[go: up one dir, main page]

CN111506897B - 数据处理方法和装置 - Google Patents

数据处理方法和装置 Download PDF

Info

Publication number
CN111506897B
CN111506897B CN201910092945.3A CN201910092945A CN111506897B CN 111506897 B CN111506897 B CN 111506897B CN 201910092945 A CN201910092945 A CN 201910092945A CN 111506897 B CN111506897 B CN 111506897B
Authority
CN
China
Prior art keywords
measurement object
hash value
value
restarting
trusted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910092945.3A
Other languages
English (en)
Other versions
CN111506897A (zh
Inventor
肖鹏
付颖芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Group Holding Ltd
Original Assignee
Alibaba Group Holding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Group Holding Ltd filed Critical Alibaba Group Holding Ltd
Priority to CN201910092945.3A priority Critical patent/CN111506897B/zh
Priority to US16/776,328 priority patent/US20200244461A1/en
Publication of CN111506897A publication Critical patent/CN111506897A/zh
Application granted granted Critical
Publication of CN111506897B publication Critical patent/CN111506897B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种数据处理方法和装置。其中,该方法包括:将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的特征值,并对特征值与预存的可信基准特征值进行匹配;依据匹配结果执行对应操作。本发明解决了由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。

Description

数据处理方法和装置
技术领域
本发明涉及密码运算领域,具体而言,涉及一种数据处理方法和装置。
背景技术
相关技术中,TCG的TPM可信标准,没有校验度量对象完整性的流程,只能够在启动完成后,检查每个度量对象的度量值,与可信的基准值是否相等。相关技术中可以采用在TCG/TPM标准中加入了度量对象完整性可信校验的流程的方式,进行度量对象的可信校验,例如,将度量对象的哈希值与存储在可信的NV空间中的可信标准值进行比较,但是可信基准哈希值存储在NV空间中,会由于度量对象的升级、更新或者补丁等造成度量对象的哈希之变化,导致完整性校验失败。
针对上述由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种数据处理方法和装置,以至少解决由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。
根据本发明实施例的一个方面,提供了一种数据处理方法,包括:将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的特征值,并对所述特征值与预存的可信基准特征值进行匹配;依据匹配结果执行对应操作。
根据本发明实施例的另一方面,还提供了一种数据处理装置,包括:重启模块,用于将配置后的度量对象按照信任链顺序进行重启;校验模块,用于逐项度量重启后的度量对象的特征值,并对所述特征值与预先存储的可信基准特征值进行匹配;管理模块,用于依据匹配结果执行对应操作。
根据本发明实施例的另一方面,还提供了一种数据处理方法,包括:将配置后的度量对象按照信任链顺序进行重启;逐项对重启后的度量对象进行完整性校验;依据校验结果执行对应操作。
根据本发明实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述的数据处理方法。
在本发明实施例中,采用将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的特征值,并对所述特征值与预存的可信基准特征值进行匹配;依据匹配结果执行对应操作的方式,通过对信任链中的各个度量对象的特征值的检测,达到了对信任链中的度量对象的可信度进行有效检测的目的,从而实现了提高系统的可信度,降低启动失败的概率的技术效果,进而解决了由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种数据处理方法的计算机终端的硬件结构框图;
图2是相关技术中信任链传递的流程图;
图3是相关技术中可信完整性校验的流程图;
图4是根据本发明实施例1的一种数据处理方法的流程图;
图5是根据本发明实施方式的一种数据处理方法的流程图;
图6是根据本发明实施方式的一种可信度量对象监控方法的流程图;
图7是根据本发明实施方式的一种系统重启监控方法的流程图;
图8是根据本发明实施例2的一种数据处理装置的示意图;
图9是根据本发明实施例3的一种数据处理方法的流程图;
图10是根据本发明实施例4的一种计算机终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
TCG(Trusted Computing Group):国际可信计算组,由AMD、Hewlett-Packard、IBM、Intel、Microsoft等组成。
可信计算(Trusted Computing):国际可信计算组TCG开发和推广的技术,在计算和通信系统中使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。使用可信计算,计算机将一直以预期的方式运行,这些行为将由计算机硬件和程序共同保证,通过使用系统其余部分无法访问的硬件安全模块来实现此行为。
