本发明专利技术公开了一种动态度量方法及装置、可信计算终端。其中,该方法包括:在可信计算终端的目标操作系统运行时,检测是否满足动态度量触发条件;若满足动态度量触发条件,根据动态度量策略,基于系统内存空间中的待度量文件确定待度量对象的特征值;获取待度量对象的度量初始值;若特征值与度量初始值一致,则确定待度量对象的度量结果可信;若特征值与度量初始值不一致,则确定度量结果不可信。本发明专利技术解决了相关技术中对客户端进行动态度量时,无法实时判断度量结果是否可信,导致安全防护存在漏洞的技术问题。
Dynamic measurement method and device, trusted computing terminal
【技术实现步骤摘要】
动态度量方法及装置、可信计算终端
本专利技术涉及可信防护
,具体而言,涉及一种动态度量方法及装置、可信计算终端。
技术介绍
相关技术中,在对客户端进行可信防护时,一般是通过安装的可信防护软件对客户端进行安全防护,但是这种防护方式,在进行可信动态度量时,往往是根据已经运行一段时间的日志来判断客户端是否安全,无法对待度量对象的度量结果进行实时准确判断,即无法实时判断度量结果是否可信,导致安全防护存在很明显的滞后性,仍然无法对待度量对象进行快速、准确的特征值计算,导致客户端内部存在很大的安全漏洞。针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种动态度量方法及装置、可信计算终端,以至少解决相关技术中对客户端进行动态度量时,无法实时判断度量结果是否可信,导致安全防护存在漏洞的技术问题。根据本专利技术实施例的一个方面,提供了一种动态度量方法,应用于可信计算终端,包括:在所述可信计算终端的目标操作系统运行时,检测是否满足动态度量触发条件;若满足所述动态度量触发条件,根据动态度量策略,基于系统内存空间中的待度量文件确定待度量对象的特征值;获取所述待度量对象的度量初始值;若所述特征值与所述度量初始值一致,则确定所述待度量对象的度量结果可信;若所述特征值与所述度量初始值不一致,则确定所述度量结果不可信。可选地,基于系统内存空间中的待度量文件确定待度量对象的特征值的步骤,包括:获取所述系统内存空间中所述待度量对象对应的所述待度量文件,所述待度量文件包括以下至少之一:代码段、导入导出表;基于所述待度量文件进行哈希计算得到第一哈希值,并将所述第一哈希值作为所述特征值。可选地,在所述目标操作系统为Windows操作系统时,获取所述待度量对象的度量初始值的步骤,包括:读取系统磁盘中的磁盘文件,其中,所述磁盘文件至少包括:所述待度量对象对应的初始文件,所述初始文件包括以下至少之一:代码段、导入导出表;基于所述初始文件进行哈希计算得到第二哈希值,并将所述第二哈希值作为所述度量初始值。可选地,在所述目标操作系统为Linux操作系统时,获取所述待度量对象的度量初始值的步骤,包括:在将所述待度量对象对应的初始文件首次加载至系统内存空间时,基于所述系统内存空间中所述待度量对象对应的初始文件进行哈希计算得到第三哈希值,并将所述第三哈希值作为所述度量初始值。可选地,在检测是否满足动态度量触发条件之前,所述方法还包括:获取动态度量策略,其中,所述动态度量策略中携带有所述待度量对象以及对所述待度量对象的度量方法;将所述动态度量策略从所述可信计算终端的应用层传输至所述可信计算终端的系统驱动;控制所述可信计算终端加载所述系统驱动,其中,在所述可信计算终端加载所述系统驱动时初始化策略表以使所述动态度量策略生效,所述策略表用于记录所述动态度量策略的策略内容。根据本专利技术实施例的另一方面,还提供了一种动态度量装置,应用于可信计算终端,包括:检测单元,用于在所述可信计算终端的目标操作系统运行时,检测是否满足动态度量触发条件;第一确定单元,用于在满足所述动态度量触发条件时,根据动态度量策略,基于系统内存空间中的待度量文件确定待度量对象的特征值;获取单元,用于获取所述待度量对象的度量初始值;第二确定单元,用于在所述特征值与所述度量初始值一致时,确定所述待度量对象的度量结果可信;第三确定单元,用于在所述特征值与所述度量初始值不一致时,确定所述度量结果不可信。可选地,所述第一确定单元包括:获取模块,用于获取所述系统内存空间中所述待度量对象对应的所述待度量文件,所述待度量文件包括以下至少之一:代码段、导入导出表;第一确定模块,用于基于所述待度量文件进行哈希计算得到第一哈希值,并将所述第一哈希值作为所述特征值。可选地,在所述目标操作系统为Windows操作系统时,所述获取单元包括:读取模块,用于读取系统磁盘中的磁盘文件,其中,所述磁盘文件至少包括:所述待度量对象对应的初始文件,所述初始文件包括以下至少之一:代码段、导入导出表;第二确定模块,用于基于所述初始文件进行哈希计算得到第二哈希值,并将所述第二哈希值作为所述度量初始值。可选地,在所述目标操作系统为Linux操作系统时,所述获取单元包括:第三确定模块,用于在将所述待度量对象对应的初始文件首次加载至系统内存空间时,基于所述系统内存空间中所述待度量对象对应的初始文件进行哈希计算得到第三哈希值,并将所述第三哈希值作为所述度量初始值。