專利名稱：一種文件可信執(zhí)行和可信保護(hù)的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種文件可信執(zhí)行和可信保護(hù)的方法，以安全管理平臺為控制中心，通過部 署在計算機中安全模塊和完整性驗證機制來提供一種文件可信執(zhí)行和保護(hù)的措施，屬于計算
機信息安全領(lǐng)域。
背景技術(shù)：
隨著信息技術(shù)的迅速發(fā)展，信息安全問題日趨復(fù)雜，系統(tǒng)安全問題層出不窮，如何保證 基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)的安全性，是當(dāng)前急需解決的問題。其中，系統(tǒng)和信息的完整 性遭受破壞和篡改是當(dāng)前信息系統(tǒng)面臨的重大安全威脅之一。如果用戶無意激活了存儲在計 算機上的病毒、木馬等惡意代碼，該惡意代碼就繼承了當(dāng)前用戶的權(quán)限，可以肆無忌憚地進(jìn) 行傳播，為所欲為地破壞信息系統(tǒng)的完整性。
惡意用戶的非法操作和植入惡意代碼行為能夠破壞系統(tǒng)安全的主要原因是當(dāng)前操作系統(tǒng) 在執(zhí)行代碼或打開文件時不對其進(jìn)行完整性檢查，這給惡意代碼的發(fā)作留下了可乘之機，另 外執(zhí)行程序運行過程中不滿足最小權(quán)限原則，使得非法操作者和惡意代碼能夠擁有至高無上 的權(quán)限，從而給破壞系統(tǒng)完整性的行為預(yù)留了空間。因此，為了保障信息系統(tǒng)的安全，必須 防范各種已知及未知破壞系統(tǒng)完整性的攻擊，從根本上保證系統(tǒng)的完整可信。
目前，應(yīng)用于系統(tǒng)完整性的保護(hù)措施主要包括兩類。 一類是第三方認(rèn)證服務(wù)，即通過可 信第三方對文件進(jìn)行數(shù)字簽名，用戶在下載己經(jīng)簽名的文件時，'計算機會自動驗證該文件的 可信性，并提示用戶是否可以放心下載和使用，從而來保證文件不被篡改；另一類是建立在 可信計算模塊基礎(chǔ)上的平臺完整性驗證。它的主要思路是從系統(tǒng)加電開始，到TPM初始化、 自檢、直至啟動完畢的整個過程中，系統(tǒng)利用可信度量執(zhí)行一系列度量操作，通過這些度量 操作記錄計算機平臺已經(jīng)或?qū)⒁獔?zhí)行固件和軟件的完整性，從而確保整個平臺的初始環(huán)境是 安全可信的。另外，與第二類措施類似的機制是通過對執(zhí)行程序或文件的一致性校驗來保證
系統(tǒng)所啟動的進(jìn)程或打開的文件沒有被篡改。
這兩類保護(hù)措施在一定程度上提供了進(jìn)程和文件的完整性保護(hù)功能，但是存在一些不足，
第一類措施需要一個可信第三方來對所要保護(hù)的文件進(jìn)行簽名，這無疑增加了系統(tǒng)建設(shè)成本， 同時并不能對程序在執(zhí)行時的完整性進(jìn)行實時有效的檢測。第；類措施目前處于快速的發(fā)展 中，技術(shù)比較復(fù)雜，需要整個計算機產(chǎn)業(yè)的支持，在短時間內(nèi)要取得良好效果還不太現(xiàn)實；3而通過對執(zhí)行程序或文件的一致性校驗來保證完整性又過于簡單，并存在很多安全隱患。
一種文件可信執(zhí)行和可信保護(hù)的方法的核心思想是，在文,被正式執(zhí)行之前，由安全管
理員生成所要保護(hù)文件的摘要值，并安全存儲在安全管理平臺；當(dāng)計算機系統(tǒng)的用戶執(zhí)行該
文件時，部署在計算機中的安全模塊截獲執(zhí)行請求，然后向安全管理平臺發(fā)送驗證請示，計
算機中安全模塊根據(jù)安全管理平臺返回的結(jié)果采取相應(yīng)的動作(執(zhí)行或拒絕)。這種方法的
優(yōu)點是安全性高，實現(xiàn)成本低，同時也易于使用和管理。

發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種文件可信執(zhí)行和可信保護(hù)的方法。為實現(xiàn)這一目的，本發(fā)明 的技術(shù)解決方案是以安全管理平臺為控制中心，安全管理員通過安全管理平臺從部署在計 算中的安全模塊處獲取所要保護(hù)的文件包括存儲在計算機中的可執(zhí)行文件、配置文件、文本 文件、庫文件等，并通過哈希函數(shù)生成摘要值后存儲在安全管理平臺的數(shù)據(jù)庫中；當(dāng)用戶執(zhí) 行計算機中受保護(hù)文件時，安全模塊先請求安全管理平臺進(jìn)行完整性驗證，并根據(jù)驗證的結(jié) 果采取相應(yīng)的允許或拒絕操作。
