一种双体系可信计算系统及方法
阅读:1发布:2020-11-21
专利汇可以提供一种双体系可信计算系统及方法专利检索,专利查询,专利分析的服务。并且本 发明 公开了一种双体系可信计算系统及方法,该系统包括:可信管理中心和与可信管理中心连接的至少一个双体系可信计算 节点 ,双体系可信计算节点包括:并行的计算子系统和防护子系统,计算子系统与防护子系统之间具有安全隔离机制,通过专用 访问 通道进行交互;计算子系统用于执行计算任务,防护子系统用于根据可信管理中心中的可信策略,对计算子系统进行度量和控制,并将度量记录发送给可信管理中心,可信管理中心用于对度量记录进行统计分析。本发明所提供的系统及方法,通过并行的计算子系统和防护子系统实现在计算的同时进行主动安全防护,保证计算任务不被干扰和破坏,可抵御各种已知的和未知的攻击。,下面是一种双体系可信计算系统及方法专利的具体信息内容。
1.一种双体系可信计算系统,其特征在于,所述系统包括:可信管理中心和与所述可信管理中心连接的至少一个双体系可信计算节点,所述双体系可信计算节点包括:并行的计算子系统和防护子系统,所述计算子系统与所述防护子系统之间具有安全隔离机制,通过专用访问通道进行交互;
所述计算子系统用于执行计算任务,所述防护子系统用于根据所述可信管理中心的可信策略,对所述计算子系统进行度量和控制,并将度量记录发送给所述可信管理中心,所述可信管理中心用于对所述度量记录进行统计分析。
2.根据权利要求1所述的一种双体系可信计算系统,其特征在于,
所述计算子系统,还用于接收所述防护子系统植入的TSB代理程序,并加载在自身内部的操作系统中;
所述TSB代理程序,用于获取所述计算子系统的度量参数,并发送给所述防护子系统的可信软件基;
所述可信软件基,用于根据所述可信策略对所述度量参数进行度量,得到度量结果;
所述TSB代理程序,还用于根据所述度量结果协助所述防护子系统对所述计算子系统进行控制。
3.根据权利要求2所述的一种双体系可信计算系统,其特征在于,所述可信软件基包括:度量机制、判定机制、控制机制和支撑机制;
所述度量机制用于根据所述可信策略对所述计算子系统进行度量,得到度量结果;
所述判定机制用于根据所述可信策略中的可信基准值判定所述度量结果是否符合预期,得到判定结果;
所述控制机制用于根据所述判定结果并结合所述可信策略对所述计算子系统进行控制;
所述支撑机制用于向所述可信软件基提供访问所述防护子系统的可信密码模块TCM和所述计算子系统的主机资源的软件接口。
4.根据权利要求2所述的一种双体系可信计算系统,其特征在于,所述防护子系统内安装有TPCM操作系统,所述TPCM操作系统包括:
TPCM硬件资源管理模块,用于所述防护子系统自身资源的管理;
TSB通信模块,用于所述防护子系统与所述可信软件基进行通信;
主机资源访问支持模块,包括以下至少之一:主机内存访问模块、主机I/O设备访问模块和主机CPU状态访问模块;其中,
所述主机内存访问模块用于提供访问所述计算子系统的内存的接口;
所述主机I/O设备访问模块用于访问所述计算子系统总线上的I/O设备;
所述主机CPU状态访问模块用于访问、读取或修改所述计算子系统的CPU寄存器;
TCM管理和调度模块,用于支持所述可信软件基完成密码运算任务,并用于提供多TCM并存时的并发调度工作。
5.一种双体系可信计算方法,应用于权利要求1~4任一项所述的双体系可信计算系统,其特征在于,包括:
S1、防护子系统获取可信管理中心的可信策略;
S2、在计算子系统进行计算任务时,所述防护子系统用于根据所述可信策略对所述计算子系统进行度量和控制;
S3、所述防护子系统将度量记录发送给所述可信管理中心,由所述可信管理中心对所述度量记录进行统计分析。
6.根据权利要求5所述的一种双体系可信计算方法,其特征在于,所述步骤S2包括:
所述防护子系统的可信软件基接收TSB代理程序发送的所述计算子系统的度量参数,其中,所述TSB代理程序为所述防护子系统植入到所述计算子系统中、并由所述计算子系统加载到自身内部的操作系统中的程序;
所述可信软件基根据所述可信策略对所述度量参数进行度量,得到度量结果,并根据所述度量结果确定对所述计算子系统的控制处理方法;
所述可信软件基将所述控制处理方法发送给所述TSB代理程序,由所述TSB代理程序协助所述防护子系统对所述计算子系统进行控制。
7.根据权利要求6所述的一种双体系可信计算方法,其特征在于,所述可信软件基包括:度量机制、判定机制和控制机制,所述可信软件基根据所述可信策略对所述度量参数进行度量,包括;
所述度量机制根据所述可信策略对所述计算子系统进行度量,得到度量结果;
所述判定机制根据所述可信策略中的可信基准值判定所述度量结果是否符合预期,得到判定结果;
