一种可信基准库的实现方法、装置及计算设备与流程

1.本发明涉及信息安全领域，特别涉及一种可信基准库的实现方法、装置及计算设备。


背景技术：

2.随着信息技术的发展和网络应用的拓展，可信计算技术研究及其相关产业化应用已成为当前信息安全领域关注的热点问题之一。可信计算是信息安全发展面临的重大机遇，是从一个全新的角度解决信息安全问题，也将成为云计算、物联网和移动互联网等新技术领域的发展趋势。
3.可信计算应用于系统安全时，通常以实现可信基准库协助系统进行可信度量、可信决策和可信控制，从而为度量机制、判定机制和控制机制提供可信支撑。换言之，可信基准库为系统安全机制和安全策略提供可信基准值，为系统度量本地节点和远程节点提供可信依据，以支撑主动免疫机制的可信运行。目前，可信基准库的实现方案，难以保证其完整性，且在管理性能、扩展性能上存在缺陷。
4.因此，需要一种新的可信基准库的实现方法来优化上述处理过程。


技术实现要素：

5.为此，本发明提供一种可信基准库的实现方案，以力图解决或者至少缓解上面存在的问题。
6.根据本发明的一个方面，提供一种可信基准库的实现方法，包括如下步骤：首先，基于至少一个度量对象生成可信基准库，可信基准库包括至少一条可信基准信息；安装可信基准库，计算可信基准库的摘要值并进行加密以生成基准加密值；运行可信基准库，根据基准加密值判断可信基准库是否完整；若可信基准库完整，则将可信基准库中的可信基准信息读取后存储。
7.可选地，在根据本发明的可信基准库的实现方法中，基于至少一个度量对象生成可信基准库的步骤，包括：计算每一个度量对象的摘要值；对每一个度量对象，根据度量对象的文件名、摘要值、所在软件包包名、软件包版本号生成对应的可信基准信息；将每一个度量对象的可信基准信息集合形成可信基准库。
8.可选地，在根据本发明的可信基准库的实现方法中，安装可信基准库的步骤，包括：将可信基准库复制到文件系统中，并设置可信基准库的文件权限为不允许用户修改。
9.可选地，在根据本发明的可信基准库的实现方法中，基准加密值存储于可信存储单元，根据基准加密值判断可信基准库是否完整的步骤，包括：计算可信基准库的摘要值并进行加密以形成实际加密值；将实际加密值与可信存储单元存储的基准加密值进行比对；若实际加密值与基准加密值相同，则确定可信基准库完整。
10.可选地，在根据本发明的可信基准库的实现方法中，将可信基准库中的可信基准信息读取后存储的步骤，包括：在文件系统中注册设备节点；解析可信基准库，以获取各可
信基准信息；将各可信基准信息读取到内存进行存储。
11.可选地，在根据本发明的可信基准库的实现方法中，还包括：接收读请求；校验读请求对应进程的权限是否为根权限；若读请求对应进程的权限是根权限，则读取可信基准库中与读请求对应的可信基准信息。
12.可选地，在根据本发明的可信基准库的实现方法中，还包括：接收写请求；校验写请求对应进程的权限是否为根权限；若写请求对应进程的权限是根权限，则基于写请求对可信基准进行写操作，并更新可信基准库的基准加密值。
13.可选地，在根据本发明的可信基准库的实现方法中，更新可信基准库的基准加密值的步骤包括：计算写操作完成后的可信基准库的摘要值并进行加密以形成新的基准加密值；将新的基准加密值同步至可信存储单元进行存储。
14.根据本发明的又一个方面，提供一种可信基准库的实现装置，包括生成模块、安装模块、运行模块和读取模块。其中，生成模块适于基于至少一个度量对象生成可信基准库，可信基准库包括至少一条可信基准信息；安装模块适于安装可信基准库，计算可信基准库的摘要值并进行加密以生成基准加密值；运行模块适于运行可信基准库，根据基准加密值判断可信基准库是否完整；读取模块适于当可信基准库完整时，将可信基准库中的可信基准信息读取后存储。
15.根据本发明的又一个方面，提供了一种计算设备，包括：至少一个处理器；以及存储器，存储有程序指令，其中，程序指令被配置为适于由至少一个处理器执行，程序指令包括用于执行如上的可信基准库的实现方法的指令。
16.根据本发明的又一个方面，提供了一种存储有程序指令的可读存储介质，当程序指令被计算设备读取并执行时，使得计算设备执行如上的可信基准库的实现方法。
17.根据本发明的可信基准库的实现方案，基于度量对象的摘要值生成可信基准库，在安装可信基准库时计算可信基准库的摘要值并加密以便后续运行可信基准库的完整性校验，从而在实际运行的初始化过程中，先利用上述加密后的数据进行可信基准库完整性的判断，通过密码技术保证了可信基准库可信，防止可信基准库文件遭到非法篡改。在确认了可信基准库可信后，再解析可信基准库以读取其中的可信基准信息。
