資源描述:
《基于可信固件的軟件分發(fā)系統(tǒng)研究與設(shè)計》由會員上傳分享���,免費在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1����、基于可信固件的軟件分發(fā)系統(tǒng)研究與設(shè)計趙進武宗濤海軍計算技術(shù)研究所摘要:內(nèi)網(wǎng)環(huán)境下計算機終端部署著大量工作軟件��,必須進行嚴格的管控保證軟件安裝和更新���。傳統(tǒng)機制是基于操作系統(tǒng)部署軟件維護程序�����,實現(xiàn)對終端工作軟件安裝和更新等管理����。這種方式下維護軟件運行于操作系統(tǒng)之上,容易被卸載和中止�����。木文基于可信固件研究設(shè)計了在終端可信固件層部署軟件分發(fā)系統(tǒng)��,實現(xiàn)軟件分發(fā)功能���。該系統(tǒng)能夠保證計算機在上電開機及操作系統(tǒng)啟動后根據(jù)策略���,對工作軟件進行安裝、完整性檢測及更新��。關(guān)鍵詞:可信固件;軟件;分發(fā)系統(tǒng);設(shè)計;0引言內(nèi)網(wǎng)環(huán)境下����,計算
2、機終端運行著大量軟件程序�����,創(chuàng)建和存放著重要數(shù)據(jù)�����,必須進行嚴格的管理,以保證終端軟件及時安裝和更新山����。隨著信息化進程的快速發(fā)展����,內(nèi)網(wǎng)信息安全防護已經(jīng)逐步由核心與主干的防護,轉(zhuǎn)向網(wǎng)絡(luò)內(nèi)部的每一個終端的防護宜�����。因此���,對內(nèi)網(wǎng)環(huán)境下計算機終端進行統(tǒng)一的軟件更新和維護成為亟待解決的問題����。傳統(tǒng)的終端軟件維護方法是在操作系統(tǒng)屮安裝和運行特定的軟件維護程序�,實現(xiàn)對終端軟件安裝和更新的管控固。但是����,這種安全軟件運行于操作系統(tǒng)之上,容易被用戶卸載和中止。另一方面�����,當內(nèi)網(wǎng)終端重裝系統(tǒng)或更換硬盤后,需要重新安裝大量軟件��,才能重建用戶所
3����、需的計算環(huán)境如忑1。在國際上��,可信計算是由可信計算組織(TrustedComputingGroup,TCG)進行推動和開發(fā)��,基本的思路是在計算機主板上配備“信任根”(可信密碼芯片)�。該信任根的可信性由物理安全和管理安全確保;通過該信任根構(gòu)建信任鏈,能夠建立從信任根到碩件平臺����,從碩件平臺到操作系統(tǒng),從操作系統(tǒng)到應(yīng)用的認證��,把信任擴展到整個可信計算領(lǐng)域�����。固件是計算機中不可缺少的重要部件�,是連接計算機基礎(chǔ)硬件和系統(tǒng)軟件的橋梁�。在可信計算機系統(tǒng)中的固件��,稱之為可信固件鳥1��。計算機開機后��,可信密碼芯片首先會對可信固件進
4����、行主動的可信度量���,保證固件的完整性���。在此基礎(chǔ)上,固件會對計算機的關(guān)鍵硬件和核心軟件進行度量,保證硬件不被替換����、系統(tǒng)軟件不被篡改。同時��,I古I件能夠直接對操作系統(tǒng)中的特定路徑和文件進行操作����,包括查看�、修改�����、刪除�。因此,如果在固件中部署可以在系統(tǒng)中自動運行的軟件分發(fā)客戶端��,將能夠保證用戶計算機方便�����、快捷�����、可靠地進行軟件更新血��。本文第一節(jié)研究設(shè)計了基于可信固件的軟件分發(fā)系統(tǒng)總體架構(gòu);第二節(jié)研究設(shè)計了軟件分發(fā)系統(tǒng)服務(wù)器功能;第三節(jié)研究設(shè)計了軟件分發(fā)客戶端功能;第四節(jié)介紹了軟件分發(fā)系統(tǒng)工作流程;第五節(jié)對全文進行了總結(jié)��。
