本发明专利技术公开了完整性度量方法及装置,涉及通信技术领域。为了解决现有技术中存在的对系统镜像内的文件做IMA/EVM签名时,需要镜像生成后再生成签名,实现过程复杂的问题而发明专利技术。该方法包括:在编译ramdisk镜像前,生成密钥对,所述密钥对包括公钥和私钥;在生成system镜像过程中,根据文件内容和私钥分别生成文件的IMA签名和EVM签名,并将IMA签名和EVM签名打包进system镜像。本发明专利技术应用在完整性度量过程中。
【技术实现步骤摘要】
本专利技术涉及通信
,尤其涉及一种完整性度量方法及装置。
技术介绍
随着采用安卓(Android)系统的智能设备的普及,Android系统的安全性也备受关注,很多恶意软件通过篡改或替换系统中的已有文件来获取用户信息。确保系统中文件的完整性,有效的检测并阻止对被篡改文件的访问,是完整性度量的范畴。Linux内核支持完整性度量,一般通过完整性度量框架(Integrity Measurement Architecture,IMA)模块和扩展验证模块(Extended Verification Module,EVM)实现。其中,完整性度量的基本实现原理为:IMA模块对文件做IMA签名,也即对文件内容做摘要,将生成的哈希值保存在文件扩展属性security.ima中,下次在文件被访问前,重新计算文件内容哈希值,与security.ima中保存的值比较,不一致则表明文件内容被非法篡改过。为防止对security.ima等文件属性的篡改,EVM模块进一步利用哈希运算消息认证码(Hash-based Message Authentication Code,HMAC)密钥对文件进行签名或加密,也即对用户识别符(user identifier,UID)/群体身份标识符(Group Identification,GID)等文件系统属性及security.ima等扩展属性做哈希,得到的哈希值经过加密或签名后,保存在security.evm中。Android上支持完整性度量需解决的问题包括:1、如何保证生成HMAC所用密钥的安全性。2、如何对系统镜像内的文件做IMA/EVM签名。3、如何在系统分区加载前导入签名对应的公钥,以验证IMA/EVM签名。针对上述问题,现有技术提供的一种技术方案为:1、HMAC密钥经root key加密后,保存在文件系统中。2、镜像生成后,将需要签名的镜像导入本地,通过脚本手动签名文件。3、使用shell脚本加载签名对应的公钥。现有技术提供的这种技术方案,对系统镜像内的文件做IMA/EVM签名时,需要镜像生成后再通过脚本手动生成签名,实现过程复杂。
技术实现思路
本专利技术提供一种完整性度量方法及装置,以解决现有技术中存在的对系统镜像内的文件做IMA/EVM签名时,需要镜像生成后再生成签名,实现过程复杂的问题。为达到上述目的,本专利技术采用如下技术方案:第一方面,本专利技术提供一种完整性度量方法,包括:在编译虚拟内存盘ramdisk镜像前,生成密钥对,所述密钥对包括公钥和私钥;在生成系统system镜像过程中,根据文件内容和所述私钥分别生成文件的IMA签名和EVM签名,并将所述IMA签名和EVM签名打包进所述system镜像。本专利技术提供的完整性度量方法,通过在编译ramdisk镜像前生成密钥对,在系统system镜像过程中自动生成签名并打包进镜像,与现有技术中在镜像生成后,通过脚本手动生成签名相比,本专利技术提供的完整性度量方法能够在编译阶段自动生成签名并打包进系统镜像,避免繁琐的手动签名,能够简化生成签名的实现过程。结合第一方面,在第一方面的第一种实现方式中,所述在生成系统system镜像过程中,根据文件内容和所述私钥分别生成IMA签名和EVM签名,并将所述IMA签名和EVM签名打包进所述system镜像,具体包括:在生成所述system镜像过程中,调用修改后的预设可执行程序,将所述文件内容和私钥作为所述修改后的预设可执行程序的输入参数,生成文件的IMA签名;调用所述修改后的预设可执行程序,将所述文件的预设属性和扩展属性作为所述修改后的预设可执行程序的输入参数,生成文件的EVM签名。在该实现方式中,通过调用修改后的预设可执行程序,分别输入文件内容和私钥自动生成IMA签名以及输入文件的某些属性自动生成EVM签名。因此,通过该实现方式能够实现自动生成签名,避免手动生成签名的繁琐过程,简化生成签名的实现过程。结合第一方面,在第一方面的第二种实现方式中,所述方法还包括:从可信执行环境TEE获取哈希运算消息认证码HMAC密钥。在该实现方式中,从TEE中获取HMAC密钥。由于TEE的安全性较高,因此,通过该实现方式,能够避免HMAC密钥被用户空间程序等非法获取,能够保证HMAC密钥的安全性。