CN102760213A - 一种基于可信Agent的移动终端可信状态监测方法 - Google Patents

一种基于可信Agent的移动终端可信状态监测方法 Download PDF

Info

Publication number
CN102760213A
CN102760213A CN2012101811809A CN201210181180A CN102760213A CN 102760213 A CN102760213 A CN 102760213A CN 2012101811809 A CN2012101811809 A CN 2012101811809A CN 201210181180 A CN201210181180 A CN 201210181180A CN 102760213 A CN102760213 A CN 102760213A
Authority
CN
China
Prior art keywords
trusted status
portable terminal
credible
trusted
agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012101811809A
Other languages
English (en)
Other versions
CN102760213B (zh
Inventor
张涛
林为民
费稼轩
陈亚东
曾荣
邓松
邵志鹏
楚杰
陈牧
徐敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Zhejiang Electric Power Co Ltd
China Electric Power Research Institute Co Ltd CEPRI
Global Energy Interconnection Research Institute
Original Assignee
China Electric Power Research Institute Co Ltd CEPRI
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electric Power Research Institute Co Ltd CEPRI filed Critical China Electric Power Research Institute Co Ltd CEPRI
Priority to CN201210181180.9A priority Critical patent/CN102760213B/zh
Publication of CN102760213A publication Critical patent/CN102760213A/zh
Application granted granted Critical
Publication of CN102760213B publication Critical patent/CN102760213B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

本发明提供了一种基于可信Agent的移动终端可信状态监测方法,包括如下步骤:(1).可信启动移动终端;(2).判断移动终端用户的身份,如果是管理员模式则转到步骤3,如果是普通用户模式则转到步骤4;(3).在管理员模式下,进行移动终端可信状态特征提取;(4).在普通用户模式下,进行移动终端可信状态监测。本发明提供了一种基于可信Agent的移动终端可信状态监测方法,解决了移动终端运行期间可信状态监测问题,通过使用本发明中提出的方法可以全面准确地提取移动终端运行期间用户、软件行为可信状态特征从而有效判断移动终端的可信状态,并通过引入Agent技术,简化了可信状态监测的复杂性,提高了可信状态监测的准确性和效率。

