本發(fā)明涉及一種基于可信芯片的白名單網(wǎng)絡(luò)管控系統(tǒng)及方法，屬于信息安全技術(shù)領(lǐng)域。

背景技術(shù)：

在信息安全技術(shù)領(lǐng)域，常使用黑白名單策略防范惡意軟件、攻擊、病毒等未知程序、文件在終端上運(yùn)行，防御未知程序?qū)ο到y(tǒng)造成安全隱患；以白名單策略為例，預(yù)先按照一定的規(guī)則制定白名單文件，只有符合白名單文件中任意一條規(guī)則的應(yīng)用程序才可執(zhí)行，不符合白名單規(guī)則的應(yīng)用程序禁止執(zhí)行，白名單策略可以大大提高系統(tǒng)的執(zhí)行效率并有效保證系統(tǒng)安全性。

在云計(jì)算環(huán)境中，用戶的業(yè)務(wù)需求多種多樣，如何能夠滿足用戶的需求，同時(shí)保證云計(jì)算系統(tǒng)的安全性，是業(yè)界致力于解決的技術(shù)問題。現(xiàn)有的白名單策略一般應(yīng)用于單機(jī)終端上，客戶端根據(jù)自身的業(yè)務(wù)需要和安全性要求制定白名單文件，雖然能夠滿足用戶的實(shí)際需求，但是無法實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的有效監(jiān)管，而如果通過管理服務(wù)器統(tǒng)一向各終端下發(fā)白名單文件，又無法滿足用戶的多樣性需求。

技術(shù)實(shí)現(xiàn)要素：

鑒于上述目的，本發(fā)明的目的在于提供一種基于可信芯片的白名單網(wǎng)絡(luò)管控系統(tǒng)及方法，用戶能夠根據(jù)自身需求制定白名單文件，同時(shí)能夠保證管理服務(wù)器對(duì)整個(gè)網(wǎng)絡(luò)的有效監(jiān)控和管理。

為實(shí)現(xiàn)上述目的，本發(fā)明采用以下技術(shù)方案：

基于可信芯片的白名單網(wǎng)絡(luò)管控系統(tǒng)，包括基于可信芯片的管理服務(wù)器和客戶端，該客戶端包括配置模塊和校驗(yàn)?zāi)K，該管理服務(wù)器包括配置模塊，

該客戶端的配置模塊用于配置白名單文件，

該管理服務(wù)器的配置模塊用于配置客戶端的白名單文件的執(zhí)行模式，

該校驗(yàn)?zāi)K用于校驗(yàn)待執(zhí)行應(yīng)用程序的完整性，校驗(yàn)未通過的非可信應(yīng)用程序?qū)⒏鶕?jù)該執(zhí)行模式?jīng)Q策是否可執(zhí)行。

進(jìn)一步的，

所述執(zhí)行模式包括寬松模式、嚴(yán)格模式、恢復(fù)模式。

所述校驗(yàn)?zāi)K校驗(yàn)待執(zhí)行應(yīng)用程序的步驟是：判斷所述待執(zhí)行應(yīng)用程序是 否在所述白名單文件范圍之內(nèi)，若不在則校驗(yàn)未通過，若在則計(jì)算所述白名單文件中應(yīng)用程序?qū)?yīng)文件的簽名值，同時(shí)計(jì)算待執(zhí)行應(yīng)用程序?qū)?yīng)文件的簽名值，判斷兩個(gè)簽名值是否一致，若一致則校驗(yàn)通過，若不一致則校驗(yàn)未通過。

所述管理服務(wù)器還包括日志管理模塊，用于記錄非可信應(yīng)用程序的屬性信息，該屬性信息包括名稱、是否允許執(zhí)行。

所述根據(jù)所述執(zhí)行模式?jīng)Q策所述非可信應(yīng)用程序是否可執(zhí)行的方法是：

所述寬松模式下，所述白名單文件列表范圍之內(nèi)的非可信應(yīng)用程序禁止執(zhí)行，所述白名單文件列表范圍之外的非可信應(yīng)用程序允許執(zhí)行；

所述嚴(yán)格模式下，所述非可信應(yīng)用程序均禁止執(zhí)行；

所述恢復(fù)模式下，所述白名單文件列表范圍之內(nèi)的非可信應(yīng)用程序，恢復(fù)至原始應(yīng)用程序文件，然后允許執(zhí)行，所述白名單文件列表范圍之外的非可信應(yīng)用程序禁止執(zhí)行。

