CN114020329A - 一种动态度量方法、装置及动态度量系统 - Google Patents

一种动态度量方法、装置及动态度量系统 Download PDF

Info

Publication number
CN114020329A
CN114020329A CN202111294772.7A CN202111294772A CN114020329A CN 114020329 A CN114020329 A CN 114020329A CN 202111294772 A CN202111294772 A CN 202111294772A CN 114020329 A CN114020329 A CN 114020329A
Authority
CN
China
Prior art keywords
measurement
control
metric
processor
result
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111294772.7A
Other languages
English (en)
Inventor
牛永文
应志伟
陈善
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Haiguang Information Technology Co Ltd
Original Assignee
Haiguang Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Haiguang Information Technology Co Ltd filed Critical Haiguang Information Technology Co Ltd
Priority to CN202111294772.7A priority Critical patent/CN114020329A/zh
Publication of CN114020329A publication Critical patent/CN114020329A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30094Condition code generation, e.g. Carry, Zero flag
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30076Arrangements for executing specific machine instructions to perform miscellaneous control operations, e.g. NOP

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请的实施例公开了一种动态度量方法、装置及度量系统,涉及可信计算技术领域,为能够提高系统的安全性而发明。所述方法,基于度量主机的第一处理器,包括:接收度量主机的第二处理器转发的度量控制指令;其中,所述度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至所述第二处理器;对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,其中,所述第二处理器无权获知所述第一解密密钥以及所述第一验签密钥;响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果。本申请适用于动态度量。