Description

一种基于可信Agent的移动终端可信状态监测方法
技术领域
本发明属于信息安全领域,具体涉及一种基于可信Agent的移动终端可信状态监测方法。
背景技术
随着信息网络的发展,各类移动终端如移动个人数字助理(PDA)、移动智能手机得到了广泛的应用,但是由于移动终端本身体系结构简单化、终端入网无安全审核、用户行为无安全管控等问题,造成移动终端存在着大量的安全隐患,病毒、蠕虫、木马等恶意代码通过移动终端漏洞攻击信息网络,使网络处于不安全的状态,目前普遍采用的认证技术只以待接入的移动终端是否掌握认证协议的口令或密钥来判断其是否接入网络,忽视了终端系统自身是否安全可信。这就要求从源头上确保移动终端的信息安全,通过使用可信计算(TrustedComputing)技术从移动终端的芯片、硬件结构、操作系统以及应用软件等方面综合采取措施,可以显著提升移动终端的安全防护能力。
可信计算组织TCG(Trusted Computing Group)从实体行为角度对可信计算进行了定义:“如果一个实体的行为,总是以预期的方式,达到预期的目标,则称其为可信的”,将可信技术引入移动终端,从移动终端的完整性角度来解决其安全性问题,如果移动终端从一个初始的“可信根”出发,在移动终端计算环境的每一次转换时,“信任”可以通过传递的方式保持下去不被破坏,那么移动终端上的计算环境就始终是可信的。移动终端通过使用可信计算提供的可信完整性度量、可信信任链建立、可信密码服务及可信网络连接服务来保障终端内部的资源安全可靠,同时构建安全可信的通信环境,通过可信计算硬件和认证机制在终端之间建立可信关系,构建可信网络,有效控制移动终端源头的不安全因素。
但是目前通过使用可信计算来提升移动终端自身安全防护能力方面还存在一些不足:1)目前可信计算相关规范只定义了从平台加电到操作系统装载可信传递过程中的完整性度量,并没有描述系统引导后如何对应用程序的完整性进行度量,无法保证移动终端上用户行为主体应用程序的安全可信;2)目前可信计算技术仅仅在初始连接网络时进行一次性完整性度量,该方法只能证明在该时刻移动终端所处的状态,不能反映移动终端状态变化;3)目前的可信完整性度量方法属于静态度量,无法对可能带来严重隐患和安全威胁的用户、软件动态行为进行可信测量和监控,即使有一些度量技术在静态度量的基础上加上状态变量也不能算是真正的动态度量,其次目前的完整性度量技术对软件行为主体进程的度量无能为力。
发明内容
为克服上述缺陷,本发明提供了一种基于可信Agent的移动终端可信状态监测方法,来解决反映移动终端可信状态的终端用户行为和软件行为的可信监测问题,通过使用本方法可以实现移动终端上用户行为和软件行为自动、准确和高效的可信监测,提高移动终端的主动防御能力。
为实现上述目的,本发明提供一种基于可信Agent的移动终端可信状态监测方法,包括:可信密码模块和移动终端;所述可信密码模块设置有SM3杂凑算法组件;所述移动终端包括BIOS可信引导块、特征提取Agent和可信状态监测核心Agent;其改进之处在于,所述方法包括如下步骤:
(1).可信启动移动终端;
(2).判断移动终端用户的身份,如果是管理员模式则转到步骤3,如果是普通用户模式则转到步骤4;
(3).在管理员模式下,进行移动终端可信状态特征提取;
(4).在普通用户模式下,进行移动终端可信状态监测。
本发明提供的优选技术方案中,所述步骤1包括如下步骤:
(1-1).开启移动终端电源启动移动终端;
(1-2).移动终端在加电启动过程中建立可信信任链,如果信任链建立失败则转到步骤1-3,否则转到步骤1-5;
(1-3).移动终端发出告警并记录日志;
(1-4).移动终端自动关机;
(1-5).移动终端对登陆的用户进行身份认证,如果身份认证失败则重新认证用户的身份,否则进行步骤2。
本发明提供的第二优选技术方案中,在所述步骤(1-2)中,移动终端以其BIOS可信引导块作为信任链的起点,首先由BIOS可信引导块调用可信密码模块的完整性度量功能来判断BIOS的完整性;BIOS完整性检查通过后,BIOS调用可信密码模块的完整性度量功能对操作系统进行度量判断操作系统的完整性;最后,操作系统的完整性检查通过后由操作系统调用可信密码模块的完整性度量功能来完成对移动终端上Agent的度量,以此方式建立建立可信信任链。
本发明提供的第三优选技术方案中,所述步骤3包括如下步骤:
(3-1).在管理员模式下,设置特征提取Agent的工作模式是实时工作模式,在移动终端管理员模式下实时提取可信状态特征;
(3-2).特征提取Agent根据操作系统的源代码,得到操作系统的系统调用序列;
(2-3).特征提取Agent编译作为用户行为主体或客体的应用程序,得到目标机器指令;
(3-4).特征提取Agent取得作为用户行为客体的文件的二进制流;
(3-5).特征提取Agent计算用户行为可信状态特征值;
(3-6).可信状态特征库加密并存储步骤2-5中计算得到的用户行为可信状态特征值;
(3-7).特征提取Agent使用钩子函数实时提取移动终端运行期间软件行为主体进程的代码段;
(3-8).特征提取Agent使用钩子函数实时提取移动终端运行期间软件行为主体进程所调用的动态可加载库集合;
(3-9).特征提取Agent计算软件行为可信状态特征值;
(3-10).可信状态特征库加密并存储步骤2-9中计算得到的软件行为可信状态特征值;
(3-11).判断移动终端是否关机,如果移动终端未关机,则循环执行步骤3-7至步骤3-10,进行软件行为可信状态特征的采集,丰富可信状态特征库;否则步骤3-12;
(3-12).移动终端已关机,可信状态特征采集结束。
本发明提供的第四优选技术方案中,在所述步骤3-1中,在管理员模式下提取的用户、软件行为可信状态特征是存储到可信状态特征库中可信的特征值。
本发明提供的第五优选技术方案中,在所述步骤3-2中,特征提取Agent根据操作系统的源代码,通过构造控制流图的方法得到操作系统中“读”、“写”、“执行”和“删除”操作对应的系统调用序列。
本发明提供的第六优选技术方案中,在所述步骤3-5中,特征提取Agent使用可信密码模块提供的SM3杂凑算法组件根据用户行为主体对客体的操作行为、操作行为所对应的系统调用序列、主体应用程序对应的目标机器指令和客体文件对应的二进制流或客体应用程序对应的目标机器指令来计算用户行为可信状态特征值。
本发明提供的第七优选技术方案中,在所述步骤3-6中,可信状态特征库使用可信密码模块提供的密码运算功能加密并存储步骤3-5中计算得到的用户行为可信状态特征值。
本发明提供的第八优选技术方案中,在所述步骤3-9中,特征提取Agent使用可信密码模块提供的SM3杂凑算法组件根据软件行为主体进程的代码段及其对应的动态可加载库集合来计算软件行为可信状态特征值。
本发明提供的第九优选技术方案中,在所述步骤3-10中,可信状态特征库使用可信密码模块提供的密码运算功能加密并存储步骤3-9中计算得到的软件行为可信状态特征值。
本发明提供的第十优选技术方案中,所述步骤4包括如下步骤:
(4-1).可信状态监测核心Agent监控移动终端后备作业队列饱和程度;
(4-2).可信状态监测核心Agent指定特征提取Agent的工作模式;
(4-3).特征提取Agent在指定的工作模式下提取移动终端运行期间用户、软件行为可信状态特征;
(4-4).特征提取Agent计算待监测的软件行为可信状态特征值;
(4-5).可信状态监测核心Agent进行用户行为可信安全策略符合性检查;
(4-6).可信状态监测核心Agent进行软件行为可信安全策略符合性检查;
(4-7).可信状态监测核心Agent计算可信状态判别函数;
(4-8).判断移动终端状态是否可信,如果移动终端处于非可信状态则转到步骤4-9,否则转到步骤4-10;
(4-9).移动终端根据移动终端可信安全策略检查结果进行分类告警并记录日志;
(4-10).判断移动终端是否关机,如果移动终端未关机,则循环顺序执行步骤4-1至步骤4-8,持续进行移动终端可信状态监测,否则转到步骤4-11;
(4-11).移动终端关机,可信状态监测结束。
本发明提供的较优选技术方案中,在所述步骤4-2中,可信状态监测核心Agent根据移动终端后备作业队列中等待运行的作业的饱和程度来指定普通用户模式下特征提取Agent的工作模式,特征提取Agent的初始工作模式为实时模式,如果后备作业队列已满,则指定特征提取Agent的工作模式为非实时模式,如果后备作业队列中等待运行的作业数与整个后备作业队列长度的比例小于等于20%并且当前的模式为非实时模式则将特征提取模式切换为非实时模式。
