[发明专利]一种远程网络服务的完整性检验方法

摘要

本发明提供一种远程网络服务的完整性检验方法，包括网络服务检验协议和服务器端的完整性检验机制：协议规定客户通过向远程服务器的特定网络端口发送特定格式的报文请求检验指定网络服务的完整性，报文中指定待检验网络服务使用的侦听端口；远程服务器在接受检验请求后，基于网络服务策略检查对应的服务进程、服务程序映像文件等相关文件的完整性以判定网络服务的当前安全状态，并将检验结果回复客户，从而建立远程客户访问网络服务的可信路径。该方法通用于不同网络服务且对应用透明，能够兼容使用普通服务器端和客户端程序。并且，该方法可以由服务器端的一个可信模块或可信进程实施，其可靠性不依赖于具体网络服务程序、不受恶意应用程序侵扰。

主权项

1.一种远程网络服务的完整性检验方法，首先建立一个网络服务检验协议，规定客户通过向远程服务器的特定网络端口portv发送特定格式的检验请求报文来请求服务器检验指定网络服务的完整性，所述报文中包含待检验网络服务对应的网络端口ports；所述远程服务器维护一个可配置的网络服务策略库，库中每项网络服务策略指定了使用给定侦听端口的网络服务对应的服务程序文件、在服务过程中可能加载的动态链接库文件、需要的相关数据和配置文件、以及上述各个文件的完整性校验值；所述远程服务器在网络端口portv上侦听接受或截获客户发来的检验请求报文，得到待检验网络服务对应的网络端口ports后，按照以下步骤检验服务的完整性：a.使用ports值检索网络服务策略库，若找到一项策略的网络端口等于ports则进入步骤b，否则检验失败；b.检查服务器系统中当前在网络端口ports上侦听的进程，若有进程ps正在侦听端口ports则进入步骤c，否则检验失败；c.检查进程ps当前运行的可执行程序映像是否与网络服务策略指定的服务程序文件相符，若符合则进入步骤d，否则检验失败；d.检查进程ps当前加载的动态链接库，若当前没有加载动态链接库或者加载的动态链接库都属于网络服务策略指定的动态链接库文件集合，则进入步骤e，否则检验失败；e.重新计算网络服务策略指定的网络服务相关文件的完整性校验值，若计算得出全部文件的完整性校验值都与网络服务策略列出的值一致，则检验成功，否则检验失败，其中所述的网络服务相关文件包括服务程序文件、各动态链接库文件及各数据和配置文件；最后，所述远程服务器将检验成功或失败的结果通知请求检验的客户。