本發(fā)明的具體內(nèi)容如下-
文件可信執(zhí)行和可信保護(hù)的方法由安全管理平臺和部署在計算機中的安全模塊組成，兩 者通過安全網(wǎng)絡(luò)傳輸協(xié)議進(jìn)行通信。在計算機中的文件被正式執(zhí)行之前，由安全管理員根據(jù) 安全策略，通過安全模塊獲取所要保護(hù)的文件，然后生成摘要值，并存儲在安全管理平臺的 數(shù)據(jù)庫中。只有安全管理員才能生成、修改和刪除摘要值，而來自計算機的驗證請求只有讀 的權(quán)限。計算機中的文件要執(zhí)行時，首先由安全模塊截獲該執(zhí)行請求，并向安全管理平臺請 求完整性驗證，只能符合安全管理員設(shè)置的安全策略后才能允許執(zhí)行，否則拒絕執(zhí)行。文件 可信執(zhí)行和可信保護(hù)的方法的過程如圖1所示。
計算機中的文件被正式執(zhí)行之前，由安全管理員通過安全管理平臺從部署在計算機中的 安全模塊處獲取所要保護(hù)的文件，同時，安全模塊記錄所保護(hù)的文件，并存儲在本地安全策 略文件中。
然后，安全管理平臺通過摘要算法分別生成受保護(hù)文件摘要值，并把文件和對應(yīng)的摘要 值所構(gòu)成的二元組存儲在安全管理平臺的數(shù)據(jù)庫中。對于摘要值的生成、修改、刪除的操作 權(quán)限只有安全管理員才具備，其他管理員或用戶只具有讀的權(quán)限。
在文件被執(zhí)行時，安全模塊首先截獲執(zhí)行請求，然后査找該文件是否存在于安全策略文 件中，如果不在，則直接交于系統(tǒng)執(zhí)行，否則，安全模塊把文件發(fā)送到安全管理平臺請求完 整性一致性驗證。
安全管理平臺接受到來自計算機的驗證請求后，通過摘要算法生成上述文件的新摘要值，然后把新摘要值與存儲在數(shù)據(jù)庫中對應(yīng)該文件的原摘要值進(jìn)行比較，得出驗證結(jié)果(包 括相同、不相同)，并把結(jié)果返回給計算機中的安全模塊。
計算機中的安全模塊根據(jù)返回的比較結(jié)果采取下一步動作(允許或拒絕執(zhí)行)。如返回
的比較結(jié)果是相同的，那么允許執(zhí)行該文件，否則拒絕執(zhí)行。最后，安全模塊將其執(zhí)行情況
返回給安全管理平臺。


圖1是文件可信執(zhí)行和可信保護(hù)方法的過程圖。
具體實施例方式
以下通過具體的實施例和附圖對本發(fā)明做詳細(xì)的說明。本發(fā)明是一種文件可信執(zhí)行和可 信保護(hù)的方法，包括獨立部署的安全管理平臺M，安裝有安全模塊K的服務(wù)器S。本發(fā)明的工
作原理
1. 文件安全策略設(shè)置安全管理員通過安全管理平臺M對安裝有安全模塊K的服務(wù)器S 中的Apache Web服務(wù)器及其配置文件httpd.conf設(shè)置文件安全策略，將文件安全策略分發(fā) 給安全模塊K，并通過安全模塊獲取所需保護(hù)的文件，即httpd和httpd.conf。
2. 安全模塊K接收并保存文件安全策略，同時記錄所需受保護(hù)的文件httpd和 httpd.conf，并實吋監(jiān)控以截獲文件運行。
3. 安全管理平臺M根據(jù)既定的摘要函數(shù)，分別生成受保護(hù)文件的摘要值& = HASH(httpd)和H2 二 HASH(httpf. conf)，并存儲在文件或數(shù)據(jù)庫中。
4. 文件運行請求當(dāng)用戶或系統(tǒng)啟動Apache Web服務(wù)器時，服務(wù)器中的安全模塊K截 獲文件運行請求，査找該文件是否存在于安全策略文件中。如果不在，則直接交于系統(tǒng)執(zhí)行； 否則，安全模塊K把文件發(fā)送到安全管理平臺M請求完整性一致性驗證。
5. 完整性驗證安全管理平臺獲得受保護(hù)文件httpd和httpd.conf后，采用既定的摘 要算法分別計算它們的摘要值H!' = HASH(httpd)和H2' = HASH(httpf.conf)。得到受保護(hù)文 件的摘要值后，安全管理平臺M將其分別與所存儲的受保護(hù)文件的摘要值Hi和H2進(jìn)行比較， 將驗證結(jié)果返回給安全模塊K。若Hi和m'或H2和H2'中有一對不匹配，其驗證也不能通過。 若兩對摘要值分別相等，表明受保護(hù)文件沒有受到破壞，則發(fā)送驗證相同給安全模塊K。
