本發明公開了一種可信免疫力檢測方法，包括：步驟101、根據防護子系統中的可信平臺控制模塊的實現方式和防護子系統對計算子系統靜態度量時建立的信任鏈的完整程度，對可信計算平臺的防護基礎能力進行檢測；步驟102、根據第一客體集合與第二客體集合，對目標防護策略的防護能力進行檢測；步驟103、根據目標防護策略的防護能力，對可信計算平臺的防護策略能力進行檢測；步驟104、根據可信計算平臺的防護策略能力以及可信計算平臺的防護基礎能力，對可信計算平臺的可信免疫力進行檢測。本發明所提供的方法，綜合考慮了防護子系統的構建方式和可信策略對可信計算平臺免疫力的影響，綜合檢測可信計算平臺的可信免疫力。

技術領域

本發明涉及可信計算技術領域，具體涉及一種可信免疫力檢測方法。

背景技術

為了保證終端的安全性能，國際TCG組織提出了一種可信計算芯片TPM，TPM作為終端的外部設備，以被動掛接的方式，通過主機軟件調用來發揮作用，僅能對終端的啟動過程進行啟動度量，如果啟動度量結果可信，則認為終端處于可信狀態。現有技術僅能根據終端啟動度量結果對終端可信狀態進行檢測，并不能對終端的可信免疫力進行檢測。

發明內容

針對現有技術中存在的缺陷，本發明的目的在于提供一種可信免疫力檢測方法，綜合考慮了防護子系統的構建方式和可信策略對可信計算平臺免疫力的影響，并結合兩方面影響綜合檢測可信計算平臺的可信免疫力。

為實現上述目的，本發明采用的技術方案如下：

一種可信免疫力檢測方法，應用于可信計算平臺，所述可信計算平臺包括：并行的計算子系統和防護子系統，所述計算子系統用于執行計算任務，所述防護子系統用于在所述計算子系統啟動過程中對所述計算子系統進行靜態度量以及在所述計算子系統運行過程中對所述計算子系統進行動態度量，并根據度量結果對所述計算子系統進行控制；所述計算子系統與所述防護子系統之間具有安全隔離機制，通過專用訪問通道進行交互；

(1)根據所述防護子系統中的可信平臺控制模塊的實現方式和所述防護子系統對所述計算子系統靜態度量時建立的信任鏈的完整程度，對所述可信計算平臺的防護基礎能力進行檢測；

(2)根據第一客體集合與第二客體集合，對目標防護策略的防護能力進行檢測，所述第一客體集合為所述目標防護策略中規定的目標行為對應的客體的集合，所述目標防護策略為所述計算子系統中目標應用程序對應的防護策略，所述目標行為為所述目標應用程序執行的行為；所述第二客體集合為所述目標應用程序在所述可信計算平臺中執行的所述目標行為對應的客體的集合；

(3)根據所述目標防護策略的防護能力，對所述可信計算平臺的防護策略能力進行檢測；

(4)根據所述可信計算平臺的防護策略能力以及所述可信計算平臺的防護基礎能力，對所述可信計算平臺的可信免疫力進行檢測。

進一步，如上所述的一種可信免疫力檢測方法，步驟(1)包括：

如果在所述計算子系統啟動過程中所述防護子系統有建立信任鏈，則根據所述可信平臺控制模塊的實現方式對應的免疫檢測系數和信任鏈的完整程度，計算得到所述可信計算平臺的防護基礎檢測值，所述防護基礎檢測值用于指示所述可信計算平臺的防護基礎能力；

如果在所述計算子系統啟動過程中所述防護子系統沒有建立信任鏈，則將所述防護基礎檢測值設置為預定值。

進一步，如上所述的一種可信免疫力檢測方法，如果在所述計算子系統啟動過程中所述防護子系統有建立信任鏈，則所述防護基礎檢測值＝(BIOS對應的度量權重+OSLoader對應的度量權重+OS內核對應的度量權重+OS系統服務對應的度量權重+應用程序對應的度量權重)×免疫檢測系數，所述信任鏈包括：BIOS、OSLoader、OS內核、OS系統服務、應用程序。

進一步，如上所述的一種可信免疫力檢測方法，步驟(2)包括：