CN109543413A - 一种基于IMA保护Linux操作系统安全的系统和方法 - Google Patents
一种基于IMA保护Linux操作系统安全的系统和方法 Download PDFInfo
- Publication number
- CN109543413A CN109543413A CN201811295705.5A CN201811295705A CN109543413A CN 109543413 A CN109543413 A CN 109543413A CN 201811295705 A CN201811295705 A CN 201811295705A CN 109543413 A CN109543413 A CN 109543413A
- Authority
- CN
- China
- Prior art keywords
- node unit
- protection
- metric
- ima
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000005259 measurement Methods 0.000 claims description 62
- 101100296682 Arabidopsis thaliana PCR10 gene Proteins 0.000 claims description 18
- 238000012544 monitoring process Methods 0.000 claims description 7
- 101100217298 Mus musculus Aspm gene Proteins 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 238000001629 sign test Methods 0.000 claims description 3
- 238000004321 preservation Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 2
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000009172 bursting Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种基于IMA保护Linux操作系统安全的系统和方法,首先,安全管理中心节点单元配置保护策略给被保护节点单元,其次,当被保护节点单元上系统可执行文件、系统动态链接库、系统配置文件等需要运行、加载到Linux操作系统时,被保护节点单元利用IMA技术度量该客体得到度量值,然后上报度量值给安全管理中心节点单元,最后安全管理中心节点单元解析并确认被保护节点单元的身份信息后,比较上传的度量值与事先收集的基准值是否相同,来判断被保护客体是否被篡改,从而保护被保护节点单元上Linux操作系统的安全。本发明保护了Linux操作系统核心系统文件的完整性,增强了Linux操作系统的安全性,并且保护周期会伴随着整个操作系统运行阶段。
Description
技术领域
本发明涉及Linux操作系统安全领域,一种基于IMA保护Linux操作系统安全的系统和方法。
背景技术
随着计算机技术的发展和网络应用的普及,信息安全越来越收到人们的重视。计算机操作系统不仅是各种应用程序运行的基础,更是各种应用的载体。目前,保护Linux操作系统的安全主要由防火墙和杀毒软件进行防护。防火墙主要阻止网络攻击和网络渗透,杀毒软件主要依靠病毒库和病毒行为特征进行告警和拦截。防火墙和杀毒软件大都是被动的检测网络攻击和病毒行为,而不太关注Linux操作系统本身的安全,比如系统动态链接库被攻击时,传统的安全防护软件大都无法进行有效防护。
发明内容
针对以上缺点,本发明提出了一种基于IMA保护Linux操作系统安全的系统和方法,可以保护Linux操作系统核心系统文件的完整性,增强了Linux 操作系统的安全性。
本发明实施例提供了一种基于IMA保护Linux操作系统安全的系统和方法,该系统包括:
安全管理中心节点单元和被保护节点单元;
安全管理中心节点单元:用于统一的策略配置和安全状态判断;
被保护节点单元:负责安全策略保存,IMA完整性度量和上报度量值;所述被保护节点单元为被保护Linux操作系统安全的节点。
进一步的,所述安全管理中心节点单元包括安全策略配置模块、基准值收集模块和安全状态判断模块;