Description

一种动态度量方法、装置及动态度量系统
技术领域
本申请涉及可信计算技术领域,尤其涉及一种动态度量方法、装置及度量系统。
背景技术
度量是可信计算中广泛使用的一项关键技术,度量通过某种方法提取出目标程序或数据的特征值,该特征值具有唯一性,通过该特征值就可以判定目标或数据是否被篡改。当前度量主要有静态度量与动态度量两种形式,其中,动态度量表示在度量目标运行时依然可以进行持续度量,可以实时监控目标的状态。
现有技术中,需对度量主机进行动态度量时,度量主机控制动态度量如度量任务的创建、启动等等,即度量主机具有动态度量的控制权,然而,当攻击者攻击度量主机时,攻击者可以较为容易地获取对动态度量的控制权,导致系统的安全性较低。
发明内容
有鉴于此,本申请实施例提供一种动态度量方法、装置及动态度量系统,能够提高系统的安全性。
第一方面,本申请实施例提供一种动态度量方法,基于度量主机的第一处理器,包括:接收度量主机的第二处理器转发的度量控制指令;其中,所述度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至所述第二处理器,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名;对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,所述第一安全检查包括:使用第一解密密钥对所述度量控制指令解密和/或使用第一验签密钥对所述度量控制指令进行签名验证,其中,所述第二处理器无权获知所述第一解密密钥以及所述第一验签密钥;响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果。
根据本申请实施例的一种具体实现方式,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
根据本申请实施例的一种具体实现方式,所述根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果之后,所述方法还包括:对所述度量控制结果进行第二安全处理,得到安全控制结果,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名;将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发。
根据本申请实施例的一种具体实现方式,所述度量控制指令中携带第一时效信息;在所述得到度量控制结果之后,在对所述度量控制结果进行第二安全处理之前,所述方法还包括:生成第二时效信息,并将所述第二时效信息和所述第一时效信息添加在所述度量控制结果中;在所述将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发之后,所述方法还包括:接收所述第二处理器转发的、所述远程认证服务器针对所述度量控制结果做出的更新调控指令,所述更新调控指令中携带所述第二时效信息以及第三时效信息;其中,所述更新调控指令由所述远程认证服务器对第一调控指令进行所述第一安全处理得到,并发送至所述第二处理器;根据所述第二时效信息,确定是否执行所述更新调控指令。
根据本申请实施例的一种具体实现方式,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
根据本申请实施例的一种具体实现方式,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;所述方法还包括:响应于所述启动度量任务指令,启动预设的度量任务;响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;或者,所述方法还包括:响应于所述启动度量任务指令,启动预设的度量任务;响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;将所述度量结果,作为下一条所述度量控制指令的度量控制结果,向所述远程认证服务器发送,其中,下一条所述度量控制指令包括周期性远程认证指令。
第二方面,本申请实施例提供一种动态度量方法,基于远程认证服务器,包括:获取目标度量主机的度量基础信息;根据所述度量基础信息生成第一控制指令;对所述第一控制指令进行第一安全处理,得到度量控制指令;其中,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名的指令;向所述目标度量主机发送所述度量控制指令,以使所述目标度量主机的第二处理器向第一处理器转发,并使所述第一处理器根据所述度量控制指令进行相应的度量控制操作,得到度量控制结果。
根据本申请实施例的一种具体实现方式,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
根据本申请实施例的一种具体实现方式,所述发送度量控制指令之后,所述方法还包括:接收所述目标度量主机的第二处理器转发的安全控制结果,所述安全控制结果由所述目标度量主机的第一处理器对所述度量控制结果进行第二安全处理后发送至所述第二处理器,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名。
根据本申请实施例的一种具体实现方式,所述向所述目标度量主机发送所述度量控制指令之前,所述方法还包括:向所述第一控制指令中添加第一时效信息;接收所述目标度量主机的第二处理器转发的安全控制结果之后,所述方法还包括:对所述安全控制结果进行第二安全检查;所述第二安全检查包括:使用第二解密密钥对所述安全控制结果解密和/或使用第二验签密钥对所述安全控制结果进行签名验证,其中,所述第二处理器无权获知所述第二解密密钥以及所述第二验签密钥;在所述第二安全检查通过的情况下,根据所述安全控制结果获取所述度量控制结果;所述度量控制结果携带所述第一时效信息和第二时效信息;根据所述第一时效信息确定所述度量控制结果是否可信,并保存所述第二时效信息。
根据本申请实施例的一种具体实现方式,还包括:在确定所述度量控制结果可信的情况下,根据所述度量控制结果,生成第一调控指令;对所述第一调控指令进行所述第一安全处理,得到更新调控指令;向所述目标度量主机的第二处理器发送所述更新调控指令。
根据本申请实施例的一种具体实现方式,在所述向所述目标度量主机的第二处理器发送所述更新调控指令之前,所述方法还包括:生成第三时效信息并将所述第三时效信息及所述第二时效信息添加至所述第一调控指令中。
根据本申请实施例的一种具体实现方式,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
根据本申请实施例的一种具体实现方式,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;所述方法还包括:向所述目标度量主机发送下一条所述度量控制指令,其中所述度量控制指令包括周期性远程认证指令;响应于预定时间内未接收到所述周期性远程认证指令的度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息;或者,所述方法包括:向所述目标度量主机发送下一条所述度量控制指令,其中,下一条所述度量控制指令包括远程认证指令;接收所述目标度量主机的第二处理器转发所述周期性远程认证指令的度量操作结果,其中,所述度量操作结果为预设度量任务对应的度量结果异常;根据接收到的所述度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息。
第三方面,本申请实施例提供一种动态度量装置,基于度量主机的第一处理器,包括:第一接收模块,用于接收度量主机的第二处理器转发的度量控制指令;其中,所述度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至所述第二处理器,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名;第一检查模块,用于对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,所述第一安全检查包括:使用第一解密密钥对所述度量控制指令解密和/或使用第一验签密钥对所述度量控制指令进行签名验证,其中,所述第二处理器无权获知所述第一解密密钥以及所述第一验签密钥;第一得到模块,用于响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果。
根据本申请实施例的一种具体实现方式,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
根据本申请实施例的一种具体实现方式,所述装置还包括:第二得到模块,用于在所述第一得到模块根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果之后,对所述度量控制结果进行第二安全处理,得到安全控制结果,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名;第一发送模块,用于将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发。
根据本申请实施例的一种具体实现方式,所述度量控制指令中携带第一时效信息;所述装置还包括:第一生成模块,用于在所述第一得到模块根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果之后,在所述第二得到模块对所述度量控制结果进行第二安全处理之前,生成第二时效信息,并将所述第二时效信息和所述第一时效信息添加在所述度量控制结果中;所述装置还包括:第二接收模块,用于在所述发送模块将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发之后,接收所述第二处理器转发的、所述远程认证服务器针对所述度量控制结果做出的更新调控指令,所述更新调控指令中携带所述第二时效信息以及第三时效信息;其中,所述更新调控指令由所述远程认证服务器对第一调控指令进行所述第一安全处理得到,并发送至所述第二处理器;第一确定模块,用于根据所述第二时效信息,确定是否执行所述更新调控指令。
根据本申请实施例的一种具体实现方式,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
根据本申请实施例的一种具体实现方式,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;所述装置还包括:第一启动模块,用于响应于所述启动度量任务指令,启动预设的度量任务;第一保存模块,用于响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;或者,所述装置还包括:第二启动模块,用于响应于所述启动度量任务指令,启动预设的度量任务;第二保存模块,用于响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;第二发送模块,用于将所述度量结果,作为下一条所述度量控制指令的度量控制结果,向所述远程认证服务器发送,其中,下一条所述度量控制指令包括周期性远程认证指令。
第四方面,本申请实施例提供一种动态度量装置,基于远程认证服务器,包括:第一获取模块,用于获取目标度量主机的度量基础信息;第二生成模块,用于根据所述度量基础信息生成第一控制指令;第三得到模块,用于对所述第一控制指令进行第一安全处理,得到度量控制指令;其中,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名的指令;第三发送模块,用于向所述目标度量主机发送所述度量控制指令,以使所述目标度量主机的第二处理器向第一处理器转发,并使所述第一处理器根据所述度量控制指令进行相应的度量控制操作,得到度量控制结果。
根据本申请实施例的一种具体实现方式,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
