CN101271498A - 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 - Google Patents
在linux操作系统通过威胁链表和安全链表实现可信计算的方法 Download PDFInfo
- Publication number
- CN101271498A CN101271498A CNA200810060900XA CN200810060900A CN101271498A CN 101271498 A CN101271498 A CN 101271498A CN A200810060900X A CNA200810060900X A CN A200810060900XA CN 200810060900 A CN200810060900 A CN 200810060900A CN 101271498 A CN101271498 A CN 101271498A
- Authority
- CN
- China
- Prior art keywords
- chained list
- security
- fingerprint
- entity
- structure body
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了在linux操作系统通过威胁链表和安全链表实现可信计算的方法。该方法是为了建立操作系统启动运行后的系统可信,使得可信链从系统启动传递到系统运行后。在可信启动已经实现的前提下,实现系统运行后的可信计算。不同于系统启动时各步骤按顺序运行,在系统运行后可执行文件和模块的度量实体运行是随机的,无法通过一个度量实体对应一个可信平台模块寄存器的方法来进行可信计算,本发明使用linux安全模块来实现度量实体的度量,并将度量实体分别保存在安全链表和威胁链表中,将度量实体写入威胁链表时把它的度量指纹扩展到可信平台模块寄存器中,在可信验证时通过验证威胁链表和可信平台模块寄存器的内容,判断系统是否在可信的环境中运行。
Description
技术领域
本发明涉及linux操作系统技术领域,尤其涉及一种在linux操作系统通过威胁链表和安全链表实现可信计算的方法。
背景技术
在我国,政府机构、商业机构以及个人对计算机的依赖已经越来越强,计算机的应用已经渗透到政治、经济、军事等领域的各种业务流程之中。同时,计算机黑客和病毒的攻击也使我们意识到现有计算机是十分脆弱的,再加上现在internet的广泛使用,更加加剧这种脆弱性,而这种脆弱性的代价通常是非常巨大的。因此,在目前我国硬件、操作系统、安全等关键技术都是外国的情况下,对可信计算的要求迫切的摆在面前。
针对上述要求,TCG(可信计算组织)开发了一系列可信计算技术方面的技术规范,解决了系统可信根的问题,提出了可信传递的概念,阐述了系统从加电开始应该如何开展安全度量,并将系统运行控制权如何安全可信转移到操作系统直至应用的基本原理和过程。可信链包括可信启动和系统启动运行后的可信保护,在可信启动部分,内核执行过程的顺序是固定的,可以按照TCG标准,依次度量按顺序的启动过程,而在系统启动运行后应用服务的运行是随机的,本发明通过威胁安全链表将可能威胁系统安全的行为记录在可信平台模块中,从而实现系统启动运行后的可信计算。
发明内容
本发明的目的是提供一种在linux操作系统通过威胁链表和安全链表实现可信计算的方法。
包括如下步骤:
1)在linux安全模块框架下通过向linux内核注册建立一个安全策略,在安全策略提供的安全钩子函数中添加度量实体的度量函数;
2)在度量实体通过系统调用进入添加安全策略的安全钩子函数函数时,通过度量函数计算能够描述该度量实体的度量实体指纹,即通过linux内核提供的哈希函数计算度量实体文件的哈希值;
3)添加度量实体信息对应的度量结构体,度量结构体是对应度量实体的描述结构,是度量实体链表的基本元素组成;
4)根据度量实体对于系统安全的影响,来设置linux安全模块框架下与度量实体对应的脏标志位;
5)如果脏标志位设置为干净,在需要的时候添加度量结构体到没有破坏系统安全可能的度量结构体组成的安全链表中;
6)如果脏标志位设置为脏,在需要的时候添加度量结构体到可能破坏系统安全的度量结构体组成的威胁链表中,并将度量出来的度量实体指纹扩展到指定可信平台模块寄存器中;
7)可信验证通过计算威胁链表的指纹值与保存在特定可信平台模块寄存器中的指纹值进行比较,如果一致则系统可信安全,否则系统不安全。
步骤4)所述的根据度量实体对于系统安全的影响,来设置linux安全模块框架下与度量实体对应的脏标志位,包括如下步骤:
1)对于系统安全的影响判定,即设置度量实体对应的脏标志位,包括如下步骤:
(1)查看文件是否以可写可添加方式打开,如果是,设置脏标志位为脏;
(2)查看是否装入了一个没有权限访问的文件系统上,例如网络文件系统,如果是,设置脏标志位为脏;