安全策略配置模块:用于下发基础文件到被保护节点节点单元、同时设置安全管理中心节点单元的工作模式;所述工作模式包括R模式和A模式;所述R模式为基准值收集模式;所述A模式为安全状态监控模式;
基准值收集模块:用于安全管理中心节点单元的工作模式为R模式时,收集安全策略配置模块对应的基础文件的基准值;所述基准值收集模块应用的场景包括第一次部署基础文件到被保护节点单元、更新基础文件到被保护节点单元和被保护节点单元系统升级;
安全状态判断模块:用于安全管理中心节点单元的工作模式为A模式时,判断所述被保护节点单元的安全状态;所述安全状态判断模块应用的场景为实时监控被保护节点单元的安全状态。
进一步的,所述被保护节点单元包括安全策略保存模块、IMA完整性度量模块和度量值上报模块;
安全策略保存模块:用于接受并保存安全策略对应的基础文件到IMA配置文件;
IMA完整性度量模块:用于计算所述被保护节点单元上基础文件的度量值;
度量值上报模块:用于上报基础文件的度量值给安全管理中心节点单元。
进一步的,所述基础文件为需要保护的系统文件,所述基础文件包括系统可执行文件、系统动态链接库、系统配置文件和指定某类文件。
一种基于IMA保护Linux操作系统安全的方法,是在一种基于IMA保护 Linux操作系统安全的系统实现的,包括以下步骤:
S1:安全管理中心节点单元的安全策略配置模块下发基础文件列表给被保护节点单元,同时设置安全管理中心节点单元工作模式为R模式;
S2:被保护节点单元的安全策略保存模块接收安全管理中心节点单元下发的基础文件列表,存储到IMA配置文件ima_policy中;
S3:被保护节点单元的IMA完整性度量模块根据ima_policy中的配置文件,度量基础文件列表,记录到度量列表ML中,得到第一度量值,同时逐个迭代扩展到被保护节点单元的TPM芯片PCR 10寄存器中,得到第一寄存值;
S4:被保护节点单元的度量值上报模块检测到度量列表ML发生变化,读取度量列表ML以及第一寄存值,利用TPM芯片的RSA私钥对PCR 10值进行签名得到第一签名值;
S5:被保护节点单元的度量值上报模块把第一签名值、度量列表ML和RSA 公钥发送给安全管理中心节点单元;
S6:安全管理中心节点单元的基准值收集模块接收上报的第一签名值、第一度量值和RSA公钥,利用RSA公钥验证第一签名值,验证完成后,比对第一度量值是否与第一寄存值相同,如果相同表明传输过程未被篡改,则把第一度量值作为基准值,与被保护节点单元和基础文件保存到数据库中;
S7:安全管理中心节点单元的安全策略配置模块设置安全管理中心节点工作模式为A模式;
S8:当基础文件被篡改后,基础文件被加载到Linux操作系统时,IMA完整性度量模块进行完整性度量,记录度量值到度量列表ML中,为第二度量值,同时扩展到TPM芯片的PCR10寄存器中,得到第二寄存值;
S9:被保护节点单元的度量值上报模块检测到度量列表ML发生变化,读取度量列表ML以及第二寄存值,利用TPM芯片的RSA私钥对PCR 10值进行签名得到第二签名值;
S10:被保护节点单元的度量值上报模块把第二签名值、度量列表ML和 RSA公钥发送给安全管理中心节点单元;
S11:安全状态判断模块接收上报的第二签名值、度量列表ML和RSA公钥,利用RSA公钥验证第二签名值,验签完成后,比对第二度量值是否与第二寄存值相同,如果相同表明传输过程未被篡改;则比较第二度量值与第一度量值,如果不相同,说明被保护节点单元Linux操作系统不安全。
进一步的,所述度量基础文件列表为对基础文件列表进行哈希运算。
进一步的,所述TPM芯片PCR 10寄存器用于存储可执行文件的度量扩展值。
进一步的,所述逐个迭代扩展到被保护节点单元的TPM芯片PCR 10寄存器中,得到第一寄存值的方法为:
PCR10[K]=Hash(PCR10[K-1]||Hash(File_K));
所述PCR10[K]为当度量列表中第k个文件需要扩展时,需要保存到PCR10 的值;
所述PCR10[K-1]为当度量列表中第k个文件需要扩展前,原有PCR10 中的值;
所述||为将两个字符串拼接成一个字符串;
所述Hash(File_K)为第k个文件的度量值;
所述Hash为采用哈希运算SHA1。
发明内容中提供的效果仅仅是实施例的效果,而不是发明所有的全部效果,上述技术方案中的一个技术方案具有如下优点或有益效果:
本发明提出了一种基于IMA保护Linux操作系统安全的系统和方法,该系统包括安全管理中心节点单元和被保护节点单元。首先,安全管理中心节点单元配置保护策略给被保护节点单元,其次,当被保护节点单元上系统可执行文件、系统动态链接库、系统配置文件等需要运行、加载到Linux操作系统时,被保护节点单元利用完整性度量架构IMA技术度量该客体得到度量值,然后,上报度量值给安全管理中心节点单元,最后,安全管理中心节点单元解析并确认被保护节点单元的身份信息后,比较上传的度量值与事先收集的基准值是否相同,来判断被保护客体是否被篡改,从而来保护被保护节点单元上Linux操作系统的安全。本发明是一种基于IMA保护Linux操作系统安全的系统和方法,通过自定义安全策略,被保护的系统文件,利用IMA 完整性度量架构,实时发现Linux操作系统下被保护系统文件的非法篡改,保护了Linux操作系统核心系统文件的完整性,增强了Linux操作系统的安全性,并且保护周期会伴随着整个操作系统运行阶段。
附图说明
图1是本发明实施例1一种基于IMA保护Linux操作系统安全的系统架构图;
图2是本发明实施例1一种基于IMA保护Linux操作系统安全的方法流程图;
图3是基于本发明实施例1的可执行文件在IMA的执行过程;
图4是基于本发明实施例1的度量列表的示意图。
具体实施方式
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
实施例1
本发明实施例1提供了一种基于IMA保护Linux操作系统安全的系统和方法。如图1所示为本发明实施例1一种基于IMA保护Linux操作系统安全的系统架构图。该系统包括安全管理中心节点单元和被保护节点单元。
安全管理中心节点单元,用于统一的策略配置和安全状态判断,主要包括安全策略配置模块、基准值收集模块和安全状态判断模块。
安全策略配置模块,负责安全的配置和下发,用于下发基础文件到被保护节点节点单元。同时设置安全管理中心节点单元的工作模式;安全管理中心节点单元的工作模式分为两种,R模式和A模式。其中R模式为基准值收集模式,代表收集此时被保护节点单元的基准值,A模式为安全状态监控模式,代表监控此时被保护节点的安全状态。基础文件为需要保护的系统文件,包括系统可执行文件、系统动态链接库、系统配置文件和指定某类文件等。
基准值收集模块,用于安全管理中心节点单元的工作模式为R模式时,收集安全策略配置模块对应的基础文件的基准值,基准值收集模块应用的场景包括第一次部署基础文件到被保护节点单元、更新基础文件到被保护节点单元和被保护节点单元系统升级。
安全状态判断模块,用于安全管理中心节点单元的工作模式为A模式时,判断所述被保护节点单元的安全状态,安全状态判断模块应用的场景为实时监控被保护节点单元的安全状态。
IMA完整性度量需要在IMA配置文件中指定要度量的对象,即要保护的系统文件为基础文件,基础文件包括系统可执行文件,系统动态链接库,系统配置文件和指定某类文件。安全管理中心节点单元的安全策略配置模块负责基础文件的配置和下发,通过安全策略配置模块,用户可以选择某个系统目录,或者指定系统目录下的某类文件,要保护的系统文件实例如下表所示:
根据上表选择好要保护的系统文件后,安全策略配置模块可以通过网络下发给指定的被保护节点单元,从而完成安全策略的配置和下发。
当安全管理中心节点单元工作模式为R模式时,且被保护节点单元上传基础文件的度量值到安全管理中心节点单元,安全管理中心节点单元的基准值收集模块就可以收集基础文件的基准值了。基准值收集模块把此时的度量值作为基准值,与被保护节点单元、基础文件一起保存到数据库中。
当安全管理中心节点单元工作模式为A模式,且被保护节点单元上传基础文件的度量值到安全管理中心节点单元时,安全管理中心节点单元的安全状态判断模块进行工作。它首先从数据库中查找被保护节点单元、基础文件对应的基准值,然后与此时该被保护节点单元上传上来的基础文件对应的度量值进行比对,当该保护节点单元下所有的基础文件的度量值与基准值相同,则表明该被保护节点单元此时Linux操作系统是安全的,否则该被保护节点单元的Linux操作系统是不安全的。不安全的原因是这些度量值与基准值不相同的系统文件造成的。
被保护节点单元包括安全策略保存模块、IMA完整性度量模块和度量值上报模块。
安全策略保存模块,用于接受并保存安全策略对应的基础文件到IMA配置文件;
IMA完整性度量模块,用于计算所述被保护节点单元上基础文件的度量值;
度量值上报模块,用于上报基础文件的度量值给安全管理中心节点单元。
被保护节点单元上的安全策略保存模块首先从网络上接受安全管理中心节点单元安全策略配置模块下发的基础文件列表,然后保存到IMA的配置文件/etc/ima_policy中;
IMA完整性度量模块读取IMA的配置文件/etc/ima_policy,得到IMA基础文件,利用IMA完整性度量,对基础文件进行度量,度量值记录到度量列表ML中,同时把度量值扩展到PCR 10中;
