一种智能设备的安全验证方法及智能设备与流程

1.本发明涉及安全验证技术领域，尤其涉及一种智能设备的安全验证方法及智能设备。


背景技术：

2.目前，尤其是政务行业市场上的智能手表这种穿戴式智能设备是手机功能的延申，大多数的智能手表可以独立运行，具备政务业务辅助、运动追踪、通话、定位、身体状态检测、与互联网、政务内网连接等功能。虽然智能手表可以提供有关人体健康和环境的宝贵数据，但它们也为更深层地侵犯隐私行为敞开了大门，因为用户会在这些设备上存储着敏感信息，例如与工作有关的数据，甚至还有用于重要政务指法业务的数据。黑客只要在智能手表中置入一个伪装的应用程序就能获取邮件、通信记录或保密文件中的信息。而随着智能手表在政务行业的普及率的提高，它们也将成最具吸引力的攻击目标。
3.现有的智能手表防护措施多是基于身份验证和限制应用授权来实现。这种方式具有很大的局限性，攻击者可以通过通讯协议脆弱攻击、网络钓鱼、系统漏洞、程序自身漏洞等方法绕过安全检测机制，实现对系统的提权，窃取用户数据。


技术实现要素：

4.针对现有技术中存在的问题，本发明提一种智能设备的安全验证方法，包括：
5.步骤s1，所述智能设备在上电启动时对自身预先配置的操作系统的引导过程进行完整性度量，并根据对应的完整性度量结果判断所述引导过程是否完整：
6.若是，则将所述完整性度量结果作为第一度量值保存，并完成所述上电启动，随后转向步骤s2；
7.若否，则给出异常提示，随后退出；
8.步骤s2，所述智能设备在所述操作系统准备启动可执行文件时，对所述可执行文件的安全性进行静态度量得到安全度量结果，并根据所述安全度量结果判断所述可执行文件是否安全：
9.若是，则将所述安全度量结果作为第二度量值保存，并启动所述可执行文件，随后转向步骤s3；
10.若否，则阻止启动所述可执行文件并记录，随后退出；
11.步骤s3，所述智能设备根据所述第一度量值、所述第二度量值和所述可执行文件的基础属性生成安全报告并发送至网络中心进行远程可信证明，所述网络中心根据所述远程可信证明的可信结果判断所述智能设备是否可信：
12.若是，则允许所述智能设备接入网络；
13.若否，则阻止所述智能设备接入网络。
14.优选的，所述完整度量结果包括程序度量结果、内核度量结果和应用度量结果；则所述步骤s1包括：
15.步骤s11，所述智能设备在上电启动时对所述操作系统的引导程序进行完整性度量得到所述程序度量结果，根据所述程序度量结果判断所述引导程序是否完整：
16.若是，则将所述程序度量结果保存，随后转向步骤s12；
17.若否，则给出异常提示，随后退出；
18.步骤s12，所述智能设备对所述操作系统的内核文件进行完整性度量得到所述内核度量结果，根据所述内核度量结果判断所述内核文件是否完整：
19.若是，则将所述内核度量结果和所述程序度量结果之和保存，随后转向步骤s13；
20.若否，则将所述程序度量结果作为所述第一度量值，并给出异常提示，随后退出；
21.步骤s13，所述智能设备对所述操作系统的关键应用进行完整性度量得到所述应用度量结果，根据所述应用度量结果判断所述关键应用是否完整：
22.若是，则将所述内核度量结果、所述程序度量结果和所述应用度量结果之和作为所述第一度量值，随后完成所述上电启动并转向所述步骤s2；
23.若否，则将所述程序度量结果和所述程序度量结果之和作为所述第一度量值，并给出异常提示，随后退出。
24.优选的，所述步骤s2包括：
25.步骤s21，所述智能设备根据所述可执行文件的基础属性计算得到对应的文件基准值，并将所述文件基准值作为所述安全度量结果；
26.步骤s22，将所述文件基准值于预先保存的标准基准值库中匹配并根据匹配结果判断是否有对应的标准基准值：
27.若是，则将所述安全度量结果作为所述第二度量值保存，并启动所述可执行文件，随后转向所述步骤s3；
