专利名称::用于证明分组踪迹的方法和系统的制作方法
技术领域:
:本发明一般涉及窃听(wiretapping)电子通信,并且,特别涉及用于验证或"证明(notarize)"分组踪迹(packettrace)的计算机实现的方法、数据处理系统、以及计算机程序产品。
背景技术:
:窃听是第三方经常通过隐蔽的手段而监视电话或电子通信的过程。截荻(intercept)电话对话和诸如传真、电子邮件和其它数据传送的电子通信的这种过程提供了一种由法律强制机构(agency)使用的有效的调查工具。为了实现窃听,典型地,法律强制机构向电话公司的中央办公室或因特网服务提供商(ISP)提出窃听请求。法律强制机构所采用的用于截获电子通信的窃听产品的例子包括由美国联邦调查局开发的Carnivore,以及商业产品Cyvei11ance。在法律强制官员具有窃听授权以探听(snoop)并存储他们的通4言踪迹的人的ISP处部属Carnivore系纟充。实质上,Cyvei1lance和Carnivore都作为分组探测器(sniffer)操作,其中,所述分组探测器是能够"看到"通过其连接到的网络传递的全部信息的程序。该程序在网络上观看、或者"探测(sniff)"例如数据流的每个分组。窃听装置寻找具有特殊分组属性的分组或通信会话,并且,如果找到,则将该会话保存到盘或磁带,以便之后观看、并且在法庭进行中使用。但是,如果不能证明生成的计算机记录(例如这些存储的会话)的保管(custody)链,则法庭可能将这些记录认作传闻,并且必须作出特定的争辩,以能够在法庭中将记录作为证据引入。在现有技术中存在的用于存储关于窃听的信息的方法包括对监察(audit)日志记录进行散列(hash)操作;使用硬件装置来存储监察日志记录的消息摘要(digest);将消息摘要整合到例如聊天客户机的特殊的应用中;以及使用硬件装置来存储谈话日志的消息摘要。但是,典型地,所有的这些现有方法将窃听信息存储在日志内,然后执行散列完整的记录。散列功能替换或调换(transpose)数据,以创建数字"指紋",或散列值。典型的散列函数包括很短的一串字母和数字(以16进制符号方式写的二进制数据)。当在之后获得日志的另一散列值时,比较两个散列值。如果散列值匹配,则将日志确定为可信的。然而,因为在完整日志的初始散列之前、计算机数据可能会被改变,所以,在法庭中还可存在一些关于数据的可信度的问题。当前,不存
发明内容说明性实施例提供了一种用于验证或"证明"分组踪迹的计算机实现的方法、数据处理系统和计算机程序产品。具体地,说明性实施例提供了用于捕获非可锻(non-forgeable)分组踪迹的网络探测器。响应于探测器的启动,在探测器利用的信任平台模块中获得一个或多个平台配置寄存器中的值的第一引用(quote),其中所述第一引用包括在平台配置寄存器中的起始值的列表,并且,其中,通过所述信任平台模块在第一引用上签名,并将第一引用存储在分组日志中。当在探测器截获兴趣分组时,探测器获得兴趣分组的散列(hash)。然后,探测器指示所述信任平台模块通过将兴趣分组的散列附加到平台配置寄存器的当前值的散列、并对此值进行散列操作以创建被存储在PCR中的新的散列,来利用兴趣分组的散列而扩展平台配置寄存器。探测器可指示信任平台模块通过调用PCRExtendAPI来扩展平台配置寄存器。然后,将兴趣分组存储在分组日志中。当关闭探测器时,获得在所述平台配置寄存器中的值的第二引用,其中第二引用包括在平台配置寄存器中的当前值的列表,并且其中,通过所述信任平台模块在第二引用上签名,并将第二引用存储在分组日志中。在所附权利要求中阐述了本发明的确信特性的新颖特征。但是,当结合附图阅读时,通过参考以下说明性实施例的详细描述,将最好地理解发明本身和优选使用模式、其它目标和其优点,其中图1描绘了其中可实现说明性实施例的分布式数据处理系统的图示代表;图2是其中可实现说明性实施例的数据处理系统的框图;图3是其中可实现说明性实施例的示例信任平台结构的框图;图4是图解其中可实现说明性实施例的示例信任平台结构的框图;图5A和5B是已知的窃听配置的框图;图6是根据说明性实施例的包括安全认可的探测器的示例窃听配置的框图;图7A和7B描绘了根据说明性实施例的示例日志文件。