CN111310162A - 基于可信计算的设备接入控制方法、装置、产品及介质 - Google Patents
基于可信计算的设备接入控制方法、装置、产品及介质 Download PDFInfo
- Publication number
- CN111310162A CN111310162A CN202010064129.4A CN202010064129A CN111310162A CN 111310162 A CN111310162 A CN 111310162A CN 202010064129 A CN202010064129 A CN 202010064129A CN 111310162 A CN111310162 A CN 111310162A
- Authority
- CN
- China
- Prior art keywords
- instruction
- execution
- executed
- equipment
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 75
- 238000005259 measurement Methods 0.000 claims abstract description 49
- 238000005516 engineering process Methods 0.000 claims abstract description 40
- 230000001960 triggered effect Effects 0.000 claims abstract description 22
- 238000001514 detection method Methods 0.000 claims abstract description 18
- 230000002159 abnormal effect Effects 0.000 claims abstract description 15
- 230000008569 process Effects 0.000 claims description 25
- 230000006399 behavior Effects 0.000 claims description 14
- 230000008676 import Effects 0.000 claims description 10
- 238000012545 processing Methods 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 abstract description 20
- 238000004364 calculation method Methods 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 23
- 238000007726 management method Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000004590 computer program Methods 0.000 description 3
- 238000002513 implantation Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 208000032826 Ring chromosome 3 syndrome Diseases 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000010252 digital analysis Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 229920005669 high impact polystyrene Polymers 0.000 description 1
- 239000004797 high-impact polystyrene Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Abstract
一种基于可信计算的设备接入控制方法、装置、产品及介质,当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令序列,在执行所述指令时,对所述指令序列进行哈希运算并得到哈希值,将上述哈希值与所述指令原本的哈希值进行比较,获得度量比较的结果,在度量结果为异常时,输出用于暂停执行所述指令的暂停命令。通过可信计算的验证度量对接入设备的接入控制协议触发的指令执行评判设备的可信性,相较于传统的分布式的手段更加集约化,无需使用传统的设备指纹技术,有效解决设备种类繁多带来的指纹多样性。且采用事后度量验证的技术有效代替入侵检测技术,因此可以规避由于操作系统种类带来的检测模块适配性的问题。
Description
技术领域
本发明涉及计算机安全技术领域,具体涉及基于可信计算的设备接入控制方法、装置、产品及介质。
