[发明专利]基于进程行为的平台完整性状态信息度量方法

说明书

本发明公开了一种基于进程行为的平台完整性状态信息度量方法，包括以下步骤：步骤1，截获应用层的度量请求，并从应用程序中提取度量对象；步骤2，分析程序运行状态及执行参数，收集与度量对象相关的进程行为信息；步骤3，根据行为特征判断是否将此次度量结果添加到度量列表中，同时将度量对象相关的进程行为信息收集在度量列表中；步骤4，将度量结果通过扩展操作存储到可信平台模块的特定PCR中，并生成度量报告发送至应用层的日志审计机制；步骤5，根据度量列表、度量日志及PCR中存储的度量结果验证计算平台的完整性状态信息。本发明提供粒度更细的完整性状态信息度量方法，反映的待验证计算平台的安全属性信息更加准确，可提高度量效率。

技术领域

本发明属于可信计算、远程证明领域，特别是一种基于进程行为信息的平台完整性状态信息度量方法。

背景技术

随着互联网应用的迅速普及，人们在日常生活中的应用越来越广泛。由于互联网开放互联，同时增添了许多不安全因素，如病毒、蠕虫和特洛伊木马等，他们通过漏洞攻击终端，严重威胁到计算机安全。如2017年6月始席卷全球150多个国家的Petya勒索病毒及其变种，这种类型的病毒能通过邮件、程序木马等形式传播，利用携带漏洞的DOC文档进行攻击。中毒后，病毒会修改系统的MBR引导扇区，加密NTFS分区、阻止机器正常启动。当电脑重启后，恶意代码会在Windows操作系统之前执行，同时执行加密等恶意操作。因此，保证网络环境中计算平台的安全性越来越重要，用于证明平台在基于网络的系统中通信的程序是安全可靠的，已逐渐成为信息安全领域的研究热点。为了确保整个计算机系统的可信赖性，TCG提出了可信计算技术，力图为网络环境中的计算平台提供端点可信性证明。可信计算技术在硬件层引入可信平台模块(trusted platform module，TPM)，即可信根。从信任根出发，通过信任链传递机制，逐级度量验证系统组件，可保证整个系统的可信性，进一步通过远程证明机制验证终端在网络环境中的可信性。

IBM公司的Sailer等人提出了完整性度量架构(Integrity MeasurementArchitecture，IMA)，它是一种被广泛接受的与TCG规范兼容的远程验证解决方案，提供了从系统启动到应用程序级别的度量。宾夕法尼亚州立大学的Jaeger等人定义了策略规约完整性度量框架，它不仅能够度量系统上运行的代码及配置文件，同时可分析进程之间存在的信息流。因此，PRIMA能够提供更严格、复杂的完整性保证。但PRIMA需进行复杂的分析来检测和消除CW-Lite模型中的违法行为，然而它们的方案可能仅适用于具有特定配置的计算平台。IBM的Sassu等人针对PRIMA的局限性，通过常规文件捕获与记录进程间得交互，提出了一种增强型IMA架构。尽管只提供较PRIMA粗粒度的完整性度量，但是增强型IMA的易用性使得那些希望使用远程证明来检测网络攻击的应用可避免执行复杂的SELinux策略分析。

然而，系统环境的可信性同样取决于在运行可执行文件时产生动态的、非结构化的数据。即使应用程序知道这些数据可能会影响其完整性，也很难通过度量手段保证其完整性，对于远程证明机制中的完整度量框架，IMA及其增强体系架构虽然能够收集和验证系统的完整性状态，但其同时存在校验粒度粗，度量冗余度高和效率低下的问题。因此，需要提供一种细粒度、高效的平台完整性状态信息度量方法。但是现有技术中尚无相关描述。

发明内容

本发明的目的在于提供一种基于进程行为的平台完整性状态信息度量方法。

实现本发明目的的技术解决方案为：一种基于进程行为的平台完整性状态信息度量方法，具体包括以下步骤：

步骤1、截获应用层的度量请求，在文件以及应用程序代码执行前或映射到内存之前，使用LSM提供安全钩子函数的以及自定义的钩子函数提取度量对象；具体如下：

步骤1-1、使用sysfs文件系统的接口接收的文件描述符，用户空间应用程序通过向/sys/security/measure写入请求来发出度量请求；