[go: up one dir, main page]

DE112005002985T5 - Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer - Google Patents

Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer Download PDF

Info

Publication number
DE112005002985T5
DE112005002985T5 DE112005002985T DE112005002985T DE112005002985T5 DE 112005002985 T5 DE112005002985 T5 DE 112005002985T5 DE 112005002985 T DE112005002985 T DE 112005002985T DE 112005002985 T DE112005002985 T DE 112005002985T DE 112005002985 T5 DE112005002985 T5 DE 112005002985T5
Authority
DE
Germany
Prior art keywords
file
trusted
integrity
files
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE112005002985T
Other languages
English (en)
Other versions
DE112005002985B4 (de
Inventor
Wei Wei
Chaoran Peng
Ping Yin
Yonghua Liu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Beijing Ltd
Original Assignee
Lenovo Beijing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Beijing Ltd filed Critical Lenovo Beijing Ltd
Publication of DE112005002985T5 publication Critical patent/DE112005002985T5/de
Application granted granted Critical
Publication of DE112005002985B4 publication Critical patent/DE112005002985B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer, wobei vorab in dem Betriebssystem (OS) des Computers ein Authentifizierungsmodul für vertrauenswürdige Dateien und ein Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes eingerichtet werden und ein geschütztes OS geladen und betrieben wird, das Verfahren umfasst das Folgende:
das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes unterbricht jedes Dateioperationsverhalten, prüft, ob die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist oder nicht, und verarbeitet die Datei, wenn sie vertrauenswürdig ist, entsprechend ihrem Operationstyp, und verarbeitet die Datei andernfalls, nachdem ihre Berechtigung verifiziert ist;
das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes authentifiziert, zeitangepasst, ob der Ablaufzustand und die Integrität für alle Prozesscodes normal sind oder nicht, gibt, falls ein Prozess unnormal ist, einen Alarm, sichert Felddaten, die durch den Prozess ausgeführt werden, und stellt den Prozess ein, und setzt andernfalls den normalen Ablauf fort.

