CN103646161A - 一种终端系统可信状态判断方法、装置及终端 - Google Patents

Abstract

本发明实施例提供了一种终端系统可信状态判断方法、装置及终端，针对层次化的信任度量模型，包括：针对终端系统生成的可信状态报告中，各层目标的各证据属性，对各证据属性分别进行模糊量化取值，得到各证据属性的模糊量化值；将各证据属性的模糊量化值转化为输入向量，并确定输入向量与表征期望可信状态的参考向量之间的向量距离；当向量距离不大于预设距离阈值时，确定终端系统的状态可信。解决了现有技术中，无法针对层次化的信任度量模型进行可信判定的问题。本发明涉及计算机技术领域。

Description

一种终端系统可信状态判断方法、装置及终端

技术领域

本发明涉及计算机技术领域，尤其涉及一种终端系统可信状态判断方法、装置及终端。

背景技术

针对一个计算机系统，如何判断其是否可信，需要解决两个基本问题：一是证据体系的问题，即从该计算机系统中提取哪些证据来反映出计算机系统的当前状态；二是可信判定问题，即采用什么样的方式对提供的证据进行处理以判断系统当前的状态是否可信。这就涉及到可信计算技术，可信计算技术是解决系统可信问题的关键技术。

现有技术中，可信计算组织(TCG，Trusted Computing Group)提出了基于完整性验证与报告的可信判定方法，该方法的主要步骤为：利用计算机系统中嵌入的可信平台模块（TPM，Trusted Platform Module），通过逐级度量的方式在系统中扩展信任链，制定了完整性报告的格式，通过完整性参考清单（RM，Reference Manifest）对收集的完整性报告进行验证。

具体地，可信平台模块TPM是一个处理能力有限的安全芯片，能够执行基本的密码操作，并具有一定的存储空间。TCG的完整性度量按照系统的启动顺序，采用逐级度量的方式对后续部件进行度量，当后续部件通过检测，便将控制权转交给后续部件，直到将信任扩展到整个平台。每个部件的度量结果都可以在平台配置寄存器（PCR，Platform Configuration Register）中进行保存，除此之外，还将具体每一步的度量操作、中间状态和度量结果保存在存储度量日志（SML，Storage Measurement Log）中，可以作为系统可信度量的详细步骤进行参考。因此SML和PCR一起就描述了系统的状态变化过程，可信计算平台基于PCR和SML来生成完整性报告。对可信计算平台进行度量的验证者，根据生成的完整性报告中平台组件的情况，提取出预先保存的RM，对可信计算平台的当前完整性状态进行度量，得到系统可信或者不可信的度量结果。

但是，由于系统组件不断地更新和升级，导致RM也需要不断更新，因此，完整性参考架构的维护非常复杂和繁琐，并且TCG的完整性度量报告和参考清单中只给出了某个组件的完整性度量值和完整性参考值，完整性度量并不能体现TCG所制定的行为可预期的可信概念。

为了解决TCG完整性度量存在的问题，现有技术中，又提出了层次化的信任度量模型。首先对可信的概念进行分析，认为可信就是可以信任，即在某个相对安全可靠的上下文中，尽管可能存在不良后果，主体仍然认为其他主体能够按照预定方式执行某些动作的可度量的信念。只有达到一定程度的信任才可信，因此，将可信问题转化为对信任进行度量，并引入了层次化的信任度量模型进行信任度量。

进一步地，为了能对信任进行度量，首先定义需求，根据需求定制出相应的目标，根据目标细化出度量的内容，根据度量的内容制定度量机制，最后给出度量。可信度量的目标就是保证终端平台的状态是可信的，根据上述对信任的定义，将其中能影响信任的因素挑选出来，包括：是否安全可靠、是否是某个上下文、是否存在风险、以及主体是否能按照预定的方式执行某些动作，根据这些因素，将平台可信性的目标划分为4个子目标：安全保障性目标、策略符合性目标、风险评估性目标和行为监控性目标。

根据上述4个目标，对实现每个目标所需的证据属性内容进行细化：对于终端平台的安全保障性目标，所需证据属性可以包括组件的证书；对于终端平台的策略符合性目标，所需的证据属性可以包括各种策略的属性；对于终端平台的风险评估性目标，所需证据属性可以包括风险涉及组件和策略的各种属性；对于终端平台的行为监控性目标，所需证据属性可以包括相关行为的开始点、行为里程碑和行为终点的属性。图1为各层度量目标和涉及的相关属性构成树状结构。如图1所示，方框表示各层度量目标，每个度量目标下的叶子节点表示实现该度量目标所需的证据属性。

