CN106709375A - 基于可信芯片的文件保护方法 - Google Patents
基于可信芯片的文件保护方法 Download PDFInfo
- Publication number
- CN106709375A CN106709375A CN201610997117.0A CN201610997117A CN106709375A CN 106709375 A CN106709375 A CN 106709375A CN 201610997117 A CN201610997117 A CN 201610997117A CN 106709375 A CN106709375 A CN 106709375A
- Authority
- CN
- China
- Prior art keywords
- file
- metric
- credible chip
- measurement
- method based
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于可信芯片的文件保护方法,基于配置可信芯片的可信主机实现,该方法包括:计算文件的度量值,将文件度量值保存于度量文件中,计算保存文件度量值的度量文件的度量值,将度量文件的度量值保存于可信芯片的非易失性存储区中;操作文件时,重新计算度量文件的度量值,从非易失性存储区中读取保存的度量文件的度量值,比较两个度量值,若一致,文件正常操作,若不一致,执行安全保护措施,包括禁止操作文件、生成日志报警等。本发明通过对度量文件进行度量,并将其度量值保存于可信芯片的非易失性存储区中,可同时保证文件及度量文件的完整性,提高系统安全性。
Description
技术领域
本发明涉及一种基于可信芯片的文件保护方法,属于信息安全技术领域。
背景技术
操作系统的文件安全管理十分重要,系统的关键性文件,如可执行二进制文件、系统库文件、可执行脚本文件等一旦被篡改,将导致严重的系统安全性问题。
对文件进行度量,以及时发现可能已被篡改的文件,是一种有效的主动防御方法,文件度量的过程为:在安全环境下,预先计算文件的度量值(利用md5、sha1、sha256、SM3等算法计算文件的摘要值),并保存度量值,后续操作文件时,计算该文件的度量值,与保存的度量值进行比较,若一致则表明文件未被篡改,若不一致,则表明文件已被篡改,此时,可采取禁止访问不安全文件、删除不安全文件、报警等措施,保证系统的安全性。
然而,上述文件度量方法仍存在安全问题,这是因为,各文件的度量值一般保存于度量文件中,若文件被篡改,同时度量文件中对应该文件的度量值也被篡改,那么该文件的完整性保护将失效,因此,需要同时对文件及保存文件度量值的度量文件进行有效的保护。
发明内容
鉴于上述原因,本发明的目的在于提供一种基于可信芯片的文件保护方法,通过对度量文件进行度量,并将其度量值保存于可信芯片的非易失性存储区中,可同时保证文件及度量文件的完整性,提高系统安全性。
为实现上述目的,本发明采用以下技术方案:
一种基于可信芯片的文件保护方法,基于配置可信芯片的可信主机实现,该方法包括:
计算保存文件度量值的度量文件的度量值,将度量文件的度量值保存于可信芯片的非易失性存储区中;
操作文件时,重新计算度量文件的度量值,从非易失性存储区中读取保存的度量文件的度量值,比较两个度量值,若一致,文件正常操作,若不一致,执行安全保护措施。
进一步的,
该方法还包括:计算文件的度量值,将文件度量值保存于所述度量文件中。
所述文件正常操作情况下,计算文件的度量值,将文件度量值与所述度量文件中对应该文件的文件度量值进行比较,若一致,文件正常操作,若不一致,执行安全保护措施。
所述安全保护措施包括禁止操作文件、生成报警日志、删除文件等。
初次操作所述可信芯片时,设置操作密码。
本发明的优点是:
本发明的基于可信芯片的文件保护方法,通过将文件的度量值保存于度量文件中,将度量文件的度量值保存于可信芯片的非易失性存储区中,操作文件时,先比较度量文件的度量值,再比较文件的度量值,可同时保证文件及度量文件的完整性,提高系统安全性。
附图说明
图1是本发明的方法流程示意图。
具体实施方式
以下结合附图和实施例对本发明作进一步详细的描述。
本发明公开的基于可信芯片的文件保护方法,基于配置可信芯片(TPM:TrustedPlatform Module)的可信主机实现,可信芯片包括真随机数生成器、加密算法引擎、安全存储寄存器PCR、非易失性存储区(NV存储区)等,其中NV存储区为持久性的,即使设备掉电、重装系统等操作,NV存储区中的数据也不会丢失,可保证数据的不可变更性和安全性,可信芯片的架构及功能已属现有技术,本发明不作详细说明。
如图1所示,本发明的基于可信芯片的文件保护方法,包括:
在安全环境下,计算需要保护的文件的度量值,将文件度量值保存于度量文件中,计算度量文件的度量值,将度量文件的度量值保存于可信芯片的NV存储区;
操作文件时,重新计算度量文件的度量值,从可信芯片的NV存储区中读取保存的度量文件的度量值,将二者进行比较,若不一致,则表明度量文件被篡改,需要采取相应的安全措施,如禁止访问文件、生成报警日志等,若一致,则度量文件未被篡改,计算文件的度量值,将文件度量值与度量文件中对应该文件的文件度量值进行比较,若一致,则表明文件未被篡改,可以正常操作,若不一致,则表明文件被篡改,需要采取相应的安全措施。
初次操作可信芯片时,可信主机的归属人设置可信芯片的操作密码,后续只有输入正确的操作密码才能对可信芯片执行写操作,可进一步保证系统安全性。
以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。
Claims (5)
1.基于可信芯片的文件保护方法,基于配置可信芯片的可信主机实现,其特征在于,该方法包括:
计算保存文件度量值的度量文件的度量值,将度量文件的度量值保存于可信芯片的非易失性存储区中;
操作文件时,重新计算度量文件的度量值,从非易失性存储区中读取保存的度量文件的度量值,比较两个度量值,若一致,文件正常操作,若不一致,执行安全保护措施。
2.根据权利要求1所述的基于可信芯片的文件保护方法,其特征在于,还包括:计算文件的度量值,将文件度量值保存于所述度量文件中。
3.根据权利要求2所述的基于可信芯片的文件保护方法,其特征在于,所述文件正常操作情况下,计算文件的度量值,将文件度量值与所述度量文件中对应该文件的文件度量值进行比较,若一致,文件正常操作,若不一致,执行安全保护措施。
4.根据权利要求3所述的基于可信芯片的文件保护方法,其特征在于,所述安全保护措施包括禁止操作文件、生成报警日志、删除文件等。
