亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于可信狀態(tài)的訪問控制方法與流程

文檔序號:11808363閱讀:652來源:國知局
一種基于可信狀態(tài)的訪問控制方法與流程

本發(fā)明涉及信息安全技術(shù)領(lǐng)域,具體涉及一種基于可信狀態(tài)的訪問控制方法,尤其是企業(yè)內(nèi)網(wǎng)環(huán)境下核心資源的保護(hù)。



背景技術(shù):

隨著黑客技術(shù)的發(fā)展,攻擊目標(biāo)已由傳統(tǒng)的操作系統(tǒng)、應(yīng)用層面轉(zhuǎn)向了BIOS、BootLoader等層面。此時,殺毒軟件、防火墻等防御手段還未啟動,如RootKit、BootKit攻擊,攻擊一旦得手,惡意程序?qū)@得與系統(tǒng)相同的優(yōu)先級,因此可以躲避殺毒軟件的查殺。該攻擊會對主機(jī)上的隱私信息造成極大的威脅,同時,如果該主機(jī)聯(lián)入了企業(yè)內(nèi)網(wǎng),惡意程序一旦獲取了企業(yè)的核心資源或數(shù)據(jù),企業(yè)將面臨巨大損失。



技術(shù)實現(xiàn)要素:

本發(fā)明要解決的技術(shù)問題是:本發(fā)明針對以上問題,提供一種基于可信狀態(tài)的訪問控制方法,在傳統(tǒng)的訪問控制技術(shù)中加入主機(jī)可信狀態(tài)驗證,一旦發(fā)現(xiàn)主機(jī)的可信狀態(tài)遭到破壞,即拒絕其訪問內(nèi)網(wǎng)中的關(guān)鍵資源。

本發(fā)明所采用的技術(shù)方案為:

一種基于可信狀態(tài)的訪問控制方法,所述方法通過利用TPM芯片的硬件,收集主機(jī)啟動過程中關(guān)鍵程序的代碼或配置信息的度量信息,作為訪問資源的驗證條件,內(nèi)網(wǎng)環(huán)境下只有可信主機(jī)擁有訪問關(guān)鍵資源的資格;

所述主機(jī)在啟動過程中將關(guān)鍵部件的度量值(即關(guān)鍵部件代碼或配置文件的哈希值)擴(kuò)展至TPM芯片中的PCR(Platform Configuration Register,平臺配置寄存器)中,訪問企業(yè)關(guān)鍵資源時,訪問控制節(jié)點(diǎn)下發(fā)可信信息請求至計算主機(jī)代理程序,代理程序獲取存放在PCR中的可信信息發(fā)送至訪問控制節(jié)點(diǎn),訪問控制節(jié)點(diǎn)將其與存放在白名單中的可信狀態(tài)比對,判斷本次的啟動過程中的關(guān)鍵部件(如BIOS、BootLoader、OS Kernel等)是否遭受篡改,如校驗結(jié)果一致,則訪問控制節(jié)點(diǎn)允許該主機(jī)訪問關(guān)鍵資源,否則拒絕訪問請求。

所述可信主機(jī)為安裝TPM2.0芯片的計算機(jī),其BIOS和BootLoader(引導(dǎo)裝載程序)需符合TCG(Trusted Computing Group,可信計算組織)的規(guī)范,根據(jù)TCG規(guī)范,計算機(jī)在啟動過程中,每一級將控制權(quán)交給下一級前需計算下一級的度量值,并將該值擴(kuò)展至對應(yīng)的PCR中,比如,BootLoader將控制權(quán)交給系統(tǒng)內(nèi)核前需計算內(nèi)核的度量值,并將其擴(kuò)展至PCR14中。

所述計算主機(jī)代理程序為安裝在可信計算節(jié)點(diǎn)上的程序,當(dāng)計算機(jī)訪問核心資源時會收集本主機(jī)中TPM芯片中PCR的數(shù)據(jù)將其上傳至訪問控制節(jié)點(diǎn),訪問控制主機(jī)會將其與可信值比對以判斷是否允許該主機(jī)訪問關(guān)鍵資源。

所述訪問控制節(jié)點(diǎn)為控制核心資源訪問的主機(jī),其邏輯位于可信主機(jī)與核心資源之間,根據(jù)主機(jī)的可信狀態(tài)賦予其訪問資源的資格。

所述方法操作流程如下:

可信主機(jī)發(fā)起訪問核心資源的請求,訪問控制節(jié)點(diǎn)截獲該請求,并從該請求中獲取主機(jī)信息,判斷該主機(jī)是否已注冊;

如該主機(jī)沒有在訪問控制節(jié)點(diǎn),則訪問控制節(jié)點(diǎn)下發(fā)注冊請求,對應(yīng)主機(jī)的代理程序上傳可信信息;

訪問控制節(jié)點(diǎn)接收到該信息后將其存放到白名單中;

