-
公开(公告)号:CN106446691B
公开(公告)日:2019-07-05
申请号:CN201611050817.5
申请日:2016-11-24
Applicant: 工业和信息化部电信研究院
IPC: G06F21/57
Abstract: 本发明提供了一种检测软件中集成或定制的开源项目漏洞的方法和装置,涉及软件漏洞检测技术领域。方法包括:从预先设置的搜集库中获取开源项目的原始漏洞信息;根据开源项目的原始漏洞信息,提取开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息;根据开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息建立漏洞检测数据库;漏洞检测数据库包括以预设索引顺序排列的各检测项;从待检测软件中提取待检测软件的代码和可执行文件;根据漏洞检测数据库中的各检测项,以预设索引顺序依次匹配检测待检测软件的代码和可执行文件,以确定待检测软件集成或定制的开源项目是否存在漏洞。
-
公开(公告)号:CN105391714B
公开(公告)日:2018-09-07
申请号:CN201510763582.3
申请日:2015-11-11
Applicant: 工业和信息化部电信研究院
Abstract: 本发明提供了一种移动应用软件自动化签名和验证方法及装置,涉及移动应用软件签名技术领域,方法包括:接收待检测的移动应用软件,并判断其是否包含第三方认证签名;若包含,对第三方认证签名进行验证,输出第一验证结果;若不包含,根据签名服务器上的第三方签名证书对移动应用软件进行第三方签名,并输出签名结果;接收已签名移动应用软件,对其检测机构签名进行验证;若验证通过,确定已签名移动应用软件是否处于一移动应用软件黑名单中;若验证未通过,向移动应用软件检测机构服务器发送未通过通知消息,接收移动应用软件检测机构服务器发送的打包文件,对移动应用软件检测机构服务器签名进行验签,并输出第二验证结果。
-
公开(公告)号:CN104361285B
公开(公告)日:2017-12-12
申请号:CN201410668238.1
申请日:2014-11-20
Applicant: 工业和信息化部电信研究院
IPC: G06F21/56
Abstract: 本发明提供了一种移动设备应用程序的安全检测方法及装置,涉及安卓应用检测技术领域,方法包括对多个待测应用程序进行特征码扫描,获取待测特征码;将所述待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定所述预存特征码中是否有所述待测特征码;将所述待测应用程序进行反编译,获取到所述待测应用程序的代码;通过所述待测应用程序的代码确定所述待测应用程序是否有风险;运行所述待测应用程序,根据所述待测应用程序的代码对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生。本发明能够解决当前对应用程序的安全检测不全面,对繁多的应用程序进行检测的时间较长的问题。
-
公开(公告)号:CN105447387B
公开(公告)日:2018-06-19
申请号:CN201510744721.8
申请日:2015-11-05
Applicant: 工业和信息化部电信研究院
IPC: G06F21/56
Abstract: 本发明提供了一种基于硬件隔离环境的可信应用检测的方法及装置,涉及可信执行环境技术领域。该方法包括:对待被检测的可信应用安装包进行信任链检测;若信任链检测合格,将可信应用安装包对应的可信应用安装于TEE环境中;运行可信应用,验证可信应用的执行时间的唯一性和原子性;若验证可信应用的执行时间的唯一性和原子性合格,提取可信应用的预先设置的应用标识,以及可信应用的代码和数据存储的地址空间值,进行应用间隔离检测;若对可信应用进行应用间隔离检测合格,对可信应用进行漏洞检测,确定可信应用是否为风险恶意应用。本发明可以解决TEE执行环境下的可信应用安全性问题。
-
公开(公告)号:CN105391714A
公开(公告)日:2016-03-09
申请号:CN201510763582.3
申请日:2015-11-11
Applicant: 工业和信息化部电信研究院
Abstract: 本发明提供了一种移动应用软件自动化签名和验证方法及装置,涉及移动应用软件签名技术领域,方法包括:接收待检测的移动应用软件,并判断其是否包含第三方认证签名;若包含,对第三方认证签名进行验证,输出第一验证结果;若不包含,根据签名服务器上的第三方签名证书对移动应用软件进行第三方签名,并输出签名结果;接收已签名移动应用软件,对其检测机构签名进行验证;若验证通过,确定已签名移动应用软件是否处于一移动应用软件黑名单中;若验证未通过,向移动应用软件检测机构服务器发送未通过通知消息,接收移动应用软件检测机构服务器发送的打包文件,对移动应用软件检测机构服务器签名进行验签,并输出第二验证结果。
-
Patent Agency Ranking
公开(公告)号:CN104361285A
公开(公告)日:2015-02-18
申请号:CN201410668238.1
申请日:2014-11-20
Applicant: 工业和信息化部电信研究院