5����、1基于可信固件的軟件分發(fā)系統(tǒng)總體架構(gòu)設(shè)計基于可信固件的軟件分發(fā)系統(tǒng)主要包括軟件分發(fā)服務(wù)器和內(nèi)網(wǎng)終端兩個部分,如圖1所示。其屮�����,軟件分發(fā)服務(wù)器的主要作用是各種硬件平臺����、各種操作系統(tǒng)的內(nèi)網(wǎng)終端進行統(tǒng)一軟件分發(fā)管理。軟件分發(fā)服務(wù)器與部署在可信固件中的軟件分發(fā)客戶端進行交互��,實現(xiàn)對終端信息的自動收集�、解析判斷、選擇和推送軟件�、軟件自動或提示安裝�。內(nèi)網(wǎng)環(huán)境的計算機終端需要在可信固件中部署軟件分發(fā)客戶端。在計算機終端開機后��,可信固件將驗證計算機關(guān)鍵硬件和核心軟件的完整性,特別是軟件分發(fā)客戶端是否已經(jīng)部署��。如果軟件分發(fā)客戶
6、端未能部署或運行�,可信I古I件將對其進行恢復(fù)�����。軟件分發(fā)客戶端將收集終端的軟硬件信息,發(fā)送到軟件分發(fā)服務(wù)器�����。軟件分發(fā)服務(wù)器將會根據(jù)給定的安全軟件安裝策略,將適配的軟件和安裝腳木推送到終端����。軟件分發(fā)客戶端將根據(jù)安裝腳本對軟件進行安裝���。圖1軟件分發(fā)系統(tǒng)總體結(jié)構(gòu)下載原圖2軟件分發(fā)系統(tǒng)服務(wù)器功能和設(shè)計圖2展示了軟件分發(fā)服務(wù)器的主要功能��,包括終端身份認證服務(wù)、軟件倉庫服務(wù)�、遠程軟件推送服務(wù)�、終端分組管理服務(wù)����、安全策略配置服務(wù)�����、H志記錄服務(wù),其具體功能包括���。2.1終端身份認證服務(wù)身份驗證服務(wù)存儲了客戶端的終端標識�����,并將對客
7、戶端的身份進行驗證�。計算機終端接入網(wǎng)絡(luò)后���,能夠自動向終端管理維護系統(tǒng)發(fā)送硬件平臺信息,包括整機信息��、CPU信息、主板序列號���、BIOS信息�、終端標識����。這些信息一方面用于對終端進行身份認證�����,另一方面也會用于根據(jù)硬件平臺和操作系統(tǒng)對終端自動選擇合適版本���。2.2軟件倉庫服務(wù)軟件倉庫服務(wù)保存了所有終端需要安裝的軟件����,每個軟件在入庫時都需要經(jīng)過測試和驗證����,并配套了完整性度量值���、安裝和卸載腳本。2.3遠程軟件推送服務(wù)遠程軟件推送管理服務(wù)針對每臺終端或一組終端配置需要的安裝的軟件��。如根據(jù)部門需求,配置相應(yīng)的軟件安裝策略����。2.
8�、4終端分組管理服務(wù)終端分組管理服務(wù)能夠?qū)⒂嬎銠C終端與使用者信息進行綁定���。使用者信息包括姓名、部門���、編號等信息。管理員能夠根據(jù)終端類型�����、操作系統(tǒng)類型�����、部門、對終端進行分類�,實現(xiàn)分組管理。2.5安全策略配置服務(wù)安全策略配置能夠?qū)γ颗_終端或一組終端進行安全策略配置�,如相應(yīng)用戶的密級����、權(quán)限等��。2.6日志記錄服務(wù)日志記錄服務(wù)能夠記錄到每一臺終端軟件安裝的狀態(tài)����。如果終端岀現(xiàn)異常,會立即向管理員報警并采取相應(yīng)的安