本发明提供的第二较优选技术方案中,在所述步骤4-3中,特征提取Agent在指定的工作模式下使用钩子函数提取普通用户模式下移动终端运行期间用户、软件行为可信状态特征。
本发明提供的第三较优选技术方案中,在所述步骤4-4中,特征提取Agent使用可信密码模块提供的SM3杂凑算法组件对普通用户模式下提取的待监测用户行为主体对客体的操作行为、操作行为所对应的系统调用序列、主体应用程序对应的目标机器指令和客体文件对应的二进制流或客体应用程序对应的目标机器指令计算得到待监测的用户行为可信状态特征值;对普通用户模式下提取的软件行为主体进程的代码段及对应的动态可加载库集合计算得到待监测的软件行为可信状态特征值。
本发明提供的第四较优选技术方案中,在所述步骤4-5中,可信状态监测核心Agent将待监测的用户行为可信状态特征值与可信状态特征库中的用户行为可信状态特征值相匹配,进行用户行为可信安全策略符合性检查。
本发明提供的第五较优选技术方案中,在所述步骤4-6中,可信状态监测核心Agent将待监测的软件行为可信状态特征值与可信状态特征库中的软件行为可信状态特征值相匹配,进行软件行为可信安全策略符合性检查。
本发明提供的第六较优选技术方案中,在所述步骤4-7中,可信状态监测核心Agent根据用户行为可信安全策略符合性和软件行为可信安全策略符合性检查的结果计算可信状态判别函数。
本发明提供的第七较优选技术方案中,在所述步骤4-8中,根据可信状态判别函数的计算结果得到移动终端可信状态的监测结果,判断移动终端状态是否可信。
与现有技术比,本发明提供的一种基于可信Agent的移动终端可信状态监测方法,采用Agent技术通过静态和动态分析方法使用移动终端可信状态特征提取Agent和可信状态监测核心Agent来提取移动终端用户、软件行为可信状态特征并根据用户、软件行为可信安全策略检查结果来计算得到移动终端的可信状态,有效保证了可信状态监测的效率和准确性;采用可信计算的信任链传递和完整性度量技术通过可信密码模块将基于硬件的安全性传递到Agent上,保证了Agent的安全可信从而确保了整个可信状态监测架构的安全;而且,移动终端通过使用该可信状态监测方法可以有效的监测针对移动终端的各种恶意程序攻击、恶意代码植入攻击、物理数据窃取等多种攻击方式,及时阻止恶意程序对移动终端的破坏,保证移动终端的安全可信;再者,本方法主要用于解决移动终端运行期间可信状态监测问题,通过使用本方法,可以全面准确地提取移动终端运行期间用户、软件行为可信状态特征从而有效判断移动终端的可信状态,并通过引入Agent技术,简化可信状态监测的复杂性,提高可信状态监测的准确性和效率。
附图说明
图1为移动终端可信状态监测组成结构图。
图2为移动终端可信状态监测体系结构图。
图3为移动终端可信状态监测方法的实施例流程图。
具体实施方式
图1给出了基于可信Agent的移动终端可信状态监测方法的组成结构图,它主要包括四个部分:移动终端状态特征提取Agent、移动终端可信状态监测核心Agent、移动终端可信状态监测控制器和可信密码模块。图中的移动终端可信状态监测核心Agent包括了对动态提取的终端状态特征进行计算从而完成对移动终端可信状态监测的所有具体操作。本发明增加的其他三个部分是用来保证使用可信Agent的方法进行终端可信状态监测的辅助模块,能够保证移动终端可信状态监测的准确性和可信性。
下面给出这四个部分的具体介绍:
移动终端状态特征提取Agent:在该发明中移动终端状态特征提取Agent负责提取移动终端上用户、软件行为的可信状态特征并计算其特征值形成可信状态特征库;在移动终端实际使用期间,特征提取Agent动态提取移动终端用户、软件行为的运行时可信状态特征,由移动终端可信状态核心Agent通过可信安全策略符合性检查和可信状态判别函数计算来得到移动终端可信状态。
移动终端可信状态监测核心Agent:该部分的Agent是在其他三个部分的辅助下完成移动终端可信状态监测的核心部分,通过其制定的可信状态监测规则,特征提取Agent依据监测规则动态提取用户、软件行为特征,与可信状态特征库中的特征值匹配进行可信安全策略符合性检查,最后计算移动终端可信状态从而达到动态可信状态监测的效果。
可信密码模块:该部分工作在移动终端操作系统的内核层,以密码技术为基础,利用密码机制,对特征提取Agent和监测核心Agent进行完整性度量,确保移动终端上Agent自身的可信,并为可信状态特征值的加密存储提供密码运算功能。
移动终端可信状态监测控制器:在该发明中,需要通过静态和动态分析技术来得到一个移动终端可信状态特征库作为判断可信状态的依据,该可信状态特征库中的值是通过计算在管理员模式下由特征提取Agent提取移动终端用户、软件可信状态特征并计算而得到的;移动终端在普通用户模式下运行过程中由特征提取Agent动态提取的用户、软件运行时状态特征,将根据计算得到的特征值与可信状态特征库中的值匹配,从而判断移动终端的可信状态;故需要一个控制器来区分特征提取Agent提取的特征是管理员模式下已知可信的用户、软件可信状态特征还是待监测的用户、软件运行时可信状态特征。本专利中对移动终端可信状态监测控制器的具体实现不做任何限制。
方法流程
移动终端状态特征提取Agent
移动终端的可信状态监测主要考察行为预期性的满足,即实体(用户或者软件)总是以预期的方式达到预期的目标,通过确保用户、软件行为总是以预期的方式达到预期的目标来确保移动终端的可信性。所以为了准确监测移动终端的可信状态,本发明将移动终端上用户和软件行为的可信状态特征作为判断可信状态的指标。
移动终端上用户行为指的是用户的行为主体(应用程序)对客体(文件或应用程序)执行一系列的操作从而表现出一定的行为属性。用户行为是否可信不仅与其行为的主、客体本身的完整性有关,同时与主体对客体所执行操作的执行权限有关,主体对客体被权限允许的操作是通过操作对应的系统调用序列表示。所以用户可信状态特征(Trusted States Characteristic of User Behavior,TSCUB),用tscubi表示,是由移动终端上主体对客体合法操作行为及其系统调用序列和主、客体自身的完整性度量值这个四元组来描述:
tscubi=<opi,hSeqi,hsi,hoi>。
其中操作行为opi∈Operation,Operation是用户行为主体对客体的操作集合Operation={r,w,e,d},集合中的元素分别表示“只读”、“读写”、“执行”和“删除”操作,主体以opi方式操作客体;操作对应的系统调用序列的完整性值hSeqi∈HashSequence,HashSequence是操作集合中各操作对应的系统调用序列的完整性度量值集合:
HashSequence={rSquence,wSquence,eSequence,dSequence},集合中的元素分别表示“只读”、“读写”、“执行”和“删除”操作的系统调用序列的完整性度量值;用户行为主体的完整性度量值hsi∈HashApplication,HashApplication是移动终端上用户行为主体应用程序经过编译链接后得到的目标机器指令的完整性度量值集合:HashApplication={happ1,happ2,...,happn},n为移动终端的应用程序个数;由于用户行为客体可以是文件或者应用程序,所以用户行为客体的完整性度量值hoi∈HashFiles或hoi∈HashApplication,HashFiles是移动终端上文件的完整性度量值集合HashFiles={hfil1,hfil2,...,hfilm},m为移动终端上的文件个数。
移动终端上软件行为指的是软件为执行某一项功能其行为主体-进程的运行过程,该过程还包括进程对动态可加载库的调用。软件行为的可信与加载到进程中的可执行代码和动态可加载库的完整性有关。所以软件可信状态特征(Trusted States Characteristic of Software Behavior,TSCSB),用tscsbi表示,是由移动终端上软件运行时所调用进程的代码段及其调用的动态可加载库集合的完整性度量值这个二元组来描述:tscsbi=<hcodei,hlibseti>。
其中进程代码段的完整性度量值hcodei∈HashProcess,HashProcess是移动终端上软件进程代码段完整性度量值集合:HashProcess={hcode1,hcode2,...,hcodek},k为移动终端上所有软件执行需要启动进程的总个数;动态可加载库集合的完整性度量值hlibseti∈HASHLIBSET,HASHLIBSET={hlibset1,hlibset2,...,hlibsett}是进程对动态可加载库调用集合完整性度量值集合,t为移动终端上进程对动态可加载库调用方式的个数。
