[发明专利]一种完整性度量方法和完整性度量装置

说明书

本申请涉及网络安全领域，尤其涉及一种完整性度量方法和完整性度量装置。该方法包括：第一度量模块对第二度量模块进行完整性度量以得到第一度量结果。这里，该第一度量模块的可信度高于第二度量模块的可信度。第一度量模块接收第二度量模块发送的第二度量结果。其中，第二度量结果由第二度量模块对待度量对象进行完整性度量得到。第一度量模块向证明模块发送度量结果信息。其中，该度量结果信息由第一度量结果和第二度量结果确定。证明模块根据度量结果信息确定待度量对象是否通过完整性验证。采用本申请的方法，可提升完整性度量的准确性和可靠性。

技术领域

本申请涉及网络安全领域，尤其涉及一种完整性度量方法和完整性度量装置。

背景技术

随着互联网技术的不断发展，网络安全技术也得到的了长足的发展。近年来，遭受恶意网络攻击的对象已经逐渐从终端设备的系统中可执行文件转移到内存中正在运行的进程，并且这种针对内存的恶意攻击具有很强的隐蔽性。因此，如何准确的验证内存的完整性已经成为当前亟待解决的问题之一。

现有技术中通常会采用动态完整性度量(dynamic integrity measurement，DIM)方法来对内存的完整性进行验证。所谓的DIM方法，就是针对内存映像中不发生变化的部分(如内核代码段、内核模块代码段、用户态进程代码段等)进行完整性度量，然后根据得到的度量结果来判断内存映像是否被篡改，从而确定内存是否遭受到恶意攻击。但是，现有的DIM过程并未建立完整的信任链条，并且执行该DIM方法的度量模块的安全性也无法得到保证，从而使得DIM方法的度量结果的可行的较低。因此，如何提升完整性度量的准确度和可信度已经成为了亟待解决的问题之一。

发明内容

为了解决上述问题，本申请提供了一种完整性度量方法和完整性度量装置，可提升完整性度量的准确性和可靠性。

第一方面，本申请实施例提供了一种完整性度量方法。第一度量模块可对第二度量模块进行完整性度量以得到第一度量结果。这里，所述第一度量模块的可信度高于所述第二度量模块的可信度。第二度量模块对待度量对象进行完整性度量以得到第二度量结果，并将该第二度量结果发送给第一度量模块。然后，所述第一度量模块向证明模块发送度量结果信息。这里，所述度量结果信息由所述第一度量结果和所述第二度量结果确定。证明模块根据所述度量结果信息确定所述待度量对象是否通过完整性验证。

在本申请实施例中，第一度量模块获取到第二度量模块对应的第一度量结果以及待度量对象对应的第二度量结果并由将该第一度量结果和第二度量结果确定的度量结果信息发送给证明模块，以使得证明模块根据度量结果信息确定待度量对象是否通过完整性验证。整个度量过程中是以可信度较高的第一度量模块作为度量根来得到第一度量模块和待度量对象的完整性度量的结果并提供给证明模块，构建了完整的信任链条，提升了完整性度量的准确性和可靠性。

结合第一方面，在一种可行的实现方式中，所述第一度量模块可将所述第一度量结果和所述第二度量结果确定为度量结果信息。然后，所述第一度量模块将所述度量结果信息发送给证明模块。第一度量模块直接将第一度量结果和第二度量结果确定为度量结果信息并发送给第二度量模块，方法简单易行，可提升完整性度量的效率。

结合第一方面，在一种可行的实现方式中，所述第一度量模块可分别将第一度量结果和度量结果发送给可信平台模块(trusted platform module，TPM)。TPM可分别对上述第一度量结果和第二度量结果进行平台配置寄存器(platform configuration register，PCR)扩展以得到第一度量结果对应的第一PCR值和第二PCR值。TPM将上述第一PCR值和第二PCR值确定为度量结果信息并发送给证明模块。在本实现方式中，第一度量模块通过安全性和可靠性较高的TPM将度量结果先扩展成对应的PCR值，再通过TPM将扩展得到的PCR值作为度量结果信息发送给证明模块，能够有效的防止度量结果被篡改等情况的发生，保证了度量结果传输的安全性。