背景技术
可信计算技术是当前比较前沿的技术,其基本特征是根据度量和验证的方法校验系统、设备或进程等计算实体的可信程度,并根据这些可信程度和事先设置的策略对实体采取进一步的措施。
具体地说,可信计算技术一般采用边度量边验证的方法。例如针对设备启动、系统加载以及进程运行等行为进行步骤分解,使各个步骤既具有一定的时序关系,又彼此独立。当设备启动或系统加载时,首先选择一个绝对可信的实体,称为核心信任根模块(CRTM,Core Root Of Trusted Module),再以此实体作为下一步执行的度量基准。而度量的对象则是即将执行的指令是否可信,若可信则将可信度量结果计入寄存器或其他存储介质,并作为度量下一执行步骤的信任根,这个信任根一般被称为可信计算基(TCB,TrustedComputing Base)。这样层层度量验证直到整个过程的最后一个步骤。如果在上述过程中所有步骤的可信验证均通过,则证明整个系统或设备实体可信。
从上述表述中,我们可以看出可信计算技术的基本特征:
1)需要具备一个绝对可信的实体作为CRTM;
2)先度量再验证,度量的是下一步即将执行的代码模块,验证的是度量的结果是否可信;
3)度量结果作为下一步度量的信任根实体;
4)利用信任根对实体进行度量和验证的步骤构成了可信计算的信任链。
物联网系统需要管理大批设备,而设备管理最重要的前提就是接入,没有接入则设备管理和维护就无从谈起。所谓设备接入通俗地讲就是根据设备自身的固有协议纳入到整个网管体系中来,使之能够实现增删改查和设备操纵等常规操作。在物联网和视联网系统中,设备接入的数量可多可少。
在一些接入数量庞大的系统中,安全问题十分突出。尤其是针对物联网和视联网设备等这种协议较为固定和成熟的系统实体,仿冒、私接、植入、非法外联等问题十分严重,因此设备接入所面临的安全问题最主要的就是设备准入。所谓准入就是对于仿冒、私接的设备不允许接入,对于被植入非法Rootkit的设备进行隔离,对于非法外联的设备进行阻断。
传统的基于设备指纹的准入技术可以较为有效地解决仿冒、私接的问题,对于Rootkit的植入和非法外联则没有很好的应对办法。更严重的是由于物联网协议非常宽泛,设备型号和种类也异常繁多,如果对于每种设备、每种协议都制定指纹鉴别策略,其开销必然十分巨大。同时,针对Rootkit的植入一般采用设备侧的入侵检测技术。但是入侵检测模块一般是内核进程,与操作系统内核的特性绑定非常紧密,不同的操作系统版本对于入侵检测模块的要求还不一样,很难打造一种适用于物联网众多种类设备的普适性的单一进程模块。
发明内容
本发明主要解决的技术问题是提供一种基于可信计算的设备接入控制方法、装置、产品及介质,以适用于物联网众多种类设备的普适性。
根据第一方面,一种实施例中提供一种基于可信计算的设备接入控制方法,包括:
当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令的执行,获取要执行的指令;
在执行所述指令前,对所述指令进行哈希运算,得到哈希值;
将所述哈希值与所述指令对应的可信根进行度量,获得度量结果;
在所述度量结果为异常时,输出用于暂停执行所述指令的暂停命令。
在其中一种可能实现方式中,基于可信计算的设备接入控制方法还包括:
在输出暂停指令执行的暂停命令时,根据预设业务逻辑进行以下操作:
对所述指令对应的行为操作进行阻断、注销、删除或屏蔽;
或,根据预设选择逻辑有选择地信任所述指令对应的行为操作,以执行所述指令中所信任的对应行为操作。
在其中一种可能实现方式中,在所述度量结果为可信时,执行所述指令;
输出继续执行的命令,以对下一条要执行的指令进行度量。
在其中一种可能实现方式中,所述当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令包括:
当检测到设备接入时,至少可以通过以下方式检测由设备接入所触发的指令执行,获取要执行的指令:
替换由设备接入所触发的接入进程的导入地址表;
或,替换操作系统的系统服务描述符表;
或,根据内联钩子检测和/或记录指令执行。
在其中一种可能实现方式中,基于可信计算的设备接入控制方法还包括:
获取所述指令的指令数据取值区间;
根据预设的阈值对所述指令数据的取值区间进行检验,输出检验结果;
在检验结果为异常时,输出暂停指令执行的暂停命令。
根据第一方面,一种实施例中提供一种基于可信计算的设备接入控制装置,包括:
指令获取模块,用于当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令;
运算模块,用于在执行指令前,对所述指令进行哈希运算,得到哈希值;
结果获取模块,用于将所述哈希值与所述指令对应的可信根进行度量,获得度量结果;
输出模块,用于在所述度量结果为异常时,输出暂停指令执行的暂停命令。
在其中一种可能实现方式中,基于可信计算的设备接入控制装置还包括:
执行模块,用于在所述度量结果为可信时,执行所述指令;
继续命令输出模块,用于输出继续执行的命令,以对下一条要执行的指令进行度量。
在其中一种可能实现方式中,基于可信计算的设备接入控制装置还包括:
区间获取模块,用于获取所述指令的指令数据取值区间;
