技术领域
[0001] 本
发明是关于可信计算,特别是关于一种可信计算的验证方法。
背景技术
[0002] 可信计算(英文全称:Trusted Computing)是在计算和通信系统中广泛使用基于
硬件安全模
块支持下的可信计算平台,以提高系统整体的安全性。在1983 年,美国国防部发表了可信
计算机系统评价准则,在2003年,可信计算平台联盟改名并重组成为可信计算组织,可信计算组织的出现同时也推动了可信计算技术研究和应用想着更高层次发展。可信计算平台联盟和可信计算组织自成立以来已经研究并确定了多种关于可信计算平台、可信存储以及可信网络连接等关于可信计算技术规范。
[0003] 随着可信计算技术的快速发展,大量的终端使用可信计算技术。可信计算的主要手段是进行身份确认,使用加密进行存储保护及使用完整性度量进行完整性保护。基本思想是在计算机系统中首先建立一个信任根,再建立一条信任链,一级测量认证一级,一级信任一级,把信任关系扩大到整个终端系统,从而确保系统的可信。例如,系统中的第一功能模块根据信任根进行完整性验证,验证通过后,形成第一级信任链,第二功能模块根据第一级信任链进行完整性验证,以此类推,形成系统的信任链。在完整性验证均通过后,系统启动。
[0004] 在TcG(英文全称:Trusted Computing Group)系统中,根据TcG规范,可信计算环境的建立依赖于不可篡改的可信根以及基于可信根的信任链。可信根Root of trust是无条件被信任的,系统并不检测可信根的行为,因此可信根的是否真正值得信任,是系统的可信关键。
[0005] 基于此,本
申请的
发明人发现,而在
现有技术中,只有在一级可信链中使用的是值得信任的可信根,在多级可信链中均会被前一级的应用的安全性影响,造成安全性难以满足需求。
[0006] 公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
发明内容
[0007] 本发明的目的在于提供一种可信计算的验证方法,其能够提高可信验证的安全性。
[0008] 为实现上述目的,本发明提供了一种可信计算的验证方法,包括:可信计算芯片生成一组分布式证书,其中,所述一组分布式证书包括多个不同的与
操作系统功能模块对应的分布式证书;操作系统启动时,每个功能模块分别使用与所述功能模块对应的分布式证书进行可信验证;若所有功能模块的可信验证均通过,则启动操作系统。
[0009] 在一优选的实施方式中,所述一组分布式证书还包括多个不同的与应用程序对应的分布式证书;所述启动操作系统之后,还包括:在调用应用程序时,使用与该应用程序对应的分布式证书对应用程序的二进制代码文件进行完整性校验;若校验成功,操作系统载入并执行该应用程序,将系统的控制权交给应用程序。
[0010] 在一优选的实施方式中,所述操作系统执行该应用程序,还包括:当应用程序需要调用动态链接库文件时,对所述动态链接库文件的二进制文件进行完整性校验;若验证成功,则应用程序调用动态链库。
[0011] 在一优选的实施方式中,所述将系统的控制权交给应用程序之后,还包括:应用程序执行结束后,将系统的控制权交给操作系统
内核。
[0012] 与现有技术相比,根据本发明的可信计算的验证方法,通过每个功能模块分别使用动态的分布式证书进行可信验证,可以实现避免依赖前一级可信链的安全性,保证了系统的灵活性,存储更新相应的分布式证书就可以在嵌入式可信计算平台上完成信任链的传递,满足系统安全性的需求。
附图说明
[0013] 图1是根据本发明一实施方式的可信计算的验证方法的
流程图。
[0014] 图2是根据本发明一实施方式的嵌入式可信分布式动态可信链传递过程的示意图。
[0015] 图3是根据本发明一实施方式的可信计算的验证方法的双重验证的流程图。
具体实施方式
[0016] 下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
[0017] 除非另有其它明确表示,否则在整个
说明书和
权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
[0018] 如图1所示,根据本发明优选实施方式的一种可信计算的验证方法的流程图,包括步骤S1-S6。
[0019] 在步骤S1中,可信计算芯片动态的生成一组分布式证书,其中,所述一组分布式证书包括多个不同的与操作系统功能模块对应的分布式证书;
[0020] 在步骤S2中,操作系统启动时,每个功能模块分别使用与所述功能模块对应的分布式证书进行可信验证;
[0021] 在步骤S3中,若所有功能模块的可信验证均通过,则启动操作系统。
[0022] 本