所述控制机制根据所述判定结果并结合所述可信策略对所述计算子系统进行控制。
8.根据权利要求6所述的一种双体系可信计算方法,其特征在于,所述可信软件基包括基本层和控制层,所述基本层用于对所述计算子系统进行静态度量,所述控制层用于对所述计算子系统进行动态度量。
9.根据权利要求8所述的一种双体系可信计算方法,其特征在于,所述基本层包括:初始环境验证度量模块、系统引导验证度量模块、内核验证度量模块、系统验证度量模块以及应用代码验证度量模块,所述步骤S2包括:
在所述防护子系统的可信平台控制模块启动后,且在所述计算子系统的CPU启动之前,所述防护子系统通过所述初始环境验证度量模块对所述计算子系统的BIOS、OPROM及硬件配置进行主动度量;
在所述BIOS启动之后,在所述计算子系统的OSLoader代码加载之前,所述防护子系统通过所述系统引导验证度量模块对所述OSLoader代码进行主动度量;
在所述OSLoader代码执行之后,在所述计算子系统的操作系统内核代码加载之前,所述防护子系统通过所述内核验证度量模块对所述操作系统内核代码进行主动度量;
在所述操作系统内核代码执行之后,在所述计算子系统的系统服务加载之前,所述防护子系统通过所述系统验证度量模块对所述系统服务进行主动度量;
在所述计算子系统运行过程中,当需要加载应用程序时,所述防护子系统通过所述应用代码验证度量模块对待加载的应用程序进行主动度量。
10.根据权利要求8所述的一种双体系可信计算方法,其特征在于,所述步骤S2包括:
在满足动态度量的触发条件时,所述防护子系统通过所述控制层获取所述计算子系统中的应用执行的相关信息,其中,所述应用执行的相关信息包括以下至少之一:主体、客体、操作和执行环境;所述执行环境包括:应用执行所依赖的进程环境和应用执行所依赖的系统环境,所述系统环境包括:所述计算子系统的系统服务和所述计算子系统的操作系统内核;
所述防护子系统通过所述控制层根据所述可信策略对所述计算子系统中的所述应用执行的相关信息进行动态度量。
一种双体系可信计算系统及方法
技术领域
[0001] 本发明涉及信息安全领域,具体涉及一种双体系可信计算系统及方法。
背景技术
[0002] 中国是世界上最大的网络市场,随着互联网的普及,网络安全事件直线上升。采用传统重计算轻防御的模式,将导致个人电脑被入侵、企业生产系统被破坏、城乡基础设施故障、国家重要信息系统被破坏,影响无处不在。随着5G网络时代的到来,移动互联网、物联网、云计算、大数据、雾计算等新计算、新应用的兴起,网络安全形势变的更加的严峻,传统的基于防火墙、入侵检测、病毒防范、漏洞升级为代表的修补式的安全防护手段已经不能适应目前的新情况。
[0003] 防火墙、入侵检测、病毒防范等传统的安全防护手段根据已经发生过的特征库内容进行对比查杀,面对层出不穷的新漏洞和攻击方法令其防不胜防;其自身采用的是超级用户模式、违背了基本的安全原则,可能直接导致内部人员泄密事件;另外,传统安全防护手段可以被攻击者控制而成为新的攻击平台,如“棱镜门”就是用防火墙窃取情报。
[0004] 中国可信计算是指计算运算的同时进行安全防护,计算全程可测可控,不被干扰,只有这样方能使计算结果总是与预期一样。这种主动免疫的计算模式改变了传统的只讲求计算效率,而不讲安全防护的片面计算模式中国可信计算的概念得到了政府、军队、企业等的广泛认可与推广。经过多年的发展,国内可信计算理论与技术的理论、研究、实践成果已经领先于其他国家,发展到了具有主动控制、主动度量的可信计算3.0时代。
[0005] 因此,市场迫切需要运用具有主动免疫能力的中国可信计算3.0技术,以抵御已知、未知的各种攻击。
发明内容
[0007] 为实现上述目的,本发明采用的技术方案如下:
[0008] 一种双体系可信计算系统,所述系统包括:可信管理中心和与所述可信管理中心连接的至少一个双体系可信计算节点,所述双体系可信计算节点包括:并行的计算子系统和防护子系统,所述计算子系统与所述防护子系统之间具有安全隔离机制,通过专用访问通道进行交互;
[0009] 所述计算子系统用于执行计算任务,所述防护子系统用于根据所述可信管理中心中的可信策略,对所述计算子系统进行度量和控制,并将度量记录发送给所述可信管理中心,所述可信管理中心用于对所述度量记录进行统计分析。
[0012] 所述可信软件基,用于根据所述可信策略对所述度量参数进行度量,得到度量结果;
[0013] 所述TSB代理程序,还用于根据所述度量结果协助所述防护子系统对所述计算子系统进行控制。
[0014] 进一步,如上所述的一种双体系可信计算系统,所述可信软件基包括:度量机制、判定机制、控制机制和支撑机制;
[0015] 所述度量机制用于根据所述可信策略对所述计算子系统进行度量,得到度量结果;
