[发明专利]Linux系统运行时状态的安全度量与安全验证方法

说明书

本发明公开了Linux系统运行时状态的安全度量与安全验证方法，具体涉及Linux系统安全运行方法领域，包括安全运行系统，安全运行系统包括度量根模块、存储根模块、可信报告根模块、完整性验证模块、配置信息管理模块；安全度量与安全验证的方法包括以下步骤：读取预设置的配置信息，进行度量验证的策略管理；度量根模块全盘度量可执行和可加载类型文件；将度量根模块生成的加密字串进行实时存储；数据校验后，判断运行时进程的完整性；可信报告模块将信息实时传输报告给用户。本发明在Linux系统运行时状态，实现一种文件级别可唯一性、安全且高效进行完整性度量与验证的机制，实时判断系统平台是否安全，保障系统完整性，防止被篡改攻击。

技术领域

本发明实施例涉及Linux系统安全运行方法领域，具体涉及Linux系统运行时状态的安全度量与安全验证方法。

背景技术

Linux操作系统是基于UNIX操作系统发展而来的一种克隆系统，它诞生于1991年的[Linux桌面]10月5日(这是第一次正式向外公布的时间)。以后借助于Internet网络，并通过全世界各地计算机爱好者的共同努力，已成为今天世界上使用最多的一种UNIX类操作系统，并且使用人数还在迅猛增长。

现有技术中Linux操作系统可以实现度量与验证的基本功能，但目前存在一些缺点：

1.在安全度量相同内容的同名文件时，加密度量值相同，从安全度量角度来说，不能唯一标识对应文件；

2.Linux系统默认使用sha1算法进行加密计算，安全强度不够，有被解密风险；

3.现有度量模块，只能对文件逐个进行度量，不能直接对文件夹等多个文件进行度量，即该文件夹内的所有可执行和可加载类文件；

4.在安全验证模块，不能对解释执行的脚本类实体文件进行验证。

在Linux系统中完整性度量机制，将文件内容和文件的属性/扩展属性，通过加密哈希算法生成对应的验证值，以扩展属性方式保存在文件系统节点中；系统运行时在文件被访问前，内核模块通过校验文件的验证值，判断文件是否被离线非法篡改过。

但对于内容相同文件，度量值相同，无法做到唯一性度量验证；并且仅针对单个文件度量验证，效率不高。

目前没有找到可解决上述问题的相关技术方案。

发明内容

为此，本发明实施例提供Linux系统运行时状态的安全度量与安全验证方法，本发明根据linux操作系统原有安全机制，进行扩展研发及安全加固，并且采用模块化设计，实现丰富的API接口函数，机制使用方法更灵活，应用层方案更实用，实现Linux系统运行时，还实现一种针对文件级别可唯一性、安全且高效进行完整性度量与验证的机制，保障系统完整性。

为了实现上述目的，本发明实施例提供如下技术方案：Linux系统运行时状态的安全度量与安全验证方法，包括安全运行系统以及利用该安全运行系统实现Linux系统运行时状态的安全度量与安全验证的方法；

安全运行系统包括度量根模块、存储根模块、可信报告根模块、完整性验证模块、配置信息管理模块；

度量根模块用于度量文件，生成文件的唯一标识；

存储根模块用于存储所有度量过的文件的加密字串；

完整性验证模块用于验证模块的完整性；

可信报告模块用于获取进程的运行时的状态信息；

配置信息模块的自定义信息由开机进程服务加载到内核，实现相关信息管理功能；

利用该安全运行系统实现Linux系统运行时状态的安全度量与安全验证的方法包括以下步骤：