现有技术中提出的层次化的信任度量模型，提出了对信任进行度量的模型，能够解决TCG完整性度量存在的问题，体现了行为可预期的可信概念，但是层次化的信任度量模型对于判断计算机系统是否可信的问题，解决了证据体系的问题，而并没有解决可信判定的问题，即采用什么样的方式对提供的证据进行处理以判断系统当前的状态是否可信。

发明内容

本发明实施例提供了一种终端系统可信状态判断方法、装置及终端，用以解决现有技术中，无法针对层次化的信任度量模型进行可信判定的问题。

第一方面，提供一种终端系统可信状态判断方法，基于层次化的信任度量模型，包括：

针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，得到所述各证据属性的模糊量化值；

将所述各证据属性的模糊量化值转化为输入向量，并确定所述输入向量与表征期望可信状态的参考向量之间的向量距离；

当所述向量距离不大于预设距离阈值时，确定所述终端系统的状态可信。

结合第一方面，在第一种可能的实现方式中，针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，具体包括：针对终端系统生成的可信状态报告中，各层目标的各证据属性，从证据模糊匹配数据库中，确定该证据属性对应的模糊匹配列表，其中，所述证据模糊匹配数据库用于存储所述层次化的信任度量模型中各层目标的各证据属性分别对应的模糊匹配列表，每个模糊匹配列表包括对应证据属性对应的多个模糊级别，以及每个模糊级别对应的预设判断依据；根据确定的模糊匹配列表中各模糊级别对应的预设判断依据，确定该证据属性所属的模糊级别，并将该模糊级别对应的模糊值确定为该证据属性的模糊量化值。

结合第一方面，或者结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，在得到所述各证据属性的模糊量化值之后，且将所述各证据属性的模糊量化值转化为输入向量之前，还包括：从所述证据模糊匹配数据库中，获取所述各证据属性各自对应的权重值；针对所述各证据属性中的每个证据属性，将该证据属性的模糊量化值与该证据属性对应的权重值的乘积确定为该证据属性的可信值；将所述各证据属性的模糊量化值转化为输入向量，具体包括：将所述各证据属性的可信值转化为输入向量。

结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，所述各证据属性各自对应的权重值为采用层次分析法AHP确定所述各证据属性各自对应的权重值；并在确定各权重值之后，将确定的所述各权重值与对应的证据属性分别对应存储在所述证据模糊匹配数据库中。

结合第一方面，在第四种可能的实现方式中，所述输入向量与表征期望可信状态的参考向量之间的向量距离为：所述输入向量与所述参考向量之间的余弦距离、或者所述输入向量与所述参考向量之间的欧式距离。

结合第一方面，在第五种可能的实现方式中，所述方法还包括：接收终端系统发送的可信状态报告。

第二方面，提供一种终端系统可信状态判断装置，基于层次化的信任度量模型，包括：

量化模块，用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，得到所述各证据属性的模糊量化值；

向量距离确定模块，用于将所述量化模块确定的所述各证据属性的模糊量化值转化为输入向量，并确定所述输入向量与表征期望可信状态的参考向量之间的向量距离；

状态确定模块，用于当所述向量距离确定模块确定的向量距离不大于预设距离阈值时，确定所述终端系统的状态可信。

结合第二方面，在第一种可能的实现方式中，所述量化模块具体用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，从证据模糊匹配数据库中，确定该证据属性对应的模糊匹配列表，其中，所述证据模糊匹配数据库用于存储所述层次化的信任度量模型中各层目标的各证据属性分别对应的模糊匹配列表，每个模糊匹配列表包括对应证据属性对应的多个模糊级别，以及每个模糊级别对应的预设判断依据；根据确定的模糊匹配列表中各模糊级别对应的预设判断依据，确定该证据属性所属的模糊级别，并将该模糊级别对应的模糊值确定为该证据属性的模糊量化值。

结合第二方面，或者结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述装置还包括：权重值获取模块和可信值确定模块；所述权重值获取模块，用于在所述量化模块确定所述各证据属性的模糊量化值之后，且所述向量距离确定模块将所述量化模块确定的所述各证据属性的模糊量化值转化为输入向量之前，从所述证据模糊匹配数据库中，获取所述各证据属性各自对应的权重值；所述可信值确定模块，用于针对所述各证据属性中的每个证据属性，将该证据属性的模糊量化值与所述权重值确定模块确定的该证据属性对应的权重值的乘积确定为该证据属性的可信值；所述向量距离确定模块，具体用于将所述各证据属性的可信值转化为输入向量。

结合第二方面的第二种可能的实现方式，在第三种可能的实现方式中，所述权重值获取模块获取到的所述各证据属性各自对应的权重值为采用层次分析法AHP确定所述各证据属性各自对应的权重值；并在确定各权重值之后，将确定的所述各权重值与对应的证据属性分别对应存储在所述证据模糊匹配数据库中。

