亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種可信計算平臺的信任鏈傳遞方法

文檔序號:6434820閱讀:357來源:國知局
專利名稱:一種可信計算平臺的信任鏈傳遞方法
技術(shù)領(lǐng)域
本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種可信計算平臺組件間信任關(guān)系建立和傳遞的方法。
背景技術(shù)
國際可信計算組織CTrusted Computing Group, TCG)簡稱TCG。TCG所提出的可信計算的基本思想是構(gòu)建一個可信根(Root of trust),并從可信根開始,用雜湊度量的方法建立一條可以驗證的信任鏈,從硬件平臺到BIOS、操作系統(tǒng),再到應(yīng)用,一級驗證一級, 從而把這種信任擴(kuò)展到整個計算機(jī)系統(tǒng),確保計算機(jī)系統(tǒng)可信。信任鏈描述的是一個可信計算平臺啟動時形成的各組成模塊啟動次序和時間上有先后,通過單向的、依次的完整性驗證形成的信任關(guān)系的邏輯概念。TCG推出的系列規(guī)范,在信任鏈建立上強(qiáng)調(diào)按啟動順序,嚴(yán)格按照先啟動部件度量并驗證后啟動部件的順序執(zhí)行,系統(tǒng)啟動從BIOS開始,TPM是被動調(diào)用的方式參與初始的完整性度量。通過BIOS度量MBR,MBR度量操作系統(tǒng)轉(zhuǎn)載器,操作系統(tǒng)裝載器度量操作系統(tǒng)內(nèi)核,操作系統(tǒng)度量應(yīng)用程序的順序完成信任鏈的構(gòu)建。TCG對于信任鏈傳遞涉及的驗證主體,驗證客體對象只做出了相當(dāng)粗粒度的描述。 目前對于信任鏈的建立和傳遞,缺少實用和完善的方案。在信任鏈建立的起點(diǎn)上,由于將 BIOS視為可信度量根的一部分,存在可信度量根不可控、不可信的可能情況;在信任關(guān)系傳遞上,由于在逐級信任傳遞關(guān)系中,驗證環(huán)節(jié)多,驗證主體易被旁路,存在信任鏈被惡意代碼“劫持”的威脅;在驗證過程上,由于需驗證客體多,在實際實施過程中,存在簡化的現(xiàn)象,導(dǎo)致驗證客體對象數(shù)量少、不全面的問題。使得信任鏈傳遞這一可信計算平臺的主要特點(diǎn)適用性、實用性不強(qiáng)。

發(fā)明內(nèi)容
本發(fā)明提供一種在可信計算平臺通過提前集中度量機(jī)制以及完整性驗證結(jié)合程序授權(quán)執(zhí)行機(jī)制實現(xiàn)信任鏈建立和信任關(guān)系傳遞的方法,構(gòu)建了從TCM到應(yīng)用系統(tǒng)的信任鏈。本發(fā)明的技術(shù)方案基于通用PC實現(xiàn),為達(dá)到上述目的,在通用PC基礎(chǔ)上進(jìn)行了如下具體改造可信平臺模塊(TCM)是一種集成在可信計算平臺中,嵌入于主板上的安全硬件模塊。用于建立和保障信任源點(diǎn)的硬件核心模塊,為可信計算提供完整性度量、安全存儲、可信報告以及密碼服務(wù)等功能??尚臖IOS指在通用BIOS基礎(chǔ)上加入了具有TCM驅(qū)動和完整性驗證等功能的安全功能模塊,可信BIOS的功能模塊組成結(jié)構(gòu)如圖1所示。從啟動順序上由兩個部分組成,其中先啟動的部分稱為BOOT BLOCK,后啟動的部分稱為MAIN BLOCK。BOOT BLOCK的組成見圖 2所示。
