專利名稱:一種信任鏈動態(tài)重構(gòu)的方法
技術(shù)領域:
本發(fā)明涉及一種計算機信息安全技術(shù)領域���,通過度量事件日志所記錄的原PCR 值�����,度量值�����,新PCR值等信息��,由操作系統(tǒng)擴展度量模塊EMM重構(gòu)信任鏈的方法���。
背景技術(shù):
可信計算是指在計算設備硬件平臺引入安全芯片架構(gòu),通過其提供的安全特性來 提高系統(tǒng)的安全性���,從而在根本上實現(xiàn)了對各種不安全因素的主動防御�。其核心就是在用 戶與計算機、網(wǎng)絡平臺間建立一種信任機制��?���?尚庞嬎憧蓮膸讉€方面來理解(1)用戶的身 份認證,這是對使用者的信任�����;(2)平臺軟硬件配置的正確性����,這體現(xiàn)了使用者對平臺運行 環(huán)境的信任;(3)應用程序的完整性和合法性���,體現(xiàn)了應用程序運行的可信����;(4)平臺之間 的可驗證性�,指網(wǎng)絡環(huán)境下平臺之間的相互信任。 信任鏈的傳遞是體現(xiàn)可信的重要手段����,它是可信計算平臺的核心機制����。信任鏈的 傳遞可以分為兩個主要階段(l)從平臺的加電開始到操作系統(tǒng)裝載完畢���;(2)從操作系統(tǒng) 開始運行以及應用系統(tǒng)的運行。第(1)階段信任鏈是單向的�����,而進入多任務環(huán)境下����,應用的 運行是隨機的,信任鏈也成為發(fā)散的樹形�����。 信任根和信任鏈是可信計算的最主要的關(guān)鍵技術(shù)之一�����。信任根是系統(tǒng)可信的基 點����。TCG認為一個可信計算平臺必須包含三個信任根可信度量根RTM��、可信存儲根RTS和 可信報告根RTR�����。而信任根的可信性由物理安全和管理安全確保���。RTM被用來完成完整性 度量,通常使用核心度量可信根CRTM所控制的計算引擎�。CRTM是平臺執(zhí)行RTM時的執(zhí)行代 碼, 一般存在BIOS中��。RTM同時也是信任傳遞的原點��。RTS是維護完整性摘要的值和摘要 序列的引擎���,一般由對存儲加密的引擎和加密密鑰組成��。RTR是一個計算引擎�����,能夠可靠的 報告RTS持有的數(shù)據(jù)���,這個可靠性一般由簽名來保證�。這三個根都是可信��、功能正確而且不 需要外界維護的��。這些可信根存在于TPM和BIOS中����,可以由專家的評估來確定是否符合可 信的標準。 一般地���,在平臺建立之后,我們認為TPM和BIOS是絕對可信的����。
信任鏈把信任關(guān)系從信任根擴展到整個計算機系統(tǒng)。在TCG的可信PC技術(shù)規(guī)范 中�����,具體給出了可信PC中的信任鏈���。這個信任鏈以BIOS Boot Block和TPM芯片為信任 根�����,經(jīng)過BIOS — OS loader — 0S�。沿著這個信任鏈, 一級度量認證一級��, 一級信任一級��,以 確保整個平臺系統(tǒng)資源的完整性��。 無論是國外還是國內(nèi)�,在可信計算領域都處于技術(shù)超前于理論,理論滯后于技術(shù) 的狀況���??尚庞嬎愕睦碚撗芯柯浜笥诩夹g(shù)開發(fā)�。至今,尚沒有公認的可信計算理論模型����。可 信度量是可信計算的基礎�����,但是目前尚缺少軟件的動態(tài)可信性的度量理論與方法。信任鏈 技術(shù)是可信計算平臺的一項關(guān)鍵技術(shù)�,然而信任鏈的理論,特別是信任在傳遞過程中的損 失度量尚需要深入研究��,把信任鏈建立在堅實的理論基礎之上�����。 對于像服務器這樣的長時間不間斷運行的環(huán)境中���,由于服務器支持熱插拔技術(shù)��, 硬件設備的熱插拔往往會造成靜態(tài)信任鏈不能正確反映出當前的系統(tǒng)環(huán)境可信狀態(tài)��,因此 需要對服務器環(huán)境中的信任鏈進行維護或重構(gòu),以及時反映當前系統(tǒng)環(huán)境的可信狀態(tài)����。