本發明公開了一種應用程序安全驗證方法，在計算設備中執行，包括：在應用程序啟動運行時以及運行過程中，判斷待載入內存的目標文件是否為可執行文件；若目標文件為可執行文件，則將應用程序的當前進程號和可執行文件的文件名加入待驗證鏈表，將當前進程作為待驗證進程，將其狀態設置為休眠；獲取待驗證鏈表，驗證待驗證鏈表中的可執行文件的安全性，將驗證結果寫回待驗證鏈表；喚醒待驗證進程，根據進程號來查找待驗證鏈表中是否包括待驗證進程所操作的可執行文件的驗證結果，當查找到驗證結果時，根據驗證結果來允許或拒絕將相應的可執行文件載入內存，以使應用程序繼續運行或終止運行。本發明一并公開了相應的應用程序安全驗證裝置和計算設備。

技術領域

本發明涉及Linux應用安全技術領域，尤其涉及一種Linux操作系統下的用于驗證應用程序安全性的方法及裝置。

背景技術

Linux操作系統被廣泛應用于服務器、手機以及嵌入式等領域。隨著Linux系統的推廣和普及，基于Linux操作系統的應用程序越來越多，應用程序的安全性問題逐漸被開發者及用戶所重視。惡意的應用程序可能非法獲取用戶信息，病毒或惡意程序可能通過篡改系統中的其他程序來實現入侵，從而給系統安全帶來威脅。

因此，需要提供一種應用于Linux操作系統的應用程序安全驗證方法。

發明內容

為此，本發明提供一種應用程序安全驗證方法及裝置，以力圖解決或至少緩解上面存在的問題。

根據本發明的第一個方面，提供一種應用程序安全驗證方法，在計算設備中執行，包括：

可選地，在根據本發明的應用程序安全驗證方法中，在應用程序啟動運行時以及運行過程中，判斷待載入內存的目標文件是否為可執行文件；若目標文件為可執行文件，則將所述應用程序的當前進程號和所述可執行文件的文件名加入待驗證鏈表，將所述當前進程作為待驗證進程，并將其狀態設置為休眠；獲取所述待驗證鏈表，驗證待驗證鏈表中的可執行文件的安全性，將驗證結果寫回所述待驗證鏈表；喚醒待驗證進程，根據進程號來查找待驗證鏈表中是否包括待驗證進程所操作的可執行文件的驗證結果，當查找到驗證結果時，根據驗證結果來允許或拒絕將相應的可執行文件載入內存，以使應用程序繼續運行或終止運行。

可選地，在根據本發明的應用程序安全驗證方法中，可執行文件包括可執行程序和動態鏈接庫。

可選地，在根據本發明的應用程序安全驗證方法中，按照以下步驟來判斷待載入內存的目標文件是否為可執行文件：判斷內核可執行文件指針是否非空、目標文件對內存映射區域的權限是否為可讀且可執行、目標文件對內存映射區域的共享及存儲方式是否包括私有方式；若以上三個判斷條件均為是，則所述目標文件為可執行文件。

可選地，在根據本發明的應用程序安全驗證方法中，若以上三個判斷條件至少一個為否，則所述目標文件不是可執行文件，將所述目標文件載入內存，以便應用程序繼續運行。

可選地，在根據本發明的應用程序安全驗證方法中，在所述將所述應用程序的當前進程號和所述可執行文件的文件名加入待驗證鏈表的步驟之前，還包括步驟：判斷所述可執行文件是否位于預先配置的可信目錄；若所述可執行文件位于上述可信目錄，則將所述可執行文件載入內存，以使應用程序繼續運行。

可選地，在根據本發明的應用程序安全驗證方法中，可信目錄包括系統軟件目錄/usr與系統啟動目錄/boot。

可選地，在根據本發明的應用程序安全驗證方法中，可執行文件包括待載入數據、簽名和數字證書，所述簽名為采用所述數字證書對應的私鑰對所述待載入數據的映射值進行加密而得到；所述驗證待驗證鏈表中的可執行文件的安全性的步驟包括：計算所述待載入數據的映射值；采用所述數字證書中記載的公鑰對所述簽名進行解密，得到解密結果；若計算出的映射值與所述解密結果相同，則所述可執行文件安全。

可選地，在根據本發明的應用程序安全驗證方法中，映射值為哈希值。