[发明专利]一种访问控制中客体内存可信验证方法及系统

权利要求书

1.一种访问控制中客体内存可信验证方法，其特征在于，包括：

获取访问控制过程中的客体内存，并将所述客体内存划分为客体进程内存和IPC对象共享内存；

所述客体进程内存是充当主体服务对象的内存，所述IPC对象共享内存为充当进程间通信的内存；

对所述客体进程内存进行可信验证；

对所述IPC对象共享内存进行可信验证；

其中，所述对所述客体进程内存进行可信验证，包括：

获取与所述客体进程内存相对应的物理内存数据的第一度量值；

获取与所述客体进程内存相关的可执行文件；

获取所述可执行文件的代码段及常量数据段数据，并对所述代码段及常量数据段数据进行完整性度量，获取第二度量值；

将所述第二度量值与所述第一度量值以及第一标准基准值进行对比，完成对所述客体进程内存的可信验证；

其中，所述对所述IPC对象共享内存进行可信验证，包括：

对创建所述IPC对象共享内存的写进程进行可信验证；

若所述写进程的验证通过，则允许主体进程创建所述IPC对象共享内存，并生成共享内存标识符；

根据所述共享内存标识符，获取所述IPC对象共享内存在完成写进程后的内存区域数据；

对所述内存区域数据进行完整性度量，获取第三度量值；

将所述第三度量值与第二标准基准值进行对比，完成对所述内存区域数据的可信验证；

对读进程进行可信验证。

2.根据权利要求1所述的访问控制中客体内存可信验证方法，其特征在于，所述获取与所述客体进程内存相对应的物理内存数据的第一度量值，包括：

根据所述客体进程内存的进程号，获取与所述客体进程内存相对应的内存映射文件；

对所述内存映射文件的内存片段信息进行解析，获取物理内存数据；

调用国密算法包对所述物理内存数据进行完整性度量，获取所述第一度量值。

3.根据权利要求2所述的访问控制中客体内存可信验证方法，其特征在于，在所述获取与所述客体进程内存向对应的物理内存数据的第一度量值之前，还包括：

根据所述客体进程内存的敏感类型，利用内存数据控制块设置敏感标签位对所述客体进程内存进行敏感度分类；

根据所述敏感度分类，设置度量间隔时间。

4.根据权利要求1所述的访问控制中客体内存可信验证方法，其特征在于，在所述对读进程进行可信验证之前，还包括：

在所述IPC对象共享内存中设置写标志位，以使写进程独享所述IPC对象共享内存；

在所述对读进程进行可信验证之前，还包括：

将所述写标志位更换为读标志位，以使所述读进程独享所述IPC对象共享内存。

5.根据权利要求1所述的访问控制中客体内存可信验证方法，其特征在于，在所述对创建所述IPC对象共享内存的读进程进行可信验证之后，还包括：

确定所述读进程的验证通过，则显式删除所述IPC对象共享内存的内存区域数据。

6.根据权利要求1所述的访问控制中客体内存可信验证方法，其特征在于，在所述对所述内存区域数据进行完整性度量，获取第三度量值之前，还包括：

利用内存数据控制块设置敏感标签位对所述IPC对象共享内存进行敏感度分类；

根据所述敏感度分类，设置度量间隔时间。

7.根据权利要求1所述的访问控制中客体内存可信验证方法，其特征在于，在所述对创建所述IPC对象共享内存的写进程进行可信验证之后，还包括：

若所述写进程的验证通过，且所述写进程为第一次写数据，则将获取的完整性度量值初始化为所述第二标准基准值。

8.一种访问控制中客体内存可信验证系统，其特征在于，包括：

客体内存辨识模块，用于获取访问控制过程中的客体内存，并将所述客体内存划分为客体进程内存和IPC对象共享内存；

所述客体进程内存是充当主体服务对象的内存，所述IPC对象共享内存IPC对象共享内存为充当进程间通信的内存；

客体进程内存可信验证模块，用于对所述客体进程内存进行可信验证；

IPC对象共享内存信验证模块，用于对所述IPC对象共享内存进行可信验证；

其中，对所述客体进程内存进行可信验证，包括：

获取与所述客体进程内存相对应的物理内存数据的第一度量值；

获取与所述客体进程内存相关的可执行文件；

获取所述可执行文件的代码段及常量数据段数据，并对所述代码段及常量数据段数据进行完整性度量，获取第二度量值；

将所述第二度量值与所述第一度量值以及第一标准基准值进行对比，完成对所述客体进程内存的可信验证；

对所述IPC对象共享内存进行可信验证，包括：

对创建所述IPC对象共享内存的写进程进行可信验证；

若所述写进程的验证通过，则允许主体进程创建所述IPC对象共享内存，并生成共享内存标识符；

根据所述共享内存标识符，获取所述IPC对象共享内存在完成写进程后的内存区域数据；

对所述内存区域数据进行完整性度量，获取第三度量值；

将所述第三度量值与第二标准基准值进行对比，完成对所述内存区域数据的可信验证；

对读进程进行可信验证。