一种降低可信计算静态度量频率和频次的方法和系统与流程

本发明属于信息安全，涉及一种降低可信计算静态度量频率和频次的方法和系统。

背景技术：

1、可信计算(trusted computing，通称tc)是一项由可信计算组(trustedcomputing group，通称tcg)促进和开发设计的技术。可信计算的关键目标之一是保证操作系统和应用的完整性，从而确定操作系统或者应用能够按照预期的目标，在预定的范围内运行。可信和安全性是紧密联系的，可信是安全性的基本，掌握可信才能够更好地掌握安全性，才可以为搭建更牢固的安全管理体系固本强基。

2、可信度量作为可信计算的核心，是可信计算环节中不可或缺的关键环节。可信度量分为静态度量和动态度量两种。静态度量一般指在系统引导、操作系统启动、应用程序执行以及文件系统访问等环节，基于哈希或者密码学签名算法对静态文件进行可信度量的过程，静态文件包括系统镜像、可执行程序以及依赖库等。在对文件进行可信度量的过程中，需要用到密码学签名算法或者哈希算法，哈希算法或者密码学签名算法使用过程中比较消耗操作系统的cpu资源，尤其是当被可信度量的文件自身比较大时，会对cpu资源造成较大的负担。因此，如何降低可信度量过程对cpu资源消耗的问题，已经成为可信计算领域绕不开的课题。

技术实现思路

1、本发明的目的在于克服上述现有技术的缺点，提供一种降低可信计算静态度量频率和频次的方法和系统，以解决静态度量文件时，对cpu资源消耗过大，给操作系统的cpu资源造成较大负担的问题。

2、为达到上述目的，本发明采用以下技术方案予以实现：

3、一种降低可信计算静态度量频率和频次的方法，包括以下步骤：

4、s1，查询属性向量缓存表，判断策略文件是否为首次可信度量，如果是，执行s2；如果不是，比较策略文件的实际属性与缓存属性是否一致，如果一致，结束判断，如果不一致，执行s2；所述缓存属性为策略文件缓存在属性向量缓存表中的属性，所述实际属性为策略文件的自带属性；

5、s2，可信度量策略文件，并将当前度量值和最后一次度量时间写入在策略文件的属性向量缓存表中。

6、本发明的进一步改进在于：

7、优选的，s1中，所述判断策略文件是否为首次可信度量，包括：在属性向量缓存表中查询策略文件的属性，如果查询不到，则策略文件是首次可信度量。

8、优选的，s1在执行过程中，在操作系统的内核层中实时监控策略文件的属性变化。

9、优选的，s1中，缓存属性与实际属性均包括索引节点、时间信息变量和最后一次磁盘回写时间。

10、优选的，s1中，比较策略文件的实际属性和缓存属性是否一致的具体过程为：判断策略文件的索引节点是否发生变化，如果发生变化，认定不一致，执行s2；如果未发生变化，判断策略文件的时间信息变量是否发生变化，如果未发生变化，不需要可信度量；如果时间信息变量发生变化，判断策略文件的最后一次磁盘回写时间是否发生变化，如果未发生变化，不需要可信度量，否则执行s2。

11、优选的，所述时间信息变量包括最后一次度量时间、最后一次修改时间和最后一次属性变化时间。

12、优选的，最后一次度量时间、最后一次修改时间和最后一次属性变化时间中的任意一个发生变化，认为时间信息变量发生变化。

13、优选的，s1中，不需要可信度量时，从属性向量缓存表中提取出上一次度量结果作为本次的度量结果。

14、一种降低可信计算静态度量频率和频次的系统，包括：

15、度量判断模块，用于查询属性向量缓存表，判断策略文件是否为首次可信度量，如果是，执行度量模块；如果不是，比较策略文件的实际属性与缓存属性是否一致，如果一致，结束判断，如果不一致，执行度量模块；所述缓存属性为策略文件缓存在属性向量缓存表中的属性，所述实际属性为策略文件的自带属性；

