DE112005002985B4 - Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer - Google Patents

Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer Download PDF

Info

Publication number
DE112005002985B4
DE112005002985B4 DE112005002985T DE112005002985T DE112005002985B4 DE 112005002985 B4 DE112005002985 B4 DE 112005002985B4 DE 112005002985 T DE112005002985 T DE 112005002985T DE 112005002985 T DE112005002985 T DE 112005002985T DE 112005002985 B4 DE112005002985 B4 DE 112005002985B4
Authority
DE
Germany
Prior art keywords
file
trusted
security
integrity
files
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112005002985T
Other languages
English (en)
Other versions
DE112005002985T5 (de
Inventor
Wei Wei
Chaoran Peng
Ping Yin
Yonghua Liu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Beijing Ltd
Original Assignee
Lenovo Beijing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Beijing Ltd filed Critical Lenovo Beijing Ltd
Publication of DE112005002985T5 publication Critical patent/DE112005002985T5/de
Application granted granted Critical
Publication of DE112005002985B4 publication Critical patent/DE112005002985B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer, wobei vorab in dem Betriebssystem (OS) des Computers ein Authentifizierungsmodul für vertrauenswürdige Dateien und ein Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes eingerichtet werden und ein geschütztes OS geladen und betrieben wird, umfassend folgende Verfahrensschritte:
a) Verfahrensschritte des Authentifizierungsmoduls für vertrauenswürdige Daten:
Unterbrechen jedes Dateioperationsverhaltens;
Prüfen, ob die gegenwärtige abzuwickelnde Datei eine vertrauenswürdige Datei ist oder nicht;
Verarbeiten der Datei entsprechend ihrem Operationstyp, wenn sie vertrauenswürdig ist, und sonst Verarbeiten der Datei nach Verifizierung ihrer Berechtigung;
b) Verfahrensschritte des Authentifizierungsmoduls für vertrauenswürdige Prozessspeichercodes:
Beim Einstellen Authentifizieren, ob der Ablaufzustand und die Integrität für alle Prozesscodes normal sind oder nicht;
Alarm auslösen, falls ein Prozess unnormal ist;
Sichern von Felddaten, die durch den Prozess ausgeführt werden; und
Abschalten des Prozesses, andernfalls Fortsetzen des normalen Ablaufs; und
c) Verfahrensschritte beim Laden und Betreiben des geschützten OS:...

