本发明专利技术涉及一种保证接入网络的终端设备计算环境安全性的可容忍非信任组件的安全终端加固模型及加固方法,采用USB一体化嵌入式可信系统作为终端的可信根,基于虚拟机实现对非信任组件的行为控制,支持白名单机制的可信计算软件基保证列入白名单机制的服务和应用不需要进行完整性度量即可启动,以容忍非信任组件的加载和运行,尤其当运行在终端上的组件不可信的情况下,保证最终结果的可预测和可控性,保证访问终端访问网络时所涉及信息的机密性,保证终端本地信息的机密性和完整性,本发明专利技术配合现有的可信计算及其它信息安全技术,构造一个安全结果可预测的终端计算环境。
【技术实现步骤摘要】
本专利技术涉及一种保证接入网络的终端设备计算平台安全性的模型及方法,尤其涉 及一种利用可信计算技术,构造安全结果可预测的终端计算平台的可容忍非信任组件的安 全终端加固模型及加固方法。
技术介绍
可信计算是一种基于源头可信的终端安全保护思想。可信计算组织TCGCTrusted Computing Group)将实体行为的可预期性作为可信的基础,它认为如果一个实体的行为总 是以预期的方式、朝着预期的目标发展,则认为一个实体是可信的。可信计算的基本思想 是在信任根的基础上建立一条信任链,基于逐级测量认证,逐级信任传递,把信任关系扩大 到整个计算机系统,从而确保计算机系统的可信。TCG规范的可信计算基(TCB)和可信根 (Roots of Trust)由可信平台模块 TPM(Trusted Platform Module)承担。TPM 是 TCG 可 信计算平台的核心,TPM是一个带密码运算功能的安全微控制器,由输入和输出、密码协处 理器、散列消息认证码HMAC引擎等组件构成,通过LPC (Low Pin Count)总线与PC芯片集 结合在一起。TPM通过提供密钥管理和配置管理等特性,与配套的应用软件一起,主要用于 完成计算平台的可靠性认证、用户身份认证和数字签名等功能。按照TCG可信计算的基本 概念,一个组件是可信的当且仅当其通过了完整性评估。组件完整性评估的依据是可信度 量模块(或度量代理)对组件度量的结果与参考值的比较,如果一致则判为可信。基于这一观点,如果一个组件是“不可信”的,说明该组件没有通过完整性度量,不 能被启动和加载。但实际上,不可信的组件并不代表该组件就一定恶意破坏过,如版本升 级、新的组件等,在这种情况下,被判定不可信的组件也许是可以信任的。正是TCG的这一处理机制严重制约了可信计算平台的应用并受到多方的质疑。如 果一个升级的应用组件或新的应用组件要运行在可信平台之上,必须对可信平台上的TPM 模块的完整性度量参照值进行重写。而这需要TPM厂商提供相应的处理机制,而遗憾的是, 这一过程复杂而漫长。也就是说,可信平台的应用加载受到了极大限制。
技术实现思路
本专利技术的目的在于克服现有技术中存在的不足而提供一种允许非信任组件加载 的,该方法不管终端加载的组件是否可 信,都要保证最终安全结果的可预测和可控性,即保证访问接入网络时所涉及信息的机密 性,保证终端本地信息的机密性和完整性。本专利技术的目的是这样实现的—种可容忍非信任组件的安全终端加固模型,其特征在于该终端加固模型包括 硬件层、虚拟层、操作系统层和应用层;终端硬件层除计算机基本硬件设施之外,增加有USB —体化嵌入式可信系统,该 系统实现通信服务、TPM服务和可信网络连接功能,是一个独立、完整的具有可信TPM功能的片上系统S0C,由安全芯片、通信模块、Flash芯片和Linux系统共同组成,该系统不受上 层操作系统的影响和控制,即使操作系统存在Bug或隐通道,也不会对网络访问控制造成 实质性安全损害,还解决目前的终端设备缺少TPM模块支持这一问题;基于USB —体化嵌入式可信系统能够完成终端对非信任组件的容忍,所谓“非信 任组件”,按照TCG可信计算组织的观点,一个组件是“不可信”的,说明该组件没有通过完整 性度量,不能被启动和加载,但实际上,不可信的组件并不代表该组件就一定恶意破坏过, 在版本升级、新的组件情况下,被判定不可信的组件是可以信任的,针对这种情况,可容忍 非信任组件的终端允许非信任组件加载,但不管终端加载的组件是否可信,都可保证安全 结果的可预测和可控性,保证访问网络所涉及信息的机密性,保证终端本地信息的机密性 和完整性;USB 一体化嵌入式可信系统通过USB接口和终端设备交换信息,并提供标准的TPM 功能,开辟一个非易失可信存取区用以存放VM Loader,OS Loader和Visual Box虚拟机程 序,非易失可信存储区用户不能修改,VM Loader放置在USB存储区的主引导记录MBR(Main Boot Record)区,而扩展代理 EMMl (Extended Measurement Module,EMMl 存储在嵌入式可 信系统的用户不可更改Flash中)、EMM2 (EMM2存储在OS Loader中)作为程序代码分别存 储在Visual Box虚拟机和OS Loader程序中;终端虚拟层位于硬件层和操作系统层之间,利用虚拟机实现硬件资源的透明加密 虚拟化、任务的隔离、USB端口对可移动存储设备的控制以及通过虚拟网卡管理所有的通信 资源等功能;终端操作系统层包括支持白名单机制的可信计算软件基TCSBCTrustedComputing Software Base)、可信基础支撑软件系统服务TSS (TCBSS SystemService)和可信基础支撑 软件应用服务TAS(TCBSS Application Service);终端应用层是应用程序,它们是非信任 组件。