结果输出模块,用于根据预设的阈值对所述指令数据的取值区间进行检验,输出检验结果;
暂停输出模块,用于在检验结果为异常时,输出暂停指令执行的暂停命令。
根据第三方面,一种实施例中提供一种产品,包括:
存储器,用于存储程序;
处理器,用于通过执行所述存储器存储的程序以实现如上任一项所述的方法。
根据第四方面,一种实施例中提供一种计算机可读存储介质,包括程序,所述程序能够被处理器执行以实现如上任一项所述的方法。
依据上述实施例的基于可信计算的设备接入控制方法、装置、产品及介质,当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令,在执行所述指令前,对所述指令进行哈希运算,得到哈希值,将所述哈希值与所述指令对应的可信根进行度量,获得度量结果,在所述度量结果为异常时,输出用于暂停执行所述指令的暂停命令。通过可信计算的验证度量对接入设备的接入控制协议触发的指令执行评判设备的可信性,相较于传统的分布式的手段更加集约化,采用集中式网管的手段进行度量和验证,无需使用传统的设备指纹技术,可以有效解决设备种类繁多带来的指纹多样性。且采用事后度量验证的技术可以有效代替入侵检测技术,因此可以规避由于操作系统种类带来的检测模块适配性的问题。
附图说明
图1为本发明实施例提供一种基于可信计算的设备接入控制方法流程图;
图2为本发明实施例的没有使用挂钩技术的的指令执行流程图;
图3为本发明实施例的基于Inline HOOK执行示意图;
图4为本发明实施例的可信计算方法流程示意图;
图5为本发明实施例的决策方法流程示意图;
图6为本发明实施例的一种基于可信计算的设备接入控制装置结构示意图;
图7为本发明实施例的另一种基于可信计算的设备接入控制装置结构示意图;
图8为本发明实施例的另一种基于可信计算的设备接入控制装置结构示意图;
图9为本发明实施例的另一种基于可信计算的设备接入控制装置结构示意图。
具体实施方式
下面通过具体实施方式结合附图对本发明作进一步详细说明。其中不同实施方式中类似元件采用了相关联的类似的元件标号。在以下的实施方式中,很多细节描述是为了使得本申请能被更好的理解。然而,本领域技术人员可以毫不费力的认识到,其中部分特征在不同情况下是可以省略的,或者可以由其他元件、材料、方法所替代。在某些情况下,本申请相关的一些操作并没有在说明书中显示或者描述,这是为了避免本申请的核心部分被过多的描述所淹没,而对于本领域技术人员而言,详细描述这些相关操作并不是必要的,他们根据说明书中的描述以及本领域的一般技术知识即可完整了解相关操作。
另外,说明书中所描述的特点、操作或者特征可以以任意适当的方式结合形成各种实施方式。同时,方法描述中的各步骤或者动作也可以按照本领域技术人员所能显而易见的方式进行顺序调换或调整。因此,说明书和附图中的各种顺序只是为了清楚描述某一个实施例,并不意味着是必须的顺序,除非另有说明其中某个顺序是必须遵循的。
本文中为部件所编序号本身,例如“第一”、“第二”等,仅用于区分所描述的对象,不具有任何顺序或技术含义。而本申请所说“连接”、“联接”,如无特别说明,均包括直接和间接连接(联接)。
在本发明实施例中,基于可信计算的设备接入控制方法中,可以通过可信计算技术中的度量和验证的手段计算设备接入时的接入协议所触发的进程动作指令的可信性,辅之以挂钩技术,由挂钩技术检测指令执行的步骤,为后面的可信计算的度量提供输入数据。由此实现集中式网管的手段进行度量和验证,无需使用传统的设备指纹技术,可以有效解决设备种类繁多带来的指纹多样性的问题,并根据计算结果决定对设备的操作控制。
实施例一
参见图1,本发明实施例提供一种基于可信计算的设备接入控制方法,可以在系统网管进程中执行该方法,例如物联网或视联网系统,用于对接入系统的设备进行可信性检测。该方法包括步骤S10至S40,下面具体说明。
执行基于可信计算的设备接入控制方法时,需要说明四点,第一点,设备接入控制的核心是接入协议及其报文,潜在的攻击往往隐藏于报文中,例如在报文的Payload中隐含了可执行文件(例如Windows的PE文件)的代码。第二点,设备接入主机进程在接收到设备端发来的接入类报文(例如注册、保活、数据获取等)后往往要执行一定的动作指令,例如读写数据库、调用某API、打开socket并发送相关报文给其他进程或设备。第三点,进程的执行指令有一定的时序,只有满足合理的时序才能完成正常的操作。第四点,被入侵和操纵的设备也可能对设备接入主机发起攻击,例如频发发送报文、非法获取接入主机进程中的核心数据等,这些攻击动作同样也会触发接入主机进程执行非法指令。
步骤S10:当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令。
在其中一种可能实现方式中,步骤S10当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令至少可以通过以下方式检测由设备接入所触发的指令执行,获取要执行的指令:
方式一:当检测到设备接入时,替换由设备接入所触发的接入进程的导入地址表;
方式二:当检测到设备接入时,替换操作系统的系统服务描述符表;