[0016] 所述判定机制用于根据所述可信策略中的可信基准值判定所述度量结果是否符合预期,得到判定结果;
[0017] 所述控制机制用于根据所述判定结果并结合所述可信策略对所述计算子系统进行控制;
[0019] 进一步,如上所述的一种双体系可信计算系统,所述防护子系统内安装有TPCM操作系统,所述TPCM操作系统包括:
[0021] TSB通信模块用,于所述防护子系统与所述可信软件基进行通信;
[0022] 主机资源访问支持模块,包括以下至少之一:主机内存访问模块、主机I/O设备访问模块和主机CPU状态访问模块;其中,
[0023] 所述主机内存访问模块用于提供访问所述计算子系统的内存的接口;
[0024] 所述主机I/O设备访问模块用于访问所述计算子系统总线上的I/O设备;
[0027] TCM管理和调度模块,用于支持所述可信软件基完成密码运算任务,并用于提供多TCM并存时的并发调度工作。
[0028] 一种双体系可信计算方法,应用上述的双体系可信计算系统中,包括:
[0029] S1、防护子系统获取所述可信管理中心的可信策略;
[0030] S2、在计算子系统进行计算任务时,所述防护子系统用于根据所述可信策略对所述计算子系统进行度量和控制;
[0031] S3、所述防护子系统将度量记录发送给所述可信管理中心,由所述可信管理中心对所述度量记录进行统计分析。
[0032] 进一步,所述步骤S2包括:
[0033] 所述防护子系统中的可信软件基接收TSB代理程序发送的所述计算子系统的度量参数,其中,所述TSB代理程序为所述防护子系统植入到所述计算子系统中、并由所述计算子系统加载到自身内部的操作系统中的程序;
[0034] 所述可信软件基根据所述可信策略对所述度量参数进行度量,得到度量结果,并根据所述度量结果确定对所述计算子系统的控制处理方法;
[0035] 所述可信软件基将所述控制处理方法发送给所述TSB代理程序,由所述TSB代理程序协助所述防护子系统对所述计算子系统进行控制。
[0036] 进一步,所述可信软件基包括:度量机制、判定机制和控制机制,所述可信软件基根据所述可信策略对所述度量参数进行度量,包括;
[0037] 所述度量机制根据所述可信策略对所述计算子系统进行度量,得到度量结果;
[0038] 所述判定机制根据所述可信策略中的可信基准值判定所述度量结果是否符合预期,得到判定结果;
[0039] 所述控制机制根据所述判定结果并结合所述可信策略对所述计算子系统进行控制。
[0040] 进一步,如上所述的一种双体系可信计算方法,其特征在于,所述可信软件基包括基本层和控制层,所述基本层用于对所述计算子系统进行静态度量,所述控制层用于对所述计算子系统进行动态度量。
[0042] 在所述防护子系统中的可信平台控制模块启动后,且在所述计算子系统的CPU启动之前,所述防护子系统通过所述初始环境验证度量模块对所述计算子系统的BIOS、OPROM及硬件配置进行主动度量;
[0043] 在所述BIOS启动之后,在所述计算子系统的OSLoader代码加载之前,所述防护子系统通过所述系统引导验证度量模块对所述OSLoader代码进行主动度量;
[0044] 在所述OSLoader代码执行之后,在所述计算子系统的操作系统内核代码加载之前,所述防护子系统通过所述内核验证度量模块对所述操作系统内核代码进行主动度量;
[0045] 在所述操作系统内核代码执行之后,在所述计算子系统的系统服务加载之前,所述防护子系统通过所述系统验证度量模块对所述系统服务进行主动度量;
[0046] 在所述计算子系统运行过程中,当需要加载应用程序时,所述防护子系统通过所述应用代码验证度量模块对待加载的应用程序进行主动度量。
[0047] 进一步,所述步骤S2包括:
[0048] 在满足动态度量的触发条件时,所述防护子系统通过所述控制层获取所述计算子系统中的应用执行的相关信息,其中,所述应用执行的相关信息包括以下至少之一:主体、客体、操作和执行环境;所述执行环境包括:应用执行所依赖的进程环境和应用执行所依赖的系统环境,所述系统环境包括:所述计算子系统的系统服务和所述计算子系统的操作系统内核;
[0049] 所述防护子系统通过所述控制层根据所述可信策略对所述计算子系统中的所述应用执行的相关信息进行动态度量。
[0050] 本发明的有益效果在于:本发明所提供的系统及方法,通过并行的计算子系统和防护子系统实现在计算的同时进行主动安全防护,彻底扭转当前网络安全防护“封堵查杀”的被动局面;可以在设备上电时首先创建可信根,主动发起对主机硬件环境和固件的度量验证,并建立可信链;以终端为起点,可以将信任关系一直传递到云端,确保云计算环境可信;可信防护子系统是一种系统性的防御体系,可以通过总线共享机制直接访问主机资源并且实时实施度量、校验,可抵御各种已知的和未知的攻击,WannaCry”“Mirai”、“黑暗力量”、“震网”、“火焰”、“心脏滴血”等恶意软件将不查杀而自灭。附图说明