決策所述非可信應(yīng)用程序是否可執(zhí)行之后，將所述非可信應(yīng)用程序的屬性信息發(fā)送至所述管理服務(wù)器。

基于可信芯片的白名單網(wǎng)絡(luò)管控系統(tǒng)實(shí)現(xiàn)的白名單網(wǎng)絡(luò)管控方法，包括以下步驟：

s1：客戶端和管理服務(wù)器通過可信啟動(dòng)過程進(jìn)行完整性度量；

s2：客戶端生成白名單文件，管理服務(wù)器配置客戶端白名單文件的執(zhí)行模式；

s3：客戶端將該白名單文件中所有應(yīng)用程序?qū)?yīng)的文件進(jìn)行備份；

s4：客戶端生成校驗(yàn)用白名單文件，該校驗(yàn)用白名單文件包括應(yīng)用程序及對(duì)應(yīng)的簽名值；

s5：客戶端對(duì)待執(zhí)行應(yīng)用程序進(jìn)行校驗(yàn)，校驗(yàn)通過則允許執(zhí)行，校驗(yàn)未通過則作為非可信應(yīng)用程序根據(jù)該執(zhí)行模式?jīng)Q策是否可執(zhí)行。

所述步驟s4中，客戶端生成校驗(yàn)用白名單文件的方法是：利用可信芯片的國密算法，計(jì)算所述白名單文件中各應(yīng)用程序?qū)?yīng)的文件的簽名值，生成所述校驗(yàn)用白名單文件。

所述步驟s5中，客戶端對(duì)待執(zhí)行應(yīng)用程序進(jìn)行校驗(yàn)的方法是：

s51：判斷所述待執(zhí)行應(yīng)用程序是否在所述白名單文件列表范圍之內(nèi)，若不在則校驗(yàn)未通過，執(zhí)行步驟s54；若在則執(zhí)行步驟s52；

s52：利用可信芯片的國密算法，計(jì)算所述待執(zhí)行應(yīng)用程序?qū)?yīng)文件的簽名值，將該簽名值與所述校驗(yàn)用白名單文件中該應(yīng)用程序?qū)?yīng)的簽名值進(jìn)行比 對(duì)，若一致，則校驗(yàn)通過，執(zhí)行步驟s53；若不一致，則校驗(yàn)未通過，執(zhí)行步驟s54；

s53：校驗(yàn)通過的待執(zhí)行應(yīng)用程序允許執(zhí)行；校驗(yàn)結(jié)束；

s54：將校驗(yàn)未通過的待執(zhí)行應(yīng)用程序作為非可信應(yīng)用程序，根據(jù)所述執(zhí)行模式?jīng)Q策是否可執(zhí)行。

所述步驟s5中，根據(jù)所述執(zhí)行模式?jīng)Q策所述非可信應(yīng)用程序是否可執(zhí)行的方法是：

所述寬松模式下，所述白名單文件列表范圍之內(nèi)的非可信應(yīng)用程序禁止執(zhí)行，所述白名單文件列表范圍之外的非可信應(yīng)用程序允許執(zhí)行；

所述嚴(yán)格模式下，所述非可信應(yīng)用程序均禁止執(zhí)行；

所述恢復(fù)模式下，所述白名單文件列表范圍之內(nèi)的非可信應(yīng)用程序，根據(jù)對(duì)應(yīng)的備份文件恢復(fù)至原始應(yīng)用程序文件，然后允許執(zhí)行，所述白名單文件列表范圍之外的非可信應(yīng)用程序禁止執(zhí)行。

該方法還包括：決策所述非可信應(yīng)用程序是否可執(zhí)行之后，將所述非可信應(yīng)用程序的屬性信息發(fā)送至所述管理服務(wù)器。

本發(fā)明的優(yōu)點(diǎn)在于：

1、客戶端和管理服務(wù)器主機(jī)均基于可信芯片實(shí)現(xiàn)，通過可信啟動(dòng)過程，能夠保證系統(tǒng)的安全性和完整性；

2、客戶端可根據(jù)實(shí)際需要配置白名單文件，能夠滿足用戶的多樣性需求；

3、管理服務(wù)器可配置客戶端白名單文件的執(zhí)行模式，并對(duì)客戶端校驗(yàn)未通過的非可信應(yīng)用程序進(jìn)行日志管理，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)的安全性監(jiān)控和有效管理。

