• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 11
    • 下载费用:30 金币  

    重庆时时彩开奖号码皇家彩世界: 加密??榧敖炭尚哦攘糠椒?pdf

    摘要
    申请专利号:

    重庆时时彩单双窍门 www.4mum.com.cn CN201510660372.1

    申请日:

    2015.10.13

    公开号:

    CN106570402A

    公开日:

    2017.04.19

    当前法律状态:

    实审

    有效性:

    审中

    法律详情: 实质审查的生效IPC(主分类):G06F 21/57申请日:20151013|||公开
    IPC分类号: G06F21/57(2013.01)I 主分类号: G06F21/57
    申请人: 深圳市中电智慧信息安全技术有限公司
    发明人: 陈德元; 高振铁
    地址: 518116 广东省深圳市龙岗区宝龙工业园宝清路8号龙岗双环新一代信息技术产业园C栋4楼
    优先权:
    专利代理机构: 代理人:
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201510660372.1

    授权公告号:

    |||

    法律状态公告日:

    2017.05.17|||2017.04.19

    法律状态类型:

    实质审查的生效|||公开

    摘要

    本发明涉及可信计算技术,特别是加密??榧敖炭尚哦攘糠椒?。本装置主要由以下部分组成:接口、算法???、协议校验???、进程校验???、存储???。??橹饕沧霸谒拗骰闹斩酥靼迳?,如PC端或移动端,主要对宿主系统的应用进程进行可信度量,通过对进程的用户度量值、进程镜像度量值、进程特征度量值的校验比对,监测应用进程的完整性。进程度量值的校验比结果,将作为宿主机判断进程是否被加载和运行的依据,病毒进程和被病毒感染的进程由于不能通过可信度量,将不会被加载,运行中被感染的进程也会被停止,从而避免了病毒的传播和发作。

    权利要求书

    1.一种加密??樽爸?,其特征在于,所述装置包括用于和宿主机进行协议通信的低速接口???,与所述低速接口连接的协议校验???,与所述协议校验??橄嗔拥乃惴??,与所述算法??榱拥拇娲⒛??,与所述存储??榱拥慕绦Q槟??,与所述进程校验??榱拥母咚俳涌谀??。2.根据权利要求1所述的加密??樽爸?,其特征在于,所述协议校验???,主要用于宿主系统的通信,以及协助进程校验??槎越潭攘渴钡奈帐?,其和宿主机的通信是双向的。3.根据权利要求1所述的加密??樽爸?,其特征在于,所述协议校验???,还要负责度量值的比对校验和存储。4.根据权利要求1所述的加密??樽爸?,其特征在于,所述算法???,主要配合协议校验??楹徒绦Q槟?榻芯咛宓募用?、解密、杂凑运算。5.根据权利要求1所述的加密??樽爸?,其特征在于,所述存储???,用于存放用户度量值、进程镜像度量值、进程特征度量值。6.根据权利要求1所述的加密??樽爸?,其特征在于,所述进程校验???,主要用于宿主机的应用进程的可信度量,??楹退拗骰耐ㄐ攀堑ハ虻?,只接收来至于宿主机的数据,并不返回数据,也不发送数据,该??橹饕邮盏降慕淌菰怂愕贸鲇没Ф攘恐?、进程的镜像度量值和进程的特征度量值。7.根据权利要求1所述的加密??樽爸?,其特征在于,所述高速接口???,用于接收宿主系统发送的数据。8.根据权利要求1所述的加密??樽爸?,其特征在于,是采用双通道进行可信度量的装置及方法,进程度量无需宿主机完成,降低了宿主机的处理负荷。9.一种基于权利要求1至7任一项所述的加密??樽爸玫慕炭尚哦攘糠椒?,其特征在于,在步骤S301中,所述协议校验??橥ü退俳涌诖铀拗飨低郴袢∮没骱兔苈?,并调用算法??榻性哟赵怂?,得到用户度量值;在步骤S302中,所述进程校验??橥ü咚俳涌诖铀拗飨低郴袢〗叹迪?,并把整个进程镜像进行杂凑运算,得出镜像度量值,并发送给协议校验???;在步骤S303中,所述进程校验??樵诙越叹迪裨哟蘸?,开始提取进程的特征值,把提取到的特征值放到一个顺序块中,对该特征值块进行杂凑运算,得出特征度量值,并把特征度量值发送给协议校验???。

