【技术实现步骤摘要】
一种基于双体系结构的可信计算平台的动态度量方法
本专利技术涉及网络安全领域,特别地,涉及一种基于双体系结构的可信计算平台的动态度量方法。
技术介绍
当前的网络空间极其脆弱,震网、Wannacry勒索病毒、Mirai等造成较大影响的网络攻击事件层出不穷,且日益猖獗。究其根源,在于并没有从网络安全风险的实质原因入手解决问题,一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段,防不胜防,特别在面对针对目标系统的漏洞发起的攻击时,根本无法有效防御。为解决当前网络空间安全面临的问题,国际上TCG组织提出了可信计算的方法,提出了以TPM和BIOS起始代码为信任根,一级度量一级,进而构建起计算机的信任链,保护计算机重要资源不被非法篡改和破坏,起到了较好的效果。但是,TPM本质上只是计算机上一个被动挂接的外部设备,只有被主机程序调用才会发挥作用,且只能对计算机启动过程进行度量,无法对计算机运行过程进行度量,一旦主机被攻击者控制,TPM的作用就会无从发挥,导致TCG的可信计算架构在面对黑客利用可信计算平台逻辑缺陷进行攻击时,基本难以抵御。
技术实现思路
为了克服现有技术的不足,本专利技术提供一种保护计算机重要资源不被非法篡改和破坏的基于双体系结构的可信计算平台的动态度量方法。本专利技术解决其技术问题所采用的技术方案是:一方面:一种基于双体系结构的可信计算平台的动态度量方法,所述可信计算平台包括并行运行的防护子系统和计算子系统,所述计算子系统包括:主机CPU、内存以及主板上除主机CPU和内存之外的其他模块,用于完成计算任务,所述防护子系统包括:可信 ...
【技术保护点】
1.一种基于双体系结构的可信计算平台的动态度量方法,其特征在于:所述可信计算平台包括并行运行的防护子系统和计算子系统,所述计算子系统包括:主机CPU、内存以及主板上除主机CPU和内存之外的其他模块,用于完成计算任务,所述防护子系统包括:可信平台控制模块,用于对所述计算子系统进行主动度量和主动控制,所述主动度量包括动态度量,所述可信平台控制模块通过PCIE接口和预置接口与所述主板相连接,所述PCIE接口用于所述可信平台控制模块与主机CPU及内存之间的通信,所述预置接口用于所述可信平台控制模块与所述主板上除主机CPU和内存之外的其他模块之间的通信;所述方法包括:在满足动态度量触发条件时,所述可信平台控制模块获取所述计算子系统的度量对象的相关信息;根据与所述度量对象的相关信息相匹配的可信策略,对所述度量对象进行度量,并根据度量结果对所述计算子系统进行相应控制处理。
【技术特征摘要】
1.一种基于双体系结构的可信计算平台的动态度量方法,其特征在于:所述可信计算平台包括并行运行的防护子系统和计算子系统,所述计算子系统包括:主机CPU、内存以及主板上除主机CPU和内存之外的其他模块,用于完成计算任务,所述防护子系统包括:可信平台控制模块,用于对所述计算子系统进行主动度量和主动控制,所述主动度量包括动态度量,所述可信平台控制模块通过PCIE接口和预置接口与所述主板相连接,所述PCIE接口用于所述可信平台控制模块与主机CPU及内存之间的通信,所述预置接口用于所述可信平台控制模块与所述主板上除主机CPU和内存之外的其他模块之间的通信;所述方法包括:在满足动态度量触发条件时,所述可信平台控制模块获取所述计算子系统的度量对象的相关信息;根据与所述度量对象的相关信息相匹配的可信策略,对所述度量对象进行度量,并根据度量结果对所述计算子系统进行相应控制处理。2.根据权利要求1所述的一种方法,其特征在于:在所述防护子系统采用直接度量模式时,所述可信平台控制模块获取所述计算子系统的度量对象的相关信息,包括:所述可信平台控制模块通过所述PCIE接口直接访问内存,以获取内存数据,所述度量对象的相关信息包括所述内存数据;或者所述可信平台控制模块通过所述预置接口直接访问所述主板上的固件存储区,以获取主机固件,所述度量对象的相关信息包括所述主机固件。3.根据权利要求2所述的一种方法,其特征在于:所述根据度量结果对所述计算子系统进行相应控制处理,包括:所述可信平台控制模块通过所述PCIE接口直接对主机CPU及内存进行相应控制处理;或者所述可信平台控制模块通过所述预置接口直接对主板上除主机CPU及内存之外的其他模块进行相应控制处理。4.根据权利要求1所述的一种方法,其特征在于:在所述防护子系统采用代理度量模式时,所述可信平台控制模块获取所述计算子系统的度量对象的相关信息,包括:度量代理程序获取所述度量对象的相关信息,所述度量代理程序为所述防护子系统植入到所述计算子系统中的钩子函数,所述度量代理程序用于获取所述计算子系统的相关信息,以及对所述计算子系统进行控制,所述度量对象的相关信息包括:内存数据、主板上的固件存储区中的主机固件;所述度量代理程序通过PCIE接口将获取到的所述度量对象的相关信息发送给所述可信平台控制模块,或者,所述度量代理程序通过PCIE接口将所述度量对象的相关信息的地址发送给所述可信平台控制模块,以使所述可信平台控制模块通...
【专利技术属性】
技术研发人员:沈昌祥,孙瑜,王强,洪宇,
申请(专利权)人:沈昌祥,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。