Description

  • HINTERGRUND DER ERFINDUNG
  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft das technische Gebiet der Computersicherheit, insbesondere ein Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer.
  • BESCHREIBUNG DES STANDS DER TECHNIK
  • Auf Grund ihm eigener Mängel neigt das Computerbetriebssystem (OS) zu einem Totalausfall, wenn es angegriffen wird, speziell in dem Fall eines unbekannten Angriffs oder eines neuen Virus. Infolgedessen kann das Gesamtsystem seinen Betrieb nicht fortsetzen oder selbst dann, wenn es ihn fortsetzen kann, können zahlreiche Probleme auftreten. Dadurch bedingt stellen sich bei einem Benutzer Zweifel ein, ob die Ablaufumgebung in dem Computer vertrauenswürdig ist, und infolgedessen könnte der Benutzer zu besorgt sein, um auf dem Computer die Verarbeitung und den Austausch von vertraulichen Informationen auszuführen, wie dies beispielsweise bei elektronische Zahlungen, bei elektronische Dokumenten usw. der Fall ist. Dies ist in jeder Hinsicht unvorteilhaft.
  • Derzeit wird üblicherweise versucht, die obigen Probleme mit mehreren Lösungen zu überwinden, die die folgenden sind:
    Das erste Verfahren ist, eine Antivirussoftware anzuwenden. Spezieller erkennt die Antivirussoftware den Angriff aus einem Netzwerk durch eine Methode der Merkmalabgleichung. Sie isoliert oder desinfiziert alle infizierten Dateien, wenn der Virus gefunden wird, so dass die Sicherheit des Computers garantiert werden kann.
  • Dieses Verfahren weist jedoch den Nachteil auf, dass es den Angriff eines unbekannten Virus nicht erkennen kann. Infolgedessen kann das Computersystem keinerlei Gegenmaßnahmen einleiten, bevor eine neue Virusbibliothek, eine Regelbibliothek und ein neues Patch-Programm veröffentlicht sind.
  • Das zweite Verfahren ist, eine Host-Invasions-Erkennungssoftware anzuwenden. Speziell erkennt die Host-Invasions-Erkennungssoftware einen Angriff unter Verwendung einer gegebenen Merkmalsregelbibliothek und löst einen Alarm aus.
  • Dieses Verfahren weist einen Nachteil auf, der dem des ersten Verfahrens gleichartig ist, d. h., dass es den Angriff durch einen neuen Virus nicht erkennen kann. Infolgedessen kann das Computersystem vor der Veröffentlichung einer neuen Virusbibliothek, einer Regelbibliothek und eines Patch-Programms keinerlei Gegenmaßnahmen einleiten. Mittlerweile ist die Host-Invasions-Erkennungssoftware selbst für derartige Angriffe anfällig.
  • Das dritte Verfahren ist die Verwendung einer physikalischen Trennung durch Dualnet, eines Computers mit physikalisch getrenntem Dualnet oder eines Verfahrens des OS-Umschaltens im Dualmodus. Speziell garantiert das Verfahren die Sicherheit der Computer-Ablaufumgebung durch Dualnet oder Umschalten im Dualmodus.
  • Bedauerlicherweise führt dieses Verfahren zu höheren Kosten für den Computer selbst und der Benutzer muss außerdem den Modus des Computers umschalten und die Nutzung ist infolgedessen unbequem.
  • Das vierte Verfahren ist die Verwendung einer Prozessisolationstechnik. Im Einzelnen wird für einen Prozess ein Identifikations-Flag eingerichtet und ein Besucher des Prozesses wird diskriminiert, während verschiedene Prozesse in dem Prozesspool in Bezug auf ihre Nutzung für sowohl den physikalischen Speicher und die CPU als auch in Hinsicht auf die Systemleistung isoliert und überwacht werden, um Speicherüberlauf zu verhindern, wenn mehrere Prozesse ablaufen.
  • Dieses Verfahren hat einen dahingehenden Nachteil, dass nicht erkannt wird, ob ein Prozess selbst angegriffen wurde. Daher ist die Sicherheit des Computers noch immer gefährdet.
  • Die obigen Verfahren dienen jeweils als eine Sicherheitsmaßnahme gegen verschiedene Angriffe. Jedoch können sie nicht gewährleisten, dass die Ablaufumgebung in dem Computer geschützt und vertrauenswürdig ist.
  • Die WO 02/21 243 A2 lehrt eine Peer-to-Peer-Authentifizierung eines Softwaremoduls, bei der ein geschützter Adressenbereich, der durch das Softwaremodul belegt wird, ermittelt und sichergestellt wird, dass alle durch dieses Softwaremodul ausgeführten Funktionsaufrufe aus dem besagten geschützten Adressenbereich stammten und auch wieder dorthin zurückverweisen.
  • Die US 2003/0084346 A1 betrifft das unilaterale Laden eines sicheren Betriebssystems innerhalb einer Multiprozessor-Umgebung. Es ist zwingend vorgeschrieben, einen kryptograhischen Hash-Wert eines oder mehrer geschützter Bereiche zu speichern.
  • Die WO 02/01351 A2 betrifft die Gewährleistung von Sicherheit bei Komponenten oder Anordnungen, die bei Anwendungsprogrammen eingesetzt werden. In vergleichbarer Weise ist auch die WO 02/01351 A2 auf das Versehen eines Manifests mit einem kryptograhischen Hash-Wert fokussiert.
  • Die US 6,185,678 B1 lehrt eine sichere und zuverlässige Bootstrap-Architektur. Hierzu wird ein mit einem Bus verbundener vertrauenswürdiger Speicher (trusted repository) eingesetzt. Die Integrität der Bootkomponenten und des System-BIOS wird verifiziert, und bei Integritätsfehlern wird über den vertrauenswürdigen Speicher eine Wiederherstellung durchgeführt.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Der Erfindung liegt die Aufgabe zugrunde, ein benutzerfreundliches, aber dennoch sicheres Arbeiten mit einem Computer auch bei Angriffen mit noch unbekannten Viren zu passablen Kosten zu ermöglichen.
  • Gelöst wird diese Aufgabe mit einem Verfahren gemäß Anspruch 1. Dadurch kann eine vertrauenswürdige Ablaufumgebung geschaffen werden, indem die Sicherheit von zwei Aspekten des Zugriffs auf Dateien und Prozesse gewährleistet wird.
  • Vorteilhafte Weiterbildungen der Erfindung sind Gegenstand der abhängigen Ansprüche.
  • Erfindungsgemäß wird somit ab dem Startup des OS jeglicher Angriff – sei es auf den OS-Kern, Anwendungsdateien und/oder Prozesse selbst – erfasst und die entsprechende Wiederherstellung auf der Grundlage einer vertrauenswürdigen Computer-Hardwareplattform durchgeführt, anstatt die Existenz eines Virus durch Informationen aus beispielsweise einer Virusbibliothek oder einer Regelbibliothek zu erfassen. Auf diese Weise können unabhängig davon, ob der Angriff von einem bekannten oder unbekannten Virus ausgeht, die Sicherheit und Vertrauenswürdigkeit für die Ablaufumgebung in dem Computer gewährleistet werden und somit eine vertrauenswürdige Ablaufumgebung für den Benutzer geschaffen werden, der lediglich anzugeben bzw. zu bestimmen braucht, welche Dateien und Daten bzw. Codes eine Sicherheitsgarantie erfordern. Dies erleichtert die Anwendung und reduziert die Implementierungskosten.
  • Bevorzugt befindet sich das Basis-Dateiverwaltungssystem in der Sicherheitsspeicherkomponente, in der Basisfirmware oder in dem OS und die Liste vertrauenswürdiger Dateien befindet sich in der Sicherheitsspeicherkomponente oder in dem OS.
  • Bevorzugt werden alle Daten, die Sicherheitsgarantie in der Sicherheitsspeicherkomponente erfordern, entsprechend der Anforderung des Systemablaufs und der Benutzeranforderung festgelegt und alle Daten, die Sicherheitsgarantie erfordern, umfassen, jedoch nicht darauf begrenzt, Daten für die Basisfirmware, das OS, verschiedene Anwendungssoftware und Dateien sowie auch den Plattenparameter.
  • Bevorzugt enthält der Plattenparameter, jedoch nicht darauf beschränkt, Haupt-Bootsektorparameter, Partitions-Bootsektorparameter und Dateiallokationstabellenparameter.