Description

  • HINTERGRUND DER ERFINDUNG
  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft das technische Gebiet der Computersicherheit, insbesondere ein Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer.
  • BESCHREIBUNG DES STANDS DER TECHNIK
  • Auf Grund ihm eigener Mängel neigt das Computerbetriebssystem (OS) zu einem Totalausfall, wenn es angegriffen wird, speziell in dem Fall eines unbekannten Angriffs oder eines neuen Virus. Infolgedessen kann das Gesamtsystem seinen Betrieb nicht fortsetzen oder selbst dann, wenn es ihn fortsetzen kann, können zahlreiche Probleme auftreten. Dadurch bedingt stellen sich bei einem Benutzer Zweifel ein, ob die Ablaufumgebung in dem Computer vertrauenswürdig ist, und infolgedessen könnte der Benutzer zu besorgt sein, um auf dem Computer die Verarbeitung und den Austausch von vertraulichen Informationen auszuführen, wie dies beispielsweise bei elektronische Zahlungen, bei elektronische Dokumenten usw. der Fall ist. Dies ist in jeder Hinsicht unvorteilhaft.
  • Derzeit wird üblicherweise versucht, die obigen Probleme mit mehreren Lösungen zu überwinden, die die folgenden sind:
    Das erste Verfahren ist, eine Antivirussoftware anzuwenden. Spezieller erkennt die Antivirussoftware den Angriff aus einem Netzwerk durch eine Methode der Merkmalabgleichung. Sie isoliert oder desinfiziert alle infizierten Dateien, wenn der Virus gefunden wird, so dass die Sicherheit des Computers garantiert werden kann.
  • Dieses Verfahren weist jedoch den Nachteil auf, dass es den Angriff eines unbekannten Virus nicht erkennen kann. Infolgedessen kann das Computersystem keinerlei Gegenmaßnahmen einleiten, bevor eine neue Virusbibliothek, eine Regelbibliothek und ein neues Patch-Programm veröffentlicht sind.
  • Das zweite Verfahren ist, eine Host-Invasions-Erkennungssoftware anzuwenden. Speziell erkennt die Host-Invasions-Erkennungssoftware einen Angriff unter Verwendung einer gegebenen Merkmalsregelbibliothek und löst einen Alarm aus.
  • Dieses Verfahren weist einen Nachteil auf, der dem des ersten Verfahrens gleichartig ist, d. h., dass es den Angriff durch einen neuen Virus nicht erkennen kann. Infolgedessen kann das Computersystem vor der Veröffentlichung einer neuen Virusbibliothek, einer Regelbibliothek und eines Patch-Programms keinerlei Gegenmaßnahmen einleiten. Mittlerweile ist die Host-Invasions-Erkennungssoftware selbst für derartige Angriffe anfällig.
  • Das dritte Verfahren ist die Verwendung einer physikalischen Trennung durch Dualnet, eines Computers mit physikalisch getrenntem Dualnet oder eines Verfahrens des OS-Umschaltens im Dualmodus. Speziell garantiert das Verfahren die Sicherheit der Computer-Ablaufumgebung durch Dualnet oder Umschalten im Dualmodus.
  • Bedauerlicherweise führt dieses Verfahren zu höheren Kosten für den Computer selbst und der Benutzer muss außerdem den Modus des Computers umschalten und die Nutzung ist infolgedessen unbequem.
  • Das vierte Verfahren ist die Verwendung einer Prozessisolationstechnik. Im Einzelnen wird für einen Prozess ein Identifikations-Flag eingerichtet und ein Besucher des Prozesses wird diskriminiert, während verschiedene Prozesse in dem Prozesspool in Bezug auf ihre Nutzung für sowohl den physikalischen Speicher und die CPU als auch in Hinsicht auf die Systemleistung isoliert und überwacht werden, um Speicherüberlauf zu verhindern, wenn mehrere Prozesse ablaufen.
  • Dieses Verfahren hat einen dahingehenden Nachteil, dass nicht erkannt wird, ob ein Prozess selbst angegriffen wurde. Daher ist die Sicherheit des Computers noch immer gefährdet.
  • Die obigen Verfahren dienen jeweils als eine Sicherheitsmaßnahme gegen verschiedene Angriffe. Jedoch können sie nicht gewährleisten, dass die Ablaufumgebung in dem Computer geschützt und vertrauenswürdig ist.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • In Anbetracht der obigen Probleme ist es das Ziel der vorliegenden Erfindung, ein Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in dem Computer bereitzustellen, das den Schutz und die Vertrauenswürdigkeit der Ablaufumgebung in dem Computer im Wesentlichen garantieren kann und die Benutzeranwendung vereinfacht.
  • Um die obige Aufgabe zu lösen, wird die technische Lösung der Erfindung durch ein Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in dem Computer umgesetzt, das ein Authentifizierungsmodul für vertrauenswürdige Dateien und ein Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes in dem Betriebssystem (OS) des Computers vorab einrichtet und ein sicheres OS lädt und ablaufen lässt. In diesem Verfahren unterbricht das Authentifizierungsmodul für vertrauenswürdige Dateien jedes Dateioperationsverhalten, prüft, ob die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist oder nicht und verarbeitet die Datei entsprechend ihrem Operationstyp, wenn sie vertrauenswürdig ist, und verarbeitet die Datei andernfalls, wenn sie keine vertrauenswürdige Datei ist, nachdem ihre Berechtigung verifiziert ist. Anschließend authentifiziert das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zeitangepasst, ob der Ablaufzustand und die Integrität für alle Prozesse normal sind oder nicht, gibt, wenn ein Prozess unnormal ist, einen Alarm, sichert Felddaten, die durch den Prozess abgewickelt werden, und stellt im Anschluss daran den Prozess ein und setzt andernfalls den normalen Ablauf fort.
  • Bevorzugt umfassen das Laden und das Ablaufenlassen eines gesicherten OS das Voreinrichten eines Basis-Dateiverwaltungssystems und einer Liste vertrauenswürdiger Dateien, die die Namen für OS-Kerndateien, die durch einen Benutzer vorher festgelegt sind, für Dateien, die sich auf Startup- und Anwendungssoftware beziehen, die durch den Benutzer zu schützen sind, enthalten, Einrichten aller Daten, die Sicherheitsgarantie erfordern, und Integritätswerte davon in einer Sicherheitsspeicherkomponente und Einrichten in der Basisfirmware des Computers eines Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmoduls des vertrauenswürdigen OS. Der Prozess des Ladens und enswürdigen OS. Der Prozess des Ladens und Ablaufenlassens des OS umfasst die folgenden Schritte:
    • a. nach einer erfolgreichen Authentifzierung und dem Startup der Basisfirmware in dem Computer prüft die Basisfirmware, ob der Integritätswert des Basis-Dateiverwaltungssystems mit einem in der Sicherheitsspeicherkomponente vorab gespeicherten Integritätswert konsistent ist oder nicht, und startet, falls er es ist, die Basisfirmware das Basisdateiverwaltungssystem und geht weiter zu Schritt b, andernfalls wird System-Startup unterbrochen,
    • b. das Basis-Dateiverwaltungssystem startet das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS, das seinerseits einen Plattenparameter aus einem Plattensektor ausliest und prüft, ob der Integritätswert des Plattenparameters mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn er konsistent ist, wird Schritt c ausgeführt, andernfalls extrahiert das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS Plattendaten, die vorab in der Sicherheitsspeicherkomponente gespeichert sind, schreibt diese in den gegenwärtigen Plattensektor und geht dann weiter zu Schritt c,
    • c. das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS prüft, ob der Integritätswert der vertrauenswürdigen Datei mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn er konsistent ist, wird Schritt d ausgeführt, andernfalls wird eine vorab in der Sicherheitsspeicherkomponente gespeicherte Liste vertrauenswürdiger Dateien extrahiert, um die gegenwärtige Liste vertrauenswürdiger Datei zu ersetzen, und im Anschluss daran wird Schritt d ausgeführt,
    • d. das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS liest die OS-Kerndateien in der Liste vertrauenswürdiger Dateien und prüft, ob der Integritätswert der OS-Kerndatei mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn er konsistent ist, wird das OS geladen und betrieben, andernfalls wird eine in der Sicherheitsspeicherkomponente vorab gespeicherte OS-Kerndatei extrahiert, um die gegenwärtigen OS-Kerndateien zu ersetzen, und anschließend wird das OS geladen und betrieben.
  • Bevorzugt befindet sich das Basis-Dateiverwaltungssystem in der Sicherheitsspeicherkomponente, in der Basisfirmware oder in dem OS und die Liste vertrauenswürdiger Dateien befindet sich in der Sicherheitsspeicherkomponente oder in dem OS.