图8是图解了根据说明性实施例的探测器逻辑的流程图;以及图9是图解了确认(va1idate)根据说明性实施例的日志正确性的证据的过程的流程图。具体实施方式现在参考附图,并且特别地参考图1-2,提供其中可实现说明性实施例的数据处理环境的示例图。应当理解,图l-2只是示例,并且不意于断言或暗示任何关于其中可实现不同实施例的环境的限定。可对描述的环境作出许多修改。现在参考附图,图1描绘了其中可实现说明性实施例的数据处理系统的网络的图示代表。网络数据处理系统100为可实现实施例的计算机网络。网络数据处理系统100包含网络102,其为用于提供在各种装置和共同连接在网络数据处理系统100内的计算机之间的通信链路的介质。网络102可包括诸如有线、无线通信连接或光纤电缆的连接。在描述的例子中,服务器104和服务器106与存储单元108—起连接到网络102。此外,客户机110、112和114连接到网络102。例如,这些客户机110、112和114可为个人计算机或网络计算机。在描述的例子中,服务器104对客户机110、112和114提供诸如;1导(boot)文件、操作系统映像(image)和应用的数据。在此例子中,客户机110、112和114是针对服务器104的客户机。网络数据处理系统100可包括附加的服务器、客户机和未示出的其它装置。在描述的例子中,网络数据处理系统100是具有网络102的因特网,其代表网络和使用传输控制协议/因特网协议(TCP/IP)套件来彼此通信的网关在世界范围的汇集。在因特网的中心是在主节点或主机计算机之间的高速数据通信线的中枢,其由对数据和消息进行路由的几千个商业、政府、教育和其它计算机系统组成。当然,网络数据处理系统100还可被实现为多个不同类型的网络,如因特网、局域网(LAN)或广域网(WAN)。图1意在作为例子,而不是作为对于不同实施例的架构限定。现在参考图2,示出了其中可实现说明性实施例的数据处理系统的框图。数据处理系统200是计算机的例子(例如,图1中的服务器104或客户机110),其中,对于说明性实施例,可放置实现处理的计算机可用代码或指令。在描述的实施例中,数据处理系统200采用包括北桥和存储器控制器集线器(MCH)202、以及南桥和输入/输出(1/0)控制器集线器(ICH)204的集线器架构。处理单元206、主存储器208和图形处理器210耦接到北桥和存储器控制器集线器202。处理单元206可包括一个或多个处理器,并且,甚至可使用一个或多个异类处理器系统来实现。例如,图形处理器210还可通过加速图形端口(AGP)耦接到MCH。在描述的例子中,局域网(LAN)适配器212耦接到南桥和1/0控制器集线器204,并且,音频适配器216、键盘和鼠标适配器220、调制解调器222、只读存储器(ROM)224、通用串行总线(USB)端口和其它通信端口232、以及PCI/PCIe装置234通过总线238耦接到南桥和1/0控制器集线器204,并且,硬盘驱动器(HDD)226和CD-COM装置230通过总线240而耦接到南桥和I/O控制器集线器204。PCI/PCIe装置可包括,例如,以太网适配器、附加卡、以及用于笔记本计算机的PC卡。PCI使用卡总线控制器,而PCIe不使用卡总线控制器。例如,■224可为快闪二进制输入/输出系统(BIOS)。例如,硬盘驱动器226和CD-COM装置230可使用集成驱动电子器件(IDE)或串行高级技术附连(SATA)接口。超级1/0(SI0)装置236可耦接到南桥和1/0控制器集线器204。操作系统在处理单元206上运行,并且,调整并提供在图2中的处理系统200内的各种组件的控制。操作系统可为商业可用的操作系统,例如Microsoft,WindowsXP(Microsoft和Windows是美国、其它国家或者两者的微软公司的商标)。例如JAVATM编程系统的面向对象编程系统可与所述操作系统协作运行,并且,从在数据处理系统200上执行的Java程序或应用提供对操作系统的调用。Java和所有基于Java的商标是美国、其它国家、或两者的太阳微系统有限公司(SunMicrosystems,Inc.)的商标。