本发明中移动终端状态特征提取Agent综合使用静态分析和动态分析的方法来提取移动终端用户、软件行为的可信状态特征,其中在管理员模式下得到的移动终端用户、软件行为可信状态特征作为判断移动终端可信的依据存储在移动终端可信状态特征库中,为了保证可信状态特征库的安全,特征库位于可信密码模块提供的可信存储区域中;在普通用户模式下提取的用户、软件行为可信状态特征作为待监测的状态特征,由监测核心Agent根据可信状态监测规则与可信状态特征库中的值相匹配,计算得到移动终端可信状态。
静态分析是指特征提取Agent以操作系统和软件的源程序为中心,通过分析操作系统和软件的程序代码,构造操作行为系统调用图和进程执行控制流图来计算操作系统和软件自身函数调用序列从而推断移动终端用户和软件预期行为的可信状态特征。静态分析方法分析用户行为主体对客体的四种操作行为:“读”、“读写”、“执行”和“删除”对应的操作系统调用序列,并用系统调用序列向量SCSr、SCSw、SC Se、SC Sd表示,下标表示操作行为,SCS=<SysCallName1,SysCallName2,...SysCallNamej>,j表示一个具体的操作行为所需的系统调用个数,SysCallName为系统调用的名称,最后使用可信密码模块提供的SM3杂凑算法计算出每一种操作行为对应的系统调用完整性度量值,如“读”操作的系统调用序列完整性度量值rSquence=Hash(SCSr),其他操作的计算方式与此相同。对于用户行为可信状态特征中的主、客体完整性度量值,静态分析是通过SM3杂凑算法来计算移动终端所有应用程序经编译后的目标机器指令和文件所对应的二进制流的散列值得到,即用户行为主体应用程序的完整性度量值happi=Hash(AppMachineCodei),AppMachineCodei是一个具体应用程序经编译后的目标机器指令,当用户行为的客体是应用程序时(用户操作一个应用程序),其完整性度量值即所对应的应用程序的完整性度量值,当用户行为的客体是文件时(用户操作一个文件),其客体完整度量值为hfili=Hash(FileBinaryi),FileBinaryi是一个具体文件的二进制流;
动态分析是指在移动终端运行期间,由特征提取Agent使用移动终端操作系统Linux安全模块LSM(Linux Security Module)提供的一系列安全相关的钩子函数,采用程序植入的方式,通过改写与行为监控相关的钩子函数,在发生系统调用和动态可加载库调用的位置加入监控代码,实现对移动终端实际运行过程中用户、软件所发出的系统调用和动态可加载库调用的动态拦截、从而全面、准确地提取用户、软件行为特征。对于软件行为可信状态特征中的进程代码段和动态可加载库集合的完整性度量值,动态分析是通过SM3杂凑算法来计算软件行为主体进程的代码段和动态可加载库集合的散列值得到,即进程代码段完整性度量值hCodei=Hash(ProcessCodeSegmenti),ProcessCodeSegmenti是在移动终端运行期间通过钩子函数提取的运行进程的代码段,动态可加载库集合完整性度量值hlibseti=Hash(processlibcallseti),其中的processlibcallseti表示钩子函数提取的一个运行进程所调用的动态可加载库向量集合,该集合表示某一个进程对动态可加载库的有序调用集:
PROCESSLIBCALLSETi=<libBinary1,libBinary2,...,libBinaryq>,其中libBinaryi是一个具体的动态可加载库对应的二进制流。按照上述方法,特征提取Agent在移动终端运行期间动态提取操作系统调用序列和进程对动态可加载库的调用集合,并采用和静态分析相同的计算方法,使用可信密码模块提供的SM3杂凑算法计算用户操作行为的系统调用序列和软件行为主体进程对动态可加载库调用集合的完整性度量值。动态分析还使用监控代码提取移动终端运行期间应用程序的目标机器指令、文件二进制流和进程运行时载入的代码段,并使用和静态分析相同的方式来计算得到移动终端运行期间用户行为主、客体及软件行为主体的完整性度量值。
主要工作流程如下:
(1)以管理员模式启动移动终端,将操作系统内核及终端上所有软件的源代码提交给移动终端状态特征提取Agent;
(2)移动终端特征提取Agent使用静态分析的方法通过操作系统及软件源代码构造其控制流图,分析控制流图得到操作系统中“读”“写”“执行”和“删除”操作对应的系统调用序列SCSr、SCSw、SC Se、SC Sd
(3)移动终端特征提取Agent分析用户行为主体应用程序对客体应用程序或者文件所有合法的操作opi,并通过静态分析方法编译应用程序得到其目标机器指令AppMachineCodei并取得终端存储空间中各文件的二进制流FileBinaryi
(4)移动终端特征提取Agent使用动态分析方法提取管理员模式下软件行为主体进程的代码段ProcessCodeSegmenti以及软件行为主体进程的动态可加载库调用集PROCESSLIBCALLSETi
(5)在管理员模式下对提取的用户合法操作行为opi、用户操作行为系统调用序列SCSr、SCSw、SC Se、SC Sd、应用程序目标机器指令AppMachineCodei和文件二进制流FileBinaryi使用可信密码模块提供的SM3杂凑算法计算得到一个用户行为的可信状态特征值tscubi=<opi,hSeqi,hsi,hoi>;对提取的进程代码段ProcessCodeSegmenti和进程动态加载库调用集PROCESSLIBCALLSETi使用可信密码模块提供的SM3杂凑算法计算得到一个软件行为的可信状态特征值
tscsbi=<hcodei,hlibseti>;
(6)将所有在管理员模式下提取得到的用户、软件行为可信状态特征值作为判断移动终端可信的依据存储到由可信密码模块加密保护的移动终端可信状态特征库中;
(7)以普通用户登录移动终端,移动终端特征提取Agent使用动态分析的方法提取得到待监测的用户、软件行为可信状态特征,提交给移动终端可信状态监测核心Agent根据可信状态特征库中的特征值计算得到移动终端的可信状态。
移动终端可信状态监测核心Agent
移动终端可信状态监测核心Agent是本发明提出的监测方法的核心,其功能包括可信状态监测规则,用户、软件行为可信安全策略和移动终端可信状态判别函数的制定,以及通过可信安全策略符合性检查和可信状态判别函数计算来得到移动终端可信状态,并对非可信状态进行告警及记录可信状态监测的日志。
由于移动终端本身计算资源有限,在移动终端运行的同时进行实时的用户、软件行为可信状态特征提取会占用大量移动终端软、硬件资源,在移动终端作业任务量大的时候,这种实时的特征提取会严重影响到移动终端的正常使用,为此本发明提出使用可信状态监测规则来指导特征提取Agent对移动终端运行期间用户、软件行为进行可信状态特征提取。可信状态监测规则制定的目的是在保证移动终端运行性能的基础上,灵活配置特征提取Agent的工作模式,特征提取Agent的工作模式分为实时(RealTime)和非实时(Period),特征提取Agent初始模式为实时(RealTime)模式,即在终端运行期间实时地通过钩子函数动态拦截系统调用和进程执行,提取可信状态特征,当移动终端上后备作业队列处于饱和状态时,特征提取Agent提取当前系统用户、软件行为可信状态特征,如果计算得到移动终端处于可信状态(表示不是由于恶意用户或恶意程序造成的作业等待),则将特征提取Agent的工作模式修改为非实时(Period)模式,即周期性的提取移动终端可信状态特征,等到后备作业队列中等待运行的作业数降到整个后备作业队列的20%时,特征提取Agent提取当前可信状态特征并判断移动终端的可信状态,如果处于可信状态则将特征提取Agent的工作模式更改为RealTime,否则就告警并停止移动终端上所有作业的执行。
为了准确计算移动终端可信状态,可信状态监测核心Agent制定了可信安全策略和终端可信状态判别函数,通过策略符合性检查及判别函数计算来得到移动终端的可信状态。可信安全策略分为用户行为可信安全策略和软件行为可信安全策略,其中用户行为可信安全策略UserBehaviorPolicy包含了主体完整性SubjIntegrity检查、客体完整性ObjIntegrity检查和用户操作权限OperRight检查,UserBehaviorPolicy=SubjIntegirty∧ObjIntegrity∧OperRight,其中:
SubjIntegrity=0,表示特征提取Agent提取的用户行为主体应用程序完整性度量值不在可信特征库中,用户行为主体应用程序的完整性被破坏;否则SubjIntegrity=1,表示满足用户行为主体应用程序的完整性要求;
