基于可信计算安全可信度量分数阶微积分求解系统及方法与流程

本发明属于信息安全技术领域，尤其涉及一种基于可信计算安全可信度量分数阶微积分求解系统及方法。

背景技术：

目前，最接近的现有技术：分数阶微积分(fractionalcalculus)是相对于传统意义上的整数阶微积分提出来的。普通的微积分运算，如一阶微分、二阶微分、一阶积分、高阶积分等都是在积分运算次数为整数情况定义下的微积分运算，而分数阶微积分运算，就是将通常意义下的整数阶微积分运算推广到运算阶次为分数的情况。这里，“分数”的概念不仅仅指的是有理分数，也包括阶次为无理小数和复数的情形，因此，“分数阶”是一个统称。同时，在运算阶次为整数的情况时，分数阶微积分就转化为整数阶微积分运算，从这一性质来说，分数阶微积分运算就可以看作是整数阶微积分运算的推广。可信计算(dependablecomputing)最早出现于20世纪30年代babbage的文论―计算机器中，在1999年ieee太平洋沿岸国家容错系统改名为可信计算会议。同年，intel,microsoft，ibm等业界知名企业联合成立可信计算机平台联盟(trustedcomputingplatformalliance，tcpa)，2003年更名为tcg(trustedcomputinggroup)。tcg组织制定了tpm(trustedplatformmodule)芯片的标准。tpm是一种为计算机提供可信根的芯片。我国国内研究的tcm(trustedcryptographymodule,可信密码模块)是与tpm具有相同功能的可信根芯片。

分数阶微积分运算应用在工程实践中，是近几十年来新兴的研究方向。francis等指出，随着计算技术的发展和对分数阶微积分运算应用研究探索的深入，分数阶微积分运算在多个领域中起到了越来越重要的作用。分数阶微积分运算在机械力学、电子学、控制理论、材料科学、岩石力学、分形理论、电磁场理论、图像与信息处理等方面发挥了重要作用。在信息科学领域中，一些新颖的应用被相继地实现，如系统建模、曲线拟合、信号滤波、模式识别、图像边界提取、系统辨识、系统稳定性分析等等。目前对于可信计算的研究主要集中在产业界，针对可信计算体系结构目前比较典型的框架是intel公司基于lt技术的可信计算框架、微软公司基于ngscb技术的可信计算框架和tcg提出的基于可信pc实现的框架。针对可信计算机硬件平台展开研究针对可信cpu、安全芯片、bios系统和外部设备等。在可信cpu方面研究，提出主要有amd公司研发的opteron处理器，ibm研发的基于secureblue技术的cpu和arm公司基于trustzone技术研发的cpu。在芯片方面的研究，提出有美国国家半导体公司推出的safekeepertrustedi/o的信息系统防护芯片，tbd、infineon等推出的符合tpm1.2规范的芯片。在bios系统方面的研究，提出有phoenix公司的trustedcore和ami公司的amibios8等。在外部设备方面的研究，提出有西捷公司开发的具有加密功能的安全硬盘和ibm公司结合安全主板开发的安全硬盘等。指出分数阶微积分作为一种处理非线性问题的工具，已经在工程实践中众多的方向上显示出了强大的优越性，崭露头角。

综上，由于工程界对其研究时间不长，在应用上还处于发展阶段，远未成熟，还存在很多的问题需要解决，因此，基于可信计算的安全可信度量技术的分数阶微积分算法求解在工程实践中的实现和应用，更显紧迫性与必要性。

综上所述，现有技术存在的问题是：由于工程界对分数阶微积分研究时间不长，在应用上还处于发展阶段，远未成熟，还存在很多的问题需要解决。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种基于可信计算安全可信度量分数阶微积分求解系统及方法。

本发明是这样实现的，一种基于可信计算安全可信度量分数阶微积分求解方法，所述基于可信计算安全可信度量分数阶微积分求解方法包括：

第一步，用户行为度量模型通过usbkey双因素认证机制与tpm认证授权相结合，实现基于用户身份的认证和授权，并根据用户身份获得用户访问控制策略；

第二步，基于用户身份获得基于用户的访问管理策略，对上层基于用户身份加/解密模块和完整性验证模块提供支持；基于用户身份加/解密模块，根据身份，可对用户操作的文件进行加/解密服务，实现用户对文件操作的数据安全保护；

第三步，对文件，可执行应用程序进行完整性验证，保证文件和可执行应用程序的完整性；度量在用户操作系统过程中对用户行为进行可信性度量评估，然后决定当前用户的操作是否符合安全管理策略尽然执行阻止和放心操作。