  • Bevorzugt werden alle Daten, die Sicherheitsgarantie in der Sicherheitsspeicherkomponente erfordern, entsprechend der Anforderung des Systemablaufs und der Benutzeranforderung festgelegt und alle Daten, die Sicherheitsgarantie erfordern, umfassen, jedoch nicht darauf begrenzt, Daten für die Basisfirmware, das OS, verschiedene Anwendungssoftware und Dateien sowie auch den Plattenparameter.
  • Bevorzugt enthält der Plattenparameter, jedoch nicht darauf beschränkt, Haupt-Bootsektorparameter, Partitions-Bootsektorparameter und Dateiallokationstabellenparameter.
  • Bevorzugt umfasst die Methode für das Authentifizierungsmodul für vertrauenswürdige Dateien zum Prüfen, ob die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist oder nicht, das Prüfen, ob die gegenwärtige Datei, die abzuwickeln ist, eine Datei in der Liste der vertrauenswürdigen Dateien ist oder nicht, und wenn sie es ist, das Festlegen der gegenwärtigen Datei, die abzuwickeln ist, als eine vertrauenswürdige Datei, andernfalls das Bestimmen, dass die gegenwärtige Datei, die abzuwickeln ist, eine nicht vertrauenswürdige Datei ist.
  • Bevorzugt ist die Verarbeitung für eine vertrauenswürdige Datei entsprechend dem Operationstyp der gegenwärtigen Datei folgende: Prüfen, ob die Art des Operationsverhaltens der gegenwärtigen Datei Auslesen oder Modifizieren ist, und
    wenn sie Auslesen ist, Prüfen, ob der Integritätswert der gegenwärtigen Datei, die abzuwickeln ist, konsistent mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, ist oder nicht, und wenn konsistent, Laden der gegenwärtigen Datei, die abzuwickeln ist, in den Speicher und Zulassen des Auslesens von einem Besucher, und falls nicht konsistent, Extrahieren einer vorab gespeicherten vertrauenswürdigen Datei aus der Sicherheitsspeicherkomponente, um die gegenwärtige Datei zu ersetzen, und Laden der Datei, die abzuwickeln ist, in den Speicher und Zulassen des Auslesens von dem Besucher und
    wenn sie Modifizieren ist, Prüfen, ob der Computer gegenwärtig in einem geschützten Zustand ist, und anschließend Zulassen, dass der Benutzer die Liste vertrauenswürdiger Dateien modifiziert, erneutes Berechnen der Integritätswerte für die Liste vertrauenswürdiger Dateien und der modifizierten Datei und Speichern der neuen Integritätswerte in der Sicherheitsspeicherkomponente.
  • Bevorzugt umfasst das Modifizieren, jedoch nicht darauf beschränkt, Lese- und/oder Attributmodifikation und/oder Löschen und/oder Erzeugung neuer Dateien, wobei der geschützte Zustand bedeutet, dass der Computer keine physikalische Verbindung mit einem Netzwerk hat und dass die Liste vertrauenswürdiger Dateien in einem Modifizierungsfreigabezustand ist.
  • Bevorzugt umfasst das Verfahren des Weiteren die Bereitstellung eines physikalischen Schalters zur Modifizierungsfreigabe und das Bestimmen auf Basis des EIN- oder AUS-Zustands des physikalischen Schalters, ob die vertrauenswürdige Datei gegenwärtig in dem Modifizierungsfreigabezustand ist oder nicht.
  • Bevorzugt ist die Verarbeitung für eine nicht vertrauenswürdige Datei, nachdem ihre Berechtigung authentifiziert ist, folgende: nach der Beendigung der Virenerkennung auf der nicht vertrauenswürdigen Datei Laden eines Prozesses, der der Datei entspricht, in eine virtuelle Maschine, die das Verhalten des Prozesses überwacht und einen Alarm gibt und den Prozess einstellt, wenn ein unzulässiges Verhalten in dem Prozess festgestellt ist, und falls kein unzulässiges Verhalten festgestellt ist, die Verarbeitung der Datei zulässt.
  • Bevorzugt umfasst das unzulässige Verhalten wenigstens unberechtigtes Modifizieren auf OS-Dateien, unberechtigtes Modifi zieren auf der Platte und/oder unzulässige Grenzverletzung beim Speicherzugriff und/oder unberechtigtes Springen.
  • Bevorzugt ist der Prozess für das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zum zeitangepassten Authentifizieren, ob der Ablaufzustand des gesamten Prozesscodes normal ist oder nicht: Prüfen, ob der Programmzeiger für einen Prozess über die durch den Prozess zugeordnete physikalische Speicheradresse hinausgeht oder nicht und/oder ob der Prozesscode die zugeordnete physikalische Speicheradresse überschreitet oder nicht.
  • Der Prozess für das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zum zeitangepassten Authentifizieren, ob die Integrität des gesamten Prozesscodes normal ist oder nicht, ist folgender: Berechnen des Integritätswertes des Prozesscodes in dem Speicher für einen Prozess entsprechend einer Datei, wenn eine Datei zum ersten Mal in den Speicher geladen wird, Speichern des Integritätswertes in der Sicherheitsspeicherkomponente und zeitangepasstes Authentifizieren, ob der Integritätswert aller gegenwärtigen Prozesscodes mit dem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert wird, konsistent ist oder nicht, und wenn er es ist, Bestimmen des Prozesscodes als normal, andernfalls Bestimmen des Prozesscodes als unnormal.
  • Bevorzugt umfasst das Verfahren des Weiteren, wenn das Authentifizierungsmodul für vertrauenswürdigen Prozessspeichercode authentifizier hat, dass der Ablaufzustand und/oder die Integrität des Prozesscodes unnormal ist, das erneute Authentifizieren der Datei, die dem unnormalen Prozess entspricht, durch das Authentifizierungsmodul für vertrauenswürdige Dateien und das anschließende erneute Laden dieser in den Speicher, das Berechnen des Integritätswertes der Prozesses, der der Datei in dem Speicher entspricht, dass Speichern des berechneten Wertes in dem Sicherheitsspeicherkomponente und das Wiederherstellen des Prozesses auf seinen vorherigen Ablaufzustand auf Basis der Felddaten, die zuvor zum Betreiben des Prozesses gesichert wurden.
  • Bevorzugt umfasst das Dateioperationsverhalten, jedoch nicht darauf beschränkt, Dateilesen/-schreiben, Dateiattributmodifizierung, Dateilöschung und Dateierzeugung.
  • Bevorzugt kann die Sicherheitsspeicherkomponente eine Festplattenspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle, ein Chipspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle oder eine Speicherkomponente mit Zugriffskontrollmechanismus sein.
  • Bevorzugt ist die Speicherkomponente eine Sicherheitschip, eine Festplatte mit Sicherheitsschutzfunktion oder ein Flash-Speicher mit Zugriffskontrollfunktion.
  • Die vorliegende Erfindung richtet das Authentifizierungsmodul für vertrauenswürdige Dateien und das Authentifizierungsmodul für vertrauenswürdigen Prozessspeichercode in dem Betriebssystem (OS) des Computers im Voraus ein und lädt und betreibt ein geschütztes OS. Das Authentifizierungsmodul für vertrauenswürdige Dateien unterbricht jedes Dateioperationsverhalten und verarbeitet die Datei dementsprechend, ob ihr Operationstyp für eine vertrauenswürdige Datei oder für eine nicht vertrauenswürdige Datei ist. Das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes authentifiziert zeitangepasst, ob der Ablaufzustand und die Integrität für alle Prozesscodes normal sind, und gibt, wenn ein Prozess unnormal ist, einen Alarm, sichert Felddaten, die durch den Prozess abgewickelt werden, stellt im Anschluss daran den Prozess ein und setzt andernfalls den normalen Betrieb fort. Mit der Erfindung wird vom Startup des OS jeder Angriff auf den OS-Kern, auf Anwendungsdateien und auf Prozesse selbst erkannt und die entsprechende Wiederherstellung wird auf Basis einer vertrauenswürdigen Computerhardware-Plattform vorgenommen, anstelle des Erkennens eines Virus durch Informationen, wie beispielsweise eine Virus- oder Regelbibliothek. Auf diese Weise können unabhängig davon, ob der Angriff von bekannten oder unbekannten Viren vorhanden ist oder nicht, die Sicherheit und Vertrauenswürdigkeit für die Ablaufumgebung des Computers sichergestellt werden und infolgedessen kann für einen Benutzer, der lediglich bestimmen muss, welche Dateien und Daten Sicherheitsgarantie erfordern, eine vertrauenswürdige Ablaufumgebung bereitgestellt werden. Dies erleichtert die Anwendung und verringert Implementierungskosten.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 zeigt ein schematisches Ablaufdiagramm zum Laden und Betreiben des OS, in dem eine Ausführungsform der Erfindung angewendet wird.