    说明书

    加密??榧敖炭尚哦攘糠椒?/invention-title>

    技术领域

    本发明专利涉及一种可信计算领域,具体地说,本发明涉及一种加密??榧敖炭尚哦攘糠椒?。

    背景技术

    可信计算组织TCG提出计算机可信启动的过程和可信性度量的方法,其基本思想是:首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,从而把这种信任扩展到整个计算机系统。

    在信任链的实际建立与传播中,可信根首先度量硬件引导系统BIOS的完整性,保存度量结果,然后再把控制权传给BIOS;BIOS执行初始化操作,度量主引导记录MBR的完整性,保存度量结果,装入MBR,在把控制权传给MBR;MBR度量操作系统装载器 LOADER的完整性,保存度量结果,装入LOADER,再把控制权传给LOADER;LOADER度量操作系统的完整性,保存度量结果,装入操作系统,再把控制权传给操作系统;操作系统度量应用软件的完整性,保存度量结果,装入应用软件,再把控制权传给应用软件;最后,应用软件进入运行。这个过程中的完整性度量结果可以由硬件可信根保存。

    可信计算早期起源于用硬件机制来?;と砑?,目前以可信根为标识的硬件主要由TPM和TCM,TPM标准由国外IT公司组成的可信计算组织制定,而TCM是按照我国密码算法自主研制的可信计算标准产品,称之为可信密码???。无论TCM还是TPM,都是通过对身份的加密和解密来保证可信可靠,从本质上看,两者都是加密???。

    对于BIOS、MBR、系统装载器、操作系统的可信度量,由于这几部分变化不大,一般采用计算??檎岛捅冉险档牟钜?,即可达到完整性度量?;さ淖饔?。

    但对于应用进程的可信度量却是终端可信度量的难点之一。在现代操作系统中,进程有动态性、并发性、独立性和异步性等特点,尤其是众多网络服务要求具有长期的稳定性和可靠性,作为服务的后台,进程的可信执行是保证计算环境可信的主要环节。它一旦被系统加载就充满了不确定性,如何准确描述进程的运行轨迹和过程成为了可信计算中的一个难题。

    传统的信任度量和扩展的方法是:一个计算环境从一个唯一的信任根启动,从BIOS、MBR、系统装载器、操作系统的依次进行可信度量,直到系统创建所有进程的父进程,然后父进程根据具体的系统配置加载各种子进程,所有进程在加载之前通过父进程对子进程进行信任度量的方式,在计算环境范围内扩展信任链,直到系统进入正常的运行状态,并发地执行各个进程的指令。

    这种可信计算的维护方式存在着3个问题:

    第一,随着信任链的延长和信任关系的复杂化,传统的信任度量和扩展的方法会导致信任链的维护工作越来越复杂。

    以云计算和虚拟化为代表的现代计算环境正在变得越来越庞大和复杂,在如电子商务系统、电子政务系统、在线查询系统的大规模、高可靠性的计算环境中,一个服务器可以同时有数千个??椴⒎⒅葱?,另外,为了修补漏洞和增加功能,程序会进行频繁的修改、升级和更新。

    系统为了保证程序的可信,系统会频繁的更新信任根和信任链,不仅影响了系统的处理效率,而且也增加了信任扩展过程中的不确定性。

    第二、度量过程非常耗时,成为可信计算广泛应用的一个技术瓶颈。

    可信度量由宿主系统承担,会占用大量的CPU时间,这就要用户等待,造成用户使用体验非常不好。

    如果把进程的可信度量交给传统的可信???,由于可信??槿鏣PM是通过串口和主机相连的,串口的通信速度和吞吐率是一个瓶颈。比如:以一个10MB的进程来计算,采用1Mbps的UART来传输大概需要40分钟,从使用角度看,这样的方式是难于接受的。

    第三,单纯地对软件文件进行静态度量,无法解决软件升级所带来的信任链破坏。

    软件是否可信,取决于软件的静态度量值的比较。但是,软件不可避免地要升级和更新,而这势必造成软件的信任链被破坏,只能提供装载时的保证,不能提供运行时保证。

    发明内容

    本发明实施例的目的在于提供一种实现针对宿主机的应用进程进行可信度量的加密??樽爸?。

    本发明实施例是这样实现的,一种加密??樽爸?,所述装置包括用于和宿主机进行协议通信的低速接口???,与所述低速接口??榱拥男樾Q槟??,与所述协议校验??橄嗔拥乃惴??,与所述算法??榱拥拇娲⒛??,与所述存储??榱拥慕绦Q槟??,与所述进程校验??榱拥母咚俳涌谀??。

