技術領域

本發明涉及信息安全技術領域，特別是涉及一種核心系統軟件運行過程保護方法。

背景技術

國際可信計算組織(Trusted Computing Group，TCG)簡稱TCG。TCG所提出的可信計算的基本思想是：構建一個可信根(Root of trust)，并從可信根開始，用雜湊度量的方法建立一條可以驗證的信任鏈，從硬件平臺到BIOS、操作系統，再到應用，一級驗證一級，從而把這種信任擴展到整個計算機系統，確保計算機系統可信。信任鏈描述的是一個可信計算平臺啟動時形成的各組成模塊啟動次序和時間上有先后，通過單向的、依次的完整性驗證形成的信任關系的邏輯概念。

TCG推出的系列規范，在信任鏈建立上強調按啟動順序，嚴格按照先啟動部件度量并驗證后啟動部件的順序執行，系統啟動從BIOS開始，TPM是被動調用的方式參與初始的完整性度量。通過BIOS度量MBR，MBR度量操作系統轉載器，操作系統裝載器度量操作系統內核，操作系統度量應用程序的順序完成信任鏈的構建，在信任關系傳遞上，由于在逐級信任傳遞關系中，驗證環節多，驗證主體易被旁路，存在信任鏈被惡意代碼“劫持”的威脅，在驗證過程上，由于需驗證客體多，在實際實施過程中，存在簡化的現象，導致驗證客體對象數量少、不全面的問題，使得信任鏈傳遞這一可信計算平臺的主要特點適用性、實用性不強。

綜上所述，針對現有技術的缺陷，特別需要一種核心系統軟件運行過程保護方法，以解決現有技術的不足。

發明內容

針對現有的存在的不足，影響實際的使用，本發明提出一種核心系統軟件運行過程保護方法，設計新穎，能夠保護核心系統軟件的運營，而且有效防止應用程序文件受到病毒或木馬的破壞。

為了實現上述目的，本發明的技術方案如下：

一種核心系統軟件運行過程保護方法，包括中央處理器，中央處理器的內部嵌入有內核安全模塊、系統認證程序，內核安全模塊通過數據加載單元連接操作系統文件，內核安全模塊通過過濾器連接應用程序，內核安全模塊通過病毒數據存儲模塊連接系統可信程序，系統認證程序設置有用戶認證界面，用戶認證界面用于讀取用戶的身份IC卡，系統認證程序的內部通過可信任密封驅動模塊連接系統軟件的主界面，在操作系統啟動過程中，系統認證程序采取基于白名單的完整性驗證與運行程序控制相結合的方式防止非授權程序的啟動運行，由硬件計算引擎完成完整性驗證的雜湊運算，數據加載單元包含有數據準備單元、數據加載方式單元、數據分析單元。

進一步，所述的中處理器的外圍硬件包含有顯示屏、顯卡、聲卡、網卡、光盤、移動硬盤和U盤。

在本發明所述的數據準備單元內設置有為數據準備區的臨時數據庫，專門用于數據抽取、清洗和加載的操作，在數據準備區里可以設置數據抽取、清洗和加載的重新啟動機制，在數據的抽取、清洗和加載過程中，常常由于系統的原因或其它一些不可預知的因素導致這些活動失敗，如果失敗以后，重新開始將浪費系統的大量資源，為此，可以設置數據抽取、清洗和加載的監控機制，對這些活動進行動態監控。

在本發明所述的數據加載方式單元需要數據源和數據集市的處理器、內存和外部存儲設備，而大多數數據源會用于業務處理系統，在白天需要為用戶提供實時服務，因此數據集市的數據加載往往選擇在節假日或夜間進行。

進一步，所述的數據分析單元過程涉及系統資源的使用限制問題，同時需要數據源和數據集市的處理器、網絡與內存各方面的支持，而這些寶貴資源在應用中會遇到很大限制，大批量數據的加載是通過采用數據復制技術來實現的，數據的復制技術可以保證數據加載過程中的完整性約束，不會受到系統失敗等不測因素的影響，并且可以對數據的傳送過程進行優化處理。

在本發明所述的內核安全模塊的內部設置有ETL日志，ETL日志分為三類，第一類是執行過程日志，是在ETL執行過程中每執行一步的記錄，記錄每次運行每一步驟的起始時間，影響了多少行數據，流水賬形式，第二類是錯誤日志，當某個模塊出錯的時候需要寫錯誤日志，記錄每次出錯的時間，出錯的模塊以及出錯的信息等，第三類日志是總體日志，只記錄ETL開始時間，結束時間是否成功信息。

本發明的有益效果是：結構簡單，只有在系統可信程序白名單中且完整性度量值與預期值一致的安全策略文件和系統文件才允許運行，完整性度量過程首先對安全策略文件、可信程序白名單、程序預期值存儲文件這些關鍵策略文件計算摘要值，校驗其完整性，保證了監測數據的準確性和安全性，實用性能優，設計新穎，是一種很好的創新方案。

附圖說明