方式三:当检测到设备接入时,根据内联钩子检测和/或记录指令执行。
在本发明实施例中,通过替换进程的导入地址表(IAT,Import Address Table)、替换操作系统的系统服务描述符表(SSDT,System Service Descriptor Table)或InlineHOOK等方式实现挂钩功能。
其中,导入地址表IAT的作用如下:由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个动态链接库DLL中,当可移植的可执行的文件被装入内存的时候,Windows装载器才将动态链接库DLL装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成,其中导入地址表就指示函数实际地址。
其中,系统服务描述符表SSDT就是把ring3的Win32 API和ring0的内核API联系起来。系统服务描述符表SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等,系统服务描述符表SSDT通过修改此表的函数地址可以对常用windows函数进行挂钩,从而实现对一些核心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。
其中,Inline HOOK实际上就是指通过改变目标函数头部的代码来使改变后的代码跳转至我们自己设置的一个函数里,产生挂钩。
具体地说就是替换导入地址表IAT或系统服务描述符表SSDT中具体的地址,但是参数要保持一致,替换的地址是一个新应用程序接口API的入口地址。这个地址所在区域代表的是一个指令模块。如图2,是没有使用挂钩技术的的指令执行流程,图3是基于InlineHOOK执行示意图。Inline HOOK则是在原有指令序列中插入一个滑板(ShellCode),这个滑板的前半部分为旁路指令序列,负责记录调用和流程信息,后半部分为原有的指令序列,负责继续执行原有指令。通过挂钩技术Inline HOOK的滑板导向下一指令序列2的执行,由此通过挂钩技术可以检测指令的执行步骤,获取执行的指令相关的数据,为后面的可信计算模块的度量提供输入数据。
步骤S20:在执行所述指令前,对所述指令进行哈希运算,得到哈希值。
需要说明的是,哈希就是把任意长度的输入,通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
其中,常见的哈希函数包括:直接定址法:直接以关键字k或者k加上某个常数(k+c)作为哈希地址。数字分析法:提取关键字中取值比较均匀的数字作为哈希地址。除留余数法:用关键字k除以某个不大于哈希表长度m的数p,将所得余数作为哈希表地址。分段叠加法:按照哈希表地址位数将关键字分成位数相等的几部分,其中最后一部分可以比较短。然后将这几部分相加,舍弃最高进位后的结果就是该关键字的哈希地址。平方取中法:如果关键字各个部分分布都不均匀的话,可以先求出它的平方值,然后按照需求取中间的几位作为哈希地址。伪随机数法:采用一个伪随机数当作哈希函数。本发明对此不作具体限定。
步骤S30:将所述哈希值与所述指令对应的可信根进行度量,获得度量结果。
在本发明实施例中,对接入进程指令的各个执行步骤进行度量和验证,包括:
参见图4,以CRTM为基础信任模块,该基础信任模块可以是BIOS芯片中的一小段代码,或者是系统中其他选做可信根的一小段代码,且这段代码应具备不可覆写性。初始化可信计算,根据可信的、合法的接入控制协议操作接入进程,记录下进程的每一个步骤,并以此作为各个步骤的度量基准。具体做法是对接入的每一个步骤(指令)进行事先度量,将每一步骤的指令、数据等做哈希运算(Hash)以缩小其代码/数据体积,并将哈希值存入系统中的不可覆写区。这个区域可以是寄存器、内存或其他扩展区域。接入进程接收到接入控制报文后会执行相应的指令,这些指令均按照一定的时序执行。例如接收到注册报文后接入进程可能会向数据库写入一个新的设备;接收到心跳保活报文后可能会调用某个执行序列更新设备的状态。然后根据事先初始化过的各个步骤的度量基准即各个指令对应的可信根与上述哈希值进行比较,如果相符合则进入下一步;否则终止验证,并报告可信验证错误。
步骤S40:在所述度量结果为异常时,输出用于暂停执行所述指令的暂停命令。
在本发明实施例中,在得到了可信计算结果之后进行逻辑决策,然后将决策结果输出相应的数据库或接入控制业务。
在其中一种可能实现方式中,基于可信计算的设备接入控制方法还包括:
在输出暂停指令执行的暂停命令时,根据预设业务逻辑进行以下操作:
对所述指令对应的行为操作进行阻断、注销、删除或屏蔽,或根据预设选择逻辑有选择地信任所述指令对应的行为操作,以执行所述指令中所信任的对应行为操作。
在其中一种可能实现方式中,在所述度量结果为可信时,执行所述指令;
输出继续执行的命令,以对下一条要执行的指令进行度量。