[0051] 图1为本发明实施例一中提供的一种双体系可信计算系统的结构示意图;
[0052] 图2为本发明实施例二中提供的一种双体系可信计算方法的流程示意图;
[0053] 图3为本发明实施例三中提供的一种双体系可信计算方法的流程示意图;
[0054] 图4为本发明实施例四中提供的一种双体系可信计算方法的流程示意图;
[0055] 图5为本发明实施例五中提供的一种双体系可信计算方法的流程示意图;
[0056] 图6为本发明实施例六中提供的一种双体系可信计算方法的流程示意图。
具体实施方式
[0058] 专业词汇解释
[0059] TPCM:可信平台控制模块
[0060] TCM:可信密码模块
[0061] TSB:可信软件基
[0062] TSB代理程序:设备操作系统内的可信软件基
[0063] BMC:Baseboard Management Controller
[0064] PCH:Platform Controller Hub
[0065] OpROM:Option ROM
[0066] PNOR:PROCESS NOR
[0067] HOOK:即钩子,是一个处理消息的程序段,通过系统调用把它挂入系统。
[0068] 目前,用“可信计算构筑网络安全”已成为广泛共识,基于可信计算技术来构建新一代的安全架构已成为国际主流,Intel、AMD、ARM、微软等都在积极发展可信计算技术以全面提升其产品的安全防护能力。将现有各种架构的处理器技术与创新的中国可信计算3.0技术深度融合,构建安全可信的信息系统,特别是针对云计算、大数据平台,CPU级的可信解决方案是产业发展的必然,也是未来网络空间安全技术发展的制高点,具有非常广阔的市场前景。
[0069] 本发明将通过构建双体系机制,实现TPCM和TSB的可信功能,以国产密码为基因实现高强度的主动防御能力,解决缺陷不被攻击者利用的问题。在市场应用方面,基于可信计算机制的安全功能能够满足等级保护2.0标准中对通用个人计算机和服务器的安全要求,将会是市场上急需的、热门的基础技术之一。
[0070] 实施例一
[0071] 如图1所示,一种双体系可信计算系统,系统包括:可信管理中心和与可信管理中心连接的至少一个双体系可信计算节点,双体系可信计算节点包括:并行的计算子系统和防护子系统,计算子系统与防护子系统之间具有安全隔离机制,通过专用访问通道进行交互;其中,可信管理中心为独立的管理中心或在双体系结构可信计算节点内部实现。
[0072] 计算子系统用于执行计算任务,防护子系统用于根据可信管理中心中的可信策略,对计算子系统进行度量和控制,并将度量记录发送给可信管理中心,可信管理中心用于对度量记录进行统计分析。
[0073] 双体系可信计算节点包括并行的计算子系统和防护子系统。计算子系统与防护子系统之间具有安全隔离机制,可以通过专用访问通道进行交互。防护子系统具有比计算子系统更高的控制权限,防护子系统可以不受限制地访问计算子系统的内存以及对I/O外设等,同时防护子系统可以对计算子系统进行控制,但计算子系统不能访问防护子系统的内存以及I/O外设等,更无法对防护子系统进行控制。计算子系统和防护子系统有各自独立的硬件资源支撑计算任务和安全任务,硬件资源包括CPU、内存、存储器等。TCM提供密码资源服务,计算子系统和防护子系统都可以使用,但是优先防护子系统使用。
[0074] 通过并行的计算子系统和防护子系统实现在计算的同时进行主动安全防护。防护子系统是一种独立的主动防御体系,能够直接访问计算子系统的内存和I/O外设等资源,并依据可信策略对计算子系统实施主动度量和主动控制,保证计算子系统计算全程可测可控,不被干扰和破坏,可抵御各种已知的和未知的攻击。
[0075] 如图1所示,防护子系统包括:可信软件基、TPCM操作系统和TPCM硬件平台,计算子系统包括:应用程序、操作系统和硬件平台;
[0076] 操作系统包括:TSB代理程序,TSB代理程序为防护子系统植入到计算子系统中的代理程序;
[0077] TSB代理程序用于获取计算子系统的相关信息,并发送给可信软件基,其中,可信软件基用于根据可信策略对计算子系统进行度量,得到度量结果;
[0078] TSB代理程序还用于根据度量结果协助防护子系统对计算子系统进行控制。
[0080] 如图1所示,硬件平台的TPCM可以由多种方式实现构建。
[0081] 可信软件基包括:度量机制、判定机制、控制机制和支撑机制;
[0082] 度量机制用于根据可信策略对计算子系统进行度量,得到度量结果;
[0083] 判定机制用于根据可信策略中的可信基准值判定度量结果是否符合预期,得到判定结果;
