一种系统内核引导完整性度量的方法及系统

摘要

本申请涉及一种系统内核引导完整性度量的方法及系统，属于系统安全的技术领域，其方法包括：确定系统的环境变量；基于环境变量获取度量模式，度量模式包括硬件模式和软件模式；获取度量模式的当前参数；根据当前参数及预设的参数模式列表，得到匹配的硬件模式或软件模式，参数模式列表包括不同的度量模式与对应参数；获取被度量文件；基于相应的度量模式对被度量文件进行度量以加载启动内核。本申请具有尽可能满足不同场景下对内核完整性度量的需求的效果。

说明书

技术领域

本申请涉及系统安全的技术领域，尤其是涉及一种系统内核引导完整性度量的方法及系统。

背景技术

Linux，全称GNU/Linux，是一套免费使用和自由传播的类Unix操作系统，是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。Linux不仅系统性能稳定，且具有开放源码、没有版权、技术社区用户多等特点。

GNUGRUB（GRandUnifiedBootloader简称“GRUB”）是一个来自GNU项目的多操作系统启动程序。GRUB是多启动规范的实现，它允许用户可以在计算机内同时拥有多个操作系统，并在计算机启动时选择希望运行的操作系统。GRUB可用于选择操作系统分区上的不同内核，也可用于向这些内核传递启动参数。

目前Linux系统上在引导内核时进行完整性度量的方法较为单一，无法满足不同场景下对内核完整性度量的需求。

发明内容

为了尽可能满足不同场景下对内核完整性度量的需求，本申请提供一种系统内核引导完整性度量的方法及系统。

第一方面，本申请提供一种系统内核引导完整性度量的方法，采用如下的技术方案：

一种系统内核引导完整性度量的方法，包括：

确定系统的环境变量；

基于所述环境变量获取度量模式，所述度量模式包括硬件模式和软件模式；

获取所述度量模式的当前参数；

根据所述当前参数及预设的参数模式列表，得到匹配的所述硬件模式或所述软件模式，所述参数模式列表包括不同的度量模式与对应度量模式值；

获取被度量文件；

基于相应的所述度量模式对所述被度量文件进行度量以加载启动内核。

通过采用上述技术方案，根据环境变量获取度量模式，接着获取被度量文件，然后根据相应的度量模式对被度量文件内容进行度量，最后根据度量模式和度量结果决定是否加载启动内核。本方案可根据需求选择软件度量模式或硬件度量模式，从而能够尽可能满足不同场景下对内核完整性度量的需求。

作为优选，所述硬件模式包括硬件度量和尝试硬件度量；

所述软件模式包括软件度量和尝试软件度量。

通过采用上述技术方案，硬件度量、尝试硬件度量、软件度量和尝试软件度量，能够进一步满足不同场景对内核完整性度量的需求。

作为优选，当所述度量模式为所述硬件度量或所述软件度量时，所述基于相应的所述度量模式对所述被度量文件进行度量以加载启动内核包括：

获取所述被度量文件的基准摘要值；

获取所述被度量文件的当前摘要值；

判断所述当前摘要值是否与所述基准摘要值相同；

若所述当前摘要值与所述基准摘要值相同，则加载启动内核；

若所述当前摘要值与所述基准摘要值不相同，则确定所述内核启动失败并输出错误审计记录。

通过采用上述技术方案，当度量模式为硬件度量或软件度量时，通过判断当前摘要值和基准摘要值是否相同，能够确定内核的启动条件。在当前摘要值与基准摘要值相同时，则系统加载启动内核；在当前摘要值与基准摘要值不相同时，则确定内核启动失败，并输出错误审计记录。从而能够确定内核启动的安全性，在启动失败时输出错误审计记录能够确定失败的原因。

作为优选，当所述度量模式为所述尝试硬件度量或所述尝试软件度量时，所述基于相应的所述度量模式对所述被度量文件进行度量以加载启动内核包括：

获取所述被度量文件的当前摘要值；

判断所述当前摘要值是否与所述基准摘要值相同；

若所述当前摘要值与所述基准摘要值相同，则加载启动内核；

若所述当前摘要值与所述基准摘要值不相同，则继续加载启动内核并输出所述错误审计记录。

通过采用上述技术方案，当度量模式为尝试硬件度量或尝试软件度量时，通过判断当前摘要值和基准摘要值是否相同，能够进一步确定内核的启动条件。在当前摘要值与基准摘要值相同时，则系统加载启动内核；在当前摘要值与基准摘要值不相同时，则依然加载启动内核，并输出错误审计记录。在当前摘要值与基准摘要值不相同时，输出错误审计记录能够记录当前摘要值与基准摘要值不相同的文件位置以及度量的时间，方便进行查询。

作为优选，还包括：

基于所述环境变量获取密码算法类型；

基于所述密码算法类型获取所述当前摘要值。

通过采用上述技术方案，根据密码算法类型获取当前摘要值，能够提高获取的安全性，进而提高加载启动内核的安全性。

作为优选，所述密码算法类型包括：国密算法、MD5算法、SHA1算法和SHA256算法。

通过采用上述技术方案，提高密码算法类型选择的多样性，能够进一步提高获取数据的安全性。

作为优选，在所述获取被度量文件之前还包括：

获取配置列表；

获取配置列表的基准校验值；

基于所述密码算法类型获取所述配置列表的当前校验值；

判断所述当前校验值是否等于所述基准校验值；

若所述当前校验值等于所述基准校验值，则读取所述配置列表中的所述被度量文件；

若所述当前校验值不等于所述基准校验值，则不读取所述配置列表中的所述被度量文件。

通过采用上述技术方案，将配置列表的当前校验值与基准校验值进行对比，判断二者是否相同，能够判断配置列表是否有效。如果当前校验值和基准校验值相同，此时读取配置列表中的被度量文件；如果当前校验值和基准校验值不同，证明配置列表无效，此时不读取配置列表中的被度量文件，能够提高获取被度量文件的安全性。

作为优选，所述基于相应的所述度量模式对所述被度量文件进行度量以加载启动内核之后，还包括：

获取验证口令；

判断所述验证口令是否与预设口令相同；

若所述验证口令与预设口令相同，则进入预设界面；

基于所述预设界面预设所述度量模式和所述密码算法类型；

若所述验证口令与所述预设口令不同，则不进入所述预设界面。

通过采用上述技术方案，判断验证口令是否等于预设口令，能够判断对度量模式和密码算法类型的修改是否有效。如果验证口令与预设口令相同，此时进入预设界面，进而通过预设界面对度量模式和密码算法类型进行设置；如果验证口令与预设口令不相同，证明此时对度量模式和密码算法类型进行设置不合法，此时不进入预设界面，从而无法对度量模式和密码算法类型进行设置，能够提高对度量模式和密码算法类型进行设置的安全性。

作为优选，所述基于相应的所述度量模式对所述被度量文件进行度量以加载启动内核之后，还包括：

获取设置口令；

判断所述设置口令是否等于预设的校验口令；

若所述设置口令等于所述校验口令，则对所述被度量文件的摘要值进行修改替换；

若所述设置口令不等于所述校验口令，则不对所述被度量文件的摘要值进行修改替换。

通过采用上述技术方案，判断预设口令是否等于预设的校验口令，能够判断被度量文件的修改是否有效。如果设置口令等于校验口令，此时对被度量文件的摘要值进行修改并替换；如果设置口令不等于校验口令，证明被度量文件的修改无效，此时不对被度量文件的摘要值进行修改并替换，能够提高被度量文件摘要值的安全性，从而能够进一步提高系统内核启动的安全性。

第二方面，本申请提供一种系统内核引导完整性度量的系统，采用如下的技术方案：

一种系统内核引导完整性度量的系统，包括：

变量确定模块，用于确定系统的环境变量；

模式获取模块，用于基于所述环境变量获取度量模式，所述度量模式包括硬件模式和软件模式；

参数获取模块，用于获取所述度量模式的当前参数；

模式确定模块，用于根据所述当前参数及预设的参数模式列表，得到匹配的所述硬件模式或所述软件模式，所述参数模式列表包括不同的度量模式与对应度量模式值；

文件获取模块，用于获取被度量文件；

度量控制模块，用于基于相应的所述度量模式对所述被度量文件进行度量以加载启动内核。

通过采用上述技术方案，变量确定模块确定系统的环境变量之后，将确定的环境变量发送至与其相连模式获取模块，然后模式获取模块根据环境变量获取度量模式，其中度量模式包括硬件模式和软件模块。模式获取模块将度量模式发送至与其相连的参数获取模块，参数获取模块获取度量模式的当前参数，并发送给与其相连的模式确定模块。模式确定模块根据当前参数与预设的参数模式列表，得到匹配的硬件模式和软件模式，并发送给与其相连的度量控制模块，其中参数模式列表包括不同的度量模式和对应的度量模式值。接着文件获取模块获取被度量文件，并发送给与其相连的度量控制模块。最后度量控制模块根据相应的度量模式对被度量文件进行度量以加载启动内核。从而能够根据不同的度量模式值选择软件模式或硬件模式，进而能够尽可能满足不同场景下对内核完整性度量的需求。

