[发明专利]一种动态度量方法

权利要求书

1.一种动态度量方法，其包含如下步骤：

a)用户设定并发出度量请求，所述度量请求包括待度量的目标实体的名称；

b)位于用户空间的度量代理接收并转发该度量请求至位于内核空间的内核度量模块；

c)所述内核度量模块调用TPM芯片度量所述目标实体的度量对象并得到度量结果；

d)所述度量代理接收并转发该度量结果至用户。

2.如权利要求1所述的方法，其特征在于，步骤a)所述待度量目标实体包括进程和/或内核模块。

3.如权利要求1所述的方法，其特征在于，步骤c)所述度量对象包括所述目标实体的输入参数、代码段、数据段和/或堆栈段。

4.如权利要求1或2或3所述的方法，其特征在于，所述目标实体为进程，内核度量模块通过下述方法度量其度量对象：

内核度量模块通过进程名称获得所述进程的进程句柄，通过该句柄获得度量对象的虚拟地址，将该虚拟地址转换为物理地址，再将这些物理地址的内容映射到内核度量模块的进程空间，内核度量模块调用TPM芯片对这些内容进行散列得到度量结果。

5.如权利要求1所述的方法，其特征在于，所述度量代理和所述内核度量模块之间的信息传递以虚拟文件作为媒介，所述虚拟文件既可被度量代理读取，也可被内核度量模块读取。

6.如权利要求1所述的方法，其特征在于，用户在设定度量请求时，可以自由设定待度量的目标实体。

7.如权利要求1或6所述的方法，其特征在于，用户在设定度量请求时，可以自由设定内核度量模块度量部分或全部度量对象。

8.如权利要求1所述的方法，其特征在于，度量代理接收度量请求后将度量请求中的信息格式化成内核度量模块要求的格式，同时度量代理接收度量结果后将度量结果中的信息格式化成用户要求的格式。

9.如权利要求1所述的方法，其特征在于，所述度量请求中包括用户信息，内核度量模块在进行度量前根据所述用户信息检测用户权限，检测通过后进行度量，检测不通过则忽略该度量请求。

10.如权利要求1所述的方法，其特征在于，所述度量结果还包括TPM芯片对度量对象的签名信息和时间戳信息。