[0084] 控制机制用于根据判定结果并结合可信策略对计算子系统进行控制;
[0085] 支撑机制用于向可信软件基提供访问防护子系统的可信密码模块TCM和计算子系统的主机资源的软件接口。
[0086] 防护子系统
[0087] 防护子系统包括TPCM(包括TPCM硬件平台和TPCM操作系统)、可信软件基(TSB)、TSB代理程序几个部分。
[0088] 可信软件基TSB
[0089] TSB依据其功能分为基本层和控制层。基本层实现对计算子系统的固件和可执行程序等资源进行的静态度量,完成信任链的建立,控制层实现在计算子系统运行过程中对计算子系统的应用执行及其所依赖的执行环境进行的动态度量,并根据度量结果对计算子系统进行控制处理。
[0090] 基本层
[0091] 基本层主要实现对计算子系统的静态度量。基本层由初始环境验证度量模块、系统引导验证度量模块、内核验证度量模块、系统验证度量模块和应用代码验证度量模块组成。基本层实现对计算子系统各启动过程中的验证度量,完成信任链的建立。
[0092] TSB和计算子系统均是层次化设计的,二者的层次之间是相互对应的。
[0093] 信任链的建立过程可以描述为:TPCM先于计算子系统的CPU启动,在TPCM操作系统和TSB加载执行后,由初始环境验证度量模块对BIOS、OPROM以及硬件配置进行主动度量,如果度量结果为可信,则BIOS启动;在加载OSLoader之前,由系统引导验证度量模块对OSLoader进行主动度量,如果度量结果为可信,则OSLoader启动;在加载操作系统内核代码之前,由内核验证度量模块对操作系统内核代码进行主动度量,如果度量结果为可信,则操作系统内核启动;在加载系统服务之前,由系统验证度量模块对系统服务进行主动度量,如果度量结果为可信,则系统服务启动,至此完成计算子系统的启动过程。需要说明的是,在计算子系统启动过程中,如果任一环节的度量结果为不可信,则防护子系统会根据策略对计算子系统进行控制(例如结束计算子系统启动过程或者在启动过程中进行报警)。
[0094] 在计算子系统的运行过程中,当需要加载应用程序时,应用代码度量模块会对待加载的应用程序进行主动度量,如果度量结果为可信,则计算子系统加载并执行该应用程序,如果度量结果为不可信,则防护子系统控制计算子系统不加载该应用程序或者加载该应用程序并报警。至此,信任链建立完成。
[0095] 需要说明的是,信任链建立过程也即本发明可信计算平台的静态度量过程,所谓静态度量可以理解为对CPU未加载的程序和数据(例如程序代码、配置文件、关键信息等)进行的度量。
[0096] 控制层
[0097] 控制层主要实现对计算子系统的动态度量和控制处理。控制层可以包括两种度量模式,分别为直接度量模式和代理度量模式。在控制层采用直接度量模式时,控制层的主程序植入到防护子系统中。在控制层采用代理度量模式时,控制层的主程序植入到防护子系统中,而控制层的代理程序植入到计算子系统中,其中,控制层的代理程序可以用于获取计算子系统的相关信息,并对计算子系统进行控制处理。计算子系统的相关信息可以包括但并不限于计算子系统中的行为信息(例如系统调用行为)、事件等。对计算子系统进行的控制处理可以包括但并不限于:杀死主机进程等。
[0098] 需要说明的是,防护子系统对计算子系统的控制处理方式可以与控制层所采用的度量模式相关:控制层的主程序进行主动度量后根据度量结果生成控制指令。如果控制层采用直接度量模式,则控制层的主程序向可信平台控制模块发送控制指令,由可信平台控制模块对计算子系统进行控制处理。如果控制层采用代理度量模式,则控制层的主程序可以向控制层的代理程序发送控制指令,由控制层的代理程序对计算子系统进行控制处理;和/或,控制层的主程序可以向可信平台控制模块发送控制指令,由可信平台控制模块对计算子系统进行控制处理。
[0099] 动态度量的对象是计算子系统中的应用执行及其所依赖的执行环境。应用执行可以理解为应用程序的运行过程。执行环境可以包括进程环境和系统环境(系统环境包括计算子系统中的系统服务和操作系统内核)。应用执行所依赖的进程环境可以包括但并不限于:应用程序的主程序代码、使用库函数代码、进程相关的数据结构、应用程序的数据段和关键的配置数据等。应用执行所依赖的系统环境可以包括但并不限于:内核主体代码段、可加载模块代码段、系统调用表、中断描述表、文件系统跳转表、网络协议栈、跳转表、设备驱动跳转表、寄存器值和关键的配置数据等。
[0100] 动态度量可以包括实时度量和定时度量两种度量方式:
[0101] 实时度量,可以是在行为触发和/或事件触发时,根据可信策略进行主动度量;定时度量,可以是在达到预定时间点和/或预定度量周期时,根据可信策略进行主动度量。
