本发明专利技术公开了一种数据处理方法和装置。其中,该方法包括:将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的特征值,并对特征值与预存的可信基准特征值进行匹配;依据匹配结果执行对应操作。本发明专利技术解决了由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。
【技术实现步骤摘要】
数据处理方法和装置
本专利技术涉及密码运算领域,具体而言,涉及一种数据处理方法和装置。
技术介绍
相关技术中,TCG的TPM可信标准,没有校验度量对象完整性的流程,只能够在启动完成后,检查每个度量对象的度量值,与可信的基准值是否相等。相关技术中可以采用在TCG/TPM标准中加入了度量对象完整性可信校验的流程的方式,进行度量对象的可信校验,例如,将度量对象的哈希值与存储在可信的NV空间中的可信标准值进行比较,但是可信基准哈希值存储在NV空间中,会由于度量对象的升级、更新或者补丁等造成度量对象的哈希之变化,导致完整性校验失败。针对上述由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供了一种数据处理方法和装置,以至少解决由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。根据本专利技术实施例的一个方面,提供了一种数据处理方法,包括:将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的特征值,并对所述特征值与预存的可信基准特征值进行匹配;依据匹配结果执行对应操作。根据本专利技术实施例的另一方面,还提供了一种数据处理装置,包括:重启模块,用于将配置后的度量对象按照信任链顺序进行重启;校验模块,用于逐项度量重启后的度量对象的特征值,并对所述特征值与预先存储的可信基准特征值进行匹配;管理模块,用于依据匹配结果执行对应操作。根据本专利技术实施例的另一方面,还提供了一种数据处理方法,包括:将配置后的度量对象按照信任链顺序进行重启;逐项对重启后的度量对象进行完整性校验;依据校验结果执行对应操作。根据本专利技术实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述的数据处理方法。在本专利技术实施例中,采用将配置后的度量对象按照信任链顺序进行重启;逐项度量重启后的度量对象的特征值,并对所述特征值与预存的可信基准特征值进行匹配;依据匹配结果执行对应操作的方式,通过对信任链中的各个度量对象的特征值的检测,达到了对信任链中的度量对象的可信度进行有效检测的目的,从而实现了提高系统的可信度,降低启动失败的概率的技术效果,进而解决了由于相关技术中缺乏完整的可信策略管理方案,易导致系统启动失败的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是本专利技术实施例的一种数据处理方法的计算机终端的硬件结构框图;图2是相关技术中信任链传递的流程图;图3是相关技术中可信完整性校验的流程图;图4是根据本专利技术实施例1的一种数据处理方法的流程图;图5是根据本专利技术实施方式的一种数据处理方法的流程图;图6是根据本专利技术实施方式的一种可信度量对象监控方法的流程图;图7是根据本专利技术实施方式的一种系统重启监控方法的流程图;图8是根据本专利技术实施例2的一种数据处理装置的示意图;图9是根据本专利技术实施例3的一种数据处理方法的流程图;图10是根据本专利技术实施例4的一种计算机终端的结构框图。具体实施方式为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。TCG(TrustedComputingGroup):国际可信计算组,由AMD、Hewlett-Packard、IBM、Intel、Microsoft等组成。可信计算(TrustedComputing):国际可信计算组TCG开发和推广的技术,在计算和通信系统中使用基于硬件安全模块支持下的可信计算平台,以提高系统整体的安全性。使用可信计算,计算机将一直以预期的方式运行,这些行为将由计算机硬件和程序共同保证,通过使用系统其余部分无法访问的硬件安全模块来实现此行为。可信平台模块(TPM,TrustedPlatformModel):TPM是一种安全密码处理器的国际标准,由TCG撰写,通过专门的微控制器将加密密钥集成到设备中来保护硬件。TPM安全芯片是指符合TPM标准的安全芯片,一般通过物理方式被强绑定到计算平台,它能有效地保护PC、防止非法用户访问。可信平台控制模块(TPCM,TrustedPlatformControlModel):TPCM作为中国国内自主可控的可信节点植入可信源根,在TPM基础上加以信任根控制功能,实现了以密码为基础的主动控制和度量;TPCM先于CPU启动并对BIOS进行验证,由此改变了TPM作为被动设备的传统思路,实现了TPCM对整个平台的主动控制。PCR(PlatformConfigurationRegisters):由可信安全芯片提供的平台配置寄存器,用于存放度量扩展值,向外证明平台完整性,同时可用于证明度量日志的完整性。NV空间(Non-VolatileSpace):由可信安全芯片提供的非易失性存储空间,用于提供对敏感信息的可信存储,可供用户分配使用。实施例1根据本专利技术实施例,还提供了一种数据处理方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本专利技术实施例的一种数据处理方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的本文档来自技高网...
【技术保护点】
1.一种数据处理方法,包括:/n将配置后的度量对象按照信任链顺序进行重启;/n逐项度量重启后的度量对象的特征值,并对所述特征值与预存的可信基准特征值进行匹配;/n依据匹配结果执行对应操作。/n
【技术特征摘要】
1.一种数据处理方法,包括:
将配置后的度量对象按照信任链顺序进行重启;
逐项度量重启后的度量对象的特征值,并对所述特征值与预存的可信基准特征值进行匹配;
依据匹配结果执行对应操作。
2.根据权利要求1所述的方法,其中,在将配置后的度量对象按照信任链顺序进行重启之前,所述方法还包括:
在所述特征值包括哈希值的情况下,在安全芯片中配置启动过程中的度量对象;其中,配置所述度量对象的可信基准哈希值,并将所述可信基准哈希值存至所述安全芯片的存储空间中;所述存储空间包括:非易失性存储空间。
3.根据权利要求1所述的方法,其中,逐项度量重启后的度量对象的特征值,并对所述特征值与预存的可信基准特征值进行匹配包括:
在所述特征值包括哈希值的情况下,逐项度量重启后的度量对象的哈希值,并对所述哈希值与预存的可信基准哈希值进行匹配。
4.根据权利要求1至3中任意一项所述的方法,其中,依据匹配结果执行对应操作包括:
在所述特征值包括哈希值的情况下,若所述哈希值与预先存储的可信基准哈希值不相同,则校验失败,阻塞启动,进入特权强制模式;
若所述哈希值与预先存储的可信基准哈希值相同,则对所述度量对象进行监控,并执行系统重启监控操作。
5.根据权利要求4所述的方法,其中,对所述度量对象进行监控包括:
将当前度量对象的哈希值标记为第一数值;
读取所述当前度量对象在安全芯片中存储的可信基准哈希值,得到第二数值;
判断所述第一数值是否等于所述第二数值;
在判断结果为是的情况下,校验成功,并执行与所述当前度量对象相邻的度量对象的校验过程;
在判断结果为否的情况下,校验失败,触发系统告警,其中,所述系统告警包括:通知系统管理员是否主动更新了度量对象。
6.根据权利要求5所述的方法,其中,触发系统告警之后,所述方法还包括:
接收所述系统告警的反馈信息;
在所述反馈信息指示所述度量对象更新为所述系统管理员操作的情况下,更新所述度量对象的可信基准哈希值,并将更新后的所述可信基准哈希值存至所述安全芯片的存储空间中,并执行与所述当前度量对象相邻的度量对象的校验过程;
在所述反馈...
【专利技术属性】
技术研发人员:肖鹏,付颖芳,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。