ObjIntegrity=0,表示特征提取Agent提取的用户行为客体应用程序或文件的完整性度量值不在可信特征库中,用户行为客体应用程序或文件的完整性被破坏;否则ObjIntegrity=1,表示满足用户行为客体应用程序或文件的完整性要求;
OperRight=0,表示特征提取Agent提取的用户操作及其系统调用的完整性度量值不在该操作的主客体完整性度量值所对应的可信特征库的元组中,用户行为主体对客体不具有该操作权限;否则OperRight=1,表示满足用户行为主体对客体的操作权限;
通过上述三项检查,用户行为满足其可信安全策略当且仅当用户行为主、客体完整性和用户操作权限检查都通过,即UserBehaviorPolicy=1当且仅当SubjIntegirty=1∧ObjIntegrity=1∧OperRight=1,否则UserBehaviorPolicy=0,用户行为不符合其可信安全策略。
软件行为可信安全策略SoftwareBehaviorPolicy包含了主体进程代码段完整性ProcessCodeSegmentIntegrity检查和进程动态可加载库集合完整性ProcessLibCallSetIntegrity检查:
SoftwareBehaviorPolicy=ProcessCodeSegmentIntegirty∧ProcessLibCallSetIntegrity,其中:
ProcessCodeSegmentIntegrity=0,表示特征提取Agent提取的软件行为主体进程代码段的完整性度量值不在可信特征库中,软件行为主体进程的完整性被破坏;否则ProcessCodeSegmentIntegrity=1,表示满足软件行为主体进程的完整性要求;
ProcessLibCallSetIntegrity=0,表示特征提取Agent提取的软件行为主体进程的动态可加载库集合的完整性度量值不在该进程代码段的完整性度量值所对应的可信特征库的元组中,软件行为主体进程的动态可加载库集合的完整性被破坏;否则ProcessLibCallSetIntegrity=1,表示满足动态可加载库集合的完整性要求;
软件行为满足其可信安全策略当且仅当软件行为主体进程的代码段和对应的动态可加载库集合的完整性检查都通过,即SoftwareBehaviorPolicy=1当且仅当ProcessCodeSegmentIntegirty=1∧ProcessLibCallsetIntegrity=1,否则SoftwareBehaviorPolicy=0,软件行为不符合其可信安全策略。
在上述用户、软件行为可信安全策略符合性检查的基础上,为了对移动终端状态是否可信进行判别,移动终端可信状态检测核心Agent通过计算可信状态判别函数TrustStatus来得到移动终端可信状态值,移动终端可信状态值为Trust表示移动终端处在可信状态,值为UnTrust则表示移动终端处在一个非可信的状态,其中TrustStatus=UserBehaviorPolicy∧SoftwareBehaviorPolicy,表示终端处在可信状态当且仅当用户、软件行为可信安全策略检查都通过,即TrustStatus=Trust,当且仅当UserBehaviorPolicy=1∧SoftwareBehaviorPolicy=1,否则TrustStatus=UnTrust。
主要工作流程:
(1)移动终端可信状态监测核心Agent首先制定特征提取Agent的可信状态监测规则,根据移动终端的后备作业队列的饱和程度来确定特征提取Agent采用实时还是非实时的工作模式;
(2)可信状态监测核心Agent获取特征提取Agent在指定工作模式(实时或非实时)下提取的移动终端运行期间的可信状态特征;
(3)可信状态监测核心Agent对特征提取Agent提取的可信状态特征进行用户、软件行为可信安全策略符合性检查,并对不符合可信安全策略的行为进行告警;
(4)可信状态监测核心Agent根据移动终端用户、软件行为可信安全符合性检查的结果利用可信状态判别函数来计算得到移动终端的可信状态;
(5)可信状态监测核心Agent记录用户、软件行为可信安全策略符合性检查与可信状态判别函数计算的日志。
可信密码模块
移动终端特征提取Agent和可信状态监测核心Agent作为可以自主完成设计目标的具有自治性、反应能力和自发行为等特性的计算机程序,其自身也面临着被恶意用户或程序破坏的风险,如何保证Agent自身的可信是移动终端可信状态监测能否正确运行的重要问题;同时为了确保可信状态特征库中特征值的安全,需要为可信状态特征值提供安全可靠的存储。本发明利用可信密码模块(Trusted Cryptography Module,TCM)提供的密码运算功能,将可信密码模块基于硬件的安全性延伸到Agent上,从而确保Agent自身的可信,并为可信状态特征值提供受保护的存储空间。
为了将可信密码模块基于硬件的安全性延伸到Agent上,本发明采用可信计算信任链传递的技术,其基本思想是在计算机系统中首先建立一个信任根,再建立一条信任链,一级测量认证一级,一级信任一级,把信任关系扩大到整个计算机系统,从而确保计算机系统的可信。结合该思想,本发明利用这种信任链传递技术来确保Agent的可信,移动终端启动时以其BIOS可信引导块作为信任链的起点,首先由BIOS可信引导块调用可信密码模块的完整性度量功能来判断BIOS的完整性,BIOS完整性检查通过后,BIOS调用可信密码模块的完整性度量功能对操作系统进行度量判断操作系统的完整性,最后,操作系统的完整性检查通过后由操作系统调用可信密码模块的完整性度量功能来完成对移动终端上Agent的度量,以此方式建立一条从BIOS可信引导块到BIOS到操作系统到Agent的信任链,从而将可信密码模块基于硬件的安全性延伸到Agent上,确保Agent的可信。
由特征提取Agent在管理员模式下提取的移动终端用户、软件行为可信状态特征值作为判断移动终端可信状态的依据,对保密性具有很高的要求,为了保证可信状态特征库中这些特征值的保密性,可信状态特征库调用可信密码模块提供的加密算法对特征值进行加密存储。
主要工作流程:
(1)在移动终端每次启动时,通过调用可信密码模块提供的完整性度量功能经过一级测量认证一级,一级信任一级来建立一条从BIOS可信引导块至BIOS至操作系统至Agent的信任链,从而将基于硬件的安全性延伸到Agent上确保Agent的可信;
(2)在移动终端运行期间,可信密码模块为特征提取Agent提取的用户、软件行为可信状态特征值的加密存储提供密码运算功能。
移动终端状态特征提取Agent从移动终端可信性的客观角度出发,提出使用移动终端用户行为可信状态特征及软件行为可信状态特征来客观描述移动终端可信状态,分别从用户行为主体应用程序的完整性、客体应用程序或文件的完整性、主体对客体操作对应的系统调用序列的完整性来刻画用户行为可信状态特征,从软件行为主体进程代码段的完整性及进程调用的动态可加载库集合的完整性来刻画软件行为的可信状态特征,从而为准确判断移动终端可信状态提供扎实的理论依据;通过综合使用静态与动态分析技术,全面、有效和准确地提取移动终端在管理员模式下的用户、软件行为可信状态特征值及普通用户模式下待监测的用户、软件行为可信状态特征,为移动终端可信状态的计算提供准确数据。
移动终端可信状态监测核心Agent从移动终端自身软、硬件资源限制的实际情况出发,提出使用可信状态监测规则根据移动终端作业的负载情况实时变更移动终端状态特征提取Agent的工作模式,在按照实际需求提取移动终端运行期间用户、软件可信状态特征的基础上保证了移动终端的工作性能;为了准确计算移动终端可信状态特征,提出移动终端可信状态判别函数,并为此建立了用户行为可信安全策略和软件行为可信安全策略,将特征提取Agent提取的移动终端运行期间待监测的可信状态特征,与可信状态特征库中的特征值相匹配,完成用户、软件行为的可信安全策略符合性检查,最后依据可信安全策略符合性检查的结果计算出移动终端的可信状态。
可信密码模块使用可信计算的信任链传递技术,从可信密码模块所提供的密码运算功能入手,建立一条从BIOS可信引导块到BIOS到操作系统再到Agent的信任链,从而将基于硬件的安全可信传递到Agent上,保证了移动终端状态特征提取Agent与可信状态监测核心Agent自身的安全;同时提出使用可信密码模块提供的密码功能对可信状态特征库中的特征值进行加密存储,保证了特征值的安全可信。
