CN103488945A - 防火墙的操作系统中内核的认证方法和装置 - Google Patents
防火墙的操作系统中内核的认证方法和装置 Download PDFInfo
- Publication number
- CN103488945A CN103488945A CN201310439448.9A CN201310439448A CN103488945A CN 103488945 A CN103488945 A CN 103488945A CN 201310439448 A CN201310439448 A CN 201310439448A CN 103488945 A CN103488945 A CN 103488945A
- Authority
- CN
- China
- Prior art keywords
- kernel
- file
- kernel file
- authentication method
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种防火墙的操作系统中内核的认证方法和装置,其中,该认证方法包括:在加载内核的情况下,对与内核对应的内核文件进行计算,得到计算结果;将计算结果与预先存储的内核文件的认证信息进行比较;根据比较结果判断是否允许加载内核。本发明通过在加载防火墙内核时对内核文件进行认证再判断是否加载,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性。
Description
技术领域
本发明涉及防火墙领域,并且特别地,涉及一种防火墙的操作系统中内核的认证方法和装置。
背景技术
在系统启动时,需要先将防火墙的操作系统内核加载到系统内存中,通常的系统设计都是从存储介质直接加载操作系统的内核文件。如果内核文件出错或出现内核文件被篡改的情况就可能出现系统加载失败或产生安全风险,并且现有的系统加载方式默认防火墙的操作系统内核文件是可信的,不对内核文件进行完整性校验。
针对相关技术中加载防火墙的操作系统内核容易出错导致系统出现安全风险的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中加载防火墙的操作系统内核容易出错导致系统出现安全风险的问题,本发明提出一种操作系统中内核的认证方法和装置,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性。
本发明的技术方案是这样实现的:
根据本发明的一个方面,提供了一种防火墙的操作系统中内核的认证方法。
上述认证方法包括:
在加载内核的情况下,对与内核对应的内核文件进行计算,得到计算结果;
将计算结果与预先存储的内核文件的认证信息进行比较;
根据比较结果判断是否允许加载内核。
优选地,对与内核相应的内核文件进行计算包括:
对与内核相应的内核文件进行MD5计算。
此外,在将计算所得到的结果与预先存储的与内核文件相应的认证信息进行比较之前,上述认证方法进一步包括:
对内核文件进行MD5计算得到预先存储的与内核文件相应的认证信息。
并且,根据比较结果判断内核文件是否安全包括:
在比较结果为相同或相符的情况下,判断内核为安全;
加载内核。
进一步地,根据对比结果判断内核文件是否安全包括:
在对比结果为不相符或不相符的情况下,通过警报设备发出错误提示,并禁止加载内核。
优选地,防火墙设备用于龙芯架构。
根据本发明的另一个方面,提供了一种防火墙的操作系统中内核的认证装置。
上述认证装置包括:
第一计算模块,用于在加载内核的情况下,对与内核对应的内核文件进行计算,得到计算结果;
比较模块,用于将计算结果与预先存储的内核文件的认证信息进行比较;
判断模块,用于根据比较结果判断是否允许加载内核。
优选地,第一计算模块进一步用于对与内核相应的内核文件进行MD5计算。
此外,上述认证装置进一步包括:
第二计算模块,在比较模块用于将计算所得到的结果与预先存储的与内核文件相应的认证信息进行比较之前,第二计算模块用于对内核文件进行MD5计算得到预先存储的与内核文件相应的认证信息。
优选地,防火墙设备用于龙芯架构。
本发明通过在加载防火墙内核时对内核文件进行认证再判断是否加载,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性。
附图说明
图1是根据本发明实施例的操作系统中内核的认证方法的流程图;
图2是根据本发明的另一个实施例的认证方法的示意图;
图3是根据本发明实施例的操作系统中内核的认证装置的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种防火墙的操作系统中内核的认证方法。
如图1所示,根据本发明实施例的认证方法可以包括:
步骤S101,在加载内核的情况下,可以对与内核对应的内核文件进行计算,得到计算结果,优选地,对与内核相应的内核文件进行MD5(Message DigestAlgorithm5,消息摘要算法第五版)计算,其中,MD5计算为一种散列计算,能够验证内核文件的完整性和准确性;
步骤S103,将计算结果与预先存储的内核文件的认证信息进行比较,其中,预先存储的内核文件的认证信息是预先用相同的计算方法对正确的内核文件进行计算得到的信息,优选地,对内核文件进行MD5计算得到预先存储的与内核文件相应的认证信息;
步骤S105,根据比较结果判断是否允许加载内核,通过对加载的内核文件进行计算,然后将计算结果与预先结果进行对比,再判断是否加载内核文件,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性。
