一种可信免疫力检测方法技术

本发明专利技术公开了一种可信免疫力检测方法，包括：步骤101、根据防护子系统中的可信平台控制模块的实现方式和防护子系统对计算子系统静态度量时建立的信任链的完整程度，对可信计算平台的防护基础能力进行检测；步骤102、根据第一客体集合与第二客体集合，对目标防护策略的防护能力进行检测；步骤103、根据目标防护策略的防护能力，对可信计算平台的防护策略能力进行检测；步骤104、根据可信计算平台的防护策略能力以及可信计算平台的防护基础能力，对可信计算平台的可信免疫力进行检测。本发明专利技术所提供的方法，综合考虑了防护子系统的构建方式和可信策略对可信计算平台免疫力的影响，综合检测可信计算平台的可信免疫力。

A credible immunity test method

【技术实现步骤摘要】
一种可信免疫力检测方法
本专利技术涉及可信计算
，具体涉及一种可信免疫力检测方法。
技术介绍
为了保证终端的安全性能，国际TCG组织提出了一种可信计算芯片TPM，TPM作为终端的外部设备，以被动挂接的方式，通过主机软件调用来发挥作用，仅能对终端的启动过程进行启动度量，如果启动度量结果可信，则认为终端处于可信状态。现有技术仅能根据终端启动度量结果对终端可信状态进行检测，并不能对终端的可信免疫力进行检测。
技术实现思路
针对现有技术中存在的缺陷，本专利技术的目的在于提供一种可信免疫力检测方法，综合考虑了防护子系统的构建方式和可信策略对可信计算平台免疫力的影响，并结合两方面影响综合检测可信计算平台的可信免疫力。为实现上述目的，本专利技术采用的技术方案如下：一种可信免疫力检测方法，应用于可信计算平台，所述可信计算平台包括：并行的计算子系统和防护子系统，所述计算子系统用于执行计算任务，所述防护子系统用于在所述计算子系统启动过程中对所述计算子系统进行静态度量以及在所述计算子系统运行过程中对所述计算子系统进行动态度量，并根据度量结果对所述计算子系统进行控制；所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；(1)根据所述防护子系统中的可信平台控制模块的实现方式和所述防护子系统对所述计算子系统静态度量时建立的信任链的完整程度，对所述可信计算平台的防护基础能力进行检测；(2)根据第一客体集合与第二客体集合，对目标防护策略的防护能力进行检测，所述第一客体集合为所述目标防护策略中规定的目标行为对应的客体的集合，所述目标防护策略为所述计算子系统中目标应用程序对应的防护策略，所述目标行为为所述目标应用程序执行的行为；所述第二客体集合为所述目标应用程序在所述可信计算平台中执行的所述目标行为对应的客体的集合；(3)根据所述目标防护策略的防护能力，对所述可信计算平台的防护策略能力进行检测；(4)根据所述可信计算平台的防护策略能力以及所述可信计算平台的防护基础能力，对所述可信计算平台的可信免疫力进行检测。进一步，如上所述的一种可信免疫力检测方法，步骤(1)包括：如果在所述计算子系统启动过程中所述防护子系统有建立信任链，则根据所述可信平台控制模块的实现方式对应的免疫检测系数和信任链的完整程度，计算得到所述可信计算平台的防护基础检测值，所述防护基础检测值用于指示所述可信计算平台的防护基础能力；如果在所述计算子系统启动过程中所述防护子系统没有建立信任链，则将所述防护基础检测值设置为预定值。进一步，如上所述的一种可信免疫力检测方法，如果在所述计算子系统启动过程中所述防护子系统有建立信任链，则所述防护基础检测值＝(BIOS对应的度量权重+OSLoader对应的度量权重+OS内核对应的度量权重+OS系统服务对应的度量权重+应用程序对应的度量权重)×免疫检测系数，所述信任链包括：BIOS、OSLoader、OS内核、OS系统服务、应用程序。进一步，如上所述的一种可信免疫力检测方法，步骤(2)包括：计算所述第一客体集合与所述第二客体集合之间的相似度，并将所述相似度作为所述目标应用程序对应的防护策略检测值，所述目标应用程序对应的防护策略检测值用于指示所述目标防护策略的防护能力。