可信平台模块(TPM,Trusted Platform Model):TPM是一种安全密码处理器的国际标准,由TCG撰写,通过专门的微控制器将加密密钥集成到设备中来保护硬件。TPM安全芯片是指符合TPM标准的安全芯片,一般通过物理方式被强绑定到计算平台,它能有效地保护PC、防止非法用户访问。
可信平台控制模块(TPCM,Trusted Platform Control Model):TPCM作为中国国内自主可控的可信节点植入可信源根,在TPM基础上加以信任根控制功能,实现了以密码为基础的主动控制和度量;TPCM先于CPU启动并对BIOS进行验证,由此改变了TPM作为被动设备的传统思路,实现了TPCM对整个平台的主动控制。
PCR(Platform Configuration Registers):由可信安全芯片提供的平台配置寄存器,用于存放度量扩展值,向外证明平台完整性,同时可用于证明度量日志的完整性。
NV空间(Non-Volatile Space):由可信安全芯片提供的非易失性存储空间,用于提供对敏感信息的可信存储,可供用户分配使用。
实施例1
根据本发明实施例,还提供了一种数据处理方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本发明实施例的一种数据处理方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的数据处理方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的数据处理方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
图2是相关技术中信任链传递的流程图,如图2所示,基于国际可信计算组/可信平台模块(Trusted Computing Group/Trusted Platform Model,简称TCG/TPM)可信标准,即,以TPM为可信根,系统启动时由BIOS中的可信度量根开始,度量BIOS初始引导模块,接着由BIOS初始引导模块度量BIOS主引导模块,BIOS主引导模块度量BIOS其余部分及OS装载器,之后由OS装载器对OS内核进行度量,以此类推,从而最终完成从起点到应用、网络的信任传递过程。
虽然TCG/TPM标准中定义了可信链的建立流程,并记录启动过程中的每一个对象的度量值(存放在PCR空间)。但是,标准中并没有给出度量对象完整性校验的流程,只能实现事后检查的功能:启动完成后检查每个对象的度量值,是否与可信的基准值相等(存放在NV空间)。
图3是相关技术中可信完整性校验的流程图,如图3所示,在TCG/TPM标准中加入了度量对象完整性可信校验的流程,在启动过程中(未进入操作系统OS),当发现某个对象的度量值与预先设置的可信基准哈希值不符时,就停止对操作系统的正常加载(通过对OS内核的加解密)。所谓校验,就是比较度量对象的当前Hash值,与预设的可信基准Hash值,是否相等。
在相关技术中,当部署完整性校验策略时,会对OS内核文件加密;在系统启动过程中,如果某个度量对象的完整性校验失败,则grub获取不到OS内核的解密密钥,不能成功加载OS内核,启动失败;只有所有度量对象的完整性校验通过时,才能解密OS内核并正常加载。另外,提供特权强制启动模式:在完整性校验失败时,输入正确的特权码后可以获取OS内核的解密密钥,解密OS内核并加载启动(该特权模式只能在grub下手动输入)。
但是可信基准哈希值固定存放在NV空间,每次度量对象的升级/更新/补丁等,都会造成完整性校验的失败(因为此时度量对象的Hash值发生改变)。相关技术中没有完整的可信策略管理方案,如果管理员在更新对象(例如升级OS内核)后,没有更新NV空间的可信基准哈希值,就会导致下次启动时系统启动失败(因为度量对象的完整性校验失败)。而使用特权强制启动模式,只能在grub下人工运行,不适合远程、集群操作。
存在缺乏完整的可信策略管理方案,易导致系统启动失败的问题。
针对上述问题本实施例提供了一种数据处理方法,具体步骤如下:
在安全芯片中配置启动过程中的度量对象,其中,配置度量对象的可信基准哈希值,并将可信基准哈希值存储至安全芯片的存储空间中,存储空间包括:非易失性存储空间;
将配置后的度量对象按照信任链顺序进行重启;
逐项度量重启后的度量对象的哈希值,并对哈希值与预存的可信基准哈希值进行匹配;
在哈希值与预先存储的可信基准哈希值不相同的情况下,则校验失败,阻塞启动,进入特权强制模式;在哈希值与预先存储的可信基准哈希值相同的情况下,则对度量对象进行监控,并执行系统重启监控操作。
其中,对度量对象进行监控包括:校验哈希值;在校验成功的情况下,并执行与当前度量对象相邻的度量对象的校验过程;在校验失败的情况下,触发系统告警,其中,系统告警包括:通知系统管理员是否主动更新了度量对象。
触发系统告警之后,接收系统告警的反馈信息;在反馈信息指示度量对象更新为系统管理员操作的情况下,更新度量对象的可信基准哈希值,并将更新后的可信基准哈希值存至安全芯片的存储空间中,并执行与当前度量对象相邻的度量对象的校验过程;在反馈信息指示度量对象更新为非系统管理员操作的情况下,确定发生恶意攻击,转入入侵检测操作,并恢复原始未更改的度量对象。
其中,执行系统重启监控操作包括:当进入系统调用层,调用重启系统调用接口时,启动系统重启监控;校验哈希值,在校验成功的情况下,执行与当前度量对象相邻的度量对象的校验过程;校验失败的情况下,触发系统告警。
触发系统告警之后,接收系统告警的反馈信息;在反馈信息指示度量对象更新为非系统管理员操作的情况下,终止重启流程,转入入侵检测操作;在反馈信息指示度量对象更新为系统管理员操作的情况下,返回重启系统调用接口,继续执行重启。
通过上述步骤,达到了对信任链中的度量对象的可信度进行有效检测的目的,从而实现了提高系统的可信度,降低启动失败的概率的技术效果,进而解决了由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。
在上述运行环境下,本申请提供了如图4所示的数据处理方法。图4是根据本发明实施例的一种数据处理方法的流程图,如图4所示,具体步骤如下。
步骤S402,将配置后的度量对象按照信任链顺序进行重启。
作为一种可选的实施例,上述配置后的度量对象可以是定义安全芯片TPM/TPCM在启动过程中需要度量的对象,包括但不限于BIOS、OS、关键进程、敏感文件等等。