根据本申请实施例的一种具体实现方式,所述装置还包括:第三接收模块,用于在所述第三发送模块发送度量控制指令之后,接收所述目标度量主机的第二处理器转发的安全控制结果,所述安全控制结果由所述目标度量主机的第一处理器对所述度量控制结果进行第二安全处理后发送至所述第二处理器,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名。
根据本申请实施例的一种具体实现方式,所述装置还包括:添加模块,用于在所述第三发送模块向所述目标度量主机发送所述度量控制指令之前,向所述第一控制指令中添加第一时效信息;所述装置还包括:第二检查模块,用于在所述第三接收模块接收所述目标度量主机的第二处理器转发的安全控制结果之后,对所述安全控制结果进行第二安全检查;所述第二安全检查包括:使用第二解密密钥对所述安全控制结果解密和/或使用第二验签密钥对所述安全控制结果进行签名验证,其中,所述第二处理器无权获知所述第二解密密钥以及所述第二验签密钥;第二获取模块,用于在所述第二安全检查通过的情况下,根据所述安全控制结果获取所述度量控制结果;所述度量控制结果携带所述第一时效信息和第二时效信息;第三保存模块,用于根据所述第一时效信息确定所述度量控制结果是否可信,并保存所述第二时效信息。
根据本申请实施例的一种具体实现方式,还包括:第三生成模块,用于在确定所述度量控制结果可信的情况下,根据所述度量控制结果,生成第一调控指令;第四得到模块,用于对所述第一调控指令进行所述第一安全处理,得到更新调控指令;第四发送模块,用于向所述目标度量主机的第二处理器发送所述更新调控指令。
根据本申请实施例的一种具体实现方式,所述装置还包括:第四生成模块,用于在所述第四发送模块向所述目标度量主机的第二处理器发送所述更新调控指令之前,生成第三时效信息并将所述第三时效信息及所述第二时效信息添加至所述第一调控指令中。
根据本申请实施例的一种具体实现方式,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
根据本申请实施例的一种具体实现方式,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;所述装置还包括:第五发送模块,用于向所述目标度量主机发送下一条所述度量控制指令,其中所述度量控制指令包括周期性远程认证指令;第六发送模块,用于响应于预定时间内未接收到所述周期性远程认证指令的度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息;或者,所述装置包括:第七发送模块,用于向所述目标度量主机发送下一条所述度量控制指令,其中,下一条所述度量控制指令包括远程认证指令;第四接收模块,用于接收所述目标度量主机的第二处理器转发所述周期性远程认证指令的度量操作结果,其中,所述度量操作结果为预设度量任务对应的度量结果异常;第八发送模块,用于根据接收到的所述度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息。
第五方面,本申请实施例提供一种动态度量系统,包括:度量主机和远程认证服务器;其中,所述度量主机包括第一处理器和第二处理器;所述第一处理器用于执行前述基于度量主机的第一处理器的任一所述动态度量方法,所述远程认证服务器用于执行前述远程认证服务器的任一所述的动态度量方法。
第六方面,本申请实施例提供一种电子设备,包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;所述处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的方法。
第七方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
本实施例提供的动态度量方法、装置及动态度量系统,通过接收度量主机的第二处理器转发的度量控制指令,其中,度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至第二处理器,再对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果,由于接收到的度量控制指令由远程认证服务器通过第二处理器转发,这样,远程认证服务器对度量控制操作进行管理,而远程认证服务器较为安全,从而,提高了动态度量的安全性,进一步地,提高了系统的安全性,并且,度量控制指令是对第一控制指令进行第一安全处理得,再对度量控制指令使用与第一安全处理相对应的第一安全检查,并且,第二处理器无权获知第一安全检查中的第一解密密钥以及第一验签密钥,这样,即使度量主机被攻击,也无法获取到通信内容,避免了命令在传递过程中被篡改或泄密的风险,保障了动态度量命令的安全,从而,进一步地提高了系统的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请一实施例提供的动态度量方法的示意图;
图2为本申请一实施例提供的动态度量方法的流程示意图;
图3为本申请又一实施例提供的动态度量方法的流程示意图;
图4为本申请一具体实施例提供的动态度量方法的示意图;
图5为本申请又一具体实施提供的度量结果异常的流程示意图;
图6为本申请一实施例动态度量装置的结构示意图;
图7为本申请又一实施例动态度量装置的结构示意图;
图8为本申请一实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为提高系统的安全性,参见图1,可以在需要时随时创建动态度量任务,同时每一个动态度量任务创建时,动态度量服务将会为其生成一个随机授权码,该授权码存储在度量主机的内存空间,当度量主机需要执行操作命令时,需要正确的授权码才能进行度量任务操作,该方式通过增加授权码保护机制,即使系统权限被攻击者获取,在攻击者没有授权码的情况下依然无法操作度量任务,对系统的安全起到了一定的防护作用,但是授权码在度量主机内存中,攻击者可以通过内存分析等方式获取到授权码,授权码的机制只是增大了攻击者的攻击成本,系统风险依然存在。
有鉴于此,发明人在研究中发现,可以利用远程认证服务器的安全特性,将动态度量的控制权限由不安全的度量主机转移到安全的远程认证服务器,并在远程认证服务器与动态度量模块交互时,针对交互信息进行安全处理,以此,提高系统的安全性。
为使本领域技术人员更好地理解本申请实施例的技术构思、实施方案和有益效果,下面通过具体实施例进行详细说明。
第一方面,本申请一实施例提供的一种动态度量方法,基于度量主机的第一处理器,包括:接收度量主机的第二处理器转发的度量控制指令;其中,所述度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至所述第二处理器,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名;对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,所述第一安全检查包括:使用第一解密密钥对所述度量控制指令解密和/或使用第一验签密钥对所述度量控制指令进行签名验证,其中,所述第二处理器无权获知所述第一解密密钥以及所述第一验签密钥;响应于所述第一安全检查通过,根据所述度量控制指令进行相应的度量控制操作,得到度量控制结果,能够提高系统的安全性。
图2为本申请一实施例提供的动态度量方法的流程示意图,如图2所示,本实施例的动态度量方法,基于度量主机的第一处理器,可以包括:
S101、接收度量主机的第二处理器转发的度量控制指令。
动态度量可以在程序运行时对度量目标进行持续的度量,实时监控程序的状态是否被篡改。
第二处理器可为度量主机上的中央处理器,可以将远程认证服务器(RemoteAttestation Server或RA服务器)与第一处理器之间的交互信息进行中转。本实施例的第一处理器可为安全处理器。在一些例子中,可以将第一处理器内嵌入第二处理器上,在安全处理器上进行的动态度量可称为可信动态度量,安全处理器负责在程序运行的过程中,对已经注册的受保护内存段进行周期性动态度量计算哈希值,将哈希值与基准值对比确保受保护的内存段的信息不被篡改,一旦检测到篡改,可以发出异常信号警告用户。
本实施例中,度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至第二处理器。
可依据第一控制指令直接进行度量控制操作。
本实施例中,第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名。
可使用第一加密秘钥对第一控制指令进行加密,得到度量控制指令;也可使用第一签名秘钥对第一控制指令进行签名,得到度量控制指令;还可以使用第一加密秘钥对第一控制指令进行加密,得到加密后的第一控制指令,再使用第一签名秘钥对加密后的第一控制指令进行签名,得到度量控制指令。
在一些例子中,第一加密秘钥可为执行本实施例方法的动态度量模块的公钥,第一签名秘钥可为远程认证服务器的私钥,本实施例中的动态度量模块可运行于第一处理器。
动态度量模块的公钥具体可通过如下方式获得:动态度量模块生成密钥对,将公钥发送给证书授权中心(CA,Certificate Authority)服务器,以向CA服务器请求证书,CA服务器经过确认请求者的身份等信息,为动态度量模块颁发证书,并将证书保存到RA服务器。可以理解的是,证书中包括动态度量模块的公钥。
其中,远程认证服务器的私钥具体可通过如下方式获得:远程认证服务器生成秘钥对,其中的私钥即为远程认证服务器的私钥,将公钥发送给CA服务器,并向CA服务器请求证书,CA服务器经过确认请求者RA服务器的身份等信息,为RA服务器颁发证书。可以理解的是,证书中包括RA服务器的公钥。
S102、对度量控制指令进行与第一安全处理对应的第一安全检查。
第一安全检查包括:使用第一解密密钥对度量控制指令解密和/或使用第一验签密钥对度量控制指令进行签名验证。
S101中使用第一加密秘钥进行加密时,对应地,本步骤中使用第一解密秘钥对度量控制指令解密;S101中使用第一签名秘钥进行签名时,对应地,本步骤中使用第一验签密钥对度量控制指令验证签名;S101中使用第一加密秘钥加密并使用第一签名秘钥进行签名时,对应地,本步骤中使用第一验签密钥验证签名并使用第一解密密钥进行解密。
在一些例子中,第一解密密钥对可为执行本实施例方法的动态度量模块的私钥,第一验签密钥可为远程认证服务器的公钥。
动态度量模块的私钥可为动态度量模块生成的密钥对中的私钥。
远程认证服务器的公钥可由执行本实施例方法的动态度量模块,在一个可信的环境下,将RA服务器的证书导入到动态度量模块,动态度量模块使用证书授权中心(CA,Certificate Authority)的公钥验证RA服务器的证书的合法性后将RA服务器的证书保存在动态度量模块的上下文中,具体可保存在安全处理器对应的内存中,CPU上运行的程序无法访问该内存。
为提高度量的安全性,进一步提高系统的安全性,本实施例中的第二处理器无权获知第一解密密钥以及第一验签密钥。
S103、响应于第一安全检查通过,根据度量控制指令进行相应的度量控制操作,得到度量控制结果。
度量控制指令可为与度量相关的控制指令,在一些例子中,度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
其中,度量任务创建指令用于常见度量任务;度量任务管理指令用于管理度量任务,如启动度量任务、更新度量任务、停止度量任务等等;周期性远程认证指令用于周期性地获取度量状态,该度量状态可为度量结果正常或异常。
对应地,与度量任务创建指令对应的结果为度量任务创建结果,与度量任务管理指令对应的结果为度量管理执行结果,与周期性远程认证指令对应的结果为度量操作结果。其中,度量管理执行结果可包括正常启动、度量任务已更新,度量任务已停止等信息。
