本發(fā)明涉及信息安全，特別是涉及一種基于存儲安全訪問的可信運行控制方法和系統(tǒng)。

背景技術(shù)：

1、隨著可信技術(shù)的大規(guī)模運用，可信運行控制軟件作為終端安全防護的重要屏障，針對病毒木馬防范發(fā)揮著非常重要的作用。經(jīng)過對現(xiàn)有可信運行控制軟件工作原理及實現(xiàn)方法進行深入分析，發(fā)現(xiàn)現(xiàn)階段的可信運行控制技術(shù)多采用內(nèi)核外掛、linux安全模塊(lsm)、內(nèi)核鉤子等技術(shù)，通過對應(yīng)用程序事件的捕獲進行完整性度量及加載控制，其具體原理如圖1所示。從形式上講是通過內(nèi)核及核外擴展代碼中安插控制代碼來阻止不可信軟件的加載和運行，如果系統(tǒng)內(nèi)核及運行控制部分代碼存在某種缺陷，被外部利用并對攔截點位發(fā)起攻擊，會造成運行控制軟件功能失效；另外，若使用篡改內(nèi)存入口地址的方式以繞開運行控制的攔截功能，惡意程序便可避開運行控制的度量檢查而被正常執(zhí)行。

2、可信運行控制一般以內(nèi)核態(tài)軟件的形態(tài)安裝在操作系統(tǒng)中，需要消耗系統(tǒng)資源，同時會引入不穩(wěn)定因素，其自身出現(xiàn)異常會造成防護失效或系統(tǒng)崩潰。并且在linux系統(tǒng)中，運行控制的實現(xiàn)基礎(chǔ)是lsm，原生lsm出于安全性考慮要求代碼和內(nèi)核源碼一起整編，不支持ko方式動態(tài)加載，開發(fā)和適配過程投入較大，商業(yè)合作模式受限。此外，通過內(nèi)核定制或鉤子映射等技術(shù)方式雖然可以解決動態(tài)加載的限制，但度量點靠后，信任鏈有明顯缺失，安全性可能存在隱患。

3、綜上所述，經(jīng)過對可信運行控制軟件的實現(xiàn)原理的深入研究，現(xiàn)階段可信運行控制應(yīng)用中均采用純軟件方案實現(xiàn)可信運行控制功能。但由于可信運行控制軟件可能自身存在漏洞或會遭受外部攻擊，故提出了一種軟硬結(jié)合的可信運行控制解決方案，與純軟件實現(xiàn)方案相比安全性更高、兼容性更好。

技術(shù)實現(xiàn)思路

1、鑒于此，本發(fā)明提供一種基于存儲安全訪問的可信運行控制方法和系統(tǒng)。

2、本發(fā)明公開了一種基于存儲安全訪問的可信運行控制方法，其包括：

3、在計算機系統(tǒng)的外設(shè)存儲接口與存儲器之間串接存儲安全訪問設(shè)備，存儲安全訪問設(shè)備通過對外設(shè)存儲接口與存儲器之間io請求進行攔截和過濾，提供硬件級的文件只讀保護，以防止計算機系統(tǒng)自身遭受外部篡改，并結(jié)合可信完整性度量方法實現(xiàn)對標記文件的扇區(qū)進行完整性保護；

4、存儲安全訪問設(shè)備通過單獨的管理口對可信度量及存儲訪問進行配置和管理，即通過在計算機系統(tǒng)安裝主機配套管理軟件對可執(zhí)行文件和關(guān)鍵文件所存儲扇區(qū)的位置進行標記，存儲安全訪問設(shè)備實施硬件級的訪問控制及可信運行控制。

5、進一步地，通過計算機系統(tǒng)中運行的配套軟件，對計算機系統(tǒng)中的可執(zhí)行文件進行白名單采集，提取白名單文件在存儲器上分布的物理位置，并對白名單文件對應(yīng)的存儲扇區(qū)進行逐個標記，標記類型可分為度量和只讀兩類，存儲安全訪問設(shè)備依據(jù)標記信息及類型實施訪問控制。

6、進一步地，通過存儲安全訪問設(shè)備對計算機系統(tǒng)發(fā)起的讀請求進行攔截和過濾，實現(xiàn)硬件級的可信運行控制；對白名單內(nèi)的文件所對應(yīng)的存儲扇區(qū)進行標記，白名單內(nèi)的軟件從存儲器上進行讀取加載時實施完整性度量，度量不通過io重定向返回安全區(qū)指令代碼，阻止遭受篡改的軟件被加載執(zhí)行；對白名單之外未進行存儲標記區(qū)的執(zhí)行文件進行讀取加載時，io重定向返回安全區(qū)指令代碼，阻止白名單外的非法軟件運行加載和執(zhí)行。

7、進一步地，通過計算機系統(tǒng)上的主機配套管理軟件，對指定文件進行度量和只讀標記操作，其具體實現(xiàn)步驟包括：

8、主機配套管理軟件從文件系統(tǒng)中獲取待標記文件的簇表信息；

9、主機配套管理軟件從簇表中獲取待標記文件在存儲器上的扇區(qū)位置信息，并提取待標記文件的多個扇區(qū)存儲位置信息；

10、主機配套管理軟件將文件路徑及扇區(qū)位置信息通過管理端口發(fā)送至存儲安全訪問設(shè)備；

11、存儲安全訪問設(shè)備將文件路徑及扇區(qū)位置信息存儲到設(shè)備內(nèi)部，實現(xiàn)對文件度量和只讀保護的標記。

12、進一步地，通過主機配套管理軟件以及存儲安全訪問設(shè)備提供的算法服務(wù)實現(xiàn)對文件的完整性度量，其具體實現(xiàn)步驟包括：

13、主機配套管理軟件通過管理專用接口發(fā)送度量標記命令標記目標文件，并將目標文件存儲的扇區(qū)位置信息發(fā)送給存儲安全訪問設(shè)備；

14、存儲安全訪問設(shè)備讀取該扇區(qū)位置數(shù)據(jù)進行預(yù)期值采集，并將文件標記信息及預(yù)期值存儲于內(nèi)部存儲器中；