主引導(dǎo)記錄(MBR)指硬盤初始的第一個扇區(qū),長度為512字節(jié)。操作系統(tǒng)引導(dǎo)器指由MBR引導(dǎo)啟動的存在于硬盤中的操作系統(tǒng)裝載程序。安全操作系統(tǒng)指在通用操作系統(tǒng)內(nèi)核中嵌入了專門的安全模塊用于完成完整性驗證、執(zhí)行程序控制、強(qiáng)制訪問控制、安全事件審計等安全功能。信任鏈的傳遞主要涉及確定實施完整性驗證操作的主體以及選擇驗證對象客體。 本信任鏈傳遞方法的特征在于由TCM作為信任鏈啟動的起點(diǎn)首先啟動并主動完成初始對 BIOS的完整性驗證;在BIOS啟動后由其MAIN BLOCK對MBR、操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核關(guān)鍵文件集中進(jìn)行完整性驗證;在操作系統(tǒng)啟動過程中,采取基于白名單的完整性驗證與運(yùn)行程序控制相結(jié)合的方式防止非授權(quán)程序的啟動運(yùn)行;由硬件計算引擎完成完整性驗證的雜湊運(yùn)算。包括以下步驟可信計算平臺主板加電后,TCM首先上電啟動初始化,通過對電源、時鐘和復(fù)位信號線的控制使可信主板處于復(fù)位狀態(tài),在CPU上電之前,接管系統(tǒng)的控制權(quán),通過LPC總線主動讀取BIOS的二進(jìn)制代碼進(jìn)行完整性驗證。驗證通過后,TCM釋放電源、時鐘和復(fù)位信號,并將可信主板的LPC總線通過可信平臺控制模塊的內(nèi)部硬件邏輯連接到可信BIOS芯片上;系統(tǒng)啟動流程從BIOS的BOOT BLOCK開始,BOOT BLOCK執(zhí)行必要的初始化工作后BIOS的MAIN BLOCK啟動運(yùn)行。安全功能模塊接著調(diào)用TCM計算引擎對外圍硬件設(shè)備的固件特征值進(jìn)行完整性驗證。各硬件設(shè)備信息的獲取通過可信BIOS訪問硬件對應(yīng)的設(shè)備配置空間進(jìn)行,獲取到當(dāng)前硬件的設(shè)備信息后,調(diào)用TCM硬件運(yùn)算引擎對設(shè)備信息進(jìn)行度量和校驗,關(guān)鍵硬件設(shè)備信息的預(yù)期值存儲TCM中,由上層管理程序進(jìn)行維護(hù);可信BIOS芯片利用BIOS級的1/0端口控制技術(shù),根據(jù)當(dāng)前用戶1/0端口使用權(quán)限,對相應(yīng)的1/0端口進(jìn)行開放/禁止操作,端口被禁止后,操作系統(tǒng)及應(yīng)用軟件將無法使用;在啟動過程中利用該技術(shù)直接通過硬盤加載操作系統(tǒng),防止通過除硬盤外的可引導(dǎo)設(shè)備加載操作系統(tǒng)??尚臖IOS芯片的安全功能模塊接著對關(guān)鍵的系統(tǒng)軟件——包括主引導(dǎo)記錄、操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核重要核心文件進(jìn)行完整性驗證;在該步驟中,在可信BIOS芯片中實現(xiàn)對EXT2/FAT32/NTFS文件系統(tǒng)的支持,從而能夠利用可信BIOS芯片提前以文件的形式讀取操作系統(tǒng)最先啟動的內(nèi)核文件進(jìn)行完整性驗證;在驗證中,需要構(gòu)造以白名單形式保存的完整性度量文件列表,實現(xiàn)對操作系統(tǒng)核心組件文件的動態(tài)維護(hù),可以根據(jù)需求增加或刪減需要度量的操作系統(tǒng)組件。