当有新的度量记录产生时,度量值上报模块读取度量列表ML,以及TPM 中的PCR10的值,然后利用TPM中存放的RSA私钥对PCR 10进行签名,连同度量列表ML和RSA公钥一起发送给安全管理中心节点单元。
如图2所示为本发明实施例1一种基于IMA保护Linux操作系统安全的方法流程图。
在步骤S201中,安全管理中心节点单元的安全策略配置模块下发基础文件列表给被保护节点单元,同时设置安全管理中心节点单元工作模式为R模式,R模式即为基准值收集模式。
在步骤S202中,被保护节点单元的安全策略保存模块接收安全管理中心节点单元下发的基础文件列表,存储到IMA配置文件ima_policy中。
在步骤S203中,被保护节点单元的IMA完整性度量模块根据ima_policy 中的配置文件,度量基础文件列表,记录到度量列表ML中,得到第一度量值,同时逐个迭代扩展到被保护节点单元的TPM芯片PCR 10寄存器中,得到第一寄存值。其中度量基础文件列表为对基础文件列表进行哈希运算。TPM芯片 PCR 10寄存器用于存储可执行文件的度量扩展值。
逐个迭代扩展到被保护节点单元的TPM芯片PCR 10寄存器的方法为,
PCR10[K]=Hash(PCR10[K-1]||Hash(File_K));
所述PCR10[K]为当度量列表中第k个文件需要扩展时,需要保存到PCR10 的值;
所述PCR10[K-1]为当度量列表中第k个文件需要扩展前,原有PCR10 中的值;
所述||为将两个字符串拼接成一个字符串;
所述Hash(File_K)为第k个文件的度量值;
所述Hash为采用哈希运算SHA1。
如图3所示为可执行文件在IMA的执行过程。首先,Linux操作系统接收到需要执行文件的指令,此处以/bin/bash为例;其次,对可执行文件进行 SHA1哈希运算,得到20字节的度量值,并将此度量值扩展到PCR 10中,同时,将此度量值写入内核维护的度量列表中。如图4所示为度量列表的示意图。
最后,可执行文件被映射入内存,文件开始执行。
通过上述流程可知,IMA完整性度量在可执行文件映射入内存之前,先对该可执行文件进行SHA1哈希,并将此度量值到度量列表中,同时按照上述度量扩展值保存到PCR 10的方法,保存到PCR 10寄存器中。由于Linux操作系统每使用一次可执行文件,都会对可执行文件进行度量,并将度量值扩展到PCR 10中。因此,PCR 10的内容为度量列表的最终迭代度量值,此迭代度量值反映了Linux操作系统此时的运行状态,也表征了内核维护的度量列表的安全性信息。
在步骤S204中,被保护节点单元的度量值上报模块检测到度量列表ML 发生变化,读取度量列表ML以及第一寄存值,利用TPM芯片的RSA私钥对PCR 10值进行签名得到第一签名值。
在步骤S205中,被保护节点单元的度量值上报模块把第一签名值、度量列表ML和RSA公钥发送给安全管理中心节点单元。
在步骤S206中,安全管理中心节点单元的基准值收集模块接收上报第一签名值、第一度量值和RSA公钥,利用RSA公钥验证第一签名值,验证完成后,比对第一度量值是否与第一寄存值相同,如果相同表明传输过程未被篡改,则把第一度量值作为基准值,与被保护节点单元和基础文件保存到数据库中。
在步骤S207中,安全管理中心节点单元的安全策略配置模块设置安全管理中心节点单元工作模式为A模式。
在步骤S208中,当基础文件被篡改后,基础文件被加载到Linux操作系统时,IMA完整性度量模块进行完整性度量,记录度量值到度量列表ML中,为第二度量值,同时扩展到TPM芯片的PCR 10寄存器中,得到第二寄存值。
在步骤S209中,被保护节点单元的度量值上报模块检测到度量列表ML 发生变化,读取ML以及第二寄存值,利用TPM芯片的RSA私钥对PCR 10值进行签名得到第二签名值。
在步骤S210中,被保护节点单元的度量值上报模块把第二签名值、度量列表ML和RSA公钥发送给安全管理中心节点单元。
在步骤S211中,安全状态判断模块接收上报的信息,利用RSA公钥验证第二签名值,验签完成后,比对第二度量值是否与第二寄存值相同,如果相同表明传输过程未被篡改;则比较第二度量值与第一度量值,如果不相同,说明被保护节点单元Linux操作系统不安全。
尽管说明书及附图和实施例对本发明创造已进行了详细的说明,但是,本领域技术人员应当理解,仍然可以对本发明创造进行修改或者等同替换;而一切不脱离本发明创造的精神和范围的技术方案及其改进,其均涵盖在本发明创造专利的保护范围当中。
Claims (8)
1.一种基于IMA保护Linux操作系统安全的系统,其特征在于,包括:安全管理中心节点单元和被保护节点单元;
安全管理中心节点单元:用于统一的策略配置和安全状态判断;
