CN113221117A - 一种基于双体系架构的可信计算平台的动态度量方法 - Google Patents
一种基于双体系架构的可信计算平台的动态度量方法 Download PDFInfo
- Publication number
- CN113221117A CN113221117A CN202110474035.9A CN202110474035A CN113221117A CN 113221117 A CN113221117 A CN 113221117A CN 202110474035 A CN202110474035 A CN 202110474035A CN 113221117 A CN113221117 A CN 113221117A
- Authority
- CN
- China
- Prior art keywords
- dynamic
- subsystem
- measurement
- engine
- dynamic measurement
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000691 measurement method Methods 0.000 title claims abstract description 12
- 238000005259 measurement Methods 0.000 claims abstract description 44
- 238000000034 method Methods 0.000 claims abstract description 34
- 230000008569 process Effects 0.000 claims abstract description 31
- 238000004540 process dynamic Methods 0.000 claims description 14
- 238000002372 labelling Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 abstract 1
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本申请提供的一种基于双体系架构的可信计算平台的动态度量方法,在计算子系统内核中实现二级动态度量引擎,该度量引擎对进程代码段和只读数据段进行度量,并将度量结果交给防护子系统的度量引擎进行度量验证。本申请提供的一种基于双体系架构的可信计算平台的动态度量方法能减少分配大块连续物理内存,提升整体性能和稳定性。
Description
技术领域
本发明属于双体系架构技术领域,具体涉及一种基于双体系架构的可信计算平台的动态度量方法。
背景技术
公开号CN110321713A的专利公开一种基于双体系架构的可信计算平台的动态度量方法和装置,该方法和装置在计算机上电时,将计算机的硬件资源划分为防护硬件资源和计算硬件资源,计算硬件资源允许被防护硬件资源访问且不能访问防护硬件资源,防护硬件资源用于运行防护子系统,计算硬件资源用于运行计算子系统。在计算硬件资源运行计算子系统的过程中,利用防护子系统对计算硬件资源运行的计算子系统中的运行对象进行度量。但防护子系统对计算子系统进行度量时并未考虑性能和实际实现遇到的问题。在实现过程中防护子系统只能访问计算子系统的物理内存,并且物理内存必须是连续的。
发明内容
为解决上述问题,本发明提供了一种基于双体系架构的可信计算平台的动态度量方法,所述方法包括步骤:
根据度量策略对二进制文件打标签;
截获计算子系统内核中的exec_binprm和copy_process挂钩子函数;
计算进程和动态库代码段和只读数据段HASH值;
将所述HASH值交给防护子系统的基准值模块并计算基准值;
所述防护子系统把所述基准值更新到基准库中;
初始化所述计算子系统的进程动态度量引擎和动态度量策略;
所述计算子系统的进程动态度量引擎扫描内核进程链表;
所述计算子系统的进程动态度量引擎度量所述HASH值;
将所述HASH值交给所述防护子系统的动态度量引擎;
所述防护子系统的动态度量引擎度量所述HASH值;
将度量结果与基准库中的基准值比较并把比较结果返回给所述计算子系统的进程动态度量引擎;
判断度量是否成功;
若是,则度量下一个进程;
若否,则报警或者暂停当前进程并重新启动所述进程;
所述计算子系统进程的动态度量引擎完成内核进程链表中的所有进程度量后进入下一个度量周期循环。
本申请提供的一种基于双体系架构的可信计算平台的动态度量方法能减少分配大块连续物理内存,提升整体性能和稳定性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种基于双体系架构的可信计算平台的动态度量方法的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
如图1,在本申请实施例中,本发明提供了一种基于双体系架构的可信计算平台的动态度量方法,所述方法包括步骤:
根据度量策略对二进制文件打标签;
截获计算子系统内核中的exec_binprm和copy_process挂钩子函数;
计算进程和动态库代码段和只读数据段HASH值;
将所述HASH值交给防护子系统的基准值模块并计算基准值;
所述防护子系统把所述基准值更新到基准库中;
初始化所述计算子系统的进程动态度量引擎和动态度量策略;
所述计算子系统的进程动态度量引擎扫描内核进程链表;
所述计算子系统的进程动态度量引擎度量所述HASH值;
将所述HASH值交给所述防护子系统的动态度量引擎;
所述防护子系统的动态度量引擎度量所述HASH值;
将度量结果与基准库中的基准值比较并把比较结果返回给所述计算子系统的进程动态度量引擎;
判断度量是否成功;
若是,则度量下一个进程;
若否,则报警或者暂停当前进程并重新启动所述进程;
所述计算子系统进程的动态度量引擎完成内核进程链表中的所有进程度量后进入下一个度量周期循环。
在本申请实施例中,在计算子系统根据度量策略对二进制文件打标签并在内核中exec_binprm和copy_process挂钩子函数,用于计算进程和动态库的基准值,具体计算代码段和只读数据段的HASH值,这个HASH值再交给防护子系统计算基准值更新到基准库中,防护子系统中保存的基准值为进程/动态库的代码的和只读数据段的HASH值的HASH值。
在计算子系统内核中的进程动态度量引擎周期扫描内核进程链表,计算进程/动态库的代码段和只读数据段HASH值,这个HASH值再交给防护子系统动态度量引擎。防护子系统动态度量引擎对这个HASH值度量,然后把度量结果跟基准值库中的基准值进行比对,如果一致就返回成功,否则返回失败。计算子系统的进程动态度量引擎根据度量结果和动态度量策略执行下一步动作。
本申请提供的一种基于双体系架构的可信计算平台的动态度量方法能减少分配大块连续物理内存,提升整体性能和稳定性。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (1)
1.一种基于双体系架构的可信计算平台的动态度量方法,其特征在于,所述方法包括步骤:
根据度量策略对二进制文件打标签;
截获计算子系统内核中的exec_binprm和copy_process挂钩子函数;
计算进程和动态库代码段和只读数据段HASH值;
将所述HASH值交给防护子系统的基准值模块并计算基准值;
所述防护子系统把所述基准值更新到基准库中;
初始化所述计算子系统的进程动态度量引擎和动态度量策略;
所述计算子系统的进程动态度量引擎扫描内核进程链表;
所述计算子系统的进程动态度量引擎度量所述HASH值;
将所述HASH值交给所述防护子系统的动态度量引擎;
所述防护子系统的动态度量引擎度量所述HASH值;
将度量结果与基准库中的基准值比较并把比较结果返回给所述计算子系统的进程动态度量引擎;
判断度量是否成功;
若是,则度量下一个进程;
若否,则报警或者暂停当前进程并重新启动所述进程;
