【技术实现步骤摘要】
本专利技术涉及系统安全,尤其涉及一种可信的系统完整性校验方法和装置、电子设备。
技术介绍
1、tc(trusted computing,可信计算)是一项由tcg(trusted computing group,可信计算组)推动和开发的技术。其核心目标之一是保证系统和应用的完整性,从而确定系统或软件运行在设计目标期望的可信状态。是以密码技术为基础,以芯片为信任根,主板为平台,一般是由操作系统、bios和主板上的专用芯片组成。
2、可信计算目的是从根本上杜绝病毒的来源。它是通过平台内部引入可信硬件设备作为可信根,为建立可信计算环境提供有效途径,是一种软硬件相结合的技术。它不仅继承了传统技术和应用,也体现了当前应用需求和技术特点、还融合了现代管理理念和人类社会信任机制,成为信息安全领域的新元素,并在实践中不断探索和发展。可信并不等同于安全,但它是安全的基础,因为安全方案、策略只有运行在未被篡改的环境下才能进一步确保安全目的。通过保证系统和应用的完整性,可以确保使用正确的软件栈,并在软件栈受到攻击发生改变后能及时发现。总的来说,在系统和应用中加入可信验证能够减少由于使用未知或被篡改的系统和应用软件而遭到攻击的可能性。
3、可信根即信任根,在可信计算机系统中作为信任的基点,是系统可信的锚节点,从可信根开始,通过完整性度量和完整性存储技术对代码的可信赖性进行度量和记录,构建信息系统可信环境的信任源,并将可信度量从信任根扩大到整个系统,最终实现信任的链式传递。可信根是所有系统行为完整性的测量基础,其自身的安全性和高性能
4、现有的系统完整性度量方法主要集中在系统的静态完整性度量、侧重于安全硬件,灵活性差。
技术实现思路
1、本专利技术的目的是提供一种可信的系统完整性校验方法和装置、电子设备,能够解决现有技术中存在的对系统完整性度量灵活性差的问题。
2、为解决上述技术问题,本专利技术提供如下技术方案:
3、本专利技术实施例提供了一种可信的系统完整性校验方法,其中,所述方法包括:
4、在系统安装过程中,对所述系统的镜像文件进行签名校验;
5、在签名校验通过的情况下,依据所述系统中各第一启动项对应的哈希值计算所述系统的第一根校验值,其中,所述第一启动项为所述系统中各启动项的部分或全部;
6、对所述系统中的预设文件进行校验得到各所述预设文件的第一校验值;
7、将所述第一根校验值、各所述预设文件的第一校验值存储至可信的硬件存储区域;
8、在所述系统首次启动时,依据所述硬件存取区域中存储的所述第一根校验值、各所述预设文件的第一校验值,先后校验所述系统的可信度,在校验通过的情况下所述系统成功启动。
9、可选地,在系统首次启动时,依据所述硬件存取区域中存储的所述第一根校验值、各所述预设文件的第一校验值,先后校验系统的可信度的步骤,包括:
10、在系统首次启动时,依据所述系统中各所述第一启动项对应的哈希值计算第二根校验值;
11、比对所述硬件存取区域中存储的第一根校验值与所述第二根校验值是否相同;
12、若相同,则对所述系统中的预设文件进行校验,得到各所述预设文件的第二校验值;
13、对应比对各所述预设文件对应的第一校验值和第二校验值是否均相同;
14、若是,则确定所述系统可信。
15、可选地,在所述在校验通过的情况下所述系统成功启动的步骤之后,所述方法还包括:
16、应用软件安装过程中,对所述应用软件安装包进行可信校验;
17、在可信校验通过的情况下,依据所述应用软件的第二启动项和第一加载项对应的哈希值计算所述应用软件的第三根校验值,其中,所述第二启动项为所述应用软件中各启动项的部分或全部,所述第一加载项为所述应用软件中各加载项的部分或全部;
18、将所述第三根校验值存储至可信的硬件存储区域;
19、在所述应用软件首次启动时,依据所述硬件存取区域中存储的所述第三根校验值校验所述应用软件的可信度,在校验通过的情况下所述应用软件成功启动。
20、可选地,所述在所述应用软件首次启动时,依据所述硬件存取区域中存储的所述第三根校验值校验所述应用软件的可信度的步骤,包括:
21、所述在所述应用软件首次启动时,计算所述应用软件的第四根校验值;
22、比对所述硬件存取区域中存储的所述第三根校验值与所述第四根校验值是否相同;
23、若相同,则确定所述应用软件可信,启动所述应用软件。