    所述协议校验???,主要用于宿主机的操作系统(以下简称宿主系统)的通信,以及协助进程校验??槎越潭攘渴钡奈帐?,和宿主机的通信是双向的,另外,还要负责度量值的校验比对和存储。

    所述算法???,主要配合协议校验??楹徒绦Q槟?榻芯咛宓募用?、解密、杂凑运算。

    所述存储???,用于存放用户度量值、进程镜像度量值、进程特征度量值。

    所述进程校验???,主要用于宿主机的应用进程的可信度量,该??楹退拗骰耐ㄐ攀堑ハ虻?,只接收来至于宿主机的数据,并不返回数据,也不发送数据,该??橹饕邮盏降氖菰怂愕贸鲇没Ф攘恐?、进程的镜像度量值和进程的特征度量值。

    所述高速接口???,用于接收宿主系统发送的数据。

    本发明实施例的另一目的在于提供一种基于上述加密??樽爸玫慕炭尚哦攘亢图嗖夥椒?,所述方法包括以下步骤。

    所述协议校验??橥ü退俳涌诖铀拗飨低郴袢∮没兔苈?,并调用算法??榻性哟赵怂?,得到用户度量值,将该度量值和已保存到用户存储区的用户度量值比较,并把比较结果发送给宿主系统。

    所述进程校验??橥ü咚俳涌诖铀拗飨低郴袢〗叹迪?,并把整个进程镜像进行杂凑运算,得出镜像度量值,并发送给协议校验???,请求后者将该度量值和已保存到存储??榈木迪穸攘恐当冉?,并把比较结果发送给宿主系统。

    所述进程校验??樵诙越叹迪裨哟蘸?,开始提取进程的特征值,把提取到的特征值放到一个顺序块中,对该特征值块进行杂凑运算,得出特征度量值,并把特征度量值发送给协议校验???,请求后者将该度量值和已保存到存储??榈奶卣鞫攘恐当冉?,并把比较结果发送给宿主系统。

    所述协议校验??樵诎驯冉辖峁⑺透拗飨低澈?,宿主系统会根据该结果判定是启动还是停止该进程。进程的校验是实时的,即每当宿主系统加载、启动、轮询进程时,都会请求本装置对进程进行可信度量,度量结果通过低速接口发送给宿主系统,如果不合格,宿主系统将会立即停止该进程。

    因此,通过本发明装置的使用,没有授权的进程不会运行,病毒进程不会运行,受到感染的进程不会运行,所以进程的可信度量保证了软件运行时的完整性。

    软件运行前,是以可执行文件的形式存在的,软件运行后,是以进程的形态存在的。软件运行前进行的完整性检验,只能保证软件运行前的完整性。软件从初始状态开始运行后,主要对进程的行为结构进行监控,如果进程的行为结构发生了变化,在没有授权的情况下,可以认为软件或进程受到了病毒的破坏,进程将被终止,因此进程的可信度量保证了软件运行时的完整性。

    附图说明

    下面结合附图和具体的实施例对本发明做进一步详细的说明。

    图1是本发明实施例提供的加密??榈慕峁雇?。

    图2是本发明实施例提供的加密??橛τ玫耐仄送?。

    图3是本发明实施例提供的进程可信度量方法的流程图。

    图4是本发明实施例提供的进程可信度量方法的存储结构图。

    具体实施方式

    为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。

    图1示出了本发明实施例提供的加密??榈慕峁雇?。

    在其中一个实例中,??橹饕沧霸谒拗骰闹斩酥靼迳?,如PC端或移动端,主要对应用进程进行可信度量,通过对进程的用户度量值、进程镜像度量值、进程特征度量值的校验比对,监测应用进程的完整性。通过可信度量的进程会被加载和运行,病毒进程和被病毒感染的进程由于不能通过可信度量,将不会被加载,运行中被感染的进程也会被停止,从而避免了病毒的传播和发作。

    在其中一个实例中,低速接口可能采用了I2C、SPI、UART。

    在其中一个实例中,高速接口可能采用了:USB、PCIE。

    在其中一个实例中,算法??橛玫搅薙M1、SM2、SM3、SM4和真随机数发送器等,其中SM1、SM2、SM3、SM4算法均按照国家密码算法标准实现的。

    图2示出了本发明实施例提供的加密??橛τ玫耐仄送?。

    在其中一个实例中,本装置作为独立的外部设备,通过和宿主机的预留外设接口连接来发挥本装置的功用。

    在其中一个实例中,宿主系统是Linux 系统,Linux系统首先创建所有进程的父进程,然后父进程根据具体的系统配置加载各种子进程,所有进程在加载之前,通过父进程对子进程进行可信度量。