6.安全模塊K獲得驗證結(jié)果后，若驗證不相同，則拒絕Apache Web服務(wù)器httpd 運行；若驗證相同，安全模塊K再根據(jù)受保護(hù)文件的安全策略決定是否允許Apache Web服務(wù) 器httpd運行。若允許運行，則執(zhí)行Apache Web服務(wù)器httpd文件，安全模塊K將執(zhí)行情況 返回給安全管理平臺M。
權(quán)利要求
1、一種文件可信執(zhí)行和可信保護(hù)的方法，實現(xiàn)方法的整個系統(tǒng)包括獨立部署的安全管理平臺和安裝到計算機系統(tǒng)中的安全模塊，其特征在于通過安全策略和文件摘要值實現(xiàn)文件的可信執(zhí)行和文件的可信保護(hù)，安全管理平臺制定文件安全策略，實時計算并存儲受保護(hù)文件的摘要值，在受保護(hù)文件運行時，系統(tǒng)中的安全模塊截獲文件請求，發(fā)送完整性驗證請求給安全管理平臺，安全管理平臺實時計算文件的摘要值并與存儲的該文件摘要值進(jìn)行比較，將驗證結(jié)果發(fā)送給安全模塊，安全模塊根據(jù)安全策略，確定是否允許該文件運行。
2、根據(jù)權(quán)利要求1所述的一種文件可信執(zhí)行和可信保護(hù)的方法，其特征在于安全管 理平臺制定文件安全策略，根據(jù)既定的摘要算法，實時計算并存儲文件的摘要值，在接收到 安全模塊的文件完整性驗證請求后，重新計算文件的摘要值并與存儲的文件摘要值進(jìn)行比較， 發(fā)送驗證結(jié)果給安全模塊。
3、 根據(jù)權(quán)利要求1所述的一種文件可信執(zhí)行和可信保護(hù)的方法，其特征在于安全模 塊保存文件安全策略，實時監(jiān)控以截獲文件運行請求，在截獲文件運行時，發(fā)送完整性驗證 請求給安全管理平臺，接收安全管理平臺的驗證結(jié)果，根據(jù)文件安全策略，安全模塊決定允 許或拒絕文件的運行。
4、 根據(jù)權(quán)利要求l所述的一種文件可信執(zhí)行和可信保護(hù)的方法，其特征在于安全管 理員通過安全管理平臺添加文件安全策略，安全管理平臺通過安全模塊獲取到受保護(hù)文件， 根據(jù)既定的摘要算法，實時計算并存儲文件摘要值，同時文件安全策略分發(fā)到安全模塊中， 安全模塊保存文件安全策略，并實時監(jiān)控以截獲文件的運行。
5、 如權(quán)利要求1所述的一種文件可信執(zhí)行和可信保護(hù)的方法，其特征在于在受保護(hù) 文件運行時，安全模塊捕獲該文件請求，發(fā)送文件完整性驗證請求給安全管理平臺。
6、 如權(quán)利要求1所述的一種文件可信執(zhí)行和可信保護(hù)的方法，其特征在于安全管理 平臺接收到文件完整性驗證請求后，實時計算該文件的摘要值，并與存儲的文件摘要值比較， 將驗證結(jié)果發(fā)送給安全模塊。
7、 如權(quán)利要求1所述的一種文件可信執(zhí)行和可信保護(hù)的方法，其特征在于安全模塊 接收到驗證結(jié)果后，若驗證不相同，則拒絕該文件運行；若驗證相同，再根據(jù)其他文件安全 策略，決定是否允許該文件運行。
全文摘要
一種文件可信執(zhí)行和可信保護(hù)的方法，通過安全策略和文件摘要值實現(xiàn)文件的可信執(zhí)行和文件的可信保護(hù)。安全管理平臺制定文件安全策略，實時計算并存儲受保護(hù)文件的摘要值。在受保護(hù)文件運行時，系統(tǒng)中的安全模塊截獲文件請求，發(fā)送完整性驗證請求給安全管理平臺。安全管理平臺實時計算文件的摘要值并與存儲的該文件摘要值進(jìn)行比較，將驗證結(jié)果返回給安全模塊。安全模塊根據(jù)驗證結(jié)果，確定是否允許該文件執(zhí)行。這種文件可信執(zhí)行和可信保護(hù)的方法具有易實現(xiàn)、易管理、靈活可控和高安全性等特點，能夠有效防止文件被惡意代碼篡改，從而保護(hù)系統(tǒng)和用戶重要文件的完整性。
文檔編號G06F21/00GK101615230SQ20091001771
公開日2009年12月30日 申請日期2009年8月7日 優(yōu)先權(quán)日2009年8月7日
發(fā)明者剛 劉, 李清玉 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司