所述度量完成并與預(yù)期值比較驗證通過后,可信BIOS芯片將控制權(quán)交給MBR來引導(dǎo)操作系統(tǒng),MBR、操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核依次啟動,在操作系統(tǒng)啟動中,使用操作系統(tǒng)內(nèi)核嵌入的安全模塊通過內(nèi)核態(tài)的可信軟件棧調(diào)用TCM內(nèi)雜湊算法驗證各個安全策略文件、系統(tǒng)服務(wù)、驅(qū)動程序、重要應(yīng)用程序、腳本程序以及配置數(shù)據(jù)的完整性;在該安全模塊啟動前啟動的內(nèi)核文件由可信BIOS芯片提前進(jìn)行完整性驗證,在該步驟中由內(nèi)核安全模塊對數(shù)量非常龐大的系統(tǒng)文件進(jìn)行完整性驗證及執(zhí)行程序控制,只有在系統(tǒng)可信程序白名單中且完整性度量值與預(yù)期值一致的安全策略文件和系統(tǒng)文件才允許運(yùn)行;完整性度量過程首先對安全策略文件、可信程序白名單、程序預(yù)期值存儲文件這些關(guān)鍵策略文件計算摘要值,校驗其完整性。驗證通過后,操作系統(tǒng)啟動完畢,用戶啟動任何可執(zhí)行程序時,由操作系統(tǒng)內(nèi)核中安全模塊校驗程序的完整性并檢驗該程序是否在可信程序白名單中,只有在系統(tǒng)可信程序白名單中且完整性度量值與預(yù)期值一致的應(yīng)用程序才允許運(yùn)行。前述的外圍硬件設(shè)備包括顯卡、硬盤、光驅(qū)、聲卡、網(wǎng)卡。前述的可引導(dǎo)設(shè)備包括光盤、移動硬盤和U盤。本發(fā)明一種可信計算平臺的信任鏈傳遞方法,實現(xiàn)了以下的效果(I)TCM是可信度量根,啟動先由TCM主動度量后繼啟動的組件,不易被篡改和攻擊。比TCG規(guī)范規(guī)定的BIOS先啟動進(jìn)行度量的方案更加安全可信,并且,在整個信任鏈建立過程中基于TCM內(nèi)部運(yùn)算引擎實現(xiàn)所有密碼運(yùn)算。(2)在BIOS啟動階段,一次性提前集中度量了后繼啟動的MBR、操作系統(tǒng)裝載器、 操作系統(tǒng)前期啟動的關(guān)鍵系統(tǒng)文件,解決了操作系統(tǒng)啟動過程流程復(fù)雜、難于控制從而不易進(jìn)行完整性驗證的問題。同時保證系統(tǒng)在操作系統(tǒng)獲得控制權(quán)之前,系統(tǒng)是完全可信的。 TCG中未規(guī)定對操作系統(tǒng)進(jìn)行度量的方法,本發(fā)明對操作系統(tǒng)的完整性驗證提出了一種切實可行、覆蓋全面的方法。(3)對需要保護(hù)的操作系統(tǒng)系統(tǒng)文件,采取分階段進(jìn)行完整性驗證的方法,在后期操作系統(tǒng)內(nèi)核安全模塊起作用后,對啟動運(yùn)行的操作系統(tǒng)文件進(jìn)行基于白名單的授權(quán)執(zhí)行和完整性驗證雙重安全機(jī)制,能夠?qū)崿F(xiàn)高效率的、細(xì)粒度的信任鏈傳遞并能夠防止系統(tǒng)文件、應(yīng)用程序文件受到病毒或木馬的破壞,防止非授權(quán)程序執(zhí)行。TCG對操作系統(tǒng)及應(yīng)用系統(tǒng)的完整性驗證由于操作系統(tǒng)的復(fù)雜性沒有具體的實施方式,本方案尤其適用于對非開源操作系統(tǒng)啟動過程的完整性驗證,能夠做到驗證全面、驗證細(xì)粒度和程序啟動可控。


圖1為可信BIOS模塊組成結(jié)構(gòu)圖;圖2為完整性度量和信任鏈傳遞關(guān)系圖。
具體實施例方式本發(fā)明說明書中所述的信任鏈建立和傳遞的方法,包括以下步驟(1)可信計算平臺主板加電后,TCM首先上電啟動初始化,通過對電源、時鐘和復(fù)位信號線的控制使可信主板處于復(fù)位狀態(tài),在CPU上電之前,接管系統(tǒng)的控制權(quán),通過LPC 總線主動讀取BIOS的BOOT BLOCK的二進(jìn)制代碼進(jìn)行完整性驗證。驗證通過后,TCM釋放電源、時鐘和復(fù)位信號,并將可信主板的LPC總線通過可信平臺控制模塊的內(nèi)部硬件邏輯連接到可信BIOS芯片上,BIOS開始正常啟動。