基于可信芯片的文件保护方法技术

本发明专利技术提供一种基于可信芯片的文件保护方法，基于配置可信芯片的可信主机实现，该方法包括：计算文件的度量值，将文件度量值保存于度量文件中，计算保存文件度量值的度量文件的度量值，将度量文件的度量值保存于可信芯片的非易失性存储区中；操作文件时，重新计算度量文件的度量值，从非易失性存储区中读取保存的度量文件的度量值，比较两个度量值，若一致，文件正常操作，若不一致，执行安全保护措施，包括禁止操作文件、生成日志报警等。本发明专利技术通过对度量文件进行度量，并将其度量值保存于可信芯片的非易失性存储区中，可同时保证文件及度量文件的完整性，提高系统安全性。

File protection method based on trusted chip

The present invention provides a method of file protection based on trusted chip, trusted host configuration based on trusted chip, the method comprises: a measurement value calculation file, the file stored in the file in metric metric, metric metric metric value calculation file to save the file, the file will measure the metric values stored in trusted chip the nonvolatile storage area; operating files, re calculated measure metric metric metric file, file read saved from the nonvolatile storage area in the two measure, if the same file, normal operation, if not, the implementation of security protection measures, including a ban on file operation generate alarm log. The invention measures the measurement file and stores the measurement value in the nonvolatile memory area of the trusted chip, and simultaneously ensures the integrity of the document and the measurement file, and improves the security of the system.

【技术实现步骤摘要】
基于可信芯片的文件保护方法
本专利技术涉及一种基于可信芯片的文件保护方法，属于信息安全

技术介绍
操作系统的文件安全管理十分重要，系统的关键性文件，如可执行二进制文件、系统库文件、可执行脚本文件等一旦被篡改，将导致严重的系统安全性问题。对文件进行度量，以及时发现可能已被篡改的文件，是一种有效的主动防御方法，文件度量的过程为：在安全环境下，预先计算文件的度量值(利用md5、sha1、sha256、SM3等算法计算文件的摘要值)，并保存度量值，后续操作文件时，计算该文件的度量值，与保存的度量值进行比较，若一致则表明文件未被篡改，若不一致，则表明文件已被篡改，此时，可采取禁止访问不安全文件、删除不安全文件、报警等措施，保证系统的安全性。然而，上述文件度量方法仍存在安全问题，这是因为，各文件的度量值一般保存于度量文件中，若文件被篡改，同时度量文件中对应该文件的度量值也被篡改，那么该文件的完整性保护将失效，因此，需要同时对文件及保存文件度量值的度量文件进行有效的保护。
技术实现思路
鉴于上述原因，本专利技术的目的在于提供一种基于可信芯片的文件保护方法，通过对度量文件进行度量，并将其度量值保存于可信芯片的非易失性存储区中，可同时保证文件及度量文件的完整性，提高系统安全性。为实现上述目的，本专利技术采用以下技术方案：一种基于可信芯片的文件保护方法，基于配置可信芯片的可信主机实现，该方法包括：计算保存文件度量值的度量文件的度量值，将度量文件的度量值保存于可信芯片的非易失性存储区中；操作文件时，重新计算度量文件的度量值，从非易失性存储区中读取保存的度量文件的度量值，比较两个度量值，若一致，文件正常操作，若不一致，执行安全保护措施。进一步的，该方法还包括：计算文件的度量值，将文件度量值保存于所述度量文件中。所述文件正常操作情况下，计算文件的度量值，将文件度量值与所述度量文件中对应该文件的文件度量值进行比较，若一致，文件正常操作，若不一致，执行安全保护措施。所述安全保护措施包括禁止操作文件、生成报警日志、删除文件等。初次操作所述可信芯片时，设置操作密码。本专利技术的优点是：本专利技术的基于可信芯片的文件保护方法，通过将文件的度量值保存于度量文件中，将度量文件的度量值保存于可信芯片的非易失性存储区中，操作文件时，先比较度量文件的度量值，再比较文件的度量值，可同时保证文件及度量文件的完整性，提高系统安全性。附图说明图1是本专利技术的方法流程示意图。具体实施方式以下结合附图和实施例对本专利技术作进一步详细的描述。本专利技术公开的基于可信芯片的文件保护方法，基于配置可信芯片(TPM：TrustedPlatformModule)的可信主机实现，可信芯片包括真随机数生成器、加密算法引擎、安全存储寄存器PCR、非易失性存储区(NV存储区)等，其中NV存储区为持久性的，即使设备掉电、重装系统等操作，NV存储区中的数据也不会丢失，可保证数据的不可变更性和安全性，可信芯片的架构及功能已属现有技术，本专利技术不作详细说明。如图1所示，本专利技术的基于可信芯片的文件保护方法，包括：在安全环境下，计算需要保护的文件的度量值，将文件度量值保存于度量文件中，计算度量文件的度量值，将度量文件的度量值保存于可信芯片的NV存储区；操作文件时，重新计算度量文件的度量值，从可信芯片的NV存储区中读取保存的度量文件的度量值，将二者进行比较，若不一致，则表明度量文件被篡改，需要采取相应的安全措施，如禁止访问文件、生成报警日志等，若一致，则度量文件未被篡改，计算文件的度量值，将文件度量值与度量文件中对应该文件的文件度量值进行比较，若一致，则表明文件未被篡改，可以正常操作，若不一致，则表明文件被篡改，需要采取相应的安全措施。初次操作可信芯片时，可信主机的归属人设置可信芯片的操作密码，后续只有输入正确的操作密码才能对可信芯片执行写操作，可进一步保证系统安全性。以上所述是本专利技术的较佳实施例及其所运用的技术原理，对于本领域的技术人员来说，在不背离本专利技术的精神和范围的情况下，任何基于本专利技术技术方案基础上的等效变换、简单替换等显而易见的改变，均属于本专利技术保护范围之内。本文档来自技高网...

【技术保护点】
基于可信芯片的文件保护方法，基于配置可信芯片的可信主机实现，其特征在于，该方法包括：计算保存文件度量值的度量文件的度量值，将度量文件的度量值保存于可信芯片的非易失性存储区中；操作文件时，重新计算度量文件的度量值，从非易失性存储区中读取保存的度量文件的度量值，比较两个度量值，若一致，文件正常操作，若不一致，执行安全保护措施。

【技术特征摘要】
1.基于可信芯片的文件保护方法，基于配置可信芯片的可信主机实现，其特征在于，该方法包括：计算保存文件度量值的度量文件的度量值，将度量文件的度量值保存于可信芯片的非易失性存储区中；操作文件时，重新计算度量文件的度量值，从非易失性存储区中读取保存的度量文件的度量值，比较两个度量值，若一致，文件正常操作，若不一致，执行安全保护措施。2.根据权利要求1所述的基于可信芯片的文件保护方法，其特征在于，还包括：计算文件的度量值，将文件度量值保存于所述度量文...

【专利技术属性】
技术研发人员：郑驰，梁思谦，
申请(专利权)人：大唐高鸿信安浙江信息科技有限公司，
类型：发明
国别省市：浙江,33