15、當存儲安全訪問設(shè)備接收到存儲接口上的io讀請求時，判斷io讀請求的扇區(qū)位置是否被標記為度量，若未被標記為度量，則讀取存儲器數(shù)據(jù)并檢測是否為可執(zhí)行文件，若已被標記為度量且不為可執(zhí)行文件，則允許正常返回，否則將返回的數(shù)據(jù)內(nèi)容重定向至安全區(qū)的指令代碼；

16、若扇區(qū)位置已被標記為度量，則對io讀請求的數(shù)據(jù)塊進行完整性度量，度量成功正常返回數(shù)據(jù)，否則阻止讀取并返回安全區(qū)代碼數(shù)據(jù)。

17、進一步地，通過主機配套管理軟件以及存儲安全訪問設(shè)備實現(xiàn)對文件的只讀保護，其具體實現(xiàn)步驟包括：

18、主機配套管理軟件通過管理專用接口發(fā)送只讀標記命令標記目標文件，并將文件存儲標記的扇區(qū)位置信息發(fā)送給存儲安全訪問設(shè)備；

19、存儲安全訪問設(shè)備將標記信息存儲于內(nèi)部存儲器中；

20、當存儲安全訪問設(shè)備接收到存儲接口上的io寫請求時，判斷寫請求的扇區(qū)位置是否被標記為只讀，若未被標記則允許寫入存儲器，否則拒絕寫入存儲器的操作并返回相應(yīng)io應(yīng)答信息。

21、進一步地，存儲安全訪問設(shè)備對數(shù)據(jù)進行加解密，當開啟加解密功能時對磁盤塊寫入數(shù)據(jù)進行加密，磁盤塊讀入數(shù)據(jù)時對數(shù)據(jù)進行解密。

22、進一步地，存儲安全訪問設(shè)備通過管理專用接口對其進行運行期間的管理和維護。

23、本發(fā)明還公開了一種基于存儲安全訪問的可信運行控制系統(tǒng)，實現(xiàn)上述任一項所述的基于存儲安全訪問的可信運行控制方法，其包括計算機系統(tǒng)、存儲安全訪問設(shè)備和存儲器；存儲安全訪問設(shè)備包括存儲協(xié)議棧單元、密碼運算單元和安全訪問管理單元；存儲協(xié)議棧單元用于協(xié)議解析、協(xié)議轉(zhuǎn)發(fā)和io請求過濾；安全訪問管理單元用于度量管理、標記管理、訪問控制和數(shù)據(jù)緩存；密碼運算單元用于實現(xiàn)加密算法、雜湊算法和預(yù)期值存儲。

24、進一步地，計算機系統(tǒng)通過主機板存儲接口與存儲協(xié)議棧單元連接；計算機系統(tǒng)通過管理專用接口與安全訪問管理單元連接；存儲協(xié)議棧單元分別與密碼運算單元和安全訪問管理單元連接；存儲器通過存儲接口與密碼運算單元連接。

25、由于采用了上述技術(shù)方案，本發(fā)明具有如下的優(yōu)點：

26、1.基于存儲安全訪問的可信運行控制技術(shù)，是屬于硬件級實現(xiàn)可信運行控制及訪問控制的功能。區(qū)別于傳統(tǒng)的運行控制軟件，其采用存儲訪問的物理底層實施訪問控制，無法通過軟件手段對其進行屏蔽或繞開。另外，可信度量所需的算法及預(yù)期值存儲硬件內(nèi)部難以被外部破解。兼容性方面可針對現(xiàn)階段主機最為廣泛的存儲接口(包括：ide、sata、sas、scsi、msata、m.2、sido等)進行轉(zhuǎn)接控制，不需要與運行的操作系統(tǒng)進行強相關(guān)性綁定，也不需要對操作系統(tǒng)內(nèi)核進行定制和改造。

27、2.作為軟件可信運行控制的替代方案、信任鏈向數(shù)據(jù)完整性保護技術(shù)方向擴展，為可信產(chǎn)品系列提供技術(shù)增量。此方案繼續(xù)沿用可信雙體系結(jié)構(gòu)，在保持原計算機平臺框架基本不變的前提下，在原系統(tǒng)中寄宿一個邏輯上相對獨立(實現(xiàn)上可以是離散的模塊形式)的可信子系統(tǒng)，這一可信基礎(chǔ)支撐軟件基礎(chǔ)標準。并不需要對計算機平臺系統(tǒng)進行大規(guī)模的改動，通過存儲接口上串接運行控制硬件卡對宿主操作系統(tǒng)及應(yīng)用軟件實施可信控制。為可信計算體制在面向高安全環(huán)境下的可信度量提供一種硬件級的解決方法，同時還可提供硬件級的系統(tǒng)關(guān)鍵文件只讀保護功能。另外該方案運行控制功能與宿主操作系統(tǒng)偶合型不強，具備良好的兼容性強，可不需要做較大改動的情況下適應(yīng)終端設(shè)備上的各類操作系統(tǒng)。通用性強且安全提升明顯，具備極高的商業(yè)應(yīng)用價值。