结合第二方面，在第四种可能的实现方式中，所述向量距离确定模块确定的所述输入向量与表征期望可信状态的参考向量之间的向量距离为：所述输入向量与所述参考向量之间的余弦距离、或者所述输入向量与所述参考向量之间的欧式距离。

结合第二方面，在第五种可能的实现方式中，所述装置还包括：接收模块；

所述接收模块，用于接收终端系统发送的可信状态报告。

第三方面，提供一种终端，包括：上述的终端系统可信状态判断装置。

第四方面，提供一种终端，包括：

处理器，用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，得到所述各证据属性的模糊量化值；将所述量化模块确定的所述各证据属性的模糊量化值转化为输入向量，并确定所述输入向量与表征期望可信状态的参考向量之间的向量距离；当所述向量距离确定模块确定的向量距离不大于预设距离阈值时，确定所述终端系统的状态可信。

本发明实施例的有益效果包括：

本发明实施例提供的一种终端系统可信状态判断方法、装置及终端，基于层次化的信任度量模型，包括：针对终端系统生成的可信状态报告中，各层目标的各证据属性，对各证据属性分别进行模糊量化取值，得到各证据属性的模糊量化值；将各证据属性的模糊量化值转化为输入向量，并确定输入向量与表征期望可信状态的参考向量之间的向量距离；当向量距离不大于预设距离阈值时，确定终端系统的状态可信。针对层次化的信任度量模型，能够在体现行为可预期的可信概念的同时，通过对信任进行度量，实现对终端系统是否可信的判定。

附图说明

图1为本发明背景技术中提供的层次化的信任度量模型中度量目标和涉及的相关属性构成树状结构示意图；

图2为本发明实施例提供的一种终端系统可信状态判断方法的流程图；

图3为本发明实施例一提供的一种终端系统可信状态判断方法的流程图；

图4为本发明实施例二提供的一种终端系统可信状态判断方法的流程图；

图5为本发明实施例三提供的一种终端系统可信状态判断方法的流程图；

图6为本发明实施例提供的一种终端系统可信状态判断装置的结构示意图；

图7为本发明实施例提供的一种终端的结构示意图。

具体实施方式

本发明实施例提供了一种终端系统可信状态判断方法、装置及终端，以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

本发明实施例提供一种终端系统可信状态判断方法，如图2所示，包括：

S201、针对终端系统生成的可信状态报告中，各层目标的各证据属性，对各证据属性分别进行模糊量化取值，得到各证据属性的模糊量化值。

S202、将S201中得到的各证据属性的模糊量化值转化为输入向量，并确定输入向量与表征期望可信状态的参考向量之间的向量距离。

S203、当S202中确定的向量距离不大于预设距离阈值时，确定终端系统的状态可信。

进一步地，本发明实施例的执行主体可以为终端系统本身，也可以为终端系统之外的其他系统。

进一步地，本发明实施例中终端系统可以为计算机系统，也可以为虚拟计算机系统。

下面结合附图，用具体实施例对本发明提供的方法及相关设备进行详细描述。

实施例1：

图3为本发明实施例1提供的一种终端系统可信状态判断方法的流程图，如图3所示，具体包括如下步骤：

S301、针对终端系统生成的可信状态报告中，各层目标的各证据属性，对各证据属性分别进行模糊量化取值，得到各证据属性的模糊量化值。

S302、从所述证据模糊匹配数据库中，获取各证据属性各自对应的权重值。

进一步地，本步骤中，由于层次化的信任度量模型中各层中的各个目标，以及各个目标的各个证据属性对于系统整体可信性的贡献程度不同，因此，需要对各证据属性的权重值进行量化。可以采用层次分析法（AHP，AnalyticHierarchy Process），确定各证据属性各自对应的权重值；并在确定各权重值之后，将确定的各权重值与对应的证据属性分别对应存储在所述证据模糊匹配数据库中。

具体地，本发明实施例采用层次分析法，根据各层中，同一层内的各证据属性的重要性比对，确定同一层内的各证据属性的权重值，以及，根据各层中，不同层之间的各证据属性的重要性比对，确定不同层的各证据属性的权重值，由于层次分析法比较复杂，又是现有技术中已存在的方法，本实施例中，将采用层次分析法，确定各证据属性各自对应的权重值的原理，简单描述如下：

假设终端系统生成的可信状态报告中存在n个证据属性，即A₁,A₂,...A_n，其中，每个证据属性的重要程度分别为w₁,w₂,...w_n，将各个证据属性的重要程度构成的向量w=(w₁,w₂,...w_n)^T称为重量向量；将各个重要程度之间的对比结果使用矩阵的形式表示，得到（1）式所示的n×n矩阵，可以将该矩阵称为成对比较矩阵。

