(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210921989.4 (22)申请日 2022.08.02 (71)申请人 北京工业大 学 地址 100124 北京市朝阳区平乐园10 0号 申请人 支付宝 （杭州） 信息技 术有限公司 (72)发明人 胡俊　付颖芳　张磊　张建标　 韩宇飞　武鹏　 (74)专利代理 机构 成都七星天知识产权代理有 限公司 5125 3 专利代理师 袁春晓 (51)Int.Cl. G06F 21/57(2013.01) G06F 9/445(2018.01) G06F 9/54(2006.01) (54)发明名称 一种安全协作方法和可信系统 (57)摘要 本说明书实施例公开了一种安全协作方法 和可信系统， 涉及计算机系统安全技术领域。 安 全协作方法可 以通过可信系统实现， 包括： 获取 对宿主设备的监控数据； 基于所述监控数据生成 消息； 基于预设的消息 路由信息将所述消息发送 给所述可信系统中的安全功能组件， 以便驱动所 述安全功能组件运行或者驱动所述安全功能组 件与所述可信系统中其他的一个或多个安全功 能组件协同运行， 进而生 成响应于所述监控数据 的控制策略； 基于所述控制策略对宿主设备进行 控制， 以确保宿主设备的信息安全。 由此， 安全协 作方法以消息作为组件运行的驱动， 自动实现不 同的安全处理机制， 提供系统实现效率的同时增 加了系统自身的安全性。 权利要求书3页 说明书10页 附图3页 CN 115292715 A 2022.11.04 CN 115292715 A 1.一种安全协作方法， 其 通过可信系统实现， 包括： 获取对宿主设备的监控数据； 基于所述 监控数据生成消息； 基于预设的消息路由信 息将所述消息发送给所述可信系统中的安全功能组件， 以便驱 动所述安全功 能组件运行或者驱动所述安全功 能组件与所述可信系统中其他的一个或多 个安全功能组件协同运行， 进 而生成响应于所述 监控数据的控制策略； 基于所述控制策略对宿主设备进行控制， 以确保宿主设备的信息安全。 2.如权利要求1所述的方法， 其中， 所述获取对宿主设备的监控数据， 包括： 通过调用宿主设备的操作系统中预设的钩子获取宿主设备中的资源访问请求或访问 请求响应信息， 进 而获得所述监控数据； 所述基于所述控制策略对宿主设备进行控制， 包括： 通过调用宿主设备的操作系统中预设的钩子执行控制指令， 进而实现基于所述控制策 略对宿主设备进行控制。 3.如权利要求1所述的方法， 其中， 所述可信系统包括以下安全功能组件中的部分或全 部： 度量组件， 用于对消息中的度量对象进行运 算， 得到度量结果； 判定组件， 用于将消息中的度量结果与基准 值进行比较， 基于比较结果获得判定结果； 控制组件， 用于基于判定结果 生成控制策略； 接口协议组件， 用于与可信策略管理中心、 其 他设备或其 他可信系统进行信息交 互； 资源访问组件， 用于访问所述可信系统中的可信根实体资源； 消息类型转换组件， 用于对消息进行类型转换。 4.如权利要求1所述的方法， 其中， 基于预设的消息路由信 息将所述消息发送给所述可 信系统中的安全功能组件， 以便驱动所述安全功能组件与所述可信系统中其他的一个或多 个安全功能组件协同运行， 进 而生成响应于所述 监控数据的控制策略， 包括： 获取所述安全功能组件或其 他的安全功能组件的输出消息； 基于预设的消息路由信息确定所述输出消息的接收方； 将所述输出消息发送给作为所述接收方的安全功能组件， 以便该安全功能组件处理所 述输出消息 。 5.如权利要求4所述的方法， 其中， 所述消息路由信息包括消息类型以及消息传递链 路； 所述基于预设的消息路由信息确定所述输出消息的接收方， 包括： 基于输出消息的消息类型确定其对应的消息传递链路； 基于输出消息的发送方和/或消息的跳数， 在所述消息传递链路中匹配， 进而确定所述 输出消息的接收方。 6.如权利要求5所述的方法， 其中， 还 包括： 通过消息类型转换组件对输出消息进行消息类型转换， 以使所述输出消息能够被分发 给不同消息传递链路中的下游安全功能组件。 7.如权利要求 4所述的方法， 其中， 还 包括复制并保存所述消息或所述输出消息 。 8.一种可信系统， 包括可信根实体以及可信软件基， 其中可信软件基包括：权　利　要　求　书 1/3 页 2 CN 115292715 A 2基本系统层， 其包括基本功能函数库以及数据库， 以供组件层中的组件调用其中的基 本功能函数和数据； 以及组件层， 其包括宿主设备接口组件、 数据流 ‑消息转换组件以及多个安全功能组 件； 其中， 宿主设备接口组件用于获取对宿主设备的监控数据、 以及用于基于控制策略对宿主设 备进行控制， 以确保宿主设备的信息安全； 数据流‑消息转换组件用于基于所述 监控数据生成消息； 所述多个安全功能组件通过消息基于预设的消息路由信 息触发， 以实现可信系统 的一 种或多种安全处 理机制， 进 而生成响应于所述 监控数据的控制策略。 9.如权利要求8所述的系统， 其中， 所述可信根实体包括以下中的一种或多种： TPM、 TCM、 TPCM。 10.如权利要求8所述的系统， 所述宿主设备接口组件用于： 通过调用宿主设备的操作系统中预设的钩子获取宿主设备中的资源访问请求， 进而获 得所述监控数据； 以及通过调用宿主设备 的操作系统中预设的钩子执行控制指令， 进而实 现基于所述控制策略对宿主设备进行控制。 11.如权利要求8所述的系统， 其中， 所述多个安全功能组件 包括以下中的部分或全部： 度量组件， 用于对消息中的度量对象进行运 算， 得到度量结果； 判定组件， 用于将消息中的度量结果与基准 值进行比较， 基于比较结果获得判定结果； 控制组件， 用于基于判定结果 生成控制策略； 接口协议组件， 用于与可信策略管理中心、 其 他设备或其 他可信系统进行信息交 互； 资源访问组件， 用于访问所述可信系统中的可信根实体资源； 消息类型转换组件， 用于对消息进行类型转换。 12.如权利要求8所述的系统， 其中， 所述基本系统层还包括主进程， 以便创建消息路由 子进程； 所述消息路由子进程用于： 获取安全功能组件的输出消息； 基于预设的消息路由信息确定所述输出消息的接收方； 将所述输出消息发送给作为所述接收方的安全功能组件， 以便该安全功能组件处理所 述输出消息 。 13.如权利要求12所述的系统， 其中， 所述消息路由信 息包括消息类型以及消息传递链 路； 为了基于预设的消息路由信 息确定所述输出消息的接收方， 所述消息路由子进程还用 于： 基于输出消息的消息类型确定其对应的消息传递链路； 基于输出消息的发送方和/或消息的跳数， 在所述消息传递链路中匹配， 进而确定所述 输出消息的接收方。 14.如权利要求13所述的系统， 其中， 所述多个安全功能组件包括消息类型转换组件， 其用于： 对输出消息进行消息类型转换， 以使所述输出消息能够被分发给不同消息传递链 路中的下游安全功能组件。权　利　要　求　书 2/3 页 3 CN 115292715 A 3