而可信計算組織TCG的可信服務器規(guī)范中也僅僅提及平臺生產(chǎn)商應提供某種機制以通知引 導后環(huán)境熱插拔這種異步事件的發(fā)生,這些事件的度量由引導后環(huán)境來完成���,并且引導后 環(huán)境不應改變這些事件的引導前度量���。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種信任鏈動態(tài)重構(gòu)的方法����。 本發(fā)明的目的是按以下方式實現(xiàn)的在遵循《可信計算密碼支撐平臺功能與接口 規(guī)范》的可信計算環(huán)境中�,操作系統(tǒng)是通過度量事件日志記錄的原PCR值,度量值���,新PCR值 等信息�����,當操作系統(tǒng)擴展度量模塊EMM對添加部件或刪除部件���、特定模塊的卸載或加載新 的模塊、操作系統(tǒng)產(chǎn)生異步事件����,或由操作系統(tǒng)擴展度量模塊EMM度量添加部件或模塊會 引起的信任鏈變化,為了確保計算機能維護一條完整的信任鏈��,以實時反映計算機的當前 可信狀態(tài)��,避免由于信任鏈變化而造成的信任鏈斷鏈和損壞��,就需要對信任鏈進行重構(gòu)����;具 體步驟如下 1)在添加新的部件時�����,信任鏈的重構(gòu)過程為 a.操作系統(tǒng)擴展度量模塊E匪度量新部件��,得到新部件的完整性度量值�。E匪把 新部件的完整性度量值擴展到新部件相對應的PCR中�����,并記入度量事件日志到ACPI表中���;
b. E匪根據(jù)系統(tǒng)啟動順序?qū)⑿湃捂湉纳弦徊考由斓叫虏考?
c. E匪度量后一部件���,得到該部件的完整性度量值。E匪從所保存的度量事件日志 中獲取該部件的原PCR值����,與該部件的完整性度量值一同擴展到該部件相對應的PCR中��,并 記入度量事件日志到ACPI表中��; d. E匪根據(jù)系統(tǒng)啟動順序?qū)⑿湃捂湉男虏考由斓胶笠徊考瑯?gòu)造完成新的信任 鏈�; 2)在多個部件對應于一個PCR情況時,若刪除部件后��,信任鏈的重構(gòu)過程為
a.操作系統(tǒng)擴展度量模塊E匪從所保存的度量事件日志中獲得刪除部件前一部 件的新的PCR值���,作為刪除部件后一部件的原PCR值�;
b.E匪重新度量后一部件����,得到后一部件的完整性度量值; c.E匪將獲得的前一部件的新的PCR值和后一部件的完整性度量值擴展到PCR中����, 并記入度量事件日志到ACPI表中; d. E匪將信任鏈從前一部件延伸到后一部件����,構(gòu)造完成新的信任鏈。
本發(fā)明的優(yōu)異效果是 通過度量事件日志所記錄的原PCR值�,度量值,新PCR值等信息���,由操作系統(tǒng)擴展 度量模塊E匪對由于添加部件或刪除部件�、特定模塊的卸載或加載新的模塊而引起的信任 鏈變化重構(gòu)信任鏈,使得計算機能維護一條完整的信任鏈��,以實時反映計算機的當前可信 狀態(tài)�����,避免由于信任鏈變化而造成的信任鏈斷鏈和損壞
圖1是添加部件時信任鏈動態(tài)重構(gòu)的原理圖��;
圖2是刪除部件時信任鏈動態(tài)重構(gòu)的原理圖�。
具體實施例方式以下通過具體的實施例和附圖對本發(fā)明做詳細的說明。 在遵循《可信計算密碼支撐平臺功能與接口規(guī)范》的可信計算環(huán)境中�,由于服務器 需要長時間的不間斷運行,服務器依靠熱插拔技術(shù)替換故障部件或擴容升級�、特定模塊的 卸載或加載新的模塊等。這些都會導致靜態(tài)信任鏈中的某個環(huán)境發(fā)生變化����,從而造成信任 鏈的斷鏈現(xiàn)象。因此�,在服務器可信環(huán)境中,一旦信任鏈的某個環(huán)節(jié)發(fā)生了變化��,就要從該 環(huán)節(jié)開始��,由操作系統(tǒng)的擴展度量模塊(E匪)重新構(gòu)造信任鏈���,重構(gòu)包括以下過程
1)在添加新的部件j時����,信任鏈的重構(gòu)過程為 a.操作系統(tǒng)擴展度量模塊E匪度量部件j�����,得到部件j的完整性度量值�����,E匪把部 件j的完整性度量值擴展到部件j相對應的PCR[j]中�����,并記入度量事件日志到ACPI表中���;
b. E匪根據(jù)操作系統(tǒng)啟動順序?qū)⑿湃捂湉牟考延伸到部件j ;