本实施例,通过接收度量主机的第二处理器转发的度量控制指令,其中,度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至第二处理器,再对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果,由于接收到的度量控制指令由远程认证服务器通过第二处理器转发,这样,远程认证服务器对度量控制操作进行管理,而远程认证服务器较为安全,从而,提高了动态度量的安全性,进一步地,提高了系统的安全性,并且,度量控制指令是对第一控制指令进行第一安全处理得,再对度量控制指令使用与第一安全处理相对应的第一安全检查,并且,第二处理器无权获知第一安全检查中的第一解密密钥以及第一验签密钥,这样,即使度量主机被攻击,也无法获取到通信内容,避免了命令在传递过程中被篡改或泄密的风险,保障了动态度量命令的安全,从而,进一步地提高了系统的安全性。
为了提高度量控制结果的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例中,在根据第一控制指令进行相应的度量控制操作,得到度量控制结果(S103)之后,所述方法还包括:
S104、对度量控制结果进行第二安全处理,得到安全控制结果。
第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名。
第二加密密钥可与第一解密密钥及第一验签密钥不同,第二加密密钥也可与第一解密密钥或第一验签密钥相同;第二签名秘钥可与第一解密密钥及第一验签密钥不同,第二签名秘钥也可与第一解密密钥或第一验签密钥相同。
在一些例子中,第一验签秘钥可为远程认证服务器的公钥,第二加密秘钥也可为远程认证服务器的公钥;第一解密密钥可为动态度量模块的私钥,第二签名秘钥也可为动态度量模块的私钥。
对度量控制结果进行加密和/或签名后得到安全控制结果。
S105、将安全控制结果向第二处理器发送并通过第二处理器向远程认证服务器转发。
将经过加密和/或签名的安全控制结果通过第二处理器向远程认证服务器转发。
本实施例,通过对度量控制结果进行第二安全处理,得到安全控制结果,再将安全控制结果向第二处理器发送并通过第二处理器向远程认证服务器转发,由于对第二度量控制结果使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名,得到的安全控制结果通过第二处理器向远程认证服务器转发,从而提高度量控制结果的安全性。
为了防止重放攻击,本申请再一实施例,与上述实施例基本相同,不同之处在于,本实施例中的度量控制指令中携带第一时效信息。
第一时效信息可为远程认证服务器产生的随机数,也可为动态度量模块与远程认证服务器之间通信时的传输控制协议(TCP,Transmission Control Protocol)产生的确认号和序列号。
在得到度量控制结果之后,在对度量控制结果进行第二安全处理之前,所述方法还包括:
S106、生成第二时效信息,并将第二时效信息和第一时效信息添加在度量控制结果中。
在一些例子中,第一时效信息可为远程认证服务器产生的随机数,第二时效信息可为度量主机的第一处理器产生的随机数;第一时效信息为TCP协议传输时的确认号A和序列号B,那么第二时效信息可为将A作为序列号,将B加上度量控制指令中数据的大小得到C,可将C作为确认号,此时可将A和C作为第二时效信息。
在前述实施例的基础上,在将安全控制结果向第二处理器发送并通过第二处理器向远程认证服务器转发(S105)之后,所述方法还包括:
S107、接收第二处理器转发的、远程认证服务器针对度量控制结果做出的更新调控指令,更新调控指令中携带第二时效信息以及第三时效信息。
本实施例中,更新调控指令由远程认证服务器对第一调控指令进行第一安全处理得到,并发送至第二处理器。
远程认证服务器度量控制指令为度量任务创建指令时,对应的度量控制结果为度量任务创建结果,在远程认证服务器收到度量任务创建结果后,可发出更新调控指令,此时的更新调控指令可为度量任务管理指令;类似地,度量控制指令为度量任务管理指令时,更新调控指令可为周期性远程认证指令。
第三时效信息与第一时效信息和第二时效信息的生成方法相同。
S108、根据第二时效信息,确定是否执行更新调控指令。
以第二时效信息为随机数为例,更新调控指令中携带的第二时效信息与S106中生成的第二时效信息比对,如果相同,则确定可以执行更新调控指令。
本实施例,通过生成第二时效信息,并将第二时效信息和度量控制指令中携带的第一时效信息添加在度量控制结果中,接收到由远程认证服务器针对所述度量控制结果做出的更新调控指令,其中,更新调控指令由远程认证服务器对第一调控指令进行第一安全处理得到,由于在接收到的更新调控指令中包括第二时效信息以及第三时效信息,这样,可以将更新调控指令中的第二时效信息与生成的第二时效信息进行比对,根据比对结果确定是否执行更新调控指令,第三时效信息可作为与远程认证服务器下一次交互时,确定是否执行相应操作的依据,从而,能够保持命令的新鲜度,有效防止重放攻击。
在一些例子中,度量控制指令为度量任务管理指令,所述度量任务管理指令包括启动度量任务指令,所述方法还包括:
S109、响应于启动度量任务指令,启动预设的度量任务。
接收到度量任务指令后,启动预设的度量任务。可以理解的是,该预设的度量任务可为在本步骤之前依照远程认证服务器发送的度量任务创建指令而创建的度量任务,该度量任务创建时包括了度量目标。
S110、响应于与预设的度量任务对应的度量结果异常,保存度量结果并停止度量。
度量任务进行度量时,对应的度量结果为异常或称为失败,则将度量结果保存并停止度量。
对度量目标进行度量的过程可为:获取度量目标,计算度量目标基准值;(2)创建度量任务;(3)对度量目标进行度量;(4)度量中将实时度量值与基准值进行对比,若对比结果相同则表示度量正常,否则表示度量异常。
上述实施例中的度量结果异常可由度量主机中的度量目标受到攻击造成度量结果异常,并且度量主机的命令中转功能也受到攻击,远程认证服务器无法直接获取度量结果。
当度量主机中的度量目标受到攻击,导致度量结果异常,而度量主机的命令中转功能可正常使用时,在又一些例子中,所述方法还包括:
S111、响应于启动度量任务指令,启动预设的度量任务。
S112、响应于与预设的度量任务对应的度量结果异常,保存度量结果并停止度量。
S113、将度量结果,作为下一条度量控制指令的度量控制结果,向远程认证服务器发送,其中,下一条度量控制指令包括周期性远程认证指令。
周期性远程认证指令可为预定时间间隔发送的远程认证指令,目的是获取度量操作结果。
度量结果异常的情况下,可将度量结果保存,当一定时间后接收到远程认证服务器发送的周期性远程认证指令时,可将该度量结果作为该次周期性远程认证指令的度量操作结果,向远程认证服务器发送,以便远程认证服务器针对度量失败结果进行进一步的处理。
第二方面,本申请一实施例提供的一种动态度量方法,基于远程认证服务器,获取目标度量主机的度量基础信息;根据所述度量基础信息生成第一控制指令;对所述第一控制指令进行第一安全处理,得到度量控制指令;其中,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名的指令;向所述目标度量主机发送所述度量控制指令,以使所述目标度量主机的第二处理器向第一处理器转发,并使所述第一处理器根据所述度量控制指令进行相应的度量控制操作,得到度量控制结果,能够提高系统的安全性。
图3为本申请又一实施例提供的动态度量方法的流程示意图,如图3所示,本实施例的动态度量方法,基于远程认证服务器,可以包括:
S201、获取目标度量主机的度量基础信息。
度量基础信息可为度量目标、度量地址、度量任务的标识信息、度量任务创建结果信息、度量管理执行结果和/或度量操作结果等信息。
S202、根据度量基础信息生成第一控制指令。
第一控制指令可为进行安全处理前的度量任务创建指令、度量任务管理指令和/或周期性远程认证指令。
如获取到度量主机的度量目标和度量地址,可根据该信息生成安全处理前的度量任务创建指令。
S203、对第一控制指令进行第一安全处理,得到度量控制指令。
本实施例中,第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名的指令。
可使用第一加密秘钥对第一控制指令进行加密,得到度量控制指令;也可使用第一签名秘钥对第一控制指令进行签名,得到度量控制指令;还可以使用第一加密秘钥对第一控制指令进行加密,得到加密后的第一控制指令,再使用第一签名秘钥对加密后的第一控制指令进行签名,得到度量控制指令。
在一些例子中,第一加密秘钥可为执行动态度量模块的公钥,第一签名秘钥可为远程认证服务器的私钥。
动态度量模块的公钥具体可通过如下方式获得:动态度量模块生成密钥对,将公钥发送给证书授权中心(CA,Certificate Authority)服务器,以向CA服务器请求证书,CA服务器经过确认请求者的身份等信息,为动态度量模块颁发证书,并将证书保存到RA服务器。可以理解的是,证书中包括动态度量模块的公钥。
其中,远程认证服务器的私钥具体可通过如下方式获得:远程认证服务器生成秘钥对,其中的私钥即为远程认证服务器的私钥,将公钥发送给CA服务器,并向CA服务器请求证书,CA服务器经过确认请求者RA服务器的身份等信息,为RA服务器颁发证书。可以理解的是,证书中包括RA服务器的公钥。
S204、向目标度量主机发送度量控制指令,以使目标度量主机的第二处理器向第一处理器转发,并使第一处理器根据度量控制指令进行相应的度量控制操作,得到度量控制结果。
第二处理器可为度量主机上的中央处理器,可以将远程认证服务器(RemoteAttestation Server或RA服务器)与第一处理器之间的交互信息进行中转。本实施例的第一处理器可为安全处理器。在一些例子中,可以将第一处理器内嵌入第二处理器上,在安全处理器上进行的动态度量可称为可信动态度量,安全处理器负责在程序运行的过程中,对已经注册的受保护内存段进行周期性动态度量计算哈希值,将哈希值与基准值对比确保受保护的内存段的信息不被篡改,一旦检测到篡改,可以发出异常信号警告用户。
度量控制指令可为与度量相关的控制指令,在一些例子中,度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
其中,度量任务创建指令用于常见度量任务;度量任务管理指令用于管理度量任务,如启动度量任务、更新度量任务、停止度量任务等等;周期性远程认证指令用于周期性地获取度量状态,该度量状态可为度量结果正常或异常。
对应地,与度量任务创建指令对应的结果为度量任务创建结果,与度量任务管理指令对应的结果为度量管理执行结果,与周期性远程认证指令对应的结果为度量操作结果。其中,度量管理执行结果可包括正常启动、度量任务已更新,度量任务已停止等信息。
本实施例,通过根据获取到的目标度量主机的度量基础信息,生成第一控制指令,并对第一控制指令进行第一安全处理,得到度量控制指令,再向目标度量主机发送度量控制指令,第一处理器根据度量控制指令进行相应的度量控制操作,得到度量控制结果,由于度量控制指令由远程认证服务器生成第一控制指令并将该第一控制指令进行第一安全处理而得到,第一处理器根据该度量控制指令进行度量控制操作,这样,远程认证服务器对度量控制操作进行管理,而远程认证服务器较为安全,从而,提高了动态度量的安全性,进一步地,提高了系统的安全性,并且,度量控制指令是对第一控制指令进行第一安全处理得,这样,能够进一步地提高了系统的安全性,此外,由于远程认证服务器的架构优势,可以实现一台远程认证服务器可同时对多台被管理的度量主机的动态度量任务创建与动态管理,由原来单一主机动态度量拓展到了星型的多机动态度量。
为了提高度量控制结果的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例中,发送度量控制指令之后,所述方法还包括:
S205、接收目标度量主机的第二处理器转发的安全控制结果。
安全控制结果由目标度量主机的第一处理器对度量控制结果进行第二安全处理后发送至第二处理器,第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名。
第二加密密钥可与第一解密密钥及第一验签密钥不同,第二加密密钥也可与第一解密密钥或第一验签密钥相同;第二签名秘钥可与第一解密密钥及第一验签密钥不同,第二签名秘钥也可与第一解密密钥或第一验签密钥相同。