5.根据权利要求1所述的基于可信芯片的文件保护方法,其特征在于,初次操作所述可信芯片时,设置操作密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610997117.0A CN106709375A (zh) | 2016-11-11 | 2016-11-11 | 基于可信芯片的文件保护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610997117.0A CN106709375A (zh) | 2016-11-11 | 2016-11-11 | 基于可信芯片的文件保护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106709375A true CN106709375A (zh) | 2017-05-24 |
Family
ID=58939794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610997117.0A Pending CN106709375A (zh) | 2016-11-11 | 2016-11-11 | 基于可信芯片的文件保护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106709375A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107688729A (zh) * | 2017-07-27 | 2018-02-13 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信主机的应用程序保护系统及方法 |
| CN111723379A (zh) * | 2020-06-18 | 2020-09-29 | 中国电力科学研究院有限公司 | 可信台区智能终端的可信保护方法、系统、设备及存储介质 |
| CN112199682A (zh) * | 2020-11-03 | 2021-01-08 | 上海思赞博微信息科技有限公司 | 一种基于可信计算的白名单库文件保护方法 |
-
2016
- 2016-11-11 CN CN201610997117.0A patent/CN106709375A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107688729A (zh) * | 2017-07-27 | 2018-02-13 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信主机的应用程序保护系统及方法 |
| CN111723379A (zh) * | 2020-06-18 | 2020-09-29 | 中国电力科学研究院有限公司 | 可信台区智能终端的可信保护方法、系统、设备及存储介质 |
| CN111723379B (zh) * | 2020-06-18 | 2024-03-19 | 中国电力科学研究院有限公司 | 可信台区智能终端的可信保护方法、系统、设备及存储介质 |
| CN112199682A (zh) * | 2020-11-03 | 2021-01-08 | 上海思赞博微信息科技有限公司 | 一种基于可信计算的白名单库文件保护方法 |
| CN112199682B (zh) * | 2020-11-03 | 2022-08-02 | 上海思赞博微信息科技有限公司 | 一种基于可信计算的白名单库文件保护方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10394492B2 (en) | Securing a media storage device using write restriction mechanisms | |
| EP3779745B1 (en) | Code pointer authentication for hardware flow control | |
| CN100437502C (zh) | 基于安全芯片的防病毒方法 | |
| US20190130097A1 (en) | Device-based anti-malware | |
| CN103140841B (zh) | 保护存储器的部分的方法和装置 | |
| US8271799B2 (en) | System and method for generating a disguised password based on a real password | |
| CN101788959A (zh) | 一种固态硬盘安全加密系统 | |
| US11914682B2 (en) | Software verification device | |
| CN111159762B (zh) | 一种强制访问控制下的主体可信验证方法及系统 | |
| CN104077522A (zh) | 一种操作系统进程完整性检测方法 | |
| CN106709375A (zh) | 基于可信芯片的文件保护方法 | |
| CN103020518B (zh) | 一种基于TPM的Linux内核初始化中的数据结构保护方法及系统 | |
| CN104951708A (zh) | 一种文件度量和保护的方法及装置 | |
| US11620398B2 (en) | Techniques to protect fuses against non-destructive attacks | |
| CN110245495A (zh) | Bios校验方法、配置方法、设备及系统 | |
| EP3454216B1 (en) | Method for protecting unauthorized data access from a memory | |
| CN109117643A (zh) | 系统处理的方法以及相关设备 | |
| CN118245275A (zh) | 选择性存储器重复控制 | |
| CN105512560A (zh) | 一种一次性可编程存储器芯片和及其的控制方法 | |
| CN104503705A (zh) | 利用闪存设备构建可信存储系统的方法及构建的可信存储系统 | |
| CN109598125B (zh) | 一种安全启动方法 | |
| CN110826051A (zh) | 一种弱口令检测方法、装置、介质及终端设备 | |
| US10691586B2 (en) | Apparatus and method for software self-test | |
| KR101986028B1 (ko) | 코드 포인터 보수를 사용하여 프로세싱 흐름에 대한 공격에 대해 장치를 보호하기 위한 시스템 및 방법 | |
| US20160299854A1 (en) | Techniques for preventing physical attacks on contents of memory |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170524 |