c. E匪度量部件k�,得到部件k的完整性度量值����,E匪從所保存的度量事件日志中 獲取部件k的原PCR值���,與部件k的完整性度量值一同擴展到部件k相對應的PCR[k]中, 并記入度量事件日志到ACPI表中�; d. E匪根據(jù)操作系統(tǒng)啟動順序?qū)⑿湃捂湉牟考延伸到部件k,構(gòu)造完成新的信任 鏈�; 2)部件刪除時只考慮多個部件對應于一個PCR的情況,在刪除部件j時�,信任鏈的 構(gòu)造過程為 a.操作系統(tǒng)擴展度量模塊E匪從所保存的度量事件日志中獲得部件i的新PCR 值,作為部件k的原PCR值���; b. E匪重新度量部件k���,得到部件k的完整性度量值; c. E匪將獲得的部件i的新PCR值和部件k的度量值擴展到PCR[m]中��,并記入度 量事件日志到ACPI表中�; d. E匪將信任鏈從部件i延伸到部件k,構(gòu)造完成新的信任鏈����。
權(quán)利要求
一種信任鏈動態(tài)重構(gòu)的方法,其特征在于�,在遵循《可信計算密碼支撐平臺功能與接口規(guī)范》的可信計算環(huán)境中,操作系統(tǒng)通過度量事件日志所記錄的原PCR值�����,度量值,新PCR值的信息�����,當操作系統(tǒng)擴展度量模塊EMM對由于添加部件或刪除部件�����、特定模塊的卸載或加載新的模塊或操作系統(tǒng)產(chǎn)生異步事件����,或由操作系統(tǒng)擴展度量模塊EMM度量添加的部件或模塊而引起的信任鏈變化���,則需要重構(gòu)信任鏈�����,以確保計算機能維護一條完整的信任鏈���,以實時反映計算機的當前可信狀態(tài),避免由于信任鏈變化而造成的信任鏈斷鏈和損壞��;重構(gòu)信任鏈具體步驟如下1)在添加新的部件時,信任鏈的重構(gòu)過程為a.操作系統(tǒng)擴展度量模塊EMM度量新部件�����,得到新部件的完整性度量值��。EMM把新部件的完整性度量值擴展到新部件相對應的PCR中����,并記入度量事件日志到ACPI表中;b.EMM根據(jù)系統(tǒng)啟動順序?qū)⑿湃捂湉纳弦徊考由斓叫虏考?;c.EMM度量后一部件,得到該部件的完整性度量值���。EMM從所保存的度量事件日志中獲取該部件的原PCR值�,與該部件的完整性度量值一同擴展到該部件相對應的PCR中���,并記入度量事件日志到ACPI表中�;d.EMM根據(jù)系統(tǒng)啟動順序?qū)⑿湃捂湉男虏考由斓胶笠徊考?,?gòu)造完成新的信任鏈;2)在多個部件對應于一個PCR情況時�,若刪除部件后,信任鏈的重構(gòu)過程為a.操作系統(tǒng)擴展度量模塊EMM從所保存的度量事件日志中獲得刪除部件前一部件的新的PCR值�,作為刪除部件后一部件的原PCR值���;b.EMM重新度量后一部件,得到后一部件的完整性度量值����;c.EMM將獲得的前一部件的新的PCR值和后一部件的完整性度量值擴展到PCR中,并記入度量事件日志到ACPI表中����;d.EMM將信任鏈從前一部件延伸到后一部件�����,構(gòu)造完成新的信任鏈�����。
全文摘要
一種信任鏈動態(tài)重構(gòu)的方法��,是在遵循《可信計算密碼支撐平臺功能與接口規(guī)范》的可信計算環(huán)境中����,操作系統(tǒng)通過度量事件日志所記錄的原PCR值,度量值�,新PCR值的信息��,當操作系統(tǒng)擴展度量模塊EMM對由于添加部件或刪除部件�����、特定模塊的卸載或加載新的模塊或操作系統(tǒng)產(chǎn)生異步事件�,或由操作系統(tǒng)擴展度量模塊EMM度量添加的部件或模塊而引起的信任鏈變化����,則需要重構(gòu)信任鏈,以確保計算機能維護一條完整的信任鏈����,以實時反映計算機的當前可信狀態(tài),避免由于信任鏈變化而造成的信任鏈斷鏈和損壞�。
文檔編號G06F21/00GK101727554SQ20091023061
公開日2010年6月9日 申請日期2009年11月23日 優(yōu)先權(quán)日2009年11月23日
發(fā)明者李清玉 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司