操作系统轻量级可信计算资源处理方法、装置、电子设备以及计算机可读存储介质制造方法及图纸

操作系统轻量级可信计算资源处理方法、装置、电子设备以及计算机可读存储介质，属于智能系统和嵌入式计算领域，解决操作系统任务越界访问的问题，要点是创建并加密任务身份白名单以及访问权限白名单；进行任务检测处理，其中，若检测到有任务请求启动，进行任务静态身份检测处理；监测到有所述任务请求访问资源，进行监测任务的资源访问处理，效果是降低远程攻击风险。攻击风险。攻击风险。

【技术实现步骤摘要】
操作系统轻量级可信计算资源处理方法、装置、电子设备以及计算机可读存储介质


[0001]本专利技术属于智能系统和嵌入式计算领域，涉及一种操作系统轻量级可信计算资源处理方法、装置、电子设备以及计算机可读存储介质。

技术介绍

[0002]随着信息物理系统、多智能体协同计算以及人工智能等技术的快速发展与广泛应用，异构计算系统逐渐呈现出系列化、网络化、智能化的发展趋势，其内部资源也展现出异构化和多态化的特征。在传统的异构计算系统中，其资源直接以实体或驱动接口的形式暴露给上层应用，其形式多元不一，且缺乏可信认证机制。这意味着，任何可以被调度执行的任务都有能力直接访问这些资源，这存在着越界访问以及被远程攻击的巨大风险。故对于异构计算资源可信封装与调度以及任务的越界行为监测与管理等问题，亟待以更可靠、可信的方法解决和提升。文献“星载软件可靠性设计方法，李芳华，上海航天，2003 20卷第3期”中研究了星载软件的特点及其可靠性，并根据空间环境提出提高软件可靠性的措施，然而，上述文献主要考虑到软件的可靠性，而对异构资源可信计算方面没有考虑，因而，仍存在对于异构计算资源任务非法启动、越界访问等问题。