18.此外，可信基准库运行时，还可以向用户空间提供接口，以供用户空间的应用调用该接口对可信基准库进行操作，从而响应用户空间的读请求、写请求，方便集中管理可信基准信息，可扩展性强，便于模块集成。
附图说明
19.为了实现上述以及相关目的，本文结合下面的描述和附图来描述某些说明性方面，这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述，本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开，相同的附图标记通常指代相同的部件或元素。
20.图1示出了根据本发明的一个实施例的计算设备100的结构框图；图2示出了根据本发明的一个实施例的可信基准库的实现方法200的流程图；以及图3示出了根据本发明的一个实施例的可信基准库的实现装置300的示意图。
具体实施方式
21.下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
22.图1示出了根据本发明一个实施例的计算设备100的结构框图。
23.如图1所示，在基本的配置102中，计算设备100典型地包括系统存储器106和一个或者多个处理器104。存储器总线108可以用于在处理器104和系统存储器106之间的通信。
24.取决于期望的配置，处理器104可以是任何类型的处理，包括但不限于：微处理器（up）、微控制器（uc）、数字信息处理器（dsp）或者它们的任何组合。处理器104可以包括诸如一级高速缓存110和二级高速缓存112之类的一个或者多个级别的高速缓存、处理器核心114和寄存器116。示例的处理器核心114可以包括运算逻辑单元（alu）、浮点数单元（fpu）、数字信号处理核心（dsp核心）或者它们的任何组合。示例的存储器控制器118可以与处理器104一起使用，或者在一些实现中，存储器控制器118可以是处理器104的一个内部部分。
25.取决于期望的配置，系统存储器106可以是任意类型的存储器，包括但不限于：易失性存储器（诸如ram）、非易失性存储器（诸如rom、闪存等）或者它们的任何组合。系统存储器106可以包括操作系统120、一个或者多个应用122以及程序数据124。在一些实施方式中，应用122可以布置为在操作系统上由一个或多个处理器104利用程序数据124执行指令。
26.计算设备100还包括储存设备132，储存设备132包括可移除储存器136和不可移除储存器138。
27.计算设备100还可以包括储存接口总线134。储存接口总线134实现了从储存设备132（例如，可移除储存器136和不可移除储存器138）经由总线/接口控制器130到基本配置102的通信。操作系统120、应用122以及程序数据124的至少一部分可以存储在可移除储存器136和/或不可移除储存器138上，并且在计算设备100上电或者要执行应用122时，经由储存接口总线134而加载到系统存储器106中，并由一个或者多个处理器104来执行。
28.计算设备100还可以包括有助于从各种接口设备（例如，输出设备142、外设接口144和通信设备146）到基本配置102经由总线/接口控制器130的通信的接口总线140。示例的输出设备142包括图形处理单元148和音频处理单元150。它们可以被配置为有助于经由一个或者多个a/v端口152与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口144可以包括串行接口控制器154和并行接口控制器156，它们可以被配置为有助于经由一个或者多个i/o端口158和诸如输入设备（例如，键盘、鼠标、笔、语音输入设备、触摸输入设备）或者其他外设（例如打印机、扫描仪等）之类的外部设备进行通信。示例的通信设备146可以包括网络控制器160，其可以被布置为便于经由一个或者多个通信端口164与一个或者多个其他计算设备162通过网络通信链路的通信。
29.网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块，并且可以包括任何信息递送介质。“调制数据信号”可以是这样的信号，它的数据集中的一个或者多个或者它的改变可以在信号中以编码信息的方式进行。作为非限制性的示例，通信介质可以包括诸如有线网络或者专线网络之类的有线介质，以及诸如声音、射频（rf）、微波、红
外（ir）或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。