被保护节点单元:负责安全策略保存,IMA完整性度量和上报度量值;所述被保护节点单元为被保护Linux操作系统安全的节点。
2.根据权利要求1所述的一种基于IMA保护Linux操作系统安全的系统,其特征在于,所述安全管理中心节点单元包括安全策略配置模块、基准值收集模块和安全状态判断模块;
安全策略配置模块:用于下发基础文件到被保护节点节点单元、同时设置安全管理中心节点单元的工作模式;所述工作模式包括R模式和A模式;所述R模式为基准值收集模式;所述A模式为安全状态监控模式;
基准值收集模块:用于安全管理中心节点单元的工作模式为R模式时,收集安全策略配置模块对应的基础文件的基准值;所述基准值收集模块应用的场景包括第一次部署基础文件到被保护节点单元、更新基础文件到被保护节点单元和被保护节点单元系统升级;
安全状态判断模块:用于安全管理中心节点单元的工作模式为A模式时,判断所述被保护节点单元的安全状态;所述安全状态判断模块应用的场景为实时监控被保护节点单元的安全状态。
3.根据权利要求1所述的一种基于IMA保护Linux操作系统安全的系统,其特征在于,所述被保护节点单元包括安全策略保存模块、IMA完整性度量模块和度量值上报模块;
安全策略保存模块:用于接受并保存安全策略对应的基础文件到IMA配置文件;
IMA完整性度量模块:用于计算所述被保护节点单元上基础文件的度量值;
度量值上报模块:用于上报基础文件的度量值给安全管理中心节点单元。
4.根据权利要求2和3任意一项所述的一种基于IMA保护Linux操作系统安全的系统,其特征在于,所述基础文件为需要保护的系统文件,所述基础文件包括系统可执行文件、系统动态链接库、系统配置文件和指定某类文件。
5.一种基于IMA保护Linux操作系统安全的方法,是基于权利要求1至4任意一项所述的一种基于IMA保护Linux操作系统安全的系统实现的,其特征在于,包括以下步骤:
S1:安全管理中心节点单元的安全策略配置模块下发基础文件列表给被保护节点单元,同时设置安全管理中心节点单元工作模式为R模式;
S2:被保护节点单元的安全策略保存模块接收安全管理中心节点单元下发的基础文件列表,存储到IMA配置文件ima_policy中;
S3:被保护节点单元的IMA完整性度量模块根据ima_policy中的配置文件,度量基础文件列表,记录到度量列表ML中,得到第一度量值,同时逐个迭代扩展到被保护节点单元的TPM芯片PCR 10寄存器中,得到第一寄存值;
S4:被保护节点单元的度量值上报模块检测到度量列表ML发生变化,读取度量列表ML以及第一寄存值,利用TPM芯片的RSA私钥对PCR 10值进行签名得到第一签名值;
S5:被保护节点单元的度量值上报模块把第一签名值、度量列表ML和RSA公钥发送给安全管理中心节点单元;
S6:安全管理中心节点单元的基准值收集模块接收上报的第一签名值、第一度量值和RSA公钥,利用RSA公钥验证第一签名值,验证完成后,比对第一度量值是否与第一寄存值相同,如果相同表明传输过程未被篡改,则把第一度量值作为基准值,与被保护节点单元和基础文件保存到数据库中;
S7:安全管理中心节点单元的安全策略配置模块设置安全管理中心节点工作模式为A模式;
S8:当基础文件被篡改后,基础文件被加载到Linux操作系统时,IMA完整性度量模块进行完整性度量,记录度量值到度量列表ML中,为第二度量值,同时扩展到TPM芯片的PCR 10寄存器中,得到第二寄存值;
S9:被保护节点单元的度量值上报模块检测到度量列表ML发生变化,读取度量列表ML以及第二寄存值,利用TPM芯片的RSA私钥对PCR 10值进行签名得到第二签名值;
S10:被保护节点单元的度量值上报模块把第二签名值、度量列表ML和RSA公钥发送给安全管理中心节点单元;
S11:安全状态判断模块接收上报的第二签名值、度量列表ML和RSA公钥,利用RSA公钥验证第二签名值,验签完成后,比对第二度量值是否与第二寄存值相同,如果相同表明传输过程未被篡改;则比较第二度量值与第一度量值,如果不相同,说明被保护节点单元Linux操作系统不安全。
6.根据权利要求5所述的一种基于IMA保护Linux操作系统安全的方法,其特征在于,在步骤S3中,所述度量基础文件列表为对基础文件列表进行哈希运算。
7.根据权利要求5所述的一种基于IMA保护Linux操作系统安全的方法,其特征在于,所述TPM芯片PCR 10寄存器用于存储可执行文件的度量扩展值。
8.根据权利要求5所述的一种基于IMA保护Linux操作系统安全的方法,其特征在于,在步骤S3中,所述逐个迭代扩展到被保护节点单元的TPM芯片PCR 10寄存器中,得到第一寄存值的方法为:
PCR10[K]=Hash(PCR10[K-1]||Hash(File_K));
所述PCR10[K]为当度量列表中第k个文件需要扩展时,需要保存到PCR10的值;
所述PCR10[K-1]为当度量列表中第k个文件需要扩展前,原有PCR10中的值;
所述||为将两个字符串拼接成一个字符串;
所述Hash(File_K)为第k个文件的度量值;
所述Hash为采用哈希运算SHA1。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811295705.5A CN109543413A (zh) | 2018-11-01 | 2018-11-01 | 一种基于IMA保护Linux操作系统安全的系统和方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811295705.5A CN109543413A (zh) | 2018-11-01 | 2018-11-01 | 一种基于IMA保护Linux操作系统安全的系统和方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109543413A true CN109543413A (zh) | 2019-03-29 |
Family
ID=65845903
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811295705.5A Withdrawn CN109543413A (zh) | 2018-11-01 | 2018-11-01 | 一种基于IMA保护Linux操作系统安全的系统和方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109543413A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110647750A (zh) * | 2019-09-20 | 2020-01-03 | 大唐高鸿信安(浙江)信息科技有限公司 | 文件完整性度量方法、装置、终端及安全管理中心 |
CN110677483A (zh) * | 2019-09-29 | 2020-01-10 | 北京可信华泰信息技术有限公司 | 信息处理系统和可信安全管理系统 |
CN111831609A (zh) * | 2020-06-18 | 2020-10-27 | 中国科学院数据与通信保护研究教育中心 | 一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统 |
CN111881467A (zh) * | 2020-06-12 | 2020-11-03 | 海光信息技术有限公司 | 利用安全处理器保护文件的方法、装置、cpu和计算机设备 |
CN111914250A (zh) * | 2020-08-18 | 2020-11-10 | 中科方德软件有限公司 | 一种Linux系统脚本程序运行时验证与管控方法 |
CN114201747A (zh) * | 2021-11-29 | 2022-03-18 | 海光信息技术股份有限公司 | 一种动态度量根实现方法、装置、系统及存储介质 |
CN114282220A (zh) * | 2021-11-16 | 2022-04-05 | 北京智芯微电子科技有限公司 | 用于操作系统的可信管理系统及方法 |
-
2018
- 2018-11-01 CN CN201811295705.5A patent/CN109543413A/zh not_active Withdrawn
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110647750A (zh) * | 2019-09-20 | 2020-01-03 | 大唐高鸿信安(浙江)信息科技有限公司 | 文件完整性度量方法、装置、终端及安全管理中心 |
CN110677483A (zh) * | 2019-09-29 | 2020-01-10 | 北京可信华泰信息技术有限公司 | 信息处理系统和可信安全管理系统 |
CN110677483B (zh) * | 2019-09-29 | 2022-06-24 | 北京可信华泰信息技术有限公司 | 信息处理系统和可信安全管理系统 |
CN111881467A (zh) * | 2020-06-12 | 2020-11-03 | 海光信息技术有限公司 | 利用安全处理器保护文件的方法、装置、cpu和计算机设备 |
