本申请涉及一种基于双体系结构可信计算平台的动态度量方法,属于计算机安全技术领域。本申请包括:在计算资源完成启动后的运行过程中,如果满足预设触发条件,可信计算资源获取计算资源的计算对象的相关信息;根据相关信息确定可信策略;根据可信策略和相关信息,对计算资源的计算对象进行度量,并进行相应处理;可信计算资源和计算资源均构建在计算机中央处理器中,计算资源用于完成计算任务,可信计算资源用于对计算资源进行主动度量,根据主动度量的结果进行相应主动控制,主动度量包括动态度量。本申请通过构建在计算机中央处理器中的可信计算资源和计算资源,对主机完成启动后的运行过程进行动态度量处理,有助于提升安全防护能力。
Dynamic measurement method based on trusted computing platform with dual architecture
【技术实现步骤摘要】
基于双体系结构可信计算平台的动态度量方法
本申请属于计算机安全
,具体涉及一种基于双体系结构可信计算平台的动态度量方法、度量装置及存储介质。
技术介绍
国际TCG(TrustedComputingGroup缩写,中文名为可信计算组织),提出以TPM(TrustedPlatformModule缩写,中文名为可信平台模块)作为计算机的外部设备,采用被动挂接的方式,通过主机软件调用来发挥作用,其仅能对计算机的固件和可执行程序等资源进行静态度量。以TPM方式所实现的可信计算平台实质是单系统架构,TPM在资源访问、控制上都有局限性,其安全能力完全依赖于主机系统的安全性,难以防御黑客利用主机系统漏洞进行的攻击,并不能实质上提升计算机系统的主动防御能力,TPM本质上只是计算机上一个被动挂接的外部设备,只有被主机程序调用才会发挥作用,一旦主机被攻击者控制,TPM的作用就会无从发挥,导致TCG的可信计算架构在面对黑客利用计算机系统逻辑缺陷进行攻击时,基本难以抵御,例如:Windows10完全实现了TCG的可信计算架构,但是却未能阻止Wannacry勒索病毒的攻击。
技术实现思路
为至少在一定程度上克服相关技术中存在的问题,本申请提供一种基于双体系结构可信计算平台的动态度量方法、度量装置及存储介质,通过构建在计算机中央处理器中的可信计算资源和计算资源,形成双体系结构可信计算平台,对主机完成启动后的运行过程进行动态度量处理,有助于提升安全防护能力。为实现以上目的,本申请采用如下技术方案:第一方面,本申请提供一种基于双体系结构可信计算平台的动态度量方法,包括:在计算资源完成启动后的运行过程中,如果满足预设触发条件,可信计算资源获取所述计算资源的计算对象的相关信息;根据所述相关信息确定可信策略;根据所述可信策略和所述相关信息,对所述计算资源的计算对象进行度量,并进行相应处理;其中,所述可信计算资源和所述计算资源均构建在计算机中央处理器中,所述计算资源用于完成计算任务,所述可信计算资源用于对所述计算资源进行主动度量,以及根据所述主动度量的结果进行相应主动控制,其中,所述主动度量包括动态度量。进一步地,所述根据所述相关信息确定可信策略,包括:从预设的可信策略库中确定出与所述相关信息匹配的所述可信策略。进一步地,所述根据所述可信策略和所述相关信息,对所述计算资源的计算对象进行度量,并进行相应处理,包括:根据所述可信策略对所述相关信息进行度量,得到度量结果;根据所述度量结果以及所述可信策略中的判定方法,确定相应的控制处理方法,根据所述控制处理方法进行相应处理。进一步地,所述可信计算资源获取所述计算资源的计算对象的相关信息,包括:确定采用的度量模式,包括:直接度量模式,或者,代理度量模式;所述可信计算资源根据采用的度量模式,获取所述计算资源的计算对象的所述相关信息。进一步地,如果采用的度量模式是:直接度量模式,所述可信计算资源通过内总线直接获取所述计算资源的计算对象的所述相关信息;或者,如果采用的度量模式是:代理度量模式,所述可信计算资源通过度量代理程序获取所述计算资源的计算对象的所述相关信息,包括:所述度量代理程序获取所述相关信息,并发送给所述可信计算资源,以使所述可信计算资源获取所述相关信息;或者,所述度量代理程序获取所述相关信息的地址,并发送给所述可信计算资源,以让所述可信计算资源通过内总线访问所述相关信息的地址,并获取所述相关信息。进一步地,所述进行相应处理,包括:如果采用的度量模式是:直接度量模式,所述可信计算资源通过内总线,直接对所述计算资源的计算对象进行相应处理;或者,如果采用的度量模式是:代理度量模式,所述可信计算资源向所述度量代理程序发送相应的控制指令,通过所述度量代理程序协助对所述计算资源的计算对象进行相应处理。进一步地,所述预设触发条件包括以下项中的至少一项:达到预定时间点;达到预定度量周期;预设行为被触发;以及预设事件被触发。进一步地,如果所述预设触发条件为预设行为被触发;所述根据所述可信策略和所述相关信息,对所述计算资源的计算对象进行度量,并进行相应处理,包括:当所述预设行为被触发时,拦截所述预设行为的执行,根据所述可信策略对所述预设行为进行度量;如果对所述预设行为的度量结果为可信,则取消拦截并允许所述预设行为执行;如果对所述预设行为的度量结果为不可信,则根据所述可信策略对所述预设行为进行处理;或者,当所述预设行为被触发时,允许所述预设行为执行,并对所述预设行为进行度量,如果对所述预设行为的度量结果为不可信,则根据所述可信策略对所述预设行为相关的后续情况进行处理。