[发明专利]一种软件基本信任机制的处理方法及相关设备

说明书

技术领域

本发明涉及计算机软件领域，尤其涉及一种软件基本信任机制的处理方法及相关设备。

背景技术

随着科学技术的快速发展，越来越多的软件产品被开发和应用，软件的功能越来越多，软件的复杂性也越来越高。在软件水平快速发展的同时，软件的安全性也变得日益严重，为了保证软件的安全可靠的运行，设备需要对运行的软件进行可信性评估。同一个系统的指令是确定的，但对不同操作主体的可信度而言可能是不一样。例如，一个受侵害的系统，对于软件用户是不可信的，对于黑客是可信的。对于一般用户而言，一个可信的系统软件是目前大多数用户的主要需求。

可信计算组织(Trusted Computing Group，TCG)提出对电脑进行软硬件改造，来提升电脑系统的安全性。TCG提供了一种可信计算技术，其主要思想是在硬件平台上引入安全芯片，逐级建立信任关系。例如，通过在电脑主板上引入安全硬件模块来逐级建立基本输入输出系统(Basic Input Output System，BIOS)、主引导记录(Main Boot Record，MBR)、操作系统装载器(Operating System Loader，OS Loader)到操作系统内核的信任链，并保证信任链的安全，最后在计算机硬件系统上构建一个解决系统完整性问题的可信的工作环境。然而，TCG规范中只提供了操作系统装载器层以下的信任链传递流程，但并未给出信任链传递在操作系统内核层的具体实现方法，即没有给出如何利用可信计算技术使得操作系统内核代码不被非法篡改，保证其可信性。

现有技术中，TCG提出为应用提供可信软件栈(TCG software stack，TSS)来为应用提供安全服务。然而，TSS是一种被动调用模式，而应用被动调用TSS，并不能使用安全硬件模块提供的可信和密码服务，因此TCG没有提供保密服务。

发明内容

本发明实施例提供了一种软件基本信任机制的处理方法，用于主动对软件进行可信性度量，提高了软件的可信性。

本发明第一方面提供了一种软件基本信任机制的处理方法，包括：当目标软件启动时，对目标软件进行可信性度量并生成度量结果；根据所述度量结果生成判定结果；根据所述判定结果对所述目标软件进行处理。

结合本发明实施例的第一方面，在本发明实施例第一方面的第一种实现方式中，所述对目标软件进行可信性度量并生成度量结果包括：获取目标软件的安全性信息；根据所述安全性信息对所述目标软件进行度量并生成度量结果。

结合本发明实施例第一方面的第一种实现方式，在本发明实施例第一方面的第二种实现方式中，所述根据所述安全性信息对所述目标软件进行度量并生成度量结果包括：获取预置的度量策略，所述度量策略包括需要进行度量的度量点；根据所述预置的度量策略和所述安全信息对所述目标软件进行度量并生成度量结果。

结合本发明实施例的第一方面，在本发明实施例第一方面的第三种实现方式中，所述根据所述度量结果生成判定结果包括：将所述度量结果与预置的基准信息进行对比，所述预置的基准信息包括所述度量结果中各个度量点的可信阈值；生成判定结果，所述判定结果用于指示所述度量结果中的各个度量点的值是否满足对应的可信阈值。

结合本发明实施例第一方面的第三种实现方式，在本发明实施例第一方面的第四种实现方式中，所述根据所述判定结果对所述目标软件进行处理包括：确定不满足可信阈值的度量点为不可信度量点；根据预置的对应关系确定与所述不可信度量点对应的目标处理策略，所述预置的对应关系为不可信度量点与处理策略的对应关系；根据所述目标处理策略对所述目标软件进行处理。

结合本发明实施例第一方面的第四种实现方式，在本发明实施例第一方面的第五种实现方式中，所述目标处理策略包括执行、阻止、隔离或者审计。

本发明第二方面提供了一种终端，包括：第一处理单元，当目标软件启动时，用于对目标软件进行可信性度量并生成度量结果；生成单元，用于根据所述度量结果生成判定结果；第二处理单元，用于根据所述判定结果对所述目标软件进行处理。

结合本发明实施例的第二方面，在本发明实施例第二方面的第一种实现方式中，所述第一处理单元包括：获取子单元，用于获取目标软件的安全性信息；第一处理子单元，用于根据所述安全性信息对所述目标软件进行度量并生成度量结果。