文件的完整性校验方法、装置、设备及存储介质制造方法及图纸

本发明专利技术公开了一种文件的完整性校验方法、装置、设备及存储介质。其中，所述方法包括：接收到目标应用场景的进程的访问请求时，获取对应所述目标应用场景的系统文件；所述系统文件的文件属性中至少包括与访问控制关联的标签信息，所述标签信息基于操作系统的强制访问控制机制配置；基于安全保护策略对所述标签信息进行认证；当对所述标签信息进行认证通过时，从获取的所述系统文件中确定所述目标应用场景的进程具有访问权限的目标系统文件；对确定的所述目标系统文件的完整性进行校验。的所述目标系统文件的完整性进行校验。的所述目标系统文件的完整性进行校验。

【技术实现步骤摘要】
文件的完整性校验方法、装置、设备及存储介质


[0001]本专利技术涉及信息安全领域，尤其涉及一种文件的完整性校验方法、装置、设备及存储介质。

技术介绍

[0002]随着物联网设备的不断涌现，针对物联网操作系统的攻击越来越频繁。多数物联网设备具有长期运行并处于无人值守的状态的特点，通过确保物联网操作系统运行过程中系统文件的完整性，可以增强物联网操作系统抵御攻击的能力，提高物联网设备的安全性。
[0003]相关技术中，只有根(root)用户才具有对系统文件的修改权限，然而，实际应用中，操作系统一旦被攻击者利用系统漏洞进行root提权后，系统文件可被随意篡改，从而导致系统文件的完整性校验失效，影响物联网设备的安全性。

