【技术实现步骤摘要】
本专利技术涉及信息安全领域,尤其涉及。
技术介绍
随着计算机技术的发展,计算机系统的安全问题一直是人们的关注点。尤其是计算机系统的代码或数据可能遭到远程攻击者的非法修改。传统的防火墙方式,杀毒软件以及口令方式等并不能从根本上保护计算机系统的完整性。国际上,可信计算组织(TCG)通过在主板上嵌入一块可信平台模块TPM,并利用该芯片在系统启动时通过层层度量的方法来保证启动起来的系统是安全可信的。国内也制定了可信计算的标准《可信计算密码支撑平台功能与接口规范》,通过在主板上嵌入有自己核心密码算法的可信密码模块TCM,可以用来实现系统的可信引导。但这种可信引导的方法只度量BI OS,Boo 11 oader,内核,并没有度量内核模块以及可执行程序。完整性度量架构(Integrity Measurement Architecture) IMA将度量机制扩展到应用层。它通过在Linux中插入钩子点的方法可以度量可执行文件,库文件,内核模块。当这些文件被加载到内存时,IMA会计算它们的哈希值,将得到的结果存储到完整性度量列表ML中,并扩展到TPM的平台配置寄存器PCR中。ML...
【技术保护点】
一种基于可信芯片的动态完整性保护方法,其步骤为:1)在用户态设置一基准更新程序,该基准更新程序初始化TCM芯片的NV存储区:定义NV存储区的索引,NV存储区大小,设置NV存储区的操作口令;所述NV存储区用于存储动态变化文件的度量基准;在完整性度量架构IMA的度量策略中增加一文件名filename选项,用来规定该IMA可度量的动态变化文件;2)用户每次更新动态变化文件后,利用该基准更新程序和设置的操作口令更新该文件在NV存储区的基准;3)在内核态设置一度量模块和一验证模块;所述度量模块在动态变化文件加载到内存时计算该文件的度量结果,并将度量结果发给所述验证模块;所述验证模块读...
【技术特征摘要】
1.种基于可信芯片的动态完整性保护方法,其步骤为: 1)在用户态设置一基准更新程序,该基准更新程序初始化TCM芯片的NV存储区:定义NV存储区的索引,NV存储区大小,设置NV存储区的操作口令;所述NV存储区用于存储动态变化文件的度量基准;在完整性度量架构IMA的度量策略中增加一文件名filename选项,用来规定该IMA可度量的动态变化文件; 2)用户每次更新动态变化文件后,利用该基准更新程序和设置的操作口令更新该文件在NV存储区的基准; 3)在内核态设置一度量模块和一验证模块;所述度量模块在动态变化文件加载到内存时计算该文件的度量结果,并将度量结果发给所述验证模块;所述验证模块读取NV存储区中该文件的基准,将其与该度量结果进行比较,并将比较结果发给度量模块,如果一致,则所述度量模块判定该文件完整性是好的,否则判定该文件被非法修改。2.权利要求1所述的 方法,其特征在于所述基准更新程序设有一策略文件,用于设定文件基准需要写到NV存储区里的动态变化文件;该策略文件每一行对应一个文件名以及该文件在NV存储区里的索引;所述基准更新程序依次计算设定的动态变化文件的度量基准,然后根据设定的动态变化文件的索引将其度量基准存储到NV存储区的对应区域中。3.权利要求2所述的方法,其特征在于在所述完整性度量架构IMA的策略文件中添加一索引选项,用于代表要度量的动态变化文件在NV区域中的序号;其中,对于每一要度量的动态变化文件,其在完整性度量架构IMA策略文件中的索引与基准更新程序的策略文件中该文件对应的索引一致。4.权利要求1或2或3所述的方法,其特征在于所述基准更新程序包括一向TCM芯片发送命令和接受响应的函数Tddli_TransmitData,采用该函数对NV存储区进行初始化;所述基准更新程序包括一传输数据函数transmit_data(BYTE*buf, int len, BYTE*name),用于封装函数Tddli_TransmitD...
【专利技术属性】
技术研发人员:丁保增,贺也平,周启明,武延军,关贝,翟翔,兰书俊,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。