IPC: G06F21/56
CPC classification number: G06F21/563 , G06F21/566
Abstract: 本发明提供了一种移动设备应用程序的安全检测方法及装置,涉及安卓应用检测技术领域,方法包括对多个待测应用程序进行特征码扫描,获取待测特征码;将所述待测特征码与一预先设置的特征码库中的预存特征码进行比对,确定所述预存特征码中是否有所述待测特征码;将所述待测应用程序进行反编译,获取到所述待测应用程序的代码;通过所述待测应用程序的代码确定所述待测应用程序是否有风险;运行所述待测应用程序,根据所述待测应用程序的代码对所述待测应用程序进行动态行为监控,确定所述待测应用程序运行时是否有恶意行为发生。本发明能够解决当前对应用程序的安全检测不全面,对繁多的应用程序进行检测的时间较长的问题。
-
公开(公告)号:CN104462942B
公开(公告)日:2018-03-27
申请号:CN201410670087.3
申请日:2014-11-20
Applicant: 工业和信息化部电信研究院
IPC: G06F21/50
Abstract: 本发明提供的移动终端可信用户输入输出接口的检测方法及系统,包括移动终端将自身的运行环境从可信任执行环境切换到通用执行环境,或者将自身的运行环境从通用执行环境切换到可信任执行环境;中央处理器状态捕捉器监测移动终端的运行环境变化,生成移动终端的中央处理器当前所处环境的状态信息,并发送给模拟安全键盘系统和模拟显示系统。模拟安全键盘系统根据状态信息生成安全键盘逻辑操作状态;模拟显示系统根据状态信息生成显示逻辑分析信息;数据处理系统根据预先设置的规则信息、安全键盘逻辑操作状态、状态信息确定可信用户输入输出接口是否正常工作。本发明能够解决当前难以对REE和TEE综合的环境下进行可信用户输入输出接口检测的问题。
-
公开(公告)号:CN106446691A
公开(公告)日:2017-02-22
申请号:CN201611050817.5
申请日:2016-11-24
Applicant: 工业和信息化部电信研究院
IPC: G06F21/57
CPC classification number: G06F21/577
Abstract: 本发明提供了一种检测软件中集成或定制的开源项目漏洞的方法和装置,涉及软件漏洞检测技术领域。方法包括:从预先设置的搜集库中获取开源项目的原始漏洞信息;根据开源项目的原始漏洞信息,提取开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息;根据开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息建立漏洞检测数据库;漏洞检测数据库包括以预设索引顺序排列的各检测项;从待检测软件中提取待检测软件的代码和可执行文件;根据漏洞检测数据库中的各检测项,以预设索引顺序依次匹配检测待检测软件的代码和可执行文件,以确定待检测软件集成或定制的开源项目是否存在漏洞。
-
公开(公告)号:CN105447387A
公开(公告)日:2016-03-30
申请号:CN201510744721.8
申请日:2015-11-05
Applicant: 工业和信息化部电信研究院
IPC: G06F21/56
CPC classification number: G06F21/566 , G06F2221/033
Abstract: 本发明提供了一种基于硬件隔离环境的可信应用检测的方法及装置,涉及可信执行环境技术领域。该方法包括:对待被检测的可信应用安装包进行信任链检测;若信任链检测合格,将可信应用安装包对应的可信应用安装于TEE环境中;运行可信应用,验证可信应用的执行时间的唯一性和原子性;若验证可信应用的执行时间的唯一性和原子性合格,提取可信应用的预先设置的应用标识,以及可信应用的代码和数据存储的地址空间值,进行应用间隔离检测;若对可信应用进行应用间隔离检测合格,对可信应用进行漏洞检测,确定可信应用是否为风险恶意应用。本发明可以解决TEE执行环境下的可信应用安全性问题。
-
公开(公告)号:CN104462942A
公开(公告)日:2015-03-25
申请号:CN201410670087.3
申请日:2014-11-20
Applicant: 工业和信息化部电信研究院
IPC: G06F21/50
Abstract: 本发明提供的移动终端可信用户输入输出接口的检测方法及系统,包括移动终端将自身的运行环境从可信任执行环境切换到通用执行环境,或者将自身的运行环境从通用执行环境切换到可信任执行环境;中央处理器状态捕捉器监测移动终端的运行环境变化,生成移动终端的中央处理器当前所处环境的状态信息,并发送给模拟安全键盘系统和模拟显示系统。模拟安全键盘系统根据状态信息生成安全键盘逻辑操作状态;模拟显示系统根据状态信息生成显示逻辑分析信息;数据处理系统根据预先设置的规则信息、安全键盘逻辑操作状态、状态信息确定可信用户输入输出接口是否正常工作。本发明能够解决当前难以对REE和TEE综合的环境下进行可信用户输入输出接口检测的问题。
-
-
-
-
-
-
-
-
-
Search Results
10
records
(took 0.033 seconds)