[0102] 本发明中的行为可以包括但并不限于:系统调用行为、应用自身调用行为等。其中,系统调用行为可以包括但并不限于:程序启动、共享库加载、驱动程序加载、文件访问、I/O设备访问、网络访问和内存映射。事件可以包括但并不限于中断、设备热插拔、信号等。可信策略由主体、客体、操作和环境四元素构成,不同的可信策略对应不同的度量对象和度量方法。
[0103] TSB代理程序
[0104] TSB代理程序是TPCM植入到计算子系统内部的代理程序,目的是协助TPCM完成无法直接从系统外部完成的工作,包括采集计算子系统运行时产生的信息,协助TPCM完成某些控制任务。
[0105] TSB度量需要采集计算子系统的内存分布,也需要获取计算子系统正在执行的任务和执行点参数。这些信息不能从外部取得,需要TSB代理程序协助完成。TSB的一些控制操作,如拦截主机系统调用行为,或者杀死某些计算子系统的非法进程等,这类行为与主机操作系统高度关联,需要TSB代理程序来协助完成。
[0106] 通过TSB代理程序完成某些任务并不破坏TPCM的独立性、主动性和安全性。因为主机操作系统和TSB代理程序本身是受到TPCM监控的,同时所有的策略解释、度量判定、控制决策都是在TPCM内部完成。
[0107] TSB代理程序在计算子系统启动的时候,获取计算子系统的主机信息,信息包括主机硬件配置、BIOS固件、I/O外设OPROM、主机内存分布、操作系统加载器、操作系统内核、TSB代理程序、操作系统配置文件等,建立了完整的启动信任链,保证计算子系统操作系统和TSB代理程序在启动时的初态是安全可信的,我们可以确信TSB代理程序采集的信息也安全可信的,以此为参数进行度量是可信的。
[0108] TSB代理程序在计算子系统操作系统植入钩子程序,从而可以拦截计算子系统当前执行的任务,并获取当前的信息,包括与活动有关的上下文信息,这些信息提供给TSB,TSB根据这些信息依据可信策略对计算子系统进行度量,可以度量计算子系统关键活动发生时主机的状态,也可以由度量结果控制当前行为是否允许继续执行。
[0109] 如图1所示,TPCM操作系统包括:TPCM硬件资源管理模块、TSB通信模块、主机资源访问支持模块、TCM管理和调度模块;
[0110] TPCM硬件资源管理模块用于防护子系统自身资源的管理;
[0111] TSB通信模块用于防护子系统与可信软件基进行通信;
[0112] 主机资源访问支持模块包括以下至少之一:主机内存访问模块、主机I/O设备访问模块和主机CPU状态访问模块,主机内存访问模块用于提供访问计算子系统内存的接口,主机I/O设备访问模块用于访问计算子系统总线上的I/O设备,主机CPU状态访问模块用于访问、读取或修改计算子系统的CPU寄存器;
[0113] TCM管理和调度模块用于支持可信软件基完成密码运算任务,并用于提供多TCM并存时的并发调度工作。
[0114] TPCM操作系统由LINUX、RTOS、安卓、Windows或UNIX内核的系统实现。需要说明的是,TPCM操作系统也可以由其他操作系统实现。
[0115] TPCM硬件资源包括:中央处理器、专有物理内存、内置TCM模块、持久存储空间、密码加速引擎、随机数发生器和I/O接口。
[0116] TPCM操作系统
[0117] TPCM操作系统与其他操作系统完成类似的工作:
[0118] 1、为应用层软件提供访问硬件资源的能力;
[0119] 2、协调TSB不同任务进程的执行;
[0120] 除基本的操作系统功能外,TPCM操作系统主要包括一下部分:
[0121] 1)TSB代理程序通信
[0122] 负责处理与计算子系统中TSB代理程序的通信,如中断的处理、消息的传递。
[0123] 2)主机内存访问
[0124] 提供访问主机内存的驱动和接口。
[0125] 3)主机CPU访问
[0126] 读取或修改主机CPU寄存器的能力。
[0127] 4)主机I/O设备访问
[0128] 可访问计算子系统主机总线上的设备。如果TPCM访问计算子系统主机设备无法做到与计算子系统同步或引起并发访问冲突,可通过TPCM代理协助对设备进行访问。
[0129] 5)TCM访问
[0130] TSB可调用TPCM内置的TCM完成其度量和密码运算等任务。
[0131] 6)多TCM的并发调度
[0132] 提供访问扩展TCM的驱动和软件接口。在内置TCM计算能力不足的情况下,可以使用扩展TCM进行密码计算,TCM资源由TPCM操作系统统一调度。
[0133] TPCM硬件平台
[0134] TPCM并行于计算子系统执行,有自己的中央处理器、有专用的安全内存区域。
[0135] TPCM操作系统内部的TCM密码计算能力不够时,可以通过总线接口拓展密码计算能力。
[0136] TPCM可实现内置TCM,硬件平台中还具有随机数发生器、密码加速引擎、和持久存储空间等。