技术实现思路

[0003]本专利技术通过更可靠、可信的方式对异构计算资源可信封装与调度，以及对任务的越界行为监测与管理，旨在解决操作系统任务越界访问的问题，降低远程攻击风险，在第一方面上，根据本申请一些实施例的操作系统轻量级可信计算资源处理方法，包括
[0004]创建并加密任务身份白名单以及访问权限白名单；
[0005]进行任务检测处理，其中，若检测到有任务请求启动进行任务静态身份检测处理，若未检测到有任务启动进行任务动态身份检测处理；
[0006]监测到有已启动任务请求访问资源，进行监测任务的资源访问处理，未监测到有已启动任务请求访问资源，进行所述任务检测处理。
[0007]根据本申请一些实施例的操作系统轻量级可信计算资源处理方法，所述任务静态身份检测处理，包括：
[0008]解密所述任务身份白名单并加载到内存；
[0009]遍历任务身份白名单的记录，查找任务身份白名单的各记录中静态路径与所述任务的静态路径相同的第一记录，若未查找到所述第一记录，进行任务动态身份检测处理；
[0010]若所述任务的静态哈希值与所述第一记录的静态哈希值相同，创建任务进程并将所述任务进程地址保存在所述第一记录的任务进程的路径中，运行所述任务进程；
[0011]若所述任务的静态哈希值与所述第一记录的静态哈希值不相同，销毁解密到内存中的所述任务身份白名单，进行任务动态身份检测处理；
[0012]根据本申请一些实施例的操作系统轻量级可信计算资源处理方法，所述任务动态
身份检测处理，包括：
[0013]检测启动时间等于整数倍的时间周期，解密任务身份白名单并加载到内存，检测启动时间不等于整数倍的时间周期，进行任务检测处理；
[0014]遍历任务身份白名单的记录，查找任务身份白名单的各记录中的对应任务未被验证且所述任务进程的路径不等于空的第三记录，若未查找到所述第三记录，进行任务检测处理；
[0015]根据所述第三记录的所述任务进程的路径获取所述任务的任务进程；
[0016]计算所述任务的任务进程的哈希值，与所述第三记录中的任务的动态哈希值相比；
[0017]若所述任务的任务进程的哈希值与所述第三记录中的任务的动态哈希值相同，则将第三记录对应的所述任务置为已被验证，进行任务检测处理；
[0018]若所述任务的任务进程的哈希值与所述第三记录中的任务的动态哈希值不相同，进行任务检测处理。
[0019]根据本申请一些实施例的操作系统轻量级可信计算资源处理方法，所述监测任务的资源访问处理，包括：
[0020]解密所述访问权限白名单并加载到内存；
[0021]遍历访问权限白名单的记录，查找访问权限白名单各记录中的资源静态路径、任务静态路径与所述任务的资源静态路径、任务静态路径相同的第二记录，若未查找到所述第二记录，进行任务检测处理，销毁解密到内存中的所述访问权限白名单，进行任务检测处理；
[0022]根据所述第二记录的所述资源静态路径在所述内存中查找到所述资源，计算所述资源的资源文件哈希值；
[0023]若所述资源的资源文件哈希值与所述第二记录中的资源文件哈希值不相同，结束资源访问任务，销毁解密到内存中的所述访问权限白名单，进行任务检测处理；
[0024]若所述资源的资源文件哈希值与所述第二记录中的资源文件哈希值相同，则将所述任务的所需权限与所述第二记录中任务对被监测资源访问权限相比；
[0025]若所述所需权限与所述访问权限相同或所述访问权限为读写权限，允许所述任务访问所述资源，若所述所需权限与所述访问权限不相同，且所述访问权限不为读写权限，销毁解密到内存中的所述访问权限白名单，进行任务检测处理。
[0026]根据本申请一些实施例的操作系统轻量级可信计算资源处理方法，所述任务身份白名的记录格式包括<Task.TaskPath,Hash,CodeHash,Sign,PA>，其中，Task.TaskPath表示任务的静态路径，Hash表示任务的静态哈希值，CodeHash表示任务的动态哈希值，Sig表示该任务是否已经被哈希验证，PA表示任务进程的路径，PA初始值为空；
[0027]根据本申请一些实施例的操作系统轻量级可信计算资源处理方法，所述访问权限白名单的记录格式包括<Path,Task.TaskPath,SHash,Task.Permission>，其中，Path表示资源静态路径，Task.TaskPath表示任务静态路径，SHash表示该资源文件哈希值，Task.Permission表示路径为Task.TaskPath的任务对该资源访问权限，所述访问权限包括读写、只读、只写以及执行。
[0028]在第二方面上，根据本申请一些实施例的操作系统轻量级可信计算资源处理装
置，包括
[0029]任务检测处理模块，进行任务检测处理，其中，任务检测处理模块若检测到有任务启动，由任务静态身份检测处理模块进行任务静态身份检测处理，任务检测处理模块若未检测到有任务启动，由任务动态身份检测处理模块进行任务动态身份检测处理；