进一步，如上所述的一种可信免疫力检测方法，通过下式计算所述第一客体集合与所述第二客体集合之间的相似度：其中，Similarity为所述相似度，Xi为所述目标防护策略中规定的第i类行为对应的客体集合，X′i为所述目标应用程序在所述计算子系统中执行的第i类行为对应的客体集合，αi为系数，N为所述目标应用程序的行为集合中行为总类数，所述行为集合为所述目标防护策略中规定的行为与所述目标应用程序在所述计算子系统中执行的行为的并集，i为正整数。进一步，如上所述的一种可信免疫力检测方法，步骤(3)包括：计算所述计算子系统中的各个应用程序对应的防护策略检测值的加权平均值，作为所述可信计算平台的防护策略检测值，所述可信计算平台的防护策略检测值用于指示所述可信计算平台的防护能力。进一步，如上所述的一种可信免疫力检测方法，步骤(4)包括：计算所述可信计算平台的防护基础检测值与所述可信计算平台的防护策略检测值的乘积，作为所述可信计算平台的可信免疫力值，所述可信计算平台的可信免疫力值用于指示所述可信计算平台的可信免疫力；或者所述可信计算平台的可信免疫力值＝60+40×所述可信计算平台的防护基础检测值×所述可信计算平台的防护策略检测值。进一步，如上所述的一种可信免疫力检测方法，在步骤(4)之后，所述可信免疫力检测方法还包括：(5)计算整个网络系统中各个可信计算平台的可信免疫力值的加权平均值，作为整个网络系统的全网免疫力值，其中，所述全网免疫力值用于指示整个网络系统的可信免疫力。一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行本专利技术所述的一种可信免疫力检测方法。一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行本专利技术所述的一种可信免疫力检测方法。本专利技术的有益效果在于：本专利技术所提供的方法，综合考虑了防护子系统的构建方式和可信策略对可信计算平台免疫力的影响，并结合两方面影响综合检测可信计算平台的可信免疫力。附图说明图1为本专利技术实施例中提供的可信计算平台的结构框图；图2为本专利技术实施例一中提供的一种可信免疫力检测方法的流程示意图；图3为本专利技术实施例二中提供的一种可信免疫力检测方法的流程示意图；图4为本专利技术实施例三中提供的一种可信免疫力检测装置的结构示意图。具体实施方式下面结合说明书附图与具体实施方式对本专利技术做进一步的详细说明。术语解释：TCM:可信密码模块，可信计算平台的硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。TPCM:可信平台控制模块，一种集成在可信计算平台中，用于建立和保障信任源点的硬件核心模块，为可信计算提供完整性度量、安全存储、可信报告以及密码服务等功能。TSB:可信软件基，为可信计算平台的可信性提供支持的软件元素的集合。为了保证终端的安全性能，国际TCG组织提出了一种可信计算芯片TPM，TPM作为终端的外部设备，以被动挂接的方式，通过主机软件调用来发挥作用，仅能对终端的启动过程进行启动度量，如果启动度量结果可信，则认为终端处于可信状态。现有技术仅能根据终端启动度量结果对终端可信状态进行检测，并不能对终端的可信免疫力进行检测。针对现有技术的缺陷，本专利技术设计了一种可信免疫力检测方法，该方法基于双体系结构的可信计算平台实现，双体系结构的可信计算平台包括并行的计算子系统和防护子系统，计算子系统用于执行计算任务，防护子系统用于在计算子系统启动过程中对其进行静态度量以及在计算子系统运行过程中对其进行动态度量，并根据度量结果对计算子系统进行控制。该方法综合考虑了防护子系统的构建方式和可信策略对可信计算平台免疫力的影响，并结合两方面影响综合检测可信计算平台的可信免疫力。如图1所示，本专利技术中的双体系结构的可信计算平台包括：并行的计算子系统和防护子系统，防护子系统与计算子系统之间通过专用安全通道进行交互，且防护子系统具有比计算子系统更高的访问权限，也即防护子系统可以访问计算子系统，本文档来自技高网...