  • Bevorzugt umfasst die Methode für das Authentifizierungsmodul für vertrauenswürdige Dateien zum Prüfen, ob die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist oder nicht, das Prüfen, ob die gegenwärtige Datei, die abzuwickeln ist, eine Datei in der Liste der vertrauenswürdigen Dateien ist oder nicht, und wenn sie es ist, das Festlegen der gegenwärtigen Datei, die abzuwickeln ist, als eine vertrauenswürdige Datei, andernfalls das Bestimmen, dass die gegenwärtige Datei, die abzuwickeln ist, eine nicht vertrauenswürdige Datei ist.
  • Bevorzugt ist die Verarbeitung für eine vertrauenswürdige Datei entsprechend dem Operationstyp der gegenwärtigen Datei folgende: Prüfen, ob die Art des Operationsverhaltens der gegenwärtigen Datei Auslesen oder Modifizieren ist, und
    wenn sie Auslesen ist, Prüfen, ob der Integritätswert der gegenwärtigen Datei, die abzuwickeln ist, konsistent mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, ist oder nicht, und wenn konsistent, Laden der gegenwärtigen Datei, die abzuwickeln ist, in den Speicher und Zulassen des Auslesens von einem Besucher, und falls nicht konsistent, Extrahieren einer vorab gespeicherten vertrauenswürdigen Datei aus der Sicherheitsspeicherkomponente, um die gegenwärtige Datei zu ersetzen, und Laden der Datei, die abzuwickeln ist, in den Speicher und Zulassen des Auslesens von dem Besucher und
    wenn sie Modifizieren ist, Prüfen, ob der Computer gegenwärtig in einem geschützten Zustand ist, und anschließend Zulassen, dass der Benutzer die Liste vertrauenswürdiger Dateien modifiziert, erneutes Berechnen der Integritätswerte für die Liste vertrauenswürdiger Dateien und der modifizierten Datei und Speichern der neuen Integritätswerte in der Sicherheitsspeicherkomponente.
  • Bevorzugt umfasst das Modifizieren, jedoch nicht darauf beschränkt, Lese- und/oder Attributmodifikation und/oder Löschen und/oder Erzeugung neuer Dateien, wobei der geschützte Zustand bedeutet, dass der Computer keine physikalische Verbindung mit einem Netzwerk hat und dass die Liste vertrauenswürdiger Dateien in einem Modifizierungsfreigabezustand ist.
  • Bevorzugt umfasst das Verfahren des Weiteren die Bereitstellung eines physikalischen Schalters zur Modifizierungsfreigabe und das Bestimmen auf Basis des EIN- oder AUS-Zustands des physikalischen Schalters, ob die vertrauenswürdige Datei gegenwärtig in dem Modifizierungsfreigabezustand ist oder nicht.
  • Bevorzugt ist die Verarbeitung für eine nicht vertrauenswürdige Datei, nachdem ihre Berechtigung authentifiziert ist, folgende: nach der Beendigung der Virenerkennung auf der nicht vertrauenswürdigen Datei Laden eines Prozesses, der der Datei entspricht, in eine virtuelle Maschine, die das Verhalten des Prozesses überwacht und einen Alarm gibt und den Prozess einstellt, wenn ein unzulässiges Verhalten in dem Prozess festgestellt ist, und falls kein unzulässiges Verhalten festgestellt ist, die Verarbeitung der Datei zulässt.
  • Bevorzugt umfasst das unzulässige Verhalten wenigstens unberechtigtes Modifizieren auf OS-Dateien, unberechtigtes Modifizieren auf der Platte und/oder unzulässige Grenzverletzung beim Speicherzugriff und/oder unberechtigtes Springen.
  • Bevorzugt ist der Prozess für das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zum zeitangepassten Authentifizieren, ob der Ablaufzustand des gesamten Prozesscodes normal ist oder nicht: Prüfen, ob der Programmzeiger für einen Prozess über die durch den Prozess zugeordnete physikalische Speicheradresse hinausgeht oder nicht und/oder ob der Prozesscode die zugeordnete physikalische Speicheradresse überschreitet oder nicht.
  • Der Prozess für das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zum zeitangepassten Authentifizieren, ob die Integrität des gesamten Prozesscodes normal ist oder nicht, ist folgender: Berechnen des Integritätswertes des Prozesscodes in dem Speicher für einen Prozess entsprechend einer Datei, wenn eine Datei zum ersten Mal in den Speicher geladen wird, Speichern des Integritätswertes in der Sicherheitsspeicherkomponente und zeitangepasstes Authentifizieren, ob der Integritätswert aller gegenwärtigen Prozesscodes mit dem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert wird, konsistent ist oder nicht, und wenn er es ist, Bestimmen des Prozesscodes als normal, andernfalls Bestimmen des Prozesscodes als unnormal.
  • Bevorzugt umfasst das Verfahren des Weiteren, wenn das Authentifizierungsmodul für vertrauenswürdigen Prozessspeichercode authentifizier hat, dass der Ablaufzustand und/oder die Integrität des Prozesscodes unnormal ist, das erneute Authentifizieren der Datei, die dem unnormalen Prozess entspricht, durch das Authentifizierungsmodul für vertrauenswürdige Dateien und das anschließende erneute Laden dieser in den Speicher, das Berechnen des Integritätswertes der Prozesses, der der Datei in dem Speicher entspricht, dass Speichern des berechneten Wertes in dem Sicherheitsspeicherkomponente und das Wiederherstellen des Prozesses auf seinen vorherigen Ablaufzustand auf Basis der Felddaten, die zuvor zum Betreiben des Prozesses gesichert wurden.
  • Bevorzugt umfasst das Dateioperationsverhalten, jedoch nicht darauf beschränkt, Dateilesen/-schreiben, Dateiattributmodifizierung, Dateilöschung und Dateierzeugung.
  • Bevorzugt kann die Sicherheitsspeicherkomponente eine Festplattenspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle, ein Chipspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle oder eine Speicherkomponente mit Zugriffskontrollmechanismus sein.
  • Bevorzugt ist die Speicherkomponente eine Sicherheitschip, eine Festplatte mit Sicherheitsschutzfunktion oder ein Flash-Speicher mit Zugriffskontrollfunktion.
  • Die vorliegende Erfindung richtet das Authentifizierungsmodul für vertrauenswürdige Dateien und das Authentifizierungsmodul für vertrauenswürdigen Prozessspeichercode in dem Betriebssystem (OS) des Computers im Voraus ein und lädt und betreibt ein geschütztes OS. Das Authentifizierungsmodul für vertrauenswürdige Dateien unterbricht jedes Dateioperationsverhalten und verarbeitet die Datei dementsprechend, ob ihr Operationstyp für eine vertrauenswürdige Datei oder für eine nicht vertrauenswürdige Datei ist. Das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes authentifiziert zeitangepasst, ob der Ablaufzustand und die Integrität für alle Prozesscodes normal sind, und gibt, wenn ein Prozess unnormal ist, einen Alarm, sichert Felddaten, die durch den Prozess abgewickelt werden, stellt im Anschluss daran den Prozess ein und setzt andernfalls den normalen Betrieb fort. Mit der Erfindung wird vom Startup des OS jeder Angriff auf den OS-Kern, auf Anwendungsdateien und auf Prozesse selbst erkannt und die entsprechende Wiederherstellung wird auf Basis einer vertrauenswürdigen Computerhardware-Plattform vorgenommen, anstelle des Erkennens eines Virus durch Informationen, wie beispielsweise eine Virus- oder Regelbibliothek. Auf diese Weise können unabhängig davon, ob der Angriff von bekannten oder unbekannten Viren vorhanden ist oder nicht, die Sicherheit und Vertrauenswürdigkeit für die Ablaufumgebung des Computers sichergestellt werden und infolgedessen kann für einen Benutzer, der lediglich bestimmen muss, welche Dateien und Daten Sicherheitsgarantie erfordern, eine vertrauenswürdige Ablaufumgebung bereitgestellt werden. Dies erleichtert die Anwendung und verringert Implementierungskosten.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 zeigt ein schematisches Ablaufdiagramm zum Laden und Betreiben des OS, in dem eine Ausführungsform der Erfindung angewendet wird.
  • 2 zeigt ein schematisches Ablaufdiagramm zum Authentifizieren einer gegenwärtigen Datei, die abzuwickeln ist, durch ein Authentifizierungsmodul für vertrauenswürdige Dateien.