然后,根据比较结果判断内核文件是否安全,在比较结果为相同或相符的情况下,可以判断内核为安全;加载内核。
当在对比结果为不相符或不相符的情况下,可以通过警报设备发出错误提示,并禁止加载内核。
优选地,本文所提及的防火墙设备用于龙芯架构。
根据本发明的一个实施例,提供一种用于防火墙的操作系统中内核的认证方法,其中,该防火墙设备用于龙芯架构。如图2所示,根据本发明实施例的认证方法具体步骤包括:
通电后执行步骤S201,BIOS(Basic Input-Output System,基本输入输出系统)自检;
步骤S203,执行GRUB(GRand Unified Bootloader,系统默认自带的多重启动管理器)判断内核完整性,正确的校验文件存放于启动介质的特定路径下,GRUB系统加载后,将按照防火墙操作系统的存放路径找到防火墙操作系统内核文件并进行MD5运算,并将运算所得的摘要值(即文中所述的认证信息)与校验文件所存储的MD5计算所得的摘要值进行比对,如果需要加载的防火墙操作系统的内核文件与预存的摘要值一致,则校验通过,执行步骤S205,如果需要加载的防火墙操作系统的内核文件与预存的摘要值不一致,则执行步骤S211;
步骤S205,加载防火墙操作系统的内核;
步骤S207,运行进程init(initialization,初始化)设定初值;
步骤S209,再通过/etc/inittab初始化,读取配置文件;
步骤S211,如果内核检验不一致,则停止启动并通过蜂鸣器发出报警。
即,本方案的工作原理是通过在启动时增加一个对防火墙的操作系统内核文件进行md5值的校验来对防火墙进行认证,能够避免防火墙加载错误的情况。
根据本发明的另一个实施例,提供了一种防火墙的操作系统中内核的认证装置。
如图3所示,根据本发明实施例的认证装置可以包括:
第一计算模块31,用于在加载内核的情况下,对与内核对应的内核文件进行计算,得到计算结果,优选地,第一计算模块进一步用于对与内核相应的内核文件进行MD5计算;
比较模块32,用于将计算结果与预先存储的内核文件的认证信息进行比较;
判断模块33,用于根据比较结果判断是否允许加载内核。
此外,根据本发明实施例的认证装置可以进一步包括:
第二计算模块,在比较模块用于将计算所得到的结果与预先存储的与内核文件相应的认证信息进行比较之前,第二计算模块用于对内核文件进行MD5计算得到预先存储的与内核文件相应的认证信息。
然后,根据本发明实施例的认证装置的比较模块32可以根据比较结果判断内核文件是否安全,然后在比较结果为相同或相符的情况下,判断内核为安全;然后加载内核。并且,比较模块32可以在对比结果为不相符或不相符的情况下,可以通过警报设备发出错误提示,并禁止加载内核。
优选地,防火墙设备用于龙芯架构。
综上所述,借助于本发明的上述技术方案,本发明通过增加内核文件校验的过程,即通过在加载防火墙内核时对内核文件进行认证再判断是否加载,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性,从而解决内核文件出错或被篡改所导致的安全风险。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种防火墙的操作系统中内核的认证方法,其特征在于,包括:
在加载所述内核的情况下,对与所述内核对应的内核文件进行计算,得到计算结果;
将所述计算结果与预先存储的所述内核文件的认证信息进行比较;
根据比较结果判断是否允许加载所述内核。
2.根据权利要求1所述的认证方法,其特征在于,对与所述内核相应的内核文件进行计算包括:
对与所述内核相应的内核文件进行MD5计算。
3.根据权利要求2所述的认证方法,其特征在于,在将计算所得到的结果与预先存储的与所述内核文件相应的认证信息进行比较之前,所述认证方法进一步包括:
对所述内核文件进行MD5计算得到所述预先存储的与所述内核文件相应的认证信息。
4.根据权利要求1所述的认证方法,其特征在于,根据比较结果判断所述内核文件是否安全包括:
在比较结果为相同或相符的情况下,判断所述内核为安全;
加载所述内核。
5.根据权利要求1所述的认证方法,其特征在于,根据所述对比结果判断所述内核文件是否安全包括:
在所述对比结果为不相符或不相符的情况下,通过警报设备发出错误提示,并禁止加载所述内核。
6.根据权利要求1-5中任一项所述的认证方法,其特征在于,所述防火墙设备用于龙芯架构。
7.一种防火墙的操作系统中内核的认证装置,其特征在于,包括:
第一计算模块,用于在加载所述内核的情况下,对与所述内核对应的内核文件进行计算,得到计算结果;
比较模块,用于将所述计算结果与预先存储的所述内核文件的认证信息进行比较;
判断模块,用于根据比较结果判断是否允许加载所述内核。
8.根据权利要求1所述的认证装置,其特征在于,所述第一计算模块进一步用于对与所述内核相应的内核文件进行MD5计算。
9.根据权利要求2所述的认证装置,其特征在于,所述认证装置进一步包括:
第二计算模块,在比较模块用于将计算所得到的结果与预先存储的与所述内核文件相应的认证信息进行比较之前,所述第二计算模块用于对所述内核文件进行MD5计算得到所述预先存储的与所述内核文件相应的认证信息。