作为一种可选的实施例,上述按照信任链顺序进行启动,可以是按照信任链的顺序,逐项度量每个度量对象的特征值,在特征值包括哈希值的情况下,并将每个独立对象的哈希值存储在对应的PCR中,用于之后与每个度量对象的可信基准哈希值进行匹配和对比,以确定该度量对象的哈希值是否与可信基准哈希值相同,以确定度量对象是否可信。
作为一种可选的实施例,上述度量对象的可信基准哈希值,可以指可信状态下的各个度量对象的哈希值,例如,系统的首次运行,首次进机房,首次撞击,首次安装应用等可信状态下的度量对象的哈希值,可以认为可信状态没有发生攻击行为。
作为一种可选的实施例,上述可信基准哈希值存储在安全芯片的NV空间中,可以提高可信基准哈希值的安全性,保证上述可信基准哈希值的可信度。
作为一种可选的实施例,上述步骤的执行主体可以是安全芯片,上述安全芯片可以是TPM,可以是TPCM,还可以是其他的系统的安全可信模块等。
作为一种可选的实施例,上述步骤可以是在接收系统的重启命令之后,进行重启。
步骤S404,逐项度量重启后的度量对象的特征值,并对特征值与预存的可信基准特征值进行匹配。
作为一种可选的实施例,在特征值包括哈希值的情况下,在系统重启过程中,可以根据当前度量对象的哈希值,与预存的可信基准哈希值进行比较,在二者相等的情况下,确定当前度量对象的哈希值可信。
作为一种可选的实施例,在特征值包括哈希值的情况下,上述当前度量对象的哈希值和上述可信基准哈希值不同的情况下,则说明当前度量对象的完整性校验不通过,可以认为当前度量对象被篡改,从而进行补救措施,例如,删除篡改内容,格力篡改内容,系统报警等方式进行反应。
作为一种可选的实施例,度量上述度量对象的哈希值,可以通过哈希度量算法进行度量,例如,SHA-1算法、SHA256算法、SM3算法等等。
步骤S406,依据匹配结果执行对应操作。
作为一种可选的实施例,上述对应操作可以是,在哈希值与预先存储的可信基准哈希值相同的情况下,可以对度量对象进行监控,和/或,可以执行系统重启监控操作。
作为一种可选的实施例,对度量对象进行监控可以是检测可信度量对象是否发生变更,或者进行的变更操作是否合法/可信,或者该变更操作是否为系统管理员操作。
作为一种可选的实施例,在系统重启监控操作中,可以根据当前度量对象的哈希值,与预存的可信基准哈希值进行比较,在二者相等的情况下,确定当前度量对象的哈希值可信,防止系统管理员变更了度量对象,确定没有更新度量对象的可信基准,导致系统下次的启动过程无法进行可信完整性校验的问题,保证系统在下次启动过程中的可信完整性校验流程可以进行。
作为一种可选的实施例,上述对应操作还可以是,在哈希值与预先存储的可信基准哈希值不相同的情况下,可以控制阻塞系统启动进入特权强制模式,例如,对权限较低的用户访问进行禁止,仅允许安全等级较高的特权用户进行访问和操作。
通过上述步骤,采用将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的哈希值,并对哈希值与预存的可信基准哈希值进行匹配;依据匹配结果执行对应操作的方式,通过对信任链中的各个度量对象的哈希值的检测,达到了对信任链中的度量对象的可信度进行有效检测的目的,从而实现了提高系统的可信度,降低启动失败的概率的技术效果,进而解决了由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。
作为一种可选的实施例,在将配置后的度量对象按照信任链顺序进行重启之前,方法还包括:在安全芯片中配置启动过程中的度量对象;其中,配置度量对象的可信基准哈希值,并将可信基准哈希值存储至安全芯片的存储空间中;存储空间包括:非易失性存储空间。
作为一种可选的实施例,上述在安全芯片中配置度量对象,可以是根据安全芯片在启动中的度量需求,对度量对象进行定义,并按照信任链,对度量对象的度量顺序进行确定。
作为一种可选的实施例,上述配置度量对象的同时可以配置,需要在度量过程中用到的度量对象的可信基准哈希值。将上述可信基准哈希值存储在安全芯片的可信存储空间中。
作为一种可选的实施例,上述可信存储空间可以是非易失性存储空间,以保证上述可信基准哈希值的存储稳定性。
作为一种可选的实施例,依据匹配结果执行对应操作包括:若哈希值与预先存储的可信基准哈希值不相同,则校验失败,阻塞启动,进入特权强制模式;若哈希值与预先存储的可信基准哈希值相同,则对度量对象进行监控,并执行系统重启监控操作。
作为一种可选的实施例,上述依据匹配结果执行对应的操作,可以是在哈希值与预先存储的可信基准哈希值不相同的情况下,认定度量对象,校验失败,阻塞启动,进入特权强制模式。
作为一种可选的实施例,上述依据匹配结果执行对应的操作,还可以是在哈希值与预先存储的可信基准哈希值相同的情况下,可以对度量对象进行监控,和/或,可以执行系统重启监控操作等操作。
作为一种可选的实施例,对度量对象进行监控包括:将当前度量对象的哈希值标记为第一数值;读取当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;判断第一数值是否等于第二数值;在判断结果为是的情况下,校验成功,并执行与当前度量对象相邻的度量对象的校验过程;在判断结果为否的情况下,校验失败,触发系统告警,其中,系统告警包括:通知系统管理员是否主动更新了度量对象。
作为一种可选的实施例,上述在监控度量对象的过程中,将当前度量对象的哈希值,与该当前度量对象对应的可信基准哈希值进行比对,在二者相等的情况下,当前度量对象的校验成功,执行按照信任链的下一相邻的度量对象的校验。
作为一种可选的实施例,上述当前度量对象的哈希值,与该当前度量对象对应的可信基准哈希值不相等的情况下,当前度量对象校验失败,触发系统告警。上述系统告警可以是通知系统管理员是否主动更新了度量对象。
作为一种可选的实施例,触发系统告警之后,方法还包括:接收系统告警的反馈信息;在反馈信息指示度量对象更新为系统管理员操作的情况下,更新度量对象的可信基准哈希值,并将更新后的可信基准哈希值存储至安全芯片的存储空间中,并执行与当前度量对象相邻的度量对象的校验过程;在反馈信息指示度量对象更新为非系统管理员操作的情况下,确定发生恶意攻击,转入入侵检测操作,并恢复原始未更改的度量对象。
作为一种可选的实施例,上述在监控度量对象的过程中,在触发系统告警之后,可以通过系统告警的反馈信息,对该度量对象的更新是否为系统管理员操作进行确定,在反馈信息指示度量对象更新为系统管理员操作的情况下,确定度量对象的更新可信。然后,更新度量对象的可信基准哈希值,并将更新后的可信基准哈希值存储至安全芯片的存储空间中,并执行与当前度量对象相邻的度量对象的校验过程。
作为一种可选的实施例,上述在反馈信息指示度量对象更新非系统管理员操作的情况下,确定上述度量对象的更新操作不可信,确定发生恶意攻击,转入入侵检测操作,并恢复原始之前的可信度量对象,例如,未更改的度量对象。
