[发明专利]可信服务器的策略部署方法、装置、系统及计算系统

说明书

本申请公开了一种可信服务器的策略部署方法、装置、系统及计算系统。其中，该方法包括：在可信服务器部署策略的过程中，发送至少一个度量对象的度量策略和至少一个校验对象的校验策略至服务中心；可信服务器接收服务中心返回的提醒信息，其中，提醒信息用于表征如果检测到度量对象的度量算法与对应的校验对象的校验算法不一致，提醒可信服务器重新部署度量算法和校验算法保持一致。本申请解决了现有的可信服务器策略管理方案针对所有的度量对象均采用相同的度量算法导致独立性和灵活性差的技术问题。

技术领域

本申请涉及信息系统安全领域，具体而言，涉及一种可信服务器的策略部署方法、装置、系统及计算系统。

背景技术

以计算机为主的信息系统的网络安全问题日益突出，传统的防火墙、入侵检测、防病毒等技术都是被动防护的技术，不能从根本上解决安全性问题。可信计算通过加强计算机系统架构主动地防御信息安全威胁，可以建立可信的信息系统。可信计算的原理是首先在硬件平台上添加一个可信模块(TPM)，利用可信模块构建一个信任根，信任根通过信任链的方式将自身的可信逐步扩展到系统的整个平台，采用硬件技术和软件技术相互结合的方式，综合采取措施，以提高计算机系统的安全性。

可信度量、可信存储和可信报告是可信计算的三大功能，其中，可信存储保护可信度量结果，可信报告提交可信度量结果，可以看出，可信度量是可信计算的核心。目前，大多OEM厂商采用的是基于完整性度量的机制。这些厂商采用的完整性度量机制对于所有度量对象(包括但不限于系统中固件、硬件驱动、系统软件、应用软件等)均采用单一的度量算法，使得业务方不能灵活、独立地根据业务需求针对不同的度量对象部署不同的度量策略和校验策略。另外，由于度量策略的度量算法及度量对象决定了校验策略的度量算法及度量对象，使得可信相关策略的部署、更新和删除存在严格的层级关系，很不独立和灵活。可以看出，现有的可信服务器策略部署方案，需要业务方耗费大量时间和精力管理可信服务器策略，导致其无法从可信相关策略的繁琐部署中抽离出来，更好地关注自己的应用。

针对上述现有的可信服务器策略管理方案针对所有的度量对象均采用相同的度量算法导致独立性和灵活性差的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种可信服务器的策略部署方法、装置、系统及计算系统，以至少解决现有的可信服务器策略管理方案针对所有的度量对象均采用相同的度量算法导致独立性和灵活性差的技术问题。

根据本发明实施例的一个方面，提供了一种可信服务器的策略部署方法，包括：在可信服务器部署策略的过程中，发送至少一个度量对象的度量策略和至少一个校验对象的校验策略至服务中心；可信服务器接收服务中心返回的提醒信息，其中，提醒信息用于表征如果检测到度量对象的度量算法与对应的校验对象的校验算法不一致，提醒可信服务器重新部署度量算法和校验算法保持一致。

根据本发明实施例的另一方面，还提供了一种可信服务器的策略部署方法，包括：服务中心接收至少一个度量对象的度量策略和至少一个校验对象的校验策略；服务中心如果检测到度量对象的度量算法与对应的校验对象的校验算法不一致，发送提醒信息至可信服务器，其中，提醒信息用于提醒可信服务器重新部署度量算法和校验算法保持一致。

根据本发明实施例的另一方面，还提供了一种可信服务器的策略部署方法，包括：至少一个可信服务器发送策略部署请求至服务中心；在确定可信服务器与服务中心之间的传输通道是安全的情况下，可信服务器接收服务中心返回的需要部署的策略，并执行部署的策略的过程。

根据本发明实施例的另一方面，还提供了一种可信服务器的策略部署系统，包括：可信服务器，用于发送至少一个度量对象的度量策略和至少一个校验对象的校验策略；服务中心，与可信服务器通信，用于如果检测到度量对象的度量算法与对应的校验对象的校验算法不一致，发送提醒信息至可信服务器，其中，提醒信息用于提醒可信服务器重新部署度量算法和校验算法保持一致。