基于控制流模型行为的动态远程证明方法

1.一种基于控制流模型行为的动态远程证明方法，其特征在于，该方法包括：
S1、服务提供商根据用户安全需求，对任务运行期间动态条件进行规则制订，生成策略证书；
S2、移动终端获取策略证书，并执行策略控制；所述策略控制为移动终端在操作系统中基于控制流模型和策略证书进行系统访问控制；
S3、若操作系统发现控制流模型中由于监控点条件改变引起控制变化，则移动终端主动发起进行远程证明；
或根据终端需求，服务提供商主动发起进行远程证明；
所述移动终端主动发起进行远程证明具体包括：
控制流模型中由于监控点条件改变引起控制变化，操作系统搜集当前状态，生成包括策略证书的证明信息，通过操作系统应用层的应用代理主动发起，将包括策略证书的证明信息提供给服务提供商；
服务提供商响应请求，将证明信息与服务提供商期望的策略信息进行比较，并确认终端是否成功执行策略控制，以此验证移动终端是否具备继续获取服务的资格。
2.如权利要求1所述方法，其特征在于，所述动态条件至少包括以下一项：主体、客体之间的权能条件、环境条件和约束条件。
3.如权利要求1所述方法，其特征在于，所述步骤S1具体包括：
S11、服务提供商根据用户安全需要，按照特定语法对任务运行期间动态条件进行规则制订，生成策略；
S22、使用可信模块对策略进行加密、签名保护，形成带签名的策略证书。
4.如权利要求1所述方法，其特征在于，所述移动终端主动发起进行远程证明还包括：
移动终端利用移动可信模块对包括策略证书的证明信息进行保护。
5.如权利要求1所述方法，其特征在于，在所述步骤S3后还包括步骤S4：移动终端向第三方代理主动发起进行远程证明。
6.如权利要求5所述方法，其特征在于，所述步骤S4具体包括：
S41、移动终端向第三方代理发起进行远程证明请求，发送包括策略证书的证明信息；
S42、第三方代理向相应服务提供商申请相关备份的策略证书；
S43、第三方代理验证移动终端提供的证明信息，并将验证结果返回移动终端，完成远程证明。
7.如权利要求6所述方法，其特征在于，所述步骤S41中还包括：移动终端利用移动可信模块对包括策略证书的证明信息进行保护。
8.如权利要求4或7所述方法，其特征在于，所述移动终端利用移动可信模块对包括策略证书的证明信息进行保护具体包括：
A、利用移动可信模块上的杂凑算法对策略证书计算杂凑值；
B、利用加密算法对证明信息连同明文杂凑一起加密；
C、利用非对称算法对密文进行签名；
D、密文和签名结构化，形成包含格式和必要信息的受保护的证明信息。

基于控制流模型行为的动态远程证明方法\n技术领域\n[0001] 本发明涉及本发明涉及计算机及电子信息技术领域，特别涉及一种基于控制流模型BPCF模型行为的动态远程证明方法。\n背景技术\n[0002] 验证计算环境安全可信是可信计算的一个重要目标。随着技术发展，移动终端上的安全威胁也在不断加大。研究表明，仅在Android平台上，2011年每月就有80万人感染恶意软件。传统的防病毒、入侵检测等安全机制也都依赖底层操作系统的安全支持。可信计算技术通过对计算机从可信根到可信硬件，到可信操作系统，到可信应用的整个计算系统的整体安全增强，达到确保计算机安全可靠的目的。可信计算中的“可信”包含了安全和可靠，“可信证明”就是要确保系统“行为始终符合预期”。远程证明(Remote Attestation)是可信计算技术提供的主要功能之一，其主要是利用可信平台来保护和实现服务器对客户端计算环境的可信验证。远程证明研究正在从静态证明研究发展对动态属性和模型行为的远程证明研究。基于传统访问控制模型的控制行为来进行远程证明的方法，通过控制模型限定系统行为，解决了动态属性远程证明中存在“证据太多”和“自由行为难以预期”等问题。但是，传统访问控制模型存在“操作系统主体缺失”和“行为约束缺失”等问题，无法满足较复杂安全策略的控制要求。控制流模型BPCF是一种基于用户行为安全策略的，能够对主、客体属性、权能、环境、约束等动态条件进行综合判定的，在某段任务执行期间实施连续控制、条件多变控制和行为关联控制的新型访问控制模型。研究基于控制流模型BPCF模型行为的动态远程证明方法对于验证移动终端计算环境安全可信具有重要意义。\n发明内容\n[0003] (一)所要解决的技术问题\n[0004] 本发明通过提供一种基于控制流模型行为的动态远程证明方法，以提高计算机环境安全可信性，特别是移动终端的可信性。