10.根据权利要求7-9中任一项所述的认证方法,其特征在于,所述防火墙设备用于龙芯架构。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310439448.9A CN103488945A (zh) | 2013-09-24 | 2013-09-24 | 防火墙的操作系统中内核的认证方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310439448.9A CN103488945A (zh) | 2013-09-24 | 2013-09-24 | 防火墙的操作系统中内核的认证方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103488945A true CN103488945A (zh) | 2014-01-01 |
Family
ID=49829159
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310439448.9A Pending CN103488945A (zh) | 2013-09-24 | 2013-09-24 | 防火墙的操作系统中内核的认证方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103488945A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107357701A (zh) * | 2017-07-24 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种分布式场景下sas信号测试方法及装置 |
| CN111427620A (zh) * | 2019-12-23 | 2020-07-17 | 锐捷网络股份有限公司 | 嵌入式系统的启动方法及装置 |
-
2013
- 2013-09-24 CN CN201310439448.9A patent/CN103488945A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107357701A (zh) * | 2017-07-24 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种分布式场景下sas信号测试方法及装置 |
| CN107357701B (zh) * | 2017-07-24 | 2020-10-23 | 苏州浪潮智能科技有限公司 | 一种分布式场景下sas信号测试方法及装置 |
| CN111427620A (zh) * | 2019-12-23 | 2020-07-17 | 锐捷网络股份有限公司 | 嵌入式系统的启动方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102880828B (zh) | 一种针对虚拟化支撑环境的入侵检测与恢复系统 | |
| US11132467B2 (en) | Information processing device, information processing method, and computer program product | |
| CN105608386A (zh) | 一种可信计算终端完整性度量、证明方法及装置 | |
| WO2017133559A1 (zh) | 安全启动方法及装置 | |
| CN112035472B (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
| JP6391439B2 (ja) | 情報処理装置、サーバ装置、情報処理システム、制御方法及びコンピュータプログラム | |
| CN101983375A (zh) | 将密码模块绑定到平台 | |
| CN102650944A (zh) | 一种操作系统安全引导装置及引导方法 | |
| CN101369141B (zh) | 用于可编程数据处理设备的保护单元 | |
| CN109784061A (zh) | 控制服务器可信启动的方法及装置 | |
| WO2013106492A1 (en) | Detection of invalid escrow keys | |
| JP6659180B2 (ja) | 制御装置および制御方法 | |
| US12039050B2 (en) | Information processing device | |
| CN103488945A (zh) | 防火墙的操作系统中内核的认证方法和装置 | |
| CN107657170A (zh) | 支持智能修复的可信加载启动控制系统和方法 | |
| CN108804951B (zh) | 用于识别过程控制系统的完整性降级的方法和装置 | |
| US10637877B1 (en) | Network computer security system | |
| CN104573417A (zh) | 一种基于uefi的软件全过程保护系统和方法 | |
| CN105183508B (zh) | 容器系统内应用程序的监控方法以及智能终端 | |
| CN110362983B (zh) | 一种保证双域系统一致性的方法、装置及电子设备 | |
| WO2021184712A1 (zh) | 一种软件升级方法及装置 | |
| CN110781517B (zh) | 一种bios与bmc沟通实现数据交互的方法 | |
| JP2018136811A (ja) | 制御システム | |
| CN108228219B (zh) | 一种带外刷新bios时验证bios合法性的方法及装置 | |
| JP5955165B2 (ja) | 管理装置、管理方法及び管理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140101 |