[发明专利]文件完整性度量方法、装置、终端及安全管理中心

说明书

本发明提供一种文件完整性度量方法、装置、终端及安全管理中心，该方法包括：在获取目标关键文件的文件内容的哈希值M；将所述哈希值M分别与所述目标关键文件的基准值B和上一次度量时计算得到的所述目标关键文件的文件内容的哈希值C进行对比，确定度量结果；将度量结果上传至安全管理中心，并将所述度量结果扩展到TPM芯片的平台配置寄存器PCR中；本发明实施例利用可信计算技术，在关键文件发生修改操作时触发完整性度量，即对操作系统的关键文件进行实时度量和告警；并将度量结果扩展到信任链中，进而实现信任链由操作系统向上层文件系统的传递，从而提高安全性和可信度。

技术领域

本发明涉及信息安全和可信计算领域，尤其是指一种文件完整性度量方法、装置、终端及安全管理中心。

背景技术

操作系统是计算机软硬件资源和数据的总管，担负着计算机系统庞大的资源管理，频繁的输入输出控制以及不间断的用户同操作系统之间的通讯等重要功能。系统安全已成为一个不容忽视的问题，操作系统安全问题不容忽视。

目前针对操作系统的攻击手段越来越多，方式复杂多样。它们利用操作系统自身漏洞进行恶意破坏，导致资源配置被篡改，恶意程序被植入执行，关键数据被窃取等。当前文件系统的完整性已成为unix主机系统安全的主要特性。文件系统的完整性校验问题已成为操作系统入侵检测和完整性保护的重要手段。

传统的文件完整性监控方法是在数据库中保存待检测文件的哈希值或者特征码。文件完整性校验程序定期检查待检测文件的哈希值或者特征码，并数据库中的初始值进行比对。如果不一致说明文件已被修改，触发告警并向系统管理员报告该文件的异常。

传统的文件完整性监控方法存在一些问题：比如文件完整性检测过度依赖检测程序和本地基线库，而这些数据都是可以被入侵者篡改的，入侵者完全可以挟持完整性检测程序，并修改本地基线库，制造以假乱真的假象；同时，传统的文件完整性监控手段采用周期性探测的方式，无法第一时间发现攻击行为并发出告警。

发明内容

本发明的目的在于提供一种文件完整性度量方法、装置、终端及安全管理中心，以解决现有文件完整性监控方法过度依赖检测程序和本地基线库且攻击发现不及时的问题。

为了解决上述问题，本发明实施例提供一种文件完整性度量方法，应用于终端，包括：

获取目标关键文件的文件内容的哈希值M；

将所述哈希值M分别与所述目标关键文件的基准值B和上一次度量时计算得到的所述目标关键文件的文件内容的哈希值C进行对比，确定度量结果；

将度量结果上传至安全管理中心，并将所述度量结果扩展到TPM芯片的平台配置寄存器PCR中。

其中，所述获取目标关键文件的文件内容的哈希值M之前，所述方法还包括：

判断关键文件是否发生修改操作；

在所述关键文件发生修改操作的情况下，确定修改后的关键文件为所述目标关键文件。

其中，所述将度量结果上传至安全管理中心，并将所述度量结果扩展到TPM芯片的平台配置寄存器PCR中，包括：

在所述度量结果指示M不等于B，且C等于B的情况下，向安全管理中心提交告警信息，并将M扩展到所述PCR；

在所述度量结果指示M不等于B，且C不等于B的情况下，向安全管理中心提交告警信息，不扩展所述PCR；

在所述度量结果指示M等于B，且C不等于B的情况下，向安全管理中心提交告警信息，并将关键文件列表的总哈希值扩展到所述PCR；所述关键文件列表中包含至少一个关键文件。

其中，所述方法还包括：

向安全管理中心提交度量审计信息，所述度量审计信息包括下述至少一项：