技術領域

本發明涉及網絡安全領域，具體來說，涉及一種基于代碼簽名的ELF文件鑒別方法和裝置。

背景技術

隨著Linux的不斷發展，越來越多的個人和企業開始使用Linux，尤其眾多的企業服務器開始采用Linux操作系統，其安全性也受到越來越多的挑戰。可執行連接格式（Executable?and?Linkable?Format，簡稱為ELF）作為Linux和Unix下最主要的可執行二進制文件格式，自然成了病毒及各種惡意代碼的攻擊目標。事實證明，有不少Linux下的病毒程序就是通過直接修改ELF文件的方法來實現入侵的。傳統的Unix系統（包括Linux）并不會對執行的代碼進行完整性和合法性檢測，因而讓很多病毒程序以及木馬程序有機可乘。

為了保證系統的安全性，有必要對諸如ELF文件的多種文件提供有效的鑒別方案，以判斷其合法性。目前，主要采用的鑒別方法是代碼鑒別。代碼鑒別是一種能夠有效地防止病毒以及其他惡意代碼入侵的方法。對于Linux下的代碼鑒別機制，雖然已經有人研究，但是目前仍舊主要存在以下幾個問題：一是在安裝時進行簽名驗證的方法，并通過修改chmod系統調用控制文件的可執行屬性，但這種方法無法檢測程序安裝后對代碼的任何修改，有一定的局限性；二是采用PKI公鑰體制，由于PKI是基于第三方的，不能保障證書的實時有效性，且CA根證書易被替換，也存在明顯漏洞；三是簽名鑒別是先將整個文件加載入內存，計算其數字摘要再驗證文件的真實性與完整性，這種方法是一種事后鑒別，且性能較低。

針對相關技術中對文件進行鑒別的方案存在缺陷導致系統安全性受到威脅的問題，目前尚未提出有效的解決方案。

發明內容

針對相關技術中的問題，本發明提出一種基于代碼簽名的ELF文件鑒別方法和裝置，能夠有效防止ELF文件被黑客利用，成為進行病毒、木馬和惡意代碼攻擊的工具，確保操作系統安全。

本發明的技術方案是這樣實現的：

根據本發明的一個方面，提供了一種基于代碼簽名的ELF文件鑒別方法。

該方法包括：用戶或系統在申請執行ELF文件時，操作系統內核調度程序首先對所述ELF文件的標識進行鑒別；如果鑒別結果為所述ELF文件的標識是真實的，則進一步對所述ELF文件的特征進行鑒別，并且在所述ELF文件的特征鑒別結果為完整及真實的情況下，允許執行所述ELF文件；

如果所述ELF文件的標識是非真實的、或者所述ELF文件的特征鑒別結果不是完整及真實的，則拒絕執行所述ELF文件。

其中，對所述ELF文件的標識進行鑒別包括：對所述ELF文件的標識簽名驗證和簽名者標識的合法性檢查。

并且，所述ELF文件的標識簽名與驗證是基于組合公鑰體制的，其中，簽名私鑰是ELF文件的發行方或作者的私鑰，在對所述ELF文件的標識簽名進行驗證時，將所述ELF文件的發行方或作者的標識作為公鑰。

此外，對所述ELF文件的標識進行鑒別或者包括：對簽名者的標識進行合法性檢查，判斷ELF文件的作者與發行方的標識是否在操作系統預設信任列表中；和/或，對文件標識的簽名進行數字簽名的驗證，判斷文件標識的真實性與完整體。如果簽名者標識鑒別未通過，則直接拒絕加載ELF文件。

其中，對所述ELF文件的特征進行鑒別包括：對所述ELF文件的特征簽名驗證和簽名者標識的合法性檢查。

并且，所述ELF文件的內容簽名與鑒別是基于組合公鑰體制的，其中，簽名私鑰是ELF文件的發行方或作者的私鑰，在對所述ELF文件的特征簽名進行鑒別時，將所述ELF文件的發行方或作者的標識作為公鑰。

此外，對所述ELF文件的特征進行鑒別或者包括：對簽名者的標識進行合法性檢查，判斷ELF文件的作者與發行方的標識是否在操作系統預設信任列表中；和/或，對文件特征的簽名進行數字簽名的驗證，判斷文件標識的真實性與完整體。如果文件特征鑒別未通過，則拒絕執行ELF文件。

根據本發明的另一方面，還提供了一種基于代碼簽名的ELF文件鑒別裝置。

該裝置包括：第一鑒別模塊，用于在用戶或系統在申請執行ELF文件時，首先對ELF文件的標識進行鑒別；第二鑒別模塊，用于在鑒別結果為ELF文件的標識是真實的情況下，進一步對ELF文件的特征進行鑒別，并且在ELF文件的特征鑒別結果為完整及真實的情況下，允許執行ELF文件；控制模塊，用于在ELF文件的標識是非真實的、或者ELF文件的特征鑒別結果不是完整及真實的情況下，拒絕執行ELF文件。