28.若否，则阻止启动所述可执行文件并记录，随后退出。
29.优选的，所述网络中心包括网络控制器、安全管理中心和业务系统；则所述步骤s3包括：
30.步骤s31，所述智能设备根据所述第一度量值、所述第二度量值和所述可执行文件的基础属性生成所述安全报告；
31.步骤s32，所述智能设备对所述安全报告进行签名并发送至所述安全管理中心，同时发起网络连接请求；
32.步骤s33，所述安全管理中心对所述安全报告进行验签，随后根据所述安全报告进行远程可信证明得到所述可信结果并发送至所述网络控制器；
33.步骤s34，所述网络控制器根据所述可信结果判断所述智能设备是否可信：
34.若是，则允许所述智能设备连接网络以接入所述业务系统；
35.若否，则阻止所述智能设备连接网络。
36.本发明还提供一种智能设备，应用上述的安全验证方法，则所述智能设备包括：
37.第一度量模块，用于在上电启动时对自身预先配置的操作系统的引导过程进行完整性度量，并根据对应的完整性度量结果在判断所述引导过程完整时将所述完整性度量结果作为第一度量值保存，并完成所述上电启动，随后生成第一完成信号，以及在判断所述引导过程不完整时给出异常提示；
38.第二度量模块，连接所述第一度量模块，用于根据所述第一完成信号在所述操作
系统准备启动可执行文件时，对所述可执行文件的安全性进行静态度量得到安全度量结果，并根据所述安全度量结果在判断所述可执行文件安全时将所述安全度量结果作为第二度量值保存，并启动所述可执行文件，随后生成第二完成信号，以及在判断所述可执行文件不安全时阻止启动所述可执行文件并记录；
39.可信证明模块，分别连接所述第一度量模块和所述第二度量模块，用于根据所述第一度量值、所述第二度量值和所述可执行文件的基础属性生成安全报告并发送至网络中心进行远程可信证明，所述网络中心根据所述远程可信证明的可信结果在判断所述智能设备可信时允许所述智能设备接入网络，以及在判断所述智能设备不可信时阻止所述智能设备接入网络。
40.优选的，所述完整度量结果包括程序度量结果、内核度量结果和应用度量结果；则所述第一度量模块包括：
41.程序度量单元，用于在上电启动时对所述操作系统的引导程序进行完整性度量得到所述程序度量结果，根据所述程序度量结果在判断所述引导程序完整时将所述程序度量结果保存，随后生成内核度量信号，以及在判断所述引导程序不完整时给出异常提示；
42.内核度量单元，连接所述程序度量单元，用于对所述操作系统的内核文件进行完整性度量得到所述内核度量结果，根据所述内核度量结果在判断所述内核文件完整时将所述内核度量结果和所述程序度量结果之和保存，随后生成应用度量信号，以及在判断所述内核文件不完整时将所述程序度量结果作为所述第一度量值，并给出异常提示；
43.应用度量单元，连接所述内核度量单元，用于对所述操作系统的关键应用进行完整性度量得到所述应用度量结果，根据所述应用度量结果在判断所述关键应用完整时将所述内核度量结果、所述程序度量结果和所述应用度量结果之和作为所述第一度量值，随后完成所述上电启动，以及在判断所述关键应用不完整时将所述程序度量结果和所述程序度量结果之和作为所述第一度量值，并给出异常提示。
44.优选的，所述第二度量模块包括：
45.计算单元，用于根据所述可执行文件的基础属性计算得到对应的文件基准值，并将所述文件基准值作为所述安全度量结果；
46.匹配单元，连接所述计算单元，用于将所述文件基准值于预先保存的标准基准值库中匹配并根据匹配结果在判断有对应的标准基准值时将所述安全度量结果作为所述第二度量值保存，并启动所述可执行文件，以及在判断有对应的标准基准值时阻止启动所述可执行文件并记录。
47.优选的，所述网络中心包括网络控制器、安全管理中心和业务系统；则所述可信证明模块包括：