在例如硬盘驱动器226的存储装置上放置用于操作系统、面向对象编程系统和应用或程序的指令,并且将所述指令加载到主存储器208中,以便由处理单元206执行。可由使用计算机实现的指令的处理单元206来执行说明性实施例的处理,其中,可将所述计算机实现的指令置于诸如主存储器208、只读存储器224的存储器、或者一个或多个外设装置中。在图1-2中的硬件可根据实现而改变。除了图1-2中描绘的硬件之外、或者替代图1-2中描绘的硬件,还可使用例如快闪存储器、等同的非易失性存储器或光盘驱动器等的其它内部硬件或外设装置。此外,说明性实施例的处理可被应用于多处理器数据处理系统。在某些说明性实施例中,数据处理系统200可为个人数字助理(PDA),其通常被配置有快闪存储器,以提供用于存储操作系统文件和/或用户生成的数据的非易失性存储器。总线系统可由诸如系统总线、I/O总线和PCI总线的一个或多个总线组成。当然,可使用提供在不同组件或附加到电缆或结构的装置之间传送数据的任意类型的通信组织或架构来实现总线系统。通信单元可包括一个或多个用于发送和接收数据的装置,如调制解调器或网络适配器。例如,存储器可为主存储器208或例如在北桥和存储器控制器集线器202中发现的高速緩存。处理单元可包括一个或多个处理器或CPU。在图l-2中描述的例子和上述例子不表示架构上的限定。例如,除了采用PDA的形式之外,数据处理系统200还可为平板(tablet)计算机、膝上型计算机、或电话装置。在例行且自动生成计算机记录的情况下,用于在法庭中示出计算机记录的保管链(chain—of—custody)所要求的当前标准是为辩论收集方(forensicscollector)用来生成电脑记录的散列值、并示出在法庭上示出的记录具有与收集的记录相同的散列值的。但是,由于记录和散列可由任何在收集期间和收集之后、但在它们被呈现在法庭之前接触记录的人篡改,所以,当前保管链证据的可靠性和可信性基于辩论者的可信度。因此,只有通过断言在保管链中的每个人表现诚实,才能确认散列。说明性实施例针对在现有技术中的问题提供了用于验证或"证明"电子通信的窃听的计算机实现的方法、数据处理系统以及计算机程序产品。具体地,说明性实施例使得网络探测器能够对在记录收集点的计算机记录应用确认,从而允许某人检验用于法庭进行的分组踪迹的真实性。探测器是监视并捕获正在网络上传送的数据的程序。通过说明性实施例,可通过利用例如信任平台模块(TPM)的硬件装置与用于提供"证明"窃听的能力的网络探测器相结合,来增加记录的可靠性。在记录收集时间时执行在说明性实施例中的计算机记录的散列操作(hashing),从而允许某人在以后的日子中比较运行的散列与存储的散列,以验证记录是真实的。此外,由于将散列值存储在TPM中,所以,不能在不破坏硬件的情况下篡改值。例如,当采取了引用时,通过TPM密钥来在引用上签名,并且签名密钥从不离开TPM。如果引用被改变,则签名将使新的(改变的)引用无效。TPM是附加到存储了密钥、密码和数字证书的PC的母板上的微控制器,并且在芯片上执行密码功能。可替换地,TPM可以以软件实现。TPM使用需要在计算平台内的信任基础的完整性测定,来确认并存储窃听中的数据分组,。为了确定所存储的数据分组的完整性,称为信任构件块(TBB)组件的硬件或固件组件在探测器的最初引导过程采用完整性测定,以创建对于测定的信任的核心基础(CRTM)。CRTM基于信任链。然后,测定在探测器上执行的全部软件,并且,全部软件成为信任链的一部分。TBB组件向平台的剩余部分提供信任测定功能(例如,安全散列算法-l(SHA-l))。分组测定是完整分组的散列,包括分组头和有效负载。将这些测定存储在TPM中。将散列存储在被称为平台配置寄存器(PCR)的受保护的寄存器中。例如,当在探测器接收到分组时,探测器测定完整的分组。然后,探测器扩展特定的PCR。TPM通过将从分组获得的散列值附加到PCR的当前散列值,来扩展PCR。然后,将扩展值重新散列,以形成PCR的合成散列值。然后,这些在分组收集时获得的扩展PCR值可被用于确认在分组日志中存储的分组的真实性。探测器位于在发送器和接收器之间的通信路径之间的某个点上。探测器包括窃听软件,其用于确定在网络上传播的哪些分组与兴趣标准匹配、并且应当被保存。