本发明专利技术公开了一种基于概念格的软件可信度量方法和装置,包括:获取待度量软件进程;在预设的概念格中寻找待度量软件进程所依赖模块集合的子集,如果找到,则通过概念格获取子集的度量结果,并根据子集的度量结果对待度量软件进程进行度量和可信验证;否则,对待度量软件进程所依赖模块逐一进行度量和可信验证;将完成可信验证的软件进程所依赖模块及其度量结果生成为概念,并将生成的概念插入概念格中并更新概念格。由于将软件进程的度量过程与概念格构建相结合,避免了计算机系统中多个软件进程相关模块的重复度量,进而加快了软件度量进程和可信验证的速度。
Method and device of software trustworthiness measurement based on concept lattice
【技术实现步骤摘要】
基于概念格的软件可信度量方法和装置
本专利技术涉及可信及安全监控
,具体涉及一种基于概念格的软件可信度量方法和装置。
技术介绍
可信计算(TrustedComputing)是近年来兴起的一项由可信计算组织(TrustedComputingGroup,TCG)推动和开发的安全计算技术,在计算和通信领域中广泛使用基于硬件安全模块的可信计算平台以提高整个系统和应用软件的安全性与完整性。可信计算的核心是度量和可信验证,即一级级从底层向上逐级度量,通常是以先启动的软硬件的代码(例如安全芯片和CRTM)作为信任根/可信根,并以此为基准对后一级启动的软件进行度量验证,如此实现信任链的向后传递,以保证操作系统计算环境可信。其具体过程为:首先,确定可信根(可信软件基);然后,枚举出软件进程所依赖的模块和加载顺序;其次,按照加载顺序对每个模块进行度量,再将该模块的运算结果和最初确定的可信根(可信软件基)进行与(+)运算,最后将运算结果与事先确定好的度量基准进行可信验证对比,如果发现验证结果不一致则说明模块已被篡改,终止加载顺序中下一个模块的度量和可信验证并报错;若验证结果一致,则以当前与运算结果作为新的可信根继续按照加载顺序对软件进程所依赖模块进行一一验证,该度量验证过程也被称为“信任链传递”。如图6所示为上述软件进程可信度量的过程,其中“Ntdll.ll”“Kemel32.dll”等为软件进程所依赖的模块,连接这些模块的箭头表示其加载顺序,度量结果为“Hash值1”“Hash值2”等,从图2中可以看出,在“信任链传递”的过程中,需要对软件进程所依赖的每一个模块进行度量,导致其信任链传递执行较慢,然而在计算机系统中软件进程之间所依赖的模块相关度很高,也就是一些软件进程中所依赖模块是部分相同的,故按照上述“信任链传递”方式对多个软件进程进行度量验证的话,一些模块就会被重复度量和验证,执行效率不高。
技术实现思路
本专利技术主要解决的技术问题是:有效解决软件进程所依赖模块每次都需要重新度量和验证的问题。根据第一方面,一种实施例中提供一种基于概念格的软件可信度量方法,包括:获取待度量软件进程;在预设的概念格中寻找待度量软件进程所依赖模块集合的子集,如果找到,则通过概念格获取子集的度量结果,并根据子集的度量结果对待度量软件进程进行度量和可信验证;否则,对所有待度量软件进程所依赖模块逐一进行度量和可信验证;将完成可信验证的软件进程所依赖模块及其度量结果生成为概念,将生成的概念插入概念格中并更新概念格。进一步地,根据子集的度量结果对待度量软件进程进行度量和可信验证包括:对于包含于所述子集中的所依赖模块,采用子集的度量结果直接完成可信验证;对于不包含于所述子集中的所依赖模块,对这些所依赖模块先逐一进行度量,得到其度量结果,然后再根据度量结果完成可信验证。进一步地,所述预设的概念格包括:按照格结构生成方向生成顶概念和底概念。进一步地,所述按照格结构生成方向生成底概念和顶概念包括:按照自顶向下的方向生成底概念和顶概念;将顶概念设置为外延最大化、内涵最小化,将底概念设置为外延最小化、内涵最大化。进一步地,将完成可信验证的软件进程所依赖模块及其度量结果生成为概念包括:所述概念的外延表示为待度量软件进程所依赖模块按照其加载顺序排列的集合,所述概念的内涵表示为待度量软件进程所依赖模块的度量结果。进一步地,将生成的概念插入概念格中并更新概念格包括:将生成的概念按照格结构生成方向插入至概念格的第二层中;对插入概念后的概念格按照格结构生成方向逐层对外延进行与运算,对内涵进行或运算。进一步地,所述在预设的概念格中寻找到待度量软件进程所依赖模块集合的子集包括:预设的概念格中存在概念的外延所表示的所依赖模块集合为待度量软件进程所依赖模块集合的子集。进一步地,所述度量为哈希度量。进一步地,对所述所依赖模块进行可信验证包括:每个所述依赖模块的度量结果与预设的可信根进行与运算,再将预设的度量基准与运算结果进行可信验证,若可信验证结果一致,则该所依赖模块为可信状态。