技术实现思路

[0004]有鉴于此，本专利技术实施例期望提供一种文件的完整性校验方法、装置、设备及存储介质。
[0005]本专利技术实施例的技术方案是这样实现的：
[0006]本专利技术实施例提供一种文件的完整性校验方法，应用于电子设备，所述方法包括：
[0007]接收到目标应用场景的进程的访问请求时，获取对应所述目标应用场景的系统文件；所述系统文件的文件属性中至少包括与访问控制关联的标签信息，所述标签信息基于操作系统的强制访问控制机制配置；
[0008]基于安全保护策略对所述标签信息进行认证；
[0009]当对所述标签信息进行认证通过时，从获取的所述系统文件中确定所述目标应用场景的进程具有访问权限的目标系统文件；
[0010]对确定的所述目标系统文件的完整性进行校验。
[0011]上述方案中，所述标签信息至少包括所述系统文件的安全上下文；所述基于安全保护策略对所述标签信息进行认证，包括：
[0012]解析所述安全保护策略，得到所述目标应用场景的进程的安全上下文；
[0013]基于所述目标应用场景的进程的安全上下文与所述系统文件的安全上下文的匹配，对所述系统文件的安全上下文进行认证；
[0014]相应地，所述当对所述标签信息进行认证通过时，从获取的所述系统文件中确定所述目标应用场景的进程具有访问权限的目标系统文件，包括：
[0015]当所述目标应用场景的进程的安全上下文与所述系统文件的安全上下文匹配成功时，确定对所述系统文件的安全上下文进行认证通过；
[0016]将认证通过的所述安全上下文对应的系统文件，确定为所述目标应用场景的进程具有访问权限的目标系统文件。
[0017]上述方案中，所述对确定的所述目标系统文件的完整性进行校验，包括：
[0018]在所述目标系统文件被执行操作的情况下，对被执行操作的所述目标系统文件进行哈希运算，得到第一哈希值；
[0019]获取未被执行操作的所述目标系统文件对应的第二哈希值，所述第二哈希值在所述目标系统文件的扩展属性中存储；
[0020]将所述第一哈希值与所述第二哈希值进行比较，得到比较结果；
[0021]当所述比较结果表征所述第一哈希值与所述第二哈希值匹配成功时，确定所述目标系统文件的完整性未被篡改；
[0022]当所述比较结果表征所述第一哈希值与所述第二哈希值匹配失败时，确定所述目标系统文件的完整性被篡改。
[0023]上述方案中，所述方法还包括：
[0024]在从获取的所述系统文件中确定所述目标应用场景的进程具有访问权限的目标系统文件之后，为所述目标应用场景的进程分配在访问所述目标系统文件后具有的操作权限；
[0025]基于所述操作权限，控制所述目标应用场景的进程对所述目标系统文件的操作。
[0026]上述方案中，所述基于安全保护策略对所述标签信息进行认证，包括：
[0027]通过所述操作系统中配置内核的参数的改变，控制所述安全保护策略的运行模式；
[0028]在所述安全保护策略的运行模式处于强制保护状态的情况下，对所述标签信息进行认证。
[0029]上述方案中，所述方法还包括：
[0030]生成所述操作系统的镜像文件；
[0031]对所述操作系统的镜像文件进行哈希运算，得到第三哈希值；
[0032]基于以所述第三哈希值作为所述电子设备启动的基准值，确定所述电子设备是否具备可信启动的条件；所述可信启动的条件用于供确定正常启动所述电子设备。
[0033]上述方案中，所述操作系统的镜像文件存储于所述电子设备的虚拟内存盘中。
[0034]本专利技术实施例还提供一种文件的完整性校验装置，应用于电子设备，所述装置包括：
[0035]获取单元，用于接收到目标应用场景的进程的访问请求时，获取对应所述目标应用场景的系统文件；所述系统文件的文件属性中至少包括与访问控制关联的标签信息，所述标签信息基于操作系统的强制访问控制机制配置；
[0036]认证单元，用于基于安全保护策略对所述标签信息进行认证；
[0037]第一确定单元，用于当对所述标签信息进行认证通过时，从获取的所述系统文件中确定所述目标应用场景的进程具有访问权限的目标系统文件；
[0038]校验单元，用于对确定的所述目标系统文件的完整性进行校验。
[0039]上述方案中，所述标签信息至少包括所述系统文件的安全上下文；所述认证单元，具体用于：
[0040]解析所述安全保护策略，得到所述目标应用场景的进程的安全上下文；
[0041]基于所述目标应用场景的进程的安全上下文与所述系统文件的安全上下文的匹配，对所述系统文件的安全上下文进行认证；
[0042]相应地，所述第一确定单元，具体用于：
[0043]当所述目标应用场景的进程的安全上下文与所述系统文件的安全上下文匹配成功时，确定对所述系统文件的安全上下文进行认证通过；
[0044]将认证通过的所述安全上下文对应的系统文件，确定为所述目标应用场景的进程具有访问权限的目标系统文件。
[0045]上述方案中，所述校验单元，具体用于：
[0046]在所述目标系统文件被执行操作的情况下，对被执行操作的所述目标系统文件进行哈希运算，得到第一哈希值；
[0047]获取未被执行操作的所述目标系统文件对应的第二哈希值，所述第二哈希值在所述目标系统文件的扩展属性中存储；
[0048]将所述第一哈希值与所述第二哈希值进行比较，得到比较结果；
[0049]当所述比较结果表征所述第一哈希值与所述第二哈希值匹配成功时，确定所述目标系统文件的完整性未被篡改；
[0050]当所述比较结果表征所述第一哈希值与所述第二哈希值匹配失败时，确定所述目标系统文件的完整性被篡改。
[0051]上述方案中，所述装置还包括：
[0052]分配单元，用于在所述第一确定单元从获取的所述系统文件中确定所述目标应用场景的进程具有访问权限的目标系统文件之后，为所述目标应用场景的进程分配在访问所述目标系统文件后具有的操作权限；
[0053]控制单元，用于基于所述操作权限，控制所述目标应本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种文件的完整性校验方法，其特征在于，应用于电子设备，所述方法包括：接收到目标应用场景的进程的访问请求时，获取对应所述目标应用场景的系统文件；所述系统文件的文件属性中至少包括与访问控制关联的标签信息，所述标签信息基于操作系统的强制访问控制机制配置；基于安全保护策略对所述标签信息进行认证；当对所述标签信息进行认证通过时，从获取的所述系统文件中确定所述目标应用场景的进程具有访问权限的目标系统文件；对确定的所述目标系统文件的完整性进行校验。2.根据权利要求1所述的方法，其特征在于，所述标签信息至少包括所述系统文件的安全上下文；所述基于安全保护策略对所述标签信息进行认证，包括：解析所述安全保护策略，得到所述目标应用场景的进程的安全上下文；基于所述目标应用场景的进程的安全上下文与所述系统文件的安全上下文的匹配，对所述系统文件的安全上下文进行认证；所述当对所述标签信息进行认证通过时，从获取的所述系统文件中确定所述目标应用场景的进程具有访问权限的目标系统文件，包括：当所述目标应用场景的进程的安全上下文与所述系统文件的安全上下文匹配成功时，确定对所述系统文件的安全上下文进行认证通过；将认证通过的所述安全上下文对应的系统文件，确定为所述目标应用场景的进程具有访问权限的目标系统文件。3.根据权利要求1所述的方法，其特征在于，所述对确定的所述目标系统文件的完整性进行校验，包括：在所述目标系统文件被执行操作的情况下，对被执行操作的所述目标系统文件进行哈希运算，得到第一哈希值；获取未被执行操作的所述目标系统文件对应的第二哈希值，所述第二哈希值在所述目标系统文件的扩展属性中存储；将所述第一哈希值与所述第二哈希值进行比较，得到比较结果；当所述比较结果表征所述第一哈希值与所述第二哈希值匹配成功时，确定所述目标系统文件的完整性未被篡改；当所述比较结果表征所述第一哈希值与所述第二哈希值匹配失败时，确定所述目标系统文件的完整性被篡改。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：在从获取的所述系统文件中确定所述目标应用场景的进程具有访问权限的目标系统文件之后，为所述目标应用场景的进程分配在访问所述目标系统文件后具有的操作权限；基于所述操作权限，控制所述目标应用场景的进程对所述目标系统文件的操作。5.根据权利要求1所述的方法，其特征在于，所述基于安全保护策略对所述标签信息进行认证，包括：通过所述操作系统中配置内核的参数的改变，控制所述安全保护策略的运行模式；在所述安全保护策略的运行模式处于强制保护状态的情况下，对所述标签信息进行认
证。6.根据权利要求1所述的方法，其特征在于，所述方法还包括：生成所述操作系统的镜像文件；对所述操作系统的镜像文件进行哈希运算，得到第三哈希值；基于以所述第三哈希值作为所述电子设备启动的基准值，确定所述电子设备是否具备可信启动的条件；所述可信启动的条件用于供确定正常启动所述电子设备。7.根据权利要求6所述的方法，其特征在于，所述操作系统的镜像文件存储于所述电子设备的虚拟内存盘中。8.一种文件的完整性校验装置，其特征在于，应用于电子设备，所述装置包括：获取单元，用于接收到目标应用场景的进程的访问请求时，获取对应所述目标应用场景的系统文件；所述系统文件的文件属性中至少包括与访问控制关联的标签信息，所述标签信息基于操作系统的强制访问控制机制配置；认证单元，用于基于安全保护策略对所述标签信息进行认证；第一确定单元，用于当对所述标签信息进行认证通过时，从获取的所述系...

【专利技术属性】
技术研发人员：黄静，杨朋霖，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：