CN111881467B (zh) * | 2020-06-12 | 2022-10-28 | 海光信息技术股份有限公司 | 利用安全处理器保护文件的方法、装置、cpu和计算机设备 |
CN111831609A (zh) * | 2020-06-18 | 2020-10-27 | 中国科学院数据与通信保护研究教育中心 | 一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统 |
CN111831609B (zh) * | 2020-06-18 | 2024-01-02 | 中国科学院数据与通信保护研究教育中心 | 虚拟化环境中二进制度量值统一管理和分发的方法和系统 |
CN111914250A (zh) * | 2020-08-18 | 2020-11-10 | 中科方德软件有限公司 | 一种Linux系统脚本程序运行时验证与管控方法 |
CN111914250B (zh) * | 2020-08-18 | 2022-05-17 | 中科方德软件有限公司 | 一种Linux系统脚本程序运行时验证与管控方法 |
CN114282220A (zh) * | 2021-11-16 | 2022-04-05 | 北京智芯微电子科技有限公司 | 用于操作系统的可信管理系统及方法 |
CN114201747A (zh) * | 2021-11-29 | 2022-03-18 | 海光信息技术股份有限公司 | 一种动态度量根实现方法、装置、系统及存储介质 |
CN114201747B (zh) * | 2021-11-29 | 2022-12-13 | 海光信息技术股份有限公司 | 一种动态度量根实现方法、装置、系统及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109543413A (zh) | 一种基于IMA保护Linux操作系统安全的系统和方法 | |
US10348756B2 (en) | System and method for assessing vulnerability of a mobile device | |
CN108665297B (zh) | 异常访问行为的检测方法、装置、电子设备和存储介质 | |
CN103201747B (zh) | 用于验证多个数据处理系统的方法和设备 | |
CN109831487A (zh) | 分片文件验证方法及终端设备 | |
CN105224600B (zh) | 一种样本相似度的检测方法及装置 | |
CN108399338A (zh) | 基于进程行为的平台完整性状态信息度量方法 | |
CN110647750B (zh) | 文件完整性度量方法、装置、终端及安全管理中心 | |
CN111339293B (zh) | 告警事件的数据处理方法、装置和告警事件的分类方法 | |
CN105786702A (zh) | 计算机软件分析系统 | |
CN109002472A (zh) | 一种数据库差异的识别方法及装置 | |
CN107861793A (zh) | 虚拟硬件平台启动方法、装置、设备及计算机存储介质 | |
CN105260653A (zh) | 一种基于Linux的程序安全加载方法及系统 | |
JP2018196054A (ja) | 評価プログラム、評価方法および情報処理装置 | |
CN109117643A (zh) | 系统处理的方法以及相关设备 | |
CN107392030A (zh) | 一种检测虚拟机启动安全的方法及装置 | |
JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
CN104794025B (zh) | 快速校验存储设备的方法 | |
CN109857806A (zh) | 数据库表的同步验证方法及装置 | |
CN109766688A (zh) | 一种基于Merkle树的Linux程序运行时验证与管控方法和系统 | |
CN109446011A (zh) | 一种硬盘的固件安全测试方法、装置及存储介质 | |
CN113704569A (zh) | 信息的处理方法、装置及电子设备 | |
JP2006025434A5 (zh) | ||
CN110071844A (zh) | 一种检测脚本创建系统、方法和相关装置 | |
CN109347948A (zh) | 一种基于区块链技术的大数据防篡改方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190329 |