本發明提供了一種測試可信環境下API安全性的方法、裝置及存儲介質。所述方法包括：根據被檢測TEE的API文檔，生成相關的模糊測試數據；加載模糊測試工具，并將模糊測試工具導入到測試設備的指定路徑下；運行模糊測試工具，將被檢測TEE的API的相關的模糊測試數據不斷地送入到模糊測試工具的測試例中，生成被檢測TEE的API的模糊測試報告。本發明可對TEE Internal API的安全性進行全方位的測試，實時準確捕捉異常的產生，具有高度自動化、運行靈活、易于移植等特點；此外，測試報告不僅有直觀的檢測結果，同時也包括了產生異常的API名稱、測試項數和關鍵步驟比對次數，更包含了導致異常的模糊測試數據，出錯的詳細代碼行數，便于TEE廠商進行錯誤重現，定位代碼實現問題。

技術領域

本發明涉及模糊測試領域，尤其涉及一種測試可信環境下API安全性的方法、裝置及存儲介質。

背景技術

模糊測試(Fuzzing Test)是一種自動或半自動化地提供非預期的輸入，并通過監視異常結果來發現實際的軟件實現的漏洞。模糊測試的概念最早是由UniversityofWisconsin Madison的Professor Barton Miller和他的學生提出的，他在高級操作系統課程上，實現了一個簡單原始的模糊器(fuzzer)來測試UNIX系統的健壯性。2006年開始，模糊測試技術在軟件檢測領域得到了長足的發展，2007年，team509安全團隊的wushi通過模糊測試技術發現了QQ的一個溢出漏洞，wushi本著“負責任的漏洞披露過程”將漏洞細節告知了騰訊安全團隊。為此，騰訊還專門發布了一個安全公告。2008年Godefroid等人，利用Fuzzing工具SAGE發現大型Windows應用程序中二十多個未知漏洞。近幾年一些開源的模糊器和模糊測試框架漸漸走向成熟，例如American fuzzy lop，Peach，Sulley等，在發現軟件漏洞這一領域，均取得了不俗的成果。模糊測試顯然已經成為發現軟件漏洞的重要手段與測試方式之一，然而實時高效準確地監控異常的監控模塊一直是實現模糊測試工具的難點。

可信執行環境TEE(Trusted Execution Environment)是一個與移動智能終端設備上富執行環境REE(Rich Execution Environment)并存的操作系統，它提供了一個與Rich OS(通常是Android)隔離的運行環境，為移動支付、數字版權保護、身份驗證和敏感信息存儲等保駕護航。在具有TEE的移動設備上，一個應用程序，是由在REE(比如Android)端的CA(Client Application)和TEE中的TA(Trusted Application)兩部分共同組成的。TEE的隔離設置是保障應用安全的重中之重，典型的TEE框架如圖1所示。然而當TEE系統被攻破時，其提供的一切安全服務不再有任何可信度，應用的安全更無從談起，所以TEE自身的安全性就顯得尤為重要。近幾年隨著TEE技術的快速發展與實際應用(指紋解鎖、手機轉賬等)，針對TEE報出的漏洞也是層出不窮，例如QSEE的提權漏洞(CVE-2015-6639)，可以利用該漏洞來提取密鑰等重要敏感信息。2017年8月17日，iOS的Secure Enclave(Apple的TEE系統)固件的密鑰被公布。

在基于TEE安全技術的移動智能設備飛速增長的今天，TEE潛在的安全隱患不容忽視，因此對TEE Internal API開展行之有效的模糊測試刻不容緩。

應該注意，上面對技術背景的介紹只是為了方便對本發明的技術方案進行清楚、完整的說明，并方便本領域技術人員的理解而闡述的。不能僅僅因為這些方案在本發明的背景技術部分進行了闡述而認為上述技術方案為本領域技術人員所公知。

發明內容

本發明實施例提供一種測試可信環境下API安全性的方法、裝置及存儲介質，以實現對TEE Internal API開展行之有效的模糊測試，并能實時監控并記錄異常的產生，以及自動生成詳細的測試報告及原始記錄，以備后續的漏洞分析與滲透測試。