  • 3 zeigt ein schematisches Ablaufdiagramm für das Authentifizieren des Prozesscodes durch ein Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes.
  • 4 zeigt ein schematisches Ablaufdiagramm zur Modifizierungsfreigabe unter Steuerung eines physikalischen Schalters.
  • AUSFÜHRLICHE BESCHREIBUNG VON BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Im Folgenden wird die vorliegende Erfindung in Verbindung mit den Begleitzeichnungen ausführlich beschrieben.
  • Gemäß der Erfindung wird durch umfassende Authentifizierung von dem OS, von Anwendungssoftware und von Prozessen auf Basis einer vertrauenswürdigen Computerhardware-Plattform eine Vertrauenskette eingerichtet und infolgedessen stellt die Erfindung eine verifizierte vertrauenswürdige Ablaufumgebung für einen Benutzer bereit.
  • Die 1 zeigt ein schematisches Ablaufdiagramm zum Laden und Betreiben des OS, in dem eine Ausführungsform der Erfindung zur Anwendung kommt. In dieser Ausführungsform werden innerhalb eines Computers in der Basisfirmware sowohl ein Basis-Dateiverwaltungssystem, das Funktionen der Plattenverwaltung und Dateiverwaltung hat, als auch ein Grundsoftware-Integritätsauthentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS bereitgestellt, das für die Authentifizierung von Kerndateien, die sich auf das Startup in dem OS beziehen, verwendet wird. Alle Daten, die Sicherheitsgarantie erfordern, die durch die Anforderungen des Systemablaufs und die Benutzeranforderungen bestimmt werden, werden zusammen mit den Integritätswerten davon in einer Sicherheitsspeicherkomponente eingerichtet, wobei die Daten, die Sicherheitsgarantie erfordern, Daten für den Basisbetrieb, wie BIOS, OS, verschiedene Anwendungssoftware und sowohl Dateien als auch Plattenparameter sind. Zusätzlich sind eine Liste vertrauenswürdiger Dateien, die die Dateinamen für die OS-Kerndatei enthält, die durch den Benutzer vordefiniert wurden, und dateibezogene Startup- und Anwendungssoftware, die der Benutzer schützen will, bereitgestellt. Der Prozess des Ladens und Betreibens des OS umfasst die folgenden Schritte:
    In dem Schritt 101, nach erfolgreicher Authentifizierung und dem Startup der Basisfirmware, prüft die Basisfirmware, ob der Integritätswert des Basis-Dateiverwaltungssystems mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, falls er es ist, wird der Schritt 102 ausgeführt, andernfalls wird System-Startup unterbrochen.
  • In den Schritten 102 und 103 startet die Basisfirmware das Basis-Dateiverwaltungssystem, das seinerseits das Grundsoftware-Integritätsauthentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS startet.
  • In Schritt 104 liest das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS einen Plattenparameter aus einem Plattensektor und prüft, ob der Integritätswert des Plattenparameters mit einem vorab in der Sicherheitsspeicherkomponente gespeicherten Integritätswert konsistent ist oder nicht, falls er es ist, wird Schritt 106 ausgeführt, andernfalls wird Schritt 105 ausgeführt.
  • Der obige Plattenparameter enthält, jedoch nicht darauf beschränkt, Haupt-Bootsektorparameter, Partitions-Bootsektorparameter und Dateiallokations-Tabellenparameter (FAT-Parameter).
  • In Schritt 105 extrahiert das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS Daten, die vorab in der Sicherheitsspeicherkomponente gespeichert sind, um die gegenwärtigen Plattensektorparameter zu ersetzen und geht dann weiter zu Schritt 106.
  • In Schritt 106 prüft das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS, ob der Integritätswert der Liste vertrauenswürdiger Dateien mit einem vorab in der Sicherheitsspeicherkomponente gespeicherten Integritätswert konsistent ist oder nicht, wenn er es ist, wird Schritt 108 ausgeführt, andernfalls wird Schritt 107 ausgeführt.
  • In Schritt 107 extrahiert das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS eine Liste der vertrauenswürdigen Dateien, die vorab in der Sicherheitsspeicherkomponente gespeichert ist, um die gegenwärtige Liste vertrauenswürdiger Dateien zu ersetzen, und geht dann weiter zu Schritt 108.
  • In Schritt 108 liest das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS die OS-Kerndateien in der Liste vertrauenswürdiger Dateien aus und prüft, ob der Integritätswert der OS-Kerndatei mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, falls er es ist, wird Schritt 110 ausgeführt, andernfalls wird Schritt 109 ausgeführt.
  • In Schritt 109 extrahiert das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS eine OS-Kerndatei, die vorab in der Sicherheitsspeicherkomponente gespeichert wurde, um die gegenwärtige OS-Kerndatei zu ersetzen, und geht anschließend weiter zu Schritt 110.
  • In Schritt 110 wird das OS geladen und betrieben.
  • Insofern ist es möglich, sicherzustellen, dass das ablaufende OS geschützt ist. In der obigen Ausführungsform wird das Basis-Dateiverwaltungssystem in der Basisfirmware so bereitgestellt, dass die Geschwindigkeit zum Starten und Booten des Computers erhöht werden kann. Es liegt auf der Hand, dass das Basis-Dateiverwaltungssystem ebenso in der Sicherheitsspeicherkomponente oder in dem OS bereitgestellt werden kann. Die Liste der vertrauenswürdigen Dateien kann in der Sicherheitsspeicherkomponente oder in dem OS bereitgestellt werden.
  • Nachdem das OS in den Normalablauf übergeht, wird das Authentifizierungsmodul für vertrauenswürdige Dateien gestartet, um die gegenwärtige Datei, die abzuwickeln ist, zu prüfen, und das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes wird ebenso gestartet, um den Ablaufzustand und die Integrität aller Prozesscodes zu authentifizieren, um dadurch den Schutz für die Ablaufumgebung in dem Computer zu gewährleisten. Als Nächstes werden jeweils die Authentifizierungsmethoden für das Authentifizierungsmodul für vertrauenswürdige Dateien und das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes erklärt.
  • Die 2 zeigt ein schematisches Ablaufdiagramm für das Authentifizieren einer gegenwärtigen Datei, die abzuwickeln ist, durch das Authentifizierungsmodul für vertrauenswürdige Dateien.
  • In Schritt 201 unterbricht das Authentifizierungsmodul für vertrauenswürdige Dateien jedes Dateioperationsverhalten, einschließlich Dateiauslesen/-schreiben, Dateiattributmodifizierung, Dateilöschen und Dateierzeugen.
  • In Schritt 202 prüft das Authentifizierungsmodul für vertrauenswürdige Dateien, ob die gegenwärtige Datei, die abzuwickeln ist, eine Datei in der Liste der vertrauenswürdigen Dateien ist oder nicht, wenn sie es ist, erfolgt Fortsetzung mit Schritt 203, andernfalls mit Schritt 208.
  • In Schritt 203 wird die Art des gegenwärtigen Dateioperationsverhaltens geprüft. Der Schritt 204 wird ausgeführt, wenn die Art Lesen ist, Schritt 207, wenn sie Modifizieren ist.
  • In Schritt 204 wird geprüft, ob der Integritätswert der gegenwärtigen Datei, die abzuwickeln ist, mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, wenn sie konsistent sind, wird Schritt 206 ausgeführt, andernfalls wird Schritt 205 ausgeführt.
  • In Schritt 205 wird eine vorab gespeicherte vertrauenswürdige Datei aus der Sicherheitsspeicherkomponente extrahiert, um die gegenwärtige Datei zu ersetzen.
  • In Schritt 206 wird die gegenwärtige Datei, die abzuwickeln ist, in den Speicher geladen und Auslesen von einem Besucher wird zugelassen, anschließend wird der Ablauf beendet.