[0030]监测任务的资源访问处理模块，监测到有已启动任务请求访问资源，监测任务的资源访问处理模块进行监测任务的资源访问处理，未监测到有已启动任务请求访问资源，未监测任务的资源访问处理模块，进行所述任务检测处理。
[0031]根据本申请一些实施例的操作系统轻量级可信计算资源处理装置，所述任务静态身份检测处理模块基于如下方式实现任务静态身份检测处理：
[0032]解密所述任务身份白名单并加载到内存；
[0033]遍历任务身份白名单的记录，查找任务身份白名单的各记录中静态路径与所述任务的静态路径相同的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种操作系统轻量级可信计算资源处理方法，其特征在于，包括创建并加密任务身份白名单以及访问权限白名单；进行任务检测处理，其中，若检测到有任务请求启动进行任务静态身份检测处理，若未检测到有任务启动进行任务动态身份检测处理；监测到有已启动任务请求访问资源，进行监测任务的资源访问处理，未监测到有已启动任务请求访问资源，进行所述任务检测处理。2.根据权利要求1所述的操作系统轻量级可信计算资源处理方法，其特征在于，所述任务静态身份检测处理，包括：解密所述任务身份白名单并加载到内存；遍历任务身份白名单的记录，查找任务身份白名单的各记录中静态路径与所述任务的静态路径相同的第一记录，若未查找到所述第一记录，进行任务动态身份检测处理；若所述任务的静态哈希值与所述第一记录的静态哈希值相同，创建任务进程并将所述任务进程地址保存在所述第一记录的任务进程的路径中，运行所述任务进程；若所述任务的静态哈希值与所述第一记录的静态哈希值不相同，销毁解密到内存中的所述任务身份白名单，进行任务动态身份检测处理；所述任务动态身份检测处理，包括：检测启动时间等于整数倍的时间周期，解密任务身份白名单并加载到内存，检测启动时间不等于整数倍的时间周期，进行任务检测处理；遍历任务身份白名单的记录，查找任务身份白名单的各记录中的对应任务未被验证且所述任务进程的路径不等于空的第三记录，若未查找到所述第三记录，进行任务检测处理；根据所述第三记录的所述任务进程的路径获取所述任务的任务进程；计算所述任务的任务进程的哈希值，与所述第三记录中的任务的动态哈希值相比；若所述任务的任务进程的哈希值与所述第三记录中的任务的动态哈希值相同，则将第三记录对应的所述任务置为已被验证，进行任务检测处理；若所述任务的任务进程的哈希值与所述第三记录中的任务的动态哈希值不相同，进行任务检测处理。3.根据权利要求2所述的操作系统轻量级可信计算资源处理方法，其特征在于，所述监测任务的资源访问处理，包括：解密所述访问权限白名单并加载到内存；遍历访问权限白名单的记录，查找访问权限白名单各记录中的资源静态路径、任务静态路径与所述任务的资源静态路径、任务静态路径相同的第二记录，若未查找到所述第二记录，进行任务检测处理，销毁解密到内存中的所述访问权限白名单，进行任务检测处理；根据所述第二记录的所述资源静态路径在所述内存中查找到所述资源，计算所述资源的资源文件哈希值；若所述资源的资源文件哈希值与所述第二记录中的资源文件哈希值不相同，结束资源访问任务，销毁解密到内存中的所述访问权限白名单，进行任务检测处理；若所述资源的资源文件哈希值与所述第二记录中的资源文件哈希值相同，则将所述任务的所需权限与所述第二记录中任务对被监测资源访问权限相比；若所述所需权限与所述访问权限相同或所述访问权限为读写权限，允许所述任务访问
所述资源，若所述所需权限与所述访问权限不相同，且所述访问权限不为读写权限，销毁解密到内存中的所述访问权限白名单，进行任务检测处理。4.根据权利要求3所述的操作系统轻量级可信计算资源处理方法，其特征在于，所述任务身份白名的记录格式包括<Task.TaskPath,Hash,CodeHash,Sign,PA>，其中，Task.TaskPh表示任务的静态路径，Hash表示任务的静态哈希值，CodeHash表示任务的动态哈希值，Sign表示该任务是否已经被哈希验证，PA表示任务进程的路径，PA初始值为空；所述访问权限白名单的记录格式包括<Path,Task.TaskPath,SHash,Task.Permission>，其中，Path表示资源静态路径，Task.TaskPath表示任务静态路径，SHash表示该资源文件哈希值，Task.Permission表示路径为Task.TaskPath的任务对该资源访问权限，所述访问权限包括读写、只读、只写以及执行。5.一种操作系统轻量级可信计算资源处理装置，其特征在于，包括任务检测处理模块，进行任务检测处理，其中，任务检测处理模块若检测到有任务启动，由任务静态身份检测处理模块进行任务静态身份检测处理，任务检测处理模块若未检测到有任务启动，由任务动态身份检测处理模块进行任务动态身...

【专利技术属性】
技术研发人员：张凯龙，王天洋，毛健，游红俊，裴伯昊，吴金飞，
申请(专利权)人：上海航天电子通讯设备研究所，
类型：发明
国别省市：