根据第二方面,一种实施例中提供一种基于概念格的软件可信度量装置,包括:获取模块,用于获取待度量软件进程;度量验证模块,用于在预设的概念格中寻找待度量软件进程所依赖模块集合的子集,如果找到,则通过概念格获取子集的度量结果,并根据子集的度量结果对待度量软件进程进行度量和可信验证;否则,对待度量软件进程所依赖模块逐一进行度量和可信验证;概念格更新模块,用于将完成可信验证的软件进程所依赖模块及其度量结果生成为概念,并将生成的概念插入概念格中并更新概念格。依据上述实施例的基于概念格的软件可信度量方法和装置,由于将软件进程的度量过程表示为概念,并将概念插入到概念格中,故概念格的概念中保存了软件进程所依赖的每个模块的度量结果,使得后续软件进程出现时,如果能在概念格中寻找到后续进程所依赖的模块集合的子集,那么该子集中的模块无需再进行度量,避免了计算机系统中多个软件进程相关模块的重复度量,进而加快了软件度量进程和验证的速度。附图说明图1为基于概念格的软件可信度量方法的流程图;图2为一种实施例的初始概念格结构图;图3为一种实施例的概念格结构图;图4为一种实施例的更新后的概念格结构图;图5为一种实施例的新生成的概念格结构图;图6为另一种实施例的软件进程可信启动度量的过程示意图;图7为可信验证的流程示意图;图8为基于概念格的软件可度量装置的结构图。具体实施方式概念格是一种离散数学模型,是一个以概念为元素的偏序集,概念格中的每个节点是一个概念;概念,记为(X,Y),其中X称为概念(X,Y)的外延(extent);Y称为概念(X,Y)的内涵(intent)。下面通过具体实施方式结合附图对本专利技术作进一步详细说明。在本专利技术实施例中,将软件进程所依赖的模块用概念格中的概念进行表示,并将这些模块的度量值标记在概念中,对于待度量软件进程,根据其所依赖的模块,若能在概念格中寻找到待度量软件进程所依赖模块集合的子集,则无需对每个模块进行度量,可以在概念格中获取子集的度量结果,子集中所包含模块就无需进行度量,并根据子集的度量结果对所述子集中的所依赖模块逐一进行可信验证;对除子集以外的所依赖模块再逐一进行度量和可信验证;这样,将子集作为一个整体,可直接在概念格中获取其度量结果,只需对除子集以外的模块进行度量,加快了度量过程,从而也提高了后期可信验证的效率;若在预设的概念格中没有寻找到待度量软件进程所依赖模块集合的子集,则对所有待度量软件进程所依赖模块逐一进行度量和可信验证;上述无论在概念格中能否找到待度量软件进程所依赖模块的子集,都需将待度量软件进程的度量序列(所依赖模块及其加载顺序、度量值)以概念的形式插入到本文档来自技高网...
【技术保护点】
1.一种基于概念格的软件可信度量方法,其特征在于包括:/n获取待度量软件进程;/n在预设的概念格中寻找待度量软件进程所依赖模块集合的子集,如果找到,则通过概念格获取子集的度量结果,并根据子集的度量结果对待度量软件进程进行度量和可信验证;/n否则,对所有待度量软件进程所依赖模块逐一进行度量和可信验证;/n将完成可信验证的软件进程所依赖模块及其度量结果生成为概念,将生成的概念插入概念格中并更新概念格。/n
【技术特征摘要】
1.一种基于概念格的软件可信度量方法,其特征在于包括:
获取待度量软件进程;
在预设的概念格中寻找待度量软件进程所依赖模块集合的子集,如果找到,则通过概念格获取子集的度量结果,并根据子集的度量结果对待度量软件进程进行度量和可信验证;
否则,对所有待度量软件进程所依赖模块逐一进行度量和可信验证;
将完成可信验证的软件进程所依赖模块及其度量结果生成为概念,将生成的概念插入概念格中并更新概念格。
2.如权利要求1所述的基于概念格的软件可信度量方法,其特征在于,根据子集的度量结果对待度量软件进程进行度量和可信验证包括:
对于包含于所述子集中的所依赖模块,采用子集的度量结果直接完成可信验证;
对于不包含于所述子集中的所依赖模块,对这些所依赖模块先逐一进行度量,得到其度量结果,然后再根据度量结果完成可信验证。
3.如权利要求1或2所述的基于概念格的软件可信度量方法,其特征在于,所述预设的概念格包括:
按照格结构生成方向生成的底概念和顶概念。
4.如权利要求3所述的基于概念格的软件可信度量方法,其特征在于,所述按照格结构生成方向生成的底概念和顶概念包括:
按照自顶向下的方向生成的顶概念和底概念;
将顶概念设置为外延最大化、内涵最小化,将底概念设置为外延最小化、内涵最大化。
5.如权利要求1或2所述的基于概念格的软件可信度量方法,其特征在于,将完成可信验证的软件进程所依赖模块及其度量结果生成为概念包括:
所述概念的外延表示为待度量软件进程所依赖模块按照其加载顺序排列的集合,所述概念的内涵表...
【专利技术属性】
技术研发人员:谭喆,钱新红,黄启明,
申请(专利权)人:深圳力维智联技术有限公司,南京中兴力维软件有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。