[发明专利]一种监控系统文件完整性的方法、装置和设备

权利要求书

1.一种监控系统文件完整性的方法，其特征在于，该方法包括：

在文件系统初始化时，获取并存储文件系统元数据；

在文件系统运行过程中，获取文件系统元数据，将获取的系统文件元数据与已存储的系统文件元数据进行比对，依据比对结果确定该文件系统的文件完整性。

2.根据权利要求1所述的方法，其特征在于，所述存储文件系统元数据和所述将获取的系统文件元数据与已存储的系统文件元数据进行比对在可信执行环境中执行。

3.根据权利要求1或2所述的方法，其特征在于，所述存储文件系统元数据包括：对获取的系统文件元数据进行哈希处理并存储哈希值；

所述将获取的系统文件元数据与已存储的系统文件元数据进行比对包括：对获取的系统文件元数据进行哈希处理，将得到的哈希值与已存储的哈希值进行比对。

4.根据权利要求1所述的方法，其特征在于，所述文件系统包括磁盘文件系统或内存文件系统。

5.根据权利要求4所述的方法，其特征在于，若所述文件系统为磁盘文件系统，则所述文件系统初始化包括：被监控设备被激活或第一次开机启动所述被监控设备时执行的初始化。

6.根据权利要求4所述的方法，其特征在于，若所述文件系统为内存文件系统，则所述文件系统初始化包括：被监控设备的操作系统每次启动时执行的初始化。

7.根据权利要求4所述的方法，其特征在于，若所述文件系统为磁盘文件系统，则该方法还包括：

在文件系统更新后，获取文件系统元数据，利用获取的系统文件元数据替换已存储的系统文件元数据。

8.根据权利要求4所述的方法，其特征在于，若所述文件系统为内存文件系统，则在文件系统初始化时，所述存储文件系统元数据包括：

若尚未存储该内存文件系统元数据，则存储该内存文件系统元数据；

若已存储有该内存文件系统元数据，则利用获取的系统文件元数据替换已存储的系统文件元数据。

9.根据权利要求1、2、4至8任一权项所述的方法，其特征在于，所述文件系统元数据包括：

超级块和块组描述符。

10.根据权利要求2所述的方法，其特征在于，所述可信执行环境包括：

可信芯片，或者，

利用虚拟化机制隔离出的安全环境。

11.根据权利要求1、2、4至8任一权项所述的方法，其特征在于，采用轮询或者事件触发的方式，执行所述获取文件系统元数据。

12.根据权利要求1、2、4至8任一权项所述的方法，其特征在于，所述依据比对结果确定该文件系统的文件完整性包括：

若获取的系统文件元数据与已存储的系统文件元数据一致，则确定该文件系统的文件完整，否则确定该文件系统的文件不完整。

13.根据权利要求1、2、4至8任一权项所述的方法，其特征在于，该方法还包括：

将对获取的系统文件元数据的执行结果上传至服务器。

14.一种监控系统文件完整性的装置，其特征在于，该装置包括：元数据获取单元、元数据执行单元和结果接收单元；

所述元数据获取单元，用于在文件系统初始化时以及在文件系统运行过程中，获取文件系统元数据，并提供给所述元数据执行单元；

所述元数据执行单元，用于在文件系统初始化时，对接收到的元数据进行存储；在文件系统运行过程中，将接收到的元数据与已存储的元数据进行比对，确定该文件系统的文件完整性；还用于将执行结果发送给所述结果接收单元；

所述结果接收单元，用于接收所述元数据执行单元的执行结果。

15.根据权利要求14所述的装置，其特征在于，所述元数据执行单元位于可信执行环境中。

16.根据权利要求14或15所述的装置，其特征在于，所述元数据执行单元，具体用于：在文件系统初始化时，对接收到的元数据进行哈希处理并存储哈希值；在文件系统运行过程中，对接收到的元数据进行哈希处理，将得到的哈希值与已存储的哈希值进行比对。

17.根据权利要求14所述的装置，其特征在于，所述文件系统包括磁盘文件系统或内存文件系统。