[0137] 需要说明的是,本发明的计算子系统相当于普通的计算机。图1中主要显示了计算子系统中被TSB度量和控制的部件,主要是:
[0138] 应用的代码和数据、操作系统的代码和数据、TSB代理程序、CPU和I/O设备,其中TSB代理程序为TPCM植入计算子系统内部的代理程序。
[0139] 模块间的安全访问机制
[0140] 防护子系统和计算子系统之间的安全隔离基于物理隔离或逻辑隔离,二者之间通过专用访问通道(如Mailbox等)。
[0141] 防护子系统要在安全内存中运行,安全内存可以是独立的物理内存、也可以是从通用物理内存中隔离出来的内存区域。此区域专供防护子系统使用,计算子系统不能访问这部分内存区域。由硬件提供支持,可以由不同的实现方法,主要满足以下几点要求:
[0142] 1)防护子系统可直接访问安全内存之外的通用内存,这种访问具有不需要计算子系统参与、计算子系统也不能干预这种访问的特点。
[0143] 2)防护子系统与计算子系统之间需要某种相互通信的方式,如特殊CPU指令、特定寄存器操作、共享内存、CPU中断等方式。
[0144] 3)防护子系统可度量计算子系统的启动流程,建立启动信任链。可能实现的方式包括通过防护子系统TPCM控制计算子系统的启动电源。
[0145] 为了扩展密码计算能力,TPCM节点可访问专用I/O设备,这些专用的I/O设备计算子系统不可访问。
[0146] 4)防护子系统TPCM节点可访问计算子系统的I/O设备。
[0147] 接口
[0148] 1、与可信管理中心之间的接口
[0149] 1)TPCM从可信管理中心下载策略和基准库;
[0150] 2)TPCM上传可信报告;
[0151] 3)TPCM询问管理中心其他节点的可信状态。
[0152] 2、计算子系统与TPCM之间的接口
[0153] 1)计算子系统的信息接口
[0154] 由TSB代理程序采集计算子系统信息发送给TPCM。
[0155] 同步拦截方式发送信息接口的同时,TPCM可以返回是否允许当前继续执行,实现对主机活动的控制。
[0156] 2)控制通知接口
[0157] 由TPCM向TSB代理程序发送控制通知,要求TSB代理程序协助其完成某些控制操作。TPCM直接控制的情况不需要接口。
[0158] 实施例二
[0159] 本发明实施例还提供一种双体系可信计算方法,应用于实施例一的一种双体系可信计算系统,系统包括:可信管理中心和与可信管理中心连接的至少一个双体系可信计算节点,双体系可信计算节点包括:并行的计算子系统和防护子系统,计算子系统与防护子系统之间具有安全隔离机制,通过专用访问通道进行交互;
[0160] 如图2所示,方法包括:
[0161] S1、防护子系统获取可信管理中心的可信策略;
[0162] S2、在计算子系统进行计算任务时,防护子系统用于根据可信策略对计算子系统进行度量和控制;
[0163] S3、防护子系统将度量记录发送给可信管理中心,由可信管理中心对度量记录进行统计分析。
[0164] 根据统计分析结果对该系统的主机和网络的整体安全状态进行判断和预测。
[0165] 实施例三
[0166] 基于实施例二的一种双体系可信计算方法,防护子系统包括:可信软件基、TPCM操作系统和TPCM硬件平台,计算子系统包括:应用程序、操作系统和硬件平台,如图3所示,步骤S2包括:
[0167] S21、防护子系统中的可信软件基接收TSB代理程序发送的计算子系统的相关信息,其中,TSB代理程序为防护子系统植入到计算子系统中的代理程序,TSB代理程序用于获取计算子系统的相关信息,并发送给可信软件基;
[0168] S22、可信软件基根据可信策略对计算子系统进行度量,得到度量结果,并根据度量结果确定对计算子系统的控制处理方法;
[0169] S23、可信软件基将控制处理方法发送给TSB代理程序,由TSB代理程序协助防护子系统对计算子系统进行控制。
[0170] 控制处理方法包括但并不限于:是否允许计算子系统当前系统调用行为执行、直接恢复计算子系统被破坏数据、报告度量错误、杀死计算子系统的主机进程、协同其它安全机制进行控制等。
[0171] 实施例四
[0172] 基于实施例三的一种双体系可信计算方法,如图4所示,步骤S2还包括;
[0173] S31、防护子系统中的可信软件基根据可信策略对计算子系统进行度量,得到度量结果;
[0174] S32、可信软件基根据可信策略中的可信基准值判定度量结果是否符合预期,得到判定结果;
[0175] S33、可信软件基根据判定结果并结合可信策略对计算子系统进行控制。
[0176] 实施例五
[0177] 基于实施例三的一种双体系可信计算方法,可信软件基包括基本层和控制层,基本层用于对计算子系统进行静态度量,控制层用于对计算子系统进行动态度量。基本层包括:初始环境验证度量模块、系统引导验证度量模块、内核验证度量模块、系统验证度量模块以及应用代码验证度量模块,如图5所示,步骤S2还包括:
