[發(fā)明專利]可信內(nèi)核動態(tài)完整性度量方法有效
| 申請?zhí)枺?/td> | 201310184586.7 | 申請日: | 2013-05-17 |
| 公開(公告)號: | CN103268440A | 公開(公告)日: | 2013-08-28 |
| 發(fā)明(設計)人: | 梁志宏;梁智強;陳炯聰;江澤鑫;胡朝輝;黃曙;余南華;蘇揚;周強峰;林丹生 | 申請(專利權(quán))人: | 廣東電網(wǎng)公司電力科學研究院 |
| 主分類號: | G06F21/50 | 分類號: | G06F21/50;G06F9/445 |
| 代理公司: | 廣州華進聯(lián)合專利商標代理有限公司 44224 | 代理人: | 王茹;陳振 |
| 地址: | 510080 廣東*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 可信 內(nèi)核 動態(tài) 完整性 度量 方法 | ||
1.一種可信內(nèi)核動態(tài)完整性度量方法,其特征在于,包括如下步驟:
S100,通過操作內(nèi)存文件系統(tǒng)配置文件的白名單、策略緩存和度量服務器的狀態(tài);
S200,對文件進行度量處理,
S300,判斷操作內(nèi)存文件系統(tǒng)中的執(zhí)行程序是否被修改,若是進入S500,若否進入S400;
S400,程序執(zhí)行或進程運行;
S500,不允許程序執(zhí)行或進程運行。
2.根據(jù)權(quán)利要求1所述的可信內(nèi)核動態(tài)完整性度量方法,其特征在于:
所述步驟S200中包括如下步驟:
S210,啟動度量處理;
S220,進行文件的完整性度量處理;
S230,進行進程度量處理。
3.根據(jù)權(quán)利要求2所述的可信內(nèi)核動態(tài)完整性度量方法,其特征在于:
所述步驟S210中包括如下步驟:
S211,判斷啟動度量初始化是否完畢,若是進入下一步驟,若否,進入S218;
S212,檢查度量文件記錄;
S213,判斷是否存在相同記錄的度量結(jié)果,若否,進入下一步驟,若是,進入S218;
S214,調(diào)用文件度量方法度量文件存儲在磁盤中的內(nèi)容;
S215,存儲文件的度量值;
S216,判斷當前被度量值的文件是否需要將度量值擴展到可信芯片中,若是進入下一步驟,若否進入S218;
S217,擴展當前文件的度量值到可信芯片的寄存器中;
S218,啟動過程中對當前文件的度量結(jié)束。
4.根據(jù)權(quán)利要求2所述的可信內(nèi)核動態(tài)完整性度量方法,其特征在于:
所述步驟S220中包括如下步驟:
S221,判斷系統(tǒng)內(nèi)核是否支持可新內(nèi)核動態(tài)完整性度量方法,若是,進行下一步驟,若否,進入S232;
S222,判斷當前文件的度量是否運行在啟動過程中,若是,進入下一步驟,若否,進入S224;
S223,進入S210完畢后,進入S2212;
S224,判斷用戶空間對白名單緩存的初始化是否完成,若是,進入下一步驟,若否進入S2212;
S225,初始化審計數(shù)據(jù);所述審計數(shù)據(jù)是審計度量過程中產(chǎn)生的信息;
S226,判斷當前的白名單緩存是否正在被修改,若是,進入下一步驟,若否,進入S2210;
S227,獲得自旋鎖等待白名單緩存更新;
S228,調(diào)用文件度量方法,度量文件存儲在磁盤中的實際內(nèi)容;
S229,釋放自旋鎖,進入S2211;
S2210,直接調(diào)用文件度量方法,度量文件存儲在磁盤中的實際內(nèi)容;
S2211,通過審計數(shù)據(jù),完成最終審計內(nèi)容的格式化輸出;
S2212,文件的完整性度量方法完成并結(jié)束。
5.根據(jù)權(quán)利要求2所述的可信內(nèi)核動態(tài)完整性度量方法,其特征在于:
所述步驟S230中包括如下步驟:
S231,檢查參數(shù)是否都支持需要檢查的參數(shù)項目,若是進入下一步驟,若否進入S236;
S232,從進程度量規(guī)則中判斷當前進程是否需要度量,若是進入下一步驟,若否進入S246;
S233,創(chuàng)建進程度量實例用于保存進程度量的結(jié)果;
S234,調(diào)用進程內(nèi)存度量方法度量代碼段、數(shù)據(jù)段的線性地址空間;
S235,保存進程度量結(jié)果并將度量進程實例添加到鏈表中;
S236,進程動態(tài)度量服務結(jié)束。
6.根據(jù)權(quán)利要求2至5任意一項所述的可信內(nèi)核動態(tài)完整性度量方法,其特征在于:
所述步驟S200還包括如下步驟:
S210’,將可執(zhí)行文件裝載到內(nèi)核形成Linux-binprm系統(tǒng)結(jié)構(gòu)后,進入步驟S210;
S220’,內(nèi)核將Linux-binprm裝載完成,形成內(nèi)核進程結(jié)構(gòu)task-struct,進入步驟S220;
S230’,內(nèi)核調(diào)度服務進行進程切換后,進入步驟S230。
7.根據(jù)權(quán)利要求6所述的信內(nèi)核動態(tài)完整性度量方法,其特征在于:
所述步驟S210’還包括如下步驟:
在Linux系統(tǒng)啟動時添加參數(shù)ctmm-enable=1。
8.根據(jù)權(quán)利要求7所述的信內(nèi)核動態(tài)完整性度量方法,其特征在于:
所述度量處理的配置和白名單策略的處理都是通過內(nèi)存文件系統(tǒng)完成的。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于廣東電網(wǎng)公司電力科學研究院,未經(jīng)廣東電網(wǎng)公司電力科學研究院許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201310184586.7/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