由探测器使用的、用于确定应当捕获在网络上传播的哪个分组的兴趣标准可包括但不限于分组的源或目的因特网协议地址、分组中关键字或短语、以及其它分组属性。探测器必须具有TPM实现,并且可以混杂(promiscuous)模式利用其网络接口而网络上操作,或者,探测器可用作路由器或桥。在探测器启动时间期间,通过探测器获得由存储在TPM中的密钥签名的初始PCR值的引用(测定)。此初始值一起启动被散列的PCR值,以形成复合的初始PCR值。例如,PCR的初始值通常为"FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF"。可替换i也,如果预先扩展了PCR,则例值可包括"eala3901c085941efde6fl98f4b62e2fc2a6ea94"。由TPM在初始引用上签名,以允许某人通过数字签名来检验分组日志的内容是准确的,并且未被篡改过。当分组到达探测器时,探测器识别与兴趣标准匹配的分组。如果探测器作出分组应被存储的确定,则可由探测器单独测定分组,或者,为了速度和测定,探测器可将兴趣分组组合在一起。通过扩展具有散列值的PCR来存储该测定。可从PCR值获得中间的引用。以此方式,可在维持分组日志的同时、将PCR扩展为如所需要的那么多倍。当关闭探测器时,可从由散列的值一起组成、以形成复合的最终PCR值的PCR值获得最终引用。最终引用包含整个分组日志的测定。当分组是将用作法庭进行中的证据时,可通过重新运行分组日志、并且确认作为结果的最终PCR值匹配来自最终引用的那些值,来验证分组。如果所计算的PCR值不匹配最终引用值,则自从收集时起,分组日志或引用已被篡改。如果已篡改了日志,则分组日志不能作为法庭中的证据被引入。现在参考图3,示出了可实现说明性实施例的示例信任平台结构的框图。图3描绘了根据可信计算组(TCG)的PC特定实现规范的信任平台结构。本领域的技术人员应当清楚,可基于服务器、虛拟、移动电话或类似的平台来替换探测器。系统300支持在其平台308上的诸如操作系统302、应用304和驱动程序306的软件组件的执行。可通过例如在图1中所示的网络102来接收软件组件,或者,例如,可在硬盘31Q上存储软件组件。平台308从电源3U接收电能,以便在包括诸如CPU318和存储器320的用于执行软件的典型组件的附加卡314和母板316上执行软件组件,然而,母板316可包括多个CPU。接口322将母板316连接到系统300内的其它硬件组件,并且,固件324包含POSTBIOS(加电自检基本输入/输出系统)326。母板316还可包括信任构件块(TBB)328。由具有TBB328的制造商提供母板316,并且由制造商在物理或逻辑上附加并提供其它组件。TBB328包括CRTM330、TPM332、CRTM330到母板316的连接、以及TPM332到母板316的连接的组合。CRTM330是在平台复位事件时执行的平台的初始化代码的恒定部分。现在转到图4,示出了示例信任平台模块的框图。图4图解了根据TCG规范的信任平台模块的组件,例如图3中的TPM332。如先前所提到的,结合用于提供证明窃听的能力的网络探测器来使用TPM400。TPM400包括输入/输出组件402,其通过执行适当的协议编码/解码操作、并将消息路由到适当的组件,来管理在通信总线404上的信息流。TPM400包含密码处理能力。还可在例如PCI-X密码协处理器(PCIXCC)的密码协处理器406上实现TPM400。密钥生成单元408创建对称密钥和RSA非对称密码密钥对。画AC引擎410执行腿C(用于消息验证的键控散列(keyed-hashing))计算,由此,使用秘密密钥作为完整性检查来计算消息验证代码,以确认信白-'"、o随机数生成器412用作诸如密钥或其它值的各种值的计算的随机源。SHA-1引擎414实现SHA-1散列算法。电源检测器416管理与平台的电源状态关联的TPM400的电源状态。Opt-in组件418维持持久和可变标志的状态,并强制语义(semantics)与那些标志相关联,使得可使能或禁用TPM400。执行引擎420运行程序代码,以执行TPM400通过输入/输出组件402而接收的命令。非易失性存储器422存储与TPM400关联的持久身份(identity)和状态。