[发明专利]实现可信计算基结构化扩展的管道安全保障方法与系统

说明书

技术领域

本申请涉及一种本发明属于信息安全装置领域，具体涉及可信计 算基(Trusted Computing Base)结构化扩展的管道安全保障方法与 系统。

背景技术

从2007年6月份开始，我国开展了全国范围内的信息系统普遍信息 安全等级保护定级工作，到目前为止定级工作已经基本完成，其中被定为 三级以上的信息系统多达几万个。三级以上信息系统被统称为重要信息系 统，它们所承载的应用系统安全非常重要，一旦其安全遭到破坏，必然对 社会秩序、公众利益甚至国家的安全和稳定都会产生重大影响，因此需要 重点保护。

强制性国家标准《计算机信息系统安全保护等级划分准则 GB17859-1999》明确规定可信计算基(TCB)是保障系统安全的核心，它 建立的基本保护环境为用户提供了一个可信计算基系统所要求的附加用 户服务。

英特尔公司提出的US2005086509A1号美国专利和US2008141024A1 号美国专利公开了一种扩展可信计算基，其生成较低层次的可信计算基 (L1 TCB)，其具有包含可信平台模块的一系列硬件组件。通过将高层次 TCB添加到低层次TCB的方式，扩展TCB得以形成，其中高层次TCB是基 于软件的。较低级别TCB相关的特性通过低级别TCB接口传送到高级别 TCB中。US2005138423A1号美国专利则公开了基于可信计算基的硬件可信 单元和MAC虚拟监测器。

由于TCB是计算机系统内包括硬件、固件、软件和负责执行安全策略 在内的所有保护装置的组合体，因此是以组件的形式分布在信息系统的物 理层、操作系统层、应用层及网络层。目前上述现有技术都是对单一层次 的TCB组件功能的完善与加强，例如采用安全操作系统加固系统层，用安 全数据库管理系统加固应用层的数据库应用软件等，这种只对单一TCB 组件进行加固建设、而没有对TCB组件间的连接进行安全保障的做法使得 组合体无法彼此信任，其保护效果如同马其诺防线不堪一击，无法真正实 现对用户应用的安全支撑，更无法达到GB17859的安全保障要求。

发明内容

为了解决上述问题，实现可信计算基组件的无缝连接与可信计算基的 结构化扩展，并防止部分隐通道的出现，本发明得以提出。

本申请公开一种连接TCB组件的安全保障系统，该系统包括：应用层 TCB组件，其用于实施各可信软件自身设置的安全策略；操作系统层TCB 组件，其用于实施信息系统设置的安全策略；以及管道，其在应用层TCB 组件与操作系统层TCB组件之间建立，用于实现可信组件与可信组件之间 的可信消息传递。

上述应用层TCB组件包括，管道协商模块，与操作系统层的管道协商 模块进行协商，获得应用层TCB和操作系统层TCB之间的管道；访问控制 模块，用于对请求进行与用户相关的细粒度的控制；管道封装模块，对访 问请求信息按照管道的格式进行封装，并通过系统调用传递到操作系统层 TCB；消息传递模块，用于将访问请求信息传递到操作系统TCB。

上述应用层TCB组件的管道协商模块中，操作系统层TCB对应用层 TCB进行可信认证，认证通过后采用密码协商协议协商出应用层TCB和操 作系统层TCB的通信密钥，管道信息采用通信密钥进行加密保护。

上述应用层TCB组件的访问控制模块中，操作系统TCB信任通过认证 的应用TCB所做的访问控制。

上述应用层TCB组件的消息传递模块为系统调用模块。或者，上述应 用层TCB组件的消息传递模块为系统服务模块。

上述操作系统层TCB组件包括，管道协商模块，用于协商得到应用层 和操作系统层消息传递的加密通道；消息分析模块，用于对访问请求消息 进行分析，得出进程、访问请求行为信息；管道认证模块，用于对访问请 求进行认证，确定该访问请求是否是合法的管道请求并将结果提交到控制 决策模块；控制决策模块，用于对访问请求进行裁决；策略管理模块，用 于管理操作系统层TCB的相关策略，为管道协商模块、控制决策模块提供 策略服务。

上述操作系统层TCB组件的管道协商模块中，应用层和操作系统层消 息为资源访问请求。或者，上述操作系统层TCB组件的管道协商模块中， 应用层和操作系统层消息为程序调用请求。