  • In Schritt 207, nachdem geprüft ist, ob der Computer gegenwärtig in einem geschützten Zustand ist, wird dem Besucher erlaubt, die Liste vertrauenswürdiger Dateien zu modifizieren, die Integritätswerte für die Liste vertrauenswürdiger Dateien und die modifizierte Datei werden erneut berechnet und in der Sicherheitsspeicherkomponente gespeichert. Danach wird der Ablauf beendet.
  • Das Modifizieren umfasst, jedoch nicht darauf beschränkt, Lese- und/oder Attributmodifizierung und/oder Löschen und/oder Erzeugung neuer Dateien. Der Prozess zum Prüfen, ob der Computer gegenwärtig im geschützten Zustand ist oder nicht, ist folgender: Prüfen, ob der Computer eine physikalische Verbindung mit einem Netzwerk hat oder nicht und ob die Liste vertrauenswürdiger Dateien in einem Modifizierungsfreigabezustand ist. Der so genannte Modifizierungsfreigabezustand ist ein Zustand, in dem ein physikalischer Sicherheitsschalter freigegeben ist. Im Folgenden wird auf die 4 Bezug genommen, die ein schematisches Diagramm zum Freigeben von Modifizierung unter Steuerung durch den physikalischen Schalter zeigt. Ein physikalischer Schalter ist bereitgestellt, der an einem Ende mit dem Masseanschluss und an dem anderen Ende mit dem I/O-Steuermodul der Hauptplatine des Computers verbunden ist. Das I/O-Steuermodul kann durch einen Chipsatz oder durch eine CPU umgesetzt werden. Das Interface zwischen dem physikalischen Schalter und dem I/O-Steuermodul kann, jedoch nicht darauf beschränkt, ein GPIO, ein serieller Port, ein Parallel-Port oder ein USB-Port sein. Wenn geprüft wird, ob die Liste vertrauenswürdiger Dateien gegenwärtig in dem Modifizierungsfreigabezustand ist oder nicht, wird der „AUS”- oder „EIN”-Zustand des physikalischen Schalters an den I/O-Adressen für den physikalischen Schalter ausgelesen und es wird bestimmt, dass die Liste vertrauenswürdiger Dateien gegenwärtig in dem Modifizierungsfreigabezustand ist, wenn der physikalische Schalter in dem „AUS”-Zustand ist. Wenn der physikalische Schalter in dem „EIN”-Zustand ist, ist die vertrauenswürdige Datei gegenwärtig in dem Modifizierungsunterdrückungszustand.
  • In Schritt 208, nach der Beendigung der Viruserkennung auf der nicht vertrauenswürdigen Datei, wird ein der Datei entsprechender Prozess in eine virtuelle Maschine geladen, die das Verhalten des Prozesses überwacht und einen Alarm gibt und den Prozess einstellt, wenn ein unzulässiges Verhalten in dem Prozess festgestellt wird; wenn kein unzulässiges Verhalten erkannt wird, wird die Abwicklung der Datei zugelassen.
  • Die obige virtuelle Maschine ist eine Art von Software, die in dem Computer abläuft wird und die die Überwachung des Prozessverhaltens durch einen realen Computer simuliert. Das obige unzulässige Verhalten umfasst wenigstens unberechtigtes Modifizieren von OS-Dateien, unberechtigtes Modifizieren der Platte und/oder unzulässige Grenzverletzung beim Speicherzugriff und/oder unberechtigtes Jumping.
  • Die 3 zeigt ein schematisches Ablaufdiagramm für den Authentifizierungsprozess durch das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes.
  • In Schritt 301, nachdem die Datei als eine vertrauenswürdige Datei bestätigt ist, wird der Integritätswert des Prozesscodes in dem Speicher für einen Prozess, der der Datei entspricht, berechnet, wenn die Datei zum ersten Mal in den Speicher geladen wird, und der Integritätswert wird in der Sicherheitsspeicherkomponente gespeichert.
  • In Schritt 302 authentifiziert das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zeitangepasst, ob der Ablaufzustand aller der Prozesse und der Integritätswert aller gegenwärtigen Prozesscodes normal sind oder nicht, und geht, falls sie normal sind, weiter zu Schritt 302.
  • Der obige Prozess zum Authentifizieren, ob der Ablaufzustand aller Prozesscodes normal ist oder nicht, ist folgender: Prüfen, ob der Zeiger eines Prozessprogramms über die durch den Prozess zugeordnete physikalische Speicheradresse hinausgeht oder nicht, und/oder, ob der Prozesscode die zugeordnete physikalische Speicheradresse überschreitet oder nicht. Der Prozess zum Authentifizieren, ob die Integrität aller Prozesscodes normal ist oder nicht, ist folgender: Authentifizieren, ob der Integritätswert aller laufenden Prozesscodes mit dem in der Sicherheitsspeicherkomponente vorab gespeicherten Integritätswert konsistent ist oder nicht, falls er es ist, Bestimmen, dass der Prozesscode normal ist, andernfalls, dass der Prozesscode unnormal ist.
  • Wobei der Vorgang zum Prüfen, ob der Zeiger zu einem Prozessprogramm über die durch den Prozess zugeordnete physikalische Speicheradresse hinausgeht oder nicht, und/oder, ob der Prozesscode die zugeordnete physikalische Speicheradresse überschreitet oder nicht, durch Software, eine CPU oder einen Chipsatz umgesetzt werden kann.
  • In Schritt 303 wird ein Alarm gegeben. Die Felddaten zum Ablaufenlassen des Prozesses werden gesichert und der Prozess wird eingestellt. Die Datei, die dem unnormalen Prozess entspricht, kann durch das Authentifizierungsmodul für vertrauenswürdige Dateien erneut authentifiziert werden und dann erneut in den Speicher geladen werden. Der Integritätswert des Prozesses, der der Datei in dem Speicher entspricht, kann erneut berechnet werden und in der Sicherheitsspeicherkomponente gespeichert werden. Der Prozess kann auf Basis der Felddaten, die zuvor zum Ablaufenlassen des Prozesses gesichert wurden, in seinem vorherigen Ablaufzustand wiederhergestellt werden.
  • Die oben erwähnte Sicherheitsspeicherkomponente kann eine Festplattenkomponente mit obligatorischer Zugriffsautorisierungskontrolle, eine Chipspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle oder eine Speicherkomponente mit Zugriffskontrollmechanismus sein. Der Schutz für die obige Festplattenspeicherkomponente wird durch eine Festplatten-Steuerlogikschaltung und unabhängig von der Festplattenlogik-Partition und der OS-Partition erfüllt. Die so genannte obligatorische Zugriffskontrollautorisierung bedeutet, dass die Sicherheitsspeicherkomponente einen Besucher auf Basis eines Passwortes identifizieren kann und den Zugriff des Besuchers nur dann akzeptiert, wenn die Identifizierung erfolgreich ist, oder, dass die Sicherheitsspeicherkomponente und der Besucher ein Paar geheimer Informationen, die sie zuvor gemeinsam genutzt haben, und ein Zertifizierungsprotokoll, basierend auf Berechnungen, die Hash-Funktionen und Zufallszahlen involvieren, nutzen, um die Identität des Besuchers zu zertifizieren, wobei die Sicherheitsspeicherkomponente den Zugriff nur dann akzeptiert, wenn die Zertifizierung erfolgreich ist.
  • Speziell kann die oben erwähnte Sicherheitsspeicherkomponente ein Sicherheitschip sein (zum Beispiel ein TPM – Trusted Platform Module), eine Festplatte mit Sicherheitsschutzfunktion, wie beispielsweise HPA (Host Protected Area), oder ein Flash-Speicher mit Zugriffskontrollfunktion. Eine ausführliche Beschreibung, die hier nicht wiederholt wird, wurde in der Anmeldung CN 03138380.7 A Security Chip and Information Security Processing Device and Method Based on the Chip durch den Anmelder offenbart. Darüber hinaus wurde das Verfahren zum Authentifizieren von Basisfirmware in dem Computer in der Anmeldung dargelegt, so dass dieses in Schritt 101 nicht wiederholt wird.
  • Obige sind lediglich bevorzugte Ausführungen der vorliegenden Erfindung, die nicht vorgesehen sind, um die Erfindung einzuschränken. Jede Änderung, Ersetzung oder Modifizierung, die innerhalb der Idee und des Prinzips der Erfindung vorgenommen wird, sollte durch den Schutzumfang der Erfindung erfasst werden.