48.报告生成单元，用于根据所述第一度量值、所述第二度量值和所述可执行文件的基础属性生成安全报告；
49.网络请求单元，连接所述报告生成单元，用于通过证书对安全报告数据包进行签名并发送至所述安全管理中心，同时发起网络连接请求；
50.可信证明单元，连接所述网络请求单元，用于所述安全管理中心通过证书对数据包进行验签，随后根据所述安全报告进行远程可信证明得到可信结果并发送至所述网络控制器；
51.网络连接单元，连接所述可信证明单元，用于所述网络控制器根据所述可信结果在判断所述智能设备可信时，允许所述智能设备连接网络以接入所述业务系统，以及在判断所述智能设备不可信时阻止所述智能设备连接网络。
52.上述技术方案具有如下优点或有益效果：在智能设备上电启动自身预先配置的操作系统开始引导过程前，利用可信计算技术，实现对操作系统的引导过程的完整性度量；并且，在操作系统启动完成后的运行过程中，利用可信计算静态度量技术，实现对操作系统启动可执行文件前的安全度量，并可以在智能设备接入网络中心时通过远程证明的方法验证安全性，保证系统的完整性和安全性。
附图说明
53.图1为本发明的较佳的实施例中，一种智能设备的安全验证方法的流程示意图；
54.图2为本发明的较佳的实施例中，步骤s1的子流程示意图；
55.图3为本发明的较佳的实施例中，步骤s2的子流程示意图；
56.图4为本发明的较佳的实施例中，步骤s3的子流程示意图；
57.图5为本发明的较佳的实施例中，一种智能设备的结构示意图。
具体实施方式
58.下面结合附图和具体实施例对本发明进行详细说明。本发明并不限定于该实施方式，只要符合本发明的主旨，则其他实施方式也可以属于本发明的范畴。
59.本发明的较佳的实施例中，基于现有技术中存在的上述问题，现提供一种智能设备的安全验证方法，如图1所示，包括：
60.步骤s1，智能设备在上电启动时对自身预先配置的操作系统的引导过程进行完整性度量，并根据对应的完整性度量结果判断引导过程是否完整：
61.若是，则将完整性度量结果作为第一度量值保存，并完成上电启动，随后转向步骤s2；
62.若否，则给出异常提示，随后退出；
63.步骤s2，智能设备在操作系统准备启动可执行文件时，对可执行文件的安全性进行静态度量得到安全度量结果，并根据安全度量结果判断可执行文件是否安全：
64.若是，则将安全度量结果作为第二度量值保存，并启动可执行文件，随后转向步骤s3；
65.若否，则阻止启动可执行文件并记录，随后退出；
66.步骤s3，智能设备根据第一度量值、第二度量值和可执行文件的基础属性生成安全报告并发送至网络中心进行远程可信证明，网络中心根据远程可信证明的可信结果判断智能设备是否可信：
67.若是，则允许智能设备接入网络；
68.若否，则阻止智能设备接入网络。
69.具体的，本实施例中，由于现有的智能手表防护措施多是基于身份验证和限制应用授权来实现。这种方式具有很大的局限性，攻击者可以通过通讯协议脆弱攻击、网络钓鱼、系统漏洞、程序自身漏洞等方法绕过安全检测机制，实现对系统的提权，窃取用户数据。
70.针对现有技术的缺陷或改进需求，本发明提供了一种智能设备的安全验证方法，以智能手表为例，通过利用手表的安全硬件，可以在手表内配置的操作系统的引导过程中，利用可信计算技术，实现对操作系统引导过程的完整性度量，并且，在操作系统启动完成后的运行过程中，利用可信计算静态度量技术，实现在操作系统启动可执行文件前的安全度量，并可以通过远程证明的方法在证明智能手表可信时允许接入网络中心，保证了系统的完整性和安全性。
71.本发明较佳的实施例中，完整度量结果包括程序度量结果、内核度量结果和应用度量结果；则如图2所示，步骤s1包括：
72.步骤s11，智能设备在上电启动时对操作系统的引导程序进行完整性度量得到程序度量结果，根据程序度量结果判断引导程序是否完整：