作为一种可选的实施例,执行系统重启监控操作包括:当进入系统调用层,调用重启系统调用接口时,启动系统重启监控;将当前度量对象的哈希值标记为第一数值;读取当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;判断第一数值是否等于第二数值;在判断结果为是的情况下,校验成功,并执行与当前度量对象相邻的度量对象的校验过程;在判断结果为否的情况下,校验失败,触发系统告警,其中,系统告警包括:通知系统管理员是否主动更新了度量对象。
作为一种可选的实施例,上述执行系统重启监控操作之前,确定当进入系统调用层,调用重启系统调用接口的情况下,启动系统重启监控。另外,系统重启监控方案需要使用操作系统进行执行,上述操作系统包括但不限于Linux、Windows、MacOS等。
作为一种可选的实施例,在上述执行系统重启监控操作的过程中,将当前度量对象的哈希值,和当前度量对象对应的可信基准哈希值进行比较,在二者相等的情况下,当前度量对象校验成功,执行按照信任链的下一相邻的度量对象的校验。
作为一种可选的实施例,上述当前度量对象的哈希值,与该当前度量对象对应的可信基准哈希值不相等的情况下,当前度量对象校验失败,触发系统告警。上述系统告警可以是通知系统管理员是否主动更新了度量对象。
作为一种可选的实施例,触发系统告警之后,方法还包括:接收系统告警的反馈信息;在反馈信息指示度量对象更新非系统管理员操作的情况下,终止重启流程,转入入侵检测操作;在反馈信息指示度量对象更新为系统管理员操作的情况下,返回重启系统调用接口,继续执行重启。
作为一种可选的实施例,上述在监控度量对象的过程中,在触发系统告警之后,可以通过系统告警的反馈信息,对该度量对象的更新是否为系统管理员操作进行确定,上述在反馈信息指示度量对象更新,为非系统管理员操作的情况下,确定上述度量对象的更新操作不可信,确定发生恶意攻击,终止系统重启流程,转入入侵检测操作。作为一种可选的实施例,在反馈信息指示度量对象更新为系统管理员操作的情况下,确定度量对象的更新可信。返回重启系统调用接口,继续执行重启。需要说明的是,系统重启监控方案的插入位置,包括但不限于系统调用层的reboot系统调用接口。
需要说明的是,本实施例还提供了一种可选的实施方式,下面对该实施方式进行详细说明。
图5是根据本发明实施方式的一种可信策略管理方法的流程图,如图5所示,可信策略管理方案包括以下部分:1)可信策略配置;定义安全芯片TPM/TPCM在启动过程中需要度量的对象,包括但不限于BIOS、OS、关键进程、敏感文件等等。完成配置后,下次启动时会按照信任链顺序,逐项度量每个对象的Hash值,并扩展后存储在对应的PCR中。
定义度量对象的可信基准哈希值,并存储在安全芯片NV空间中。可信基准哈希值,是指可信状态下各个度量对象的Hash值,通常可以将系统的首次运行(例如首次进机房、首次装机、首次安装应用等等),作为可信状态(假定此时没有发生攻击行为)。
完成可信策略配置之后,每次系统重启,即开启可信完整性校验流程。
2)重启(可信完整性校验);重启时,启动安全芯片TPM/TPCM的可信完整性校验流程:逐项计算每个度量对象的Hash值,并同NV空间该对象的可信基准哈希值做比对,如果不相等则完整性校验不通过(度量对象被篡改),阻塞系统启动进入特权强制模式。
3)可信度量对象监控;在系统正常使用运行阶段,需要对可信度量对象进行监控,以及时发现可信度量对象的变更。当度量对象的变更为系统管理员完成时,需要更新度量对象的可信基准哈希值,以保证下次启动时的可信完整性校验;当不属于系统管理员操作时,则证明有攻击行为发生,转入入侵检测程序。
可信度量对象监控,需要常驻系统,运行频率可自行定义:过快会消耗资源性能,过慢会出现漏报。
4)系统重启监控;当系统有重启命令时,需要检测当前度量对象Hash值,是否与度量对象基准Hash值相等,以保证下次启动过程中的可信完整性校验流程。主要目的:防止系统管理员变更了度量对象,却没有更新对象的可信基准哈希值。当度量对象的变更为系统管理员完成时,需要更新度量对象的可信基准哈希值,以保证下次启动时的可信完整性校验;当不属于系统管理员操作时,则证明有攻击行为发生,重启终止并转入入侵检测程序。
5)可信启动;当系统重启监控通过后,正常重启系统。
图6是根据本发明实施方式的一种可信度量对象监控方法的流程图,如图6所示,可信度量对象监控方案具体包括以下部分:1)Linux系统重启流程;通过已配置的可信策略,逐项读取可信度量对象,并进行接下来的可信度量对象监控流程。
2)计算当前度量对象的Hash值(标记为H0)。
3)读取当前度量对象的可信基准Hash值(标记为H1);从安全芯片TPM/TPCM的NV空间中,读取当前度量对象的可信基准Hash值。
4)校验H0==H1?如果H0等于H1,则校验通过,证明度量对象未更改;循环进入下一项度量对象的校验,直至所有度量对象完成。如果H0不等于H1,则校验失败,度量对象已经被人修改,进入下一步。
5)发出警告,通知系统管理员;系统告警,通知系统管理员可以使用各种形式,包括但不限于系统日志、短信、电话等。
6)系统管理员确认,是否主动更新了度量对象?确认方式,包括但不限于系统日志查询、管理员回复确认、对象访问记录等。如果度量对象的更新,属于管理员操作操作,则进行可信基准哈希值更新步骤。如果度量对象的更新,不属于管理员操作,则转入入侵检测程序。
7)可信基准哈希值更新;如果度量对象的更新,属于管理员操作操作,则进行可信基准哈希值更新。更新当前对象的可信基准哈希值,写入安全芯片TPM/TPCM的NV空间。循环进入下一项度量对象的校验,直至所有度量对象完成。
8)入侵检测程序;如果度量对象的更新,不属于管理员操作,则发现恶意攻击,转入入侵检测程序。入侵检测,包括但不限于日志审计、网络审计、行为审计等各种安全手段。同时,恢复原始未更改的度量对象主体。
图7是根据本发明实施方式的一种系统重启监控方法的流程图,如图7所示,系统重启监控方案具体包括以下部分:
以Linux系统为例,以下为Linux系统重启流程:
应用层:重启的指令,主要包括reboot、halt、poweroff。
系统调用层:应用层下发重启指令后,调用统一的reboot的系统调用接口,通过不同的应用层参数,分别进入kernel_reboot、kernel_halt、kernel_power_off三个不同的内核执行函数;待内核执行函数运行结束后,调用统一的send notify(发送通知)的系统调用接口。
驱动层:系统调用层完成后,进入驱动层,执行shutdown device(设备关闭)、shutdown system core(系统核心关闭)。
平台层:最后一步,执行物理平台层的重启。