如圖2中可信密碼模塊對BOOT BLOCK進(jìn)行度量并轉(zhuǎn)移控制權(quán)的過程a所示。(2)系統(tǒng)啟動流程從BIOS的BOOT BLOCK開始,BOOT BLOCK代碼受硬件保護(hù)的,如果不去除硬件上的保護(hù)措施,無法通過軟件方式改寫這部分代碼。BOOT BLOCK執(zhí)行必要的初始化工作,接著BIOS的MAIN BLOCK啟動運(yùn)行,如圖2中BOOT BLOCK向MAIN BLOCK轉(zhuǎn)移控制權(quán)的過程b所示。(3)安全功能模塊接著調(diào)用TCM計算引擎對外圍硬件設(shè)備(顯卡、硬盤、光驅(qū)、聲卡、網(wǎng)卡等)的固件特征值(Option ROM)進(jìn)行完整性驗證。各硬件設(shè)備信息的獲取通過可信BIOS訪問硬件對應(yīng)的設(shè)備配置空間進(jìn)行,獲取到當(dāng)前硬件的設(shè)備信息后,調(diào)用TCM硬件運(yùn)算引擎對設(shè)備信息進(jìn)行度量和校驗,如圖2中度量引擎進(jìn)行度量的過程c所示。關(guān)鍵硬件設(shè)備信息的預(yù)期值可存儲TCM中,由上層管理程序進(jìn)行維護(hù)??尚臖IOS對硬件的安全控制還體現(xiàn)在利用BIOS級的I/O端口控制技術(shù),根據(jù)當(dāng)前用戶I/O端口使用權(quán)限,對相應(yīng)的 I/O端口進(jìn)行開放/禁止操作,端口被禁止后,操作系統(tǒng)及應(yīng)用軟件將無法使用。在啟動過程中利用該技術(shù)直接通過硬盤加載操作系統(tǒng),防止通過除硬盤外的可引導(dǎo)設(shè)備(光盤、U盤等)加載操作系統(tǒng)。(4)可信BIOS的安全功能模塊讀取身份IC卡完成身份認(rèn)證過程,接著對關(guān)鍵的系統(tǒng)軟件——包括主引導(dǎo)記錄(MBR)、操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核重要核心文件進(jìn)行完整性驗證。在該步驟中,在BIOS中實現(xiàn)對EXT2/FAT32/NTFS等常用文件系統(tǒng)的支持,從而能夠利用BIOS提前以文件的形式讀取操作系統(tǒng)最先啟動的主要內(nèi)核文件進(jìn)行完整性驗證。實現(xiàn)對操作系統(tǒng)核心組件文件的啟動過程完整性維護(hù),并可以根據(jù)需求增加或刪減需要度量的操作系統(tǒng)組件。該過程如圖2中BIOS對系統(tǒng)軟件的度量和加載過程d所示。(5)上步所述所有這些度量都成功完成并與預(yù)期值比較驗證通過后,BIOS才會將控制權(quán)交給MBR來引導(dǎo)操作系統(tǒng)。MBR、操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核依次啟動,操作系統(tǒng)的完整性驗證過程按啟動前后順序分為兩個階段,在操作系統(tǒng)內(nèi)核嵌入的安全模塊之前啟動的內(nèi)核文件(數(shù)量較少)已經(jīng)由BIOS提前進(jìn)行了完整性驗證,內(nèi)核安全模塊啟動后, 它通過內(nèi)核態(tài)的可信軟件棧調(diào)用TCM內(nèi)雜湊算法驗證各安全策略文件和配置文件、系統(tǒng)服務(wù)、驅(qū)動程序、重要應(yīng)用程序、腳本程序、配置數(shù)據(jù)的完整性。驗證方法是程序裝載前計算文件摘要值,再將度量值和以白名單形式保存的系統(tǒng)文件完整性度量預(yù)期值列表(該列表以文件形式存儲在硬盤)相比較。