73.若是，则将程序度量结果保存，随后转向步骤s12；
74.若否，则给出异常提示，随后退出；
75.步骤s12，智能设备对操作系统的内核文件进行完整性度量得到内核度量结果，根据内核度量结果判断内核文件是否完整：
76.若是，则将内核度量结果和程序度量结果之和保存，随后转向步骤s13；
77.若否，则将程序度量结果作为第一度量值，并给出异常提示，随后退出；
78.步骤s13，智能设备对操作系统的关键应用进行完整性度量得到应用度量结果，根据应用度量结果判断关键应用是否完整：
79.若是，则将内核度量结果、程序度量结果和应用度量结果之和作为第一度量值，随后完成上电启动并转向步骤s2；
80.若否，则将程序度量结果和程序度量结果之和作为第一度量值，并给出异常提示，随后退出。
81.具体的，本实施例中，对引导程序、内核文件以及关键应用的完整性度量都是通过杂凑算法的方式计算得到杂凑算法值作为对应的度量结果。
82.杂凑(hashing)算法是一种将任意长度的消息映射到固定长度的散列值(哈希值)的方法。该算法通常用于加密、数据完整性校验、信息认证等方面。
83.其基本思想是将消息通过一系列复杂的处理算法，生成一个与消息固定长度相同的散列值。常用的杂凑算法有md5、sha-1、sha-256等。
84.在加密方面，杂凑算法可以用作验证消息的完整性，例如将消息和其对应的杂凑值一并发送给接收方，接收方可以再次计算消息的杂凑值并与接收到的杂凑值进行比对，以确保消息没有被篡改。
85.在信息认证方面，杂凑算法可以用于身份验证、数字签名等场景。例如对某一身份信息进行杂凑，将杂凑值作为该身份信息的唯一标识，并对杂凑值进行加密或数字签名，以确保信息的安全性和真实性。
86.需要注意的是，杂凑算法虽然可以将任意长度的消息映射到固定长度的散列值，但不能保证不发生散列冲突(即，两个不同的消息散列后得到相同的散列值)。因此，在应用时需要选择适当的算法，并合理设计数据结构和算法以避免散列冲突的风险。
87.累加算法：fori＝1tomdopcr_ext[n]+＝pcr_ext(n,data[m])；这个累加算法是一种基于循环结构的累加方式。其中，m是数据集的大小，pcr_ext是一个存储pcr
(polymerasechainreaction)扩增结果的数组，n表示当前处理的pcr样本编号，data[m]是第m个数据样本。
[0088]
循环的实现方式是，对于每个数据样本m，都将其与当前处理的pcr样本n进行扩增，然后将扩增结果累加到pcr_ext[n]中。由于循环结构中含有+＝，因此每次循环都会将上一次的结果加上新的扩增结果，最终会得到pcr样本n在所有数据样本中的汇总扩增结果。
[0089]
本实施例对操作系统的引导过程进行完整性度量时，依次对操作系统的引导程序、内核文件和关键应用进行度量，采用杂凑算法计算得到杂凑算法值作为对应的度量结果。
[0090]
首先对引导程序进行度量，在度量结果表示不完整时给出异常提示，在度量结果表示完整时将该度量结果保存并开始对内核文件开始度量，在度量结果表示不完整时给出异常提示，在度量结果表示完整时将该度量结果与引导程序的度量结果累加并保存，并开始对关键应用开始度量，在度量结果表示不完整时给出异常提示，在度量结果表示完整时将所有度量结果累加作为第一度量值。
[0091]
本发明较佳的实施例中，如图3所示，步骤s2包括：
[0092]
步骤s21，智能设备根据可执行文件的基础属性计算得到对应的文件基准值，并将文件基准值作为安全度量结果；
[0093]
步骤s22，将文件基准值于预先保存的标准基准值库中匹配并根据匹配结果判断是否有对应的标准基准值：
[0094]
