[发明专利]基于白名单列表的Linux文件完整性度量方法

说明书

本发明涉及基于白名单列表的Linux文件完整性度量方法，包括如下步骤：系统启动早期，将所有用户空间白名单列表加载到内核空间白名单列表中；系统运行阶段，针对新安装的软件包，将软件包与其所对应的系统包白名单列表同时导入内核空间，将系统包白名单列表加载到内核空间白名单列表中；系统关闭后，内核空间白名单列表释放；系统再次启动时，再次将所有用户空间白名单列表加载到内核白名单列表中，所注册的系统包白名单列表存在于用户空间白名单列表中。本发明使用内核空间白名单列表记录系统保护文件的可信哈希值，取代使用文件扩展属性记录系统保护文件的可信哈希值，提高了系统完整性度量功能的易用性。

技术领域

本发明涉及信息安全技术领域，具体涉及基于白名单列表的Linux文件完整性度量方法。

背景技术

可信计算是一种非常有效的信息安全技术，其中文件完整性度量是可信计算的基础。通过IMA完整性度量,可以检测出加载至平台的执行部件以及运行于平台的应用程序，配置文件，动态库是否被篡改,从而保证整个平台的安全性。

在内核IMA 保护之下的每个文件都需要把它的摘要数值跟文件存储在一起，这通常是利用了文件系统中的扩展属性来完成的。IMA 可以配置成在访问每个文件之前都先检查它的摘要是否仍然与之前存下来的值相匹配。如果不在匹配了就马上拒绝访问。在文件被评估的时候，它们的摘要可以被提交给 TPM 来扩展一个 Platform ConfigurationRegister（PCR），得出的最终数值可以跟此时被测量的文件数据有关，但它同时也会根据访问顺序不同而受到影响。

现在是把度量基准值存储在扩展属性 security.ima 当中，如果 security.ima被篡改了，它和文件内容一起篡改的话，不就实现了对文件本身的篡改并且不被系统发现，为了解决这个问题，我们引入了 EVM 模块来防止这种事情的发生。

EVM 是扩展验证模块，它的作用就是将系统当中某个文件的安全扩展属性，包括security.ima 、security.selinux 等合起来计算一个哈希值，然后使用 TPM 中存的密钥对其进行对称签名，签名之后的值存在 security.evm 中，这个签名后的值是不能被篡改的，如果被篡改，再次访问的时候就会验签失败。

总而言之，EVM 的作用就是通过对安全扩展属性计算 HMAC 值并将其存储在security.evm 中，提供对安装扩展属性的离线保护。其中security.ima存储文件内容的哈希值；security.evm存储文件扩展属性的哈希值签名。访问受保护文件时，将会触发内核中的钩子，依次验证文件扩展属性和内容的完整性：使用内核 keyring 中的公钥对文件security.evm 扩展属性中的签名值验签，与当前文件扩展属性的哈希值比较，如果匹配就证明文件的扩展属性是完整的（包括 security.ima）。在文件扩展属性完整的前提下，将文件 security.ima 扩展属性的内容与当前文件内容的摘要值比较，如果匹配就允许对文件的访问。

然而，上述完整性度量方法存在如下缺陷：

1、原生 IMA 会在系统初次部署的时候进入一个 fix 模式，在该模式下对系统中的所有文件去计算一个参考值，然后进入到 enforce 模式中，用初次部署时计算出来的基准值和系统当前的文件摘要值进行对比，如果两者不符合，就拒绝对文件的访问。但这种方式存在一个问题，它的信任链并不完整，因为在启动系统之后，在现网环境下预先生成并标记文件扩展属性，访问文件时将文件扩展属性作为参考值，要通过人为对系统重 新设定基准值，在设定基准值之前，这个文件是有可能被篡改的。

2、研制成功的可信计算产品只能实现系统开机时的静态度量,不能实现系统工作后的动态度量。

3、IMA评估验证时，性能低下，对于性需要高性能的可信计算功能的完整性度量，这是不可接受的，因为IMA评估时，需要使用公钥验证文件扩展属性中的security.evm的签名值，成功之后，还需要验证security.ima的摘要值。