(3)查看文件是否属于一个文件系统,但该文件系统已经被释放掉了,如果是,设置脏标志位为脏;
(4)如果都不属于上面的情况,设置脏标志位为干净。
2)根据度量实体对于系统安全的影响,来设置linux安全模块框架下的安全域,如果破坏系统安全的行为,脏标志设置为脏,如果没有破坏系统安全,则设置为干净;
3)根据linux安全模块框架下安全域脏标志位来设置对应度量结构体中的脏标志位。
步骤5)所述的如果脏标志位设置为干净,在需要的时候添加度量结构体到没有破坏系统安全可能的度量结构体组成的安全链表中:
如果该度量结构体中脏标志为干净,则遍历整个安全链表,寻找其中是否包含该度量结构体,如果包含,则说明该度量实体已经在安全链表中,不需要重新添加,系统直接返回,如果不包含,则将该度量结构体添加到安全链表中。
步骤6)所述的如果脏标志位设置为脏,在需要的时候添加度量结构体到可能破坏系统安全的分别以文件索引和度量实体指纹为键值的两个威胁链表中,并将度量出来的度量实体指纹扩展到指定可信平台模块寄存器中:
如果该度量结构体中脏标志为脏,则遍历以文件索引为键值的威胁链表,寻找链表中是否包含该度量结构体,假如不包含在以文件索引为键值的威胁链表,则将该度量结构体添加到以指纹和文件索引为键值的两个威胁链表中,同时扩展当前度量结构体指纹到特定可信平台模块寄存器中,假如包含在以文件索引为键值的威胁链表中,则查看当前度量实体的指纹在以度量实体指纹为键值的威胁链表中是否存在,即查看该度量实体是否被修改,如果存在,则说明当前度量实体并未修改即度量实体指纹没有改变,不需要重新添加,系统直接返回,如果不存在,则将该度量结构体重新添加到以指纹为键值的威胁链表中,同时扩展当前度量结构体指纹到特定可信平台模块寄存器中;
步骤7)所述的可信验证通过计算威胁链表的指纹值与保存在特定可信平台模块寄存器中的指纹值进行比较,如果一致则系统可信安全,否则系统不安全,包括如下步骤:
1)顺序读取威胁链表单链表中的度量结构体指纹,根据linux提供的哈希函数,通过计算连接后的链表哈希指纹值计算出整个威胁链表的哈希指纹;
2)读取特定可信平台模块寄存器中保存的指纹值;
3)比较威胁链表的指纹和特定可信平台模块寄存器中保存的指纹值,如果相等,则系统处于安全可信状态,如果不相等,则系统处于不安全可信状态。
本发明的优点是:1)提供系统启动运行后的可信计算,因此可以将可信链从系统启动传递到系统启动运行后,这样可以使所有可能对系统可信影响的关键组件进行可信计算;2)只把威胁链表的内容扩展到可信平台模块寄存器从而进行可信验证,可以提高可信计算效率;3)具有良好的伸缩性和健壮性。
附图说明
图1是本发明的系统启动运行后可信计算系统结构图;
图2是本发明的linux安全模块框架添加度量安全策略工作机制结构图;
图3是本发明的威胁链表单链表存储结构图;
图4是本发明的系统启动运行后可信计算的总体流程图;
图5是本发明的设置脏标志位流程图。
具体实施方式
在linux操作系统通过威胁链表和安全链表实现可信计算的方法包括如下步骤:
1)在linux安全模块框架下通过向linux内核注册建立一个安全策略,在安全策略提供的安全钩子函数中添加度量实体的度量函数;
a:添加linux安全模块框架中全局表security_ops中的函数指针结构体,这个全局表的类型是security_operations结构,这个结构定义在include/inux/security.h这个头文件中,这个结构中包含了按照内核对象或内核子系统分组的钩子组成的子结构,以及一些用于系统操作的顶层钩子。在内核源代码中很容易找到对钩子函数的调用:其前缀是security_ops->。本发明中钩子函数定义如下:
static struct security_operations tpm_ops={
.file_mmap=tpm_file_mmap,
.file_free_security=tpm_file_free_security,
.inode_permission=tpm_inode_permission,
.inode_free_security=tpm_inode_free_security,
.sb_umount=tpm_sb_umount,
.register_security=tpm_register_security,
};
在内核引导的过程中,linux安全模块框架被初始化为一系列的虚拟钩子函数。当加载一个安全模块时,必须使用register_security()函数向linux安全模块框架注册这个安全模块:这个函数将设置全局表security_ops,使其指向这个安全模块的钩子函数指针,从而使内核向这个安全模块询问访问控制决策。一旦一个安全模块被加载,就成为系统的安全策略决策中心,而不会被后面的register_security()函数覆盖,直到这个安全模块被使用unregister_security()函数向框架注销,它简单的将钩子函数替换为缺省值,系统回到linux超级用户机制。另外,linux安全模块框架还提供了函数mod_reg_security()和函数mod_unreg_security(),使其后的安全模块可以向已经第一个注册的主模块注册和注销,但其策略实现由主模块决定,是提供某种策略来实现模块堆栈从而支持模块功能合成,还是简单的返回错误值以忽略其后的安全模块。这些函数都提供在内核源代码文件security/security.c中,从图2中可以看出本发明LINUX安全模块框架的工作机制。