非易失性存储器422可存储静态数据项,但是也可用于存储由TPM拥有者授权的实体的动态数据项。包括平台配置寄存器的易失性存储器424存储动态数据项,通过兴趣分组的测定来扩展平台配置寄存器。图5A和5B是已知的窃听配置的框图。具体地,图5A示出了在网络中链接在一起的若千台计算机。计算机l502、计算机2504、计算机3506是通过例如网络102的网络连接的诸如图1中的客户机110-114的数据处理系统的例子。在此说明性实施例中,可经由因特网服务提供商(ISP)路由器508和510将数据分组从计算机1502发送到计算机2504或计算机35Q6。但是,包含探测器(探测器514)的路由器512位于计算机1502、计算机2504、计算机3506之间。当分组通过路由器512行进时,探测器514捕获目的地为计算机2504或3506的全部分组,并且检查分组头和/或内容。探测器514是"主动(active)"探测器,即,探测器接收意图在于目的计算机2504和3506的分组,并且,在分析了分组头之后将分组发送到目的计算机。如果捕获的分组包含探测器感兴趣的某些内容,则探测器首先将兴趣分组存储在曰志516中,然后将分组转发到其意图的目的计算机,如计算机2504或3506。与图5A类似,图5B示出了在网络中连接的若干计算机,即计算机4522、计算机5524和计算机6526。可经由ISP路由器528和530将数据分组从计算机4522发送到计算机5524或计算机6526。但是,在网络上使用的探测器不像图5A中那样位于路由器内,而是探测器532是"被动"探测器,并且位于与目标计算机中的一个、或沿着到目标计算机的路径的路由器中的一个相同的网段上。被动探测器不直接侵入外部(foreign)网络或计算机,并且,被观察的装置不能检测到被动探测器的活动。当计算机5524和6526将只接受来自ISP路由器530的那些分组时(其中所述分组具有指示分组意图用于特定计算机的分组头信息),探测器532接受全部分组,并且检查分组头和/或内容。如果捕获的分组包含探测器532感兴趣的某些内容,则探测器将兴趣分组存储在日志534中。图6是包括根据说明性实施例的安全认可的探测器的示例窃听配置的框图。与在图5A和图5B中可在存储分组之后验证分组踪迹的窃听配置相反,在图6中的窃听配置允许在将分组从源发送到目的位置的同时,截获并验证分组踪迹。图5A和5B中的窃听配置缺点是它们留下了较长的易受攻击的窗口,在该窗口期间,分组踪迹可能已被不可4全测地改变。此外,由图6中的窃听配置提供的验证还允许确定收集分组踪迹的路由器软件和硬件。在此说明性实施例中,可经由ISP路由器608和610将数据分组从计算机1602发送到计算机2604或计算机3606。通过探测器612截获在计算机l602、计算机2604和计算机3606之间发送的全部分组。探测器612是安全认可的探测器,这是由于,探测器612允许当收集分组时获得分组踪迹测定,从而增加了用于证据目的的计算机记录的可靠性。应当注意,虽然探测器612是在图6的特定窃听配置中的主动探测器,但是也可将该探测器实现为被动探测器,而不背离说明性实施例的精神或范围。TPM614是例如图4中TPM400的信任平台模块的例子。TPM614连接到探测器612,并且用于存储并验证由探测器612截获的分组的信任测定。可将探测器612放置在计算机1602、计算机2604和计算机3606之间的通信路径中的任意点。当分组从计算机l602传播到计算机2604时,探测器612捕获分组,并且;f全查分组头和/或内容。如果捕获的分组包含探测器612感兴趣的某些内容,则探测器将兴趣分组存储在日志616中,然后将分组发送到其希望的目的计算机,如计算机2604或3606,而不需要计算机拥有者的得知或同意。与图5A中的日志516和图5B中的日志534相反,日志616包含形成日志的有力验证的基础的初始引用、中间引用和最终应用。图7A和7B描绘了根据说明性实施例的示例日志文件。具体地,日志文件700代表例如图6中的日志616的日志文件。但是,为了说明的目的,曰志文件700被呈现为人类可读的,并且因此,不代表优选实施例中的日志文件的实际内容。图8是图解了根据说明性实施例的探测器逻辑的流程图。