参见图5,根据可信计算中度量组件的输出判定是否可信:若可信则返回可信计算一个继续执行的指令,并向数据库记录该执行结果;否则则返回可信计算一个暂停的指令,并向接入控制业务模块传递该结果。接入控制业务收到决策的反馈后根据业务逻辑的需要进行下一步动作。例如对设备的不可信行为进行阻断、注销、删除、屏蔽等操作;或者有选择地信任这些行为,并向可信计算模块返回处理结果。如果对不可信行为进行阻断,则可信计算会终止本次度量验证;如果信任这些行为,则可信计算会继续度量下一步骤。
在其中一种可能实现方式中,基于可信计算的设备接入控制方法还包括:
获取所述指令的指令数据取值区间;
根据预设的阈值对所述指令数据的取值区间进行检验,输出检验结果;
在检验结果为异常时,输出暂停指令执行的暂停命令。
需要说明的是,指令的执行分为两个方面,即指令代码和指令数据。在X86/X64体系结构下的进程中,代码和数据分别存放于代码段和数据段。通过挂钩技术可以截获指令的执行步骤和序列(指令代码),也可以截获指令数据。这些数据可能是全局变量,也可能是局部变量,更多的则可能是函数的参数。因此要对这些数据规定一个合法的阈值,即在一个取值区间是合理的。许多的溢出攻击正是利用了取值区间不加校验这个漏洞实现的,在度量的时候根据实际情况确定该预设阈值,本发明对此不作具体限定。
实施本发明实施例具有如下特点:
本发明的核心思想是通过接入控制协议引起的进程动作集中式地判定是否可信,相较于传统的分布式的布防手段更加集约化。利用可信计算度量和验证的技术对设备接入进行控制,有效地屏蔽了采用设备指纹技术而产生的指纹适配问题,不需要每种设备设置一种指纹。采用可信计算技术实现接入控制不需要对设备进行更改,其接入协议不变,也不需要在设备端植入反Rootkit的入侵检测模块。由于采用集中式网管的手段进行度量和验证,因此无需使用传统的设备指纹技术,可以有效解决设备种类繁多带来的指纹多样性。与静态的设备指纹技术相比,采用可信计算技术进行接入校验更像是一种动态验证的技术。采用事后度量验证的技术可以有效代替入侵检测技术,因此可以规避由于操作系统种类差异带来的检测模块适配性的问题。
实时例二
参见图6,一种实施例中提供一种基于可信计算的设备接入控制装置,包括指令获取模块10、运算模块20、结果获取模块30及输出模块40,下面具体说明。
指令获取模块10用于当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令;
运算模块20用于在执行指令前,对所述指令进行哈希运算,得到哈希值;
结果获取模块30用于将所述哈希值与所述指令对应的可信根进行度量,获得度量结果;
输出模块40用于在所述度量结果为异常时,输出暂停指令执行的暂停命令。
在其中一种可能实现方式中,参见图7,基于可信计算的设备接入控制装置还包括执行模块50及继续命令输出模块60,下面具体说明。
执行模块50,用于在所述度量结果为可信时,执行所述指令;
继续命令输出模块60,用于输出继续执行的命令,以对下一条要执行的指令进行度量。
在其中一种可能实现方式中,参见图8,基于可信计算的设备接入控制装置还包括区间获取模块70、结果输出模块80及暂停输出模块90,下面具体说明。
区间获取模块70用于获取所述指令的指令数据取值区间;
结果输出模块80用于根据预设的阈值对所述指令数据的取值区间进行检验,输出检验结果;
暂停输出模块90用于在检验结果为异常时,输出暂停指令执行的暂停命令。
参见图9,本发明可以由挂钩模块、可信计算模块和决策控制模块构成,并与外部的接入控制业务系统对接。基于上述架构,决策控制模块中还可以引入监督学习机制,对于历史的可信/非可信的动作进行学习,并在后续的判断过程中自行决定是否对当前指令进行阻断。按照这种方式改进可以有效地提高决策的速度。
实施本发明实施例具有如下特点:
一种基于可信计算的设备接入控制装置,包括指令获取模块10、运算模块20、结果获取模块30及输出模块40,指令获取模块10用于当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令,运算模块20用于在执行指令前,对所述指令进行哈希运算,得到哈希值,结果获取模块30用于将所述哈希值与所述指令对应的可信根进行度量,获得度量结果,输出模块40用于在所述度量结果为异常时,输出暂停指令执行的暂停命令。通过可信计算的验证度量对接入设备的接入控制协议触发的指令执行评判设备的可信性,相较于传统的分布式的手段更加集约化,采用集中式网管的手段进行度量和验证,无需使用传统的设备指纹技术,可以有效解决设备种类繁多带来的指纹多样性。且采用事后度量验证的技术可以有效代替入侵检测技术,因此可以规避由于操作系统种类带来的检测模块适配性的问题。
本领域技术人员可以理解,上述实施方式中各种方法的全部或部分功能可以通过硬件的方式实现,也可以通过计算机程序的方式实现。当上述实施方式中全部或部分功能通过计算机程序的方式实现时,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器、随机存储器、磁盘、光盘、硬盘等,通过计算机执行该程序以实现上述功能。例如,将程序存储在设备的存储器中,当通过处理器执行存储器中程序,即可实现上述全部或部分功能。另外,当上述实施方式中全部或部分功能通过计算机程序的方式实现时,该程序也可以存储在服务器、另一计算机、磁盘、光盘、闪存盘或移动硬盘等存储介质中,通过下载或复制保存到本地设备的存储器中,或对本地设备的系统进行版本更新,当通过处理器执行存储器中的程序时,即可实现上述实施方式中全部或部分功能。