【技术保护点】
1.一种可信免疫力检测方法，其特征在于，应用于可信计算平台，所述可信计算平台包括：并行的计算子系统和防护子系统，所述计算子系统用于执行计算任务，所述防护子系统用于在所述计算子系统启动过程中对所述计算子系统进行静态度量以及在所述计算子系统运行过程中对所述计算子系统进行动态度量，并根据度量结果对所述计算子系统进行控制；所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；所述可信免疫力检测方法包括：(1)根据所述防护子系统中的可信平台控制模块的实现方式和所述防护子系统对所述计算子系统静态度量时建立的信任链的完整程度，对所述可信计算平台的防护基础能力进行检测；(2)根据第一客体集合与第二客体集合，对目标防护策略的防护能力进行检测，所述第一客体集合为所述目标防护策略中规定的目标行为对应的客体的集合，所述目标防护策略为所述计算子系统中目标应用程序对应的防护策略，所述目标行为为所述目标应用程序执行的行为；所述第二客体集合为所述目标应用程序在所述可信计算平台中执行的所述目标行为对应的客体的集合；(3)根据所述目标防护策略的防护能力，对所述可信计算平台的防护策略能力进行检测；(4)根据所述可信计算平台的防护策略能力以及所述可信计算平台的防护基础能力，对所述可信计算平台的可信免疫力进行检测。...

【技术特征摘要】
1.一种可信免疫力检测方法，其特征在于，应用于可信计算平台，所述可信计算平台包括：并行的计算子系统和防护子系统，所述计算子系统用于执行计算任务，所述防护子系统用于在所述计算子系统启动过程中对所述计算子系统进行静态度量以及在所述计算子系统运行过程中对所述计算子系统进行动态度量，并根据度量结果对所述计算子系统进行控制；所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；所述可信免疫力检测方法包括：(1)根据所述防护子系统中的可信平台控制模块的实现方式和所述防护子系统对所述计算子系统静态度量时建立的信任链的完整程度，对所述可信计算平台的防护基础能力进行检测；(2)根据第一客体集合与第二客体集合，对目标防护策略的防护能力进行检测，所述第一客体集合为所述目标防护策略中规定的目标行为对应的客体的集合，所述目标防护策略为所述计算子系统中目标应用程序对应的防护策略，所述目标行为为所述目标应用程序执行的行为；所述第二客体集合为所述目标应用程序在所述可信计算平台中执行的所述目标行为对应的客体的集合；(3)根据所述目标防护策略的防护能力，对所述可信计算平台的防护策略能力进行检测；(4)根据所述可信计算平台的防护策略能力以及所述可信计算平台的防护基础能力，对所述可信计算平台的可信免疫力进行检测。2.根据权利要求1所述的一种可信免疫力检测方法，其特征在于，步骤(1)包括：如果在所述计算子系统启动过程中所述防护子系统有建立信任链，则根据所述可信平台控制模块的实现方式对应的免疫检测系数和信任链的完整程度，计算得到所述可信计算平台的防护基础检测值，所述防护基础检测值用于指示所述可信计算平台的防护基础能力；如果在所述计算子系统启动过程中所述防护子系统没有建立信任链，则将所述防护基础检测值设置为预定值。3.根据权利要求2所述的一种可信免疫力检测方法，其特征在于，如果在所述计算子系统启动过程中所述防护子系统有建立信任链，则所述防护基础检测值＝(BIOS对应的度量权重+OSLoader对应的度量权重+OS内核对应的度量权重+OS系统服务对应的度量权重+应用程序对应的度量权重)×免疫检测系数，所述信任链包括：BIOS、OSLoader、OS内核、OS系统服务、应用程序。4.根据权利要求3所述的...

【专利技术属性】
技术研发人员：孙瑜，洪宇，田文慧，
申请(专利权)人：北京可信华泰信息技术有限公司，
类型：发明
国别省市：北京,11