若是，则将安全度量结果作为第二度量值保存，并启动可执行文件，随后转向步骤s3；
[0095]
若否，则阻止启动可执行文件并记录，随后退出。
[0096]
具体的，本实施例中，在操作系统启动可执行文件(elf)加载内存之前，使用lsm安全框架进行拦截，通过基准值库判断elf文件的文件基准值在基准值库内是否存在对应的标准基准值，如果不存在，则拦截elf文件加载内存，并记录审计。如果存在则启动可执行文件后加载内存。
[0097]
文件的基准值是指文件的一些基本属性，比如文件大小、文件名、创建时间、修改时间等，在一定范围内不会改变的值。获取文件的基准值需要在文件创建或之后的某个时间点确定，一般情况下，在文件创建时或修改后会为每个文件分配一份文件元数据，其中包括了文件的基本属性信息，例如文件大小、完整路径、修改时间等，这些元数据经常被用来计算生成基准值。在计算基准值时，系统会对这些元数据进行杂凑算法，以此生成唯一的基准值。
[0098]
为了确定文件的基准值，我们需要创建一个基准值库，并将所有文件的标准基准值保存在库中。基准值库中的文件基本属性信息是由文件管理系统维护的，通常情况下，每个文件的基准值都可以在它被创建时生成，并在库中进行记录。当我们需要识别一个文件是否被修改时，就可以通过加载文件来计算它的基准值，然后将其与基准值库中保存的值进行比较，如果两个基准值不一致，则说明文件已被修改，从而能够增强系统的安全性。
[0099]
本发明较佳的实施例中，网络中心包括网络控制器、安全管理中心和业务系统；如图4所示，则步骤s3包括：
[0100]
步骤s31，智能设备根据第一度量值、第二度量值和可执行文件的基础属性生成安全报告；
[0101]
步骤s32，智能设备对安全报告进行签名并发送至安全管理中心，同时发起网络连接请求；
[0102]
步骤s33，安全管理中心对安全报告进行验签，随后根据安全报告进行远程可信证明得到可信结果并发送至网络控制器；
[0103]
步骤s34，网络控制器根据可信结果判断智能设备是否可信：
[0104]
若是，则允许智能设备连接网络以接入业务系统；
[0105]
若否，则阻止智能设备连接网络。
[0106]
具体的，本实施例中，在政务行业内，智能手表的应用场景主要是执法和办公环境，在应用过程中会涉及到重要的数据，所以需要通过网络控制器接入政务内网，智能手表通过安全管理中心进行统一管理以确保数据传输的安全。
[0107]
安全报告分成两部分，第一部分是启动时对操作系统的引导过程度量完成后，从硬件寄存器内读出的第一度量值。第二部分是度量成功的可执行程序的第二度量值以及对应的基础属性(包括文件名称和时间戳)，将两部分进行组合后，生成安全报告。
[0108]
安全报告通过专属通道，发送到安全管理中心，由安全管理中心判断安全报告的可信结果，并将安全报告的可信结果发送给政务内网的边界设备
‑‑
网络控制器。
[0109]
网络控制器收到安全中心的可信状态报告后，根据报告中的可信结果，判断智能手表的政务内网接入状态。其中的一种判断方式可以为，如果可信状态是1，智能手表可以继续接入政务内网，如果可信状态是0，网络控制器阻断智能手表政务内网的接入状态。
[0110]
智能手表发送安全报告时，通过证书对安全报告数据包进行签名，安全中心收到安全报告数据包后，通过证书对数据包进行验签，保证安全报告数据的完整性和防篡改。
[0111]
本发明还提供一种智能设备，应用上述的安全验证方法，则如图5所示，智能设备包括：
[0112]
第一度量模块1，用于在上电启动时对自身预先配置的操作系统的引导过程进行完整性度量，并根据对应的完整性度量结果在判断引导过程完整时将完整性度量结果作为第一度量值保存，并完成上电启动，随后生成第一完成信号，以及在判断引导过程不完整时给出异常提示；
[0113]
