[发明专利]基于可信计算平台的度量策略的验证方法及装置

说明书

本申请公开了一种基于可信计算平台的度量策略的验证方法及装置。该方法包括：可信安全管理平台获取可信计算平台从第一策略库中下载度量策略的策略下载记录，并依据策略下载记录计算第一基准值，其中，第一策略库存在于可信安全管理平台中；接收可信计算平台发送的度量报告，并获取第二基准值，其中，度量报告中携带有用于指示可信计算平台从第一策略库中下载度量策略的策略下载记录的第二基准值；根据第一基准值与第二基准值的比较结果，对度量策略的完整性进行验证。通过本申请，解决了相关技术中解决了相关技术中由于度量策略没有及时更新或发生错误，导致无法对计算机进行正确的度量和防护，从而造成对计算机度量不准确的问题。

技术领域

本申请涉及信息防护领域，具体而言，涉及一种基于可信计算平台的度量策略的验证方法及装置。

背景技术

相关技术中，度量策略和基准库的完整性是对计算机可信计算的基础。可信平台控制模块对计算机的度量防护措施都是以策略和基准库为依据，策略和基准库的错误或版本过期，可能导致可信平台控制模块工作在不正确的模式，无法对计算环境进行正确的度量防护。基准库和策略库由可信安全管理平台设置，再下载到可信平台控制模块，但可能由于刻意的攻击、传输的错误或者不能下载最新的数据，导致可信平台控制模块的度量策略和基准库与可信安全管理平台中存储的不一致，因此，在不一致的情况下，对计算机进行错误的度量和修复，是非常危险的情况。

针对相关技术中存在的上述问题，目前尚未提出有效的解决方案。

发明内容

本申请的主要目的在于提供一种基于可信计算平台的度量策略的验证方法及装置，以解决相关技术中由于度量策略没有及时更新或发生错误，导致无法对计算机进行正确的度量和防护，从而造成对计算机度量不准确的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种基于可信计算平台的度量策略的验证方法，其中，可信计算平台包括并行的计算子系统与防护子系统，其中，计算子系统用于完成计算任务，防护子系统用于根据度量策略对计算子系统进行主动度量，防护子系统包括可信平台控制模块和在可信平台控制模块上运行的可信软件基。该方法包括：可信安全管理平台获取可信计算平台从第一策略库中下载度量策略的策略下载记录，并依据策略下载记录计算第一基准值，其中，第一策略库存在于可信安全管理平台中；接收可信计算平台发送的度量报告，并获取第二基准值，其中，度量报告中携带有用于指示可信计算平台从第一策略库中下载度量策略的策略下载记录的第二基准值；根据第一基准值与第二基准值的比较结果，对度量策略的完整性进行验证。

进一步地，该方法还包括：可信软件基从第一策略库中下载度量策略；在下载度量策略之后，可信软件基将度量策略的下载记录扩展至策略更新寄存器，其中，策略更新寄存器存在于可信平台控制模块中；根据策略更新寄存器中的第二基准值，生成度量报告。

进一步地，在可信软件基从第一策略库中下载度量策略之后，该方法还包括：将度量策略加载到第二策略库和基准库，其中，第二策略库用于驱动防护子系统对计算子系统进行主动度量，基准库包括第三基准值，第三基准值作为主动度量判断和恢复的标准值；基于第二策略库和基准库，防护子系统对计算子系统进行主动度量。

进一步地，基于第二策略库和基准库，防护子系统对计算子系统进行主动度量之后，该方法还包括：依据主动度量的度量日志生成策略学习资料，和/或，通过可信软件基的采集工具获取策略学习资料；可信软件基将策略学习资料发送至可信安全管理平台。

进一步地，可信软件基将策略学习资料发送至可信安全管理平台之后，该方法还包括：可信安全管理平台基于策略学习资料进行学习，生成策略建议；可信安全管理平台对策略建议进行审批；基于审批后的策略建议和/或预先编辑的度量策略，生成第一策略库。