一种基于可信Agent的移动终端可信状态监测方法主要包含:移动终端可信启动、判断移动终端用户的身份、管理员模式下移动终端可信状态特征提取和普通用户模式下移动终端可信状态监测这三大步骤,其中移动终端可信启动步骤中使用可信计算的信任链传递技术,从可信密码模块所提供的密码运算功能入手,建立一条从BIOS可信引导块到BIOS到操作系统再到Agent的信任链,从而将基于硬件的安全可信传递到Agent上;管理员模式下移动终端可信状态特征提取步骤中使用移动终端状态特征提取Agent实时提取管理员模式下移动终端用户、软件行为可信状态特征,并计算移动终端用户、软件行为可信状态特征值,作为判断移动终端可信状态的依据存储在移动终端可信状态特征库中;普通用户模式下移动终端可信状态监测步骤中移动终端状态特征提取Agent根据可信状态监测核心Agent计算得到的移动终端作业负载情况采取实时或者非实时的模式来提取普通用户模式下用户、软件可信状态特征,计算其特征值,并由可信状态监测核心Agent根据可信安全策略计算得到移动终端可信状态。
该方法详细步骤为:
步骤1:流程开始首先开启移动终端电源启动移动终端;
步骤2:移动终端从加电开始其可信信任链的建立过程,使用可信密码模块提供的完整性度量功能,从BIOS可信引导块开始经过一级测量认证一级,一级信任一级建立BIOS可信引导块到BIOS到操作系统到Agent的信任链,如果信任链建立失败则转到步骤3,否则信任链建立成功转到步骤5;
步骤3:移动终端在加电启动过程中信任链建立失败,表示BIOS、操作系统和Agent存在完整性被破坏的情况,移动终端发出告警并记录日志;
步骤4:移动终端信任链建立失败,其完整性被破坏,移动终端自动关机;
步骤5:移动终端可信信任链建立成功,移动终端加电启动完成后用户登录移动终端,移动终端对用户进行身份认证,身份认证失败则继续该步骤重新认证用户的身份,否则用户认证通过转到步骤6;
步骤6:判断移动终端用户的身份,如果是管理员则转到步骤7,如果是普通用户则转到步骤19;
步骤7:管理员模式下提取的用户、软件行为可信状态特征是存储到可信状态特征库中可信的特征值,在管理员模式下首先指定特征提取Agent的工作模式是实时工作模式,在移动终端管理员模式下实时提取可信状态特征;
步骤8:特征提取Agent根据操作系统的源代码,通过构造控制流图的方法得到操作系统中“读”“写”“执行”和“删除”操作对应的系统调用序列;
步骤9:特征提取Agent编译可以作为用户行为主体或客体的应用程序,得到其目标机器指令;
步骤10:特征提取Agent取得终端存储空间中作为用户行为客体的文件的二进制流;
步骤11:特征提取Agent使用可信密码模块提供的SM3杂凑算法根据用户行为主体对客体的操作行为、操作行为所对应的系统调用序列、主体应用程序对应的目标机器指令和客体文件对应的二进制流或客体应用程序对应的目标机器指令来计算得到用户行为可信状态特征值;
步骤12:可信状态特征库使用可信密码模块提供的密码运算功能加密存储步骤11中计算得到的用户行为可信状态特征值;
步骤13:特征提取Agent使用Linux提供的安全相关的钩子函数实时提取在管理员模式下移动终端运行期间软件行为主体进程的代码段;
步骤14:特征提取Agent使用Linux提供的安全相关的钩子函数实时提取在管理员模式下移动终端运行期间软件行为主体进程所调用的动态可加载库集合;
步骤15:特征提取Agent使用可信密码模块提供的SM3杂凑算法根据软件行为主体进程的代码段及其对应的动态可加载库集合来计算得到软件行为可信状态特征值;
步骤16:可信状态特征库使用可信密码模块提供的密码运算功能加密存储步骤15中计算得到的软件行为可信状态特征值;
步骤17:如果移动终端未关机,则循环顺序执行步骤13至步骤16,不断进行软件行为可信状态特征的采集,丰富可信状态特征库;如果终端关机则转到步骤18;
步骤18:管理员关闭移动终端,可信状态特征采集结束;
步骤19:普通用户模式下,可信状态监测核心Agent监控移动终端后备作业队列的饱和程度;
步骤20:可信状态监测核心Agent根据移动终端后备作业队列中等待运行的作业的饱和程度来指定普通用户模式下特征提取Agent的工作模式,特征提取Agent的初始工作模式为实时模式,如果后备作业队列已满,则指定特征提取Agent的工作模式为非实时模式,如果后备作业队列中等待运行的作业数与整个后备作业队列长度的比例小于等于20%并且当前的模式为非实时模式则将特征提取模式切换为非实时模式;
步骤21:特征提取Agent在指定的工作模式下使用Linux提供的安全相关的钩子函数提取普通用户模式下移动终端运行期间用户、软件行为可信状态特征;
步骤22:特征提取Agent使用可信密码模块提供的SM3杂凑算法对普通用户模式下提取的待监测用户行为主体对客体的操作行为、操作行为所对应的系统调用序列、主体应用程序对应的目标机器指令和客体文件对应的二进制流或客体应用程序对应的目标机器指令计算得到待监测的用户行为可信状态特征值;对普通用户模式下提取的软件行为主体进程的代码段及对应的动态可加载库集合计算得到待监测的软件行为可信状态特征值;
步骤23:可信状态监测核心Agent将待监测的用户行为可信状态特征值与可信状态特征库中的用户行为可信状态特征值相匹配,进行用户行为可信安全策略符合性检查;
步骤24:可信状态监测核心Agent将待监测的软件行为可信状态特征值与可信状态特征库中的软件行为可信状态特征值相匹配,进行软件行为可信安全策略符合性检查;
步骤25:可信状态监测核心Agent根据用户行为可信安全策略符合性和软件行为可信安全策略符合性检查的结果计算可信状态判别函数;
步骤26:根据可信状态判别函数的计算结果得到移动终端可信状态的监测结果,如果移动终端处于非可信状态则转到步骤27,否则移动终端处于可信状态转到步骤28;
步骤27:移动终端根据移动终端可信安全策略检查结果进行分类告警并记录日志;
步骤28:如果移动终端未关机,则循环顺序执行步骤19至步骤26,持续进行移动终端可信状态监测;如果终端关机则转到步骤29;
步骤29:移动终端关机,可信状态监测结束。
为了方便描述,我们假设有如下应用实例:
某电力企业计划建立输变电设备状态监测系统从而实现各类输变电设备运行状态的实时感知与监视预警,输变电设备状态采集终端作为一种移动终端,通过各类传感器技术采集输变电设备的状态信息,使用WIFI、GPRS等无线传感网、无线公网和电力信息内网进行信息交互。通过对输变电设备状态采集终端实施基于可信Agent的可信状态监测,为状态采集终端提供有效的安全防护,提高其主动防御能力,保证输变电设备状态采集终端安全接入电力信息内网,进而保障整个电力系统网络安全。
其具体的实施方案为:
在输变电设备状态采集终端增加可信密码模块芯片,将输变电设备状态采集终端改造成为具有可信信任链传递功能、可信完整性度量功能和可信密码服务功能的终端;
通过管理员模式在输变电设备状态采集终端上部署移动终端状态特征提取Agent和移动终端可信状态监测核心Agent,Agent自身的安全性通过采集终端加电启动时调用可信密码模块的可信完整性度量功能,从采集终端的BIOS可信引导块开始一级测量认证一级,一级信任一级来建立一条从BIOS可信引导块到BIOS到操作系统到Agent的信任链,从而将可信密码模块芯片基于硬件的安全性延伸到Agent上,确保Agent的安全可信;
为了准确监测输变电设备状态采集终端的可信状态,在终端被交付给最终用户移动作业人员使用之前,通过提取管理员模式下输变电设备状态采集终端的用户、软件行为可信状态特征,使用终端上可信密码模块芯片提供的SM3杂凑算法计算出管理员模式下输变电设备状态采集终端用户、软件行为可信状态特征值,并使用可信密码芯片提供的密码服务加密存储在终端的可信状态特征库中。
电力企业移动作业人员在使用输变电设备状态采集终端采集输变电设备状态时,同样要从终端加电开始建立信任链,检查Agent自身的安全可信,在确保Agent可信的基础上通过特征提取Agent提取待监测的用户、软件行为可信状态特征并计算其特征值,可信状态监测核心将待监测的特征值与可信状态特征库中的特征值相匹配进行用户、软件行为可信安全策略符合性检查,并根据检查结果计算可信状态判别函数得到输变电设备状态采集终端的可信状态。
在保证输变电设备状态采集终端正常作业的情况下使用上述方法实时监测终端的可信状态,当发现终端处于不可信状态时立即告警并断开与电力信息内网的网络连接,从而提高输变电设备状态采集终端的主动防御能力,并保证输变电设备状态采集终端接入电力信息内网的安全性。
需要声明的是,本发明内容及具体实施方式意在证明本发明所提供技术方案的实际应用,不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理启发下,可作各种修改、等同替换、或改进。但这些变更或修改均在申请待批的保护范围内。

Claims (18)

1.一种基于可信Agent的移动终端可信状态监测方法,包括:可信密码模块和移动终端;所述可信密码模块设置有SM3杂凑算法组件;所述移动终端包括BIOS可信引导块、特征提取Agent和可信状态监测核心Agent;
其特征在于,所述方法包括如下步骤:
(1).可信启动移动终端;
(2).判断移动终端用户的身份,如果是管理员模式则转到步骤3,如果是普通用户模式则转到步骤4;
(3).在管理员模式下,进行移动终端可信状态特征提取;
(4).在普通用户模式下,进行移动终端可信状态监测。
2.根据权利要求1所述的方法,其特征在于,所述步骤1包括如下步骤:
(1-1).开启移动终端电源启动移动终端;
(1-2).移动终端在加电启动过程中建立可信信任链,如果信任链建立失败则转到步骤1-3,否则转到步骤1-5;
(1-3).移动终端发出告警并记录日志;
(1-4).移动终端自动关机;
(1-5).移动终端对登陆的用户进行身份认证,如果身份认证失败则重新认证用户的身份,否则进行步骤2。
3.根据权利要求2所述的方法,其特征在于,在所述步骤(1-2)中,移动终端以其BIOS可信引导块作为信任链的起点,首先由BIOS可信引导块调用可信密码模块的完整性度量功能来判断BIOS的完整性;BIOS完整性检查通过后,BIOS调用可信密码模块的完整性度量功能对操作系统进行度量判断操作系统的完整性;最后,操作系统的完整性检查通过后由操作系统调用可信密码模块的完整性度量功能来完成对移动终端上Agent的度量,以此方式建立建立可信信任链。
4.根据权利要求1所述的方法,其特征在于,所述步骤3包括如下步骤:
(3-1).在管理员模式下,设置特征提取Agent的工作模式是实时工作模式,在移动终端管理员模式下实时提取可信状态特征;
(3-2).特征提取Agent根据操作系统的源代码,得到操作系统的系统调用序列;
(2-3).特征提取Agent编译作为用户行为主体或客体的应用程序,得到目标机器指令;
(3-4).特征提取Agent取得作为用户行为客体的文件的二进制流;
(3-5).特征提取Agent计算用户行为可信状态特征值;
(3-6).可信状态特征库加密并存储步骤2-5中计算得到的用户行为可信状态特征值;
(3-7).特征提取Agent使用钩子函数实时提取移动终端运行期间软件行为主体进程的代码段;
(3-8).特征提取Agent使用钩子函数实时提取移动终端运行期间软件行为主体进程所调用的动态可加载库集合;
(3-9).特征提取Agent计算软件行为可信状态特征值;
(3-10).可信状态特征库加密并存储步骤2-9中计算得到的软件行为可信状态特征值;
(3-11).判断移动终端是否关机,如果移动终端未关机,则循环执行步骤3-7至步骤3-10,进行软件行为可信状态特征的采集,丰富可信状态特征库;否则步骤3-12;
(3-12).移动终端已关机,可信状态特征采集结束。
5.根据权利要求4所述的方法,其特征在于,在所述步骤3-1中,在管理员模式下提取的用户、软件行为可信状态特征是存储到可信状态特征库中可信的特征值。
6.根据权利要求4所述的方法,其特征在于,在所述步骤3-2中,特征提取Agent根据操作系统的源代码,通过构造控制流图的方法得到操作系统中“读”、“写”、“执行”和“删除”操作对应的系统调用序列。
7.根据权利要求4所述的方法,其特征在于,在所述步骤3-5中,特征提取Agent使用可信密码模块提供的SM3杂凑算法组件根据用户行为主体对客体的操作行为、操作行为所对应的系统调用序列、主体应用程序对应的目标机器指令和客体文件对应的二进制流或客体应用程序对应的目标机器指令来计算用户行为可信状态特征值。
8.根据权利要求4所述的方法,其特征在于,在所述步骤3-6中,可信状态特征库使用可信密码模块提供的密码运算功能加密并存储步骤3-5中计算得到的用户行为可信状态特征值。
9.根据权利要求4所述的方法,其特征在于,在所述步骤3-9中,特征提取Agent使用可信密码模块提供的SM3杂凑算法组件根据软件行为主体进程的代码段及其对应的动态可加载库集合来计算软件行为可信状态特征值。
10.根据权利要求4所述的方法,其特征在于,在所述步骤3-10中,可信状态特征库使用可信密码模块提供的密码运算功能加密并存储步骤3-9中计算得到的软件行为可信状态特征值。
11.根据权利要求1所述的方法,其特征在于,所述步骤4包括如下步骤:
(4-1).可信状态监测核心Agent监控移动终端后备作业队列饱和程度;
(4-2).可信状态监测核心Agent指定特征提取Agent的工作模式;
(4-3).特征提取Agent在指定的工作模式下提取移动终端运行期间用户、软件行为可信状态特征;
(4-4).特征提取Agent计算待监测的软件行为可信状态特征值;
(4-5).可信状态监测核心Agent进行用户行为可信安全策略符合性检查;
(4-6).可信状态监测核心Agent进行软件行为可信安全策略符合性检查;
(4-7).可信状态监测核心Agent计算可信状态判别函数;
(4-8).判断移动终端状态是否可信,如果移动终端处于非可信状态则转到步骤4-9,否则转到步骤4-10;
(4-9).移动终端根据移动终端可信安全策略检查结果进行分类告警并记录日志;
(4-10).判断移动终端是否关机,如果移动终端未关机,则循环顺序执行步骤4-1至步骤4-8,持续进行移动终端可信状态监测,否则转到步骤4-11;
(4-11).移动终端关机,可信状态监测结束。
12.根据权利要求11所述的方法,其特征在于,在所述步骤4-2中,可信状态监测核心Agent根据移动终端后备作业队列中等待运行的作业的饱和程度来指定普通用户模式下特征提取Agent的工作模式,特征提取Agent的初始工作模式为实时模式,如果后备作业队列已满,则指定特征提取Agent的工作模式为非实时模式,如果后备作业队列中等待运行的作业数与整个后备作业队列长度的比例小于等于20%并且当前的模式为非实时模式则将特征提取模式切换为非实时模式。
13.根据权利要求11所述的方法,其特征在于,在所述步骤4-3中,特征提取Agent在指定的工作模式下使用钩子函数提取普通用户模式下移动终端运行期间用户、软件行为可信状态特征。
14.根据权利要求11所述的方法,其特征在于,在所述步骤4-4中,特征提取Agent使用可信密码模块提供的SM3杂凑算法组件对普通用户模式下提取的待监测用户行为主体对客体的操作行为、操作行为所对应的系统调用序列、主体应用程序对应的目标机器指令和客体文件对应的二进制流或客体应用程序对应的目标机器指令计算得到待监测的用户行为可信状态特征值;对普通用户模式下提取的软件行为主体进程的代码段及对应的动态可加载库集合计算得到待监测的软件行为可信状态特征值。
15.根据权利要求11所述的方法,其特征在于,在所述步骤4-5中,可信状态监测核心Agent将待监测的用户行为可信状态特征值与可信状态特征库中的用户行为可信状态特征值相匹配,进行用户行为可信安全策略符合性检查。
16.根据权利要求11所述的方法,其特征在于,在所述步骤4-6中,可信状态监测核心Agent将待监测的软件行为可信状态特征值与可信状态特征库中的软件行为可信状态特征值相匹配,进行软件行为可信安全策略符合性检查。
17.根据权利要求11所述的方法,其特征在于,在所述步骤4-7中,可信状态监测核心Agent根据用户行为可信安全策略符合性和软件行为可信安全策略符合性检查的结果计算可信状态判别函数。
18.根据权利要求11所述的方法,其特征在于,在所述步骤4-8中,根据可信状态判别函数的计算结果得到移动终端可信状态的监测结果,判断移动终端状态是否可信。
CN201210181180.9A 2012-06-04 2012-06-04 一种基于可信Agent的移动终端可信状态监测方法 Active CN102760213B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210181180.9A CN102760213B (zh) 2012-06-04 2012-06-04 一种基于可信Agent的移动终端可信状态监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210181180.9A CN102760213B (zh) 2012-06-04 2012-06-04 一种基于可信Agent的移动终端可信状态监测方法