第二方面,本申请提供一种基于双体系结构可信计算平台的动态度量装置,包括:获取模块,用于在计算资源完成启动后的运行过程中,如果满足预设触发条件,可信计算资源获取所述计算资源的计算对象的相关信息;确定模块,用于根据所述相关信息确定可信策略;度量处理模块,用于根据所述可信策略和所述相关信息,对所述计算资源的计算对象进行度量,并进行相应处理;其中,所述可信计算资源和所述计算资源均构建在计算机中央处理器中,所述计算资源用于完成计算任务,所述可信计算资源用于对所述计算资源进行主动度量,以及根据所述主动度量的结果进行相应主动控制,其中,所述主动度量包括动态度量。第三方面,本申请提供一种存储介质,其上存储有程序,所述程序被计算机中央处理器执行时实现上述任一项所述方法的步骤。本申请采用以上技术方案,至少具备以下有益效果:本申请通过构建在处理器中的可信计算资源和计算资源,形成双体系结构可信计算平台,在主机完成启动后的运行过程中,可信计算资源对计算资源的计算对象进行动态度量处理,因可信计算资源构建在处理器中,在安全防护方面难以绕过可信计算资源,同时可以克服相关技术中TPM仅能对计算机的固件和可执行程序等资源进行静态度量,无法对应用执行及其所依赖的执行环境进行动态度量的不足之处,从而有助于提升主机运行过程中的安全防护能力。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请一个实施例提供的基于双体系结构可信计算平台的动态度量方法的流程示意图;图2为本申请一个实施例提供的双体系结构的可信计算平台的结构示意图;图3为本申请一个实施例提供的基于双体系结构可信计算平台的动态度量装置的结构示意图;图4为本申请一个实施例提供的电子设备的结构示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚,下面将对本申请的技术方案进行详细的描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式,都属于本申请所保护的范围。图1为本申请一个实施例提供的基于双体系结构可信计算平台的动态度量方法的流程示意图,图2为本申请一个实施例提供的双体系结构的可信计算平台的结构示意图;如本文档来自技高网...
【技术保护点】
1.一种基于双体系结构可信计算平台的动态度量方法,其特征在于,包括:在计算资源完成启动后的运行过程中,如果满足预设触发条件,可信计算资源获取所述计算资源的计算对象的相关信息;根据所述相关信息确定可信策略;根据所述可信策略和所述相关信息,对所述计算资源的计算对象进行度量,并进行相应处理;其中,所述可信计算资源和所述计算资源均构建在计算机中央处理器中,所述计算资源用于完成计算任务,所述可信计算资源用于对所述计算资源进行主动度量,以及根据所述主动度量的结果进行相应主动控制,其中,所述主动度量包括动态度量。
【技术特征摘要】
1.一种基于双体系结构可信计算平台的动态度量方法,其特征在于,包括:在计算资源完成启动后的运行过程中,如果满足预设触发条件,可信计算资源获取所述计算资源的计算对象的相关信息;根据所述相关信息确定可信策略;根据所述可信策略和所述相关信息,对所述计算资源的计算对象进行度量,并进行相应处理;其中,所述可信计算资源和所述计算资源均构建在计算机中央处理器中,所述计算资源用于完成计算任务,所述可信计算资源用于对所述计算资源进行主动度量,以及根据所述主动度量的结果进行相应主动控制,其中,所述主动度量包括动态度量。2.根据权利要求1所述的方法,其特征在于,所述根据所述相关信息确定可信策略,包括:从预设的可信策略库中确定出与所述相关信息匹配的所述可信策略。3.根据权利要求1所述的方法,其特征在于,所述根据所述可信策略和所述相关信息,对所述计算资源的计算对象进行度量,并进行相应处理,包括:根据所述可信策略对所述相关信息进行度量,得到度量结果;根据所述度量结果以及所述可信策略中的判定方法,确定相应的控制处理方法,根据所述控制处理方法进行相应处理。4.根据权利要求1-3任一项所述的方法,其特征在于,所述可信计算资源获取所述计算资源的计算对象的相关信息,包括:确定采用的度量模式,包括:直接度量模式,或者,代理度量模式;所述可信计算资源根据采用的度量模式,获取所述计算资源的计算对象的所述相关信息。5.根据权利要求4所述的方法,其特征在于,如果采用的度量模式是:直接度量模式,所述可信计算资源通过内总线直接获取所述计算资源的计算对象的所述相关信息;或者,如果采用的度量模式是:代理度量模式,所述可信计算资源通过度量代理程序获取所述计算资源的计算对象的所述相关信息,包括:所述度量代理程序获取所述相关信息,并发送给所述可信计算资源,以使所述可信计算资源获取所述相关信息;或者,所述度量代理程序获取所述相关信息的地址,并发送给所述可信计算资源,以让所述可信计算资源通过内总线访问所述相关信息的地址,并获取所述相关信息。6.根据权利要求4所...
【专利技术属性】
技术研发人员:沈昌祥,孙瑜,洪宇,王涛,
申请(专利权)人:沈昌祥,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。