进一步，所述基于可信计算安全可信度量分数阶微积分求解方法可信度量技术包括：建立度量策略与规则，对要度量对象实施度量，收集度量数据并做处理生成度量集合，用产生的度量值集合与生产者或可信集合给出的预期度量值进行比对，得出度量结果。

进一步，所述基于可信计算安全可信度量分数阶微积分求解方法的可信度量技术包括三个主要部分：可信度量，可信存储与可信远程报告；

可信计算机通过可信计算度量技术来度量验证系统运行的某个程序是否安全可信；pcr与tpm提供的散列函数接口相配合，将可信根建立的信任链扩展下去；tpm提供的散列函数与平台寄存器pcr相配合对pcr值进行更新；

pcr[i]＝sha-1(pcr[i]|new_value)；

旧的pcr值与所增加新数据式方式进行hash得到一个新的pcr值，更新产生的pcr值跟旧值与新增数据的顺序有关。

进一步，所述基于可信计算安全可信度量分数阶微积分求解方法当用户利用正确usbkey登录到系统，并通过tpm获得解密密钥；利用tpm解密用户数据库，为行为度量模块提供用户身份信息，行为度量模型根据用户身份与指定的身份访问策略，进行用户行为的度量；对于整个度量系统，系统的关键部分是可动态加载的基于用户身份的透明加/解密和用户行为度量。

本发明的另一目的在于提供一种基于所述基于可信计算安全可信度量分数阶微积分求解方法的基于可信计算安全可信度量分数阶微积分求解系统，所述基于可信计算安全可信度量分数阶微积分求解系统包括：

策略管理模块，基于用户身份获得基于用户的访问管理策略，对上层基于用户身份加/解密模块和完整性验证模块提供支持；

基于用户身份加/解密模块，根据身份，可对用户操作的文件进行加/解密服务，实现用户对文件操作的数据安全保护；

完整性验证模块是对文件，可执行应用程序进行完整性验证，保证文件和可执行应用程序的完整性；

用户行为度量模块用于度量在用户操作系统过程中对用户行为进行可信性度量评估，然后决定当前用户的操作是否符合安全管理策略尽然执行阻止和放心操作；

审计日志模块，记录用户的违规操作，在整个用户度量系统体系结构中可信链模型，安全内核模块为策略控制和行为度量提供对应的服务，并为用户提供对文件的动态加/解密服务。

本发明的另一目的在于提供一种实现所述基于可信计算安全可信度量分数阶微积分求解方法的信息数据处理终端。

本发明的另一目的在于提供一种应用所述基于可信计算安全可信度量分数阶微积分求解的图像与信息处理系统。

综上所述，本发明的优点及积极效果为：本发明基于对可信系统体系结构的描述，首先构建一个信任根作为整个系统的信任起点，以信任根出发去创建一条信任链，由信任根去度量系统硬件设施，度量通过，把控制权和信任链扩展到硬件设施，再由硬件设施去度量操作系统，度量通过，把控制权和信任链扩展到操作系统，最后再由操作系统去度量应用程序，度量通过，把控制权和信任链扩展到应用程序，这样一级度量认证一级，一级信任一级，从信任根出发把这种信任扩展到整个终端系统。

本发明在可信计算技术的背景下，选择以分数阶微积分运算的实现及其应用为对象，分析分数阶微积分运算的解析算法、提出了数字滤波器实现的新方案，探讨了分数阶微积分运算的典型应用方案，基于tpm安全芯片进行了平台内部可信度量和平台间的可信认证，得到了一个可信安全终端管理系统对提出的可信模型进行了验证。

附图说明

图1是本发明实施例提供的基于可信计算安全可信度量分数阶微积分求解方法流程图。

图2是本发明实施例提供的度量体系结构模型示意图。

图3是本发明实施例提供的安全内核所在的信任链模型示意图。

图4是本发明实施例提供的基于tpm的用户行为测量系统原理图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

近年来随着研究的深入，分数阶微积分正逐渐应用于多个领域中，特别是在信息科学领域中，一些新颖的应用被相继地提出，使得精确的实现实时分数阶微积分运算，成为目前研究的热点。可信计算技术是解决计算机安全问题的主要技术之一，已成为当今信息安全领域理论和应用研究的热点。本发明基于可信计算的安全可信度量技术对于分数阶微积分算法求解，提出基于usb-key用户身份的可信度量方法，针对用户的私密数据，采用加/解密模块进行安全保护，防止数据通过非法拷贝泄露。将基于riemann-liouville定义形式的分数阶微积分算法进行推广，得到用于处理离散无限长序列的快速实时算法，提出基于dsp技术的滤波器实现方案，仿真结果表明上述方法是有效的。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的基于可信计算安全可信度量分数阶微积分求解方法流程图。

s101：用户行为度量模型通过usbkey双因素认证机制与tpm认证授权相结合，实现基于用户身份的认证和授权，并根据用户身份获得用户访问控制策略；

s102：基于用户身份获得基于用户的访问管理策略，对上层基于用户身份加/解密模块和完整性验证模块提供支持；基于用户身份加/解密模块，根据身份，可对用户操作的文件进行加/解密服务，实现用户对文件操作的数据安全保护；

s103：对文件，可执行应用程序进行完整性验证，保证文件和可执行应用程序的完整性；度量在用户操作系统过程中对用户行为进行可信性度量评估，然后决定当前用户的操作是否符合安全管理策略尽然执行阻止和放心操作。

