基於控制流模型多次度量的靜態遠程證明方法
2023-04-28 20:27:21
專利名稱:基於控制流模型多次度量的靜態遠程證明方法
技術領域:
本發明涉及計算機及電子信息技術領域,特別涉及一種基於控制流模型BPCF多次度量的靜態屬性遠程證明方法。
背景技術:
驗證計算環境安全可信是可信計算的一個重要目標。隨著技術發展,移動終端上的安全威脅也在不斷加大。研究表明,僅在Android平臺上,2011年每月就有80萬人感染惡意軟體。傳統的防病毒、入侵檢測等安全機制也都依賴底層作業系統的安全支持。可信計算技術通過對計算機從可信根到可信硬體,到可信作業系統,到可信應用的整個計算系統的整體安全增強,達到確保計算機安全可靠的目的。可信計算中的「可信」包含了安全和可靠,「可信證明」就是要確保系統「行為始終符合預期」。遠程證明(Remote Attestation)是可信計算技術提供的主要功能之一,其主要是利用可信平臺來保護和實現伺服器對客戶端計算環境的可信驗證。常見的基於二進位代碼完整性的遠程證明方法大多基於開機或啟動時的一次度量的結果進行遠程驗證,無法滿足移動終端很少關機的特點。控制流模型BPCF是一種基於用戶行為安全策略的,能夠對主、客體屬性、權能、環境、約束等動態條件進行綜合判定的,在某段任務執行期間實施連續控制、條件多變控制和行為關聯控制的新型訪問控制模型。研究基於控制流模型BPCF多次度量的靜態屬性遠程證明方法對於驗證移動終端計算環境安全可信具有重要意義。
發明內容
(一 )所要解決的技術問題本發明提供一種基於控制流模型多次度量的靜態屬性遠程證明方法,解決了現有技術只能進行一次度量進行遠程證明,移動終端可信性低的問題。( 二 )技術方案本發明提供一種基於控制流模型多次度量的靜態遠程證明方法,該方法包括S1、服務提供商根據用戶的安全需求,對任務運行期間的靜態屬性進行規則制定,生成策略證書;S2、移動終端獲取策略證書,並執行策略控制;所述策略控制為移動終端基於策略證書和控制流模型對終端作業系統進行訪問控制;S3、移動終端對任務運行中多個度量點的靜態屬性進行度量和遠程證明;所述度量點與控制流模型中的控制點一致。進一步,所述靜態屬性包括主體屬性、客體屬性和/或作業系統環境中的靜態屬性。進一步,所述多個度量點包括進程的啟動、加載、停止和休眠。進一步,該方法還包括當控制流中的約束條件發生變化時,所述移動終端對靜態屬性進行度量和遠程證明的步驟。
進一步,所述步驟S3具體包括S31 :移動終端系統控制點對策略證書中指定靜態屬性發起度量,提取特徵信息;S32 :應用代理Agent發起遠程證明,將特徵信息通過安全協議提交伺服器;S33 :伺服器的工具通過與正確特徵信息比對,驗證特徵信息。;進一步,所述步驟S31還包括系統的移動可信模塊使用算法對特徵信息進行加密、雜湊和籤名保護。進一步,所述控制流模型位於作業系統內核中。(三)有益效果本發明通過對主體屬性ATTs、客體屬性ATTo和環境CONe進行靜態屬性多次度量和遠程證明,解決了可信計算平臺中密碼服務部件的靜態屬性證明問題,使驗證能夠更加準確體現系統狀態始終符合用戶預期。
圖1為本發明方法的步驟流程圖;圖2為本發明系統控制流模型BPCF的控制示意圖;圖3為本發明具體實施例中控制流模型多次度量和遠程證明的流程示意圖。
具體實施例方式下面結合附圖和具體實施例對本發明做進一步詳細說明。本發明提供了一種基於控制流模型多次度量的靜態屬性遠程證明方法,如圖1所示,該方法的步驟具體包括S1、服務提供商根據用戶的安全需求,對任務運行期間的靜態屬性進行規則制定,生成策略證書;S2、移動終端獲取策略證書,並執行策略控制;所述策略控制為移動終端基於策略證書和控制流模型對終端作業系統進行訪問控制;S3、移動終端對進程運行中度量點的靜態屬性進行度量和遠程證明;所述度量點與控制流模型中的控制點一致。其中,所述的服務提供商生成策略證書,是指由服務提供商按照用戶的安全要求制訂安全策略,即明確任務運行期間,靜態屬性的規則要求,策略由可信模塊實施證書保護後生成策略證書。所述的靜態屬性主要為主、客體的靜態屬性要求和作業系統環境條件中靜態屬性的要求。所述屬性是指系統主體和/或客體在作業系統中的各種特徵描述,包括靜態屬性和動態屬性。