本發明公開了Linux系統運行時狀態的安全度量與安全驗證方法，具體涉及Linux系統安全運行方法領域，包括安全運行系統，安全運行系統包括度量根模塊、存儲根模塊、可信報告根模塊、完整性驗證模塊、配置信息管理模塊；安全度量與安全驗證的方法包括以下步驟：讀取預設置的配置信息，進行度量驗證的策略管理；度量根模塊全盤度量可執行和可加載類型文件；將度量根模塊生成的加密字串進行實時存儲；數據校驗后，判斷運行時進程的完整性；可信報告模塊將信息實時傳輸報告給用戶。本發明在Linux系統運行時狀態，實現一種文件級別可唯一性、安全且高效進行完整性度量與驗證的機制，實時判斷系統平臺是否安全，保障系統完整性，防止被篡改攻擊。

技術領域

本發明實施例涉及Linux系統安全運行方法領域，具體涉及Linux系統運行時狀態的安全度量與安全驗證方法。

背景技術

Linux操作系統是基于UNIX操作系統發展而來的一種克隆系統，它誕生于1991年的[Linux桌面]10月5日(這是第一次正式向外公布的時間)。以后借助于Internet網絡，并通過全世界各地計算機愛好者的共同努力，已成為今天世界上使用最多的一種UNIX類操作系統，并且使用人數還在迅猛增長。

現有技術中Linux操作系統可以實現度量與驗證的基本功能，但目前存在一些缺點：

1.在安全度量相同內容的同名文件時，加密度量值相同，從安全度量角度來說，不能唯一標識對應文件；

2.Linux系統默認使用sha1算法進行加密計算，安全強度不夠，有被解密風險；

3.現有度量模塊，只能對文件逐個進行度量，不能直接對文件夾等多個文件進行度量，即該文件夾內的所有可執行和可加載類文件；

4.在安全驗證模塊，不能對解釋執行的腳本類實體文件進行驗證。

在Linux系統中完整性度量機制，將文件內容和文件的屬性/擴展屬性，通過加密哈希算法生成對應的驗證值，以擴展屬性方式保存在文件系統節點中；系統運行時在文件被訪問前，內核模塊通過校驗文件的驗證值，判斷文件是否被離線非法篡改過。

但對于內容相同文件，度量值相同，無法做到唯一性度量驗證；并且僅針對單個文件度量驗證，效率不高。

目前沒有找到可解決上述問題的相關技術方案。

發明內容

為此，本發明實施例提供Linux系統運行時狀態的安全度量與安全驗證方法，本發明根據linux操作系統原有安全機制，進行擴展研發及安全加固，并且采用模塊化設計，實現豐富的API接口函數，機制使用方法更靈活，應用層方案更實用，實現Linux系統運行時，還實現一種針對文件級別可唯一性、安全且高效進行完整性度量與驗證的機制，保障系統完整性。

為了實現上述目的，本發明實施例提供如下技術方案：Linux系統運行時狀態的安全度量與安全驗證方法，包括安全運行系統以及利用該安全運行系統實現Linux系統運行時狀態的安全度量與安全驗證的方法；

安全運行系統包括度量根模塊、存儲根模塊、可信報告根模塊、完整性驗證模塊、配置信息管理模塊；

度量根模塊用于度量文件，生成文件的唯一標識；

存儲根模塊用于存儲所有度量過的文件的加密字串；

完整性驗證模塊用于驗證模塊的完整性；

可信報告模塊用于獲取進程的運行時的狀態信息；

配置信息模塊的自定義信息由開機進程服務加載到內核，實現相關信息管理功能；

利用該安全運行系統實現Linux系統運行時狀態的安全度量與安全驗證的方法包括以下步驟：