第二度量模块2，连接第一度量模块1，用于根据第一完成信号在操作系统准备启动可执行文件时，对可执行文件的安全性进行静态度量得到安全度量结果，并根据安全度量结果在判断可执行文件安全时将安全度量结果作为第二度量值保存，并启动可执行文件，随后生成第二完成信号，以及在判断可执行文件不安全时阻止启动可执行文件并记录；
[0114]
可信证明模块3，分别连接第一度量模块1和第二度量模块2，用于根据第一度量值、第二度量值和可执行文件的基础属性生成安全报告并发送至网络中心4进行远程可信证明，网络中心4根据远程可信证明的可信结果在判断智能设备可信时允许智能设备接入网络，以及在判断智能设备不可信时阻止智能设备接入网络。
[0115]
本发明较佳的实施例中，完整度量结果包括程序度量结果、内核度量结果和应用度量结果；则如图5所示，第一度量模块1包括：
[0116]
程序度量单元11，用于在上电启动时对操作系统的引导程序进行完整性度量得到
程序度量结果，根据程序度量结果在判断引导程序完整时将程序度量结果保存，随后生成内核度量信号，以及在判断引导程序不完整时给出异常提示；
[0117]
内核度量单元12，连接程序度量单元11，用于对操作系统的内核文件进行完整性度量得到内核度量结果，根据内核度量结果在判断内核文件完整时将内核度量结果和程序度量结果之和保存，随后生成应用度量信号，以及在判断内核文件不完整时将程序度量结果作为第一度量值，并给出异常提示；
[0118]
应用度量单元13，连接内核度量单元12，用于对操作系统的关键应用进行完整性度量得到应用度量结果，根据应用度量结果在判断关键应用完整时将内核度量结果、程序度量结果和应用度量结果之和作为第一度量值，随后完成上电启动，以及在判断关键应用不完整时将程序度量结果和程序度量结果之和作为第一度量值，并给出异常提示。
[0119]
本发明较佳的实施例中，如图5所示，第二度量模块2包括：
[0120]
计算单元21，用于根据可执行文件的基础属性计算得到对应的文件基准值，并将文件基准值作为安全度量结果；
[0121]
匹配单元22，连接计算单元21，用于将文件基准值于预先保存的标准基准值库中匹配并根据匹配结果在判断有对应的标准基准值时将安全度量结果作为第二度量值保存，并启动可执行文件，以及在判断有对应的标准基准值时阻止启动可执行文件并记录。
[0122]
本发明较佳的实施例中，网络中心4包括网络控制器41、安全管理中心42和业务系统43；则如图5所示，可信证明模块3包括：
[0123]
报告生成单元31，用于根据第一度量值、第二度量值和可执行文件的基础属性生成安全报告；
[0124]
网络请求单元32，连接报告生成单元31，用于对安全报告进行签名并发送至安全管理中心42，同时发起网络连接请求；
[0125]
可信证明单元33，连接网络请求单元32，用于安全管理中心42对安全报告进行验签，随后根据安全报告进行远程可信证明得到可信结果并发送至网络控制器41；
[0126]
网络连接单元34，连接可信证明单元33，用于网络控制器41根据可信结果在判断智能设备可信时，允许智能设备连接网络以接入业务系统43，以及在判断智能设备不可信时阻止智能设备连接网络。
[0127]
以上仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。

技术特征：