如果該主機(jī)已注冊,則訪問控制節(jié)點(diǎn)向?qū)?yīng)主機(jī)下發(fā)獲取可信信息請求,接收到相應(yīng)信息后,將其與白名單中對應(yīng)的內(nèi)容比對,如果本次可信信息與白名單中的對應(yīng)內(nèi)容一致,則允許該主機(jī)訪問核心資源,否則拒絕本次訪問。

本發(fā)明的有益效果為:

本發(fā)明在傳統(tǒng)的訪問控制技術(shù)中加入主機(jī)可信狀態(tài)驗證,一旦發(fā)現(xiàn)主機(jī)的可信狀態(tài)遭到破壞,即拒絕其訪問內(nèi)網(wǎng)中的關(guān)鍵資源,利用TPM芯片的硬件特性作為訪問資源的驗證條件,保證內(nèi)網(wǎng)環(huán)境下只有可信主機(jī)擁有訪問關(guān)鍵資源的資格。

附圖說明

圖1為本發(fā)明方法系統(tǒng)架構(gòu)示意圖;

圖2為本發(fā)明方法流程圖。

具體實施方式

下面結(jié)合說明書附圖,根據(jù)具體實施方式對本發(fā)明進(jìn)一步說明:

實施例1:

一種基于可信狀態(tài)的訪問控制方法,所述方法通過利用TPM芯片的硬件,收集主機(jī)啟動過程中關(guān)鍵程序的代碼或配置信息的度量信息,作為訪問資源的驗證條件,內(nèi)網(wǎng)環(huán)境下只有可信主機(jī)擁有訪問關(guān)鍵資源的資格。

實施例2

如圖1所示,在實施例1的基礎(chǔ)上,本實施例所述主機(jī)在啟動過程中將關(guān)鍵部件的度量值(即關(guān)鍵部件代碼或配置文件的哈希值)擴(kuò)展至TPM芯片中的PCR(Platform Configuration Register,平臺配置寄存器)中,訪問企業(yè)關(guān)鍵資源時,訪問控制節(jié)點(diǎn)下發(fā)可信信息請求至計算主機(jī)代理程序,代理程序獲取存放在PCR中的可信信息發(fā)送至訪問控制節(jié)點(diǎn),訪問控制節(jié)點(diǎn)將其與存放在白名單中的可信狀態(tài)比對,判斷本次的啟動過程中的關(guān)鍵部件(如BIOS、BootLoader、OS Kernel等)是否遭受篡改,如校驗結(jié)果一致,則訪問控制節(jié)點(diǎn)允許該主機(jī)訪問關(guān)鍵資源,否則拒絕訪問請求。

實施例3

在實施例2的基礎(chǔ)上,本實施例所述可信主機(jī)為安裝TPM2.0芯片的計算機(jī),其BIOS和BootLoader(引導(dǎo)裝載程序)需符合TCG(Trusted Computing Group,可信計算組織)的規(guī)范,根據(jù)TCG規(guī)范,計算機(jī)在啟動過程中,每一級將控制權(quán)交給下一級前需計算下一級的度量值,并將該值擴(kuò)展至對應(yīng)的PCR中,比如,BootLoader將控制權(quán)交給系統(tǒng)內(nèi)核前需計算內(nèi)核的度量值,并將其擴(kuò)展至PCR14中。

實施例4

在實施例2的基礎(chǔ)上,本實施例所述計算主機(jī)代理程序為安裝在可信計算節(jié)點(diǎn)上的程序,當(dāng)計算機(jī)訪問核心資源時會收集本主機(jī)中TPM芯片中PCR的數(shù)據(jù)將其上傳至訪問控制節(jié)點(diǎn),訪問控制主機(jī)會將其與可信值比對以判斷是否允許該主機(jī)訪問關(guān)鍵資源。

實施例5

在實施例4的基礎(chǔ)上,本實施例所述訪問控制節(jié)點(diǎn)為控制核心資源訪問的主機(jī),其邏輯位于可信主機(jī)與核心資源之間,根據(jù)主機(jī)的可信狀態(tài)賦予其訪問資源的資格。

實施例6

如圖2所示,在實施例5的基礎(chǔ)上,本實施例所述方法操作流程如下:

可信主機(jī)發(fā)起訪問核心資源的請求,訪問控制節(jié)點(diǎn)截獲該請求,并從該請求中獲取主機(jī)信息,判斷該主機(jī)是否已注冊;

如該主機(jī)沒有在訪問控制節(jié)點(diǎn),則訪問控制節(jié)點(diǎn)下發(fā)注冊請求,對應(yīng)主機(jī)的代理程序上傳可信信息;

訪問控制節(jié)點(diǎn)接收到該信息后將其存放到白名單中;

如果該主機(jī)已注冊,則訪問控制節(jié)點(diǎn)向?qū)?yīng)主機(jī)下發(fā)獲取可信信息請求,接收到相應(yīng)信息后,將其與白名單中對應(yīng)的內(nèi)容比對,如果本次可信信息與白名單中的對應(yīng)內(nèi)容一致,則允許該主機(jī)訪問核心資源,否則拒絕本次訪問。

實施方式僅用于說明本發(fā)明,而并非對本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。

當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1