其中,靜態屬性是指系統運行中不會變化的特徵,包括配置、腳本、代碼完整性、數據完整性等。狀態是指在系統運行中所發生的可預期的但不確定的系統特徵。例如通過增加文件「讀取次數」這個客體屬性,則能夠支持如「某影像文件只能播放10次」這種安全策略。例如通過增加進程主體的「代碼完整性」這個主體屬性,則能夠支持「只有滿足完整性要求的進程才能對特定安全文件進行訪問」的安全策略。所述環境條件是指作業系統在運行中的各種特徵,包括靜態屬性和動態屬性。其中,靜態屬性是指系統運行中不會變化的特徵,包括配置、腳本、代碼完整性、數據完整性等。這裡的環境其實就是作業系統作為主體時的屬性。例如將「啟動是否通過了對作業系統內核的完整性檢測」作為環境條件,其表示了作業系統的當前狀態,則能夠支持「只有可信啟動的系統才能進行高級業務操作」的策略。其中,所述的移動終端獲取策略證書為,服務提供商生成或更新策略證書後,移動終端獲取。其中,所述的移動終端執行策略控制,是在移動終端的內核中實現控制流模型BPCF,在應用層實現證明代理Agent,系統按照策略證書的策略進行訪問控制。控制流中每一次主、客體的訪問控制,都是系統對主體屬性、客體屬性和環境條件的綜合判定。在本方法中,策略控制主要是按照策略中對主體屬性ATTs、客體屬性ATTo和作業系統環境CONe中靜態屬性的要求進行訪問控制。這裡的控制是指是否允許訪問。只有按照策略要求,通過判定控制後,才能進行主體對客體的訪問。圖2為本發明實施例系統控制流模型BPCF的控制示意圖,體現了每一次主、客體的訪問控制,都是系統對主體屬性、客體屬性、環境條件、權能條件和約束條件的綜合判定。在實際的控制流程中,首先按照策略對主體屬性是否符合進行判斷,在通過判斷後,再按照權能、客體屬性、環境條件、約束條件這個順序進行判斷,最後形成綜合判定。其通過在引入時間軸,實現對控制流的連續控制。在實際的控制流程中,判定結果著主體屬性、客體屬性、環境條件、權能條件和約束條件的變化而變化,使最後控制符合用戶對系統行為的安全要求。控制流模型BPCF解決了傳統的訪問控制模型存在的「作業系統主體缺失」的問題,圖2體現現實系統中的「主體對作業系統,作業系統再對客體」的實際控制方式,並在權能中體現作業系統的服務能力。控制流模型BPCF還解決了傳統的訪問控制模型存在的「行為不連續和約束缺失」的問題,體現系統行為連續和相互約束的特點,並體現系統中各屬性和條件的動態變化。基於控制流模型BPCF實現的安全系統能夠支持更加豐富的用戶策略,對系統行為實施更加準確的策略控制,實現對上層安全機制的保護和控制。其中,訪問控制是為了確定進程能不能被訪問,行為是否符合預期;是否能被訪問,度量都需要進行,度量與訪問控制並沒有固定時間順序。在實際實現的系統中,考慮到實際度量的代價,可按照設定在某些控制點進行度量。所述移動終端對進程運行中度量點的靜態屬性進行度量和遠程證明,是移動終端系統針對特定運行進程,在控制流模型的多個控制點對相關的靜態屬性進行度量和遠程證明。這些度量點與安全策略中要求的控制點一致,實際,度量點可以包括進程啟動、加載、休眠和停止等。這裡,移動終端系統在度量時,主要針對控制流模型中的主體屬性ATTs、客體屬性ATTo和作業系統環境CONe中靜態屬性進行度量和遠程證明。包括對主體屬性ATTs中的靜態屬性進行度量,例如度量用戶角色、程序代碼完整性等;對客體屬性ATTo中的靜態屬性進行度量,例如度量文件數據完整性、組件授權證書信息、媒體文件授權信息等;對作業系統環境條件CONe中的靜態屬性進行度量,例如作業系統是否可信啟動等,即採集這些度量對象的狀態特徵信息。圖3為控制流模型多次度量和遠程證明的流程示意圖,體現了本方法在移動終端作業系統中的實現位置。在作業系統內核中實現控制流模型BPCF,實現基於安全策略的連續控制。在作業系統內核中實現移動可信模塊MTM,實現度量算法和保存度量結果的PCR寄存器。在應用層實現證明代理Agent,並通過代理髮起遠程證明。在伺服器上實現驗證工具。一次遠程證明的步驟包括步驟1:移動終端系統控制點對策略證書中指定靜態屬性發起度量,提取特徵信息;步驟2 :應用代理Agent發起遠程證明,將特徵信息通過安全協議提交伺服器;步驟3 :伺服器的工具通過與正確特徵信息比對,驗證特徵信息。