16、度量模块，用于可信度量策略文件，将当前度量值和最后一次度量时间写入在策略文件的属性向量缓存表中。

17、优选的，还包括：

18、属性变化监控模块，用于实时监控属性向量缓存表中策略文件的属性变化。

19、与现有技术相比，本发明具有以下有益效果：

20、本发明公开了一种降低可信计算静态度量频率和频次的方法，针对可信计算技术中需要频繁应用密码算法对文件进行可信度量，导致cpu资源消耗大的问题，在对策略文件执行可信度量之前，先依据内存中策略文件的属性向量缓存表，判断策略文件在上一次可信度量的基础上，策略文件的属性是否发生了变化；如果未变，本次不需要进行度量，以上一次的度量结果为依据；如果变化了，需要进行可信度量，同时更新内存中策略文件的属性向量缓存表。在保证可信度量完整性和正确性的同时，降低可信度量的频率和频次，从而降低可信度量对cpu资源的占用和消耗，保证操作系统业务的顺利运行。本发明最大限度地降低可信度量的频率和频次，做到“非必要不度量”，同时保证可信度量的完整性和正确性，进而降低可信度量对cpu资源的占用和消耗。本发明的方法实现简单，安全可靠，能够广泛应用于网络服务器、工业控制、云计算和数据中心等多个领域。

21、进一步的，本发明在操作系统内核层实时监控策略文件的属性变化，同时在内存中构建策略文件的属性向量缓存表。

技术特征：

1.一种降低可信计算静态度量频率和频次的方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种降低可信计算静态度量频率和频次的方法，其特征在于，s1中，所述判断策略文件是否为首次可信度量，包括：在属性向量缓存表中查询策略文件的属性，如果查询不到，则策略文件是首次可信度量。

3.根据权利要求1所述的一种降低可信计算静态度量频率和频次的方法，其特征在于，s1在执行过程中，在操作系统的内核层中实时监控策略文件的属性变化。

4.根据权利要求1所述的一种降低可信计算静态度量频率和频次的方法，其特征在于，s1中，缓存属性与实际属性均包括索引节点、时间信息变量和最后一次磁盘回写时间。

5.根据权利要求4所述的一种降低可信计算静态度量频率和频次的方法，其特征在于，s1中，比较策略文件的实际属性和缓存属性是否一致的具体过程为：判断策略文件的索引节点是否发生变化，如果发生变化，认定不一致，执行s2；如果未发生变化，判断策略文件的时间信息变量是否发生变化，如果未发生变化，不需要可信度量；如果时间信息变量发生变化，判断策略文件的最后一次磁盘回写时间是否发生变化，如果未发生变化，不需要可信度量，否则执行s2。

6.根据权利要求5所述的一种降低可信计算静态度量频率和频次的方法，其特征在于，所述时间信息变量包括最后一次度量时间、最后一次修改时间和最后一次属性变化时间。

7.根据权利要求6所述的一种降低可信计算静态度量频率和频次的方法，其特征在于，最后一次度量时间、最后一次修改时间和最后一次属性变化时间中的任意一个发生变化，认为时间信息变量发生变化。

8.根据权利要求1所述的一种降低可信计算静态度量频率和频次的方法，其特征在于，s1中，不需要可信度量时，从属性向量缓存表中提取出上一次度量结果作为本次的度量结果。

9.一种降低可信计算静态度量频率和频次的系统，其特征在于，包括：

10.根据权利要求9所述的一种降低可信计算静态度量频率和频次的系统，其特征在于，还包括：

技术总结
本发明公开了一种降低可信计算静态度量频率和频次的方法和系统，属于信息安全技术领域。本发明针对可信计算过程中需要频繁应用密码学签名算法对策略文件进行度量，导致CPU资源消耗过多的问题，在对策略文件执行度量之前，先依据内存中策略文件的属性向量缓存表判断，判断策略文件的内容在上一次度量的基础上是否发生了变化；如果未变，本次不需要进行可信度量，以上一次的度量结果为依据；如果发生了变化，需要进行可信度量，同时依据度量结果更新内存中策略文件的属性向量缓存表。本发明在保证可信度量完整性和正确性的同时，降低可信度量的频率和频次，从而降低可信度量对CPU资源的占用和消耗，保证整个操作系统业务的顺利运行。

技术研发人员：胡波,汤福,管磊,翟小君,王宾,吴龙飞,李卓,张勇,李心怡,杨柳,李亚都,孙浩沩,冯震震
受保护的技术使用者：西安热工研究院有限公司
技术研发日：
技术公布日：2024/1/15