Claims (15)

  1. Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer, wobei vorab in dem Betriebssystem (OS) des Computers ein Authentifizierungsmodul für vertrauenswürdige Dateien und ein Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes eingerichtet werden und ein geschütztes OS geladen und betrieben wird, umfassend folgende Verfahrensschritte: a) Verfahrensschritte des Authentifizierungsmoduls für vertrauenswürdige Daten: Unterbrechen jedes Dateioperationsverhaltens; Prüfen, ob die gegenwärtige abzuwickelnde Datei eine vertrauenswürdige Datei ist oder nicht; Verarbeiten der Datei entsprechend ihrem Operationstyp, wenn sie vertrauenswürdig ist, und sonst Verarbeiten der Datei nach Verifizierung ihrer Berechtigung; b) Verfahrensschritte des Authentifizierungsmoduls für vertrauenswürdige Prozessspeichercodes: Beim Einstellen Authentifizieren, ob der Ablaufzustand und die Integrität für alle Prozesscodes normal sind oder nicht; Alarm auslösen, falls ein Prozess unnormal ist; Sichern von Felddaten, die durch den Prozess ausgeführt werden; und Abschalten des Prozesses, andernfalls Fortsetzen des normalen Ablaufs; und c) Verfahrensschritte beim Laden und Betreiben des geschützten OS: Voreinrichten (presetting) eines Basis-Dateiverwaltungssystems und einer Liste vorher festgelegter vertrauenswürdiger Dateien; Einrichten aller Daten, die Sicherheitsgarantie erfordern, und Integritätswerte davon in einer Sicherheitsspeicherkomponente; und Einrichten eines Grundsoftwareintegritäts-Authentifizierungs- und Wiederherstellungsmoduls des vertrauenswürdigen OS im Computer; wobei der Prozess des Ladens und Ablaufenlassens des OS folgende Verfahrensschritte umfasst: d) Prüfen der Basisfirmware nach einer erfolgreichen Authentifzierung und Startup der Basisfirmware im Computer darauf, ob der Integritätswert des Basis-Dateiverwaltungssystems mit einem in der Sicherheitsspeicherkomponente vorab gespeicherten Integritätswert konsistent ist oder nicht, und falls er es ist, Starten des Basis-Dateiverwaltungssystems durch die Basisfirmware und anschließend Weitergehen zu Schritt e), andernfalls Unterbrechen des System-Startups; e) Starten des Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmoduls des vertrauenswürdigen OS durch das Basis-Dateiverwaltungssystem sowie Auslesen eines Disketten- bzw. Plattenparameters aus einem Plattensektor und Prüfung, ob der Integritätswert des Plattenparameters mit einem vorab in der Sicherheitsspeicherkomponente gespeicherten Integritätswert konsistent ist oder nicht, und wenn er es ist, Ausführen des Schritts f), andernfalls Extrahieren von Plattendaten, die vorab in der Sicherheitsspeicherkomponente gespeichert sind, durch das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS, Einschreiben der Plattendaten in den gegenwärtigen Plattensektor und Weitergehen zu Schritt f); und f) Prüfen durch das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS darauf, ob der Integritätswert der vertrauenswürdigen Datei mit einem vorab in der Sicherheitsspeicherkomponente gespeicherten Integritätswert ist, konsistent ist oder nicht, und wenn er es ist, Ausführen des Schritts g), andernfalls Extrahieren von in einer vorab in der Sicherheitsspeicherkomponente gespeicherten Liste enthaltenen vertrauenswürdigen Dateien, um die gegenwärtige Liste vertrauenswürdiger Dateien zu ersetzen, und Ausführen des Schritts g); g) Auslesen der OS-Kerndateien aus der Liste vertrauenswürdiger Dateien durch das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS, Prüfung, ob der Integritätswert der OS-Kerndatei mit einem vorab in der Sicherheitsspeicherkomponente gespeicherten Integritätswert konsistent ist oder nicht, und wenn er es ist, Laden und Betreiben des OS, andernfalls Extrahieren einer in der Sicherheitsspeicherkomponente vorab gespeicherte OS-Kerndatei, um die gegenwärtige OS-Kerndatei zu ersetzen, und anschließend Laden und Betreiben des OS.
  2. Verfahren nach Anspruch 1, wobei sich das Basis-Dateiverwaltungssystem in der Sicherheitsspeicherkomponente, in der Basisfirmware oder in dem OS befindet und sich die Liste vertrauenswürdiger Dateien in der Sicherheitsspeicherkomponente oder in dem OS befindet.
  3. Verfahren nach Anspruch 1, wobei alle Daten, die Sicherheitsgarantien erfordern, in dem Speicherelement entsprechend der Anforderung des Systemablaufs und der Benutzeranforderung festgelegt werden und alle Daten, die Sicherheitsgarantien erfordern, Daten für die Basisfirmware, das OS, verschiedene Anwendungssoftware und sowohl Dateien als auch den Plattenparameter einschließen, jedoch nicht darauf beschränkt sind.
  4. Verfahren nach Anspruch 1 oder 3, wobei der Plattenparameter Haupt-Bootsektorparameter, Partitions-Bootsektorparameter und Dateiallokationstabellenparameter enthält, jedoch nicht darauf beschränkt ist.
  5. Verfahren nach Anspruch 1, wobei die Methode für das Authentifizierungsmodul für vertrauenswürdige Dateien zum Prüfen, ob die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist oder nicht, folgende ist: Prüfen, ob die gegenwärtige Datei, die abzuwickeln ist, eine Datei in der Liste vertrauenswürdiger Dateien ist oder nicht, und wenn sie es ist, Bestimmen, dass die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist, andernfalls Bestimmen, dass die gegenwärtige Datei, die abzuwickeln ist, eine nicht vertrauenswürdige Datei ist.
  6. Verfahren nach Anspruch 5, wobei die Verarbeitung für eine vertrauenswürdige Datei entsprechend dem Operationstyp der gegenwärtigen Datei folgende ist: Prüfen, ob die Art des Operationsverhaltens der gegenwärtigen Datei Auslesen oder Modifizieren ist, und wenn sie Auslesen ist, Prüfen, ob der Integritätswert der gegenwärtigen Datei, die abzuwickeln ist, mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn sie konsistent sind, Laden der gegenwärtigen Datei, die abzuwickeln ist, in den Speicher und Zulassen des Auslesens von einem Besucher, und andernfalls Extrahieren einer vorab gespeicherten vertrauenswürdigen Datei aus der Sicherheitsspeicherkomponente, um die gegenwärtige Datei zu ersetzen, und Laden der gegenwärtigen Datei, die abzuwickeln ist, in den Speicher und Zulassen des Auslesens von dem Besucher und wenn sie Modifizieren ist, Prüfen, ob der Computer gegenwärtig in einem geschützten Zustand ist, und Zulassen, dass der Benutzer die Liste vertrauenswürdiger Dateien modifiziert, Neuberechnen der Integritätswerte für die Liste vertrauenswürdiger Dateien und der modifizierten Datei und Speichern ihrer neuen Integritätswerte in der Sicherheitsspeicherkomponente.
  7. Verfahren nach Anspruch 6, wobei das Modifizieren Lese- und/oder Attributmodifikation und/oder Löschen und/oder Erzeugen neuer Dateien einschließt, jedoch nicht darauf beschränkt ist, und wobei der geschützte Zustand bedeutet, dass der Computer gegenwärtig keine physikalische Verbindung mit einem Netzwerk hat und dass die Liste vertrauenswürdiger Dateien in einem Modifizierungsfreigabezustand ist.
  8. Verfahren nach Anspruch 7, das des Weiteren das Bereitstellen eines physikalischen Schalters zur Modifizierungsfreigabe und das Bestimmen auf Basis des EIN- oder AUS-Zustandes des physikalischen Schalters, ob die vertrauenswürdige Datei gegenwärtig in dem Modifizierungsfreigabezustand ist oder nicht, umfasst.
  9. Verfahren nach Anspruch 5, wobei die Verarbeitung für eine nicht vertrauenswürdige Datei, nachdem ihre Berechtigung authentifiziert ist, folgende ist: nach der Beendigung der Virenerkennung auf der nicht vertrauenswürdigen Datei, Laden eines Prozesses, der der Datei entspricht, in eine virtuelle Maschine, die das Verhalten des Prozesses überwacht und einen Alarm gibt und den Prozess einstellt, wenn ein unzulässiges Verhalten in dem Prozess festgestellt ist, und falls kein unzulässiges Verhalten festgestellt ist, die Verarbeitung der Datei zulässt.
  10. Verfahren nach Anspruch 9, wobei das unzulässige Verhalten wenigstens unberechtigtes Modifizieren von OS-Dateien und/oder unberechtigtes Modifizieren auf der Platte und/oder unzulässige Grenzverletzung beim Speicherzugriff und/oder unberechtigtes Jumping einschließt.
  11. Verfahren nach Anspruch 1, wobei der Prozess für das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zum zeitangepassten Authentifizieren, ob der Ablaufzustand aller Prozesscodes normal ist oder nicht, folgender ist: Prüfen, ob ein Zeiger für ein Prozessprogramm über die durch den Prozess zugeordnete physikalische Speicheradresse hinausgeht oder nicht, und/oder ob der Prozesscode die zugeordnete physikalische Speicheradresse überschreitet oder nicht, und der Prozess für das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zum zeitangepassten Authentifizieren, ob die Integrität des gesamten Prozesscodes normal ist oder nicht, folgender ist: Berechnen des Integritätswertes des Prozesscodes in dem Speicher für einen Prozess entsprechend einer Datei, wenn die Datei zum ersten Mal in den Speicher geladen wird, Speichern des Integritätswertes in der Sicherheitsspeicherkomponente und zeitangepasstes Authentifizieren, ob der Integritätswert aller gegenwärtigen Prozesscodes mit dem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn er es ist, Bestimmen, dass der Prozesscode normal ist, andernfalls Bestimmen, dass der Prozesscode unnormal ist.
  12. Verfahren nach Anspruch 11, wobei, wenn das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes authentifiziert hat, dass der Ablaufzustand und/oder die Integrität des Prozesscodes unnormal ist, das Verfahren des Weiteren umfasst: erneutes Authentifizieren der Datei, die dem unnormalen Prozess entspricht, durch das Authentifizierungsmodul für vertrauenswürdige Dateien, erneutes Laden dieser in den Speicher, Berechnen des Integritätswertes des Prozesses, der der Datei in dem Speicher entspricht, Speichern des berechneten Wertes in der Sicherheitsspeicherkomponente und Wiederherstellen des Prozesses in seinem vorherigen Ablaufzustand auf Basis der Felddaten, die zuvor zum Ablaufenlassen des Prozesses gesichert wurden.
  13. Verfahren nach Anspruch 1, wobei das Dateioperationsverhalten Dateilesen/-schreiben, Dateiattributmodifizierung, Dateilöschung und Dateierzeugung einschließt, jedoch nicht darauf beschränkt ist.
  14. Verfahren nach einem der Ansprüche 1, 2, 3, 6 und 11, wobei die Sicherheitsspeicherkomponente eine Festplattenspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle, eine Chipspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle oder eine Speicherkomponente mit Zugriffskontrollmechanismus sein kann.
  15. Verfahren nach einem der Ansprüche 1, 2, 3, 6 und 11, wobei die Speicherkomponente ein Sicherheitschip, eine Festplatte mit Sicherheitsschutzfunktion oder ein Flash-Speicher mit Zugriffskontrollfunktion ist.
DE112005002985T 2004-12-02 2005-07-11 Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer Active DE112005002985B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CNB2004100955767A CN100489728C (zh) 2004-12-02 2004-12-02 一种建立计算机中可信任运行环境的方法
CN200410095576.7 2004-12-02
PCT/CN2005/001017 WO2006058472A1 (fr) 2004-12-02 2005-07-11 Procede d'etablissement d'un environnement d'execution securisee dans un ordinateur