在該步驟中由內(nèi)核安全模塊對數(shù)量龐大的系統(tǒng)文件進(jìn)行完整性驗證及執(zhí)行程序控制,只有在系統(tǒng)可信程序白名單中且完整性度量值與預(yù)期值一致的安全策略文件和系統(tǒng)文件才允許運(yùn)行。如圖2中操作系統(tǒng)引導(dǎo)和驗證的過程e所示。(6)驗證通過后,操作系統(tǒng)啟動完畢,用戶啟動任何可執(zhí)行程序時,由操作系統(tǒng)內(nèi)核中安全模塊校驗程序的完整性并檢驗該程序是否在可信程序白名單中,只有在系統(tǒng)可信程序白名單中且完整性度量值與預(yù)期值一致的應(yīng)用程序才允許運(yùn)行。如圖2中內(nèi)核安全模塊對應(yīng)用程序的驗證過程f所示。
權(quán)利要求
1.一種可信計算平臺的信任鏈傳遞方法,其特征在于由TCM作為信任鏈啟動的起點(diǎn)首先啟動并主動完成初始對BIOS的完整性驗證;在BIOS啟動后由其MAIN BLOCK對MBR、 操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核關(guān)鍵文件集中進(jìn)行完整性驗證;在操作系統(tǒng)啟動過程中,采取基于白名單的完整性驗證與運(yùn)行程序控制相結(jié)合的方式防止非授權(quán)程序的啟動運(yùn)行;由硬件計算引擎完成完整性驗證的雜湊運(yùn)算;包括以下步驟(1)可信計算平臺主板加電后,TCM首先上電啟動初始化,通過對電源、時鐘和復(fù)位信號線的控制使可信主板處于復(fù)位狀態(tài),在CPU上電之前,接管系統(tǒng)的控制權(quán),通過LPC總線主動讀取BIOS的BOOT BLOCK的二進(jìn)制代碼進(jìn)行完整性驗證;驗證通過后,TCM釋放電源、 時鐘和復(fù)位信號,并將可信主板的LPC總線通過可信平臺控制模塊的內(nèi)部硬件邏輯連接到可信BIOS芯片上,BIOS開始正常啟動;(2)系統(tǒng)啟動流程從BIOS的BOOTBLOCK開始,BOOT BLOCK代碼受硬件保護(hù)的,如果不去除硬件上的保護(hù)措施,無法通過軟件方式改寫這部分代碼;BOOT BLOCK執(zhí)行必要的初始化工作,接著BIOS的MAIN BLOCK啟動運(yùn)行;(3)安全功能模塊接著調(diào)用TCM計算引擎對外圍硬件設(shè)備的固件特征值進(jìn)行完整性驗證;各硬件設(shè)備信息的獲取通過可信BIOS訪問硬件對應(yīng)的設(shè)備配置空間進(jìn)行,獲取到當(dāng)前硬件的設(shè)備信息后,調(diào)用TCM硬件運(yùn)算引擎對設(shè)備信息進(jìn)行度量和校驗,關(guān)鍵硬件設(shè)備信息的預(yù)期值可存儲TCM中,由上層管理程序進(jìn)行維護(hù);可信BIOS對硬件的安全控制還體現(xiàn)在利用BIOS級的I/O端口控制技術(shù),根據(jù)當(dāng)前用戶I/O端口使用權(quán)限,對相應(yīng)的I/O端口進(jìn)行開放/禁止操作,端口被禁止后,操作系統(tǒng)及應(yīng)用軟件將無法使用;在啟動過程中利用該技術(shù)直接通過硬盤加載操作系統(tǒng),防止通過除硬盤外的可引導(dǎo)設(shè)備加載操作系統(tǒng);(4)可信BIOS的安全功能模塊讀取身份IC卡完成身份認(rèn)證過程,接著對關(guān)鍵的系統(tǒng)軟件一一包括主引導(dǎo)記錄、操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核重要核心文件進(jìn)行完整性驗證;在該步驟中,在BIOS中實現(xiàn)對EXT2/FAT32/NTFS等常用文件系統(tǒng)的支持,從而能夠利用BIOS 