[发明专利]基于进程行为的平台完整性状态信息度量方法

权利要求书

1.一种基于进程行为的平台完整性状态信息度量方法，其特征在于，包括以下步骤：

步骤1、截获应用层的度量请求，在文件以及应用程序代码执行前或映射到内存之前，使用LSM提供的安全钩子函数以及自定义的钩子函数提取度量对象；

步骤2、分析程序运行状态及执行参数，利用内核维护的打开文件表提取与度量对象相关的进程行为信息；

步骤3、计算度量对象及其索引节点的摘要值，进行行为特征判定，根据程序执行的行为信息判断是否将度量结果添加到度量列表中，同时将与度量对象相关的进程行为信息收集在度量列表中，其步骤如下：

步骤3-1、根据步骤1中提取的度量对象，计算度量对象索引节点I的哈希值Hash(I)、文件C的哈希值Hash(C)；

步骤3-2、在内存中维护的度量列表中查找度量对象的文件路径及文件名，判断对象是否为首次度量，若为首次度量则跳转到步骤4；

步骤3-3、根据步骤2中收集的度量对象相关的进程行为信息，判断度量对象索引节点中记录的时间戳以及脏标志位是否发生更新，若文件或其索引节点发生了更新则跳转到步骤4；

步骤3-4、匹配进程的访问模式与文件的访问权限，若匹配失败，则结束此次度量，同时记录下访问控制失效的进程PID；

步骤3-5、将度量对象及索引节点的哈希值同度量列表中查找到的记录进行比对，如果两个值均未发生变化，则结束此次度量；

步骤4、将度量列表中的内容通过聚合计算扩展至TPM的平台配置寄存器中，同时生成度量报告发送至应用层的日志审计机制；

步骤5、根据度量列表、度量日志及TPM中存储的度量结果校验计算平台的完整性状态信息，并给出完整性响应，其步骤为：

步骤5-1、使用步骤2～步骤4的方法收集的平台完整性状态信息，同时收集与被度量对象相关的元信息，与本地度量列表中存储的完整性状态信息进行对比，校验度量对象的完整性属性，方法如下：

在一次度量事件中，对于系统中加载执行的任意实体x，即将执行操作i_mode，将此次度量事件记录为{Hash(C),Hash(I),Fp,Ts,Mask,PID,DW,i_mode}，度量列表中记录的完整性状态信息为{Hash(C)′,Hash(I)′,Fp′,Ts′,Mask′,PID′,DW′,i_mode′}，当同时满足下列条件时，度量对象x处于可信状态：

1)

2)如果Ts.mtime≤Ts′.mtime，此时DW＜Ts.mtime且Hash(C)′＝Hash(C)

3)如果Ts.ctime≤Ts′.ctime，此时Hash(I)′＝Hash(I)

4)PCR_old＝Hash(Hash(C)′||Hash(C)...||Hash(I)′||Hash(I))；

步骤5-2、通过重新计算度量列表的有序聚合，与TPM中签名的指定平台配置寄存器的值比对，从而进一步校验度量列表的完整性，并给出完整性响应。

2.如权利要求1所述的基于进程行为的平台完整性状态信息度量方法，其特征在于，步骤1中，使用LSM提供的安全钩子函数以及自定义钩子函数提取度量对象的方法，具体如下：

步骤1-1、使用sysfs文件系统的接口接收的文件描述符，用户空间应用程序通过向/sys/security/measure写入请求来发出度量请求；

步骤1-2、利用LSM提供的安全钩子函数以及自定义的钩子函数，接收文件指针作为参数，在文件以及应用程序代码执行前或映射到内存之前提取度量对象；所述自定义的钩子函数是指函数MODULE_CHECK()，其在内核初始化时通过initcall()函数注册到内核中。