\n[0005] (二)技术方案\n[0006] 本发明提供了一种基于控制流模型行为的动态远程证明方法，该方法包括：\n[0007] S1、服务提供商根据用户安全需求，对任务运行期间动态条件进行规则制订，生成策略证书；\n[0008] S2、移动终端获取策略证书，并执行策略控制；所述策略控制为移动终端在操作系统中基于控制流模型和策略证书进行系统访问控制；\n[0009] S3、若操作系统发现控制流模型中由于监控点条件改变引起控制变化，则移动终端主动发起进行远程证明；\n[0010] 或根据终端需求，服务提供商主动发起进行远程证明。\n[0011] 进一步，所述动态变化条件至少包括以下一项：主体、客体之间的权能条件、环境条件和约束条件。\n[0012] 进一步，所述步骤S1具体包括：\n[0013] S11、服务提供商根据用户安全需要，按照特定语法对任务运行期间动态条件进行规则制订，生成策略；\n[0014] S22、使用可信模块对策略进行加密、签名保护，形成带签名的策略证书。\n[0015] 进一步，所述移动终端主动发起进行远程证明具体包括：\n[0016] 控制流模型中由于监控点条件改变引起控制变化，操作系统搜集当前状态，生成包括策略证书的证明信息，通过操作系统应用层的应用代理主动发起，将包括策略证书的证明信息提供给服务提供商；\n[0017] 服务提供商响应请求，将证明信息与服务提供商期望的策略信息进行比较，并确认终端是否成功执行策略控制，以此验证移动终端是否具备继续获取服务的资格。\n[0018] 进一步，所述移动终端主动发起进行远程证明还包括：移动终端利用移动可信模块对包括策略证书的证明信息进行保护。\n[0019] 进一步，在所述步骤S3后还包括步骤S4：移动终端向第三方代理主动发起进行远程证明。\n[0020] 进一步，所述步骤S4具体包括：\n[0021] S41、移动终端向第三方代理发起进行远程证明请求，发送包括策略证书的证明信息；\n[0022] S42、第三方代理向相应服务提供商申请相关备份的策略证书；\n[0023] S43、第三方代理验证移动终端提供的证明信息，并返回验证结果，完成远程证明。\n[0024] 进一步，所述步骤S41中还包括：移动终端利用移动可信模块对包括策略证书的证明信息进行保护。\n[0025] 进一步，所述移动终端利用移动可信模块对包括策略证书的证明信息进行保护具体包括：\n[0026] A、利用移动可信模块上的杂凑算法对策略证书计算杂凑值；\n[0027] B、利用加密算法对证明信息连同明文杂凑一起加密；\n[0028] C、利用非对称算法对密文进行签名；\n[0029] D、密文和签名结构化，形成包含格式和必要信息的受保护的证明信息。\n[0030] (三)有益效果\n[0031] 本发明基于的控制流模型BPCF是一种基于用户行为安全策略的，能够对主、客体属性、权能、环境、约束等动态条件进行综合判定的，在某段任务执行期间实施连续控制、条件多变控制和行为关联控制的新型访问控制模型。通过本发明解决了远程证明中“操作系统主体缺失”和“行为约束缺失”等问题，可满足较复杂安全策略的控制要求。\n附图说明\n[0032] 图1为本发明方法的步骤流程示意图\n[0033] 图2为本发明实施例系统控制流模型BPCF的控制示意图；\n[0034] 图3为本发明实施例系统当控制流模型中由于条件改变而引起的控制变化时进行远程证明的流程示意图；\n[0035] 图4为本发明实施例有第三方代理参加远程证明是远程证明步骤程示意图。\n具体实施方式\n[0036] 下面结合附图和具体实施例对本发明做进一步详细说明。\n[0037] 本发明提出了一种基于控制流模型BPCF模型行为的动态远程证明方法，如图1所示包括以下步骤：\n[0038] S1、服务提供商根据用户安全需求，对任务运行期间动态条件进行规则制订，生成策略证书；\n[0039] S2、移动终端获取策略证书，并执行策略控制；所述策略控制为移动终端在操作系统中基于控制流模型和策略证书进行系统访问控制；\n[0040] S3、若操作系统发现控制流模型中由于监控点条件改变引起控制变化，则移动终端主动发起进行远程证明；\n[0041] 其中，所述服务提供商是指某应用服务软件和服务的提供者和对客户端发起远程证明的验证者；所述策略是指根据用户安全需要，按照特定语法制订的控制规则的集合，在策略中需要对任务服务运行期间，动态条件进行进行规则制订；所述策略证书是指使用移动可信模块MTM对策略进行加密、签名保护，形成带签名的策略证书。