【技术实现步骤摘要】
一种采用随机数机制的动态可信度量方法
本专利技术涉及可信计算领域中对动态可信度量,具体涉及一种采用随机数机制的动态可信度量方法。
技术介绍
为了解决计算机中高层应用存在的可信度和安全性度量的问题,许多学者已经提出了不少出色且符合可信计算标准的动态可信度量模型,并从一个或者多个角度检测和度量应用层上各类实体内的数据和行为的安全性,进而判断该实体是否可信。然而,部分模型的研究思路存在角度过于片面,计算结果集合{trust,suspicious,malicious}的判定条件不明确,计算方式过于复杂而导致时间性能降低等问题。当前的可信计算领域中对动态可信度量的研究已经取得了相当大的进展,并且衍生出了不少第三方基本技术虽有差异但可信计算理论一致的优秀的动态可信度量模型。例如,一种经典的基于客户端/服务器的动态可信度量模型中,客户端发送一项服务请求给服务器端,而服务器在接收到这项请求后返回一个随机数值给客户端,当客户端获取到服务器端的响应之后,从TPM的PCR寄存器中提取出系统和应用的完整性度量值,采用shal摘要算法与随机数值一并签名返回给服务器端,最后,服务器采用一定的方式对完整性度量值做出检测,从而判断出应用的可信程度。另有一种动态可信度量模型,它封装了比较常见的不安全的实体行为,从而形成了一个巨大的功能列表EL,这个列表就是作为处理多数不安全行为的方针和依据。此外,还有一种非常依赖于硬件支持的动态可信度量模型,它从可信计算平台的可信根开始,自顶向下广度优先遍历整棵结点树,对每一个结点做一一检测,通过这种硬件层的检测方法来支撑起上层应用的动态可信度量。当然,还 ...
【技术保护点】
一种采用随机数机制的动态可信度量方法,包括如下步骤:在可信计算平台上扩展出的数据校检模块即数据校检区,并在数据校检区的基础上引入随机数发生器RAND(),用于随机模拟流通于实体内的在任意动态时刻产生的数据,产生的数据包括可信的、恶意的和可疑的;紧接着,结合一系列判定规则,去检测和判明当前的执行实体的可信度,从确定实体是否能以预期的方式达到预期的目标;所述一系列判定规则包括微观实体行为序列理论,数据安全映射规则,基于概率计算的动态可信度量规则和判定结果改变规则中的一种以上。
【技术特征摘要】
1.一种采用随机数机制的动态可信度量方法,包括如下步骤:在可信计算平台上扩展出的数据校检模块即数据校检区,并在数据校检区的基础上引入随机数发生器RAND(),用于随机模拟流通于实体内的在任意动态时刻产生的数据,产生的数据包括可信的、恶意的和可疑的;紧接着,结合一系列判定规则,去检测和判明当前的执行实体的可信度,从确定实体是否能以预期的方式达到预期的目标;所述一系列判定规则包括微观实体行为序列理论,数据安全映射规则,基于概率计算的动态可信度量规则和判定结果改变规则中的一种以上。2.根据权利要求1所述的一种采用随机数机制的动态可信度量方法,其特征在于数据校检区包括安全数据通过区、不安全数据校验区、可疑数据校验区和恶意数据校验区;将数据校检区补充到传统的可信计算平台上,得到了扩展后的可信计算平台。3.根据权利要求1所述的一种采用随机数机制的动态可信度量方法,其特征在于所述随机数发生器RAND()用于模拟产生在应用程序内流通的数据,随机数发生器的两个重要性质:(1)、当RAND()不用于模拟实体内流通数据时,其本身产生的数据是没有任何意义的;(2)、当RAND()用于模拟实体内流通的数据时,RAND()产生的数据将具有了类别之分,即模拟了流通在实体内的安全数据、可疑数据和恶意数据。4.根据权利要求1所述的一种采用随机数机制的动态可信度量方法,其特征在于所述随机数模拟是让随机数发生器RAND()与一个给定的应用程序关联起来,成为应用程序内的数据流通者,并在每时每刻产生实体内流通的数据,而这些数据因为关联而有了安全、可疑和恶意的分类,进而实现了数据模拟。5.根据权利要求1所述的一种采用随机数机制的动态可信度量方法,其特征在于借助扩展可信计算平台上的数据校检模块,动态度量当前实体的数据的安全性,进而判定实体的可信程度,将随机数发生器的种子设为当前时间,以体现实体不可信的发生时随机变化的,这时的随机数发生器可以表示为RAND(Seed(Current))。6.根据权利要求5所述的一种采用随机数机制的动态可信度量方法,其特征在于所述数据校检模块中,将数据划分为可疑数据和非可疑数据这两类,非可疑数据包括安全数据和恶意数据两类,对于可疑数据,用a[modify(a)]表示可疑数据,表示a可能发生意外改写,用表示非可疑数据,表示a没有被改写的可能,这样数据便做好了初步的分类;假设数据的安全性范围是Safety=[s1,s2]。此后,数据分类就可以细化了,进而得到了提出扩展可信计算平台时的数据分类,显然是安全的,是恶意的,就是在前面做初次分类的时候提到的非可疑数据,则非可疑数据实现了安全与恶意的细化分类,而仍用a[modify(a)]来表示可疑数据。7.根据权利要求6所述的一种采用随机数机制的动态可信度量方法,其特征在于一系列判定规则中的判定结果改变规则是:在做好了数据分类之后,引入数据安全性映射的定义和表达,数据安全性映射是以当前实体的行为序列中某一动态时刻下的子行为数据集合为定义域,以数据安全性认证集合ST={safe,suspicious,malicious}为值域的特殊映射,数据安全性集认证集合与数据的分类...
【专利技术属性】
技术研发人员:余松森,张剑涛,郑悦墀,赵振宇,余承达,龚玉洁,
申请(专利权)人:华南师范大学,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。