应用程序提供商的允许。

因此，本发明的一个目的是提供一种用于针对待保护的应用程序动态创建执行环境的方法以及相关的计算装置，其能够保护应用程序，同时限制对操作系统代码、应用程序的环境或待保护的应用程序的修改。

为此，本发明涉及一种动态创建上述类型的执行环境的方法，其特征在于，该方法包括以下步骤，所述步骤由存储在存储器中用于动态创建执行环境的应用程序实现：

-加载所述安全库；

-将与所述待保护的应用程序相关的函数调用中的至少一个对不安全函数的调用替换为对所述安全库中的对应函数的调用；

-在替换步骤之后启动所述待保护的应用程序。

根据本发明的其他有利方面，该方法包括一个或更多个以下特征，这些特征可以单独考虑或进行任一技术可能的结合：

-所述替换步骤包括消除所述待保护的应用程序与所述不安全函数之间的动态链接，并在所述待保护的应用程序与所述安全库中的对应函数之间创建动态替换链接。

-在与所述待保护的应用程序相关的函数调用中，所有对数据存储函数的调用被替换为对所述数据存储的安全函数的调用。

-在与所述待保护的应用程序相关的函数调用中，所有对与另一计算装置交换数据的函数的调用被替换为对保护与所述另一计算装置数据交换的函数的调用。

-在与所述待保护的应用程序相关的函数调用中，所有对增加调试事件的函数的调用被替换为对删除调试事件的函数的调用。

-所述方法进一步包括：在启动所述应用程序的步骤之前，锁定在所述加载步骤期间加载的所述安全库以及在所述替换步骤期间进行的函数调用替换的步骤。

-所述方法进一步包括：在启动所述应用程序的步骤之前，对所述计算装置的用户进行认证并恢复用来解锁所述安全库的密钥的步骤。

-所述方法进一步包括：在启动所述应用程序的步骤之前，拦截在所述操作系统与所述待保护的应用程序之间交换的消息，并利用所述安全库的对应函数对所述消息进行处理的步骤。

-所述用于创建执行环境的应用程序是专用于所述待保护应用程序的应用程序，并且不同于所述操作系统。

-所述操作系统包括虚拟机，所述虚拟机用于执行所述应用程序。

-所述操作系统为安卓系统，并且所述虚拟机为Dalvik虚拟机。

本发明还涉及一种计算机程序产品，所述计算机程序产品包括软件指令，当所述软件指令由集成到计算装置中的信息处理单元实施时，所述软件指令实现上述方法。