  • 2 zeigt ein schematisches Ablaufdiagramm zum Authentifizieren einer gegenwärtigen Datei, die abzuwickeln ist, durch ein Authentifizierungsmodul für vertrauenswürdige Dateien.
  • 3 zeigt ein schematisches Ablaufdiagramm für das Authentifizieren des Prozesscodes durch ein Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes.
  • 4 zeigt ein schematisches Ablaufdiagramm zur Modifizierungsfreigabe unter Steuerung eines physikalischen Schalters.
  • AUSFÜHRLICHE BESCHREIBUNG VON BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Im Folgenden wird die vorliegende Erfindung in Verbindung mit den Begleitzeichnungen ausführlich beschrieben.
  • Gemäß der Erfindung wird durch umfassende Authentifizierung von dem OS, von Anwendungssoftware und von Prozessen auf Basis einer vertrauenswürdigen Computerhardware-Plattform eine Vertrauenskette eingerichtet und infolgedessen stellt die Erfindung eine verifizierte vertrauenswürdige Ablaufumgebung für einen Benutzer bereit.
  • Die 1 zeigt ein schematisches Ablaufdiagramm zum Laden und Betreiben des OS, in dem eine Ausführungsform der Erfindung zur Anwendung kommt. In dieser Ausführungsform werden innerhalb eines Computers in der Basisfirmware sowohl ein Basis-Dateiverwaltungssystem, das Funktionen der Plattenverwaltung und Dateiverwaltung hat, als auch ein Grundsoftware-Integritätsauthentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS bereitgestellt, das für die Authentifizierung von Kerndateien, die sich auf das Startup in dem OS beziehen, verwendet wird. Alle Daten, die Sicherheitsgarantie erfordern, die durch die Anforderungen des Systemablaufs und die Benutzeranforderungen bestimmt werden, werden zusammen mit den Integritätswerten davon in einer Sicherheitsspeicherkomponente eingerichtet, wobei die Daten, die Sicherheitsgarantie erfordern, Daten für den Basisbetrieb, wie BIOS, OS, verschiedene Anwendungssoftware und sowohl Dateien als auch Plattenparameter sind. Zusätzlich sind eine Liste vertrauenswürdiger Dateien, die die Dateinamen für die OS-Kerndatei ent hält, die durch den Benutzer vordefiniert wurden, und dateibezogene Startup- und Anwendungssoftware, die der Benutzer schützen will, bereitgestellt. Der Prozess des Ladens und Betreibens des OS umfasst die folgenden Schritte:
    In dem Schritt 101, nach erfolgreicher Authentifizierung und dem Startup der Basisfirmware, prüft die Basisfirmware, ob der Integritätswert des Basis-Dateiverwaltungssystems mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, falls er es ist, wird der Schritt 102 ausgeführt, andernfalls wird System-Startup unterbrochen.
  • In den Schritten 102 und 103 startet die Basisfirmware das Basis-Dateiverwaltungssystem, das seinerseits das Grundsoftware-Integritätsauthentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS startet.
  • In Schritt 104 liest das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS einen Plattenparameter aus einem Plattensektor und prüft, ob der Integritätswert des Plattenparameters mit einem vorab in der Sicherheitsspeicherkomponente gespeicherten Integritätswert konsistent ist oder nicht, falls er es ist, wird Schritt 106 ausgeführt, andernfalls wird Schritt 105 ausgeführt.
  • Der obige Plattenparameter enthält, jedoch nicht darauf beschränkt, Haupt-Bootsektorparameter, Partitions-Bootsektorparameter und Dateiallokations-Tabellenparameter (FAT-Parameter).
  • In Schritt 105 extrahiert das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS Daten, die vorab in der Sicherheitsspeicherkomponente gespeichert sind, um die gegenwärtigen Plattensektorparameter zu ersetzen und geht dann weiter zu Schritt 106.
  • In Schritt 106 prüft das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS, ob der Integritätswert der Liste vertrauenswürdiger Dateien mit einem vorab in der Sicherheitsspeicherkomponente gespeicherten Integritätswert konsistent ist oder nicht, wenn er es ist, wird Schritt 108 ausgeführt, andernfalls wird Schritt 107 ausgeführt.
  • In Schritt 107 extrahiert das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS eine Liste der vertrauenswürdigen Dateien, die vorab in der Sicherheitsspeicherkomponente gespeichert ist, um die gegenwärtige Liste vertrauenswürdiger Dateien zu ersetzen, und geht dann weiter zu Schritt 108.
  • In Schritt 108 liest das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS die OS-Kerndateien in der Liste vertrauenswürdiger Dateien aus und prüft, ob der Integritätswert der OS-Kerndatei mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, falls er es ist, wird Schritt 110 ausgeführt, andernfalls wird Schritt 109 ausgeführt.
  • In Schritt 109 extrahiert das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS eine OS-Kerndatei, die vorab in der Sicher heitsspeicherkomponente gespeichert wurde, um die gegenwärtige OS-Kerndatei zu ersetzen, und geht anschließend weiter zu Schritt 110.
  • In Schritt 110 wird das OS geladen und betrieben.
  • Insofern ist es möglich, sicherzustellen, dass das ablaufende OS geschützt ist. In der obigen Ausführungsform wird das Basis-Dateiverwaltungssystem in der Basisfirmware so bereitgestellt, dass die Geschwindigkeit zum Starten und Booten des Computers erhöht werden kann. Es liegt auf der Hand, dass das Basis-Dateiverwaltungssystem ebenso in der Sicherheitsspeicherkomponente oder in dem OS bereitgestellt werden kann. Die Liste der vertrauenswürdigen Dateien kann in der Sicherheitsspeicherkomponente oder in dem OS bereitgestellt werden.
  • Nachdem das OS in den Normalablauf übergeht, wird das Authentifizierungsmodul für vertrauenswürdige Dateien gestartet, um die gegenwärtige Datei, die abzuwickeln ist, zu prüfen, und das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes wird ebenso gestartet, um den Ablaufzustand und die Integrität aller Prozesscodes zu authentifizieren, um dadurch den Schutz für die Ablaufumgebung in dem Computer zu gewährleisten. Als Nächstes werden jeweils die Authentifizierungsmethoden für das Authentifizierungsmodul für vertrauenswürdige Dateien und das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes erklärt.
  • Die 2 zeigt ein schematisches Ablaufdiagramm für das Authentifizieren einer gegenwärtigen Datei, die abzuwickeln ist, durch das Authentifizierungsmodul für vertrauenswürdige Dateien.
  • In Schritt 201 unterbricht das Authentifizierungsmodul für vertrauenswürdige Dateien jedes Dateioperationsverhalten, einschließlich Dateiauslesen/-schreiben, Dateiattributmodifizierung, Dateilöschen und Dateierzeugen.
  • In Schritt 202 prüft das Authentifizierungsmodul für vertrauenswürdige Dateien, ob die gegenwärtige Datei, die abzuwickeln ist, eine Datei in der Liste der vertrauenswürdigen Dateien ist oder nicht, wenn sie es ist, erfolgt Fortsetzung mit Schritt 203, andernfalls mit Schritt 208.
  • In Schritt 203 wird die Art des gegenwärtigen Dateioperationsverhaltens geprüft. Der Schritt 204 wird ausgeführt, wenn die Art Lesen ist, Schritt 207, wenn sie Modifizieren ist.
  • In Schritt 204 wird geprüft, ob der Integritätswert der gegenwärtigen Datei, die abzuwickeln ist, mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, wenn sie konsistent sind, wird Schritt 206 ausgeführt, andernfalls wird Schritt 205 ausgeführt.
  • In Schritt 205 wird eine vorab gespeicherte vertrauenswürdige Datei aus der Sicherheitsspeicherkomponente extrahiert, um die gegenwärtige Datei zu ersetzen.
  • In Schritt 206 wird die gegenwärtige Datei, die abzuwickeln ist, in den Speicher geladen und Auslesen von einem Besucher wird zugelassen, anschließend wird der Ablauf beendet.
  • In Schritt 207, nachdem geprüft ist, ob der Computer gegenwärtig in einem geschützten Zustand ist, wird dem Besucher erlaubt, die Liste vertrauenswürdiger Dateien zu modifizieren, die Integritätswerte für die Liste vertrauenswürdiger Dateien und die modifizierte Datei werden erneut berechnet und in der Sicherheitsspeicherkomponente gespeichert. Danach wird der Ablauf beendet.