附圖說明

圖1是本發(fā)明的系統(tǒng)組成框圖。

圖2是本發(fā)明的客戶端生成校驗(yàn)用白名單文件的方法流程圖。

圖3是本發(fā)明的客戶端對(duì)待執(zhí)行應(yīng)用程序執(zhí)行校驗(yàn)過程的方法流程圖。

圖4a是本發(fā)明的寬松模式下決策非可信應(yīng)用程序是否可執(zhí)行的方法流程圖。

圖4b是本發(fā)明的嚴(yán)格模式下決策非可信應(yīng)用程序是否可執(zhí)行的方法流程圖。

圖4c是本發(fā)明的恢復(fù)模式下決策非可信應(yīng)用程序是否可執(zhí)行的方法流程圖。

具體實(shí)施方式

圖1是本發(fā)明的系統(tǒng)組成框圖，如圖所示，本發(fā)明公開的基于可信芯片的白名單網(wǎng)絡(luò)管控系統(tǒng)，包括管理服務(wù)器和客戶端，管理服務(wù)器與客戶端通過網(wǎng)絡(luò)建立網(wǎng)絡(luò)連接，客戶端的配置模塊用于設(shè)置白名單文件，管理服務(wù)器的配置模塊用于配置各客戶端的白名單文件對(duì)應(yīng)的執(zhí)行模式，管理服務(wù)器的日志管理模塊用于對(duì)客戶端校驗(yàn)未通過的非可信應(yīng)用程序進(jìn)行日志管理，當(dāng)客戶端欲執(zhí)行應(yīng)用程序時(shí)，校驗(yàn)?zāi)K對(duì)該應(yīng)用程序進(jìn)行校驗(yàn)，校驗(yàn)通過的應(yīng)用程序允許執(zhí)行，校驗(yàn)未通過的非可信應(yīng)用程序根據(jù)執(zhí)行模式?jīng)Q策是否可執(zhí)行；其中，白名單文件的執(zhí)行模式包括寬松模式、嚴(yán)格模式、恢復(fù)模式。

如圖2至圖4c所示，本發(fā)明的基于可信芯片的白名單網(wǎng)絡(luò)管控方法，包括以下步驟：

s1：管理服務(wù)器和客戶端通過可信啟動(dòng)過程進(jìn)行完整性度量；

本發(fā)明中，管理服務(wù)器和客戶端均為包括可信芯片(tpm：trustedplatformmodule)的主機(jī)，該可信芯片中設(shè)置有pcr(platformconfigurationregister)寄存器，包括可信芯片的主機(jī)，其硬件架構(gòu)已屬于現(xiàn)有技術(shù)，本發(fā)明不對(duì)包括可信芯片的主機(jī)結(jié)構(gòu)進(jìn)行詳細(xì)說明。

主機(jī)的可信啟動(dòng)過程為：在主機(jī)的啟動(dòng)過程中，對(duì)要執(zhí)行部分的代碼或數(shù)據(jù)進(jìn)行度量值計(jì)算，對(duì)計(jì)算得到的度量值進(jìn)行哈希運(yùn)算，將生成的哈希值保存于可信芯片的pcr寄存器中，主機(jī)啟動(dòng)完成，得到啟動(dòng)過程的多個(gè)度量值，建立了從bios(basicinputoutputsystem)到bootloader最后到os(operatingsystem)的一條完整的可信度量鏈，能夠反應(yīng)主機(jī)的完整性信息。

s2：客戶端配置白名單文件，管理服務(wù)器配置客戶端的白名單文件的執(zhí)行模式；

s3：客戶端將白名單文件中所有應(yīng)用程序?qū)?yīng)的文件進(jìn)行備份；

應(yīng)用程序?qū)?yīng)的文件，包括系統(tǒng)文件、配置文件、資源文件等。

s4：客戶端生成校驗(yàn)用白名單文件，該校驗(yàn)用白名單文件包括應(yīng)用程序及對(duì)應(yīng)的簽名值。

在步驟s2中配置的白名單文件基礎(chǔ)上，對(duì)該白名單文件中各應(yīng)用程序?qū)?yīng)的文件，利用可信芯片的國密算法，計(jì)算文件的簽名值，生成包括應(yīng)用程序及其對(duì)應(yīng)的簽名值的校驗(yàn)用白名單文件。

如圖3所示，當(dāng)客戶端欲執(zhí)行應(yīng)用程序時(shí)，客戶端對(duì)該待執(zhí)行應(yīng)用程序進(jìn)行完整性校驗(yàn)，具體步驟是：

s5：判斷待執(zhí)行應(yīng)用程序是否在白名單文件列表范圍之內(nèi)，若不在白名單文件列表范圍之內(nèi)，則校驗(yàn)未通過，執(zhí)行步驟s8；若在白名單文件列表范圍之內(nèi)，執(zhí)行步驟s6；

s6：利用可信芯片的國密算法，計(jì)算待執(zhí)行應(yīng)用程序?qū)?yīng)文件的簽名值，然后將該簽名值與校驗(yàn)用白名單文件中該應(yīng)用程序?qū)?yīng)的簽名值進(jìn)行比對(duì)，若一致，則該待執(zhí)行應(yīng)用程序的完整性未發(fā)生變化，校驗(yàn)通過，執(zhí)行步驟s7；若不一致，則該待執(zhí)行應(yīng)用程序的完整性發(fā)生變化，校驗(yàn)未通過，執(zhí)行步驟s8：

s7：校驗(yàn)通過的待執(zhí)行應(yīng)用程序允許執(zhí)行。

s8：將校驗(yàn)未通過的待執(zhí)行應(yīng)用程序列為非可信應(yīng)用程序，根據(jù)白名單文件的執(zhí)行模式?jīng)Q策該非可信應(yīng)用程序是否可執(zhí)行，然后將該非可信應(yīng)用程序的相關(guān)屬性信息發(fā)送至管理服務(wù)器，由其進(jìn)行日志管理。

如圖4a至4c所示，根據(jù)執(zhí)行模式?jīng)Q策非可信應(yīng)用程序是否可執(zhí)行的方法是：

在寬松模式下，對(duì)于在白名單文件列表范圍之內(nèi)、完整性發(fā)生變化的非可信應(yīng)用程序，決策其禁止執(zhí)行，對(duì)于白名單文件列表范圍之外的非可信應(yīng)用程序，決策其允許執(zhí)行；

在嚴(yán)格模式下，對(duì)于白名單文件列表范圍之內(nèi)、完整性發(fā)生變化的非可信應(yīng)用程序，決策其禁止執(zhí)行，對(duì)于白名單文件列表范圍之外的非可信應(yīng)用程序，決策其禁止執(zhí)行；

在恢復(fù)模式下，對(duì)于白名單文件列表范圍之內(nèi)、完整性發(fā)生變化的非可信應(yīng)用程序，決策其根據(jù)備份文件恢復(fù)至原始應(yīng)用程序文件，然后允許其執(zhí)行，而對(duì)于白名單文件列表范圍之外的非可信應(yīng)用程序，決策其禁止執(zhí)行。

非可信應(yīng)用程序根據(jù)執(zhí)行模式?jīng)Q策可以執(zhí)行或是禁止執(zhí)行之后，將非可信應(yīng)用程序的相關(guān)屬性信息(如，名稱、是否允許執(zhí)行等)以日志消息形式發(fā)送至管理服務(wù)器，由管理服務(wù)器的日志管理模塊記錄非可信應(yīng)用程序的日志信息，便于實(shí)現(xiàn)網(wǎng)絡(luò)追蹤和監(jiān)管。

本發(fā)明的基于可信芯片的白名單網(wǎng)絡(luò)管控系統(tǒng)及方法，用戶可于客戶端根據(jù)其實(shí)際需要配置白名單文件，而管理服務(wù)器配置各客戶端白名單文件的執(zhí)行模式，執(zhí)行應(yīng)用程序時(shí)，客戶端對(duì)該應(yīng)用程序進(jìn)行校驗(yàn)，校驗(yàn)通過則允許執(zhí)行，校驗(yàn)未通過則作為非可信應(yīng)用程序，根據(jù)不同的執(zhí)行模式對(duì)該非可信應(yīng)用程序作出是否可執(zhí)行的決策，并對(duì)非可信應(yīng)用程序進(jìn)行日志管理。本發(fā)明的系統(tǒng)及 方法，硬件方面基于可信芯片實(shí)現(xiàn)，能夠保證系統(tǒng)的完整性和安全性，安全策略方面，利用白名單策略實(shí)現(xiàn)管理服務(wù)器對(duì)網(wǎng)絡(luò)的安全監(jiān)控和有效管理，同時(shí)能夠滿足用戶的多樣性需求。

以上所述是本發(fā)明的較佳實(shí)施例及其所運(yùn)用的技術(shù)原理，對(duì)于本領(lǐng)域的技術(shù)人員來說，在不背離本發(fā)明的精神和范圍的情況下，任何基于本發(fā)明技術(shù)方案基礎(chǔ)上的等效變換、簡單替換等顯而易見的改變，均屬于本發(fā)明保護(hù)范圍之內(nèi)。