24、可选地,在所述启动所述应用软件的步骤之后,所述方法还包括:
25、在所述应用软件运行过程中,对每个进程相同区域的数据进行校验,以及对进程内存代码段进行校验;
26、在数据校验、代码段校验均通过情况下,保持所述应用软件正常运行。
27、可选地,将所述第一根校验值、各所述预设文件的第一校验值存储至可信的硬件存储区域的步骤,包括:
28、通过可信根生成的公私钥对所述第一根校验值进行签名验证;
29、在所述第一根校验值签名验证通过的情况下,将所述第一根校验值存储至可信的硬件存储区域;
30、通过可信根生成的公私钥对对所述预设文件的第一校验值进行签名验证;
31、在所述第一校验值签名验证通过的情况下,将所述第一校验值存储至可信的硬件存储区域。
32、本专利技术实施例还提供了一种可信的系统完整性校验装置,其中,该装置包括:
33、第一校验模块,用于在系统安装过程中,对所述系统的镜像文件进行签名校验;
34、第一计算模块,用于在签名校验通过的情况下,依据所述系统中各第一启动项对应的哈希值计算所述系统的第一根校验值,其中,所述第一启动项为所述系统中各启动项的部分或全部;
35、第二校验模块,用于对所述系统中的预设文件进行校验得到各所述预设文件的第一校验值;
36、第一存储模块,用于将所述第一根校验值、各所述预设文件的第一校验值存储至可信的硬件存储区域;
37、第三校验模块,用于在所述系统首次启动时,依据所述硬件存取区域中存储的所述第一根校验值、各所述预设文件的第一校验值,先后校验所述系统的可信度,在校验通过的情况下所述系统成功启动。
38、可选地,所述第三校验模块包括:
39、第一子模块,用于在系统首次启动时,依据所述系统中各所述第一启动项对应的哈希值计算第二根校验值;
40本文档来自技高网...
【技术保护点】
1.一种可信的系统完整性校验方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在系统首次启动时,依据所述硬件存取区域中存储的所述第一根校验值、各所述预设文件的第一校验值,先后校验系统的可信度的步骤,包括:
3.根据权利要求1所述的方法,其特征在于,在所述在校验通过的情况下所述系统成功启动的步骤之后,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述在所述应用软件首次启动时,依据所述硬件存取区域中存储的所述第三根校验值校验所述应用软件的可信度的步骤,包括:
5.根据权利要求4所述的方法,其特征在于,在所述启动所述应用软件的步骤之后,所述方法还包括:
6.根据权利要求1所述的方法,其特征在于,将所述第一根校验值、各所述预设文件的第一校验值存储至可信的硬件存储区域的步骤,包括:
7.一种可信的系统完整性校验装置,用于实现如权利要求1至6中任一项所述的方法,其特征在于,包括:
8.根据权利要求7所述的装置,其特征在于,所述第三校验模块包括:
9.根据权利要求7所
10.一种电子设备,其特征在于,所述电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行所述权利要求1-6中任意一种可信的系统完整性校验方法的步骤。
...【技术特征摘要】
1.一种可信的系统完整性校验方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,在系统首次启动时,依据所述硬件存取区域中存储的所述第一根校验值、各所述预设文件的第一校验值,先后校验系统的可信度的步骤,包括:
3.根据权利要求1所述的方法,其特征在于,在所述在校验通过的情况下所述系统成功启动的步骤之后,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述在所述应用软件首次启动时,依据所述硬件存取区域中存储的所述第三根校验值校验所述应用软件的可信度的步骤,包括:
5.根据权利要求4所述的方法,其特征在于,在所述启动所述应用软件的步骤之后,所述方法还包...
【专利技术属性】
技术研发人员:何道敬,陈康,陈磊,
申请(专利权)人:哈尔滨工业大学深圳哈尔滨工业大学深圳科技创新研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。