    这个父进程起到宿主系统和本装置交互通信的作用。

    Linux进程在内存中主要占用了以下几个部分,分别是代码段、数据段、BSS段等参数。其中,代码段、数据段、BSS段的内容是可执行文件中对应的内容,加载程序并不是把它们的内容从可执行程序中填充到内存中,而是将它们的信息(基地址、长度等)更新到进程控制块中,然后通过缺页中断,请求操作系统再将实际的内容从可执行文件中复制内容到物理内存中。

    在具体实施过程中,用户程序在安装时,要进行进程可信度量的初始化。系统会将用户的名称和密码发送给协议校验???,后者对其运算得到用户度量值。协议校验??樵诖娲⑶⒁桓鲇没Т娲⒖?,用于存储用户度量值、镜像度量值、特征度量值、以及其它一些与用户相关的参数。系统也会将安装程序的镜像发送给进程校验???,后者对其运算,得到镜像度量值、特征度量值,并请求协议校验??榻浯娣旁谇懊嬉呀⒌挠没Т娲⒖槟?。

    在其中一个实例中,进程的特征值采用了系统调用、函数调用等二进制特征。

    在具体实施过程中,如果软件被升级了,宿主系统会弹出密码对话框,要求用户输入密码,并把用户名和用户输入的密码,首先进行加密,加密后的用户名和密码通过控制通道发送给协议校验???,后者将该用户和密码通过算法??榧右越饷?,被解密出来的用户名和密码又进行杂凑运算,并比较已保存在存储区的杂凑值,并把比较结果发送给宿主系统。宿主系统在比较结果通过的情况下,把升级的进程的起始地址和结束地址通过控制通道发送给协议校验???,把升级的进程镜像通过数据通道发给进程校验???,进程校验??橹匦陆薪叹迪裨哟赵怂愫吞卣髦堤崛?,并提交协议校验??橹匦麓娲?,并覆盖以前的进程区块。

    图3示出了本发明实施例提供的进程可信度量方法的流程图。

    宿主系统按照用户的次序,分别加载用户进程,进程加载到内存后,并不启动。

    宿主系统启动后,首先将用户的用户名和密码进行加密,然后通过控制通道发送给协议校验???。

    在步骤S301中,所述协议校验??橥ü退俳涌诖铀拗飨低郴袢∮没兔苈?,并调用算法??榻性哟赵怂?,得到用户度量值。

    将该度量值和已保存到用户存储区的用户度量值比较,并把比较结果发送给宿主系统。

    所述协议校验??樵诎驯冉辖峁⑺透拗飨低澈?,宿主系统会根据该结果判定是启动还是停止该进程。

    宿主系统在把进程内容复制完成后,并不立即启动进程,而是把进程的起始地址和结束地址,通过控制通道发送给协议校验???;把进程从起始地址到结束地址的镜像,通过数据通道发送给进程校验???。

    在步骤S302中,所述进程校验??橥ü咚俳涌诖铀拗飨低郴袢〗叹迪?,并把整个进程镜像进行杂凑运算,得出镜像度量值,并发送给协议校验???;

    所述协议校验??榻枚攘恐岛鸵驯4娴酱娲⒛?榈木迪穸攘恐当冉?,并把比较结果发送给宿主系统。

    所述协议校验??樵诎驯冉辖峁⑺透拗飨低澈?,宿主系统会根据该结果判定是启动还是停止该进程。

    在步骤S303中,所述进程校验??樵诙越叹迪裨哟蘸?,开始提取进程的特征值,把提取到的特征值放到一个顺序块中,对该特征值块进行杂凑运算,得出特征度量值,并把特征度量值发送给协议校验???。

    所述协议校验??榻枚攘恐岛鸵驯4娴酱娲⒛?榈奶卣鞫攘恐当冉?,并把比较结果发送给宿主系统。

    所述协议校验??樵诎驯冉辖峁⑺透拗飨低澈?,宿主系统会根据该结果判定是启动还是停止该进程。

    进程的特征值包括系统调用、函数调用等,进程特征值会有很多,不同进程的特征值的数量是不同的,具体的特征值也不相同。把这些不同的进程特征值按顺序排列在一个块中,对其进行杂凑运算,得出进程的特征度量值。

    以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的?;し段е?。

    关 键 词:
    加密 ???进程 可信 度量 方法
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:加密??榧敖炭尚哦攘糠椒?pdf
    链接地址://www.4mum.com.cn/p-6092830.html

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03