过程以探测器的信任引导开始(步骤802)。在信任导入中,探测器指示TPM获得包括PCR启始值的散列的PCR的初始引用。然后,通过TPM在初始引用上签名,并将初始引用提供到分组日志(步骤804)。当分组到达探测器时(步骤806),探测器确定该分组是否为兴趣分组(步骤808)。可基于诸如分组头信息(例如,IP源或目的地址)或分组自身的内容的兴趣标准的集合,来作出此决定。如果探测器确定分组是感兴趣的(步骤808的"是"输出),则探测器通过获得整个分组的散列来测定分组(步骤810)。然后通过使用分组的散列值扩展当前PCR值,而将此散列值测定存储在PCR中(步骤812)。然后,将兴趣分组存储在分组日志中(步骤814)。然后,将分组发送到其意图的目的计算机(步骤816)。回到步骤808,如果探测器确定分组不是感兴趣的(步骤808的"否"输出),则探测器跳至步骤816,并将分组发送到其意图的目的地。然后,探测器作出关于是否应当从存储的分组获得中间引用的决定(步骤818)。可周期性地荻得存储分组的中间应用,并且将其附加到分组日志。如果探测器确定不应获得中间引用(步骤818的"否"输出),则该过程继续到步骤822。但是,如果探测器确定应获得中间引用(步骤818的"是"输出),则探测器指示TPM获得PCR值的引用,并将该应用存储在分组日志中(步骤820)。然后,作出关于探测器是否已被关闭的确定(步骤822)。如果未关闭探测器(步骤822的"否"输出),则该过程循环返回到步骤806,并且,探测器等待另一个分组到达。如果关闭探测器(步骤822的"是"输出),则通过终止其后的处理而获得最终引用(步骤824)。可将存储分组的最终引用附加到分组日志。图9是图解了确认根据说明性实施例的日志正确性的证据的过程的流程图。图9中的过程可在探测器中实现或者可为独立的过程。该过程以确认器读取在日志中的第一引用开始(步骤902)。确认器使用探测器TRM密钥检验引用的签名,以经由标准数字签名技术来确定签名是否有效(步骤904)。如果该签名未使用探测器TRM密钥而确认(步骤904的"否"输出),则确认器确定日志已被篡改(步骤906),并且终止其后的过程。如果签名使用了探测器T詣密钥确认(步骤904的"是"输出),则确认器从日志读取的引用获得PCR值。然后,对于日志中的每个分组而扩展来自该引用的PCR值(步骤910)。随后,由TPM读取在日志中的下一引用(步骤912)。确认器比较下一引用的签名和探测器TRM密钥,以确定签名是否有效(步骤914)。如果该签名未使用探测器密钥而确认(步骤914的"否"输出),则TPM确定日志已被篡改(步骤906),并且终止其后的过程。如果签名使用探测器T腹密钥而确认(步骤914的"是,,输出),则作出关于在通过在日志中的每个分组将第一引用的PCR值扩展到下一引用之后的第一引用的PCR值是否与下一引用的PCR值相同的确定(步骤916)。如果所述PCR值不同(步骤916的"否"输出),则确定日志已被篡改(步骤906),并且终止其后的过程。如果所述PCR值相同(步骤916的"是"输出),则作出关于该引用是否为日志中的最终引用的确定(步骤918)。如果该引用不是最终引用(步骤918的"否"输出),则过程循环回到步骤910,其中对于每个在日志中的分组计算PCR值,直到下一次引用。如果引用是最终引用(步骤918的"是"输出),则确认器确认整个日志有效(步骤920),并终止其后的过程。本发明可采用整体硬件实施例、整体软件实施例或包括硬件和软件元素的实施例的形式。在优选实施例中,本发明以软件实现,其包括但不限于固件、驻留软件、微码等。此外,本发明可采用可从计算机可用或计算机可读介质访问的计算机软件产品的形式,所述介质提供由计算机或任何指令执行系统使用或者由计算机和任何指令执行系统联合使用的程序代码。为了此描述的目的,计算机可用或计算机可读介质可为任何能够包含、存储、通信、传播或传输该程序的切实的设备,其中由计算机或任何指令执行系统、设备或装置使用或者由计算机和任何指令执行系统、设备或装置联合使用所述代码。介质可为电、磁、光、电;兹、红外、或半导体系统(或者设备或装置)、或传播介质。