  • Das Modifizieren umfasst, jedoch nicht darauf beschränkt, Lese- und/oder Attributmodifizierung und/oder Löschen und/oder Erzeugung neuer Dateien. Der Prozess zum Prüfen, ob der Computer gegenwärtig im geschützten Zustand ist oder nicht, ist folgender: Prüfen, ob der Computer eine physikalische Verbindung mit einem Netzwerk hat oder nicht und ob die Liste vertrauenswürdiger Dateien in einem Modifizierungsfreigabezustand ist. Der so genannte Modifizierungsfreigabezustand ist ein Zustand, in dem ein physikalischer Sicherheitsschalter freigegeben ist. Im Folgenden wird auf die 4 Bezug genommen, die ein schematisches Diagramm zum Freigeben von Modifizierung unter Steuerung durch den physikalischen Schalter zeigt. Ein physikalischer Schalter ist bereitgestellt, der an einem Ende mit dem Masseanschluss und an dem anderen Ende mit dem I/O-Steuermodul der Hauptplatine des Computers verbunden ist. Das I/O-Steuermodul kann durch einen Chipsatz oder durch eine CPU umgesetzt werden. Das Interface zwischen dem physikalischen Schalter und dem I/O-Steuermodul kann, jedoch nicht darauf beschränkt, ein GPIO, ein serieller Port, ein Parallel-Port oder ein USB-Port sein. Wenn geprüft wird, ob die Liste vertrauenswürdiger Dateien gegenwärtig in dem Modifizierungsfreigabezustand ist oder nicht, wird der „AUS"- oder „EIN"-Zustand des physikalischen Schalters an den I/O-Adressen für den physikalischen Schalter ausgelesen und es wird bestimmt, dass die Liste vertrauenswürdiger Dateien gegenwärtig in dem Modifizierungsfreigabezustand ist, wenn der physikalische Schalter in dem „AUS"-Zustand ist. Wenn der physikalische Schalter in dem „EIN"-Zustand ist, ist die vertrauenswürdige Datei gegenwärtig in dem Modifizierungsunterdrückungszustand.
  • In Schritt 208, nach der Beendigung der Viruserkennung auf der nicht vertrauenswürdigen Datei, wird ein der Datei entsprechender Prozess in eine virtuelle Maschine geladen, die das Verhalten des Prozesses überwacht und einen Alarm gibt und den Prozess einstellt, wenn ein unzulässiges Verhalten in dem Prozess festgestellt wird; wenn kein unzulässiges Verhalten erkannt wird, wird die Abwicklung der Datei zugelassen.
  • Die obige virtuelle Maschine ist eine Art von Software, die in dem Computer abläuft wird und die die Überwachung des Prozessverhaltens durch einen realen Computer simuliert. Das obige unzulässige Verhalten umfasst wenigstens unberechtigtes Modifizieren von OS-Dateien, unberechtigtes Modifizieren der Platte und/oder unzulässige Grenzverletzung beim Speicherzugriff und/oder unberechtigtes Jumping.
  • Die 3 zeigt ein schematisches Ablaufdiagramm für den Authentifizierungsprozess durch das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes.
  • In Schritt 301, nachdem die Datei als eine vertrauenswürdige Datei bestätigt ist, wird der Integritätswert des Prozesscodes in dem Speicher für einen Prozess, der der Datei entspricht, berechnet, wenn die Datei zum ersten Mal in den Speicher geladen wird, und der Integritätswert wird in der Sicherheitsspeicherkomponente gespeichert.
  • In Schritt 302 authentifiziert das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zeitangepasst, ob der Ablaufzustand aller der Prozesse und der Integritätswert aller gegenwärtigen Prozesscodes normal sind oder nicht, und geht, falls sie normal sind, weiter zu Schritt 302.
  • Der obige Prozess zum Authentifizieren, ob der Ablaufzustand aller Prozesscodes normal ist oder nicht, ist folgender: Prüfen, ob der Zeiger eines Prozessprogramms über die durch den Prozess zugeordnete physikalische Speicheradresse hinausgeht oder nicht, und/oder, ob der Prozesscode die zugeordnete physikalische Speicheradresse überschreitet oder nicht. Der Prozess zum Authentifizieren, ob die Integrität aller Prozesscodes normal ist oder nicht, ist folgender: Authentifizieren, ob der Integritätswert aller laufenden Prozesscodes mit dem in der Sicherheitsspeicherkomponente vorab gespeicherten Integritätswert konsistent ist oder nicht, falls er es ist, Bestimmen, dass der Prozesscode normal ist, andernfalls, dass der Prozesscode unnormal ist.
  • Wobei der Vorgang zum Prüfen, ob der Zeiger zu einem Prozessprogramm über die durch den Prozess zugeordnete physikalische Speicheradresse hinausgeht oder nicht, und/oder, ob der Prozesscode die zugeordnete physikalische Speicheradresse überschreitet oder nicht, durch Software, eine CPU oder einen Chipsatz umgesetzt werden kann.
  • In Schritt 303 wird ein Alarm gegeben. Die Felddaten zum Ablaufenlassen des Prozesses werden gesichert und der Prozess wird eingestellt. Die Datei, die dem unnormalen Prozess entspricht, kann durch das Authentifizierungsmodul für vertrauenswürdige Dateien erneut authentifiziert werden und dann erneut in den Speicher geladen werden. Der Integritätswert des Prozesses, der der Datei in dem Speicher entspricht, kann erneut berechnet werden und in der Sicherheitsspeicherkomponente gespeichert werden. Der Prozess kann auf Basis der Felddaten, die zuvor zum Ablaufenlassen des Prozesses gesichert wurden, in seinem vorherigen Ablaufzustand wiederhergestellt werden.
  • Die oben erwähnte Sicherheitsspeicherkomponente kann eine Festplattenkomponente mit obligatorischer Zugriffsautorisierungskontrolle, eine Chipspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle oder eine Speicherkomponente mit Zugriffskontrollmechanismus sein. Der Schutz für die obige Festplattenspeicherkomponente wird durch eine Festplatten-Steuerlogikschaltung und unabhängig von der Festplattenlogik-Partition und der OS-Partition erfüllt. Die so genannte obligatorische Zugriffskontrollautorisierung bedeutet, dass die Sicherheitsspeicherkomponente einen Besucher auf Basis eines Passwortes identifizieren kann und den Zugriff des Besuchers nur dann akzeptiert, wenn die Identifizierung erfolgreich ist, oder, dass die Sicherheitsspeicherkomponente und der Besucher ein Paar geheimer Informationen, die sie zuvor gemeinsam genutzt haben, und ein Zertifizierungsprotokoll, basierend auf Berechnungen, die Hash-Funktionen und Zufallszahlen involvieren, nutzen, um die Identität des Besuchers zu zertifizieren, wobei die Sicherheitsspeicherkomponente den Zugriff nur dann akzeptiert, wenn die Zertifizierung erfolgreich ist.
  • Speziell kann die oben erwähnte Sicherheitsspeicherkomponente ein Sicherheitschip sein (zum Beispiel ein TPM – Trusted Platform Module), eine Festplatte mit Sicherheitsschutzfunktion, wie beispielsweise HPA (Host Protected Area), oder ein Flash-Speicher mit Zugriffskontrollfunktion. Eine ausführliche Beschreibung, die hier nicht wiederholt wird, wurde in der Anmeldung CN03138380.7 A Security Chip and Information Security Processing Device and Method Based on the Chip durch den Anmelder offenbart. Darüber hinaus wurde das Verfahren zum Au thentifizieren von Basisfirmware in dem Computer in der Anmeldung dargelegt, so dass dieses in Schritt 101 nicht wiederholt wird.
  • Obige sind lediglich bevorzugte Ausführungen der vorliegenden Erfindung, die nicht vorgesehen sind, um die Erfindung einzuschränken. Jede Änderung, Ersetzung oder Modifizierung, die innerhalb der Idee und des Prinzips der Erfindung vorgenommen wird, sollte durch den Schutzumfang der Erfindung erfasst werden.
  • ZUSAMMENFASSUNG
  • Die vorliegende Erfindung offenbart ein Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer. Ein Authentifizierungsmodul für vertrauenswürdige Dateien und ein Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes werden im Voraus in dem Betriebssystem (OS) des Computers eingerichtet und ein geschütztes OS wird geladen und läuft ab. Das Authentifizierungsmodul für vertrauenswürdige Dateien unterbricht jedes Dateioperationsverhalten, prüft, ob die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist oder nicht, und verarbeitet die Datei, wenn sie vertrauenswürdig ist, entsprechend ihrem Operationstyp, und verarbeitet die Datei andernfalls, nachdem ihre Berechtigung verifiziert ist, das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes authentifiziert zeitangepasst, ob der Ablaufzustand und die Integrität für alle Prozesscodes normal sind oder nicht, gibt, falls ein Prozess unnormal ist, einen Alarm, sichert Felddaten, die durch den Prozess ausgeführt werden, und stellt den Prozess ein und setzt andernfalls den normalen Ablauf fort. Mit dieser Erfindung kann, ob es einen Angriff von einem bekannten oder unbekannten Virus gibt oder nicht, die Sicherheit für die Ablaufumgebung in dem Computer gewährleistet werden und dies erleichtert die Anwendung und verringert die Implementierungskosten.