30.计算设备100可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。当然，计算设备100也可以实现为小尺寸便携（或者移动）电子设备的一部分，这些电子设备可以是诸如蜂窝电话、数码照相机、个人数字助理（pda）、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。甚至可以被实现为服务器，如文件服务器、数据库服务器、应用程序服务器和web服务器等。本发明的实施例对此均不做限制。
31.在根据本发明的实施例中，计算设备100被配置为执行根据本发明的可信基准库的实现方法200。其中，布置在操作系统上的应用122中包含用于执行本发明的可信基准库的实现方法200的多条程序指令，这些程序指令可以指示处理器104执行本发明的可信基准库的实现方法200，以便计算设备100通过执行本发明的可信基准库的实现方法200来实现可信基准库。
32.根据本发明的一个实施例，布置在操作系统上的应用122包括可信基准库的实现装置300，可信基准库的实现装置300中包含用于执行本发明的可信基准库的实现方法200的多条程序指令，使得本发明的可信基准库的实现方法200可以在可信基准库的实现装置300中执行。
33.图2示出了根据本发明一个实施例的可信基准库的实现方法200的流程图。可信基准库的实现方法200可以在计算设备（例如前述计算设备100）的可信基准库的实现装置300中执行。
34.如图2所示，方法200始于步骤s210。在步骤s210中，基于至少一个度量对象生成可信基准库，可信基准库包括至少一条可信基准信息。根据本发明的一个实施例，可以根据如下方式生成可信基准库。首先，计算每一个度量对象的摘要值，再对每一个度量对象，根据度量对象的文件名、摘要值、所在软件包包名、软件包版本号生成对应的可信基准信息，然后将每一个度量对象的可信基准信息集合形成可信基准库。
35.在该实施方式中，度量对象可以是任何客体，比如二进制文件、普通文件等，不进行限制，而选择用于生成可信基准库的度量对象时，根据自身需求选取即可。通常在实际应用时，先进行所有软件包的编译，在完成所有软件包编译后，将每一个度量对象所在的软件包解压，再计算每一个度量对象的摘要值，这里的软件包一般是指rpm（red
‑
hat package manager，红帽软件包管理器）软件包，度量对象的摘要值计算可采用sm3密码杂凑算法。
36.例如，一个度量对象是二进制文件，该二进制文件的文件名以a表示，其摘要值以b表示，所在软件包包名以c表示，软件包版本号以d表示，则将该度量对象的文件名a、摘要值b、所在软件包包名c、软件包版本号d生成对应的可信基准信息。
37.上述度量对象的文件名、摘要值、所在软件包包名、软件包版本号可以理解为表征可信基准信息的字段，在可信基准库中，每条可信基准信息占一行，存储的各字段以冒号分隔，存储格式如下：文件名: 摘要值: 所在软件包包名: 软件包版本号在将每一个度量对象的可信基准信息集合形成可信基准库之后，可以准备安装可信基准库，即进入步骤s220。
38.根据本发明的一个实施例，在安装可信基准库之前，将可信基准库放置于镜像根目录，并制作镜像文件，该可信基准库随镜像文件一起发布。
39.在步骤s220中，安装可信基准库，计算可信基准库的摘要值并进行加密以生成基准加密值。根据本发明的一个实施例，在操作系统安装完成后，将可信基准库复制到文件系统中，并设置可信基准库的文件权限为不允许用户修改，以完成可信基准库的安装。
40.例如，先安装操作系统（如上述计算设备100中的操作系统120），在操作系统安装完成后，将镜像文件中的可信基准库复制到上述操作系统的文件系统中，修改可信基准库的文件权限为000，以设置该可信基准库中的内容不可被用户私自改变。
41.为了保证可信基准库的完整性，计算可信基准库的摘要值，使用sm1（商密1号）算法进行加密以生成基准加密值，并将基准加密值存储至可信存储单元。在该实施方式中，可信存储单元是tcm（trusted cryptography module，可信密码模块）的nvram（non
‑
volatile random access memory，是非易失性随机访问存储器）。
42.随后，在步骤s230中，运行可信基准库，根据基准加密值判断可信基准库是否完整。根据本发明的一个实施例，基准加密值存储于可信存储单元，可通过如下方式判断可信基准库是否完整。首先，计算可信基准库的摘要值并进行加密以形成实际加密值，然后将实际加密值与可信存储单元存储的基准加密值进行比对，若实际加密值与基准加密值相同，则确定可信基准库完整，若实际加密值与基准加密值相同，则确定可信基准库不完整，提示用户当前系统不可信。
