[发明专利]一种优化可信基础组件的实现系统及其实现方法

权利要求书

1.一种优化可信基础组件的实现方法，其特征在于：该实现方法包括利用链式调用方法将LSM提供的一个静态指针security_ops引向自定义的安全模块，利用文件扩展属性方式替换白名单方式，将受控文件的基准策略信息存储于对应受控文件的扩展属性存储空间中，安全模块结合受控文件当前状态完成受控文件的执行判定，所述基准策略信息包括自身属性信息、完整性基准信息和控制配置信息，对文件扩展属性进行操作管控，防止文件的可信相关扩展属性被恶意篡改、删除和获取，确保受控文件基准值的完整性；

该实现方法所使用的实现系统包括管理子模块、度量子模块、判定子模块、周期性主动控制子模块、控制子模块及日志管理子模块，各模块分别完成各自功能，且可通过预定接口进行数据交互和协同工作，其中，

管理子模块用于接收应用层传输给内核层的数据；

度量子模块用于根据指定的度量算法完成对度量对象的完整性度量计算；

判定子模块用于结合所述基准策略信息对受控文件进行综合性判定；

周期性主动控制子模块用于对系统运行环境信息进行周期性主动度量；

控制子模块用于在控制点处收集度量对象的上下文信息，依据判定子模块返回的判定结果对度量对象进行处置；

日志管理子模块用于收集控制子模块的所有拒绝操作信息和完整性异常信息。

2.如权利要求1所述的优化可信基础组件的实现方法，其特征在于：

所述应用层传输给内核层的数据包括配置信息、判定规则、控制策略及度量实施方式；

所述度量对象的上下文信息包括主体、客体及操作信息；

所述控制子模块对度量对象进行处置的操作包括拒绝、允许及交互；

所述系统运行环境信息包括内核模块符号表、系统调用表、中断描述符表、全局描述符、代码正文段及系统关键文件。

3.如权利要求1所述的优化可信基础组件的实现方法，其特征在于：还包括对指定的特权进程进行防杀保护，以及对优化可信基础组件的实现系统自身的内核模块进行防卸载保护。

4.如权利要求1所述的优化可信基础组件的实现方法，其特征在于：还包括将脚本文件和内核模块的LSM控制点转移到文件管控中，同时添加判定规则以指定受控文件只能被规定的主体进程调用。

5.如权利要求1所述的优化可信基础组件的实现方法，其特征在于：还包括将完整性异常情况及时上报。

6.如权利要求1所述的优化可信基础组件的实现方法，其特征在于：还包括软件行为追踪，对重要进程的软件行为进行追踪。