Claims (16)

  1. Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer, wobei vorab in dem Betriebssystem (OS) des Computers ein Authentifizierungsmodul für vertrauenswürdige Dateien und ein Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes eingerichtet werden und ein geschütztes OS geladen und betrieben wird, das Verfahren umfasst das Folgende: das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes unterbricht jedes Dateioperationsverhalten, prüft, ob die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist oder nicht, und verarbeitet die Datei, wenn sie vertrauenswürdig ist, entsprechend ihrem Operationstyp, und verarbeitet die Datei andernfalls, nachdem ihre Berechtigung verifiziert ist; das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes authentifiziert, zeitangepasst, ob der Ablaufzustand und die Integrität für alle Prozesscodes normal sind oder nicht, gibt, falls ein Prozess unnormal ist, einen Alarm, sichert Felddaten, die durch den Prozess ausgeführt werden, und stellt den Prozess ein, und setzt andernfalls den normalen Ablauf fort.
  2. Verfahren nach Anspruch 1, wobei das Laden und Ablaufenlassen eines geschützten OS umfasst: Voreinrichten eines Basis-Dateiverwaltungssystems und einer Liste vertrauenswürdiger Dateien, die die Namen für OS-Kerndateien, die durch einen Benutzer vorher festgelegt sind, für Dateien, die sich auf Startup- und Anwendungssoftware beziehen, die durch den Benutzer zu schützen sind, enthalten, Einrichten aller Daten, die Sicherheitsgarantie erfordern, und Integritätswerte davon in einer Sicherheitsspeicherkomponente und Einrichten in der Basisfirmware des Computers eines Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmoduls des vertrauenswürdigen OS, wobei der Prozess des Ladens und Ablaufenlassens des OS das Folgende umfasst: a. nach einer erfolgreichen Authentifzierung und Startup der Basisfirmware in dem Computer prüft die Basisfirmware, ob der Integritätswert des Basis-Dateiverwaltungssystems mit einem in der Sicherheitsspeicherkomponente vorab gespeicherten Integritätswert konsistent ist oder nicht, und falls er es ist, startet die Basisfirmware das Basis-Dateiverwaltungssystem und geht anschließend weiter zu Schritt b, andernfalls wird System-Startup unterbrochen; b. das Basis-Dateiverwaltungssystem startet das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS, das einen Plattenparameter aus einem Plattensektor ausliest und prüft, ob der Integritätswert des Plattenparameters mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn er es ist, wird Schritt c ausgeführt, andernfalls extrahiert das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS Plattendaten, die vorab in der Sicherheitsspeicherkomponente gespeichert sind, schreibt diese in den gegenwärtigen Plattensektor und geht weiter zu Schritt c; c. das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS prüft, ob der Integritätswert der vertrauenswürdigen Datei mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn er es ist, wird Schritt d ausgeführt, andernfalls wird eine vorab in der Sicherheitsspeicherkomponente gespeicherte Liste vertrauenswürdiger Dateien extrahiert, um die gegenwärtige Liste vertrauenswürdiger Dateien zu ersetzen, und anschließend wird Schritt d ausgeführt; d. das Grundsoftwareintegritäts-Authentifizierungs- und -Wiederherstellungsmodul des vertrauenswürdigen OS liest die OS-Kerndateien in der Liste vertrauenswürdiger Dateien aus und prüft, ob der Integritätswert der OS-Kerndatei mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn er es ist, wird das OS geladen und betrieben, andernfalls wird eine in der Sicherheitsspeicherkomponente vorab gespeicherte OS-Kerndatei extrahiert, um die gegenwärtige OS-Kerndatei zu ersetzen, und anschließend wird das OS geladen und betrieben.
  3. Verfahren nach Anspruch 2, wobei sich das Basis-Dateiverwaltungssystem in der Sicherheitsspeicherkomponente, in der Basisfirmware oder in dem OS befindet und sich die Liste vertrauenswürdiger Dateien in der Sicherheitsspeicherkomponente oder in dem OS befindet.
  4. Verfahren nach Anspruch 2, wobei alle Daten, die Sicherheitsgarantien erfordern, in dem Speicherelement entsprechend der Anforderung des Systemablaufs und der Benutzeranforderung festgelegt werden und alle Daten, die Sicherheitsgarantien erfordern, Daten für die Basisfirmware, das OS, verschiedene Anwendungssoftware und sowohl Dateien als auch den Plattenparameter einschließen, jedoch nicht darauf beschränkt sind.
  5. Verfahren nach Anspruch 2 oder 4, wobei der Plattenparameter Haupt-Bootsektorparameter, Partitions-Bootsektorparameter und Dateiallokationstabellenparameter enthält, jedoch nicht darauf beschränkt ist.
  6. Verfahren nach Anspruch 2, wobei die Methode für das Authentifizierungsmodul für vertrauenswürdige Dateien zum Prüfen, ob die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist oder nicht, folgende ist: Prüfen, ob die gegenwärtige Datei, die abzuwickeln ist, eine Datei in der Liste vertrauenswürdiger Dateien ist oder nicht, und wenn sie es ist, Bestimmen, dass die gegenwärtige Datei, die abzuwickeln ist, eine vertrauenswürdige Datei ist, andernfalls Bestimmen, dass die gegenwärtige Datei, die abzuwickeln ist, eine nicht vertrauenswürdige Datei ist.
  7. Verfahren nach Anspruch 6, wobei die Verarbeitung für eine vertrauenswürdige Datei entsprechend dem Operationstyp der gegenwärtigen Datei folgende ist: Prüfen, ob die Art des Operationsverhaltens der gegenwärtigen Datei Auslesen oder Modifizieren ist, und wenn sie Auslesen ist, Prüfen, ob der Integritätswert der gegenwärtigen Datei, die abzuwickeln ist, mit einem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn sie konsistent sind, Laden der gegenwärtigen Datei, die abzuwickeln ist, in den Speicher und Zulassen des Auslesens von einem Besucher, und andernfalls Extrahieren einer vorab gespeicherten vertrauenswürdigen Datei aus der Sicherheitsspeicherkomponente, um die gegenwärtige Datei zu ersetzen, und Laden der gegenwärtigen Datei, die abzuwickeln ist, in den Speicher und Zulassen des Auslesens von dem Besucher und wenn sie Modifizieren ist, Prüfen, ob der Computer gegenwärtig in einem geschützten Zustand ist, und Zulassen, dass der Benutzer die Liste vertrauenswürdiger Dateien modifiziert, Neuberechnen der Integritätswerte für die Liste vertrauenswürdiger Dateien und der modifizierten Datei und Speichern ihrer neuen Integritätswerte in der Sicherheitsspeicherkomponente.
  8. Verfahren nach Anspruch 7, wobei das Modifizieren Lese- und/oder Attributmodifikation und/oder Löschen und/oder Erzeugen neuer Dateien einschließt, jedoch nicht darauf beschränkt ist, und wobei der geschützte Zustand bedeutet, dass der Computer gegenwärtig keine physikalische Verbindung mit einem Netzwerk hat und dass die Liste vertrauenswürdiger Dateien in einem Modifizierungsfreigabezustand ist.
  9. Verfahren nach Anspruch 8, das des Weiteren das Bereitstellen eines physikalischen Schalters zur Modifizierungsfreigabe und das Bestimmen auf Basis des EIN- oder AUS-Zustandes des physikalischen Schalters, ob die vertrauenswürdige Datei gegenwärtig in dem Modifizierungsfreigabezustand ist oder nicht, umfasst.
  10. Verfahren nach Anspruch 6, wobei die Verarbeitung für eine nicht vertrauenswürdige Datei, nachdem ihre Berechtigung authentifiziert ist, folgende ist: nach der Beendigung der Virenerkennung auf der nicht vertrauenswürdigen Datei, Laden eines Prozesses, der der Datei entspricht, in eine virtuelle Maschine, die das Verhalten des Prozesses überwacht und einen Alarm gibt und den Prozess einstellt, wenn ein unzulässiges Verhalten in dem Prozess festgestellt ist, und falls kein unzulässiges Verhalten festgestellt ist, die Verarbeitung der Datei zulässt.
  11. Verfahren nach Anspruch 10, wobei das unzulässige Verhalten wenigstens unberechtigtes Modifizieren von OS-Dateien und/oder unberechtigtes Modifizieren auf der Platte und/oder unzulässige Grenzverletzung beim Speicherzugriff und/oder unberechtigtes Jumping einschließt.
  12. Verfahren nach Anspruch 2, wobei der Prozess für das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zum zeitangepassten Authentifizieren, ob der Ablaufzustand aller Prozesscodes normal ist oder nicht, folgender ist: Prüfen, ob ein Zeiger für ein Prozessprogramm über die durch den Prozess zugeordnete physikalische Speicheradresse hinausgeht oder nicht, und/oder ob der Prozesscode die zugeordnete physikalische Speicheradresse überschreitet oder nicht, und der Prozess für das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes zum zeitangepassten Au thentifizieren, ob die Integrität des gesamten Prozesscodes normal ist oder nicht, folgender ist: Berechnen des Integritätswertes des Prozesscodes in dem Speicher für einen Prozess entsprechend einer Datei, wenn die Datei zum ersten Mal in den Speicher geladen wird, Speichern des Integritätswertes in der Sicherheitsspeicherkomponente und zeitangepasstes Authentifizieren, ob der Integritätswert aller gegenwärtigen Prozesscodes mit dem Integritätswert, der vorab in der Sicherheitsspeicherkomponente gespeichert ist, konsistent ist oder nicht, und wenn er es ist, Bestimmen, dass der Prozesscode normal ist, andernfalls Bestimmen, dass der Prozesscode unnormal ist.
  13. Verfahren nach Anspruch 12, wobei, wenn das Authentifizierungsmodul für vertrauenswürdige Prozessspeichercodes authentifiziert hat, dass der Ablaufzustand und/oder die Integrität des Prozesscodes unnormal ist, das Verfahren des Weiteren umfasst: erneutes Authentifizieren der Datei, die dem unnormalen Prozess entspricht, durch das Authentifizierungsmodul für vertrauenswürdige Dateien, erneutes Laden dieser in den Speicher, Berechnen des Integritätswertes des Prozesses, der der Datei in dem Speicher entspricht, Speichern des berechneten Wertes in der Sicherheitsspeicherkomponente und Wiederherstellen des Prozesses in seinem vorherigen Ablaufzustand auf Basis der Felddaten, die zuvor zum Ablaufenlassen des Prozesses gesichert wurden.
  14. Verfahren nach Anspruch 1, wobei das Dateioperationsverhalten Dateilesen/-schreiben, Dateiattributmodifizierung, Dateilöschung und Dateierzeugung einschließt, jedoch nicht darauf beschränkt ist.
  15. Verfahren nach einem der Ansprüche 2, 3, 4, 7 und 12, wobei die Sicherheitsspeicherkomponente eine Festplattenspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle, eine Chipspeicherkomponente mit obligatorischer Zugriffsautorisierungskontrolle oder eine Speicherkomponente mit Zugriffskontrollmechanismus sein kann.
  16. Verfahren nach einem der Ansprüche 2, 3, 4, 7 und 12, wobei die Speicherkomponente ein Sicherheitschip, eine Festplatte mit Sicherheitsschutzfunktion oder ein Flash-Speicher mit Zugriffskontrollfunktion ist.
DE112005002985T 2004-12-02 2005-07-11 Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer Expired - Lifetime DE112005002985B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200410095576.7 2004-12-02
CNB2004100955767A CN100489728C (zh) 2004-12-02 2004-12-02 一种建立计算机中可信任运行环境的方法
PCT/CN2005/001017 WO2006058472A1 (en) 2004-12-02 2005-07-11 Method for establishing a trusted running environment in the computer

