[發明專利]一種基于自校驗機制保護主機完整性的方法與系統在審
| 申請號: | 201910463245.0 | 申請日: | 2019-05-30 |
| 公開(公告)號: | CN110197073A | 公開(公告)日: | 2019-09-03 |
| 發明(設計)人: | 劉海偉 | 申請(專利權)人: | 蘇州浪潮智能科技有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57 |
| 代理公司: | 濟南誠智商標專利事務所有限公司 37105 | 代理人: | 朱曉熹 |
| 地址: | 215100 江蘇省蘇州市吳*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 主機 自校驗 度量 被保護對象 完整性度量 機制保護 可信計算 實時度 可視化管理 完整性報告 完整性狀態 可信引導 主機啟動 隱私 存儲 安全 查找 挑戰 | ||
1.一種基于自校驗機制保護主機完整性的方法,其特征在于,所述方法包括以下步驟:
S1、基于TPM芯片的NV空間,保存主機被保護對象的度量基準值;
S2、基于可信引導,實時度量主機被保護對象的度量值,通過比較度量基準值和實時度量值,來判斷主機是否完整;
S3、通過可視化管理展示不完整對象列表。
2.根據權利要求1所述的一種基于自校驗機制保護主機完整性的方法,其特征在于,所述步驟S1具體實施流程如下:
讀取軟件度量配置文件,遍歷配置文件,判斷該度量配置文件是否存在,不存在則退出,計算該度量配置文件的哈希值,作為每個度量文件的基準值存入數據庫中,然后繼續遍歷度量配置文件;
當遍歷結束后,計算上述軟件度量配置文件的迭代哈希值,作為軟件迭代基準值,存入TPM芯片的NV空間中;
遍歷硬件日志,記錄硬件度量哈希值,作為每個硬件對象的基準值存入數據庫中;
遍歷結束后,計算上述硬件度量文件的迭代哈希值,作為硬件迭代基準值,存入TPM芯片的NV空間中。
3.根據權利要求1所述的一種基于自校驗機制保護主機完整性的方法,其特征在于,所述步驟S2具體實施流程如下:
逐個加載硬件對象,度量當前硬件對象,得到硬件度量值,記錄到硬件日志中;
當加載完畢后,計算當前硬件迭代哈希值;
從TPM芯片的NV空間中讀取硬件迭代基準值;
比較當前硬件迭代哈希值與硬件迭代基準值,如果兩個值相同則硬件對象完整,記錄硬件可信到TPM芯片的NV空間中,否則記錄硬件不可信到TPM芯片的NV空間中;
遍歷軟件對象,計算軟件對象的哈希值,存入軟件度量日志中;
當遍歷結束后,計算軟件度量對象迭代哈希值;
從TPM芯片的NV空間中讀取軟件度量對象的迭代基準值;
比較軟件對象迭代哈希值與迭代基準值,如果兩個值相同,則軟件對象完整,記錄軟件可信到TPM芯片的NV空間中,否則記錄軟件不可信到TPM芯片的NV空間中。
4.根據權利要求1所述的一種基于自校驗機制保護主機完整性的方法,其特征在于,所述步驟S3具體實施流程如下:
檢查TPM芯片NV空間中是否有硬件和軟件的可信狀態,如果有可信狀態,則讀取硬件可信狀態;
如果硬件可信狀態為不可信,則讀取硬件度量日志,分別比較度量日志中的度量值與數據庫中的基準值是否相同,如果度量值與基準值不同,則記錄該度量對象到硬件不可信列表;如果硬件可信狀態為可信,則查找軟件的可信狀態;
讀取軟件可信狀態,如果不可信,則讀取軟件度量日志,分別比較軟件度量日志中的度量值與數據庫中的軟件對象的基準值是否相同,如果度量值與基準值不同,則記錄該度量對象到軟件不可信列表;
硬件不可信列表中存儲硬件不可信項,軟件不可信列表中存儲軟件不可信項。
5.一種基于自校驗機制保護主機完整性的系統,其特征在于,所述系統包括:
完整性策略管理模塊,用于基于TPM芯片的NV空間,保存主機被保護對象的度量基準值;
可信引導模塊,用于基于可信引導,實時度量主機被保護對象的度量值,通過比較度量基準值和實時度量值,來判斷主機是否完整;
完整性報告模塊,用于通過可視化管理展示不完整對象列表。
6.根據權利要求5所述的一種基于自校驗機制保護主機完整性的系統,其特征在于,所述完整性策略管理模塊包括:
軟件對象遍歷單元,用于讀取軟件度量配置文件,遍歷配置文件,判斷該度量配置文件是否存在,不存在則退出,計算該度量配置文件的哈希值,作為每個度量文件的基準值存入數據庫中,然后繼續遍歷度量配置文件;
軟件基準值計算模塊,用于當遍歷結束后,計算上述軟件度量配置文件的迭代哈希值,作為軟件迭代基準值,存入TPM芯片的NV空間中;
硬件對象遍歷單元,用于遍歷硬件日志,記錄硬件度量哈希值,作為每個硬件對象的基準值存入數據庫中;
硬件基準值計算模塊,用于遍歷結束后,計算上述硬件度量文件的迭代哈希值,作為硬件迭代基準值,存入TPM芯片的NV空間中。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于蘇州浪潮智能科技有限公司,未經蘇州浪潮智能科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201910463245.0/1.html,轉載請聲明來源鉆瓜專利網。
