本申請提供了一種進程的動態可信度量方法、裝置、系統及終端，應用于基于TrustZone和OP?TEE可信操作系統的可信度量裝置的方法包括：當第一進程的可信度量被觸發時，根據第一進程的頁表所在的物理頁獲取待度量內存段對應的目標頁地址；根據所述目標頁地址，獲取所述目標頁對應的頁哈希值，并從預存的基準庫中獲取關于所述目標頁的頁哈希基準值；獲取所述待度量內存段中目標頁的當前度量階段，并根據所述當前度量階段、所述頁哈希值和所述頁哈?；鶞手?，得到可信度量結果；根據可信度量結果以及第一預設處理策略進行處理。本申請能有效減少攻擊面、保證可信度量的精確性以及提高了可信軟件的安全性和其結果的有效性。

技術領域

本申請涉及通信技術領域，特別涉及一種進程的動態可信度量方法、裝置、系統及終端。

背景技術

傳統的Linux操作系統由于運行在一個硬件上沒有一個隔離的安全可信執行環境的平臺上，其上實現的安全可信軟件只能被迫和系統共享一個空間。傳統的可信方案，由于與系統共享一個非隔離的空間，無論是度量，還是配置等數據都易受到攻擊，而內核功能多且復雜造成實現也相當復雜，各種系統子系統共享同一個內核空間，這無疑造成巨大的攻擊面，進而帶來安全性問題。

發明內容

本申請實施例要達到的技術目的是提供一種進程的動態可信度量方法、裝置、系統及終端，用以解決當前的安全可信軟件較易收到攻擊，存在安全風險的問題。

為解決上述技術問題，本申請實施例提供了一種進程的動態可信度量方法，應用于基于TrustZone和開放可移植可信執行環境(Open Portable Trusted ExecutionEnvironment，簡稱OP-TEE)可信操作系統的可信度量裝置，方法包括：

當第一進程的可信度量被觸發時，根據第一進程的頁表所在的物理頁獲取待度量內存段對應的目標頁地址；

根據所述目標頁地址，獲取所述目標頁對應的頁哈希值，并從預存的基準庫中獲取關于所述目標頁的頁哈?；鶞手?；

獲取所述待度量內存段中目標頁的當前度量階段，并根據所述當前度量階段、所述頁哈希值和所述頁哈?；鶞手?，得到可信度量結果；

根據可信度量結果以及第一預設處理策略進行處理。

具體地，如上所述的進程的動態可信度量方法，當接收到安全監控調用(SecureMonitor Call，簡稱SMC)的第一調用指示或當前時間到達定時任務列表中關于第一進程的任一到期時間時，觸發第一進程的可信度量；

其中，第一調用指令為SMC在確定普通世界可信代理模塊通過linux安全模塊(linux security module，簡稱LSM)攔截到第一預設操作點時所發送，第一預設操作點為預先配置的安全管控操作點。

優選地，如上所述的進程的動態可信度量方法，在根據目標頁地址，獲取目標頁對應的頁哈希值，并從預存的基準庫中獲取關于目標頁的頁哈?；鶞手档牟襟E之前，方法還包括：

判斷待度量內存段中的一目標頁是否為駐留頁；

當目標頁為非駐留頁時，跳過目標頁；

當目標頁為駐留頁時，執行根據待度量內存段的內存段類型以及目標頁地址，獲取待度量內存段對應的頁哈希值，并從預存的基準庫中獲取關于待度量內存段的頁哈希基準值的步驟。

進一步的，如上所述的進程的動態可信度量方法，

所述獲取所述待度量內存段中目標頁的當前度量階段，并根據所述當前度量階段、所述頁哈希值和所述頁哈?；鶞手担玫娇尚哦攘拷Y果的步驟包括：

當所述目標頁的當前度量階段為初始度量階段時，獲取所述目標頁的內存段類型；