系统重启监控方案,需要插入到linux系统重启流程之中,插入的位置,包括但不限于系统调用层(最优位置),图7中以插入reboot的系统调用接口为例。具体步骤如下:
1)应用层重启指令:reboot、halt、poweroff。
2)reboot系统调用接口:当进入系统调用层,使用reboot系统调用接口时,进入系统重启监控方案。
3)进入系统重启监控方案;具体的实现步骤,同上述可信度量对象监控方案。当发现有非系统管理员操作的度量对象变更时,终止重启流程,转入入侵检测程序。
4)返回reboot系统调用接口;当系统重启监控方案未发现问题,则正常返回reboot的系统调用接口。
5)系统重启流程继续进行。
本实施方式,提供了一种可信度量对象监控方案,一种系统重启监控方案,以及一种hook重启流程的方案。通过增加了可信完整性校验流程,和可信策略管理方案,解决相关技术中没有可信校验流程,以及无策略管理的缺陷。尤其是,通过系统重启监控方案,解决了管理员在更新度量对象(例如升级OS内核)后,忘记更新NV空间的可信基准哈希值的问题。能够保证可信策略的安全管理,以及可信对象的完整性校验。
实施例2
根据本发明实施例的另一方面,还提供了用于实施上述实施例1的一种可信策略管理方法的装置,图8是根据本发明实施例2的一种数据处理装置的示意图,如图8所示,该装置包括:重启模块82,校验模块84和管理模块86,下面对该装置进行详细说明。
重启模块82,用于将配置后的度量对象按照信任链顺序进行重启;校验模块84,与上述重启模块82相连,用于逐项度量重启后的度量对象的特征值,并对特征值与预先存储的可信基准特征值进行匹配;管理模块86,与上述校验模块84相连,用于依据匹配结果执行对应操作。
此处需要说明的是,上述重启模块82,校验模块84和管理模块86对应于实施例1中的步骤S402至步骤S406,三个模块与对应的步骤所实现的实例和应用场景相同,但不限于上述实施例1所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在实施例1提供的计算机终端10中。
实施例3
根据本发明实施例的另一方面,还提供了一种数据处理方法,图9是根据本发明实施例3的一种数据处理方法的流程图,如图9所示,该方法包括:
步骤S902,将配置后的度量对象按照信任链顺序进行重启;
步骤S904,逐项对重启后的度量对象进行完整性校验;
步骤S906,依据校验结果执行对应操作。
作为一种可选的实施例,上述步骤的执行主体可以是安全芯片,例如,TPM或者TPCM。还可以是安全系统,或者安全模块。
作为一种可选的实施例,上述完整性校验,达到了对信任链中的度量对象的可信度进行有效检测的目的,从而实现了提高系统的可信度,降低启动失败的概率的技术效果,是为了防止信任链中的度量对象被篡改,导致不可信,缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。
作为一种可选的实施例,上述完整性校验可以是通过对上述度量对象的哈希值进行检测,判断该度量对象的哈希值与可信基准哈希值是否相等。上述哈希值还可以是用于完整性检测的其他属性值。
通过上述步骤,采用将配置后的度量对象按照信任链顺序进行重启;逐项对重启后的度量对象进行完整性校验;依据匹配结果执行对应操作的方式,通过对信任链中的各个度量对象的哈希值的检测,达到了对信任链中的度量对象的可信度进行有效检测的目的,从而实现了提高系统的可信度,降低启动失败的概率的技术效果,进而解决了由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例4
本发明的实施例可以提供一种计算机终端,该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地,在本实施例中,上述计算机终端也可以替换为移动终端等终端设备。
可选地,在本实施例中,上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。
在本实施例中,上述计算机终端可以执行应用程序的数据处理方法中以下步骤的程序代码:将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的特征值,并对特征值与预存的可信基准特征值进行匹配;依据匹配结果执行对应操作。
可选地,图10是根据本发明实施例的一种计算机终端的结构框图。如图10所示,该计算机终端A可以包括:一个或多个(图中仅示出一个)处理器、存储器以及外设接口。
其中,存储器可用于存储软件程序以及模块,如本发明实施例中的数据处理方法和装置对应的程序指令/模块,处理器通过运行存储在存储器内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的数据处理方法。存储器可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
处理器可以通过传输装置调用存储器存储的信息及应用程序,以执行下述步骤:将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的特征值,并对特征值与预存的可信基准特征值进行匹配;依据匹配结果执行对应操作。
可选的,上述处理器还可以执行如下步骤的程序代码:在将配置后的度量对象按照信任链顺序进行重启之前,在特征值包括哈希值的情况下,在安全芯片中配置启动过程中的度量对象;其中,配置度量对象的可信基准哈希值,并将可信基准哈希值存至安全芯片的存储空间中;存储空间包括:非易失性存储空间。
可选的,上述处理器还可以执行如下步骤的程序代码:逐项度量重启后的度量对象的特征值,并对特征值与预存的可信基准特征值进行匹配包括:在特征值包括哈希值的情况下,逐项度量重启后的度量对象的哈希值,并对哈希值与预存的可信基准哈希值进行匹配。
可选的,上述处理器还可以执行如下步骤的程序代码:依据匹配结果执行对应操作包括:在特征值包括哈希值的情况下,若哈希值与预先存储的可信基准哈希值不相同,则校验失败,阻塞启动,进入特权强制模式;若哈希值与预先存储的可信基准哈希值相同,则对度量对象进行监控,并执行系统重启监控操作。
可选的,上述处理器还可以执行如下步骤的程序代码:对度量对象进行监控包括:将当前度量对象的哈希值标记为第一数值;读取当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;判断第一数值是否等于第二数值;在判断结果为是的情况下,校验成功,并执行与当前度量对象相邻的度量对象的校验过程;在判断结果为否的情况下,校验失败,触发系统告警,其中,系统告警包括:通知系统管理员是否主动更新了度量对象。