1.一种智能设备的安全验证方法，其特征在于，包括：步骤s1，所述智能设备在上电启动时对自身预先配置的操作系统的引导过程进行完整性度量，并根据对应的完整性度量结果判断所述引导过程是否完整：若是，则将所述完整性度量结果作为第一度量值保存，并完成所述上电启动，随后转向步骤s2；若否，则给出异常提示，随后退出；步骤s2，所述智能设备在所述操作系统准备启动可执行文件时，对所述可执行文件的安全性进行静态度量得到安全度量结果，并根据所述安全度量结果判断所述可执行文件是否安全：若是，则将所述安全度量结果作为第二度量值保存，并启动所述可执行文件，随后转向步骤s3；若否，则阻止启动所述可执行文件并记录，随后退出；步骤s3，所述智能设备根据所述第一度量值、所述第二度量值和所述可执行文件的基础属性生成安全报告并发送至网络中心进行远程可信证明，所述网络中心根据所述远程可信证明的可信结果判断所述智能设备是否可信：若是，则允许所述智能设备接入网络；若否，则阻止所述智能设备接入网络。2.根据权利要求1所述的安全验证方法，其特征在于，所述完整度量结果包括程序度量结果、内核度量结果和应用度量结果；则所述步骤s1包括：步骤s11，所述智能设备在上电启动时对所述操作系统的引导程序进行完整性度量得到所述程序度量结果，根据所述程序度量结果判断所述引导程序是否完整：若是，则将所述程序度量结果保存，随后转向步骤s12；若否，则给出异常提示，随后退出；步骤s12，所述智能设备对所述操作系统的内核文件进行完整性度量得到所述内核度量结果，根据所述内核度量结果判断所述内核文件是否完整：若是，则将所述内核度量结果和所述程序度量结果之和保存，随后转向步骤s13；若否，则将所述程序度量结果作为所述第一度量值，并给出异常提示，随后退出；步骤s13，所述智能设备对所述操作系统的关键应用进行完整性度量得到所述应用度量结果，根据所述应用度量结果判断所述关键应用是否完整：若是，则将所述内核度量结果、所述程序度量结果和所述应用度量结果之和作为所述第一度量值，随后完成所述上电启动并转向所述步骤s2；若否，则将所述程序度量结果和所述程序度量结果之和作为所述第一度量值，并给出异常提示，随后退出。3.根据权利要求1所述的安全验证方法，其特征在于，所述步骤s2包括：步骤s21，所述智能设备根据所述可执行文件的基础属性计算得到对应的文件基准值，并将所述文件基准值作为所述安全度量结果；步骤s22，将所述文件基准值于预先保存的标准基准值库中匹配并根据匹配结果判断是否有对应的标准基准值：若是，则将所述安全度量结果作为所述第二度量值保存，并启动所述可执行文件，随后
转向所述步骤s3；若否，则阻止启动所述可执行文件并记录，随后退出。4.根据权利要求1所述的安全验证方法，其特征在于，所述网络中心包括网络控制器、安全管理中心和业务系统；则所述步骤s3包括：步骤s31，所述智能设备根据所述第一度量值、所述第二度量值和所述可执行文件的基础属性生成所述安全报告；步骤s32，所述智能设备对所述安全报告进行签名并发送至所述安全管理中心，同时发起网络连接请求；步骤s33，所述安全管理中心对所述安全报告进行验签，随后根据所述安全报告进行远程可信证明得到所述可信结果并发送至所述网络控制器；步骤s34，所述网络控制器根据所述可信结果判断所述智能设备是否可信：若是，则允许所述智能设备连接网络以接入所述业务系统；若否，则阻止所述智能设备连接网络。5.一种智能设备，其特征在于，应用如权利要求1-4中任意一项所述的安全验证方法，则所述智能设备包括：第一度量模块，用于在上电启动时对自身预先配置的操作系统的引导过程进行完整性度量，并根据对应的完整性度量结果在判断所述引导过程完整时将所述完整性度量结果作为第一度量值保存，并完成所述上电启动，随后生成第一完成信号，以及在判断所述引导过程不完整时给出异常提示；第二度量模块，连接所述第一度量模块，用于根据所述第一完成信号在所述操作系统准备启动可执行文件时，对所述可执行文件的安全性进行静态度量得到安全度量结果，并根据所述安全度量结果在判断所述可执行文件安全时将所述安全度量结果作为第二度量值保存，并启动所述可执行文件，随后生成第二完成信号，以及在判断所述可执行文件不安全时阻止启动所述可执行文件并记录；可信证明模块，分别连接所述第一度量模块和所述第二度量模块，用于根据所述第一度量值、所述第二度量值和所述可执行文件的基础属性生成安全报告并发送至网络中心进行远程可信证明，所述网络中心根据所述远程可信证明的可信结果在判断所述智能设备可信时允许所述智能设备接入网络，以及在判断所述智能设备不可信时阻止所述智能设备接入网络。