b:在可执行文件对应度量实体的度量点的安全钩子函数即是tpm_file_mmap,在其中添加相应文件的度量。可执行文件运行的时候通过execv系统调用运行,execv会调用mmap系统调用将文件映射到虚拟内存空间,这时会触发tpm_file_mmap钩子函数,进入该度量点进行度量。
本发明中度量可执行文件的度量函数定义如下:
static int tpm_file_mmap(struct file*file,unsigned long reqprot,unsigned longprot,unsigned long flags);
c:对于内核模块对应度量实体的度量,由于内核模块在启动的时候需要经过load_module,在这个函数里添加度量代码,对内核模块载入的时候进行度量。
本发明中度量模块的度量函数定义如下:
void tpm_measure_kernel_module(void*start,unsigned long len);
2)在度量实体通过系统调用进入添加安全策略的安全钩子函数函数时,通过度量函数计算能够描述该度量实体的度量实体指纹,即通过linux内核提供的哈希函数计算度量实体文件的哈希值;
度量实体通过系统调用进入添加安全策略的安全钩子函数,如通过mmap系统调用进入tpm_file_mmap安全钩子函数,在使用内核crypto下的SHA1算法对文件进行度量,linux下SHA1哈希计算函数如下所示:
static inline struct crypto_hash*crypto_alloc_hash(const char*alg_name,u32type,u32mask);
static inline int crypto_hash_update(struct hash_desc*desc,struct scatterlist*sg,unsigned int nbytes);
static inline int crypto_hash_final(struct hash_desc*desc,u8*out);
3)添加度量实体信息对应的度量结构体,度量结构体是对应度量实体的描述结构,是度量实体链表的基本元素组成;
在系统运行中为每个度量实体定义一个度量结构体,本发明中度量实体的结构体是tpm_measure_entry,通过度量函数填充这个度量结构体,为后面的写入安全威胁链表做准备,它定义如下:
表:tpm_measure_entry定义
4)根据度量实体对于系统安全的影响,来设置安全模块框架下与度量实体对应的脏标志位;
a.对于系统安全的影响判定,即设置度量实体对应的脏标志位,包括如下步骤:
(1)查看文件是否以可写可添加方式打开,如果是,设置脏标志位为脏;
(2)查看是否装入了一个没有权限访问的文件系统上,例如网络文件系统,如果是,设置脏标志位为脏;
(3)查看文件是否属于一个文件系统,但该文件系统已经被释放掉了,如果是,设置脏标志位为脏;
(4)如果都不属于上面的情况,设置脏标志位为干净。
b.根据度量实体对于系统安全的影响,来设置安全模块框架下的安全域,如果破坏系统安全的行为,脏标志设置为脏,如果没有破坏系统安全,则设置为干净;
linux安全模块安全域是一个void*类型的指针,它使得安全模块把安全信息和内核内部对象联系起来。下面列出被修改加入了安全域的内核数据结构,以及各自所代表的内核内部对象,使用的安全域如下:
表:tpm_inode定义
脏标志位对应的是tpm_entry_flags结构体,在系统中定义为typedef enum{CLEAN,DIRTY}tpm_entry_flags;即该脏标志位包括脏,干净二种状态。
c.根据linux安全模块框架下安全域脏标志位来设置对应度量结构体中的脏标志位。
度量结构体的脏标志位,即tpm_measur_entry中的dirty字段,它的定义是根据安全域中脏标志位设置,如果安全域脏标志位为干净,则设置其为干净,否则设置为脏。
5)如果脏标志位设置为干净,在需要的时候添加度量结构体到没有破坏系统安全可能的度量结构体组成的安全链表中:
如果该度量结构体中脏标志为干净,则遍历整个安全链表,寻找其中是否包含该度量结构体,如果包含,则说明该度量实体已经在安全链表中,不需要重新添加,系统直接返回,如果不包含,则将该度量结构体添加到安全链表中。
为了提高遍历速度,对于安全链表使用hash链表,hash键值为度量实体的文件索引结构和文件所在的设备号,安全链表的定义如下:
表:tpm_safequeue_entry定义
6)如果脏标志位设置为脏,在需要的时候添加度量结构体到可能破坏系统安全的分别以文件索引和度量实体指纹为键值的两个威胁链表中,并将度量出来的度量实体指纹扩展到指定可信平台模块寄存器中:
如果该度量结构体中脏标志为脏,则遍历以文件索引为键值的威胁链表,寻找链表中是否包含该度量结构体,假如不包含在以文件索引为键值的威胁链表,则将该度量结构体添加到以指纹和文件索引为键值的两个威胁链表中,同时扩展当前度量结构体指纹到特定可信平台模块寄存器中,假如包含在以文件索引为键值的威胁链表中,则查看当前度量实体的指纹在以度量实体指纹为键值的威胁链表中是否存在,即查看该度量实体是否被修改,如果存在,则说明当前度量实体并未修改即度量实体指纹没有改变,不需要重新添加,系统直接返回,如果不存在,则将该度量结构体重新添加到以指纹为键值的威胁链表中,同时扩展当前度量结构体指纹到特定可信平台模块寄存器中;
为了提高遍历速度,对于威胁链表使用hash链表,本发明中分别使用键值为文件索引和度量实体指纹的hash链表,同时为了可信验证,需要威胁链表同时添加在一单链表中,需要在威胁链表结构中同时包含hash节点和单链表节点,威胁链表以文件索引节点为键值的结构体如下:
表:tpm_dirtyqueue_entry定义
对于扩展当前度量结构体指纹到特定可信平台模块寄存器中,本发明中使用下面函数:
inr tpm_pcr_extend(u32chip_id,int pcr_idx,const u8*hash)
通过度量函数计算出来的hash指纹值,通过它查找是否该文件已经被度量过hash值,只是文件名称不同,这样可以最大限度的减少度量文件的个数,提高系统效率,威胁链表以指纹值为键值的结构体如下:
表:tpm_dirtysha_entry定义
7)可信验证通过计算威胁链表的指纹值与保存在特定可信平台模块寄存器中的指纹值进行比较,如果一致则系统可信安全,否则系统不安全。
1)顺序读取威胁链表单链表中的度量结构体指纹,根据linux提供的哈希函数,通过计算连接后的链表哈希指纹值计算出整个威胁链表的哈希指纹;
计算整个威胁链表的hash指纹过程如下:
a.使用tpm_dirtyqueue_entry里面的单链表,如图3所示,循环遍历该链表,从第一个度量实体开始,读取其中20个字节的SHA1度量实体指纹。
b.然后读取第二个度量实体指纹,将第二个指纹和第一个指纹连接起来成为一个40个字节的新的SHA1指纹,在计算这40个字节的新的指纹的sha1 hash指纹值。
c.此时读第三个度量实体指纹,将它和前面步骤计算得到的新指纹在连接起来,计算形成一个新的20个字节SHA1指纹值,依次类推,直到遍历完所有的威胁单链表中的度量实体。
d.得到最终的20个字节的SHA1度量实体指纹即为威胁链表的指纹值。
2)读取特定可信平台模块寄存器中保存的指纹值;
对于读取特定可信平台模块寄存器中的值,本发明中使用下面函数:
int tpm_pcr_read(u32chip_id,int pcr_idx,const u8*hash)
3)比较威胁链表的指纹和特定可信平台模块寄存器中保存的指纹值,如果相等,则系统处于安全可信状态,如果不相等,则系统处于不安全可信状态。
当可信验证完成后,整个系统启动运行后的可信计算就已经建立起来,从图1可以看出整个系统的体系结构,而图4则表示了系统的流程图,它包含了系统启动运行后可信计算的整个过程。
Claims (5)
1.在linux操作系统通过威胁链表和安全链表实现可信计算的方法,其特征在于包括如下步骤:
1)在linux安全模块框架下通过向linux内核注册建立一个安全策略,在安全策略提供的安全钩子函数中添加度量实体的度量函数;
2)在度量实体通过系统调用进入添加安全策略的安全钩子函数时,通过度量函数计算能够描述该度量实体的度量实体指纹,即通过linux内核提供的哈希函数计算度量实体文件的哈希值;
3)添加度量实体信息对应的度量结构体,度量结构体是对应度量实体的描述结构,是度量实体链表的基本元素组成;
4)根据度量实体对于系统安全的影响,来设置linux安全模块框架下与度量实体对应的脏标志位;
5)如果脏标志位设置为干净,在需要的时候添加度量结构体到没有破坏系统安全可能的度量结构体组成的安全链表中;
6)如果脏标志位设置为脏,在需要的时候添加度量结构体到可能破坏系统安全的分别以文件索引和度量实体指纹为键值的两个威胁链表中,并将度量出来的度量实体指纹扩展到指定可信平台模块寄存器中;
7)可信验证通过计算威胁链表的指纹值与保存在特定可信平台模块寄存器中的指纹值进行比较,如果一致则系统可信安全,否则系统不安全。
2.根据权利要求1所述的一种在linux操作系统通过威胁链表和安全链表实现可信计算的方法,其特征在于步骤4)所述的根据度量实体对于系统安全的影响,来设置linux安全模块框架下与度量实体对应的脏标志位,包括如下步骤:
1)对于系统安全的影响判定,即设置度量实体对应的脏标志位,包括如下步骤:
(1)查看文件是否以可写可添加方式打开,如果是,设置脏标志位为脏;
(2)查看是否装入了一个没有权限访问的文件系统上,例如网络文件系统,如果是,设置脏标志位为脏;
(3)查看文件是否属于一个文件系统,但该文件系统已经被释放掉了,如果是,设置脏标志位为脏;
(4)如果都不属于上面的情况,设置脏标志位为干净。
2)根据度量实体对于系统安全的影响,来设置linux安全模块框架下的安全域,如果破坏系统安全的行为,脏标志设置为脏,如果没有破坏系统安全,则设置为干净;
3)根据linux安全模块框架下安全域脏标志位来设置对应度量结构体中的脏标志位。
3.根据权利要求1所述的一种在linux操作系统通过威胁链表和安全链表实现可信计算的方法,其特征在于步骤5)所述的如果脏标志位设置为干净,在需要的时候添加度量结构体到没有破坏系统安全可能的度量结构体组成的安全链表中:
如果该度量结构体中脏标志为干净,则遍历整个安全链表,寻找其中是否包含该度量结构体,如果包含,则说明该度量实体已经在安全链表中,不需要重新添加,系统直接返回,如果不包含,则将该度量结构体添加到安全链表中。
4.根据权利要求1所述的一种在linux操作系统通过威胁链表和安全链表实现可信计算的方法,其特征在于步骤6)所述的如果脏标志位设置为脏,在需要的时候添加度量结构体到可能破坏系统安全的分别以文件索引和度量实体指纹为键值的两个威胁链表中,并将度量出来的度量实体指纹扩展到指定可信平台模块寄存器中:
如果该度量结构体中脏标志为脏,则遍历以文件索引为键值的威胁链表,寻找链表中是否包含该度量结构体,假如不包含在以文件索引为键值的威胁链表,则将该度量结构体添加到以指纹和文件索引为键值的两个威胁链表中,同时扩展当前度量结构体指纹到特定可信平台模块寄存器中,假如包含在以文件索引为键值的威胁链表中,则查看当前度量实体的指纹在以度量实体指纹为键值的威胁链表中是否存在,即查看该度量实体是否被修改,如果存在,则说明当前度量实体并未修改即度量实体指纹没有改变,不需要重新添加,系统直接返回,如果不存在,则将该度量结构体重新添加到以指纹为键值的威胁链表中,同时扩展当前度量结构体指纹到特定可信平台模块寄存器中;
5.根据权利要求1所述的一种在linux操作系统通过威胁链表和安全链表实现可信计算的方法,其特征在于步骤7)所述的可信验证通过计算威胁链表的指纹值与保存在特定可信平台模块寄存器中的指纹值进行比较,如果一致则系统可信安全,否则系统不安全,包括如下步骤:
1)顺序读取威胁链表单链表中的度量结构体指纹,根据linux提供的哈希函数,通过计算连接后的链表哈希指纹值计算出整个威胁链表的哈希指纹;
2)读取特定可信平台模块寄存器中保存的指纹值;
3)比较威胁链表的指纹和特定可信平台模块寄存器中保存的指纹值,如果相等,则系统处于安全可信状态,如果不相等,则系统处于不安全可信状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200810060900XA CN101271498A (zh) | 2008-03-25 | 2008-03-25 | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA200810060900XA CN101271498A (zh) | 2008-03-25 | 2008-03-25 | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101271498A true CN101271498A (zh) | 2008-09-24 |
Family
ID=40005466
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA200810060900XA Pending CN101271498A (zh) | 2008-03-25 | 2008-03-25 | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101271498A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102004879A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种识别可信任进程的方法 |
CN103514402A (zh) * | 2013-09-30 | 2014-01-15 | 广州华多网络科技有限公司 | 入侵检测方法及装置 |
CN103577748A (zh) * | 2013-11-20 | 2014-02-12 | 北京可信华泰信息技术有限公司 | 基于可信计算的动态度量方法与管理系统 |
CN103748594A (zh) * | 2011-07-29 | 2014-04-23 | 微软公司 | 针对arm*trustzonetm实现的基于固件的可信平台模块 |