可选的,上述处理器还可以执行如下步骤的程序代码:触发系统告警之后,接收系统告警的反馈信息;在反馈信息指示度量对象更新为系统管理员操作的情况下,更新度量对象的可信基准哈希值,并将更新后的可信基准哈希值存至安全芯片的存储空间中,并执行与当前度量对象相邻的度量对象的校验过程;在反馈信息指示度量对象更新非系统管理员操作的情况下,确定发生恶意攻击,转入入侵检测操作,并恢复原始未更改的度量对象。
可选的,上述处理器还可以执行如下步骤的程序代码:执行系统重启监控操作包括:当进入系统调用层,调用重启系统调用接口时,启动系统重启监控;将当前度量对象的哈希值标记为第一数值;读取当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;判断第一数值是否等于第二数值;在判断结果为是的情况下,校验成功,并执行与当前度量对象相邻的度量对象的校验过程;在判断结果为否的情况下,校验失败,触发系统告警,其中,系统告警包括:通知系统管理员是否主动更新了度量对象。
可选的,上述处理器还可以执行如下步骤的程序代码:触发系统告警之后,接收系统告警的反馈信息;在反馈信息指示度量对象更新非系统管理员操作的情况下,终止重启流程,转入入侵检测操作;在反馈信息指示度量对象更新为系统管理员操作的情况下,返回重启系统调用接口,继续执行重启。
可选的,上述处理器还可以执行如下步骤的程序代码:将配置后的度量对象按照信任链顺序进行重启;逐项对重启后的度量对象进行完整性校验;依据校验结果执行对应操作。
采用本发明实施例,提供了一种数据处理方法的方案。采用将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的哈希值,并对所述哈希值与预存的可信基准哈希值进行匹配;依据匹配结果执行对应操作的方式,通过对信任链中的各个度量对象的哈希值的检测,达到了对信任链中的度量对象的可信度进行有效检测的目的,从而实现了提高系统的可信度,降低启动失败的概率的技术效果,进而解决了由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。
本领域普通技术人员可以理解,图10所示的结构仅为示意,计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices,MID)、PAD等终端设备。图10其并不对上述电子装置的结构造成限定。例如,计算机终端A还可包括比图10中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图10所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
实施例5
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的数据处理方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的特征值,并对特征值与预存的可信基准特征值进行匹配;依据匹配结果执行对应操作。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在将配置后的度量对象按照信任链顺序进行重启之前,在特征值包括哈希值的情况下,在安全芯片中配置启动过程中的度量对象;其中,配置度量对象的可信基准哈希值,并将可信基准哈希值存至安全芯片的存储空间中;存储空间包括:非易失性存储空间。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:逐项度量重启后的度量对象的特征值,并对特征值与预存的可信基准特征值进行匹配包括:在特征值包括哈希值的情况下,逐项度量重启后的度量对象的哈希值,并对哈希值与预存的可信基准哈希值进行匹配。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:依据匹配结果执行对应操作包括:在特征值包括哈希值的情况下,若哈希值与预先存储的可信基准哈希值不相同,则校验失败,阻塞启动,进入特权强制模式;若哈希值与预先存储的可信基准哈希值相同,则对度量对象进行监控,并执行系统重启监控操作。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:对度量对象进行监控包括:将当前度量对象的哈希值标记为第一数值;读取当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;判断第一数值是否等于第二数值;在判断结果为是的情况下,校验成功,并执行与当前度量对象相邻的度量对象的校验过程;在判断结果为否的情况下,校验失败,触发系统告警,其中,系统告警包括:通知系统管理员是否主动更新了度量对象。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:触发系统告警之后,接收系统告警的反馈信息;在反馈信息指示度量对象更新为系统管理员操作的情况下,更新度量对象的可信基准哈希值,并将更新后的可信基准哈希值存至安全芯片的存储空间中,并执行与当前度量对象相邻的度量对象的校验过程;在反馈信息指示度量对象更新非系统管理员操作的情况下,确定发生恶意攻击,转入入侵检测操作,并恢复原始未更改的度量对象。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:执行系统重启监控操作包括:当进入系统调用层,调用重启系统调用接口时,启动系统重启监控;将当前度量对象的哈希值标记为第一数值;读取当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;判断第一数值是否等于第二数值;在判断结果为是的情况下,校验成功,并执行与当前度量对象相邻的度量对象的校验过程;在判断结果为否的情况下,校验失败,触发系统告警,其中,系统告警包括:通知系统管理员是否主动更新了度量对象。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:触发系统告警之后,接收系统告警的反馈信息;在反馈信息指示度量对象更新非系统管理员操作的情况下,终止重启流程,转入入侵检测操作;在反馈信息指示度量对象更新为系统管理员操作的情况下,返回重启系统调用接口,继续执行重启。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:将配置后的度量对象按照信任链顺序进行重启;逐项对重启后的度量对象进行完整性校验;依据校验结果执行对应操作。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (9)