一种可容忍非信任组件的安全终端加固方法,其特征在于该方法基于USB —体 化嵌入式可信系统构建,对终端计算环境安全加固的具体步骤如下(1)、终端设备开机后,处于终端硬件层的USB —体化嵌入式可信系统首先加电, 加载嵌入式可信系统,并清除USB存储模块的MBR ;嵌入式可信系统度量VM Loader成功后, 将存储的可信VM Loader覆盖释放到USB存储模块的MBR ;(2)、基于USB模块和用户口令PIN码的USB MBR认证用户成功后,MBR引导存储 在USB可信存取区的虚拟机Visual Box加载启动,并加载虚拟加密存储、虚拟内存、虚拟网 卡、端口控制等虚拟设备,同时启动虚拟机可信度量代理模块EMMl ;(3) ,Visual Box启动成功后,EMMl度量模块度量确认windows操作系统内核的完 整性,生成并释放出一个Windows的引导加载模块OS Loader,覆盖存储到本机硬盘的MBR ;(4)、硬盘MBR引导内核加载,OS Loader内的扩展度量模块EMM2度量TCSB的完 整性并加载可信计算软件基TCSB,TCSB包括进程控制模块、访问控制及其访问决策模块、 VPN客户端模块、网络过滤模块、安全代理模块和审计模块等安全加固模块,其中进程控制 模块作为扩展的度量模块EMM3 ;(5)EMM3度量加载应用程序,加载分两种情况可信加载和基于白名单加载。采用USB —体化嵌入式可信系统作为终端的可信根,包括可信度量、可信存储和可信报告,在这一方面,它对应TCG可信平台,实现可信平台控制模块TPM的功能,USB —体 化是指基于USB接口,将通信服务、TPM服务和可信网络连接融为一体,方便用户的使用, USB 一体化嵌入式可信系统实现了基于GSM/GPRS/TD-SCDMA/WLAN等多种通信网络的VPN连 接,它起到网络连接通信的作用,USB—体化嵌入式可信系统还实现平台安全策略的控制和管理。基于Virtual Box虚拟机实现硬件资源的透明加密虚拟化,以支持存储保护机制; 虚拟机的虚拟内存实现任务的隔离;虚拟机还能够基于USB端口对可移动存储设备进行控 制,只有符合安全策略的外部存储设备才和终端交互信息,防止敏感信息本文档来自技高网...
【技术保护点】
一种可容忍非信任组件的安全终端加固模型,其特征在于:该终端加固模型包括硬件层、虚拟层、操作系统层和应用层;终端硬件层除计算机基本硬件设施之外,增加有USB一体化嵌入式可信系统,该系统实现通信服务、TPM服务和可信网络连接功能,是一个独立、完整的具有可信TPM功能的片上系统SOC,由安全芯片、通信模块、Flash芯片和Linux系统共同组成,该系统不受上层操作系统的影响和控制,即使操作系统存在Bug或隐通道,也不会对网络访问控制造成实质性安全损害,还解决目前的终端设备缺少TPM模块支持这一问题;基于USB一体化嵌入式可信系统能够完成终端对非信任组件的容忍,所谓“非信任组件”,按照TCG可信计算组织的观点,一个组件是“不可信”的,说明该组件没有通过完整性度量,不能被启动和加载,但实际上,不可信的组件并不代表该组件就一定恶意破坏过,在版本升级、新的组件情况下,被判定不可信的组件是可以信任的,针对这种情况,可容忍非信任组件的终端允许非信任组件加载,但不管终端加载的组件是否可信,都可保证安全结果的可预测和可控性,保证访问网络所涉及信息的机密性,保证终端本地信息的机密性和完整性;USB一体化嵌入式可信系统通过USB接口和终端设备交换信息,并提供标准的TPM功能,开辟一个非易失可信存取区用以存放VM Loader、OS Loader和Visual Box虚拟机程序,非易失可信存储区用户不能修改,VM Loader放置在USB存储区的主引导记录MBR(Main Boot Record)区,而扩展代理EMM1(Extended Measurement Module,EMM1存储在嵌入式可信系统的用户不可更改Flash中)、EMM2(EMM2存储在OS Loader中)作为程序代码分别存储在Visual Box虚拟机和OS Loader程序中;终端虚拟层位于硬件层和操作系统层之间,利用虚拟机实现硬件资源的透明加密虚拟化、任务的隔离、USB端口对可移动存储设备的控制以及通过虚拟网卡管理所有的通信资源等功能;终端操作系统层包括支持白名单机制的可信计算软件基TCSB(TrustedComputing Software Base)、可信基础支撑软件系统服务TSS(TCBSS SystemService)和可信基础支撑软件应用服务TAS(TCBSS Application Service);终端应用层是应用程序,它们是非信任组件。...
【技术特征摘要】
...
【专利技术属性】
技术研发人员:董建强,常朝稳,司志刚,秦晰,赵国磊,梁松涛,廖正赟,王一宁,刘熙胖,
申请(专利权)人:郑州信大捷安信息技术有限公司,
类型:发明
国别省市:41[中国|河南]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。