[发明专利]一种监控系统文件完整性的方法、装置和设备

说明书

【技术领域】

本发明涉及计算机应用技术领域，特别涉及一种监控系统文件完整性的方法、装置和设备。

【背景技术】

随着移动互联网及物联网技术的发展，其相关安全事件不断出现，逐渐成为关注的焦点。

Linux内核中的IMA(Integrity Measurement Architecture，完整性度量架构)通过系统钩子技术实现对可执行文件、库文件和可加载内核文件等磁盘文件进行完整性度量。当上述磁盘文件被加载到内存时，IMA计算磁盘文件的哈希值并进行存储。通过磁盘文件的哈希值是否变化来验证磁盘文件的完整性是否被破坏。

然而，IMA机制存在以下缺陷：

IMA机制需要针对所有文件都进行哈希计算及校验，对于设备性能将会产生较大影响，并不适用于移动类设备或物联网设备等性能较低的设备。

【发明内容】

有鉴于此，本发明提供了一种监控系统文件完整性的方法、装置和设备，以降低对设备性能的影响。

具体技术方案如下：

本发明提供了一种监控系统文件完整性的方法，该方法包括：

在文件系统初始化时，获取并存储文件系统元数据；

在文件系统运行过程中，获取文件系统元数据，将获取的系统文件元数据与已存储的系统文件元数据进行比对，依据比对结果确定该文件系统的文件完 整性。

根据本发明一优选实施方式，所述存储文件系统元数据和所述将获取的系统文件元数据与已存储的系统文件元数据进行比对在可信执行环境中执行。

根据本发明一优选实施方式，所述存储文件系统元数据包括：对获取的系统文件元数据进行哈希处理并存储哈希值；

所述将获取的系统文件元数据与已存储的系统文件元数据进行比对包括：对获取的系统文件元数据进行哈希处理，将得到的哈希值与已存储的哈希值进行比对。

根据本发明一优选实施方式，所述文件系统包括磁盘文件系统或内存文件系统。

根据本发明一优选实施方式，若所述文件系统为磁盘文件系统，则所述文件系统初始化包括：被监控设备被激活或第一次开机启动所述被监控设备时执行的初始化。

根据本发明一优选实施方式，若所述文件系统为内存文件系统，则所述文件系统初始化包括：被监控设备的操作系统每次启动时执行的初始化。

根据本发明一优选实施方式，若所述文件系统为磁盘文件系统，则该方法还包括：

在文件系统更新后，获取文件系统元数据，利用获取的系统文件元数据替换已存储的系统文件元数据。

根据本发明一优选实施方式，若所述文件系统为内存文件系统，则在文件系统初始化时，所述存储文件系统元数据包括：

若尚未存储该内存文件系统元数据，则存储该内存文件系统元数据；

若已存储有该内存文件系统元数据，则利用获取的系统文件元数据替换已存储的系统文件元数据。

根据本发明一优选实施方式，所述文件系统元数据包括：

超级块和块组描述符。

根据本发明一优选实施方式，所述可信执行环境包括：

可信芯片，或者，

利用虚拟化机制隔离出的安全环境。

根据本发明一优选实施方式，采用轮询或者事件触发的方式，执行所述获取文件系统元数据。

根据本发明一优选实施方式，所述依据比对结果确定该文件系统的文件完整性包括：

若获取的系统文件元数据与已存储的系统文件元数据一致，则确定该文件系统的文件完整，否则确定该文件系统的文件不完整。

根据本发明一优选实施方式，该方法还包括：

将对获取的系统文件元数据的执行结果上传至服务器。

本发明还提供了一种监控系统文件完整性的装置，该装置包括：元数据获取单元、元数据执行单元和结果接收单元；

所述元数据获取单元，用于在文件系统初始化时以及在文件系统运行过程中，获取文件系统元数据，并提供给所述元数据执行单元；

所述元数据执行单元，用于在文件系统初始化时，对接收到的元数据进行存储；在文件系统运行过程中，将接收到的元数据与已存储的元数据进行比对，确定该文件系统的文件完整性；还用于将执行结果发送给所述结果接收单元；

所述结果接收单元，用于接收所述元数据执行单元的执行结果。

根据本发明一优选实施方式，所述元数据执行单元位于可信执行环境中。