实施例将系统分成两个状态,系统启动状态和系统运行状态。如图2 所示,其为嵌入式可信分布式动态可信链传递过程的示意图。功能模块可以包括:启动基本加载项booting,高级初始化,加载程序,操作系统内核,安全增强系统等模块。在启动过程中,每个功能块都会有一个或多个证书,保存在可信计算芯片中,进行可信验证,完成可信验证后再进行相应的处理。在初始化和加载程序验证了操作系统内核的完整性并通过以后,把系统的控制权交给操作系统。由于经过可信链的传递,操作系统的启动过程是可信的,在操作系统启动完成以后,就进入系统运行状态。
[0023] 由此,本实施例通过每个功能模块分别使用动态的分布式证书进行可信验证,可以实现避免依赖前一级可信链的安全性,保证了系统的灵活性,存储更新相应的分布式证书就可以在嵌入式可信计算平台上完成信任链的传递,满足系统安全性的需求。
[0024] 并且,整个信任连传递验证的过程都是在可信计算芯片内部或操作系统内核的分布式存储证书完成的,经过可信验证才能获得权限,可以进一步提高整个系统的安全性能。
[0025] 进一步地,现有的嵌入式可信系统在运行过程中,随着应用程序的多样性,单纯的校验程序文件完整性的方式,很难保证可信链的正常传递,也不能保证应用
软件是可信的。
[0026] 本实施例还在操作系统内核中和应用程序中都加入完整性校验程序,操作系统中的完整性校验程序得到要执行的应用程序的二进制代码的散列值,井验证其是否可信。而应用程序中的完整性校验程序负责在调用动态链接库文件时验证其可信性,得到库文件的散列值,并验证其可信性。
[0027] 进一步的,如图3所示,根据本发明优选实施方式的一种可信计算的验证方法的双重验证的流程图,图3中A过程对应步骤S2,B过程对应步骤S51。其中,所述一组分布式证书还包括多个不同的与应用程序对应的分布式证书;所述启动操作系统之后,还包括步骤S4-步骤S5。
[0028] 在步骤S4中,在调用应用程序时,使用与该应用程序对应的分布式证书对应用程序的二进制代码文件进行完整性校验。
[0029] 具体的,在调用应用程序时,首先要对应用程序的二进制代码文件进行完整性校验,计算二进制文件的散列值,然后查找相应的证书,进行完整性校验。
[0030] 在步骤S5中,若校验成功,操作系统载入并执行该应用程序,将系统的控制权交给应用程序。
[0032] 在一种实现方式中,步骤S5可以包括:步骤S51-步骤S52。
[0033] 在步骤S51中,当应用程序需要调用动态链接库文件时,对所述动态链接库文件的二进制文件进行完整性校验;
[0034] 具体的,当应用程序调用动态链接库文件,同样是先对其二进制文件进行完整性校验,验证其可信性。
[0035] 在步骤S52中,若验证成功,则应用程序调用动态链库。
[0036] 在步骤S6中,应用程序执行结束后,将系统的控制权交给操作系统内核。
[0037] 由此,本实施例针对多应用程序,提出操作系统和应用程序的双重完整性验证方法,实现信任链的完整传递。通过双重完整性验证,将可信链从
进程或者库文件的功能块到特定的
角色进行传递,访问控制的粒度更细,更易于控制系统的安全。
[0038] 本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或
计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘
存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0039] 本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方
框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程
数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中
指定的功能的装置。
[0040] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0041] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0042] 前述对本发明的具体示例性实施方案的描述是为了说明和例证的目的。这些描述并非想将本发明限定为所公开的精确形式,并且很显然,根据上述教导,可以进行很多改变和变化。对示例性实施例进行选择和描述的目的在于解释本发明的特定原理及其实际应用,从而使得本领域的技术人员能够实现并利用本发明的各种不同的示例性实施方案以及各种不同的选择和改变。本发明的范围意在由权利要求书及其等同形式所限定。
