发明名称 |
一种基于可信芯片的动态完整性保护方法 |
摘要 |
本发明公开了一种基于可信芯片的动态完整性保护方法。本方法为:1)在用户态设置一基准更新程序,用于存储动态变化文件的度量基准;该基准更新程序初始化TCM芯片的NV存储区:定义NV存储区的索引、大小和操作口令;2)用户每次更新文件后,利用基准更新程序和操作口令更新该文件在NV存储区的基准;3)在内核态设置一度量模块和一验证模块;度量模块在动态变化文件加载到内存时计算该文件的度量结果,并将度量结果发给验证模块;验证模块读取NV存储区中该文件的基准进行比较,如果一致,则所述度量模块判定该文件完整性是好的,否则判定该文件被非法修改。本发明有效地解决了IMA不能对动态变化的文件进行度量和验证的问题。 |
申请公布号 |
CN103093150A |
申请公布日期 |
2013.05.08 |
申请号 |
CN201310052766.X |
申请日期 |
2013.02.18 |
申请人 |
中国科学院软件研究所 |
发明人 |
丁保增;贺也平;周启明;武延军;关贝;翟翔;兰书俊 |
分类号 |
G06F21/57(2013.01)I |
主分类号 |
G06F21/57(2013.01)I |
代理机构 |
北京君尚知识产权代理事务所(普通合伙) 11200 |
代理人 |
冯艺东 |
主权项 |
一种基于可信芯片的动态完整性保护方法,其步骤为:1)在用户态设置一基准更新程序,该基准更新程序初始化TCM芯片的NV存储区:定义NV存储区的索引,NV存储区大小,设置NV存储区的操作口令;所述NV存储区用于存储动态变化文件的度量基准;在完整性度量架构IMA的度量策略中增加一文件名filename选项,用来规定该IMA可度量的动态变化文件;2)用户每次更新动态变化文件后,利用该基准更新程序和设置的操作口令更新该文件在NV存储区的基准;3)在内核态设置一度量模块和一验证模块;所述度量模块在动态变化文件加载到内存时计算该文件的度量结果,并将度量结果发给所述验证模块;所述验证模块读取NV存储区中该文件的基准,将其与该度量结果进行比较,并将比较结果发给度量模块,如果一致,则所述度量模块判定该文件完整性是好的,否则判定该文件被非法修改。 |
地址 |
100190 北京市海淀区中关村南四街4号 |