【技术实现步骤摘要】
一种基于可信计算平台生成度量报告的方法及装置
本申请涉及计算机系统防护领域,具体而言,涉及一种基于可信计算平台生成度量报告的方法及装置。
技术介绍
相关技术中,当前的网络空间极其脆弱,震网、Wannacry勒索病毒、Mirai等造成较大影响的网络攻击事件层出不穷,且日益猖獗。究其根源,在于并没有从网络安全风险的实质原因入手解决问题,一味采用以“防火墙”、“病毒查杀”、“入侵检测”等为代表的“封堵查杀”被动防御手段,防不胜防,特别在面对针对目标系统的漏洞发起的攻击时,根本无法有效防御。为解决当前网络空间安全面临的问题,国际上TCG组织提出了可信计算的方法,提出了以TPM和BIOS(基本输入输出系统)起始代码为信任根,一级度量一级,进而构建起计算机的信任链,保护计算机重要资源不被非法篡改和破坏,起到了较好的效果。但是,TPM本质上只是计算机上一个被动挂接的外部设备,只有被主机程序调用才会发挥作用,一旦主机被攻击者控制,TPM的作用就会无从发挥,导致TCG的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时,基本难以抵御,例如Windows10完全实现了TCG的可信计算架构,但是却未能阻止Wannacry勒索病毒的攻击。由于TPM仅能实现对计算机的固件和可执行程序等资源的静态度量,故TPM的度量报告中仅有静态度量的度量结果,而且TPM并未对度量结果进行安全保护措施,度量结果可能会存在被篡改的风险,导致度量报告不可信。针对相关技术中存在的上述问题,目前尚未提出有效的解决方案。
技术实现思路
本申请的主要目的在于提供一种基于可信计算平台生成度量报告的方法及装置,以解 ...
【技术保护点】
1.一种基于可信计算平台生成度量报告的方法,其特征在于,所述可信计算平台包括并行的计算子系统与防护子系统,其中,所述计算子系统用于完成计算任务,所述防护子系统用于根据可信策略对所述计算子系统进行主动度量,所述主动度量包括静态度量和动态度量,所述方法包括:在所述防护子系统的可信平台控制模块中,分别将所述静态度量的结果扩展到静态度量的平台状态寄存器中,得到用于表征所述静态度量的度量过程可信的第一值;将所述可信策略的更新记录扩展到可信策略更新的平台状态寄存器中,得到用于表征所述可信策略可信的第二值;将所述动态度量的结果扩展到动态度量的平台状态寄存器中,得到用于表征所述动态度量的度量过程可信的第三值;在所述可信平台控制模块中,依据所述第一值、所述第二值及所述第三值生成度量报告。
【技术特征摘要】
1.一种基于可信计算平台生成度量报告的方法,其特征在于,所述可信计算平台包括并行的计算子系统与防护子系统,其中,所述计算子系统用于完成计算任务,所述防护子系统用于根据可信策略对所述计算子系统进行主动度量,所述主动度量包括静态度量和动态度量,所述方法包括:在所述防护子系统的可信平台控制模块中,分别将所述静态度量的结果扩展到静态度量的平台状态寄存器中,得到用于表征所述静态度量的度量过程可信的第一值;将所述可信策略的更新记录扩展到可信策略更新的平台状态寄存器中,得到用于表征所述可信策略可信的第二值;将所述动态度量的结果扩展到动态度量的平台状态寄存器中,得到用于表征所述动态度量的度量过程可信的第三值;在所述可信平台控制模块中,依据所述第一值、所述第二值及所述第三值生成度量报告。2.根据权利要求1所述的方法,其特征在于,将所述动态度量的结果扩展到动态度量的平台状态寄存器中,得到用于表征所述动态度量的度量过程可信的第三值包括:将所述动态度量的度量日志扩展到动态度量日志的状态寄存器中,得到用于表征所述动态度量的度量日志可信的第四值;依据所述动态度量的度量结果获得所述动态度量的可信评估值,其中,所述第三值包括:所述第四值和所述可信评估值。3.根据权利要求1所述的方法,其特征在于,将所述静态度量的结果扩展到静态度量的平台状态寄存器中,得到用于表征所述静态度量的度量过程可信的第一值包括:在所述计算子系统启动过程中,所述防护子系统对所述计算子系统的启动镜像进行逐级度量,并在每度量完一级启动镜像之后执行以下步骤:将已度量完的当前启动镜像的度量结果对应的第一哈希值与所述静态度量的平台状态寄存器中的第二哈希值进行哈希计算,得到第三哈希值;将所述静态度量的平台状态寄存器中的哈希值更新为所述第三哈希值。4.根据权利要求1所述的方法,其特征在于,将所述可信策略的更新记录扩展到可信策略更新的平台状态寄存器中,得到用于表征所述可信策略可信的第二值包括:在所述防护子系统的可信软件基检测到可信管理中心下发更新后的可信策略时,所述可信软件基向所述可信平台控制模块发送策略更新消息,其中,所述策略更新消息用于指示相对应的待更新的可信策略与所述更新后的可信策略;在所述可信平台控制模块中,将所述更新后的可信策略对应的第四哈希值与所述可信策略更新的平台状态寄存器中的第五哈希值进行哈希计算,得到第六哈希值,并将所述可信策略更新的平台状态寄存器中的哈希值更新为所述第六哈希值。5.根据权利要求1所述的方法,其特征在...
【专利技术属性】
技术研发人员:孙瑜,王涛,王大海,于洪伟,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。