[发明专利]一种终端系统可信状态判断方法、装置及终端

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种终端系统可信状态判断方法、装置及终端。

背景技术

针对一个计算机系统，如何判断其是否可信，需要解决两个基本问题：一是证据体系的问题，即从该计算机系统中提取哪些证据来反映出计算机系统的当前状态；二是可信判定问题，即采用什么样的方式对提供的证据进行处理以判断系统当前的状态是否可信。这就涉及到可信计算技术，可信计算技术是解决系统可信问题的关键技术。

现有技术中，可信计算组织(TCG，Trusted Computing Group)提出了基于完整性验证与报告的可信判定方法，该方法的主要步骤为：利用计算机系统中嵌入的可信平台模块（TPM，Trusted Platform Module），通过逐级度量的方式在系统中扩展信任链，制定了完整性报告的格式，通过完整性参考清单（RM，Reference Manifest）对收集的完整性报告进行验证。

具体地，可信平台模块TPM是一个处理能力有限的安全芯片，能够执行基本的密码操作，并具有一定的存储空间。TCG的完整性度量按照系统的启动顺序，采用逐级度量的方式对后续部件进行度量，当后续部件通过检测，便将控制权转交给后续部件，直到将信任扩展到整个平台。每个部件的度量结果都可以在平台配置寄存器（PCR，Platform Configuration Register）中进行保存，除此之外，还将具体每一步的度量操作、中间状态和度量结果保存在存储度量日志（SML，Storage Measurement Log）中，可以作为系统可信度量的详细步骤进行参考。因此SML和PCR一起就描述了系统的状态变化过程，可信计算平台基于PCR和SML来生成完整性报告。对可信计算平台进行度量的验证者，根据生成的完整性报告中平台组件的情况，提取出预先保存的RM，对可信计算平台的当前完整性状态进行度量，得到系统可信或者不可信的度量结果。

但是，由于系统组件不断地更新和升级，导致RM也需要不断更新，因此，完整性参考架构的维护非常复杂和繁琐，并且TCG的完整性度量报告和参考清单中只给出了某个组件的完整性度量值和完整性参考值，完整性度量并不能体现TCG所制定的行为可预期的可信概念。

为了解决TCG完整性度量存在的问题，现有技术中，又提出了层次化的信任度量模型。首先对可信的概念进行分析，认为可信就是可以信任，即在某个相对安全可靠的上下文中，尽管可能存在不良后果，主体仍然认为其他主体能够按照预定方式执行某些动作的可度量的信念。只有达到一定程度的信任才可信，因此，将可信问题转化为对信任进行度量，并引入了层次化的信任度量模型进行信任度量。

进一步地，为了能对信任进行度量，首先定义需求，根据需求定制出相应的目标，根据目标细化出度量的内容，根据度量的内容制定度量机制，最后给出度量。可信度量的目标就是保证终端平台的状态是可信的，根据上述对信任的定义，将其中能影响信任的因素挑选出来，包括：是否安全可靠、是否是某个上下文、是否存在风险、以及主体是否能按照预定的方式执行某些动作，根据这些因素，将平台可信性的目标划分为4个子目标：安全保障性目标、策略符合性目标、风险评估性目标和行为监控性目标。

根据上述4个目标，对实现每个目标所需的证据属性内容进行细化：对于终端平台的安全保障性目标，所需证据属性可以包括组件的证书；对于终端平台的策略符合性目标，所需的证据属性可以包括各种策略的属性；对于终端平台的风险评估性目标，所需证据属性可以包括风险涉及组件和策略的各种属性；对于终端平台的行为监控性目标，所需证据属性可以包括相关行为的开始点、行为里程碑和行为终点的属性。图1为各层度量目标和涉及的相关属性构成树状结构。如图1所示，方框表示各层度量目标，每个度量目标下的叶子节点表示实现该度量目标所需的证据属性。

现有技术中提出的层次化的信任度量模型，提出了对信任进行度量的模型，能够解决TCG完整性度量存在的问题，体现了行为可预期的可信概念，但是层次化的信任度量模型对于判断计算机系统是否可信的问题，解决了证据体系的问题，而并没有解决可信判定的问题，即采用什么样的方式对提供的证据进行处理以判断系统当前的状态是否可信。

发明内容

本发明实施例提供了一种终端系统可信状态判断方法、装置及终端，用以解决现有技术中，无法针对层次化的信任度量模型进行可信判定的问题。

第一方面，提供一种终端系统可信状态判断方法，基于层次化的信任度量模型，包括：