Publications (2)

Publication Number Publication Date
DE112005002985T5 true DE112005002985T5 (de) 2007-11-08
DE112005002985B4 DE112005002985B4 (de) 2011-01-20

Family

ID=35632365

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112005002985T Expired - Lifetime DE112005002985B4 (de) 2004-12-02 2005-07-11 Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer

Country Status (6)

Country Link
US (1) US20090288161A1 (de)
JP (1) JP4729046B2 (de)
CN (1) CN100489728C (de)
DE (1) DE112005002985B4 (de)
GB (1) GB2436046B (de)
WO (1) WO2006058472A1 (de)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7448084B1 (en) * 2002-01-25 2008-11-04 The Trustees Of Columbia University In The City Of New York System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses
CN1909453B (zh) * 2006-08-22 2011-04-20 深圳市深信服电子科技有限公司 一种基于网关/网桥的防间谍软件侵犯方法
CN101154253B (zh) * 2006-09-26 2011-08-10 北京软通科技有限责任公司 计算机安全防护方法及计算机安全防护装置
US8584094B2 (en) * 2007-06-29 2013-11-12 Microsoft Corporation Dynamically computing reputation scores for objects
CN100454324C (zh) * 2007-09-21 2009-01-21 武汉大学 一种可信机制上的嵌入式平台引导方法
US7913074B2 (en) * 2007-09-28 2011-03-22 Microsoft Corporation Securely launching encrypted operating systems
US8191075B2 (en) 2008-03-06 2012-05-29 Microsoft Corporation State management of operating system and applications
US8176555B1 (en) * 2008-05-30 2012-05-08 Symantec Corporation Systems and methods for detecting malicious processes by analyzing process names and process characteristics
US8205257B1 (en) * 2009-07-28 2012-06-19 Symantec Corporation Systems and methods for preventing threats originating from a non-process based component hosted by a trusted process
JP5472604B2 (ja) * 2009-10-08 2014-04-16 日本電気株式会社 プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム
US8417962B2 (en) * 2010-06-11 2013-04-09 Microsoft Corporation Device booting with an initial protection component
CN102122331B (zh) * 2011-01-24 2014-04-30 中国人民解放军国防科学技术大学 一种构造“In-VM”恶意代码检测架构的方法
CN102682243A (zh) * 2011-03-11 2012-09-19 北京市国路安信息技术有限公司 一种构建可信java虚拟机平台的方法
CN102222189A (zh) * 2011-06-13 2011-10-19 上海置水软件技术有限公司 一种保护操作系统的方法
US9497224B2 (en) * 2011-08-09 2016-11-15 CloudPassage, Inc. Systems and methods for implementing computer security
CN102270288B (zh) * 2011-09-06 2013-04-03 中国人民解放军国防科学技术大学 基于反向完整性验证的操作系统可信引导方法
US9053315B2 (en) 2012-06-28 2015-06-09 Lenova Enterprise Solutions (Singapore) Pte. Ltd. Trusted system network
JP2014029282A (ja) * 2012-07-31 2014-02-13 Shimadzu Corp 分析装置バリデーションシステム及び該システム用プログラム
US9294440B1 (en) * 2012-09-07 2016-03-22 Amazon Technologies, Inc. Secure inter-zone data communication
US9052917B2 (en) * 2013-01-14 2015-06-09 Lenovo (Singapore) Pte. Ltd. Data storage for remote environment
CN103268440B (zh) * 2013-05-17 2016-01-06 广东电网公司电力科学研究院 可信内核动态完整性度量方法
KR101489142B1 (ko) * 2013-07-12 2015-02-05 주식회사 안랩 클라이언트시스템 및 클라이언트시스템의 동작 방법
US10198572B2 (en) 2013-09-17 2019-02-05 Microsoft Technology Licensing, Llc Virtual machine manager facilitated selective code integrity enforcement
CN103823732A (zh) * 2014-02-27 2014-05-28 山东超越数控电子有限公司 一种linux操作系统下监控文件完整性的方法
CN104268461B (zh) 2014-09-16 2018-03-06 华为技术有限公司 一种可信度量方法及装置
CN104657236A (zh) * 2015-03-11 2015-05-27 深圳市新岸通讯技术有限公司 基于32位MCU的嵌入式Linux文件系统及其运行方法
CN105389197B (zh) * 2015-10-13 2019-02-26 北京百度网讯科技有限公司 用于基于容器的虚拟化系统的操作捕获方法和装置
US20170149828A1 (en) 2015-11-24 2017-05-25 International Business Machines Corporation Trust level modifier
CN106934303B (zh) * 2015-12-29 2020-10-30 大唐高鸿信安(浙江)信息科技有限公司 基于可信芯片的可信操作系统创建可信进程的系统及方法
US10430591B1 (en) * 2016-10-04 2019-10-01 Bromium, Inc. Using threat model to monitor host execution in a virtualized environment
CN106972980A (zh) * 2017-02-24 2017-07-21 山东中创软件商用中间件股份有限公司 一种应用服务器集群的一致性验证方法及装置
WO2018194568A1 (en) 2017-04-18 2018-10-25 Hewlett-Packard Development Company, L.P. Executing processes in sequence
CN109766696B (zh) * 2018-05-04 2021-01-15 360企业安全技术(珠海)有限公司 软件权限的设置方法及装置、存储介质、电子装置
CN110611642A (zh) * 2018-06-15 2019-12-24 互联安睿资通股份有限公司 通讯装置、安全服务控制元件与安全服务控制方法
CN111382433B (zh) * 2018-12-29 2022-12-13 龙芯中科技术股份有限公司 模块加载方法、装置、设备以及存储介质
US20200272757A1 (en) * 2019-02-26 2020-08-27 Lokawallet, Inc. Securing a Computer Processing Environment from Receiving Undesired Content
CN111125793B (zh) * 2019-12-23 2022-03-11 北京工业大学 一种访问控制中客体内存可信验证方法及系统
CN111177703B (zh) * 2019-12-31 2023-03-31 青岛海尔科技有限公司 操作系统数据完整性的确定方法及装置
CN112702327B (zh) * 2020-12-21 2023-03-14 北京中电华大电子设计有限责任公司 一种主控芯片的安全服务设计方法
CN112949743B (zh) * 2021-03-22 2022-04-22 四川英得赛克科技有限公司 一种网络运维操作的可信判断方法、系统和电子设备
CN113505376B (zh) * 2021-09-09 2022-03-08 北京全息智信科技有限公司 一种应用程序运行环境的控制方法、装置及电子设备
CN114417302A (zh) * 2021-12-11 2022-04-29 麒麟软件有限公司 基于Linux操作系统的用户统一认证方法及系统
CN113961941A (zh) * 2021-12-22 2022-01-21 北京辰光融信技术有限公司 一种打印机系统安全增强方法、装置及设备
CN115934245A (zh) * 2022-11-01 2023-04-07 南方电网科学研究院有限责任公司 一种虚拟机可信安全增强方法及系统
CN119397547A (zh) * 2024-10-16 2025-02-07 西安热工研究院有限公司 Dcs上位机开机启动可信保障方法及相关装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10232918A (ja) * 1997-02-19 1998-09-02 Canon Inc 画像ファイル及びそれを処理する画像処理装置及び画像処理方法、画像処理システム
JPH10232919A (ja) * 1997-02-20 1998-09-02 Shimadzu Corp 医用画像フィルム出力システム
US5937159A (en) * 1997-03-28 1999-08-10 Data General Corporation Secure computer system
US6185678B1 (en) * 1997-10-02 2001-02-06 Trustees Of The University Of Pennsylvania Secure and reliable bootstrap architecture
US6263431B1 (en) * 1998-12-31 2001-07-17 Intle Corporation Operating system bootstrap security mechanism
US6564326B2 (en) * 1999-07-06 2003-05-13 Walter A. Helbig, Sr. Method and apparatus for enhancing computer system security
US7124408B1 (en) * 2000-06-28 2006-10-17 Microsoft Corporation Binding by hash
CN1516836A (zh) * 2000-09-08 2004-07-28 国际商业机器公司 软件安全认证信道
US20020078366A1 (en) * 2000-12-18 2002-06-20 Joseph Raice Apparatus and system for a virus-resistant computing platform
EP1225513A1 (de) * 2001-01-19 2002-07-24 Eyal Dotan Verfahren zur Sicherung der Rechnerprogramme und Rechnerdaten eines feindlichen Programms
US20030033303A1 (en) * 2001-08-07 2003-02-13 Brian Collins System and method for restricting access to secured data
US7024555B2 (en) * 2001-11-01 2006-04-04 Intel Corporation Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment
GB2382419B (en) * 2001-11-22 2005-12-14 Hewlett Packard Co Apparatus and method for creating a trusted environment
US20030126454A1 (en) * 2001-12-28 2003-07-03 Glew Andrew F. Authenticated code method and apparatus
JP2004013608A (ja) * 2002-06-07 2004-01-15 Hitachi Ltd プログラムの実行および転送の制御
CN1504906A (zh) * 2002-11-28 2004-06-16 马林松 虚拟文件系统
US7587763B2 (en) * 2002-12-12 2009-09-08 Finite State Machine Labs, Inc. Systems and methods for detecting a security breach in a computer system
US7490354B2 (en) * 2004-06-10 2009-02-10 International Business Machines Corporation Virus detection in a network
US10043008B2 (en) * 2004-10-29 2018-08-07 Microsoft Technology Licensing, Llc Efficient white listing of user-modifiable files