在一些例子中,第一验签密可为远程认证服务器的公钥,第二加密秘钥也可为远程认证服务器的公钥;第一解密密钥可为动态度量模块的私钥,第二签名秘钥也可为动态度量模块的私钥。
对度量控制结果进行加密和/或签名后得到安全控制结果。
为了防止重放攻击,本申请再一实施例,与上述实施例基本相同,不同之处在于,向目标度量主机发送所述度量控制指令之前,所述方法还包括:
S206、向第一控制指令中添加第一时效信息。
第一时效信息可为远程认证服务器产生的随机数,也可为动态度量模块与远程认证服务器之间通信时的传输控制协议(TCP,Transmission Control Protocol)产生的确认号和序列号。
接收目标度量主机的第二处理器转发的安全控制结果之后,所述方法还包括:
S207、对安全控制结果进行第二安全检查。
第二安全检查包括:使用第二解密密钥对安全控制结果解密和/或使用第二验签密钥对安全控制结果进行签名验证,其中,第二处理器无权获知第二解密密钥以及第二验签密钥。
第二解密密钥可与第一加密密钥及第一签名密钥不同,第二验签密钥也可与第一加密密钥或第一签名密钥相同;第二签名秘钥可与第一加密密钥及第一签名密钥不同,第二签名秘钥也可与第一加密密钥或第一签名密钥相同。
在一些例子中,第一签名秘钥可为远程认证服务器的私钥,第二解密秘钥也可为远程认证服务器的私钥;第一加密密钥可为动态度量模块的私钥,第二验签秘钥也可为动态度量模块的公钥钥。
S208、在第二安全检查通过的情况下,根据安全控制结果获取度量控制结果。
本实施例中,度量控制结果携带第一时效信息和第二时效信息。
在一些例子中,第一时效信息可为远程认证服务器产生的随机数,第二时效信息也可为远程认证服务器产生的随机数;第一时效信息为TCP协议传输时的确认号A和序列号B,那么第二时效信息可为将A作为序列号,将B加上度量控制指令中数据的大小得到C,可将C作为确认号,此时可将A和C作为第二时效信息。
S209、根据第一时效信息确定度量控制结果是否可信,并保存第二时效信息。
以第一时效信息为随机数为例,度量控制结果中携带的第一时效信息与S206中第一控制指令中添加的第一时效信息比对,如果相同,则度量控制结果可信,并将第二时效信息保存,以便第一处理器对远程认证服务器发送的度量控制指令进行验证,从而避免重放攻击。
本实施例,通过向第一控制指令中添加第一时效信息,对安全控制结果进行第二安全检查,在第二安全检查通过的情况下,根据安全控制结果获取度量控制结果,其中,度量控制结果携带第一时效信息和第二时效信息,根据第一时效信息确定度量控制结果是否可信,并保存第二时效信息,由于在度量控制结果携带第一时效信息和第二时效信息,这样,可以将度量控制结果中的第一时效信息与第一控制指令中添加的第一时效信息进行比对,根据比对结果确定度量控制结果是否可信,从而,能够保持命令的新鲜度,有效防止重放攻击。
本申请又一实施例,与上述方法基本相同,不同之处在于,本实施例的方法还包括:
S210、在确定度量控制结果可信的情况下,根据度量控制结果,生成第一调控指令。
远程认证服务器度量控制指令为度量任务创建指令时,对应的度量控制结果为度量任务创建结果,在远程认证服务器收到度量任务创建结果后,可生成第一调控指令,此时的第一调控指令可为度量任务管理指令;类似地,度量控制指令为度量任务管理指令时,第一调控指令可为周期性远程认证指令。
S211、对第一调控指令进行第一安全处理,得到更新调控指令。
可使用第一加密秘钥对第一调控指令进行加密,得到更新调控指令;也可使用第一签名秘钥对第一调控指令进行加密,得到更新调控指令;还可以使用第一加密秘钥对第一调控指令进行加密,得到加密后的第一调控指令,再使用第一签名秘钥对加密后的第一调控指令进行签名,得到更新调控指令。
S212、向目标度量主机的第二处理器发送更新调控指令。
在一些例子中,在向目标度量主机的第二处理器发送更新调控指令(S212)之前,所述方法还包括:
生成第三时效信息并将第三时效信息及第二时效信息添加至第一调控指令中。
第三时效信息与第一时效信息和第二时效信息的生成方法相同。
本实施例,将第三时效信息及第二时效信息添加至第一调控指令中,在进行第一安全处理,得到度量控制指令,这样,第一处理器在接收到该指令后,可根据第二时效信息确定是否执行该度量控制指令,从而,便于防止重放攻击,提高系统的安全性。
在一些例子中,度量控制指令为度量任务管理指令,度量任务管理指令包括启动度量任务指令,所述方法还包括:
S213、向目标度量主机发送下一条度量控制指令,其中,度量控制指令包括周期性远程认证指令。
发送周期性远程认证指令的目的是获取度量操作结果。
S214、响应于预定时间内未接收到远程认证指令的度量操作结果,向目标度量主机的第二处理器发送异常处理信息。
在预定时间内为收到度量操作结果时,度量主机中的度量目标以及度量主机的命令中转功能可能受到攻击,因此,向目标度量主机的第二处理器发送异常处理信息,以便及时地对攻击进行相应的处理。
当度量主机中的度量目标受到攻击,导致度量结果异常,而度量主机的命令中转功能可正常使用时,在又一些例子中,所述方法还包括:
S215、向目标度量主机发送下一条度量控制指令,其中,下一条度量控制指令包括周期性远程认证指令。
发送周期性远程认证指令的目的是获取度量操作结果。
S216、接收目标度量主机的第二处理器转发周期性远程认证指令的度量操作结果。
本实施例中,度量操作结果为预设度量任务对应的度量结果异常。
S217、根据接收到的度量操作结果,向目标度量主机的第二处理器发送异常处理信息。
向目标度量主机的第二处理器发送异常处理信息,以便及时地对攻击进行相应的处理。
下面以一具体实施例,对本申请的方案进行详细说明,参见图4。
步骤1、RA服务器生成秘钥对RA_KEY,并向CA服务器请求证书生成,CA服务器经过确认请求者RA服务器的身份等信息,为RA服务器颁发证书RA_CET,CA服务器的证书可以从认证机构官方处获取,用来验证CA的可信度。
步骤2、当需要部署一个动态度量模块时,首先在一个可信的环境下,将RA服务器的证书导入到动态度量模块,动态度量模块使用CA公钥验证RA证书的合法性后将RA证书保存在自己的上下文中;
步骤3、动态度量(DM,Dynamic Measurement)模块生成密钥对,向CA请求证书生成,CA服务器经过确认请求者动态度量模块身份等信息,为DM颁发证书DM_CET,并将证书保存到RA服务器
上述三个步骤为动态度量的初始化阶段,该阶段在可信状态下操作,可信状态可为度量模块处于不易被攻击的状态,此外,引入CA、RA两个新的角色来做秘钥管理,使用密码学技术进行通信加解密与完整性保证。
步骤4、当需要对某台被RA管理的主机进行动态度量时,RA获取度量主机需要度量的信息,根据对应度量主机生成对应创建度量命令。
步骤5、RA服务器生成随机的ra_nonce值,将ra_nonce值与创建度量命令信息使用DM的公钥DM_Pub进行加密,使用RA的私钥RA_Pri进行签名后发送到度量主机。
步骤6、度量主机将加密签名后的命令发送到动态度量模块DM。
步骤7、动态度量模块接收到命令后使用自己的私钥进行解密,并使用RA的公钥RA_Pub验签,验签通过后根据创建命令信息创建度量任务,同时生成并保存随机数dm_nonce,dm_nonce用作防止对DM的重放攻击,创建成功后返回该任务对应的任务标识(ID)等信息。
步骤8、动态度量模块DM将ra_nonce、dm_nonce值、与任务ID等信息进行打包后使用RA的公钥RA_Pub进行加密并使用自己的私钥DM_Pri进行签名后返回到请求的度量主机。
步骤9、度量主机获取加密后的信息将该信息发送到RA服务器。
步骤10、RA服务器进行解密验签,并验证ra_nonce值,保存dm_nonce供下次操作命令使用,保存度量任务ID以及其他信息,度量任务创建结束。
上述步骤4-步骤10为利用初始化阶段生成的秘钥进行安全处理的度量任务创建阶段。
步骤11、当RA需要对某台度量主机的度量任务进行管理时,比如启动、更新等度量操作,RA生成对应机器对应任务的度量管理命令。
步骤12、RA服务器生成随机的ra_nonce值,将ra_nonce值、保存的dm_nonce值与管理操作命令信息进行加密签名,发送到度量主机。
步骤13、度量主机将获取加密签名后的命令发送到动态度量模块。
步骤14、动态度量模块接收到命令后解密进行验签,并验证相关信息(如dm_nonce验证是否为重放攻击),验证通过后根据操作命令对度量任务进行操作,并获取操作返回信息。
步骤15、动态度量模块重新生成并保存dm_nonce值,将ra_nonce值、dm_nonce值、操作返回值等信息进行打包,加密签名后返回到请求的度量主机。
步骤16、度量主机将加密签名后的操作返回信息发送到RA服务器。
步骤17、RA服务器进行解密验签,验证ra_nonce值,将dm_nonce值与操作返回信息进行处理保存,操作命令结束。
上述步骤11-步骤17为度量任务管理阶段。
步骤18、当度量任务启动时,RA周期性的生成目标主机远程认证命令,经过与上述同样方式的nonce值处理后,加密签名需要发送的信息并经度量主机发送到DM模块。
步骤19、DM模块解密验签通过后,同样进行nonce值处理,并将相应度量信息与nonce值经过加密签名后返回到RA,RA对返回信息进行处理,若度量状态正常则继续等待下一次周期性的认证;若异常则对度量主机进行异常处理。
上述步骤18-步骤19为周期性远程认证过程,即使攻击者操纵度量主机拒绝中转命令,RA也可以在周期性的认证中得出度量主机出异常的结论。
上述过程中,度量任务创建时RA将获取到DM的dm_nonce值,因此RA发送新的命令时将dm_nonce一并发送到DM,DM将该值与自身保存的值对比是否一致即可确认是否为最新的命令,保证了命令的新鲜度。
DM返回RA时重新生成新的dm_nonce并返回到RA,RA在新的控制命令中加入新的dm_nonce发送给DM,实现了每次通信都使用不同的nonce值,因此即使度量主机将老的中转命令发送到DM,DM将会因为nonce异常而拒绝服务,该方式有效的抵御了对DM模块的重复攻击;同理对RA的重复攻击也使用了ra_nonce实现抵御。
参见图5,当动态度量模块已启动,并执行动态度量时,度量主机中被保护的内容遭受攻击后,本申请一实施例的处理步骤:
步骤1、动态度量模块DM度量结果异常,将度量失败信息进行保存并停止度量。
步骤2、当接收到RA的周期性远程认证命令,DM将异常度量信息经度量主机中转返回到RA,RA经过判定获取度量主机出现异常,并进行异常处理。
可以理解的是,在动态度量模块与RA服务器交互的信息,也可添加入nonce值并进行安全处理,以提高交互信息的安全性。
参见图5,当动态度量模块已启动,并执行动态度量时,度量主机中被保护的内容遭受攻击,并且度量主机的中转功能也被破坏,本申请一实施例的处理步骤:
步骤1、度量主机被保护内容遭受攻击,同时破坏了度量主机中转通信内容的功能。
步骤2、动态度量模块度量结果异常时,将度量信息进行保存并停止度量。
步骤3、当RA的周期性远程认证命令发送到度量主机时,由于度量主机被攻击,无法进行命令中转。
步骤4、RA服务器等待预定时间后,检测到周期性远程认证命令未被回应,判定度量主机出现问题。
也可以通过其他方式从DM模块获取到经DM加密签名后的度量信息进行解密验签,来进一步确定异常。
第三方面,本申请一实施例提供的一种动态度量装置,基于远程认证服务器,包括:第一接收模块,用于接收度量主机的第二处理器转发的度量控制指令;其中,所述度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至所述第二处理器,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名;第一检查模块,用于对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,所述第一安全检查包括:使用第一解密密钥对所述度量控制指令解密和/或使用第一验签密钥对所述度量控制指令进行签名验证,其中,所述第二处理器无权获知所述第一解密密钥以及所述第一验签密钥;第一得到模块,用于响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果,能够提高系统的安全性。