提前以文件的形式讀取操作系統(tǒng)最先啟動的主要內(nèi)核文件進(jìn)行完整性驗證;實現(xiàn)對操作系統(tǒng)核心組件文件的啟動過程完整性維護(hù),并可以根據(jù)需求增加或刪減需要度量的操作系統(tǒng)組件;(5)上步所述所有這些度量都成功完成并與預(yù)期值比較驗證通過后,BIOS才會將控制權(quán)交給MBR來引導(dǎo)操作系統(tǒng);MBR、操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核依次啟動,操作系統(tǒng)的完整性驗證過程按啟動前后順序分為兩個階段,在操作系統(tǒng)內(nèi)核嵌入的安全模塊之前啟動的內(nèi)核文件已經(jīng)由BIOS提前進(jìn)行了完整性驗證,內(nèi)核安全模塊啟動后,它通過內(nèi)核態(tài)的可信軟件棧調(diào)用TCM內(nèi)雜湊算法驗證各安全策略文件和配置文件、系統(tǒng)服務(wù)、驅(qū)動程序、重要應(yīng)用程序、腳本程序、配置數(shù)據(jù)的完整性;驗證方法是程序裝載前計算文件摘要值,再將度量值和以白名單形式保存的系統(tǒng)文件完整性度量預(yù)期值列表相比較;在該步驟中由內(nèi)核安全模塊對數(shù)量龐大的系統(tǒng)文件進(jìn)行完整性驗證及執(zhí)行程序控制,只有在系統(tǒng)可信程序白名單中且完整性度量值與預(yù)期值一致的安全策略文件和系統(tǒng)文件才允許運(yùn)行;(6)驗證通過后,操作系統(tǒng)啟動完畢,用戶啟動任何可執(zhí)行程序時,由操作系統(tǒng)內(nèi)核中安全模塊校驗程序的完整性并檢驗該程序是否在可信程序白名單中,只有在系統(tǒng)可信程序白名單中且完整性度量值與預(yù)期值一致的應(yīng)用程序才允許運(yùn)行。
2.根據(jù)權(quán)利要求1所述的一種可信計算平臺的信任鏈傳遞方法,其特征在于所述的外圍硬件設(shè)備包括顯卡、硬盤、光驅(qū)、聲卡、網(wǎng)卡。
3.根據(jù)權(quán)利要求1所述的一種可信計算平臺的信任鏈傳遞方法,其特征在于所述的除硬盤外的可引導(dǎo)設(shè)備包括光盤、移動硬盤和U盤。
全文摘要
一種可信計算平臺的信任鏈傳遞方法,由TCM作為信任鏈啟動的起點(diǎn)首先啟動并主動完成初始對BIOS芯片的可信性驗證;在可信BIOS芯片啟動后由其MAIN BLOCK對MBR、操作系統(tǒng)裝載器、操作系統(tǒng)內(nèi)核關(guān)鍵文件集中進(jìn)行完整性驗證;在操作系統(tǒng)啟動過程中,采取基于白名單的完整性驗證與運(yùn)行程序控制相結(jié)合的方式防止非授權(quán)程序的啟動運(yùn)行;由硬件計算引擎完成完整性驗證的雜湊運(yùn)算。用戶啟動任何可執(zhí)行程序時,由操作系統(tǒng)內(nèi)核中安全模塊校驗程序的完整性并檢驗該程序是否在可信程序白名單中,只有在系統(tǒng)可信程序白名單中且完整性度量值與預(yù)期值一致的應(yīng)用程序才允許運(yùn)行。實現(xiàn)高效、細(xì)粒度的信任鏈傳遞并能夠防止系統(tǒng)文件、程序文件受到病毒破壞,防止非授權(quán)程序執(zhí)行。
文檔編號G06F21/00GK102332070SQ201110300838
公開日2012年1月25日 申請日期2011年9月30日 優(yōu)先權(quán)日2011年9月30日
發(fā)明者傅子奇, 劉毅, 沈昌祥, 涂航, 羅云鋒, 蔡誼, 鄭志蓉, 金剛, 黃強(qiáng) 申請人:中國人民解放軍海軍計算技術(shù)研究所
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1