[发明专利]Linux系统运行时状态的安全度量与安全验证方法

权利要求书

1.Linux系统运行时状态的安全度量与安全验证方法，其特征在于：包括安全运行系统以及利用该安全运行系统实现Linux系统运行时状态的安全度量与安全验证的方法；

安全运行系统包括度量根模块(1)、存储根模块(2)、可信报告根模块(3)、完整性验证模块(4)、配置信息管理模块(5)；

度量根模块(1)用于度量文件，生成文件的唯一标识；

所述度量根模块(1)包括以下功能组件：文件信息采集组件、加密计算组件、生成度量根字串组件、API操作函数模块组件；

用户运行可执行进程或通过API操作函数模块组件调用相关API函数，文件信息采集组件采集文件信息后调用加密计算组件进行计算，计算结果经生成度量根字串组件生成为该文件对应的唯一加密字串，始终保留该字串；

所述生成度量根字串组件采用国际标准加解算法，给文件生成唯一的加密数值，保障存储根只能被指定进程或API操作；

存储根模块(2)用于存储所有度量过的文件的加密字串；

完整性验证模块(4)用于验证模块的完整性；

可信报告模块用于获取进程的运行时的状态信息；

配置信息模块的自定义信息由开机进程服务加载到内核，实现相关信息管理功能；

利用该安全运行系统实现Linux系统运行时状态的安全度量与安全验证的方法包括以下步骤：

S1、操作系统开机服务启动后，配置信息设置后，配置信息模块自动读取预设置的配置信息，信息自动加载到内核，进行度量验证的策略管理；

S2、度量根模块(1)全盘度量linux操作系统内的所有可执行和可加载类型文件；

S3、存储根模块(2)与度量根模块(1)实时交互，将度量根模块(1)生成的加密字串进行实时存储，存储根模块(2)存储的数据以数据集的形式存在，在进程的运行时被读取；

S4、完整性验证模块(4)用于对相关数据进行校验，在进程运行态生效，即在进程的运行时状态对进程文件进行度量，实时计算进程文件的度量数值，用于判断运行时进程的完整性；

S5、可信报告模块获取此运行过程中的关键信息，实时传输到用户空间，由信息展示功能模块分时打印到日志文件。

2.根据权利要求1所述的Linux系统运行时状态的安全度量与安全验证方法，其特征在于：存储根模块(2)中，存储字段包括文件名称、文件路径，数据存储形式需要兼顾用户态与内核态进程的读写效率，保证用户态写入的数据能被内核态实时读取。

3.根据权利要求1所述的Linux系统运行时状态的安全度量与安全验证方法，其特征在于：所述完整性验证模块(4)包括以下功能组件：信息数据读取组件、实时加密字串生成组件、数据验证组件、运行时操作决策组件；

信息数据读取组件由内核实现，实时获取文件信息；

实时加密字串生成组件由内核实现，根据采集的文件信息使用国际标准加密算法来生成度量根字串；

数据验证组件由内核实现，用于比对实时生成的度量根和先前存储的度量根，将比对结果映射成状态字串；

运行时操作决策组件用于决策当前进程的运行状态。

4.根据权利要求3所述的Linux系统运行时状态的安全度量与安全验证方法，其特征在于：所述运行时操作决策组件会根据完整性验证模块(4)给出的状态字串放行当前运行时进程或阻断当前运行时进程。

5.根据权利要求1所述的Linux系统运行时状态的安全度量与安全验证方法，其特征在于：所述可信报告模块包括以下功能组件：操作信息获取组件、信息传输组件、信息展示组件；

操作信息获取组件获取的操作信息具体包括：度量过的所有文件的信息，验证通过的进程的信息，验证未通过的进程的信息；

信息传输组件包括用户态和内核态两部分，内核态将要展示的信息传输到用户态，用户态分时展示；

信息展示组件用于将对应信息写入用户态文件，供用户查阅。

6.根据权利要求1所述的Linux系统运行时状态的安全度量与安全验证方法，其特征在于：所述配置信息模块包括以下功能组件：开机服务进程组件、信息配置组件、信息加载组件；

开机服务进程组件在开机时运行，保障相关进程和配置信息的正确加载；

用户可使用信息配置组件自定义需要验证的内容项，对可执行类和可加载类文件进行管理；

信息加载项组件用于将用户的自定义信息写入内核。