[发明专利]一种可信基准库的实现方法、装置及计算设备

说明书

本发明公开了一种可信基准库的实现方法、装置及计算设备，该方法包括：基于至少一个度量对象生成可信基准库，所述可信基准库包括至少一条可信基准信息；安装所述可信基准库，计算所述可信基准库的摘要值并进行加密以生成基准加密值；运行所述可信基准库，根据所述基准加密值判断所述可信基准库是否完整；若所述可信基准库完整，则将所述可信基准库中的可信基准信息读取后存储。根据本发明的技术方案，保证了可信基准库的完整性，方便集中管理可信基准值，可扩展性强。

技术领域

本发明涉及信息安全领域，特别涉及一种可信基准库的实现方法、装置及计算设备。

背景技术

随着信息技术的发展和网络应用的拓展，可信计算技术研究及其相关产业化应用已成为当前信息安全领域关注的热点问题之一。可信计算是信息安全发展面临的重大机遇，是从一个全新的角度解决信息安全问题，也将成为云计算、物联网和移动互联网等新技术领域的发展趋势。

可信计算应用于系统安全时，通常以实现可信基准库协助系统进行可信度量、可信决策和可信控制，从而为度量机制、判定机制和控制机制提供可信支撑。换言之，可信基准库为系统安全机制和安全策略提供可信基准值，为系统度量本地节点和远程节点提供可信依据，以支撑主动免疫机制的可信运行。目前，可信基准库的实现方案，难以保证其完整性，且在管理性能、扩展性能上存在缺陷。

因此，需要一种新的可信基准库的实现方法来优化上述处理过程。

发明内容

为此，本发明提供一种可信基准库的实现方案，以力图解决或者至少缓解上面存在的问题。

根据本发明的一个方面，提供一种可信基准库的实现方法，包括如下步骤：首先，基于至少一个度量对象生成可信基准库，可信基准库包括至少一条可信基准信息；安装可信基准库，计算可信基准库的摘要值并进行加密以生成基准加密值；运行可信基准库，根据基准加密值判断可信基准库是否完整；若可信基准库完整，则将可信基准库中的可信基准信息读取后存储。

可选地，在根据本发明的可信基准库的实现方法中，基于至少一个度量对象生成可信基准库的步骤，包括：计算每一个度量对象的摘要值；对每一个度量对象，根据度量对象的文件名、摘要值、所在软件包包名、软件包版本号生成对应的可信基准信息；将每一个度量对象的可信基准信息集合形成可信基准库。

可选地，在根据本发明的可信基准库的实现方法中，安装可信基准库的步骤，包括：将可信基准库复制到文件系统中，并设置可信基准库的文件权限为不允许用户修改。

可选地，在根据本发明的可信基准库的实现方法中，基准加密值存储于可信存储单元，根据基准加密值判断可信基准库是否完整的步骤，包括：计算可信基准库的摘要值并进行加密以形成实际加密值；将实际加密值与可信存储单元存储的基准加密值进行比对；若实际加密值与基准加密值相同，则确定可信基准库完整。

可选地，在根据本发明的可信基准库的实现方法中，将可信基准库中的可信基准信息读取后存储的步骤，包括：在文件系统中注册设备节点；解析可信基准库，以获取各可信基准信息；将各可信基准信息读取到内存进行存储。

可选地，在根据本发明的可信基准库的实现方法中，还包括：接收读请求；校验读请求对应进程的权限是否为根权限；若读请求对应进程的权限是根权限，则读取可信基准库中与读请求对应的可信基准信息。

可选地，在根据本发明的可信基准库的实现方法中，还包括：接收写请求；校验写请求对应进程的权限是否为根权限；若写请求对应进程的权限是根权限，则基于写请求对可信基准进行写操作，并更新可信基准库的基准加密值。

可选地，在根据本发明的可信基准库的实现方法中，更新可信基准库的基准加密值的步骤包括：计算写操作完成后的可信基准库的摘要值并进行加密以形成新的基准加密值；将新的基准加密值同步至可信存储单元进行存储。