图6为本申请一实施例动态度量装置的结构示意图,如图6所示,本实施例的动态度量装置,基于度量主机的第一处理器,可以包括:第一接收模块11,用于接收度量主机的第二处理器转发的度量控制指令;其中,所述度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至所述第二处理器,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名;第一检查模块12,用于对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,所述第一安全检查包括:使用第一解密密钥对所述度量控制指令解密和/或使用第一验签密钥对所述度量控制指令进行签名验证,其中,所述第二处理器无权获知所述第一解密密钥以及所述第一验签密钥;第一得到模块13,用于响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的装置,通过接收度量主机的第二处理器转发的度量控制指令,其中,度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至第二处理器,再对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果,由于接收到的度量控制指令由远程认证服务器通过第二处理器转发,这样,远程认证服务器对度量控制操作进行管理,而远程认证服务器较为安全,从而,提高了动态度量的安全性,进一步地,提高了系统的安全性,并且,度量控制指令是对第一控制指令进行第一安全处理得,再对度量控制指令使用与第一安全处理相对应的第一安全检查,并且,第二处理器无权获知第一安全检查中的第一解密密钥以及第一验签密钥,这样,即使度量主机被攻击,也无法获取到通信内容,避免了命令在传递过程中被篡改或泄密的风险,保障了动态度量命令的安全,从而,进一步地提高了系统的安全性。
作为一可选实施方式,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
作为一可选实施方式,所述装置还包括:第二得到模块,用于在所述第一得到模块根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果之后,对所述度量控制结果进行第二安全处理,得到安全控制结果,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名;第一发送模块,用于将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发。
作为一可选实施方式,所述度量控制指令中携带第一时效信息;所述装置还包括:第一生成模块,用于在所述第一得到模块根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果之后,在所述第二得到模块对所述度量控制结果进行第二安全处理之前,生成第二时效信息,并将所述第二时效信息和所述第一时效信息添加在所述度量控制结果中;所述装置还包括:第二接收模块,用于在所述发送模块将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发之后,接收所述第二处理器转发的、所述远程认证服务器针对所述度量控制结果做出的更新调控指令,所述更新调控指令中携带所述第二时效信息以及第三时效信息;其中,所述更新调控指令由所述远程认证服务器对第一调控指令进行所述第一安全处理得到,并发送至所述第二处理器;第一确定模块,用于根据所述第二时效信息,确定是否执行所述更新调控指令。
作为一可选实施方式,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
作为一可选实施方式,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;所述装置还包括:第一启动模块,用于响应于所述启动度量任务指令,启动预设的度量任务;第一保存模块,用于响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;或者,所述装置还包括:第二启动模块,用于响应于所述启动度量任务指令,启动预设的度量任务;第二保存模块,用于响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;第二发送模块,用于将所述度量结果,作为下一条所述度量控制指令的度量控制结果,向所述远程认证服务器发送,其中,下一条所述度量控制指令包括周期性远程认证指令。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
第四方面,本申请一实施例提供的一种动态度量装置,基于远程认证服务器,可以包括:第一获取模块,用于获取目标度量主机的度量基础信息;第二生成模块,用于根据所述度量基础信息生成第一控制指令;第三得到模块,用于对所述第一控制指令进行第一安全处理,得到度量控制指令;其中,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名的指令;第三发送模块,用于向所述目标度量主机发送所述度量控制指令,以使所述目标度量主机的第二处理器向第一处理器转发,并使所述第一处理器根据所述度量控制指令进行相应的度量控制操作,得到度量控制结果,能够提高系统的安全性。
图7为本申请又一实施例动态度量装置的结构示意图,如图7所示,本实施例的动态度量装置,基于远程认证服务器,可以包括:第一获取模块21,用于获取目标度量主机的度量基础信息;第二生成模块22,用于根据所述度量基础信息生成第一控制指令;第三得到模块23,用于对所述第一控制指令进行第一安全处理,得到度量控制指令;其中,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名的指令;第三发送模块24,用于向所述目标度量主机发送所述度量控制指令,以使所述目标度量主机的第二处理器向第一处理器转发,并使所述第一处理器根据所述度量控制指令进行相应的度量控制操作,得到度量控制结果。
本实施例的装置,可以用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的装置,通过根据获取到的目标度量主机的度量基础信息,生成第一控制指令,并对第一控制指令进行第一安全处理,得到度量控制指令,再向目标度量主机发送度量控制指令,第一处理器根据度量控制指令进行相应的度量控制操作,得到度量控制结果,由于度量控制指令由远程认证服务器生成第一控制指令并将该第一控制指令进行第一安全处理而得到,第一处理器根据该度量控制指令进行度量控制操作,这样,远程认证服务器对度量控制操作进行管理,而远程认证服务器较为安全,从而,提高了动态度量的安全性,进一步地,提高了系统的安全性,并且,度量控制指令是对第一控制指令进行第一安全处理得,这样,能够进一步地提高了系统的安全性,此外,由于远程认证服务器的架构优势,可以实现一台远程认证服务器可同时对多台被管理的度量主机的动态度量任务创建与动态管理,由原来单一主机动态度量拓展到了星型的多机动态度量。
作为一可选实施方式,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
作为一可选实施方式,所述装置还包括:第三接收模块,用于在所述第三发送模块发送度量控制指令之后,接收所述目标度量主机的第二处理器转发的安全控制结果,所述安全控制结果由所述目标度量主机的第一处理器对所述度量控制结果进行第二安全处理后发送至所述第二处理器,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名。
作为一可选实施方式,所述装置还包括:添加模块,用于在所述第三发送模块向所述目标度量主机发送所述度量控制指令之前,向所述第一控制指令中添加第一时效信息;所述装置还包括:第二检查模块,用于在所述第三接收模块接收所述目标度量主机的第二处理器转发的安全控制结果之后,对所述安全控制结果进行第二安全检查;所述第二安全检查包括:使用第二解密密钥对所述安全控制结果解密和/或使用第二验签密钥对所述安全控制结果进行签名验证,其中,所述第二处理器无权获知所述第二解密密钥以及所述第二验签密钥;第二获取模块,用于在所述第二安全检查通过的情况下,根据所述安全控制结果获取所述度量控制结果;所述度量控制结果携带所述第一时效信息和第二时效信息;第三保存模块,用于根据所述第一时效信息确定所述度量控制结果是否可信,并保存所述第二时效信息。
作为一可选实施方式,还包括:第三生成模块,用于在确定所述度量控制结果可信的情况下,根据所述度量控制结果,生成第一调控指令;第四得到模块,用于对所述第一调控指令进行所述第一安全处理,得到更新调控指令;第四发送模块,用于向所述目标度量主机的第二处理器发送所述更新调控指令。
作为一可选实施方式,所述装置还包括:第四生成模块,用于在所述第四发送模块向所述目标度量主机的第二处理器发送所述更新调控指令之前,生成第三时效信息并将所述第三时效信息及所述第二时效信息添加至所述第一调控指令中。
作为一可选实施方式,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
作为一可选实施方式,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;所述装置还包括:第五发送模块,用于向所述目标度量主机发送下一条所述度量控制指令,其中所述度量控制指令包括周期性远程认证指令;第六发送模块,用于响应于预定时间内未接收到所述周期性远程认证指令的度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息;或者,所述装置包括:第七发送模块,用于向所述目标度量主机发送下一条所述度量控制指令,其中,下一条所述度量控制指令包括远程认证指令;第四接收模块,用于接收所述目标度量主机的第二处理器转发所述周期性远程认证指令的度量操作结果,其中,所述度量操作结果为预设度量任务对应的度量结果异常;第八发送模块,用于根据接收到的所述度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本申请一实施例提供一种动态度量系统,可以包括:度量主机和远程认证服务器;其中,所述度量主机包括第一处理器和第二处理器;所述第一处理器用于执行基于度量主机的第一处理器的任一所述的动态度量方法,所述远程认证服务器用于执行基于远程认证服务器的任一所述的动态度量方法。
图8为本申请一实施例提供的电子设备的结构示意图,可以包括:壳体61、处理器62、存储器63、电路板64和电源电路65,其中,电路板64安置在壳体61围成的空间内部,处理器62和存储器63设置在电路板64上;电源电路65,用于为上述电子设备的各个电路或器件供电;存储器63用于存储可执行程序代码;处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例提供的任一种动态度量方法,因此也能实现相应的有益技术效果,前文已经进行了详细说明,此处不再赘述。
上述电子设备以多种形式存在,包括但不限于:
(1)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(2)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可操作性等方面要求较高。
(3)其他具有数据交互功能的电子设备。
相应的,本申请的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种动态度量方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本申请时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (31)