以上应用了具体个例对本发明进行阐述,只是用于帮助理解本发明,并不用以限制本发明。对于本发明所属技术领域的技术人员,依据本发明的思想,还可以做出若干简单推演、变形或替换。
Claims (10)
1.一种基于可信计算的设备接入控制方法,其特征在于,包括:
当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令;
在执行所述指令前,对所述指令进行哈希运算,得到哈希值;
将所述哈希值与所述指令对应的可信根进行度量,获得度量结果;
在所述度量结果为异常时,输出用于暂停执行所述指令的暂停命令。
2.如权利要求1所述的方法,其特征在于,还包括:
在输出暂停指令执行的暂停命令时,根据预设业务逻辑进行以下操作:
对所述指令对应的行为操作进行阻断、注销、删除或屏蔽;
或,根据预设选择逻辑有选择地信任所述指令对应的行为操作,以执行所述指令中所信任的对应行为操作。
3.如权利要求1所述的方法,其特征在于,
在所述度量结果为可信时,执行所述指令;
输出继续执行的命令,以对下一条要执行的指令进行度量。
4.如权利要求1所述的方法,其特征在于,所述当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令包括:
当检测到设备接入时,至少可以通过以下方式检测由设备接入所触发的指令执行,获取要执行的指令:
替换由设备接入所触发的接入进程的导入地址表;
或,替换操作系统的系统服务描述符表;
或,根据内联钩子检测和/或记录指令执行。
5.如权利要求1所述的方法,其特征在于,还包括:
获取所述指令的指令数据取值区间;
根据预设的阈值对所述指令数据的取值区间进行检验,输出检验结果;
在检验结果为异常时,输出暂停指令执行的暂停命令。
6.一种基于可信计算的设备接入控制装置,其特征在于,包括:
指令获取模块,用于当检测到设备接入时,基于挂钩技术检测由设备接入所触发的指令执行,获取要执行的指令;
运算模块,用于在执行指令前,对所述指令进行哈希运算,得到哈希值;
结果获取模块,用于将所述哈希值与所述指令对应的可信根进行度量,获得度量结果;
输出模块,用于在所述度量结果为异常时,输出暂停指令执行的暂停命令。
7.如权利要求1所述的装置,其特征在于,还包括:
执行模块,用于在所述度量结果为可信时,执行所述指令;
继续命令输出模块,用于输出继续执行的命令,以对下一条要执行的指令进行度量。
8.如权利要求1所述的装置,其特征在于,还包括:
区间获取模块,用于获取所述指令的指令数据取值区间;
结果输出模块,用于根据预设的阈值对所述指令数据的取值区间进行检验,输出检验结果;
暂停输出模块,用于在检验结果为异常时,输出暂停指令执行的暂停命令。
9.一种产品,其特征在于,包括:
存储器,用于存储程序;
处理器,用于通过执行所述存储器存储的程序以实现如权利要求1-5中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,包括程序,所述程序能够被处理器执行以实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010064129.4A CN111310162B (zh) | 2020-01-20 | 2020-01-20 | 基于可信计算的设备接入控制方法、装置、产品及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010064129.4A CN111310162B (zh) | 2020-01-20 | 2020-01-20 | 基于可信计算的设备接入控制方法、装置、产品及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111310162A true CN111310162A (zh) | 2020-06-19 |
CN111310162B CN111310162B (zh) | 2023-12-26 |
Family
ID=71148378
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010064129.4A Active CN111310162B (zh) | 2020-01-20 | 2020-01-20 | 基于可信计算的设备接入控制方法、装置、产品及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111310162B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112165399A (zh) * | 2020-09-24 | 2021-01-01 | 北京八分量信息科技有限公司 | 基于可信根度量进行区块链节点故障的处理系统、方法、装置及相关产品 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050251570A1 (en) * | 2002-04-18 | 2005-11-10 | John Heasman | Intrusion detection system |
