The invention relates to a security control method, which can not only measure the active security of the system hardware and operating system in the process of system startup, but also measure the security of the system running environment and data in the normal operation phase of the operating system. TPCM will retain the abnormal information and the log information of the unsafe factors measured, which will be aggregated into the trusted tube. After the psychological center audits and identifies potential risks, the system security can be further enhanced through the technical scheme of this implementation.
【技术实现步骤摘要】
一种安全控制方法
本专利技术涉及计算机安全领域,具体涉及一种安全控制方法。
技术介绍
随着我国国民经济、信息化建设和国防建设的快速发展,人们对高安全、高性能的信息安全应用产品的需要越来越迫切。基于可信计算的信息安全应用产品的研发将促进我国经济社会信息化进程、保障国家信息安全。为了满足对信息安全要求比较高的用户的需求,现有技术提供了拥有可信计算机平台、可信基本输出输出系统(BasicInputOutputSystem,BIOS)、可信存储和虚拟机监控等技术的新一代可信计算安全应用产品。这种可信计算安全应用产品一般需要对计算机系统进行可信度量,来提高其全性。可信计算组织(TrustedComputingGroup,TCG)最早提出并指定了可信计算行业标准。通过在主板上引入安全芯片来逐级建立信任链,并保证信任链的安全,最后在计算机硬件系统上构建一个安全可信的工作环境。TCG组织已经相继推出了两个版本的可信计算规范,其中规定了可信安全芯片的硬件组成结构、芯片内部功能、芯片指令接口、芯片硬件接口、芯片链接到主板的方式、芯片的使用方式等相关内容。现有的可信计算系统平台中,TPM、主板外围设备和BOOTROM被安置在系统设备控制器的总线上,作为从设备,由该系统设备控制器操作。因此,TPCM无法在CPU执行BIOS代码后,通过系统设备控制器对主板外围设备和BOOTROM进行保护,也就无法对该系统设备控制器芯片自身的启动及该启动之前的动作提供可信的计算环境;并且,TCG规范中只提供了操作系统(OperatingSystem,OS)层以下的可信传递流程,但并未给出信任传递的具 ...
【技术保护点】
1.一种安全控制方法,其特征在于,包括:步骤1:在启动系统之前,先令TPCM模块上电,对系统的相关硬件进行主动安全度量;步骤2:利用所述TPCM模块对虚拟机监视器进行主动安全度量;步骤3:调用所述TPCM对待启动的计算机操作系统进行安全度量;步骤4:调用所述TPCM对运行在所述操作系统之上的应用程序进行安全度量;步骤5:在系统运行时,可信软件基TSB识别操作系统中访问数据的用户、程序以及系统环境状态;步骤6:所述TSB将收集到的所述访问数据的用户、程序以及系统环境状态信息下发给所述TPCM。
【技术特征摘要】
1.一种安全控制方法,其特征在于,包括:步骤1:在启动系统之前,先令TPCM模块上电,对系统的相关硬件进行主动安全度量;步骤2:利用所述TPCM模块对虚拟机监视器进行主动安全度量;步骤3:调用所述TPCM对待启动的计算机操作系统进行安全度量;步骤4:调用所述TPCM对运行在所述操作系统之上的应用程序进行安全度量;步骤5:在系统运行时,可信软件基TSB识别操作系统中访问数据的用户、程序以及系统环境状态;步骤6:所述TSB将收集到的所述访问数据的用户、程序以及系统环境状态信息下发给所述TPCM。2.如权利要求1中所述的一种安全控制方法,其特征在于,还包括:所述识别操作系统中访问数据的用户包括通过所述TSB调用权限控制模块,从而获取用户的身份信息,所述身份信息包括用户ID。3.如权利要求1中所述的一种安全控制方法,其特征在于,还包括:所述识别操作系统中的程序以及系统环境状态,包括通过所述TSB调用动态度量模块,由所述动态度量模块对所述操作系统运行阶段的系统环境和进程状态信息进行主动安全度量。4.如权利要求1中所述的一种安全控制方法,其特征在于,所述步骤6还包括:所述信息通过GPIO、SPI或者I2C总线进行下发。5.如权利要求1中所述的一种安全控制方法,其特征在于,还包括:当步骤1-4中任一项度量不通过时,将表征度量不通过原因信息保存于所述TPCM中,并根据所述原因信息输出对应的处理策略信息。6.一种基于可信硬盘的可信控制方法,其特征在于,所述方法包括:步骤1.对可信硬盘上电,利用可信硬盘中的硬盘芯片上嵌入的TPCM模块对其所在系统中其他硬件进行度量,...
【专利技术属性】
技术研发人员:孙瑜,杨秩,洪宇,王涛,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。