[发明专利]可容忍非信任组件的安全终端加固模型及加固方法

权利要求书

1.一种可容忍非信任组件的安全终端加固模型，其特征在于：该终端加固模型包括硬件层、虚拟层、操作系统层和应用层；

终端硬件层除计算机基本硬件设施之外，增加有USB一体化嵌入式可信系统，该系统实现通信服务、TPM服务和可信网络连接功能，是一个独立、完整的具有可信TPM功能的片上系统SOC，由安全芯片、通信模块、Flash芯片和Linux系统共同组成，该系统不受上层操作系统的影响和控制，即使操作系统存在Bug或隐通道，也不会对网络访问控制造成实质性安全损害，还解决目前的终端设备缺少TPM模块支持这一问题；

基于USB一体化嵌入式可信系统能够完成终端对非信任组件的容忍，所谓“非信任组件”，按照TCG可信计算组织的观点，一个组件是“不可信”的，说明该组件没有通过完整性度量，不能被启动和加载，但实际上，不可信的组件并不代表该组件就一定恶意破坏过，在版本升级、新的组件情况下，被判定不可信的组件是可以信任的，针对这种情况，可容忍非信任组件的终端允许非信任组件加载，但不管终端加载的组件是否可信，都可保证安全结果的可预测和可控性，保证访问网络所涉及信息的机密性，保证终端本地信息的机密性和完整性；

USB一体化嵌入式可信系统通过USB接口和终端设备交换信息，并提供标准的TPM功能，开辟一个非易失可信存取区用以存放VM Loader、OS Loader和Visual Box虚拟机程序，非易失可信存储区用户不能修改，VM Loader放置在USB存储区的主引导记录MBR(Main Boot Record)区，而扩展代理EMM1(Extended Measurement Module，EMM1存储在嵌入式可信系统的用户不可更改Flash中)、EMM2(EMM2存储在OS Loader中)作为程序代码分别存储在Visual Box虚拟机和OS Loader程序中；

终端虚拟层位于硬件层和操作系统层之间，利用虚拟机实现硬件资源的透明加密虚拟化、任务的隔离、USB端口对可移动存储设备的控制以及通过虚拟网卡管理所有的通信资源等功能；

终端操作系统层包括支持白名单机制的可信计算软件基TCSB(TrustedComputing Software Base)、可信基础支撑软件系统服务TSS(TCBSS SystemService)和可信基础支撑软件应用服务TAS(TCBSS Application Service)；终端应用层是应用程序，它们是非信任组件。

2.一种可容忍非信任组件的安全终端加固方法，其特征在于：该方法基于USB一体化嵌入式可信系统构建，对终端计算环境安全加固的具体步骤如下：

(1)、终端设备开机后，处于终端硬件层的USB一体化嵌入式可信系统首先加电，加载嵌入式可信系统，并清除USB存储模块的MBR；嵌入式可信系统度量VM Loader成功后，将存储的可信VM Loader覆盖释放到USB存储模块的MBR；

(2)、基于USB模块和用户口令PIN码的USB MBR认证用户成功后，MBR引导存储在USB可信存取区的虚拟机Visual Box加载启动，并加载虚拟加密存储、虚拟内存、虚拟网卡、端口控制等虚拟设备，同时启动虚拟机可信度量代理模块EMM1；

(3)、Visual Box启动成功后，EMM1度量模块度量确认windows操作系统内核的完整性，生成并释放出一个Windows的引导加载模块OS Loader，覆盖存储到本机硬盘的MBR；

(4)、硬盘MBR引导内核加载，OS Loader内的扩展度量模块EMM2度量TCSB的完整性并加载可信计算软件基TCSB，TCSB包括：进程控制模块、访问控制及其访问决策模块、VPN客户端模块、网络过滤模块、安全代理模块和审计模块等安全加固模块，其中进程控制模块作为扩展的度量模块EMM3；

(5)EMM3度量加载应用程序，加载分两种情况：可信加载和基于白名单加载。