Also Published As

Publication number Publication date
GB2436046A (en) 2007-09-12
US20090288161A1 (en) 2009-11-19
CN1702590A (zh) 2005-11-30
DE112005002985B4 (de) 2011-01-20
GB0712636D0 (en) 2007-08-08
GB2436046B (en) 2009-07-15
JP4729046B2 (ja) 2011-07-20
CN100489728C (zh) 2009-05-20
WO2006058472A1 (en) 2006-06-08
JP2008522298A (ja) 2008-06-26

Similar Documents

Publication Publication Date Title
DE112005002985B4 (de) Verfahren zum Einrichten einer vertrauenswürdigen Ablaufumgebung in einem Computer
DE60129967T2 (de) Auf biometrie basierende beglaubigung in einer nichtflüchtigen speichervorrichtung
DE69733123T2 (de) Verfahren und vorrichtung zur verhinderung eines unbefugten schreibzugriffes zu einem geschützten nichtflüchtigen speicher
DE69326089T2 (de) Personalcomputersystem mit Sicherheitseigenschaften und -verfahren
DE60037606T2 (de) Rechner mit urladungsfähigem sicherem Programm
DE102008011925B4 (de) Sicheres Initialisieren von Computersystemen
DE10392470B4 (de) System und Verfahren zum Ausführen von Initialisierungsbefehlen einer gesicherten Umgebung
DE69717063T2 (de) Verfahren und System zur sicheren Datenverarbeitung
DE112005003340B4 (de) Mechanismus zum Bestimmen der Vertrauenswürdigkeit von Außerbandverwaltungsagenten
DE112008003862B4 (de) System und Verfahren zum Liefern eines Systemverwaltungsbefehls
EP2884417B1 (de) Verfahren zur Abwehr von Cold-Boot Angriffen auf einen Computer in einem Selbstbedienungs-Terminal
DE10393662T5 (de) Bereitstellen eines sicheren Ausführungsmodus in einer Preboot-Umgebung
DE112013005184T5 (de) Für einen Benutzer vertrauenswürdige Einheit zum Erkennen einer virtualisierten Umgebung
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
DE112009004762T5 (de) System und verfahren zum durchführen einer verwaltunosoperation
EP1321887A1 (de) Verfahren und Anordnung zur Verifikation von NV-Fuses sowie ein entsprechendes Computerprogrammprodukt und ein entsprechendes computerlesbares Speichermedium
DE10244728A1 (de) System und Verfahren zum Schutz von Daten, die auf einer Speicherungsmedienvorrichtung gespeichert sind
DE112011105687T5 (de) Verwendung eines Option-ROM-Speichers
US20200028683A1 (en) Separate cryptographic keys for multiple modes
EP2541455B1 (de) Methode und Verfahren für PIN-Eingaben bei konsistentem Software-Stack auf Geldautomaten
DE69032346T2 (de) Verfahren und System zur Sicherung von Datenendgeräten
DE112005003485T5 (de) Verfahren zur Überwachung einer verwalteten Einrichtung
CN107563198B (zh) 一种工业控制系统的主机病毒防治系统及方法
CN117235818A (zh) 基于固态硬盘的加密认证方法、装置、计算机设备及介质
DE4315732C1 (de) Verfahren zum authentischen Booten und Testen der Integrität von Software auf PC-Architekturen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8125 Change of the main classification

Ipc: G06F 21/22 AFI20050711BHDE

R020 Patent grant now final

Effective date: 20110420

R071 Expiry of right