一种基于可信状态的访问控制方法与流程

本发明涉及信息安全技术领域，具体涉及一种基于可信状态的访问控制方法，尤其是企业内网环境下核心资源的保护。

背景技术：

随着黑客技术的发展，攻击目标已由传统的操作系统、应用层面转向了BIOS、BootLoader等层面。此时，杀毒软件、防火墙等防御手段还未启动，如RootKit、BootKit攻击，攻击一旦得手，恶意程序将获得与系统相同的优先级，因此可以躲避杀毒软件的查杀。该攻击会对主机上的隐私信息造成极大的威胁，同时，如果该主机联入了企业内网，恶意程序一旦获取了企业的核心资源或数据，企业将面临巨大损失。

技术实现要素：

本发明要解决的技术问题是：本发明针对以上问题，提供一种基于可信状态的访问控制方法，在传统的访问控制技术中加入主机可信状态验证，一旦发现主机的可信状态遭到破坏，即拒绝其访问内网中的关键资源。

本发明所采用的技术方案为：

一种基于可信状态的访问控制方法，所述方法通过利用TPM芯片的硬件，收集主机启动过程中关键程序的代码或配置信息的度量信息，作为访问资源的验证条件，内网环境下只有可信主机拥有访问关键资源的资格；

所述主机在启动过程中将关键部件的度量值（即关键部件代码或配置文件的哈希值）扩展至TPM芯片中的PCR（Platform Configuration Register，平台配置寄存器）中，访问企业关键资源时，访问控制节点下发可信信息请求至计算主机代理程序，代理程序获取存放在PCR中的可信信息发送至访问控制节点，访问控制节点将其与存放在白名单中的可信状态比对，判断本次的启动过程中的关键部件（如BIOS、BootLoader、OS Kernel等）是否遭受篡改，如校验结果一致，则访问控制节点允许该主机访问关键资源，否则拒绝访问请求。

所述可信主机为安装TPM2.0芯片的计算机，其BIOS和BootLoader（引导装载程序）需符合TCG（Trusted Computing Group，可信计算组织）的规范，根据TCG规范，计算机在启动过程中，每一级将控制权交给下一级前需计算下一级的度量值，并将该值扩展至对应的PCR中，比如，BootLoader将控制权交给系统内核前需计算内核的度量值，并将其扩展至PCR14中。

所述计算主机代理程序为安装在可信计算节点上的程序，当计算机访问核心资源时会收集本主机中TPM芯片中PCR的数据将其上传至访问控制节点，访问控制主机会将其与可信值比对以判断是否允许该主机访问关键资源。

所述访问控制节点为控制核心资源访问的主机，其逻辑位于可信主机与核心资源之间，根据主机的可信状态赋予其访问资源的资格。

所述方法操作流程如下：

可信主机发起访问核心资源的请求，访问控制节点截获该请求，并从该请求中获取主机信息，判断该主机是否已注册；

如该主机没有在访问控制节点，则访问控制节点下发注册请求，对应主机的代理程序上传可信信息；

访问控制节点接收到该信息后将其存放到白名单中；

如果该主机已注册，则访问控制节点向对应主机下发获取可信信息请求，接收到相应信息后，将其与白名单中对应的内容比对，如果本次可信信息与白名单中的对应内容一致，则允许该主机访问核心资源，否则拒绝本次访问。

本发明的有益效果为：

本发明在传统的访问控制技术中加入主机可信状态验证，一旦发现主机的可信状态遭到破坏，即拒绝其访问内网中的关键资源，利用TPM芯片的硬件特性作为访问资源的验证条件，保证内网环境下只有可信主机拥有访问关键资源的资格。

附图说明

图1为本发明方法系统架构示意图；

图2为本发明方法流程图。

具体实施方式

下面结合说明书附图，根据具体实施方式对本发明进一步说明：

实施例1：

一种基于可信状态的访问控制方法，所述方法通过利用TPM芯片的硬件，收集主机启动过程中关键程序的代码或配置信息的度量信息，作为访问资源的验证条件，内网环境下只有可信主机拥有访问关键资源的资格。

实施例2

如图1所示，在实施例1的基础上，本实施例所述主机在启动过程中将关键部件的度量值（即关键部件代码或配置文件的哈希值）扩展至TPM芯片中的PCR（Platform Configuration Register，平台配置寄存器）中，访问企业关键资源时，访问控制节点下发可信信息请求至计算主机代理程序，代理程序获取存放在PCR中的可信信息发送至访问控制节点，访问控制节点将其与存放在白名单中的可信状态比对，判断本次的启动过程中的关键部件（如BIOS、BootLoader、OS Kernel等）是否遭受篡改，如校验结果一致，则访问控制节点允许该主机访问关键资源，否则拒绝访问请求。

实施例3

在实施例2的基础上，本实施例所述可信主机为安装TPM2.0芯片的计算机，其BIOS和BootLoader（引导装载程序）需符合TCG（Trusted Computing Group，可信计算组织）的规范，根据TCG规范，计算机在启动过程中，每一级将控制权交给下一级前需计算下一级的度量值，并将该值扩展至对应的PCR中，比如，BootLoader将控制权交给系统内核前需计算内核的度量值，并将其扩展至PCR14中。

实施例4

在实施例2的基础上，本实施例所述计算主机代理程序为安装在可信计算节点上的程序，当计算机访问核心资源时会收集本主机中TPM芯片中PCR的数据将其上传至访问控制节点，访问控制主机会将其与可信值比对以判断是否允许该主机访问关键资源。

实施例5

在实施例4的基础上，本实施例所述访问控制节点为控制核心资源访问的主机，其逻辑位于可信主机与核心资源之间，根据主机的可信状态赋予其访问资源的资格。

实施例6

如图2所示，在实施例5的基础上，本实施例所述方法操作流程如下：

可信主机发起访问核心资源的请求，访问控制节点截获该请求，并从该请求中获取主机信息，判断该主机是否已注册；

如该主机没有在访问控制节点，则访问控制节点下发注册请求，对应主机的代理程序上传可信信息；

访问控制节点接收到该信息后将其存放到白名单中；

如果该主机已注册，则访问控制节点向对应主机下发获取可信信息请求，接收到相应信息后，将其与白名单中对应的内容比对，如果本次可信信息与白名单中的对应内容一致，则允许该主机访问核心资源，否则拒绝本次访问。

实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。