US20070240207A1 (en) * | 2004-04-20 | 2007-10-11 | Ecole Polytechnique Federale De Lausanne (Epfl) | Method of Detecting Anomalous Behaviour in a Computer Network |
US20130212669A1 (en) * | 2012-02-10 | 2013-08-15 | International Business Machines Corporation | Detecting and Combating Attack In Protection System of an Industrial Control System |
US20150317472A1 (en) * | 2012-12-14 | 2015-11-05 | International Business Machines Corporation | User trusted device for detecting a virtualized environment |
US20170093897A1 (en) * | 2015-09-25 | 2017-03-30 | Mcafee, Inc. | Application phenotyping |
CN108399338A (zh) * | 2018-02-06 | 2018-08-14 | 南京航空航天大学 | 基于进程行为的平台完整性状态信息度量方法 |
CN109165509A (zh) * | 2018-08-31 | 2019-01-08 | 武汉轻工大学 | 软件实时可信度量的方法、设备、系统及存储介质 |
CN110276198A (zh) * | 2019-06-14 | 2019-09-24 | 中国科学院信息工程研究所 | 一种基于概率预测的嵌入式可变粒度控制流验证方法及系统 |
US20190318090A1 (en) * | 2018-04-13 | 2019-10-17 | Webroot Inc. | Malicious software detection based on api trust |
CN110674494A (zh) * | 2018-07-02 | 2020-01-10 | 阿里巴巴集团控股有限公司 | 进程的保护方法、系统及数据处理方法 |
-
2020
- 2020-01-20 CN CN202010064129.4A patent/CN111310162B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050251570A1 (en) * | 2002-04-18 | 2005-11-10 | John Heasman | Intrusion detection system |
US20070240207A1 (en) * | 2004-04-20 | 2007-10-11 | Ecole Polytechnique Federale De Lausanne (Epfl) | Method of Detecting Anomalous Behaviour in a Computer Network |
US20130212669A1 (en) * | 2012-02-10 | 2013-08-15 | International Business Machines Corporation | Detecting and Combating Attack In Protection System of an Industrial Control System |
US20150317472A1 (en) * | 2012-12-14 | 2015-11-05 | International Business Machines Corporation | User trusted device for detecting a virtualized environment |
US20170093897A1 (en) * | 2015-09-25 | 2017-03-30 | Mcafee, Inc. | Application phenotyping |
CN108399338A (zh) * | 2018-02-06 | 2018-08-14 | 南京航空航天大学 | 基于进程行为的平台完整性状态信息度量方法 |
US20190318090A1 (en) * | 2018-04-13 | 2019-10-17 | Webroot Inc. | Malicious software detection based on api trust |