1.一种数据处理方法,包括:
将配置后的度量对象按照信任链顺序进行重启;
逐项度量重启后的度量对象的特征值,并对所述特征值与预存的可信基准特征值进行匹配;
依据匹配结果执行对应操作;
其中,依据匹配结果执行对应操作包括:在所述特征值包括哈希值的情况下,若所述哈希值与预先存储的可信基准哈希值不相同,则校验失败,阻塞启动,进入特权强制模式;若所述哈希值与预先存储的可信基准哈希值相同,则对所述度量对象进行监控,并执行系统重启监控操作;
其中,对所述度量对象进行监控包括:将当前度量对象的哈希值标记为第一数值;读取所述当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;判断所述第一数值是否等于所述第二数值;在判断结果为是的情况下,校验成功,并执行与所述当前度量对象相邻的度量对象的校验过程;在判断结果为否的情况下,校验失败,触发系统告警,其中,所述系统告警包括:通知系统管理员是否主动更新了度量对象。
2.根据权利要求1所述的方法,其中,在将配置后的度量对象按照信任链顺序进行重启之前,所述方法还包括:
在所述特征值包括哈希值的情况下,在安全芯片中配置启动过程中的度量对象;其中,配置所述度量对象的可信基准哈希值,并将所述可信基准哈希值存至所述安全芯片的存储空间中;所述存储空间包括:非易失性存储空间。
3.根据权利要求1所述的方法,其中,逐项度量重启后的度量对象的特征值,并对所述特征值与预存的可信基准特征值进行匹配包括:
在所述特征值包括哈希值的情况下,逐项度量重启后的度量对象的哈希值,并对所述哈希值与预存的可信基准哈希值进行匹配。
4.根据权利要求1所述的方法,其中,触发系统告警之后,所述方法还包括:
接收所述系统告警的反馈信息;
在所述反馈信息指示所述度量对象更新为所述系统管理员操作的情况下,更新所述度量对象的可信基准哈希值,并将更新后的所述可信基准哈希值存至所述安全芯片的存储空间中,并执行与所述当前度量对象相邻的度量对象的校验过程;
在所述反馈信息指示所述度量对象更新非所述系统管理员操作的情况下,确定发生恶意攻击,转入入侵检测操作,并恢复原始未更改的度量对象。
5.根据权利要求1所述的方法,其中,执行系统重启监控操作包括:
当进入系统调用层,调用重启系统调用接口时,启动系统重启监控;
将当前度量对象的哈希值标记为第一数值;
读取所述当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;
判断所述第一数值是否等于所述第二数值;
在判断结果为是的情况下,校验成功,并执行与所述当前度量对象相邻的度量对象的校验过程;
在判断结果为否的情况下,校验失败,触发系统告警,其中,所述系统告警包括:通知系统管理员是否主动更新了度量对象。
6.根据权利要求5所述的方法,其中,触发系统告警之后,所述方法还包括:
接收所述系统告警的反馈信息;
在所述反馈信息指示所述度量对象更新非所述系统管理员操作的情况下,终止重启流程,转入入侵检测操作;
在所述反馈信息指示所述度量对象更新为所述系统管理员操作的情况下,返回所述重启系统调用接口,继续执行重启。
7.一种数据处理装置,包括:
重启模块,用于将配置后的度量对象按照信任链顺序进行重启;
校验模块,用于逐项度量重启后的度量对象的特征值,并对所述特征值与预先存储的可信基准特征值进行匹配;
管理模块,用于依据匹配结果执行对应操作;
其中,所述管理模块包括:特权强制单元,用于在所述特征值包括哈希值的情况下,若所述哈希值与预先存储的可信基准哈希值不相同,则校验失败,阻塞启动,进入特权强制模式;监控单元,用于若所述哈希值与预先存储的可信基准哈希值相同,则对所述度量对象进行监控,并执行系统重启监控操作;
其中,所述监控单元包括:标记子单元,用于将当前度量对象的哈希值标记为第一数值;读取子单元,用于读取所述当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;判断子单元,用于判断所述第一数值是否等于所述第二数值;校验子单元,用于在判断结果为是的情况下,校验成功,并执行与所述当前度量对象相邻的度量对象的校验过程;告警子单元,用于在判断结果为否的情况下,校验失败,触发系统告警,其中,所述系统告警包括:通知系统管理员是否主动更新了度量对象。
8.根据权利要求7所述的装置,其中,所述管理模块包括:
第一管理单元,用于在所述特征值包括哈希值的情况下,若所述哈希值与预先存储的可信基准哈希值不相同,则校验失败,阻塞启动,进入特权强制模式;
第二管理单元,用于若所述哈希值与预先存储的可信基准哈希值相同,则对所述度量对象进行监控,并执行系统重启监控操作。
9.一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行:权利要求1所述的数据处理方法。
CN201910092945.3A 2019-01-30 2019-01-30 数据处理方法和装置 Active CN111506897B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201910092945.3A CN111506897B (zh) 2019-01-30 2019-01-30 数据处理方法和装置
US16/776,328 US20200244461A1 (en) 2019-01-30 2020-01-29 Data Processing Method and Apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910092945.3A CN111506897B (zh) 2019-01-30 2019-01-30 数据处理方法和装置