1.一种动态度量方法,其特征在于,基于度量主机的第一处理器,包括:
接收度量主机的第二处理器转发的度量控制指令;其中,所述度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至所述第二处理器,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名;
对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,所述第一安全检查包括:使用第一解密密钥对所述度量控制指令解密和/或使用第一验签密钥对所述度量控制指令进行签名验证,其中,所述第二处理器无权获知所述第一解密密钥以及所述第一验签密钥;
响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果。
2.根据权利要求1所述的方法,其特征在于,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果之后,所述方法还包括:
对所述度量控制结果进行第二安全处理,得到安全控制结果,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名;
将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发。
4.根据权利要求3所述的方法,其特征在于,所述度量控制指令中携带第一时效信息;
在所述得到度量控制结果之后,在对所述度量控制结果进行第二安全处理之前,所述方法还包括:
生成第二时效信息,并将所述第二时效信息和所述第一时效信息添加在所述度量控制结果中;
在所述将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发之后,所述方法还包括:
接收所述第二处理器转发的、所述远程认证服务器针对所述度量控制结果做出的更新调控指令,所述更新调控指令中携带所述第二时效信息以及第三时效信息;其中,所述更新调控指令由所述远程认证服务器对第一调控指令进行所述第一安全处理得到,并发送至所述第二处理器;
根据所述第二时效信息,确定是否执行所述更新调控指令。
5.根据权利要求2所述的方法,其特征在于,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
6.根据权利要求5所述的方法,其特征在于,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;
所述方法还包括:
响应于所述启动度量任务指令,启动预设的度量任务;
响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;或者,
所述方法还包括:
响应于所述启动度量任务指令,启动预设的度量任务;
响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;
将所述度量结果,作为下一条所述度量控制指令的度量控制结果,向所述远程认证服务器发送,其中,下一条所述度量控制指令包括所述周期性远程认证指令。
7.一种动态度量方法,其特征在于,基于远程认证服务器,包括:
获取目标度量主机的度量基础信息;
根据所述度量基础信息生成第一控制指令;
对所述第一控制指令进行第一安全处理,得到度量控制指令;其中,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名的指令;
向所述目标度量主机发送所述度量控制指令,以使所述目标度量主机的第二处理器向第一处理器转发,并使所述第一处理器根据所述度量控制指令进行相应的度量控制操作,得到度量控制结果。
8.根据权利要求7所述的方法,其特征在于,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
9.根据权利要求7所述的方法,其特征在于,所述发送度量控制指令之后,所述方法还包括:
接收所述目标度量主机的第二处理器转发的安全控制结果,所述安全控制结果由所述目标度量主机的第一处理器对所述度量控制结果进行第二安全处理后发送至所述第二处理器,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名。
10.根据权利要求9所述的方法,其特征在于,所述向所述目标度量主机发送所述度量控制指令之前,所述方法还包括:
向所述第一控制指令中添加第一时效信息;
所述接收所述目标度量主机的第二处理器转发的安全控制结果之后,所述方法还包括:
对所述安全控制结果进行第二安全检查;所述第二安全检查包括:使用第二解密密钥对所述安全控制结果解密和/或使用第二验签密钥对所述安全控制结果进行签名验证,其中,所述第二处理器无权获知所述第二解密密钥以及所述第二验签密钥;
在所述第二安全检查通过的情况下,根据所述安全控制结果获取所述度量控制结果;所述度量控制结果携带所述第一时效信息和第二时效信息;
根据所述第一时效信息确定所述度量控制结果是否可信,并保存所述第二时效信息。
11.根据权利要求10所述的方法,其特征在于,还包括:
在确定所述度量控制结果可信的情况下,根据所述度量控制结果,生成第一调控指令;
对所述第一调控指令进行所述第一安全处理,得到更新调控指令;
向所述目标度量主机的第二处理器发送所述更新调控指令。
12.根据权利要求11所述的方法,其特征在于,在所述向所述目标度量主机的第二处理器发送所述更新调控指令之前,所述方法还包括:
生成第三时效信息并将所述第三时效信息及所述第二时效信息添加至所述第一调控指令中。
13.根据权利要求8所述的方法,其特征在于,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
14.根据权利要求13所述的方法,其特征在于,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;
所述方法还包括:
向所述目标度量主机发送下一条所述度量控制指令,其中,下一条所述度量控制指令包括周期性远程认证指令;
响应于预定时间内未接收到所述周期性远程认证指令的度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息;或者,
所述方法还包括:
向所述目标度量主机发送下一条所述度量控制指令,其中下一条所述度量控制指令包括远程认证指令;
接收所述目标度量主机的第二处理器转发所述周期性远程认证指令的度量操作结果,其中,所述度量操作结果为预设度量任务对应的度量结果异常;
根据接收到的所述度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息。
15.一种动态度量装置,其特征在于,基于度量主机的第一处理器,包括:
第一接收模块,用于接收度量主机的第二处理器转发的度量控制指令;其中,所述度量控制指令由远程认证服务器对第一控制指令进行第一安全处理得到,并发送至所述第二处理器,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名;
第一检查模块,用于对所述度量控制指令进行与所述第一安全处理对应的第一安全检查,所述第一安全检查包括:使用第一解密密钥对所述度量控制指令解密和/或使用第一验签密钥对所述度量控制指令进行签名验证,其中,所述第二处理器无权获知所述第一解密密钥以及所述第一验签密钥;
第一得到模块,用于响应于所述第一安全检查通过,根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果。
16.根据权利要求15所述的装置,其特征在于,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
17.根据权利要求15所述的装置,其特征在于,所述装置还包括:
第二得到模块,用于在所述第一得到模块根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果之后,对所述度量控制结果进行第二安全处理,得到安全控制结果,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名;
第一发送模块,用于将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发。
18.根据权利要求17所述的装置,其特征在于,所述度量控制指令中携带第一时效信息;所述装置还包括:
第一生成模块,用于在所述第一得到模块根据所述第一控制指令进行相应的度量控制操作,得到度量控制结果之后,在所述第二得到模块对所述度量控制结果进行第二安全处理之前,生成第二时效信息,并将所述第二时效信息和所述第一时效信息添加在所述度量控制结果中;
所述装置还包括:
第二接收模块,用于在所述发送模块将所述安全控制结果向所述第二处理器发送并通过所述第二处理器向所述远程认证服务器转发之后,接收所述第二处理器转发的、所述远程认证服务器针对所述度量控制结果做出的更新调控指令,所述更新调控指令中携带所述第二时效信息以及第三时效信息;其中,所述更新调控指令由所述远程认证服务器对第一调控指令进行所述第一安全处理得到,并发送至所述第二处理器;
第一确定模块,用于根据所述第二时效信息,确定是否执行所述更新调控指令。
19.根据权利要求16所述的装置,其特征在于,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
20.根据权利要求19所述的装置,其特征在于,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;
所述装置还包括:
第一启动模块,用于响应于所述启动度量任务指令,启动预设的度量任务;
第一保存模块,用于响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;或者,
所述装置还包括:
第二启动模块,用于响应于所述启动度量任务指令,启动预设的度量任务;
第二保存模块,用于响应于与所述预设的度量任务对应的度量结果异常,保存所述度量结果并停止度量;
第二发送模块,用于将所述度量结果,作为下一条所述度量控制指令的度量控制结果,向所述远程认证服务器发送,其中,所述度量控制指令包括周期性远程认证指令。
21.一种动态度量装置,其特征在于,基于远程认证服务器,包括:
第一获取模块,用于获取目标度量主机的度量基础信息;
第二生成模块,用于根据所述度量基础信息生成第一控制指令;
第三得到模块,用于对所述第一控制指令进行第一安全处理,得到度量控制指令;其中,所述第一安全处理包括:使用第一加密秘钥进行加密和/或使用第一签名秘钥进行签名的指令;
第三发送模块,用于向所述目标度量主机发送所述度量控制指令,以使所述目标度量主机的第二处理器向第一处理器转发,并使所述第一处理器根据所述度量控制指令进行相应的度量控制操作,得到度量控制结果。
22.根据权利要求21所述的装置,其特征在于,所述度量控制指令包括以下至少一种:度量任务创建指令、度量任务管理指令和周期性远程认证指令。
23.根据权利要求21所述的装置,其特征在于,所述装置还包括:
第三接收模块,用于在所述第三发送模块发送度量控制指令之后,接收所述目标度量主机的第二处理器转发的安全控制结果,所述安全控制结果由所述目标度量主机的第一处理器对所述度量控制结果进行第二安全处理后发送至所述第二处理器,所述第二安全处理包括:使用第二加密密钥进行加密和/或使用第二签名秘钥进行签名。
24.根据权利要求23所述的装置,其特征在于,所述装置还包括:
添加模块,用于在所述第三发送模块向所述目标度量主机发送所述度量控制指令之前,向所述第一控制指令中添加第一时效信息;
所述装置还包括:
第二检查模块,用于在所述第三接收模块接收所述目标度量主机的第二处理器转发的安全控制结果之后,对所述安全控制结果进行第二安全检查;所述第二安全检查包括:使用第二解密密钥对所述安全控制结果解密和/或使用第二验签密钥对所述安全控制结果进行签名验证,其中,所述第二处理器无权获知所述第二解密密钥以及所述第二验签密钥;
第二获取模块,用于在所述第二安全检查通过的情况下,根据所述安全控制结果获取所述度量控制结果;所述度量控制结果携带所述第一时效信息和第二时效信息;
第三保存模块,用于根据所述第一时效信息确定所述度量控制结果是否可信,并保存所述第二时效信息。
25.根据权利要求24所述的装置,其特征在于,还包括:
第三生成模块,用于在确定所述度量控制结果可信的情况下,根据所述度量控制结果,生成第一调控指令;
第四得到模块,用于对所述第一调控指令进行所述第一安全处理,得到更新调控指令;
第四发送模块,用于向所述目标度量主机的第二处理器发送所述更新调控指令。
26.根据权利要求25所述的装置,其特征在于,所述装置还包括:
第四生成模块,用于在所述第四发送模块向所述目标度量主机的第二处理器发送所述更新调控指令之前,生成第三时效信息并将所述第三时效信息及所述第二时效信息添加至所述第一调控指令中。
27.根据权利要求22所述的装置,其特征在于,所述度量控制结果包括以下至少一种:度量任务创建结果、度量管理执行结果、度量操作结果。
28.根据权利要求27所述的装置,其特征在于,所述度量控制指令为所述度量任务管理指令,所述度量任务管理指令包括启动度量任务指令;
所述装置还包括:
第五发送模块,用于向所述目标度量主机发送下一条所述度量控制指令,其中所述度量控制指令包括周期性远程认证指令;
第六发送模块,用于响应于预定时间内未接收到所述周期性远程认证指令的度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息;或者,
所述装置包括:
第七发送模块,用于向所述目标度量主机发送下一条所述度量控制指令,其中所述度量控制指令包括远程认证指令;
第四接收模块,用于接收所述目标度量主机的第二处理器转发所述周期性远程认证指令的度量操作结果,其中,所述度量操作结果为预设度量任务对应的度量结果异常;
第八发送模块,用于根据接收到的所述度量操作结果,向所述目标度量主机的第二处理器发送异常处理信息。
29.一种动态度量系统,其特征在于,包括:度量主机和远程认证服务器;其中,所述度量主机包括第一处理器和第二处理器;所述第一处理器用于执行上述权利要求1-6所述的动态度量方法,所述远程认证服务器用于执行上述权利要求7-14所述的动态度量方法。
30.一种电子设备,其特征在于,包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;所述处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-6或7-14中任一项所述的方法。
31.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-6或7-14中任一项所述的方法。
CN202111294772.7A 2021-11-03 2021-11-03 一种动态度量方法、装置及动态度量系统 Pending CN114020329A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111294772.7A CN114020329A (zh) 2021-11-03 2021-11-03 一种动态度量方法、装置及动态度量系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111294772.7A CN114020329A (zh) 2021-11-03 2021-11-03 一种动态度量方法、装置及动态度量系统

