基于可信计算的白名单度量方法、系统及介质、客户端技术方案

本发明专利技术公开了一种基于可信计算的白名单度量方法、系统及介质、客户端。方法用于客户端，客户端包括可信代理服务和Linux内核钩子函数，方法包括：可信代理服务接收度量请求，并根据度量请求确定度量对象的类别，以及根据度量对象的类别选择相应的度量策略和系统白名单，其中，度量对象的类别包括静态度量对象和动态度量对象；Linux内核钩子函数，利用所选择的度量策略和系统白名单对度量对象进行度量，并将度量数据写入Linux内核的双向链表中。该方法定义了嵌入式终端的可信根节点，能够从boot、内核到应用APP全链条的可信验证。内核到应用APP全链条的可信验证。内核到应用APP全链条的可信验证。

【技术实现步骤摘要】
基于可信计算的白名单度量方法、系统及介质、客户端


[0001]本专利技术涉及信息安全
，特别涉及一种基于可信计算的白名单度量方法、系统及介质、客户端。

技术介绍

[0002]信息安全，通常包括三个因素：保密性、完整性、可用性。随着科技的发展，对计算机系统的保密性，完整性的提出了更高的要求。为了避免计算机系统遭到更高等级的外在攻击，比如，黑客针对于Linux操作系统，进映射到内存中执行特点。通过修改内存映射的进程代码，达到攻击系统的目的。
[0003]为此，相关技术中提出一种Linux的内核进程动态度量方法，包括：将度量文件导入Linux的内核态，度量文件包括预设的可执行ELF文件；执行一程序，将该程序的可执行ELF文件的第一代码与第一预设代码进行比对，若不一致，则生成告警日志；运行该程序并验证该程序的bprm文件的正确性时，将从可执行ELF文件中读取的第二代码和第二预设代码进行对比，若不一致，则生成告警日志；该程序调用__schedule()函数结束后，将current宏指向的进程所包括的第三代码和第三预设代码进行对比，若不一致，则生成告警日志。然而，该方法仅是对可执行ELF文件执行进程进行动态度量，度量方式过于局限。并且，该方法通过procfs接口，使用mmap()函数把所述度量文件导入到LINUX的内核态中，在内核态进行动态度量，这需要大量的高端内存。

技术实现思路

[0004]本专利技术的目的在于提出一种基于可信计算的白名单度量方法、系统及介质、客户端，以通过定义嵌入式终端的可信根节点，从boot、内核到应用APP全链条的进行可信验证。
[0005]为达到上述目的，本专利技术第一方面实施例提出了基于可信计算的白名单度量方法，所述方法用于客户端，所述客户端包括可信代理服务和Linux内核钩子函数，所述方法包括：所述可信代理服务接收度量请求，并根据所述度量请求确定度量对象的类别，以及根据所述度量对象的类别选择相应的度量策略和系统白名单，其中，所述度量对象的类别包括静态度量对象和动态度量对象；所述Linux内核钩子函数，利用所选择的度量策略和系统白名单对所述度量对象进行度量，并将度量数据写入Linux内核的双向链表中。
[0006]另外，本专利技术上述实施例的基于可信计算的白名单度量方法还可以具有如下附加的技术特征：
[0007]根据本专利技术的一个实施例，所述方法还包括：所述可信代理服务在检测到软件升级或者安装时，向管理中心发送白名单添加请求，并接收所述管理中心针对所述白名单添加请求下发的白名单添加策略，以及根据所述白名单添加策略更新系统白名单。
[0008]根据本专利技术的一个实施例，所述系统白名单包括静态度量白名单和动态度量白名单，所述根据所述白名单添加策略更新系统白名单，包括：根据所述白名单添加策略确定目标进程；扫描所述目标进程对应目录的文件，计算该文件的Hash值，并将该文件的Hash值、
文件大小、文件的创建时间、文件路径存储到所述静态度量白名单；以及读取所述目标进程对应的ELF文件，计算该ELF文件的Hash值，并将该ELF文件的Hash值存储至所述动态度量白名单。
[0009]根据本专利技术的一个实施例，所述静态度量白名单包括应用白名单和配置白名单，对应目录的文件包括应用文件和配置文件，其中，应用文件的Hash值、应用文件大小、应用文件的创建时间、应用文件路径存储到所述应用白名单，配置文件的Hash值、配置文件大小、配置文件的创建时间、配置文件路径存储到所述配置白名单。
[0010]根据本专利技术的一个实施例，当所述度量对象的类别为静态度量对象时，所述利用所选择的度量策略和系统白名单对所述度量对象进行度量，包括：对所述度量对象进行Hash值计算，得到第一Hash值；将所述第一Hash值与所选择的静态度量白名单中的Hash值进行匹配；若匹配失败，则按照目标静态度量模式产生相应的度量数据。
[0011]根据本专利技术的一个实施例，当所述目标静态度量模式为告警模式时，产生告警度量数据；当所述目标静态度量模式为拦截模式时，产生拦截度量数据。
[0012]根据本专利技术的一个实施例，所述可信代理服务接收所述管理中心下发的模式配置策略，并根据所述配置策略配置所述目标静态度量模式。
[0013]根据本专利技术的一个实施例，当所述度量对象的类别为动态度量对象时，所述利用所选择的度量策略和系统白名单对所述度量对象进行度量，包括：对所述度量对象进行Hash值计算，得到第二Hash值；将所述第二Hash值与所选择的动态度量白名单中的Hash值进行匹配；若匹配失败，则产生相应的告警度量数据。
[0014]根据本专利技术的一个实施例，所述方法还包括：所述可信代理服务周期性读取所述双向链表中的度量数据，并将读取到的度量数据上报本地数据库和/或远程数据库。
[0015]为达到上述目的，本专利技术第二方面实施例提出了一种计算机可读存储介质，其上存储有计算机程序。所述计算机程序被处理器执行时，实现上述的基于可信计算的白名单度量方法。
[0016]为达到上述目的，本专利技术第三方面实施例提出了一种客户端，包括：可信代理服务，用于接收度量请求，并根据所述度量请求确定度量对象的类别，以及根据所述度量对象的类别选择相应的度量策略和系统白名单，其中，所述度量对象的类别包括静态度量对象和动态度量对象；Linux内核钩子函数，用于利用所选择的度量策略和系统白名单对所述度量对象进行度量，并将度量数据写入Linux内核的双向链表中。
[0017]另外，本专利技术上述实施例的客户端还可以具有如下附加的技术特征：
[0018]根据本专利技术的一个实施例，所述可信代理服务还用于：在检测到软件升级或者安装时，向管理中心发送白名单添加请求，并接收所述管理中心针对所述白名单添加请求下发的白名单添加策略，以及根据所述白名单添加策略更新系统白名单。
[0019]根据本专利技术的一个实施例，所述系统白名单包括静态度量白名单和动态度量白名单，所述可信代理服务在根据所述白名单添加策略更新系统白名单时，具体用于：根据所述白名单添加策略确定目标进程；扫描所述目标进程对应目录的文件，计算该文件的Hash值，并将该文件的Hash值、文件大小、文件的创建时间、文件路径存储到所述静态度量白名单；以及读取所述目标进程对应的ELF文件，计算该ELF文件的Hash值，并将该ELF文件的Hash值存储至所述动态度量白名单。
[0020]为达到上述目的，本专利技术第四方面实施例提出了一种基于可信计算的白名单度量系统，所述系统包括：上述的客户端；管理中心，用于接收所述客户端的可信代理服务在检测到软件升级或者安装时，发送的白名单添加请求，并针对所述白名单添加请求下发相应的白名单添加策略至所述可信代理服务，以使所述可信代理服务根据所述白名单添加策略更新系统白名单。
[0021]本专利技术实施例的基于可信计算的白名单度量方法、系统及介质、客户端，定义客户端的可信根节点，能够从boot、内核到应用APP全链条的可信验证。具体使用了白名单库，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信计算的白名单度量方法，其特征在于，所述方法用于客户端，所述客户端具有可信代理服务和Linux内核钩子函数，所述方法包括：所述可信代理服务接收度量请求，并根据所述度量请求确定度量对象的类别，以及根据所述度量对象的类别选择相应的度量策略和系统白名单，其中，所述度量对象的类别包括静态度量对象和动态度量对象；所述Linux内核钩子函数，利用所选择的度量策略和系统白名单对所述度量对象进行度量，并将度量数据写入Linux内核的双向链表中。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述可信代理服务在检测到软件升级或者安装时，向管理中心发送白名单添加请求，并接收所述管理中心针对所述白名单添加请求下发的白名单添加策略，以及根据所述白名单添加策略更新系统白名单。3.根据权利要求2所述的方法，其特征在于，所述系统白名单包括静态度量白名单和动态度量白名单，所述根据所述白名单添加策略更新系统白名单，包括：根据所述白名单添加策略确定目标进程；扫描所述目标进程对应目录的文件，计算该文件的Hash值，并将该文件的Hash值、文件大小、文件的创建时间、文件路径存储到所述静态度量白名单；以及读取所述目标进程对应的ELF文件，计算该ELF文件的Hash值，并将该ELF文件的Hash值存储至所述动态度量白名单。4.根据权利要求3所述的方法，其特征在于，所述静态度量白名单包括应用白名单和配置白名单，对应目录的文件包括应用文件和配置文件，其中，应用文件的Hash值、应用文件大小、应用文件的创建时间、应用文件路径存储到所述应用白名单，配置文件的Hash值、配置文件大小、配置文件的创建时间、配置文件路径存储到所述配置白名单。5.根据权利要求3所述的方法，其特征在于，当所述度量对象的类别为静态度量对象时，所述利用所选择的度量策略和系统白名单对所述度量对象进行度量，包括：对所述度量对象进行Hash值计算，得到第一Hash值；将所述第一Hash值与所选择的静态度量白名单中的Hash值进行匹配；若匹配失败，则按照目标静态度量模式产生相应的度量数据。6.根据权利要求5所述的方法，其特征在于，当所述目标静态度量模式为告警模式时，产生告警度量数据；当所述目标静态度量模式为拦截模式时，产生拦截度量数据。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：所述可信代理服务接收所述管理中心下发的模式配置策略，并根据所述配置策略配置所述目标静态度量模式。8.根据权利要求3所...

【专利技术属性】
技术研发人员：杨勇，庞振江，刘国营，刘娜，李延，杜君，王宪刚，王丹阳，阳锐，
申请(专利权)人：北京智芯半导体科技有限公司，
类型：发明
国别省市：