CN110674494A (zh) * | 2018-07-02 | 2020-01-10 | 阿里巴巴集团控股有限公司 | 进程的保护方法、系统及数据处理方法 |
CN109165509A (zh) * | 2018-08-31 | 2019-01-08 | 武汉轻工大学 | 软件实时可信度量的方法、设备、系统及存储介质 |
CN110276198A (zh) * | 2019-06-14 | 2019-09-24 | 中国科学院信息工程研究所 | 一种基于概率预测的嵌入式可变粒度控制流验证方法及系统 |
Non-Patent Citations (1)
Title |
---|
杨朋霖 等: ""一种星载操作系统进程安全监控设计"" * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112165399A (zh) * | 2020-09-24 | 2021-01-01 | 北京八分量信息科技有限公司 | 基于可信根度量进行区块链节点故障的处理系统、方法、装置及相关产品 |
CN112165399B (zh) * | 2020-09-24 | 2023-07-14 | 北京八分量信息科技有限公司 | 基于可信根度量进行区块链节点故障的处理方法、装置及相关产品 |
Also Published As
Publication number | Publication date |
---|---|
CN111310162B (zh) | 2023-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8117660B2 (en) | Secure control flows by monitoring control transfers | |
TWI720932B (zh) | 用於藉由分析已知及/或未知網路安全威脅的形態來偵測資料異常的系統和方法 | |
KR100368947B1 (ko) | 실행 모듈 및 이에 연관된 보호 서비스 제공자 모듈의 무결성 검사 | |
US8584241B1 (en) | Computer forensic system | |
US7607122B2 (en) | Post build process to record stack and call tree information | |
WO2018071491A1 (en) | Systems and methods for identifying insider threats in code | |
US20060053492A1 (en) | Software tracking protection system | |
US8086835B2 (en) | Rootkit detection | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
US11290481B2 (en) | Security threat detection by converting scripts using validation graphs | |
CN111159762A (zh) | 一种强制访问控制下的主体可信验证方法及系统 | |
CN117579395B (zh) | 一种应用人工智能进行网络安全漏洞扫描的方法及系统 | |
CN106650439A (zh) | 检测可疑应用程序的方法及装置 | |
CN111310162A (zh) | 基于可信计算的设备接入控制方法、装置、产品及介质 | |
US20190121975A1 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
KR102022626B1 (ko) | 로그 분석을 이용한 공격 탐지 장치 및 방법 | |
CN110348180A (zh) | 一种应用程序启动控制方法和装置 | |
Mishra | Improving Speed of Virus Scanning-Applying TRIZ to Improve Anti-Virus Programs | |
KR100985071B1 (ko) | 스크립트 언어를 사용한 취약점 공격 코드의 실시간 탐지및 차단 방법, 및 그 장치 | |
CN104008336B (zh) | 一种ShellCode检测方法和装置 | |
CN109840417B (zh) | 一种恶意软件检测方法及装置 | |
Norouzi et al. | The greed trap: Uncovering intrinsic ethereum honeypots through symbolic execution | |
US20240054225A1 (en) | Intelligent service security enforcement system | |
JP2901149B1 (ja) | コンピュータ作動状況監視装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |