【技术实现步骤摘要】
访问主机的验证方法及装置、访问验证系统、存储介质
[0001]本专利技术涉及信息安全领域,具体而言,涉及一种访问主机的验证方法及装置、访问验证系统、存储介质。
技术介绍
[0002]当前,随着信息安全的需要不断提高,可信安全防护产品的要求和类型也相应有很大提高,为了适应不断发展的可信安全防护需求,可信计算产业联盟推出了《可信计算产品规范》,其中,在7.2.1.4.1章节关于可信根(或者叫可信平台控制模块)主动度量,第三条规定“应核查可信根是否能够主动获取主机资源(例如内存资源)”,这项规范证明方法需要得到证明。
[0003]相关技术中,采用可信平台控制模块进行主动度量时,验证可信平台控制模块是否能够主动访问/获取主机资源的方式,是通过在可信平台控制模块增加软件栈接口,传入任意内存地址和长度,进行计算摘要值,打印到TPCM串口。但是该种方式存在明显的弊端:需要更改现有产品接口定义,研发人员需要投入时间和人力,而且另外计算这段内存地址摘要值也会增加可信平台控制模块的负荷。
[0004]针对上述的问题,目前尚未提出
【技术保护点】
【技术特征摘要】
1.一种访问主机的验证方法,其特征在于,包括:获取待度量对象的主机内存地址和地址长度;采用预先编译的内核程序模拟可信软件基TSB,向目标软件栈传入所述主机内存地址和所述地址长度,其中,所述目标软件栈与可信平台控制模块TPCM对接,所述可信平台控制模块对所述主机内存地址和所述地址长度指示的主机内存段进行动态度量,得到度量日志,所述度量日志至少包括:所述待度量对象的摘要值;比较所述待度量对象的摘要值和预先记录的主机摘要值是否一致,得到比较结果,其中,在所述比较结果指示摘要值一致的情况下,确认所述可信平台控制模块能够获取主机资源。2.根据权利要求1所述的验证方法,其特征在于,获取待度量对象的主机内存地址和地址长度的步骤,包括:在终端主机上安装可信防护软件,其中,所述可信防护软件通过可信平台控制模块TPCM对所述终端主机进行动态度量;在安装完毕所述可信防护软件的情况下,启动动态度量开关;确定对所述终端主机的主机内存进行动态度量的待度量对象,其中,所述待度量对象为下述至少之一:所述主机内存的系统调用表、所述主机内存的中断描述符和所述主机内存的内核代码段;获取关联所述待度量对象的任一段主机内存段,确定所述任一段主机内存段的内存起始地址,并将所述内存起始地址作为所述主机内存地址;基于地址长度选取要求,确定所述地址长度。3.根据权利要求1所述的验证方法,其特征在于,采用预先编译的内核程序模拟可信软件基TSB,向目标软件栈传入所述主机内存地址和所述地址长度的步骤,包括:加载所述预先编译的内核程序;采用所述内核程序将所述主机内存地址和所述地址长度打包为程序数据包;采用所述内核程序调用软件栈接口,以将所述程序数据包传入所述目标软件栈。4.根据权利要求1所述的验证方法,其特征在于,在可信平台控制模块对所述主机内存地址和所述地址长度指示的主机内存段进行动态度量,得到度量日志之后,还包括:建立与所述可信平台控制模块的模块接口的通信链接,并基于所述通信链接获取所述可信平台控制模块的模块接口传输的所述度量日志;获取终端主机的管理平台中心传输的所述度量日志,其中,所述管理平台中心与所述可信平台控制模块连接。5.根据权利要求4所述的验证方法,其特征在于,在可信平台控制模块对所述主机内存地址和所述地址长度指示的主机内存段进行动态度量,得到度量日志之后,还包括:在度量时长达到预定间隔时长的情况下,将所述待度量对象的摘要值打包为所述度量日志;将所述度量日志上传至所述终端主机的管理平台中心。6.根据权利要求1所述的验证方法,其特征在于,在可信平台控制模块对所述主机内存地址和所述地址长度指示的主机内...
【专利技术属性】
技术研发人员:张娜,李春艳,王宇晨,刘艳杰,
申请(专利权)人:北京可信华泰信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。