Publications (2)

Publication Number Publication Date
CN111506897A CN111506897A (zh) 2020-08-07
CN111506897B true CN111506897B (zh) 2023-05-02

Family

ID=71732837

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910092945.3A Active CN111506897B (zh) 2019-01-30 2019-01-30 数据处理方法和装置

Country Status (2)

Country Link
US (1) US20200244461A1 (zh)
CN (1) CN111506897B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113190853A (zh) * 2021-03-24 2021-07-30 中国电力科学研究院有限公司 一种计算机可信认证系统、方法、设备及可读存储介质
CN114238206A (zh) * 2021-11-29 2022-03-25 南京南瑞信息通信科技有限公司 一种物联片上系统及其工作方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017133559A1 (zh) * 2016-02-05 2017-08-10 中兴通讯股份有限公司 安全启动方法及装置
CN107346393A (zh) * 2017-06-30 2017-11-14 浪潮(北京)电子信息产业有限公司 一种基于tcm的系统启动方法及系统
CN107480535A (zh) * 2017-08-18 2017-12-15 郑州云海信息技术有限公司 一种两路服务器的可信硬件层设计方法及装置
CN109117643A (zh) * 2018-09-05 2019-01-01 郑州云海信息技术有限公司 系统处理的方法以及相关设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716494B2 (en) * 2004-07-15 2010-05-11 Sony Corporation Establishing a trusted platform in a digital processing system
US20080126779A1 (en) * 2006-09-19 2008-05-29 Ned Smith Methods and apparatus to perform secure boot

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017133559A1 (zh) * 2016-02-05 2017-08-10 中兴通讯股份有限公司 安全启动方法及装置
CN107346393A (zh) * 2017-06-30 2017-11-14 浪潮(北京)电子信息产业有限公司 一种基于tcm的系统启动方法及系统
CN107480535A (zh) * 2017-08-18 2017-12-15 郑州云海信息技术有限公司 一种两路服务器的可信硬件层设计方法及装置
CN109117643A (zh) * 2018-09-05 2019-01-01 郑州云海信息技术有限公司 系统处理的方法以及相关设备

Also Published As

Publication number Publication date
CN111506897A (zh) 2020-08-07
US20200244461A1 (en) 2020-07-30

Similar Documents

Publication Publication Date Title
CN113168474B (zh) 固件的安全验证
JP5767751B2 (ja) Biosを検証する方法、コンピューティングプラットフォーム、およびプログラム
US8161285B2 (en) Protocol-Independent remote attestation and sealing
US8028172B2 (en) Systems and methods for updating a secure boot process on a computer with a hardware security module
TWI539324B (zh) 驗證控制器碼及系統啓動碼之技術
US7921286B2 (en) Computer initialization for secure kernel
EP2693789B1 (en) Mobile terminal encryption method, hardware encryption device and mobile terminal
EP3575999A1 (en) Secure booting a computing device
US20080168275A1 (en) Securely Recovering a Computing Device
US20080165971A1 (en) Trusting an Unverified Code Image in a Computing Device
US9588776B2 (en) Processing device
US7506380B2 (en) Systems and methods for boot recovery in a secure boot process on a computer with a hardware security module
CN111158767B (zh) 基于bmc的服务器安全启动方法及装置
CN110245495B (zh) Bios校验方法、配置方法、设备及系统
US9928367B2 (en) Runtime verification
US11347858B2 (en) System and method to inhibit firmware downgrade
CN111506897B (zh) 数据处理方法和装置
CN117494232B (zh) 固件的执行方法和装置、系统、存储介质及电子设备
WO2015131607A1 (zh) 可信环境创建方法和装置及基站异常恢复方法和装置
CN113641463A (zh) 虚拟化系统可信认证方法、系统及计算机可读存储介质
US12056262B2 (en) Applying trusted backup configuration to a node
CN111858114B (zh) 设备启动异常处理,设备启动控制方法、装置及系统
CN115906046A (zh) 可信计算系统及基于可信计算系统的度量方法
US12253908B1 (en) Systems and methods for dynamic self-correcting secure computer systems
CN119783115A (zh) 安全启动方法和装置、存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant