一种基于Linux的新型可信度量设计方法与系统技术方案

本发明专利技术公开了一种基于Linux的新型可信度量设计方法与系统，其中系统包括可信度量核心和配置接口组件，可信度量核心基于Linux安全模块实现，并将摘要算法调用与可信平台模块TPM解绑，能以平台配置方式在可信密码模块TCM、可信平台控制模块TPCM、加密卡硬件或软算法之间进行切换，以分类方式对不同类型文件实施管控，并使用口令方式进行配置授权；配置接口组件包括白名单、配置文件和TIFS，白名单被配置为记录应用程序和关键文件的预期值；配置文件被配置为以密文形式存储系统的配置信息；TIFS能够通过将配置管理命令发送到可信度量核心。本发明专利技术可有效解决Linux系统中IMA/EVM存在的安全性和易用性问题。在的安全性和易用性问题。在的安全性和易用性问题。

【技术实现步骤摘要】
一种基于Linux的新型可信度量设计方法与系统


[0001]本专利技术涉及网络信息安全
，尤其涉及一种基于Linux的新型可信度量设计方法与系统。

技术介绍

[0002]内核完整性度量是可信计算信任链传递的一部分，在目前的Linux操作系统中，内核使用IMA(Integrity Measurement Architecture，完整性度量子系统)基于TPM芯片对系统中的文件进行静态完整性度量。IMA技术主要包括度量、评估和审计三部分。度量是指对文件进行摘要计算得到度量值；评估是在文件被打开时将其度量值与预期值进行对比，如果不匹配，则拒绝加载该文件；审计则是记录整个度量操作过程的日志信息并进行统计分析。IMA在系统初次部署的时候进入一个FIX模式，在该模式下对系统中的所有可执行文件进行度量并形成预期值记录，然后进入到ENFORCE模式中，执行评估过程。FIX和ENFORCE模式切换需要重启操作系统。预期值记录在EA(Extended Attributes，扩展属性)security.ima中，为了防止篡改，内核引入了EVM(Extended Verification Module，扩展验证模块)，通过调用TPM对security.ima进行数字签名以提供额外的保护，签名值存于security.evm。
[0003]然而当前IMA/EVM存在安全性和易用性上的不足。
[0004]安全性不足主要有：
[0005](1)配置管理权限不够严格，IMA和EVM的配置管理权限和操作系统的root用户绑定在一起，root用户能做任意的配置和数据更改，包括篡改或重新生成security.ima和security.evm；
[0006](2)度量和评估的对象是每个独立的文件，缺乏系统级的集中管控；
[0007](3)程序/动态库/内核模块在预期值采集之前的信任链传递缺失。
[0008]易用性不足主要有：
[0009](1)与TPM芯片严格绑定，无法实现自主可控，不便于移植到不同的硬件平台；
[0010](2)FIX和ENFORCE模式切换、添加新文件和更新预期值都需要重启操作系统，无法实现开箱即用；
[0011](3)缺乏细粒度的配置管理方法，无法按文件类型进行管控；
[0012](4)无人机交互界面，对使用者不友好，易用性差。

技术实现思路

[0013]针对Linux平台可信完整性子系统(IMA/EVM)在安全性和易用性上的不足，本专利技术基于内核提供的LSM、SecurityFS和EA机制，采用组件化分层方法，提出了一种基于Linux的新型可信度量设计方法与系统。
[0014]本专利技术采用的技术方案如下：
[0015]一种基于Linux的新型可信度量设计系统，包括：
[0016]可信度量核心，其基于Linux安全模块实现，并将摘要算法调用与可信平台模块TPM解绑；所述可信度量核心能够以平台配置方式在可信密码模块TCM、可信平台控制模块TPCM、加密卡硬件或软算法之间进行切换，以分类方式对不同类型文件实施管控，并使用口令方式进行配置授权；
[0017]配置接口组件，其包括白名单、配置文件和TIFS，所述白名单被配置为记录应用程序和关键文件的预期值，作为所述可信度量核心进行可信度量、评估和审计的数据来源；所述配置文件被配置为以密文形式存储系统的配置信息；所述TIFS是基于SecurityFS机制建立的数据通道，能够通过将配置管理命令发送到所述可信度量核心。
[0018]进一步地，所述系统工作过程包括初始化阶段和运行监控阶段；
[0019]所述初始化阶段包括：进行平台配置，选择摘要运算调用方式；初始化管理员口令，将平台配置信息记录到相关配置文件中，并进行加密和权限控制处理；执行基线扫描，默认对系统中的全部可执行程序、动态库和内核模块采集预期值，形成白名单；选择是否进入所述运行监控阶段；
[0020]所述运行监控阶段包括：默认仅开启可执行程序、动态库和内核模块三种类型的文件检测；能够通过状态查看命令或配置管理工具查看开启的检测类型；需要对白名单进行修改时，使用添加和移除功能进行配置；应用程序使用安装包进行安装时，使用安装包安装功能进行；非白名单文件被访问时将会被拦截，并计入审计日志。
[0021]进一步地，所述系统基于口令的配置管理：在所述初始化阶段先设置系统配置管理口令，所述初始化阶段所有的配置操作都需要使用该口令进行授权；未掌握口令的情况下，即使Root用户也不能对系统配置项进行随意修改，所有配置文件都通过该口令进行加密保护。
[0022]进一步地，所述系统基于白名单的集中管控：所述白名单用于全部受保护文件的预期值，并使用数字签名方式对白名单文件进行保护；在操作系统启动时，对白名单进行签名验签，成功后一次性加载预期值到内存中，并同步分发预期值到所述安全组件中，基于扩展属性EA的快速查询特性，通过度量比对所述安全组件中的预期值；当白名单中的预期值发生改变时，实时同步所述安全组件；所述安全组件中的值按需或定时从白名单进行强制同步更新。
[0023]进一步地，所述系统基于安装包源头验证：安装包在构建时，对包内容进行数字签名，并将签名值和签名公钥证书附在安装包末尾；软件安装时，首先验证签名证书，再验证签名，验证通过后计算并记录安装后的可执行程序、动态库和内核模块度量值，度量值记录作为预期值保存到白名单中。
[0024]进一步地，所述系统基于分类进行评估：系统根据细粒度进行评估控制，既支持不区分类型的所有文件检测，也支持按可执行程序、动态库和内核模块的分类检测。
[0025]进一步地，还包括安全组件，其被配置为基于扩展属性EA的快速查询特性，存储和更新所述可信度量核心同步的白名单数据。
[0026]进一步地，还包括CLI工具组件，其被配置为根据外部操作命令进行配置管理操作，通过所述TIFS将命令下发到所述可信度量核心执行；所述CLI工具组件包括平台配置、口令设置、基线扫描、状态查询、签名验证、应用升级、安装包验证和命令下发在内的子模块。
[0027]进一步地，还包括UI工具组件和审计日志组件，所述UI工具组件被配置为提供图形化的人机交互界面，通过调用所述CLI工具组件执行相应功能；所述审计日志组件被配置为对系统的动作进行记录，包括日期、安全等级和事件分类在内的标签，形成的日志文件保存在本地文件系统中。
[0028]一种基于Linux的新型可信度量设计方法，包括：
[0029]可信度量：基于Linux安全模块实现，并将摘要算法调用与可信平台模块TPM解绑；所述可信度量能够以平台配置方式在可信密码模块TCM、可信平台控制模块TPCM、加密卡硬件或软算法之间进行切换，以分类方式对不同类型文件实施管控，并使用口令方式进行配置授权；
[0030]接口配置：通过白名单记录应用程序和关键文件的预期值，作为进行可信度量、评估和审计的数据来源；通过配置文件以密文形式存储系本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于Linux的新型可信度量设计系统，其特征在于，包括：可信度量核心，其基于Linux安全模块实现，并将摘要算法调用与可信平台模块TPM解绑；所述可信度量核心能够以平台配置方式在可信密码模块TCM、可信平台控制模块TPCM、加密卡硬件或软算法之间进行切换，以分类方式对不同类型文件实施管控，并使用口令方式进行配置授权；配置接口组件，其包括白名单、配置文件和TIFS，所述白名单被配置为记录应用程序和关键文件的预期值，作为所述可信度量核心进行可信度量、评估和审计的数据来源；所述配置文件被配置为以密文形式存储系统的配置信息；所述TIFS是基于SecurityFS机制建立的数据通道，能够通过将配置管理命令发送到所述可信度量核心。2.根据权利要求1所述的基于Linux的新型可信度量设计系统，其特征在于，所述系统工作过程包括初始化阶段和运行监控阶段；所述初始化阶段包括：进行平台配置，选择摘要运算调用方式；初始化管理员口令，将平台配置信息记录到相关配置文件中，并进行加密和权限控制处理；执行基线扫描，默认对系统中的全部可执行程序、动态库和内核模块采集预期值，形成白名单；选择是否进入所述运行监控阶段；所述运行监控阶段包括：默认仅开启可执行程序、动态库和内核模块三种类型的文件检测；能够通过状态查看命令或配置管理工具查看开启的检测类型；需要对白名单进行修改时，使用添加和移除功能进行配置；应用程序使用安装包进行安装时，使用安装包安装功能进行；非白名单文件被访问时将会被拦截，并计入审计日志。3.根据权利要求2所述的基于Linux的新型可信度量设计系统，其特征在于，所述系统基于口令的配置管理：在所述初始化阶段先设置系统配置管理口令，所述初始化阶段所有的配置操作都需要使用该口令进行授权；未掌握口令的情况下，即使Root用户也不能对系统配置项进行随意修改，所有配置文件都通过该口令进行加密保护。4.根据权利要求1所述的基于Linux的新型可信度量设计系统，其特征在于，所述系统基于白名单的集中管控：所述白名单用于全部受保护文件的预期值，并使用数字签名方式对白名单文件进行保护；在操作系统启动时，对白名单进行签名验签，成功后一次性加载预期值到内存中，并同步分发预期值到所述安全组件中，基于扩展属性EA的快速查询特性，通过度量比对所述安全组件中的预期值；当白名单中的预期值发生改变时，实时同步所述安全组件；所述安全组件中的值...

【专利技术属性】
技术研发人员：孙夏声，唐六华，庞飞，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：