计算机可读介质的例子包括半导体或固态存储器、磁带、可拆卸计算机盘、随机存取存储器(RAM)、只读存储器(ROM)、固定磁盘和光盘。光盘的当前例子包括致密盘-只读存储器(CD-ROM)、致密盘-读/写(CD-R/W)、以及DVD。用于存储和/或执行程序代码的数据处理系统将包括直接或通过系统总线而间接耦接到存储元件的至少一个处理器。所述存储元件可包括在程序代码的实际执行期间采用的本地存储器、大容量存储装置、以及提供对于至少一些程序代码的暂时存储以便减小在执行期间必须从大容量存储装置检索代码的次数的高速緩冲存储器。输入/输出或I/O装置(包括但不限于键盘、显示器、定点装置等)可直接或通过中间1/0控制器而耦接到该系统。网络适配器也可耦接到该系统,使得数据处理系统能够通过中间专用或公共网络而耦接到其它数据处理系统、或到远程打印机或存储装置。调制解调器、有线电视调制解调器、以及以太网卡正是当前可用的网络适配器的类型中的一些。为了说明和描述已经呈现了本发明的描述,并且不意于以公开的形式穷举或限定本发明。本领域的技术人员将理解可出现许多修改和改变。为了最佳地解释本发明地原理、实践应用和使得本领域的技术人员能够理解本发明权利要求1.一种在用于捕获非可锻分组踪迹的网络探测器中的计算机实现的方法,所述计算机实现的方法包括响应于探测器的启动,在探测器利用的信任平台模块中获得一个或多个平台配置寄存器中的值的第一引用,其中所述第一引用包括在一个或多个平台配置寄存器中的起始值的列表,并且,其中,所述第一引用通过所述信任平台模块而被签名,并被存储在分组日志中;响应于在探测器截获兴趣分组,而获得兴趣分组的散列;指示所述信任平台模块通过兴趣分组的散列来扩展平台配置寄存器;将兴趣分组存储在分组日志中;以及响应于探测器的关闭,获得在所述平台配置寄存器中的值的第二引用,其中,所述第二引用包括在平台配置寄存器中的当前值的列表,并且,其中,所述第二引用通过所述信任平台模块而被签名,并被存储在分组日志中。2.如权利要求1所述的计算机实现的方法,还包括基于第一引用和分组日志,来计算第二引用中的预期的平台配置寄存器值;比较第二引用中的预期的平台配置寄存器值与第二引用中的实际的平台配置寄存器值;以及如果比较导致匹配,则确定在分组日志中存储的兴趣分组是可信的。3.如权利要求2所述的计算机实现的方法,其中,与分组日志中的条目的收集相独立地执行该计算步骤,或者,在不同的计算机上执行该计算步骤。4.如权利要求1所述的计算机实现的方法,还包括基于第一引用和分组日志,来计算在第二引用中的预期的平台配置寄存器值;比较第二引用中的预期的平台配置寄存器值与第二引用中的实际的平台配置寄存器值;以及如果比较不导致匹配,则确定在分组日志中存储的兴趣分组是不可信的。5.如权利要求1所述的计算机实现的方法,还包括在所述信任平台模块中获得平台配置寄存器的一个或多个中间引用,其中,在分组收集期间获得每个中间引用,其中,每个中间引用包括至少一个平台配置寄存器的当前值的列表,并且,其中,通过所述信任平台模块在每个中间引用上签名;以及将每个中间51用存储在分组日志中。6.如权利要求1所述的计算机实现的方法,其中,所述探测器基于分组的一个或多个属性,来将分组确定为兴趣分组。7.如权利要求6所述的计算机实现的方法,其中,所述属性包括因特网协议源地址、因特网协议目的地址、协议、端口、时间、大小、或分组中的关键字中的至少一个。8.如权利要求1所述的计算机实现的方法,其中,所述探测器是主动或被动探测器中的一个。9.如权利要求1所述的计算机实现的方法,其中,所述探测器位于在兴趣分组的发送方和兴趣分组的接收方之间的通信路径中的任一点。10.—种用于捕获非可锻的分组踪迹的数据处理系统,所述数据处理系统包括总线;连接到所述总线的存储装置,其中,该存储装置包含计算机可用代码;连接到所述总线的至少一个被管理的装置;连接到所述总线的通信单元;以及连接到所述总线的处理单元,其中,所述处理单元执行计算机可用代码,以响应于探测器的启动,在探测器利用的信任平台模块中获得一个或多个平台配置寄存器中的值的第一引用,其中,所述第一引用包括在一个或多个平台配置寄存器中的起始值的列表,并且,其中,所述第一引用通过所述信任平台模块而被签名,并被存储在分组日志中,响应于在探测器截获兴趣分组,而获得兴趣分组的散列,指示所述信任平台模块通过兴趣分组的散列来扩展平台配置寄存器,将兴趣分组存储在分组日志中,以及响应于探测器的关闭,获得在所述平台配置寄存器中的值的第二引用,其中,第二引用包括在平台配置寄存器中的当前值的列表,并且,其中,所述第二引用通过所述信任平台模块而被签名,并被存储在分组日志中。