下面结合附图对本发明的应用原理作进一步的描述。

1.基于可信度量技术的分数阶微积分算法

1.1可信度量技术

度量是用来衡量对象的一种方法，它是根据一定规则，采用可行的手段对某些实体对象的属性进行测量，并给出量化值，通过测量得到的量化值与预先存储的标准值进行比对的过程，其度量的体系架构如图3所示：

其度量的主要流程为，建立度量策略与规则，对要度量对象实施度量，收集度量数据并做处理生成度量集合，用产生的度量值集合与生产者或可信集合给出的预期度量值进行比对，得出度量结果。可信度量技术主要包括三个主要部分：可信度量，可信存储与可信远程报告。可信计算机通过可信计算度量技术来度量验证系统运行的某个程序是否安全可信，保证可信平台的可信状态。对于数据的完整性度量来说，tpm提供了计算摘要值的散列函数和分组密钥，同时还为度量结果的存储和更新提供了安全的存储部件平台配置寄存器(pcr，platformconfigurationregister)，当平台采集对象预期值时，会把所采集的度量对象预期值存储到平台配置寄存器中，这样pcr与tpm提供的散列函数接口相配合，便可将可信根建立的信任链扩展下去。tpm提供的散列函数与平台寄存器pcr相配合对pcr值进行更新如(1)式所示。

pcr[i]＝sha-1(pcr[i]|new_value)(1)

旧的pcr值与所增加新数据已(1)式方式进行hash得到一个新的pcr值，这样更新产生的pcr值跟旧值与新增数据的顺序有关，其进行sha-1算法的旧值pcr与新增数据顺序是不可交换的。即更新pcr如果没有旧值pcr的值为基础，其更新计算是不可进行的。

1.2基于usbkey用户身份可信度量分数阶微积分求解模型

用户行为度量模型通过usbkey双因素认证机制与tpm认证授权相结合，实现基于用户身份的认证和授权，并根据用户身份获得用户访问控制策略。策略管理模块基于用户身份获得基于用户的访问管理策略，对上层基于用户身份加/解密模块和完整性验证模块提供支持；基于用户身份加/解密模块，根据身份，可对用户操作的文件进行加/解密服务，实现用户对文件操作的数据安全保护。完整性验证模块是对文件，可执行应用程序进行完整性验证，保证文件和可执行应用程序的完整性。用户行为度量模块用于度量在用户操作系统过程中对用户行为进行可信性度量评估，然后决定当前用户的操作是否符合安全管理策略尽然执行阻止和放心操作。审计日志模块记录用户的违规操作，在整个用户度量系统体系结构中可信链模型如图4所示，安全内核模块为策略控制和行为度量提供对应的服务，并为用户提供对文件的动态加/解密服务。

当用户利用正确usbkey登录到系统，并通过tpm获得解密密钥。利用tpm解密用户数据库，为行为度量模块提供用户身份信息，行为度量模型根据用户身份与指定的身份访问策略，进行用户行为的度量。对于整个度量系统，系统的关键部分是可动态加载的基于用户身份的透明加/解密和用户行为度量。

本发明提出基于可信度量技术的分数阶微积分算法，设计基于usbkey用户身份可信度量分数阶微积分求解模型，在模型中，本发明以usbkey和可信平台模块的相互认证为基础，实现基于用户身份的认证和授权，通过建立基于用户身份的行为信任链和数据安全加/解密功能，实现了基于用户身份分级的用户行为度量和数据安全保证，根据度量模型编程完成了实验模型系统，并针对实验模型系统进行了安全分析与性能分析。本发明以度量进程调用到内存中的页来保证进程的程序区不被篡改和以系统调用返回地址序列作为行为特征方案的可行性，最后针对提出方案给出了系统设计与实现。本发明提出的这种动态度量方法可以侦测代码区篡改、度量系统调用序列，将软件安全提高到了一个新的高度，并对开启度量系统性能消耗上进行了测试，在特定高安全环境下，牺牲系统部分性能是可以接受的。

应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。