可选地,所述动态度量装置还包括:获取模块,用于在检测是否满足动态度量触发条件之前,获取动态度量策略,其中,所述动态度量策略中携带有所述待度量对象以及对所述待度量对象的度量方法;传输模块,用于将所述动态度量策略从所述可信计算终端的应用层传输至所述可信计算终端的系统驱动;加载模块,用于控制所述可信计算终端加载所述系统驱动,其中,在所述可信计算终端加载所述系统驱动时初始化策略表以使所述动态度量策略生效,所述策略表用于记录所述动态度量策略的策略内容。根据本专利技术实施例的另一方面,还提供了一种可信计算终端,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的动态度量方法。根据本专利技术实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述任意一项所述的动态度量方法。在本专利技术实施例中,通过上述步骤,可以采用在可信计算终端的目标操作系统运行时,检测是否满足动态度量触发条件,若满足动态度量触发条件,根据动态度量策略,基于系统内存空间中的待度量文件确定待度量对象的特征值,获取待度量对象的度量初始值,若特征值与度量初始值一致,则确定待度量对象的度量结果可信,若特征值与度量初始值不一致,则确定度量结果不可信。在该实施例,可以利用动态度量策略,基于系统内存空间中的待度量文件实时计算待度量对象的特征值,然后与初始值进行比较,可快速完成对待度量对象的可信度量,能够实时、准确的知道待度量对象的度量结果是否可信,减少度量过程中的延时,提高度量速度,在对可信计算终端进行安全防护时,能够更为全面、及时,从而解决相关技术中对客户端进行动态度量时,无法实时判断度量结果是否可信,导致安全防护存在漏洞的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是根据本专利技术实施例的一种可选的动态度量方法的流程图;图2根据本专利技术实施例的一种可选的动态度量装置的示意图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造本文档来自技高网...
【技术保护点】
1.一种动态度量方法,其特征在于,应用于可信计算终端,包括:/n在所述可信计算终端的目标操作系统运行时,检测是否满足动态度量触发条件;/n若满足所述动态度量触发条件,根据动态度量策略,基于系统内存空间中的待度量文件确定待度量对象的特征值;/n获取所述待度量对象的度量初始值;/n若所述特征值与所述度量初始值一致,则确定所述待度量对象的度量结果可信;/n若所述特征值与所述度量初始值不一致,则确定所述度量结果不可信。/n
【技术特征摘要】
1.一种动态度量方法,其特征在于,应用于可信计算终端,包括:
在所述可信计算终端的目标操作系统运行时,检测是否满足动态度量触发条件;
若满足所述动态度量触发条件,根据动态度量策略,基于系统内存空间中的待度量文件确定待度量对象的特征值;
获取所述待度量对象的度量初始值;
若所述特征值与所述度量初始值一致,则确定所述待度量对象的度量结果可信;
若所述特征值与所述度量初始值不一致,则确定所述度量结果不可信。
2.根据权利要求1所述的方法,其特征在于,基于系统内存空间中的待度量文件确定待度量对象的特征值的步骤,包括:
获取所述系统内存空间中所述待度量对象对应的所述待度量文件,所述待度量文件包括以下至少之一:代码段、导入导出表;
基于所述待度量文件进行哈希计算得到第一哈希值,并将所述第一哈希值作为所述特征值。
3.根据权利要求1所述的方法,其特征在于,在所述目标操作系统为Windows操作系统时,获取所述待度量对象的度量初始值的步骤,包括:
读取系统磁盘中的磁盘文件,其中,所述磁盘文件至少包括:所述待度量对象对应的初始文件,所述初始文件包括以下至少之一:代码段、导入导出表;
基于所述初始文件进行哈希计算得到第二哈希值,并将所述第二哈希值作为所述度量初始值。
4.根据权利要求1所述的方法,其特征在于,在所述目标操作系统为Linux操作系统时,获取所述待度量对象的度量初始值的步骤,包括:
在将所述待度量对象对应的初始文件首次加载至系统内存空间时,基于所述系统内存空间中所述待度量对象对应的初始文件进行哈希计算得到第三哈希值,并将所述第三哈希值作为所述度量初始值。
5.根据权利要求1至4中任一项所述的方法,其特征在于,在检测是否满足动态度量触发条件之前,所述方法还包括:
获取动态度量策略,其中,所述动态度量策略中携带有所述待度量对象以及对所述待度量对象的度量方法;
将所述动态度量策略从所述可信计算终端的应用层传输至所述可信计算终端的系统驱动;
控制所述...
【专利技术属性】
技术研发人员:孙瑜,杨成刚,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。