所述计算子系统进程的动态度量引擎完成内核进程链表中的所有进程度量后进入下一个度量周期循环。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110474035.9A CN113221117A (zh) | 2021-04-29 | 2021-04-29 | 一种基于双体系架构的可信计算平台的动态度量方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110474035.9A CN113221117A (zh) | 2021-04-29 | 2021-04-29 | 一种基于双体系架构的可信计算平台的动态度量方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113221117A true CN113221117A (zh) | 2021-08-06 |
Family
ID=77090188
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110474035.9A Pending CN113221117A (zh) | 2021-04-29 | 2021-04-29 | 一种基于双体系架构的可信计算平台的动态度量方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113221117A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114462041A (zh) * | 2021-12-24 | 2022-05-10 | 麒麟软件有限公司 | 基于双体系架构的动态可信访问控制方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101271498A (zh) * | 2008-03-25 | 2008-09-24 | 浙江大学 | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 |
| CN110309659A (zh) * | 2019-07-08 | 2019-10-08 | 沈昌祥 | 一种基于双体系结构的可信计算平台的动态度量方法 |
| CN110321713A (zh) * | 2019-07-08 | 2019-10-11 | 北京可信华泰信息技术有限公司 | 基于双体系架构的可信计算平台的动态度量方法和装置 |
-
2021
- 2021-04-29 CN CN202110474035.9A patent/CN113221117A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101271498A (zh) * | 2008-03-25 | 2008-09-24 | 浙江大学 | 在linux操作系统通过威胁链表和安全链表实现可信计算的方法 |
| CN110309659A (zh) * | 2019-07-08 | 2019-10-08 | 沈昌祥 | 一种基于双体系结构的可信计算平台的动态度量方法 |
| CN110321713A (zh) * | 2019-07-08 | 2019-10-11 | 北京可信华泰信息技术有限公司 | 基于双体系架构的可信计算平台的动态度量方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114462041A (zh) * | 2021-12-24 | 2022-05-10 | 麒麟软件有限公司 | 基于双体系架构的动态可信访问控制方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9875115B2 (en) | Memory-preserving reboot | |
| US11126454B2 (en) | Enforcing retention policies with respect to virtual machine snapshots | |
| US20120011401A1 (en) | Dynamically modeling and selecting a checkpoint scheme based upon an application workload | |
| US20180330095A1 (en) | Collated multi-image check in system-on-chips | |
| US9032414B1 (en) | Systems and methods for managing system resources allocated for backup validation | |
| US20180157557A1 (en) | Determining reboot time after system update | |
| US12124883B2 (en) | Energy efficiency adjustments for a CPU governor | |
| CN102662799B (zh) | 数据备份的方法、服务器及热备份系统 | |
| CN113221117A (zh) | 一种基于双体系架构的可信计算平台的动态度量方法 | |
| CN114035905A (zh) | 基于虚拟机的故障迁移方法及装置、电子设备和存储介质 | |
| CN107632781B (zh) | 一种分布式存储多副本快速校验一致性的方法及存储结构 | |
| CN111124599B (zh) | 虚拟机内存数据迁移方法、装置、电子设备及存储介质 | |
| US7389500B2 (en) | Selective pre-compilation of virtual code to enhance boot time emulator performance | |
| US20130117808A1 (en) | Apparatus and method for enhancing security in heterogeneous computing environment | |
| CN115062307A (zh) | 基于Open POWER的程序完整性校验方法、系统、终端及存储介质 | |
| Nakajima et al. | Temporal and spatial isolation in a virtualization layer for multi-core processor based information appliances | |
| CN113609478B (zh) | 一种ios平台应用程序篡改检测方法及装置 | |
| CN112685063B (zh) | 特征库更新方法、装置、网络设备及可读存储介质 | |
| CN118377835B (zh) | 用于分布式图数据库的数据处理方法和装置 | |
| WO2018031311A1 (en) | Guest enlightened virtual faults | |
| CN112462926B (zh) | 移动终端中的电源管理方法、装置、电子设备及计算机存储介质 | |
| CN107193692B (zh) | 基于检查点的计算机的容错方法 | |
| JP5577518B2 (ja) | メモリ管理方法、計算機及びメモリ管理プログラム | |
| US11360813B1 (en) | Timer object management for a multiprocessor virtual environment | |
| CN118377835A (zh) | 用于分布式图数据库的数据处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210806 |