$A=\left(\begin{array}{cccc}{a}_{\mathrm{1,1}}& a_{\mathrm{1,2}}& ...& a_{1,n}\\ a_{\mathrm{2,1}}& a_{\mathrm{2,2}}& ...& a_{2,n}\\ ...& ...& ...& ...\\ a_{n,1}& a_{n,2}& ...& a_{n,n}\end{array}\right)=\left(\begin{array}{cccc}{w}_1/w_1& w_1/w_2& ...& w_1/w_n\\ w_2/w_1& w_2/w_2& ...& w_2/w_n\\ ...& ...& ...& ...\\ w_n/w_1& w_n/w_2& ...& w_n/w_n\end{array}\right)---\left(1\right)$

该成对比较矩阵具有以下几个特点：

1)a_i,i=1；

2)a_i,j×a_j,i＝1

3)该成对比较矩阵的各行之和与重量向量w=(w₁,w₂,...w_n)^T成正比，即

$\left(\begin{array}{c}{w}_1\\ w_2\\ .\\ .\\ .\\ w_n\end{array}\right)\∞\underset{j=1}{\overset{n}{\mathrm{\Σ}}}\left(\begin{array}{c}{a}_{1,j}\\ a_{2,j}\\ .\\ .\\ .\\ a_{n,j}\end{array}\right)$

w为成对比较矩阵A的特征向量，对应的特征值为n，理论上已严格地证明了n是A的唯一最大特征值。因此，可以通过求解最大特征根，及其对应的特征向量来计算每层中各个属性，相对于位于该层上一层的各证据属性的权重系数。

进一步地，确定层次化的信任度量模型中同一层所有属性对于最终目标相对重要性的过程称为总排序。这一过程可以由最高层到最低层逐层进行。假设上一层A包含m个属性，即A₁,A₂,...A_m，其总排序的权重值分别为a₁,a₂,...a_m；层A的下一层B包含k个属性，即B₁,B₂,...B_k，该k个证据属性相对于A层中的属性Aj的层次单排序的权重值分别为b_1,j,b_2,j,...b_k,j（其中，当B_i与A_j之间不存在联系时，b_i,j=0），此时B层第i个属性在总排序中的权重值可以由B层的上一层A的总排序的权重值与B层本层次的层次单排序的权重值复合而成，得到的结果为：

其中，i=1,2,…k

通过上述层次分析过程，可以得到每一个证据属性和目标相对于最终目标的权重值。这些权重值可以存储在权重值数据库中，在进行需要使用时进行查询。

进一步地，S301和S302的执行顺序不分先后。

S303、针对各证据属性中的每个证据属性，将该证据属性的模糊量化值与该证据属性对应的权重值的乘积确定为该证据属性的可信值。

进一步地，本步骤中，假设终端系统生成的可信状态报告中的n个证据属性的量化值分别为a₁,a₂,...a_n，其中，各证据属性对应的权重值分别为w₁,w₂,...w_n，则各个证据属性对应的可信值分别为：a₁w₁,a₂w₂,...a_nw_n。

S304、将S303中得到的各证据属性的可信值转化为输入向量，并确定输入向量与表征期望可信状态的参考向量之间的向量距离。

S305、当S304中确定的向量距离不大于预设距离阈值时，确定终端系统的状态可信。

实施例2：

图4为本发明实施例2提供的一种终端系统可信状态判断方法的流程图，本实施例中，采用模糊匹配的方法，对终端系统生成的可信状态报告中，实现各层目标的各证据属性进行量化取值，与TCG的完整性度量中采用的一票否决制，要么符合完整性，要么不符合完整性相比，更加合理，也更加准确。如图4所示，具体包括如下步骤：

S401、针对终端系统生成的可信状态报告中，各层目标的各证据属性，从证据模糊匹配数据库中，确定该证据属性对应的模糊匹配列表，其中，证据模糊匹配数据库用于存储层次化的信任度量模型中各层目标的各证据属性分别对应的模糊匹配列表，每个模糊匹配列表包括对应证据属性对应的多个模糊级别，以及每个模糊级别对应的预设判断依据。

进一步地，对各证据属性进行模糊匹配量化取值采用模糊量化的方法，针对不同类型的证据属性进行量化取值。例如，对于完整性值，相同的可以赋值为1，不同的赋值为0；对于好、中、差等主观评估结果，可以赋值为1、0.5和0；对于更难于量化的证据，可以采用专家方法为其分为多个评定级别并赋予相应的值，这样，证据属性对应的量化值就可以比较丰富，能够更加准确地表示该证据属性的可信度。

本步骤中，模糊匹配数据库是预先建立的数据库，根据层次化的信任度量模型中的多级目标和证据体系，采用多层、分级的方式，为每个证据属性建立的模糊匹配列表均存储在模糊匹配数据库中，模糊匹配列表根据不同证据属性的性质，对该证据属性对应的整个量化取值区间进行模糊划分，形成多个模糊级别，其中，每一个模糊级别对应一个预设判定依据和一个模糊值。

S402、根据确定的模糊匹配列表中各模糊级别对应的预设判断依据，确定该证据属性所属的模糊级别，并将该模糊级别对应的模糊值确定为该证据属性的模糊量化值。

本步骤中，在对一个证据属性进行模糊量化时，首先在模糊匹配数据库中搜索到该证据属性，然后根据证据属性的当前情况查询对应的模糊匹配列表，并根据该模糊匹配列表包含的各预设判断依据，确定该证据属性所属的模糊级别，并将该模糊级别对应的模糊值确定为该证据属性对应的模糊量化值。如果模糊匹配量化表中存在与该证据属性当前情况对应的模糊级别，则认为匹配成功，如果模糊匹配量化表中不存在与该证据属性当前情况对应的模糊级别，则将默认模糊级别对应的默认模糊值确定为该证据属性对应的模糊量化值。这样能够确保每个证据属性均存在模糊量化值。进一步地，如果数据库中不存在搜索的证据属性，则将系统默认值确定为该证据属性对应的模糊量化值，并发消息告知管理员，由管理员在模糊匹配数据库中增加该证据属性的条目和对应的模糊匹配列表。

例如，在层次化的信任度量模型中，针对不同层次的不同目标属性的赋值，可以这样考虑：在安全保障性目标中，主要关注的是各种证书，具有证书可以赋值为1，不具有证书赋值为0；在策略符合性目标中，符合策略的可以赋值为1，违背策略的可以赋值为0；在风险评估性目标中，可以根据系统当前风险评估量化值作为依据，风险程度最高的，可以赋值为0，风险程度最低的，可以赋值为1；行为监控性目标中，行为完全符合预期的，可以赋值为1，行为完全背离的，可以赋值为0，对于处在中间状态证据属性的模糊量化取值，可以依据该证据属性行为的偏离情况进行0到1之间的模糊量化值。

S403、将各证据属性的模糊量化值转化为输入向量，并确定输入向量与表征期望可信状态的参考向量之间的向量距离。

本步骤中，可以将期望的可信状态的向量作为参考向量。并且使用输入向量与参考向量之间的向量距离表征系统可信状态与期望可信状态之间的偏离程度，向量距离越小，则系统可信状态与期望可信状态越接近，向量距离越大，则系统可信状态与期望可信状态相差越远。

本步骤中，输入向量与表征期望可信状态的参考向量之间的向量距离可以为任何度量方式度量的向量距离，例如：输入向量与参考向量之间的余弦距离、输入向量与参考向量之间的欧式距离等。

较佳地，可以使用输入向量与参考向量之间的余弦距离，也就是余弦相似度来衡量系统可信状态与期望可信状态之间的相似度，即使用输入向量和参考向量夹角的余弦值作为系统可信状态与期望可信状态之间的差异大小的度量，两个向量之间的夹角越接近零，两个向量越接近，反之亦然。

假设证据集合E＝{E₁,E₂,E₃...,E_n}表示层次化的信任度量模型的n个证据，第i个属性量化值为F(E_i)，该属性的权重为w_i，则该属性的可信值为T_i＝F(E_i)×w_i，假设预期的基线值为TE_i，那么，基于输入向量与参考向量之间的余弦距离，可信偏移程度TrustOffset的计算公式可以为：

$\mathrm{TrustOffset}=\frac{T_1\×{\mathrm{TE}}_1+T_2\×{\mathrm{TE}}_2+...+T_n\×{\mathrm{TE}}_n}{\sqrt[2]{T_1^2+T_2^2+...+T_2^2\×}\sqrt[2]{{\mathrm{TE}}_1^2+{\mathrm{TE}}_1^2+...+{\mathrm{TE}}_n^2}}$

S404、当向量距离不大于预设距离阈值时，确定终端系统的状态可信。

本步骤中，预先根据采用的向量距离的确定方法，设置相应的距离阈值，例如，预先针对余弦距离的确定方法，设置与余弦距离对应的距离阈值，预先针对欧式距离的确定方法设置与欧式距离对应的距离阈值等。当S404中确定的向量距离不大于预设距离阈值时，确定终端系统的状态可信。

进一步地，针对不同的指定任务，层次化的信任度量模型中的各层目标对应的各证据属性不同。在层次化的信任度量模型中，各个层中的目标不是互不相关的，而是层层递进的，每个层中的目标又是自身所在层的上一层目标的基础。安全保障性目标是关键目标，是实现其它目标的基础，这是因为如果平台本身不是安全可靠的，那么其它的目标也无法实现；策略符合性目标影响着风险评估性目标和行为监控性目标，这是因为特定的上下文具有特定的风险评估内容和行为监控内容；风险评估性目标也对行为监控性目标具有一定的影响，风险等级也不一致，监控行为的范围也不同。同时，这四个目标之间的相互关系也说明了度量属性之间的包含关系，体现了可信性的实际涵义。因此，在层次化的信任度量模型中，各目标自底向上依次是安全保障性目标、策略符合性目标、风险评估性目标和行为监控性目标，最顶层为终端可信目标。各个层的级别是固定的，每个层中的属性根据具体实例的不同而不同。

下面举例说明：

指定任务为某具有可信平台模块的终端希望访问内部网络中，文件服务器上的一个文件（企业核心资产）。内部网络的访问控制规则为：如果终端为企业内部计算机（具有可信平台模块、操作系统是Windows Vista并且为SP1、装有杀毒软件和防木马软件），用户为企业内部用户，那么在工作时间内可以终端可以访问内部网络中的上述文件，否则拒绝访问。

在针对该指定任务，确定终端行为是否可信时，首先需要确定层次化的信任度量模型中各层目标与该指定任务对应的各证据属性。

针对安全保障性目标，需要的证据属性可以包括：可信平台的证书、Windows Vista SP1操作系统的证书、杀毒软件的证书、防木马软件的证书；

针对策略符合性目标，需要的证据属性可以包括：还包括用户证书、访问目标、访问时间、读操作；

针对风险评估性目标，需要的证据属性可以包括：安全基线、组件漏洞信息、流行攻击；

针对行为监控性目标，需要的证据属性可以包括：访问请求、访问执行、访问完成等属性。

实施例3：

图5为本发明实施例3提供的一种终端系统可信状态判断方法的流程图，如图5所示，具体包括如下步骤：

S501、接收终端系统发送的可信状态报告。

进一步地，本实施例中，可以由该终端系统之外的验证系统对终端系统的可信状态进行验证。终端系统生成可信状态报告之后，验证系统可以接收终端系统发生的可信状态报告。

S502、针对终端系统生成的可信状态报告中，各层目标的各证据属性，对各证据属性分别进行模糊量化取值，得到各证据属性的模糊量化值。

S503、将各证据属性的模糊量化值转化为输入向量，并确定输入向量与表征期望可信状态的参考向量之间的向量距离。

S504、当向量距离不大于预设距离阈值时，确定终端系统的状态可信。

进一步地，本实施例中，可以采用主动验证的方式或者被动验证的方式。当采用主动验证的方式时，终端系统生成了可信状态报告之后，将可信状态报告发送给验证系统，主动要求验证系统对终端系统的可信状态进行验证；当采用被动验证的方式时，当终端系统接收到验证系统的验证请求时，将生成的可信状态报告发送给验证系统进行验证。

基于同一发明构思，本发明实施例还提供了一种终端系统可信状态判断装置及终端，由于这些装置和终端所解决问题的原理与前述终端系统可信状态判断方法相似，因此该装置和终端的实施可以参见前述方法的实施，重复之处不再赘述。

本发明实施例提供的一种终端系统可信状态判断装置，基于层次化的信任度量模型，如图6所示，包括如下模块：

量化模块601，用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，得到所述各证据属性的模糊量化值；

向量距离确定模块602，用于将所述量化模块601确定的所述各证据属性的模糊量化值转化为输入向量，并确定所述输入向量与表征期望可信状态的参考向量之间的向量距离；

状态确定模块603，用于当所述向量距离确定模块602确定的向量距离不大于预设距离阈值时，确定所述终端系统的状态可信。

进一步地，所述量化模块601具体用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，从证据模糊匹配数据库中，确定该证据属性对应的模糊匹配列表，其中，所述证据模糊匹配数据库用于存储所述层次化的信任度量模型中各层目标的各证据属性分别对应的模糊匹配列表，每个模糊匹配列表包括对应证据属性对应的多个模糊级别，以及每个模糊级别对应的预设判断依据；根据确定的模糊匹配列表中各模糊级别对应的预设判断依据，确定该证据属性所属的模糊级别，并将该模糊级别对应的模糊值确定为该证据属性的模糊量化值。

进一步地，所述装置，还包括：权重值获取模块604和可信值确定模块605；

所述权重值获取模块604，用于在所述量化模块601确定所述各证据属性的模糊量化值之后，且所述向量距离确定模块602将所述量化模块确定的所述各证据属性的模糊量化值转化为输入向量之前，从所述证据模糊匹配数据库中，获取所述各证据属性各自对应的权重值；

所述可信值确定模块605，用于针对所述各证据属性中的每个证据属性，将该证据属性的模糊量化值与所述权重值确定模块确定的该证据属性对应的权重值的乘积确定为该证据属性的可信值；

所述向量距离确定模块603，具体用于将所述各证据属性的可信值转化为输入向量。

进一步地，所述权重值获取模块604获取到的所述各证据属性各自对应的权重值为采用层次分析法AHP确定所述各证据属性各自对应的权重值；并在确定各权重值之后，将确定的所述各权重值与对应的证据属性分别对应存储在所述证据模糊匹配数据库中。

进一步地，所述向量距离确定模块602确定的所述输入向量与表征期望可信状态的参考向量之间的向量距离为：所述输入向量与所述参考向量之间的余弦距离、或者所述输入向量与所述参考向量之间的欧式距离。

进一步地，所述装置，还包括：接收模块606；

所述接收模块606，用于接收终端系统发送的可信状态报告。

本发明实施例提供的一种终端，包括上述一种终端系统可信状态判断装置。

本发明实施例提供的一种终端，如图7所示，包括如下部分：

处理器701，用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，得到所述各证据属性的模糊量化值；将所述量化模块确定的所述各证据属性的模糊量化值转化为输入向量，并确定所述输入向量与表征期望可信状态的参考向量之间的向量距离；当所述向量距离确定模块确定的向量距离不大于预设距离阈值时，确定所述终端系统的状态可信。

进一步地，所述处理器701，具体用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，从证据模糊匹配数据库中，确定该证据属性对应的模糊匹配列表，其中，所述证据模糊匹配数据库用于存储所述层次化的信任度量模型中各层目标的各证据属性分别对应的模糊匹配列表，每个模糊匹配列表包括对应证据属性对应的多个模糊级别，以及每个模糊级别对应的预设判断依据；根据确定的模糊匹配列表中各模糊级别对应的预设判断依据，确定该证据属性所属的模糊级别，并将该模糊级别对应的模糊值确定为该证据属性的模糊量化值。

进一步地，所述处理器701，还用于在确定所述各证据属性的模糊量化值之后，且将所述量化模块确定的所述各证据属性的模糊量化值转化为输入向量之前，从所述证据模糊匹配数据库中，获取所述各证据属性各自对应的权重值；针对所述各证据属性中的每个证据属性，将该证据属性的模糊量化值与所述权重值确定模块确定的该证据属性对应的权重值的乘积确定为该证据属性的可信值；

所述处理器701，具体用于将所述各证据属性的可信值转化为输入向量。

进一步地，所述处理器701获取到的所述各证据属性各自对应的权重值为采用层次分析法AHP确定所述各证据属性各自对应的权重值；并在确定各权重值之后，将确定的所述各权重值与对应的证据属性分别对应存储在所述证据模糊匹配数据库中。

进一步地，所述处理器701确定的所述输入向量与表征期望可信状态的参考向量之间的向量距离为：所述输入向量与所述参考向量之间的余弦距离、或者所述输入向量与所述参考向量之间的欧式距离。

进一步地，所述终端，还包括：接收器702；

所述接收器702，用于接收终端系统发送的可信状态报告。

上述各单元的功能可对应于图2至图5所示流程中的相应处理步骤，在此不再赘述。

本发明实施例提供的一种终端系统可信状态判断方法、装置及终端，基于层次化的信任度量模型，包括：针对终端系统生成的可信状态报告中，各层目标的各证据属性，对各证据属性分别进行模糊量化取值，得到各证据属性的模糊量化值；将各证据属性的模糊量化值转化为输入向量，并确定输入向量与表征期望可信状态的参考向量之间的向量距离；当向量距离不大于预设距离阈值时，确定终端系统的状态可信。针对层次化的信任度量模型，能够在体现行为可预期的可信概念的同时，通过对信任进行度量，实现对终端系统是否可信的判定。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质（可以是CD-ROM，U盘，移动硬盘等）中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (14)

1.一种终端系统可信状态判断方法，基于层次化的信任度量模型，其特征在于，包括：

针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，得到所述各证据属性的模糊量化值；

将所述各证据属性的模糊量化值转化为输入向量，并确定所述输入向量与表征期望可信状态的参考向量之间的向量距离；

当所述向量距离不大于预设距离阈值时，确定所述终端系统的状态可信。

2.如权利要求1所述的方法，其特征在于，针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，具体包括：

针对终端系统生成的可信状态报告中，各层目标的各证据属性，从证据模糊匹配数据库中，确定该证据属性对应的模糊匹配列表，其中，所述证据模糊匹配数据库用于存储所述层次化的信任度量模型中各层目标的各证据属性分别对应的模糊匹配列表，每个模糊匹配列表包括对应证据属性对应的多个模糊级别，以及每个模糊级别对应的预设判断依据；