Publications (2)

Publication Number Publication Date
CN102760213A true CN102760213A (zh) 2012-10-31
CN102760213B CN102760213B (zh) 2014-04-23

Family

ID=47054668

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210181180.9A Active CN102760213B (zh) 2012-06-04 2012-06-04 一种基于可信Agent的移动终端可信状态监测方法

Country Status (1)

Country Link
CN (1) CN102760213B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103023922A (zh) * 2012-12-05 2013-04-03 清华大学 基于控制流模型行为的动态远程证明方法
CN103646161A (zh) * 2013-11-05 2014-03-19 华为技术有限公司 一种终端系统可信状态判断方法、装置及终端
CN103870378A (zh) * 2012-12-12 2014-06-18 腾讯科技(武汉)有限公司 一种终端设备的监视方法及终端设备
CN104732147A (zh) * 2015-04-13 2015-06-24 成都睿峰科技有限公司 一种应用程序处理方法
CN104966022A (zh) * 2015-06-12 2015-10-07 浪潮电子信息产业股份有限公司 一种基于芯片的信任链构建方法和装置
CN106295352A (zh) * 2016-07-29 2017-01-04 北京三未信安科技发展有限公司 基本输入输出系统环境下可信度量的方法、主机及系统
CN104683106B (zh) * 2014-12-29 2018-08-14 国家电网公司 一种基于操作行为的电力终端安全状态评估方法
CN109471775A (zh) * 2018-11-09 2019-03-15 深信服科技股份有限公司 一种未关机检测方法、装置、设备及可读存储介质
CN110832416A (zh) * 2017-07-10 2020-02-21 西门子股份公司 自动化系统中的完整性监控
CN114666442A (zh) * 2020-12-22 2022-06-24 成都鼎桥通信技术有限公司 工作模式切换方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101520831A (zh) * 2009-03-27 2009-09-02 深圳市永达电子有限公司 安全终端系统及终端安全方法
CN101616034A (zh) * 2008-06-25 2009-12-30 华为技术有限公司 终端安全状态的监控和更新方法及系统
US20110313930A1 (en) * 2010-06-22 2011-12-22 American Express Travel Related Services Company, Inc. Dynamically adaptive policy management for securing mobile financial transactions

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101616034A (zh) * 2008-06-25 2009-12-30 华为技术有限公司 终端安全状态的监控和更新方法及系统
CN101520831A (zh) * 2009-03-27 2009-09-02 深圳市永达电子有限公司 安全终端系统及终端安全方法
US20110313930A1 (en) * 2010-06-22 2011-12-22 American Express Travel Related Services Company, Inc. Dynamically adaptive policy management for securing mobile financial transactions

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103220300B (zh) * 2012-12-05 2016-01-20 清华大学 一种支持动态远程证明的移动终端系统
CN103020533A (zh) * 2012-12-05 2013-04-03 清华大学 基于控制流模型多次度量的静态远程证明方法
CN103220300A (zh) * 2012-12-05 2013-07-24 清华大学 一种支持动态远程证明的移动终端系统
CN103020533B (zh) * 2012-12-05 2016-01-20 清华大学 基于控制流模型多次度量的静态远程证明方法
CN103023922A (zh) * 2012-12-05 2013-04-03 清华大学 基于控制流模型行为的动态远程证明方法
CN103023922B (zh) * 2012-12-05 2014-07-02 清华大学 基于控制流模型行为的动态远程证明方法
CN103870378A (zh) * 2012-12-12 2014-06-18 腾讯科技(武汉)有限公司 一种终端设备的监视方法及终端设备
CN103646161A (zh) * 2013-11-05 2014-03-19 华为技术有限公司 一种终端系统可信状态判断方法、装置及终端
CN104683106B (zh) * 2014-12-29 2018-08-14 国家电网公司 一种基于操作行为的电力终端安全状态评估方法
CN104732147A (zh) * 2015-04-13 2015-06-24 成都睿峰科技有限公司 一种应用程序处理方法
CN104966022A (zh) * 2015-06-12 2015-10-07 浪潮电子信息产业股份有限公司 一种基于芯片的信任链构建方法和装置
CN106295352A (zh) * 2016-07-29 2017-01-04 北京三未信安科技发展有限公司 基本输入输出系统环境下可信度量的方法、主机及系统
CN110832416A (zh) * 2017-07-10 2020-02-21 西门子股份公司 自动化系统中的完整性监控
CN110832416B (zh) * 2017-07-10 2023-09-01 西门子股份公司 自动化系统中的完整性监控
US11853049B2 (en) 2017-07-10 2023-12-26 Siemens Aktiengesellschaft Integrity monitoring in automation systems
CN109471775A (zh) * 2018-11-09 2019-03-15 深信服科技股份有限公司 一种未关机检测方法、装置、设备及可读存储介质
CN109471775B (zh) * 2018-11-09 2022-06-21 深信服科技股份有限公司 一种未关机检测方法、装置、设备及可读存储介质
CN114666442A (zh) * 2020-12-22 2022-06-24 成都鼎桥通信技术有限公司 工作模式切换方法、装置、设备及存储介质
CN114666442B (zh) * 2020-12-22 2023-07-04 成都鼎桥通信技术有限公司 工作模式切换方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN102760213B (zh) 2014-04-23

Similar Documents

Publication Publication Date Title
CN102760213B (zh) 一种基于可信Agent的移动终端可信状态监测方法
LeMay et al. Cumulative attestation kernels for embedded systems
WO2017210005A1 (en) Systems and methods for detecting attacks in big data systems
CN110011848B (zh) 一种移动运维审计系统
Kolokotronis et al. Secured by blockchain: Safeguarding internet of things devices
CN102546672A (zh) 一种云计算平台带外授权安全加固方法
US20200134180A1 (en) Enhanced protections against adversarial machine learning threats utilizing cryptography and hardware assisted monitoring in accelerators
CN103970540B (zh) 关键函数安全调用方法及装置
CN101833620A (zh) 一种基于自定义安全jdbc驱动的数据库防护方法
CN116167089B (zh) 高安全性数据库
Huddleston et al. How vmware exploits contributed to solarwinds supply-chain attack
CN111125707A (zh) 一种基于可信密码模块的bmc安全启动方法、系统及设备
Ammar et al. Verify&revive: Secure detection and recovery of compromised low-end embedded devices
CN103347073B (zh) 一种云管理行为安全控制方法和系统
Bampatsikos et al. BARRETT blockchain regulated remote attestation
Abirami et al. Crypto-deep reinforcement learning based cloud security for trusted communication
Ye et al. Position paper: On using trusted execution environment to secure COTS devices for accessing industrial control systems
Xu et al. Cyber protection for malware attack resistance in cyber-physical power systems
CN110611659B (zh) 一种电力监控系统业务本质保护方法、装置及系统
CN115879087A (zh) 一种面向电力终端的安全可信启动方法及系统
Ahn et al. Exploring Ransomware Attacks on Smart Inverters
Yalpanian et al. BIOT: A blockchain-based IoT platform for distributed energy resource management
Tao et al. Trusted security immune model of power monitoring system
Han et al. Research on Quantitative Security Protection Technology of Distribution Automation Nodes based on Attack Tree
KR102499947B1 (ko) 하드웨어보안모듈을 이용한 암호키 및 스마트컨트랙트 이행 관리시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: STATE ELECTRIC NET CROP.

Effective date: 20130424

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20130424

Address after: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Applicant after: China Electric Power Research Institute

Applicant after: State Grid Corporation of China

Address before: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Applicant before: China Electric Power Research Institute

C14 Grant of patent or utility model
GR01 Patent grant
C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20160425

Address after: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Patentee after: China Electric Power Research Institute

Patentee after: State Grid Smart Grid Institute

Patentee after: State Grid Corporation of China

Address before: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Patentee before: China Electric Power Research Institute

Patentee before: State Grid Corporation of China

C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Patentee after: China Electric Power Research Institute

Patentee after: GLOBAL ENERGY INTERCONNECTION RESEARCH INSTITUTE

Patentee after: State Grid Corporation of China

Address before: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Patentee before: China Electric Power Research Institute

Patentee before: State Grid Smart Grid Institute

Patentee before: State Grid Corporation of China

TR01 Transfer of patent right

Effective date of registration: 20171013

Address after: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Co-patentee after: Global Energy Internet Research Institute

Patentee after: China Electric Power Research Institute

Co-patentee after: State Grid Corporation of China

Co-patentee after: State Grid Zhejiang Electric Power Company

Address before: 100192 Beijing city Haidian District Qinghe small Camp Road No. 15

Co-patentee before: Global Energy Internet Research Institute

Patentee before: China Electric Power Research Institute

Co-patentee before: State Grid Corporation of China

TR01 Transfer of patent right