[发明专利]一种应用程序动态可信验证方法及系统

权利要求书

1.一种应用程序动态可信验证方法，其特征在于，包括：

为应用程序构建可信运行环境；

在强制访问控制状态，基于所述可信运行环境对所述应用程序进行动态可信验证；

所述为应用程序构建可信运行环境，包括：操作系统可信启动、构建策略文件以及构建可信基准库；

所述操作系统可信启动包括：自计算机主机上电开始，依次加载并执行BIOS、Boot、Loader、OS Kernel，并在加载的同时进行动态可信验证；

所述构建策略文件包括：在训练过程中，构建一个初始策略文件；执行应用程序拥有的全部操作要素；获取日志文件中的拒绝信息，并将所述拒绝信息转化为策略规则；将所述策略规则加入至所述初始策略文件，获取所述策略文件；

所述构建可信基准库包括：分别获取四要素的完整性基准值，并将所述完整性基准值保存至基准库中，构建成所述可信基准库;

所述四要素包括：主体要素、客体要素、操作要素和环境要素。

2.根据权利要求1所述的应用程序动态可信验证方法，其特征在于，

所述操作要素包括主体要素对客体要素的所有访问行为；

所述环境要素包括操作系统可信启动、用户、所述应用程序、由所述应用程序生成的进程、由所述应用程序生成的进程所要访问的资源、策略文件、可信基准库；

在所述应用程序从磁盘被加载到内存的过程中，所述主体要素为执行所述应用程序的用户；所述客体要素为所述应用程序；

在所述应用程序被加载到内存后的整个运行过程中，所述主体要素为由所述应用程序所生成的进程；所述客体要素为由所述应用程序所生成的进程所要访问的资源。

3.根据权利要求2所述的应用程序动态可信验证方法，其特征在于，所述在强制访问控制状态，对所述应用程序进行动态可信验证，包括：

基于可信基准库、策略文件和安全增强模块，验证四要素的完整性。

4.根据权利要求3所述的应用程序动态可信验证方法，其特征在于，所述基于可信基准库、策略文件和安全增强模块，验证四要素的完整性，具体包括：

在所述应用程序被载入到内存之前，获取为所述应用程序创建进程而进行的第一系统调用，根据所述第一系统调用确定并对所述应用程序被载入内存过程中的四要素中的主体要素、客体要素和操作要素的完整性进行动态可信性验证；

若所述动态可信性验证通过，则将所述应用程序载入内存；

在所述应用程序被载入内存后，获取所述主体要素访问客体要素的第二系统调用，根据所述第二系统调用确定并对所述应用程序被载入内存后的四要素中的主体要素、客体要素和操作要素的完整性进行动态可信性验证；

若所述动态可信性验证通过，则允许所述主体要素访问所述客体要素。

5.一种应用程序动态可信验证系统，其特征在于，包括运行环境构建模块、运行环境存储模块以及动态可信验证模块，其中：

所述运行环境构建模块，用于为应用程序构建可信运行环境；

所述运行环境存储模块，用于存储所述可信运行环境的参数；

所述动态可信验证模块，用于基于所述可信运行环境的参数，在强制访问控制状态，对所述应用程序进行动态可信验证；

所述为应用程序构建可信运行环境，包括：操作系统可信启动、构建策略文件以及构建可信基准库；

所述操作系统可信启动包括：自计算机主机上电开始，依次加载并执行BIOS、Boot、Loader、OS Kernel，并在加载的同时进行动态可信验证；

所述构建策略文件包括：在训练过程中，构建一个初始策略文件；执行应用程序拥有的全部操作要素；获取日志文件中的拒绝信息，并将所述拒绝信息转化为策略规则；将所述策略规则加入至所述初始策略文件，获取所述策略文件；

所述构建可信基准库包括：分别获取四要素的完整性基准值，并将所述完整性基准值保存至基准库中，构建成所述可信基准库;

所述四要素包括：主体要素、客体要素、操作要素和环境要素。

6.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述的应用程序动态可信验证方法的步骤。

7.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至4任一项所述的应用程序动态可信验证方法的步骤。