CN105556526A (zh) * | 2013-09-30 | 2016-05-04 | 慧与发展有限责任合伙企业 | 分层威胁智能 |
CN105956466A (zh) * | 2016-04-28 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于tpm的主动度量及异常上报系统和方法 |
CN106295331A (zh) * | 2016-08-22 | 2017-01-04 | 浪潮电子信息产业股份有限公司 | 一种主动防御及异常上报系统的设计方法 |
CN108399338A (zh) * | 2018-02-06 | 2018-08-14 | 南京航空航天大学 | 基于进程行为的平台完整性状态信息度量方法 |
WO2020207343A1 (zh) * | 2019-04-12 | 2020-10-15 | 阿里巴巴集团控股有限公司 | 计算处理方法、系统、设备、存储器、处理器及计算机设备 |
CN113221117A (zh) * | 2021-04-29 | 2021-08-06 | 麒麟软件有限公司 | 一种基于双体系架构的可信计算平台的动态度量方法 |
-
2008
- 2008-03-25 CN CNA200810060900XA patent/CN101271498A/zh active Pending
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102004879B (zh) * | 2010-11-22 | 2012-12-26 | 北京北信源软件股份有限公司 | 一种识别可信任进程的方法 |
CN102004879A (zh) * | 2010-11-22 | 2011-04-06 | 北京北信源软件股份有限公司 | 一种识别可信任进程的方法 |
CN103748594A (zh) * | 2011-07-29 | 2014-04-23 | 微软公司 | 针对arm*trustzonetm实现的基于固件的可信平台模块 |
US9189653B2 (en) | 2011-07-29 | 2015-11-17 | Microsoft Technology Licensing, Llc | Software-based trusted platform module |
CN103748594B (zh) * | 2011-07-29 | 2016-06-22 | 微软技术许可有限责任公司 | 针对arm*trustzonetm实现的基于固件的可信平台模块 |
US9489512B2 (en) | 2011-07-29 | 2016-11-08 | Microsoft Technology Licensing, Llc | Trustzone-based integrity measurements and verification using a software-based trusted platform module |
CN103514402B (zh) * | 2013-09-30 | 2017-01-11 | 广州华多网络科技有限公司 | 入侵检测方法及装置 |
CN103514402A (zh) * | 2013-09-30 | 2014-01-15 | 广州华多网络科技有限公司 | 入侵检测方法及装置 |
CN105556526B (zh) * | 2013-09-30 | 2018-10-30 | 安提特软件有限责任公司 | 提供分层威胁智能的非暂时性机器可读介质、系统和方法 |
CN105556526A (zh) * | 2013-09-30 | 2016-05-04 | 慧与发展有限责任合伙企业 | 分层威胁智能 |
US10104109B2 (en) | 2013-09-30 | 2018-10-16 | Entit Software Llc | Threat scores for a hierarchy of entities |
CN103577748B (zh) * | 2013-11-20 | 2017-01-18 | 北京可信华泰信息技术有限公司 | 基于可信计算的动态度量方法与管理系统 |
CN103577748A (zh) * | 2013-11-20 | 2014-02-12 | 北京可信华泰信息技术有限公司 | 基于可信计算的动态度量方法与管理系统 |
CN105956466A (zh) * | 2016-04-28 | 2016-09-21 | 浪潮电子信息产业股份有限公司 | 一种基于tpm的主动度量及异常上报系统和方法 |
CN106295331A (zh) * | 2016-08-22 | 2017-01-04 | 浪潮电子信息产业股份有限公司 | 一种主动防御及异常上报系统的设计方法 |