[0178] S41、在防护子系统中的可信平台控制模块启动后,且在计算子系统的CPU启动之前,防护子系统通过初始环境验证度量模块对计算子系统的BIOS、OPROM及硬件配置进行主动度量;
[0179] S42、在BIOS启动之后,在计算子系统的OSLoader代码加载之前,防护子系统通过系统引导验证度量模块对OSLoader代码进行主动度量;
[0180] S43、在OSLoader代码执行之后,在计算子系统的操作系统内核代码加载之前,防护子系统通过内核验证度量模块对操作系统内核代码进行主动度量;
[0181] S44、在操作系统内核代码执行之后,在计算子系统的系统服务加载之前,防护子系统通过系统验证度量模块对系统服务进行主动度量;
[0182] S45、在计算子系统运行过程中,当需要加载应用程序时,防护子系统通过应用代码验证度量模块对待加载的应用程序进行主动度量。
[0183] 需要说明的是,在TPCM启动时,基本层中的各个度量模块(初始环境验证度量模块、系统引导验证度量模块、内核验证度量模块、系统验证度量模块、应用代码度量模块)都已经加载完成,无需在信任链的建立过程中逐个加载。由于基本层中的各个度量模块都位于防护子系统中,各个度量模块本身就是可信的,在信任链建立过程无需对各个度量模块进行可信度量。
[0184] 优选地,在信任链建立过程中,本发明还可以在下一个环节的代码加载之前,对下一个环节的代码进行度量之外,还对计算子系统当前内存进行度量,以保证计算子系统内存中的数据不被非法篡改,进而提高计算子系统的安全性能。
[0185] 实施例六
[0186] 基于实施例三的一种双体系可信计算方法,如图6所示,步骤S2还包括:
[0187] S51、在满足动态度量的触发条件时,防护子系统通过控制层获取计算子系统中的应用执行的相关信息,其中,应用执行的相关信息包括以下至少之一:主体、客体、操作和执行环境;执行环境包括:应用执行所依赖的进程环境和应用执行所依赖的系统环境,系统环境包括:计算子系统的系统服务和计算子系统的操作系统内核;
[0188] S52、防护子系统通过控制层根据可信策略对计算子系统中的应用执行的相关信息进行动态度量。
[0189] 本发明的有益效果包括:
[0190] 1、提出一种在计算的同时进行主动安全防护的双体系可信计算系统。
[0191] 2、可以在设备启动之初建立可信链。
[0192] 3、以终端为起点,可以将信任关系一直传递到网络中,确保计算环境可信。
[0193] 4、防护子系统可以直接访问计算子系统内存并且实施对内存数据的度量、校验。
[0194] 5、防护子系统可以直接访问计算子系统I/O外设并且实施对设备状态、OPROM代码和设备数据的度量、校验。
[0195] 7、可以主动防御人为利用系统缺陷进行攻击的危害,例如基于网络共享协议进行攻击传播的蠕虫恶意代码、抵御处理器旁道漏洞导致的数据被盗、震网病毒等。
[0196] 8、运行双体系可信计算系统的终端在网络中可以由可信管理中心进行统一管理、调配。
[0197] 9、本双体系可信计算系统适用于各种计算机设备,包括通用PC、服务器、嵌入式系统、物联网终端、智能移动终端等。
[0198] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其同等技术的范围之内,则本发明也意图包含这些改动和变型在内。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种系统推荐方法、终端及可读存储介质 | 2020-05-08 | 6 |
| 图像形成控制方法、系统、终端及图像形成装置 | 2020-05-08 | 444 |
| 计算机操作系统的还原保护状态检测方法和系统 | 2020-05-08 | 310 |
| 水下操作系统 | 2020-05-08 | 705 |
| 一种集成轻量级区块链的节点操作系统及数据更新的方法 | 2020-05-08 | 151 |
| 信息处理装置和其方法及存储介质 | 2020-05-08 | 839 |
| 一种新旧代码共同运行的kbroker分布式操作系统 | 2020-05-08 | 463 |
| 直播礼物显示的方法和装置 | 2020-05-11 | 364 |
| 标识号的生成方法、装置和电子设备 | 2020-05-11 | 638 |
| 一种基于设备信息的对称算法软件授权方法 | 2020-05-08 | 592 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