结合第一方面的第二种实现方式,在第一方面的第三种实现方式中,所述从可信执行环境TEE获取哈希运算消息认证码HMAC密钥,具体包括:向TEE发送获取请求;接收所述TEE发送的HMAC密钥,所述HMAC密钥为所述TEE根据设备的通用唯一识别码UUID生成。在该实现方式中,TEE根据UUID生成HMAC密钥,由于UUID具有唯一性,因此能够保证HMAC密钥的唯一性和安全性。结合第一方面,或者第一方面的第一种实现方式、第二种实现方式、第三种实现方式中的任意一种,在第一方面的第四种实现方式中,所述方法还包括:在system镜像挂载前,执行预创建的可执行程序以加载所述公钥。在该实现方式中,通过执行预创建的可执行程序加载公钥,能够避免使用shell脚本带来的环境依赖。第二方面,本专利技术提供一种完整性度量装置,包括:编译模块,用于在编译虚拟内存盘ramdisk镜像前,生成密钥对,所述密钥对包括公钥和私钥;镜像生成模块,用于在生成系统system镜像过程中,根据文件内容和所述私钥分别生成文件的IMA签名和EVM签名,并将所述IMA签名和EVM签名打包进所述system镜像。本专利技术提供的完整性度量装置,通过在编译ramdisk镜像前生成密钥对,在系统system镜像过程中自动生成签名并打包进镜像,与现有技术中在镜像生成后,通过脚本手动生成签名相比,本专利技术提供的完整性度量装置能够在编译阶段自动生成签名并打包进系统镜像,避免繁琐的手动签名,能够简化生成签名的实现过程。结合第二方面,在第二方面的第一种实现方式中,所述镜像生成模块,具体用于:在生成所述system镜像过程中,调用修改后的预设可执行程序,将所述文件内容和私钥作为所述修改后的预设可执行程序的输入参数,生成文件的IMA签名;调用所述修改后的预设可执行程序,将所述文件的预设属性和扩展属性作为所述修改后的预设可执行程序的输入参数,生成文件的EVM签名。结合第二方面,在第二方面的第二种实现方式中,所述装置还包括:内核,用于从可信执行环境TEE获取哈希运算消息认证码HMAC密钥。结合第二方面的第二种实现方式,在第二方面的第三种实现方式中,所述内核,具体用于向TEE发送获取请求;接收所述TEE发送的HMAC密钥,所述HMAC密钥为所述TEE根据设备的通用唯一识别码UUID生成。结合第二方面,或者第二方面的第一种实现方式、第二种实现方式、第三种实现方式中的任意一种,在第二方面的第四种实现方式中,所述装置还包括:加载模块,用于在system镜像挂载前,执行预创建的可执行程序以加载所述公钥。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的一种完整性度量方法的流程示意本文档来自技高网...
【技术保护点】
一种完整性度量方法,其特征在于,包括:在编译虚拟内存盘ramdisk镜像前,生成密钥对,所述密钥对包括公钥和私钥;在生成系统system镜像过程中,根据文件内容和所述私钥分别生成文件的完整性度量框架IMA签名和扩展验证模块EVM签名,并将所述IMA签名和EVM签名打包进所述system镜像。
【技术特征摘要】
1.一种完整性度量方法,其特征在于,包括:在编译虚拟内存盘ramdisk镜像前,生成密钥对,所述密钥对包括公钥和私钥;在生成系统system镜像过程中,根据文件内容和所述私钥分别生成文件的完整性度量框架IMA签名和扩展验证模块EVM签名,并将所述IMA签名和EVM签名打包进所述system镜像。2.根据权利要求1所述的方法,其特征在于,所述在生成system镜像过程中,根据文件内容和所述私钥分别生成IMA签名和EVM签名,并将所述IMA签名和EVM签名打包进所述system镜像,具体包括:在生成所述system镜像过程中,调用修改后的预设可执行程序,将所述文件内容和私钥作为所述修改后的预设可执行程序的输入参数,生成文件的IMA签名;调用所述修改后的预设可执行程序,将所述文件的预设属性和扩展属性作为所述修改后的预设可执行程序的输入参数,生成文件的EVM签名。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:从可信执行环境TEE获取哈希运算消息认证码HMAC密钥。4.根据权利要求3所述的方法,其特征在于,所述从可信执行环境TEE获取哈希运算消息认证码HMAC密钥,具体包括:向TEE发送获取请求;接收所述TEE发送的HMAC密钥,所述HMAC密钥为所述TEE根据设备的通用唯一识别码UUID生成。5.根据权利要求1至4任一项所述的方法,其特征在于,所述方法还包括:在...
【专利技术属性】
技术研发人员:孙运营,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。