所述步驟I還包括系統的移動可信模塊使用算法對特徵信息進行加密、雜湊和籤名保護。這樣可保證在遠程證明過程中不會洩漏系統的隱私信息。最終只有驗證通過,移動終端才能繼續執行任務。其中,所述當控制流中的約束條件發生變化時,所述移動終端對靜態屬性進行度量和遠程證明,是指移動終端系統在控制流模型的安全策略中指定的約束條件CONr發生時,對相關的靜態屬性進行度量和遠程證明。其中,這些約束關係包括觸發、依賴、限制、合併等;依賴關係例如只有在連接特定的安全VPN,且已經完成認證等操作後,才能進行特定文件的處理和發送操作。觸發例如一旦殺毒軟體發現有高危險的病毒、木馬出現,立即停止對關鍵文件的操作。對立某兩種動作不能同時進行,例如不能在QQ軟體開啟的情況下,進行某關鍵文件的操作處理。包含如果禁止文件寫功能,則同時也包含了所有類似寫的操作,例如網絡發送、列印等。限制A動作會對B的某些部分動作進行約束。本發明能由約束條件CONr調度,能對主體屬性ATTs、客體屬性ATTo和環境CONe進行靜態屬性多次度量和遠程證明,解決了可信計算平臺中密碼服務部件的靜態屬性證明問題,使驗證能夠更加準確體現系統狀態始終符合用戶預期。同時圖3體現了在控制流模型的多個控制點對相關的靜態屬性進行度量和遠程證明,這些度量點與安全策略中要求的控制點一致,實際度量點可以包括進程啟動、加載、休眠和停止等。通過靜態屬性的多次度量和遠程證明,也體現了對作業系統的一個組件特例即密碼服務部件的靜態屬性的度量和證明,其中度量內容包括驅動軟體完整性,軟體配置,密碼服務能力等。通過本發明實施例對計算環境的靜態屬性遠程證明,可以有效驗證計算環境中作業系統的可信性。以上所述僅是本發明的優選實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明技術原理的前提下,還可以做出若干改進和替換,這些改進和替換也應視為本發明的保護範圍。
權利要求
1.一種基於控制流模型的多次度量靜態遠程證明方法,其特徵在於,該方法包括 51、服務提供商根據用戶的安全需求,對任務運行期間的靜態屬性進行規則制定,生成策略證書; 52、移動終端獲取策略證書,並執行策略控制;所述策略控制為移動終端基於策略證書和控制流模型對終端作業系統進行訪問控制; 53、移動終端對任務運行中多個度量點的靜態屬性進行度量和遠程證明;所述度量點與控制流模型中的控制點一致。
2.如權利要求1所述方法,其特徵在於,所述靜態屬性包括主體屬性、客體屬性和/或作業系統環境中的靜態屬性。
3.如權利要求1所述方法,其特徵在於,所述度量點包括進程的啟動、加載、停止和休眠。
4.如權利要求1所述方法,其特徵在於,該方法還包括當控制流中的約束條件發生變化時,所述移動終端對任務運行中多個度量點的靜態屬性進行度量和遠程證明的步驟。
5.如權利要求1所述方法,其特徵在於,所述步驟S3具體包括531:移動終端系統的多個控制點對策略證書中指定靜態屬性發起度量,提取特徵信息; 532:應用代理髮起遠程證明,將特徵信息通過安全協議提交伺服器; 533:伺服器的工具通過與正確特徵信息比對,驗證特徵信息。
6.如權利要求5所述方法,其特徵在於,所述步驟S31還包括移動終端系統的移動可信模塊使用算法對特徵信息進行加密、雜湊和籤名保護。
7.如權利要求1所示,其特徵在於,所述控制流模型位於移動終端作業系統內核中。
全文摘要
本發明提供一種基於控制流模型多次度量的靜態遠程證明方法,其該方法包括S1、服務提供商根據用戶的安全需求,對任務運行期間的靜態屬性進行規則制定,生成策略證書;S2、移動終端獲取策略證書,並執行策略控制;所述策略控制為移動終端基於策略證書和控制流模型對終端作業系統進行訪問控制;S3、移動終端對任務運行中多個度量點的靜態屬性進行度量和遠程證明。通過本發明進行靜態屬性多次度量和遠程證明,解決了可信計算平臺中密碼服務部件的靜態屬性證明問題,使驗證能夠更加準確體現系統狀態始終符合用戶預期。
文檔編號G06F21/57GK103020533SQ201210587209
公開日2013年4月3日 申請日期2012年12月28日 優先權日2012年12月5日
發明者胡事民, 江凌波, 白楊, 馬超 申請人:清華大學