Publications (2)

Publication Number Publication Date
DE112005002985T5 DE112005002985T5 (de) 2007-11-08
DE112005002985B4 true DE112005002985B4 (de) 2011-01-20

Family

ID=35632365

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112005002985T Active DE112005002985B4 (de) 2004-12-02 2005-07-11 Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer

Country Status (6)

Country Link
US (1) US20090288161A1 (de)
JP (1) JP4729046B2 (de)
CN (1) CN100489728C (de)
DE (1) DE112005002985B4 (de)
GB (1) GB2436046B (de)
WO (1) WO2006058472A1 (de)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7448084B1 (en) * 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
CN1909453B (zh) * 2006-08-22 2011-04-20 深圳市深信服电子科技有限公司 一种基于网关/网桥的防间谍软件侵犯方法
CN101154253B (zh) * 2006-09-26 2011-08-10 北京软通科技有限责任公司 计算机安全防护方法及计算机安全防护装置
US8584094B2 (en) * 2007-06-29 2013-11-12 Microsoft Corporation Dynamically computing reputation scores for objects
CN100454324C (zh) * 2007-09-21 2009-01-21 武汉大学 一种可信机制上的嵌入式平台引导方法
US7913074B2 (en) * 2007-09-28 2011-03-22 Microsoft Corporation Securely launching encrypted operating systems
US8191075B2 (en) 2008-03-06 2012-05-29 Microsoft Corporation State management of operating system and applications
US8176555B1 (en) * 2008-05-30 2012-05-08 Symantec Corporation Systems and methods for detecting malicious processes by analyzing process names and process characteristics
US8205257B1 (en) * 2009-07-28 2012-06-19 Symantec Corporation Systems and methods for preventing threats originating from a non-process based component hosted by a trusted process
JP5472604B2 (ja) * 2009-10-08 2014-04-16 日本電気株式会社 プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム
US8417962B2 (en) * 2010-06-11 2013-04-09 Microsoft Corporation Device booting with an initial protection component
CN102122331B (zh) * 2011-01-24 2014-04-30 中国人民解放军国防科学技术大学 一种构造“In-VM”恶意代码检测架构的方法
CN102682243A (zh) * 2011-03-11 2012-09-19 北京市国路安信息技术有限公司 一种构建可信java虚拟机平台的方法
CN102222189A (zh) * 2011-06-13 2011-10-19 上海置水软件技术有限公司 一种保护操作系统的方法
US9497224B2 (en) * 2011-08-09 2016-11-15 CloudPassage, Inc. Systems and methods for implementing computer security
CN102270288B (zh) * 2011-09-06 2013-04-03 中国人民解放军国防科学技术大学 基于反向完整性验证的操作系统可信引导方法
US9053315B2 (en) 2012-06-28 2015-06-09 Lenova Enterprise Solutions (Singapore) Pte. Ltd. Trusted system network
JP2014029282A (ja) * 2012-07-31 2014-02-13 Shimadzu Corp 分析装置バリデーションシステム及び該システム用プログラム
US9294440B1 (en) * 2012-09-07 2016-03-22 Amazon Technologies, Inc. Secure inter-zone data communication
US9052917B2 (en) * 2013-01-14 2015-06-09 Lenovo (Singapore) Pte. Ltd. Data storage for remote environment
CN103268440B (zh) * 2013-05-17 2016-01-06 广东电网公司电力科学研究院 可信内核动态完整性度量方法
KR101489142B1 (ko) * 2013-07-12 2015-02-05 주식회사 안랩 클라이언트시스템 및 클라이언트시스템의 동작 방법
US10198572B2 (en) * 2013-09-17 2019-02-05 Microsoft Technology Licensing, Llc Virtual machine manager facilitated selective code integrity enforcement
CN103823732A (zh) * 2014-02-27 2014-05-28 山东超越数控电子有限公司 一种linux操作系统下监控文件完整性的方法
CN104268461B (zh) 2014-09-16 2018-03-06 华为技术有限公司 一种可信度量方法及装置
CN104657236A (zh) * 2015-03-11 2015-05-27 深圳市新岸通讯技术有限公司 基于32位MCU的嵌入式Linux文件系统及其运行方法
CN105389197B (zh) 2015-10-13 2019-02-26 北京百度网讯科技有限公司 用于基于容器的虚拟化系统的操作捕获方法和装置
US20170149828A1 (en) 2015-11-24 2017-05-25 International Business Machines Corporation Trust level modifier
CN106934303B (zh) * 2015-12-29 2020-10-30 大唐高鸿信安(浙江)信息科技有限公司 基于可信芯片的可信操作系统创建可信进程的系统及方法
US10430591B1 (en) * 2016-10-04 2019-10-01 Bromium, Inc. Using threat model to monitor host execution in a virtualized environment
CN106972980A (zh) * 2017-02-24 2017-07-21 山东中创软件商用中间件股份有限公司 一种应用服务器集群的一致性验证方法及装置
US11216561B2 (en) 2017-04-18 2022-01-04 Hewlett-Packard Development Company, L.P. Executing processes in sequence
CN109766699B (zh) * 2018-05-04 2022-02-15 奇安信安全技术(珠海)有限公司 操作行为的拦截方法及装置、存储介质、电子装置
CN110611642A (zh) * 2018-06-15 2019-12-24 互联安睿资通股份有限公司 通讯装置、安全服务控制元件与安全服务控制方法
CN111382433B (zh) * 2018-12-29 2022-12-13 龙芯中科技术股份有限公司 模块加载方法、装置、设备以及存储介质
US20200272757A1 (en) * 2019-02-26 2020-08-27 Lokawallet, Inc. Securing a Computer Processing Environment from Receiving Undesired Content
CN111125793B (zh) * 2019-12-23 2022-03-11 北京工业大学 一种访问控制中客体内存可信验证方法及系统
CN111177703B (zh) * 2019-12-31 2023-03-31 青岛海尔科技有限公司 操作系统数据完整性的确定方法及装置
CN112702327B (zh) * 2020-12-21 2023-03-14 北京中电华大电子设计有限责任公司 一种主控芯片的安全服务设计方法
CN112949743B (zh) * 2021-03-22 2022-04-22 四川英得赛克科技有限公司 一种网络运维操作的可信判断方法、系统和电子设备
CN113505376B (zh) * 2021-09-09 2022-03-08 北京全息智信科技有限公司 一种应用程序运行环境的控制方法、装置及电子设备
CN113961941A (zh) * 2021-12-22 2022-01-21 北京辰光融信技术有限公司 一种打印机系统安全增强方法、装置及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6185678B1 (en) * 1997-10-02 2001-02-06 Trustees Of The University Of Pennsylvania Secure and reliable bootstrap architecture
WO2002001351A2 (en) * 2000-06-28 2002-01-03 Microsoft Corporation Binding by hash
WO2002021243A2 (en) * 2000-09-08 2002-03-14 International Business Machines Corporation Software secure authenticated channel
US20030084346A1 (en) * 2001-11-01 2003-05-01 Kozuch Michael A. Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10232918A (ja) * 1997-02-19 1998-09-02 Canon Inc 画像ファイル及びそれを処理する画像処理装置及び画像処理方法、画像処理システム
JPH10232919A (ja) * 1997-02-20 1998-09-02 Shimadzu Corp 医用画像フィルム出力システム
US5937159A (en) * 1997-03-28 1999-08-10 Data General Corporation Secure computer system
US6263431B1 (en) * 1998-12-31 2001-07-17 Intle Corporation Operating system bootstrap security mechanism
US6564326B2 (en) * 1999-07-06 2003-05-13 Walter A. Helbig, Sr. Method and apparatus for enhancing computer system security
US20020078366A1 (en) * 2000-12-18 2002-06-20 Joseph Raice Apparatus and system for a virus-resistant computing platform
EP1225513A1 (de) * 2001-01-19 2002-07-24 Eyal Dotan Verfahren zur Sicherung der Rechnerprogramme und Rechnerdaten eines feindlichen Programms
US20030033303A1 (en) * 2001-08-07 2003-02-13 Brian Collins System and method for restricting access to secured data
GB2382419B (en) * 2001-11-22 2005-12-14 Hewlett Packard Co Apparatus and method for creating a trusted environment
US20030126454A1 (en) * 2001-12-28 2003-07-03 Glew Andrew F. Authenticated code method and apparatus
JP2004013608A (ja) * 2002-06-07 2004-01-15 Hitachi Ltd プログラムの実行および転送の制御
CN1504906A (zh) * 2002-11-28 2004-06-16 马林松 虚拟文件系统
WO2004055634A2 (en) * 2002-12-12 2004-07-01 Finite State Machine Labs, Inc. Systems and methods for detecting a security breach in a computer system
US7490354B2 (en) * 2004-06-10 2009-02-10 International Business Machines Corporation Virus detection in a network
US10043008B2 (en) * 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6185678B1 (en) * 1997-10-02 2001-02-06 Trustees Of The University Of Pennsylvania Secure and reliable bootstrap architecture
WO2002001351A2 (en) * 2000-06-28 2002-01-03 Microsoft Corporation Binding by hash
WO2002021243A2 (en) * 2000-09-08 2002-03-14 International Business Machines Corporation Software secure authenticated channel
US20030084346A1 (en) * 2001-11-01 2003-05-01 Kozuch Michael A. Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment

Also Published As

Publication number Publication date
GB2436046B (en) 2009-07-15
CN1702590A (zh) 2005-11-30
CN100489728C (zh) 2009-05-20
DE112005002985T5 (de) 2007-11-08
WO2006058472A1 (fr) 2006-06-08
JP2008522298A (ja) 2008-06-26
JP4729046B2 (ja) 2011-07-20
GB2436046A (en) 2007-09-12
GB0712636D0 (en) 2007-08-08
US20090288161A1 (en) 2009-11-19

Similar Documents

Publication Publication Date Title
DE112005002985B4 (de) Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer
DE60129967T2 (de) Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
DE69733123T2 (de) Verfahren und vorrichtung zur verhinderung eines unbefugten schreibzugriffes zu einem geschützten nichtflüchtigen speicher
DE69326089T2 (de) Personalcomputersystem mit Sicherheitseigenschaften und -verfahren
CN106326699B (zh) 一种基于文件访问控制和进程访问控制的服务器加固方法
DE112008003862B4 (de) System und Verfahren zum Liefern eines Systemverwaltungsbefehls
DE102008011925B4 (de) Sicheres Initialisieren von Computersystemen
DE112005003340B4 (de) Mechanismus zum Bestimmen der Vertrauenswürdigkeit von Außerbandverwaltungsagenten
DE60037606T2 (de) Rechner mit urladungsfähigem sicherem Programm
DE69819485T2 (de) Verfahren und vorrichtung zur sicheren verarbeitung kryptographischer schlüssel
EP2884417B1 (de) Verfahren zur Abwehr von Cold-Boot Angriffen auf einen Computer in einem Selbstbedienungs-Terminal
DE112005003485B4 (de) Verfahren zur Überwachung einer verwalteten Einrichtung
DE112009004762T5 (de) System und verfahren zum durchführen einer verwaltunosoperation
DE102011082184A1 (de) Sicherheitsschutz für Speicherinhalt von Prozessorhauptspeicher
DE202015009780U1 (de) Speichersystem und elektronisches Gerät
DE112013005184T5 (de) Für einen Benutzer vertrauenswürdige Einheit zum Erkennen einer virtualisierten Umgebung
DE102021101826A1 (de) Zugriffsberechtigungen für speicherbereiche
EP1321887A1 (de) Verfahren und Anordnung zur Verifikation von NV-Fuses sowie ein entsprechendes Computerprogrammprodukt und ein entsprechendes computerlesbares Speichermedium
DE112011105687T5 (de) Verwendung eines Option-ROM-Speichers
EP2541455B1 (de) Methode und Verfahren für PIN-Eingaben bei konsistentem Software-Stack auf Geldautomaten
US10742412B2 (en) Separate cryptographic keys for multiple modes
US9262631B2 (en) Embedded device and control method thereof
DE10244728A1 (de) System und Verfahren zum Schutz von Daten, die auf einer Speicherungsmedienvorrichtung gespeichert sind
DE102005014352A1 (de) Verfahren und Steuervorrichtung zur Steuerung eines Zugriffs eines Computers auf Nutzdaten
CN109583206B (zh) 监控应用程序的访问进程的方法、装置、设备及存储介质

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8125 Change of the main classification

Ipc: G06F 21/22 AFI20050711BHDE

R020 Patent grant now final

Effective date: 20110420