本申请公开了一种基于双体系结构的可信计算平台的动态度量方法及装置,可信计算平台包括具有连接关系的可信计算模块与计算机主板,可信计算模块由可信平台控制模块、CPU和可信监控模块封装构成,该方法包括:在满足预定触发条件时,可信平台控制模块通过可信监控模块获取目标数据,并进行度量;如果度量结果不可信,则可信平台控制模块依据目标策略执行目标控制,其中,目标策略是目标数据对应的策略,目标策略中至少包括:度量对象和度量方法。通过本申请,解决了相关技术中TPM无法对应用执行及其所依赖的执行环境进行动态度量,导致不能对计算机进行全面防护的问题。
Dynamic Measurement Method and Device of Trusted Computing Platform Based on Dual Architecture
【技术实现步骤摘要】
基于双体系结构的可信计算平台的动态度量方法及装置
本申请涉及计算机信息防护领域,具体而言,涉及一种基于双体系结构的可信计算平台的动态度量方法及装置。
技术介绍
当前的网络空间极其脆弱,震网、Wannacry勒索病毒、Mirai等造成较大影响的网络攻击事件层出不穷,且日益猖獗。究其根源,在于并没有从网络安全风险的实质原因入手解决问题,一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段,防不胜防,特别在面对针对目标系统的漏洞发起的攻击时,根本无法有效防御。为解决当前网络空间安全面临的问题,国际上TCG组织提出了可信计算的方法,在保护计算机重要资源不被非法篡改和破坏方面,起到了一定的效果。但是,以TPM方式所实现的可信计算平台实质是单系统架构,且TPM仅能对计算机的固件和可执行程序等资源进行静态度量,无法对应用执行及其所依赖的执行环境进行动态度量,因此,TPM在对计算机的资源访问、控制上都有局限性。针对相关技术中存在的上述问题,目前尚未提出有效的解决方案。
技术实现思路
本申请的主要目的在于提供一种基于双体系结构的可信计算平台的动态度量方法及装置,以解决相关技术中TPM无法对应用执行及其所依赖的执行环境进行动态度量,导致不能对计算机进行全面防护的问题。为了实现上述目的,根据本申请的一个方面,提供了一种基于双体系结构的可信计算平台的动态度量方法。可信计算平台包括具有连接关系的可信计算模块与计算机主板,可信计算模块由可信平台控制模块、CPU和可信监控模块封装构成,该方法包括:在满足预定触发条件时,可信平台控制模块通过可信监控模块获取目标数据,并进行度量;如果度量结果不可信,则可信平台控制模块依据目标策略执行目标控制,其中,目标策略是目标数据对应的策略,目标策略中至少包括:度量对象和度量方法。进一步地,可信平台控制模块通过可信监控模块获取目标数据包括以下任意一种方式:度量代理程序通过可信监控模块将目标数据发送给可信平台控制模块,其中,度量代理程序为可信平台控制模块嵌入到计算机中的钩子函数,度量代理程序用于获取计算机相关信息及对计算机进行控制;度量代理程序通过可信监控模块将目标数据的存储地址发送给可信平台控制模块,可信平台控制模块通过PCIE总线从存储地址所指示的存储区中获取目标数据;度量代理程序通过可信监控模块将目标数据的存储地址发送给可信平台控制模块,可信平台控制模块通过可信监控模块从存储地址所指示的存储区中获取目标数据。进一步地,在满足预定触发条件时,可信平台控制模块通过可信监控模块获取目标数据,并进行度量包括:在达到预定时间点或预定时间周期时,可信平台控制模块通过可信监控模块获取计算机主板上的内存数据,并对内存数据进行度量;或者,当检测到目标行为时,可信平台控制模块通过可信监控模块获取计算机主板上的内存数据,并对内存数据进行度量。进一步地,当检测到目标行为时,可信平台控制模块通过可信监控模块获取计算机主板上的内存数据,并对内存数据进行度量包括:在检测到目标行为时,度量代理程序对目标行为进行拦截,并获取内存数据通过可信监控模块发送给可信平台控制模块,其中,内存数据中包括与目标行为相关的行为数据,行为数据包括:主体、客体、操作及执行环境;可信平台控制模块对行为数据进行度量;如果内存数据的度量结果可信,则可信平台控制模块控制度量代理程序解除对目标行为的拦截,执行目标行为。进一步地,当检测到目标行为时,可信平台控制模块通过可信监控模块获取计算机主板上的内存数据,并对内存数据进行度量包括:在检测到目标行为时,先允许目标行为执行,度量代理程序获取内存数据通过可信监控模块发送给可信平台控制模块,其中,内存数据中包括与目标行为相关的行为数据,行为数据包括:主体、客体、操作及执行环境;可信平台控制模块对行为数据进行度量;如果内存数据的度量结果不可信,可信平台控制模块根据可信策略对目标行为的后续相关行为进行控制。进一步地,在满足预定触发条件时,可信平台控制模块通过可信监控模块获取目标数据,并进行度量还包括:可信平台控制模块通过可信监控模块获取抽样采集到的CPU输入输出指令;可信平台控制模块根据CPU预定指令集对采集到的CPU输入输出指令进行度量,其中,如果采集到的CPU输入输出指令属于CPU预定指令集,则确定对CPU的度量结果可信;如果采集到的CPU输入输出指令不属于CPU预定指令集,则确定对CPU的度量结果不可信。进一步地,在满足预定触发条件时,可信平台控制模块通过可信监控模块获取目标数据,并进行度量还包括:可信平台控制模块通过可信监控模块获取PCIE设备的运行状态数据;可信平台控制模块对PCIE设备的运行状态数据进行度量。为了实现上述目的,根据本申请的另一方面,提供了一种基于双体系结构的可信计算平台的动态度量装置。可信计算平台包括具有连接关系的可信计算模块与计算机主板,可信计算模块由可信平台控制模块、CPU和可信监控模块封装构成,该装置包括:度量单元,用于在满足预定触发条件时,利用可信平台控制模块通过可信监控模块获取目标数据,并进行度量;执行单元,用于在度量结果不可信的情况下,利用可信平台控制模块依据目标策略执行目标控制,其中,目标策略是目标数据对应的策略,目标策略中至少包括:度量对象和度量装置。为了实现上述目的,根据本申请的另一方面,提供了一种存储介质,存储介质包括存储的程序,其中,该程序执行上述任意一项的一种基于双体系结构的可信计算平台的动态度量方法。为了实现上述目的,根据本申请的另一方面,提供了一种处理器,存储介质包括存储的程序,其中,该程序执行上述任意一项的一种基于双体系结构的可信计算平台的动态度量方法。通过本申请,采用以下步骤:在满足预定触发条件时,可信平台控制模块通过可信监控模块获取目标数据,并进行度量;如果度量结果不可信,则可信平台控制模块依据目标策略执行目标控制,其中,目标策略是目标数据对应的策略,目标策略中至少包括:度量对象和度量方法,解决了相关技术中TPM无法对应用执行及其所依赖的执行环境进行动态度量,导致不能对计算机进行全面防护的问题,进而达到了提高对计算机的度量效率的效果。附图说明构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是根据本申请实施例提供的一种基于双体系结构的可信计算平台的动态度量方法的流程图;图2是根据本申请实施例提供一种双体系结构的可信计算平台的示意图;以及图3是根据本申请实施例提供的一种基于双体系结构的可信计算平台的动态度量装置的示意图。具体实施方式需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等本文档来自技高网...
【技术保护点】
1.一种基于双体系结构的可信计算平台的动态度量方法,其特征在于,所述可信计算平台包括具有连接关系的可信计算模块与计算机主板,所述可信计算模块由可信平台控制模块、CPU和可信监控模块封装构成,其中,所述方法包括:在满足预定触发条件时,所述可信平台控制模块通过所述可信监控模块获取目标数据,并进行度量;如果度量结果不可信,则所述可信平台控制模块依据目标策略执行目标控制,其中,所述目标策略是所述目标数据对应的策略,所述目标策略中至少包括:度量对象和度量方法。
【技术特征摘要】
1.一种基于双体系结构的可信计算平台的动态度量方法,其特征在于,所述可信计算平台包括具有连接关系的可信计算模块与计算机主板,所述可信计算模块由可信平台控制模块、CPU和可信监控模块封装构成,其中,所述方法包括:在满足预定触发条件时,所述可信平台控制模块通过所述可信监控模块获取目标数据,并进行度量;如果度量结果不可信,则所述可信平台控制模块依据目标策略执行目标控制,其中,所述目标策略是所述目标数据对应的策略,所述目标策略中至少包括:度量对象和度量方法。2.根据权利要求1所述的方法,其特征在于,所述可信平台控制模块通过所述可信监控模块获取目标数据包括以下任意一种方式:度量代理程序通过所述可信监控模块将所述目标数据发送给所述可信平台控制模块,其中,所述度量代理程序为所述可信平台控制模块嵌入到计算机中的钩子函数,所述度量代理程序用于获取计算机相关信息及对计算机进行控制;所述度量代理程序通过所述可信监控模块将所述目标数据的存储地址发送给所述可信平台控制模块,所述可信平台控制模块通过PCIE总线从所述存储地址所指示的存储区中获取所述目标数据;所述度量代理程序通过所述可信监控模块将所述目标数据的存储地址发送给所述可信平台控制模块,所述可信平台控制模块通过所述可信监控模块从所述存储地址所指示的存储区中获取所述目标数据。3.根据权利要求2所述的方法,其特征在于,在满足预定触发条件时,所述可信平台控制模块通过所述可信监控模块获取目标数据,并进行度量包括:在达到预定时间点或预定时间周期时,所述可信平台控制模块通过所述可信监控模块获取所述计算机主板上的内存数据,并对所述内存数据进行度量;或者,当检测到目标行为时,所述可信平台控制模块通过所述可信监控模块获取所述计算机主板上的内存数据,并对所述内存数据进行度量。4.根据权利要求3所述的方法,其特征在于,当检测到目标行为时,所述可信平台控制模块通过所述可信监控模块获取所述计算机主板上的内存数据,并对所述内存数据进行度量包括:在检测到所述目标行为时,度量代理程序对所述目标行为进行拦截,并获取所述内存数据通过所述可信监控模块发送给所述可信平台控制模块,其中,所述内存数据中包括与所述目标行为相关的行为数据,所述行为数据包括:主体、客体、操作及执行环境;所述可信平台控制模块对所述行为数据进行度量;如果所述内存数据的度量结果可信,则所述可信平台控制模块控制所述度量代理程序解除对所述目标行为的拦截,执行所述目标行为。5.根据权利要求3...
【专利技术属性】
技术研发人员:孙瑜,王强,王涛,洪宇,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。