所述动态条件包括以下一项：主体、客体之间的权能条件、环境条件和约束条件\n[0042] 这里所述主客体之间的权能为系统主体对客体的访问能力，这个关系中的主体包括进程等传统主体，也包括操作系统自身；这里的能力包含传统访问控制的读、写、执行、授权等，还包含操作系统的系统能力，包括打印、网络发送、使用摄像头、终止进程等。\n[0043] 环境条件为操作系统在运行中的各种特征；包括静态属性和动态属性。静态属性是指系统运行中不会变化的特征，包括配置、脚本、代码完整性、数据完整性等。动态属性是指系统运行过程中会随着运行发生变化的系统特征，包括是否可信启动、是否安全、磁盘状态、周期、频率等。状态是指在系统运行中所发生的可预期的但不确定的系统特征。这里的环境其实就是操作系统作为主体时的属性。\n[0044] 约束条件为在一次任务中各主体之间的关系，这里的任务是指由用户指定的为完成某一目的所设定的一系列进程行为及配置的安全要求；这里的关系是指为满足特定安全需要而由用户指定的进程行为之间的关系条件，包括依赖关系、触发关系、对立关系、包含关系、限制关系等。\n[0045] 具体的，依赖关系：例如只有在连接特定的安全VPN，且已经完成认证等操作后，才能进行特定文件的处理和发送操作。触发：例如一旦杀毒软件发现有高危险的病毒、木马出现，立即停止对关键文件的操作。对立：某两种动作不能同时进行，例如不能在QQ软件开启的情况下，进行某关键文件的操作处理。包含：如果禁止文件写功能，则同时也包含了所有类似写的操作，例如网络发送、打印等。限制：A动作会对B的某些部分动作进行约束。\n[0046] 其中，移动终端获取策略证书为：所述服务提供商分发策略证书即服务提供商在应用发布后，发布或更新策略证书，移动终端从服务提供商处获取策略证书。\n[0047] 其中，所述移动终端执行策略控制为：所述控制是指在系统内实施控制流控制；\n控制流控制是连续、多变控制的访问控制模型，控制流中每一次主、客体的访问控制，都是系统对环境条件、权能条件和约束条件的综合判定。\n[0048] 在具体的控制中首先按照策略对主体是否符合进行判断，在通过判断后，再按照权能、客体、环境条件、约束条件这个顺序进行判断，最后形成综合判定。通过在对时间段内控制点的连续、整体控制，以及对环境条件、权能条件和约束条件变化控制，实现对复杂行为策略的支持。\n[0049] 所述策略是指在控制点实施的规则要求，用于判定是否允许主体对客体的访问。\n在控制策略中明确环境、权能和约束等判断条件。所述策略控制由符合控制流模型BPCF的控制内核来执行，基于控制流模型和策略证书在系统的任务执行期间进行访问控制，包括一系列判断的综合判定。判定按照权能、环境、约束这个顺序进行判断，最后形成综合判定。\n[0050] 图2为本发明实施例系统控制流模型BPCF的控制示意图，体现了控制流模型BPCF解决了传统的访问控制模型存在的“操作系统主体缺失”的问题，体现现实系统中的“主体对操作系统，操作系统再对客体”的实际控制方式，并在权能中体现操作系统的服务能力。\n[0051] 控制流模型BPCF还解决了传统的访问控制模型存在的“行为不连续和约束缺失”的问题，增加环境条件作为操作系统作为主体时的属性，通过增加操作系统服务能力来扩展权能条件，通过增加对任务执行的控制流过程不同主体间的约束条件，体现系统行为连续和相互约束的特点，并体现系统中各属性和条件的动态变化。基于控制流模型BPCF实现的安全系统能够支持更加丰富的用户策略，对系统行为实施更加准确的策略控制，实现对上层安全机制的保护和控制。\n[0052] 图2还体现了安全系统可以通过函数方式来实现控制。控制函数的参数除了具体属性和条件外，还要包含时间因素，图中通过在引入时间轴，实现对控制流的连续控制。控制流函数共六个参数，分别为：主体属性、客体属性、权能条件、环境条件、约束条件和时间因素T。\n[0053] 其中，所述若操作系统发现控制流模型中由于监控点条件改变引起控制变化，则移动终端主动发起进行远程证明包括：所述的条件变化是指当由于环境条件CONe改变而引起控制变化、当由于约束条件CONr而引起控制变化和/或当由于权能条件CONc改变而引起控制变化时进行远程证明。移动终端进行策略证书的远程证明是指将具体策略证书作为主要的证明信息进行远程证明，通过提供的策略证书与验证方期望的策略进行比较，确认客户端操作系统的控制要求是始终符合预期的；\n[0054] 所述证明信息还包括：当前的控制结果，具体控制中的条件和属性的内容等，例如是否存在病毒，危害等级等。但到底发送什么什么，需要考虑隐私保护问题，按照要求提供。\n[0055] 这些信息内容事先双方是有约定的，具体内容来源于策略中的约定，例如策略约定如果环境条件中出现病毒则进行相应控制的，那么证明信息需要同时提供病毒软件提供的当前病毒情况等信息。