43.在该实施方式中，可信基准库运行在内核空间，在初始化过程中，先要判断可信基准库的完整性，即计算可信基准库的摘要值并使用sm1算法对其加密以形成实际加密值，将该实际加密值与可信存储单元nvram存储的基准加密值比对，只有当实际加密值与基准加密值相同时，才能确定可信基准库中的内容是可信的，即可信基准库完整，否则，系统处于不可信状态，应提醒用户。
44.最后，执行步骤s240，若可信基准库完整，则将可信基准库中的可信基准信息读取后存储。根据本发明的一个实施例，在确认了可信基准库完整后，在文件系统中注册设备节点，解析可信基准库，以获取各可信基准信息，将各可信基准信息读取到内存进行存储。
45.在解析可信基准库时，将可信基准库中保存的文件名、摘要值、所在软件包包名、软件包版本号解析出来，以获取各可信基准信息并读取到内存里。具体存储时，存储结构为哈希表，以文件名的哈希值作为关键字，将每条可信基准信息保存在哈希表中。
46.可信基准库在运行时，对内核空间，以导出符号提供接口，对用户空间，则提供了一个字符型的设备文件作为接口，以供用户空间的应用通过调用该设备文件的ioctl（输入/输出控制函数）对可信基准库进行增加、删除、更新、查询的操作。
47.根据本发明的一个实施例，可信基准库在运行时对用户空间提供的接口，主要是提供了对可信基准库的管理功能，只有具备root（根）权限的用户才能够对可信基准库进行增加、删除、更新、查询的操作。其中，查询操作属于读操作，增加、删除、更新操作都属于写操作。
48.在该实施方式中，若用户空间发送读请求，则接收读请求，校验读请求对应进程的权限是否为根权限，若读请求对应进程的权限是根权限，则读取可信基准库中与读请求对应的可信基准信息，若读请求对应进程的权限不是根权限，则提示用户无权限。其中，读请
求为读取可信基准值的请求。
49.若用户空间发送写请求，则接收写请求，校验写请求对应进程的权限是否为根权限，若写请求对应进程的权限是根权限，则基于写请求对可信基准进行写操作，并更新可信基准库的基准加密值，若写请求对应进程的权限不是根权限，则提示用户无权限。其中，写请求为添加、删除、更新可信基准值的请求中任一种。
50.在更新可信基准库的基准加密值时，可以先计算写操作完成后的可信基准库的摘要值并进行加密以形成新的基准加密值，再将新的基准加密值同步至可信存储单元进行存储。例如，采用sm1算法对计算出的写操作完成后的可信基准库的摘要值加密，以得到新的基准加密值，将新的基准加密值存储到tcm的nvram中。
51.在实际应用过程中，可信基准库主要为判定机制提供可信基准值和为系统管理员提供管理可信基准值接口。以下结合不同的应用场景，对上述方案进一步说明。
52.应用场景1：假如在系统中的判定策略是如果应用不可信，则拒绝执行。当前场景下，运行passwd程序。这时，控制机制截获应用的行为，获取相关的主体、客体、操作、环境等信息，并将这些信息发送给度量机制。
53.度量机制根据控制机制发来的信息计算passwd程序的摘要值，并将摘要值及其他信息发送给判定机制。
54.判定机制从可信基准库中读取passwd程序的可信基准值，并与度量机制传来的摘要值进行比较，如果两者不同，则拒绝执行，否则继续执行。
55.应用场景2：用户空间请求读可信基准值。
56.比如系统管理员想查看passwd程序的可信基准值，则直接调用读接口来获取。
57.应用场景3：用户空间请求写可信基准值。
58.比如系统管理员更新了passwd程序，则需要调用可信基准库的更新接口来更新passwd程序在可信基准库中的可信基准值，否则新更新的程序无法运行。
59.图3示出了根据本发明的一个实施例的可信基准库的实现装置300的示意图。可信基准库的实现装置300驻留在计算设备（例如前述计算设备100）中。可信基准库的实现装置300通过执行本发明的可信基准库的实现方法200来实现可信基准库。
60.如图3所示，可信基准库的实现装置300包括依次相连的生成模块310、安装模块320、运行模块330和读取模块340。
61.其中，生成模块310可以基于至少一个度量对象生成可信基准库，可信基准库包括至少一条可信基准信息。随后，安装模块320可以安装可信基准库，计算可信基准库的摘要值并进行加密以生成基准加密值。运行模块330可以运行可信基准库，根据基准加密值判断可信基准库是否完整。读取模块340可以在可信基准库完整时，将可信基准库中的可信基准信息读取后存储。
62.应当指出，生成模块310用于执行前述步骤s210，安装模块320用于执行前述步骤s220，运行模块330用于执行前述步骤s230，读取模块340用于执行前述步骤s240。这里，关于生成模块310、安装模块320、运行模块330和读取模块340的执行逻辑可参见前文方法200