11.如权利要求IO所述的数据处理系统,其中,所述处理单元还执行计算机可用代码,以基于第一引用和分组日志来计算第二引用中的预期的平台配置寄存器值,比较第二引用中的预期的平台配置寄存器值与第二引用中的实际的平台配置寄存器值,以及如果比较导致匹配,则确定在分组日志中存储的兴趣分组是可信的。12.如权利要求11所述的数据处理系统,其中,与分组日志中的条目的收集相独立地执行基于第一引用和分组日志来计算第二引用中的预期的平台配置寄存器值,或者,在不同的计算机上执行基于第一引用和分组日志来计算第二引用中的预期的平台配置寄存器值。13.如权利要求IO所述的数据处理系统,其中,所述处理单元还执行计算机可用代码,以基于第一引用和分组日志来计算在第二引用中的预期的平台配置寄存器值,比较第二引用中的预期的平台配置寄存器值与第二引用中的实际的平台配置寄存器值,以及如果比较不导致匹配,则确定在分组日志中存储的兴趣分组是不可信的。14.如权利要求10所述的数据处理系统,其中,所述处理单元还执行计算机可用代码,以在所述信任平台模块中获得平台配置寄存器的一个或多个中间引用,其中,在分组收集期间获得每个中间引用,其中,每个中间引用包括至少一个平台配置寄存器的当前值的列表,并且,其中,通过所述信任平台模块在每个中间引用上签名,以及将每个中间?1用存储在分组日志中。15.如权利要求10所述的数据处理系统,其中,所述探测器基于分组的一个或多个属性来确定分组为兴趣分组。16.如权利要求15所述的数据处理系统,其中,所述属性包括因特网协议源地址、因特网协议目的地址、协议、端口、时间、大小、或分组中的关键字中的至少一个。17.如权利要求IO所述的数据处理系统,其中,所述探测器是主动或被动探测器中的一个。18.如权利要求10所述的数据处理系统,其中,所述探测器位于在兴趣分组的发送方和兴趣分组的接收方之间的通信路径中的任一点。19.一种用于捕获非可锻的分组踪迹的计算机程序产品,所述计算机程序产品包括计算机可用介质,具有在其上实现的计算机可用程序代码,所述计算机可用程序代码包括计算机可用程序代码,用于响应于探测器的启动,在探测器利用的信任平台模块中获得一个或多个平台配置寄存器中的值的第一引用,其中,所述第一引用包括在一个或多个平台配置寄存器中的起始值的列表,并且,其中,通过所述信任平台模块在第一引用上签名,并将第一引用存储在分组日志中;计算机可用程序代码,用于响应于在探测器截获兴趣分组,而获得兴趣分组的散列;计算机可用程序代码,用于指示所述信任平台模块通过兴趣分组的散列来扩展平台配置寄存器;计算机可用程序代码,用于将兴趣分组存储在分组日志中;以及计算机可用程序代码,用于响应于探测器的关闭,获得在所述平台配置寄存器中的值的第二引用,其中,第二引用包括在平台配置寄存器中的当前值的列表,并且,其中,通过所述信任平台模块在第二引用上签名,并将第二引用存储在分組日志中。全文摘要一种用于捕获非可锻分组踪迹的系统和方法。当探测器启动时,在探测器利用的信任平台模块(TPM)中获得平台配置寄存器(PCR)的值的第一引用,其中,所述第一引用包括在PCR中的起始值的列表,并且,其中,通过TPM在第一引用上签名,并将第一引用存储在分组日志中。当由探测器截获兴趣分组时,探测器获得兴趣分组的散列,并且指示TPM通过兴趣分组的散列来扩展平台配置寄存器。随后,将兴趣分组存储在分组日志中。当探测器关闭时,探测器获得在PCR中的值的第二引用,其中,第二引用包括在PCR中的当前值的列表,并且,其中,通过TRM在第二引用上签名,并将第二引用存储在分组日志中。文档编号H04L12/26GK101166126SQ200710167110公开日2008年4月23日申请日期2007年10月18日优先权日2006年10月18日发明者丹尼尔·H·琼斯,埃米莉·J·拉特利夫,托马斯·G·伦达基申请人:国际商业机器公司