6.根据权利要求5所述的安全验证系统，其特征在于，所述完整度量结果包括程序度量结果、内核度量结果和应用度量结果；则所述第一度量模块包括：程序度量单元，用于在上电启动时对所述操作系统的引导程序进行完整性度量得到所述程序度量结果，根据所述程序度量结果在判断所述引导程序完整时将所述程序度量结果保存，随后生成内核度量信号，以及在判断所述引导程序不完整时给出异常提示；内核度量单元，连接所述程序度量单元，用于对所述操作系统的内核文件进行完整性度量得到所述内核度量结果，根据所述内核度量结果在判断所述内核文件完整时将所述内核度量结果和所述程序度量结果之和保存，随后生成应用度量信号，以及在判断所述内核文件不完整时将所述程序度量结果作为所述第一度量值，并给出异常提示；应用度量单元，连接所述内核度量单元，用于对所述操作系统的关键应用进行完整性
度量得到所述应用度量结果，根据所述应用度量结果在判断所述关键应用完整时将所述内核度量结果、所述程序度量结果和所述应用度量结果之和作为所述第一度量值，随后完成所述上电启动，以及在判断所述关键应用不完整时将所述程序度量结果和所述程序度量结果之和作为所述第一度量值，并给出异常提示。7.根据权利要求5所述的安全验证系统，其特征在于，所述第二度量模块包括：计算单元，用于根据所述可执行文件的基础属性计算得到对应的文件基准值，并将所述文件基准值作为所述安全度量结果；匹配单元，连接所述计算单元，用于将所述文件基准值于预先保存的标准基准值库中匹配并根据匹配结果在判断有对应的标准基准值时将所述安全度量结果作为所述第二度量值保存，并启动所述可执行文件，以及在判断有对应的标准基准值时阻止启动所述可执行文件并记录。8.根据权利要求5所述的安全验证系统，其特征在于，所述网络中心包括网络控制器、安全管理中心和业务系统；则所述可信证明模块包括：报告生成单元，用于根据所述第一度量值、所述第二度量值和所述可执行文件的基础属性生成安全报告；网络请求单元，连接所述报告生成单元，用于对所述安全报告进行签名并发送至所述安全管理中心，同时发起网络连接请求；可信证明单元，连接所述网络请求单元，用于所述安全管理中心对所述安全报告进行验签，随后根据所述安全报告进行远程可信证明得到可信结果并发送至所述网络控制器；网络连接单元，连接所述可信证明单元，用于所述网络控制器根据所述可信结果在判断所述智能设备可信时，允许所述智能设备连接网络以接入所述业务系统，以及在判断所述智能设备不可信时阻止所述智能设备连接网络。

技术总结
本发明提供一种智能设备的安全验证方法及智能设备，涉及安全验证技术领域，包括：智能设备在上电启动时对预先配置的操作系统的引导过程进行完整性度量，并根据完整性度量结果判断引导过程完整时将完整性度量结果作为第一度量值保存并完成启动过程，随后在操作系统启动可执行文件时进行静态度量得到安全度量结果，将安全度量结果作为第二度量值保存，并启动可执行文件，随后根据第一度量值、第二度量值和可执行文件的基础属性生成安全报告并发送至网络中心进行远程可信证明，网络中心根据远程可信证明的结果判断智能设备是否允许智能设备接入网络。有益效果是对智能设备进行多方面度量和通过远程可信证明后才接入网络，提高设备完整性和安全性。提高设备完整性和安全性。提高设备完整性和安全性。


技术研发人员：赵戈 胡津铭 孙永清
受保护的技术使用者：公安部第三研究所
技术研发日：2023.06.16
技术公布日：2023/10/11