至于验证方的验证方式，则由具体证明的实际系统来决定。\n[0056] 通过远程证明最终确定终端是否得到服务器的信任：服务提供商通过验证客户端的策略证书，并在能够确认客户端成功执行策略控制的条件下，认为客户端是可以被信任的，具备继续获取服务的资格。\n[0057] 图3为本发明实施例系统当控制流模型中由于条件改变而引起的控制变化时进行远程证明的流程示意图，体现了本方法在移动终端操作系统中的实现位置。控制流模型BPCF在操作系统的内核中实现。在应用层实现证明代理Agent，并通过代理发起远程证明。\n在服务器上实现验证工具。\n[0058] 图3为本发明实施例系统当控制流模型中由于条件改变而引起的控制变化时进行远程证明的流程示意图，通过监测变化并证明，验证了客户端行为是否始终符合预期。本方法主要是在控制点监测控制变化，当发现由于控制因素中的权能条件、环境条件或约束条件的改变而引起控制变化时，系统搜集当前状态，按照证明要求生成证明信息通过应用代理Agent主动发起，进行远程证明。其中，证明信息由移动可信模块MTM保护后再进行发送。\n[0059] 例如：服务提供商对于约束条件制定规则，其中对某些特定安全行为的相关性约束，例如规定移动终端“只有连接特定的安全网络才能进行业务办理”。移动终端操作系统在进行访问控制时，当在监控点发现业务办理时，联网条件不满足策略要求而引起控制时，移动终端主动向服务提供商发起进行远程证明；\n[0060] 服务提供商对于权能条件制定规则，在权能中，除了传统读、写等权限设置，增加打印、网络发送、使用摄像头等的能力限制，这样即使被系统中某高级进程获取，通过策略控制也无法通过网络将文件泄露出去。\n[0061] 服务提供商对环境条件制定规则，规定“只有可信启动的系统才能进行高级业务操作”，将“启动是否通过了对操作系统内核的完整性检测”作为环境条件，其表示了操作系统的当前状态，能够支持服务器的策略。\n[0062] 发起证明不是在所有的控制条件不满足时都要进行的，这个时机主要与约束条件有关系，当然具体发起可由实际系统按照条件策略来约定，由代理软件来发起。\n[0063] 所述或根据终端需求，服务提供商主动发起进行远程证明，例如当客户端需要申请服务提供商的某项服务时，服务提供商需要首先确认客户端是可信的，即服务提供商要主动发起证明。\n[0064] 其中，所述的移动终端用可信模块对包括策略证书的证明信息保护为，在移动终端上，为确保远程证明过程中不泄露系统隐私信息，需要将待证明的信息使用密码技术进行保护，保护步骤包括：\n[0065] (1)使用移动可信模块MTM上的杂凑算法对策略证书计算杂凑值；\n[0066] (2)使用加密算法对策略证书等信息连同明文杂凑一起加密；\n[0067] (3)使用非对称算法对密文进行签名；\n[0068] (4)密文和签名结构化，形成包含格式和必要信息的受保护的证明信息。\n[0069] 其中，若远程证明中还有第三方代理参加，则在步骤S3后还包括：S4、移动终端向第三方代理发起进行远程证明请求，发送包括策略证书的证明信息。\n[0070] 图4为在有第三方代理参加远程证明的情况下，远程证明的步骤流程示意图，包括以下步骤：\n[0071] (1)制订安全策略证书：由服务提供商按照应用服务的安全需求，制订安全策略，并使用可信模块对证书进行加密、签名保护。\n[0072] (2)发布和更新策略证书：由服务提供商在应用发布后，发布或更新策略证书。移动终端获取策略证书。\n[0073] (3)实施策略控制：移动终端在操作系统中按照策略证书中的策略要求进行系统控制。\n[0074] (4)策略证书远程证明：移动终端向服务提供商发起服务请求时，需要提供自己的策略证书，并通过移动可信模块保护后进行远程证明。服务器通过验证策略证书来确认终端的控制符合安全需要。通过验证并提供服务。\n[0075] (5)和(6)为与第三方代理的远程证明：步骤(5)，移动终端向服务第三方发起服务请求，提供通过移动可信模块保护后的策略证书；步骤(6)，第三方代理向服务提供商申请相应的策略证书，在得到策略证书后，通过与移动终端提交证明信息比较，验证移动终端的控制是符合安全需要的，通过验证并提供服务。\n[0076] 通过本发明实施例对计算环境的动态远程证明，可以有效验证计算环境中操作系统的可信性。\n[0077] 对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同限定。