中对步骤s210~s240的具体描述，此处不再赘述。
63.根据本发明实施例的可信基准库的实现方案，基于度量对象的摘要值生成可信基准库，在安装可信基准库时计算可信基准库的摘要值并加密以便后续运行可信基准库的完整性校验，从而在实际运行的初始化过程中，先利用上述加密后的数据进行可信基准库完整性的判断，通过密码技术保证了可信基准库可信，防止可信基准库文件遭到非法篡改。在确认了可信基准库可信后，再解析可信基准库以读取其中的可信基准信息。
64.此外，可信基准库运行时，还可以向用户空间提供接口，以供用户空间的应用调用该接口对可信基准库进行操作，从而响应用户空间的读请求、写请求，方便集中管理可信基准信息，可扩展性强，便于模块集成。
65.此外，通过定期任务的方式自动同步线上数据至测试环境，不需要单独为某个系统功能编写生成数据脚本，节省了大量的编写脚本时间，提升了测试效率，由于此部分数据独立于线上，因此也不会影响线上实际运行中的生产数据。
66.这里描述的各种技术可结合硬件或软件，或者它们的组合一起实现。从而，本发明的方法和设备，或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介，例如可移动硬盘、u盘、软盘、cd
‑
rom或者其它任意机器可读的存储介质中的程序代码（即指令）的形式，其中当程序被载入诸如计算机之类的机器，并被所述机器执行时，所述机器变成实践本发明的设备。
67.在程序代码在可编程计算机上执行的情况下，计算设备一般包括处理器、处理器可读的存储介质（包括易失性和非易失性存储器和/或存储元件），至少一个输入装置，和至少一个输出装置。其中，存储器被配置用于存储程序代码；处理器被配置用于根据该存储器中存储的所述程序代码中的指令，执行本发明的可信基准库的实现方法。
68.以示例而非限制的方式，可读介质包括可读存储介质和通信介质。可读存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据，并且包括任何信息传递介质。以上的任一种的组合也包括在可读介质的范围之内。
69.在此处所提供的说明书中，算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与本发明的示例一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
70.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
71.类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本
发明的单独实施例。
72.本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中，或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
73.本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书（包括伴随的权利要求、摘要和附图）中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书（包括伴随的权利要求、摘要和附图）中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
74.此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
75.此外，所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此，具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外，装置实施例的在此所述的元素是如下装置的例子：该装置用于实施由为了实施该发明的目的的元素所执行的功能。
76.如在此所使用的那样，除非另行规定，使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例，并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
77.尽管根据有限数量的实施例描述了本发明，但是受益于上面的描述，本技术领域内的技术人员明白，在由此描述的本发明的范围内，可以设想其它实施例。此外，应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。