CN108399338A (zh) * | 2018-02-06 | 2018-08-14 | 南京航空航天大学 | 基于进程行为的平台完整性状态信息度量方法 |
WO2020207343A1 (zh) * | 2019-04-12 | 2020-10-15 | 阿里巴巴集团控股有限公司 | 计算处理方法、系统、设备、存储器、处理器及计算机设备 |
CN113221117A (zh) * | 2021-04-29 | 2021-08-06 | 麒麟软件有限公司 | 一种基于双体系架构的可信计算平台的动态度量方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101271498A (zh) | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 | |
US8886929B2 (en) | Generating a chain of trust for a virtual endpoint | |
Zhou et al. | Veridb: An sgx-based verifiable database | |
KR20200016238A (ko) | 스크립트 기반 블록체인 상호작용 | |
CN110730225A (zh) | 基于区块链的物联网的数据处理方法、物联网及存储介质 | |
JP2016146631A (ja) | 機器にセキュリティを提供する方法および装置 | |
Kundu et al. | How to authenticate graphs without leaking | |
CA3152588A1 (en) | Pruning entries in tamper-evident data stores | |
Chakraborti et al. | ConcurORAM: High-throughput stateless parallel multi-client ORAM | |
Kazemi et al. | TAPAS: Trustworthy privacy-aware participatory sensing | |
Thuraisingham | Blockchain technologies and their applications in data science and cyber security | |
CN111914303A (zh) | Linux系统运行时状态的安全度量与安全验证方法 | |
CN108460293A (zh) | 一种应用程序完整性多级检查机制 | |
Wang et al. | A survey of secure boot schemes for embedded devices | |
Wang et al. | A high-performance hybrid blockchain system for traceable IoT applications | |
Mahony et al. | A systematic review of blockchain hardware acceleration architectures | |
Duy et al. | Confidential machine learning computation in untrusted environments: A systems security perspective | |
Zhou et al. | Domain-independent structured duplicate detection | |
CN106874785A (zh) | 多操作系统的系统文件访问方法及装置 | |
Heikamp et al. | Forward Traceability for Product Authenticity Using Ethereum Smart Contracts | |
Connelly et al. | A lightweight permission-based blockchain for IoT environments | |
Chen et al. | Ladder: A Blockchain Model of Low-Overhead Storage | |
Clarke et al. | Offline integrity checking of untrusted storage | |
Fritz et al. | A Framework for Policy Based Negotiation | |
CN108875370A (zh) | 基于静态数据引用链的Linux文件系统完整性验证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080924 |