根据确定的模糊匹配列表中各模糊级别对应的预设判断依据，确定该证据属性所属的模糊级别，并将该模糊级别对应的模糊值确定为该证据属性的模糊量化值。

3.如权利要求1或2所述的方法，其特征在于，在得到所述各证据属性的模糊量化值之后，且将所述各证据属性的模糊量化值转化为输入向量之前，还包括：

从所述证据模糊匹配数据库中，获取所述各证据属性各自对应的权重值；

针对所述各证据属性中的每个证据属性，将该证据属性的模糊量化值与该证据属性对应的权重值的乘积确定为该证据属性的可信值；

将所述各证据属性的模糊量化值转化为输入向量，具体包括：

将所述各证据属性的可信值转化为输入向量。

4.如权利要求3所述的方法，其特征在于，所述各证据属性各自对应的权重值为采用层次分析法AHP确定所述各证据属性各自对应的权重值；并在确定各权重值之后，将确定的所述各权重值与对应的证据属性分别对应存储在所述证据模糊匹配数据库中。

5.如权利要求1所述的方法，其特征在于，所述输入向量与表征期望可信状态的参考向量之间的向量距离为：所述输入向量与所述参考向量之间的余弦距离、或者所述输入向量与所述参考向量之间的欧式距离。

6.如权利要求1所述的方法，其特征在于，还包括：

接收终端系统发送的可信状态报告。

7.一种终端系统可信状态判断装置，基于层次化的信任度量模型，其特征在于，包括：

量化模块，用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，得到所述各证据属性的模糊量化值；

向量距离确定模块，用于将所述量化模块确定的所述各证据属性的模糊量化值转化为输入向量，并确定所述输入向量与表征期望可信状态的参考向量之间的向量距离；

状态确定模块，用于当所述向量距离确定模块确定的向量距离不大于预设距离阈值时，确定所述终端系统的状态可信。

8.如权利要求7所述的装置，其特征在于，所述量化模块具体用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，从证据模糊匹配数据库中，确定该证据属性对应的模糊匹配列表，其中，所述证据模糊匹配数据库用于存储所述层次化的信任度量模型中各层目标的各证据属性分别对应的模糊匹配列表，每个模糊匹配列表包括对应证据属性对应的多个模糊级别，以及每个模糊级别对应的预设判断依据；根据确定的模糊匹配列表中各模糊级别对应的预设判断依据，确定该证据属性所属的模糊级别，并将该模糊级别对应的模糊值确定为该证据属性的模糊量化值。

9.如权利要求7或8所述的装置，其特征在于，还包括：权重值获取模块和可信值确定模块；

所述权重值获取模块，用于在所述量化模块确定所述各证据属性的模糊量化值之后，且所述向量距离确定模块将所述量化模块确定的所述各证据属性的模糊量化值转化为输入向量之前，从所述证据模糊匹配数据库中，获取所述各证据属性各自对应的权重值；

所述可信值确定模块，用于针对所述各证据属性中的每个证据属性，将该证据属性的模糊量化值与所述权重值确定模块确定的该证据属性对应的权重值的乘积确定为该证据属性的可信值；

所述向量距离确定模块，具体用于将所述各证据属性的可信值转化为输入向量。

10.如权利要求9所述的装置，其特征在于，所述权重值获取模块获取到的所述各证据属性各自对应的权重值为采用层次分析法AHP确定所述各证据属性各自对应的权重值；并在确定各权重值之后，将确定的所述各权重值与对应的证据属性分别对应存储在所述证据模糊匹配数据库中。

11.如权利要求7所述的装置，其特征在于，所述向量距离确定模块确定的所述输入向量与表征期望可信状态的参考向量之间的向量距离为：所述输入向量与所述参考向量之间的余弦距离、或者所述输入向量与所述参考向量之间的欧式距离。

12.如权利要求7所述的装置，其特征在于，还包括：接收模块；

所述接收模块，用于接收终端系统发送的可信状态报告。

13.一种终端，其特征在于，包括如权利要求7-12任一项所述的终端系统可信状态判断装置。

14.一种终端，其特征在于，包括：

处理器，用于针对终端系统生成的可信状态报告中，各层目标的各证据属性，对所述各证据属性分别进行模糊量化取值，得到所述各证据属性的模糊量化值；将所述量化模块确定的所述各证据属性的模糊量化值转化为输入向量，并确定所述输入向量与表征期望可信状态的参考向量之间的向量距离；当所述向量距离确定模块确定的向量距离不大于预设距离阈值时，确定所述终端系统的状态可信。

Images