Publications (1)

Publication Number Publication Date
CN114020329A true CN114020329A (zh) 2022-02-08

Family

ID=80060205

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111294772.7A Pending CN114020329A (zh) 2021-11-03 2021-11-03 一种动态度量方法、装置及动态度量系统

Country Status (1)

Country Link
CN (1) CN114020329A (zh)

Similar Documents

Publication Publication Date Title
US10530753B2 (en) System and method for secure cloud computing
CN110968743B (zh) 针对隐私数据的数据存储、数据读取方法及装置
US9497210B2 (en) Stateless attestation system
CN105721500B (zh) 一种基于TPM的Modbus/TCP协议的安全增强方法
KR100823738B1 (ko) 컴퓨팅 플랫폼의 설정 정보를 은닉하면서 무결성 보증을제공하는 방법
TWI620092B (zh) 用於在載入期間驗證軟體之裝置及用於在載入於裝置內期間驗證軟體之方法
TW201732669A (zh) 受控的安全碼鑑認
CN111708991A (zh) 服务的授权方法、装置、计算机设备和存储介质
CN112887282B (zh) 一种身份认证方法、装置、系统及电子设备
CN106790045B (zh) 一种基于云环境分布式虚拟机代理装置及数据完整性保障方法
TW201735578A (zh) 受控的安全碼認證
US20220247576A1 (en) Establishing provenance of applications in an offline environment
KR20180046593A (ko) 펌웨어 서명 검증과 보안키 관리를 위한 사물인터넷 디바이스의 펌웨어 업데이트 시스템
JP2017011491A (ja) 認証システム
CN113703911A (zh) 一种虚拟机迁移方法、装置、设备、存储介质
WO2023236720A1 (zh) 设备认证和校验的方法、装置、设备和存储介质
JP2008176741A (ja) クライアント端末、サービス提供サーバ、サービス提供システム、制御方法、およびサービス提供方法
CN114020329A (zh) 一种动态度量方法、装置及动态度量系统
CN109688158B (zh) 金融执行链认证方法、电子装置及存储介质
CN117640109B (zh) Api接口安全访问方法、装置、电子设备及存储介质
CN116305092B (zh) 一种可信的虚拟化系统的实现方法及系统
CN113946799B (zh) 应用程序源码保护方法以及服务端
CN117892318B (zh) 一种物联网智能终端数据安全保护方法、系统及存储装置
CN117201161A (zh) 一种轻量化设备认证方法
CN115659288A (zh) 一种变电站嵌入式装置及软件版本管控方法、终端及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination