本申請實施例提供了一種軟件安裝方法、裝置、電子設備和存儲介質，該軟件安裝方法應用于軟件安裝系統中的電子設備，所述軟件安裝系統還包括可信監視系統，所述電子設備包括可信執行系統，所述可信執行系統包括可信執行內核，電子設備在安裝軟件包之前，通過所述可信執行內核對待安裝的軟件包的簽名信息進行簽名驗證，其中，簽名信息是由可信監視系統對待安裝的軟件包進行可信應用簽名獲得的。在簽名驗證通過之后，再通過所述可信執行內核對待安裝的軟件包進行安裝，若簽名驗證不通過，則可信執行內核阻止軟件安裝，從而可以避免在電子設備上安裝一些惡意的或不可信的應用軟件，避免用戶的個人隱私和財產安全受到威脅。

技術領域

本申請涉及應用安全技術領域，具體地，涉及一種軟件安裝方法、裝置、電子設備和存儲介質。

背景技術

近年來，移動設備(例如智能手機和平板電腦)的發展十分迅速，伴隨著移動設備的發展，移動終端的應用軟件也越來越多，因此移動終端的應用軟件的安全性越發重要。當前，應用商店里可能存在一些惡意的或不可信的應用軟件，這些應用軟件可能會惡意竊取用戶的隱私或惡意收取費用。

若移動終端從應用商店下載并安裝了惡意的或不可信的應用軟件，可能會導致商業秘密或個人隱私等敏感信息面臨嚴重安全威脅，當移動終端處于企業內網時，甚至可能造成企業內網被惡意攻擊。

因此，如何避免安裝一些惡意或不可信的應用軟件是本領域需要解決的技術問題。

發明內容

本申請實施例中提供了一種軟件安裝方法、裝置、電子設備和存儲介質，用于避免在電子設備上安裝惡意或不可信的應用軟件。

根據本申請實施例的第一個方面，提供了一種軟件安裝方法，應用于軟件安裝系統中的電子設備，所述軟件安裝系統還包括可信監視系統，所述電子設備包括可信執行系統，所述可信執行系統包括可信執行內核，所述方法包括：

通過所述可信執行內核獲取待安裝的軟件包；

通過所述可信執行內核對所述待安裝的軟件包的簽名信息進行簽名驗證，其中，所述簽名信息由所述可信監視系統對待安裝的軟件包進行可信應用簽名獲得的；

在簽名驗證通過后，通過所述可信執行內核對所述待安裝的軟件包進行安裝。

在一種可選的實施方式中，所述可信執行系統還包括可信服務程序，在通過所述可信執行內核獲取待安裝的軟件包之后，通過所述可信執行內核對所述待安裝的軟件包的簽名信息進行簽名驗證之前，所述方法還包括：

通過所述可信服務程序計算所述待安裝的軟件包的第一數字摘要；

通過所述可信執行內核根據所述第一數字摘要判斷所述待安裝的軟件包是否存在于可信白名單中；

若存在，則通過所述可信執行內核對所述待安裝的軟件包進行安裝。

在一種可選的實施方式中，在簽名驗證通過后，所述方法還包括：

通過所述可信執行內核將簽名驗證通過的所述待安裝的軟件包加入所述可信白名單中。

在一種可選的實施方式中，所述通過所述可信服務程序計算所述待安裝的軟件包的第一數字摘要，包括：

采用SM3算法計算所述待安裝的軟件包的第一數字摘要。

在一種可選的實施方式中，通過所述可信執行內核對所述待安裝的軟件包進行簽名驗證，包括：

獲取所述待安裝的軟件包的數字證書及簽名信息；

通過解密公鑰對所述簽名信息進行解密，獲得解密后的第二數字摘要；

判斷所述第一數字摘要和所述第二數字摘要是否相同；

若相同，則簽名驗證通過。