综上所述，本申请包括以下至少一种有益技术效果：

1.根据当前参数和预设的参数模式列表，从而能够得到匹配的硬件模式或软件模式。接着获取被度量文件，然后根据相应的度量模式对被度量文件进行度量，从而加载启动内核。能够根据不同的度量模式值选择软件模式或硬件模式，从而能够尽可能满足不同场景下对内核完整性度量的需求；

2.硬件度量、尝试硬件度量、软件度量和尝试软件度量，能够进一步满足不同场景对内核完整性度量的需求。

附图说明

图1是本申请实施例提供的一种系统内核引导完整性度量的方法的整体流程示意图；

图2是本申请一个实施例中步骤S11至步骤S15的流程示意图；

图3是本申请一个实施例中步骤S21至步骤S24的流程示意图；

图4是本申请一个实施例中步骤S31至步骤S32的流程示意图；

图5是本申请一个实施例中步骤S41至步骤S46的流程示意图；

图6是本申请一个实施例中步骤S51至步骤S55的流程示意图；

图7是本申请一个实施例中步骤S61至步骤S64的流程示意图；

图8是本申请实施例提供的一种系统内核引导完整性度量的系统的结构框图。

附图标记说明：

1、变量确定模块；2、模式获取模块；3、参数获取模块；4、模式确定模块；5、文件获取模块；6、度量控制模块。

具体实施方式

以下结合附图1-8对本申请作进一步详细说明。

本申请实施例公开一种系统内核引导完整性度量的方法。

参照图1，系统内核引导完整性度量的方法包括：

S1.确定系统的环境变量；

S2.基于环境变量获取度量模式；

S3.获取度量模式的当前参数；

S4.根据当前参数及预设的参数模式列表，得到匹配的硬件模式或软件模式；

S5.获取被度量文件；

S6.基于相应的度量模式对被度量文件进行度量以加载启动内核。

具体来说，首先系统上电，进入GRUB引导程序，其中，GRUB是一个用于加载和管理系统启动的完整程序。它是Linux系统发行版中最常见的引导程序bootloader。然后确定系统的环境变量，环境变量的确定方式可以通过使用者选择之后确定。

然后GRUB引导程序根据环境变量获取度量模式，其中，度量模式包括硬件模式和软件模式，然后GRUB引导程序获取度量模式的当前参数。然后获取预设的参数模式列表，其中，参数模式列表包括不同的度量模式与对应参数，即包括硬件模式和软件模式，以及与该两种模式对应的参数；然后根据当前参数与预设的参数模式列表，即将当前参数与参数模式列表中的参数匹配，从而得到相应的度量模式，即确定为硬件模式或软件模式。

具体的方式可以是，参数模式列表中包括硬件模式与硬件模式对应的硬件度量模式值，还包括软件模式以及与软件模式对应的软件度量模式值。将当前参数与硬件度量模式值和软件度量模式值进行匹配，如果当前参数与硬件模式对应的硬件度量模式值匹配，则获取的度量模式为硬件模式；如果当前参数与软件模式对应的软件度量模式值匹配，则获取的度量模式为软件模式。

接着获取被度量文件，被度量文件为预存储的文件，指的是需要进行度量的文件。最后根据获取的相应的度量模式对被度量文件进行度量，从而加载启动内核。能够根据不同的参数选择软件模式或硬件模式，进而能够实现硬件度量或软件度量，从而能够尽可能满足不同场景下对内核完整性度量的需求。

在另一个实施例中，硬件模式包括硬件度量和尝试硬件度量，软件模式包括软件度量和尝试软件度量，在进行度量的过程中，需要进一步确定度量的方式。具体的方式可以是，每种度量方式均对应一个对应的vmode值，例如；硬件度量对应的vmode值为1，尝试硬件度量对应的vmode值为2，软件度量对应的vmode值为3，尝试软件度量对应的vmode值为4。

也即，硬件度量模式值对应vmode值1和vmode值2，软件度量模式值对应vmode值3和vmode值4，当前参数也就是当前的vmode值。当vmode值为1时，确定度量模式为硬件度量；当vmode值为2时，确定度量模式为尝试硬件度量；当vmode值为3时，确定度量模式为软件度量；当vmode值为4时，确定度量模式为尝试软件度量。

在另一个实施例中，内核引导前，还需要判断是否需要对被度量文件进行度量，即度量模式还包括不度量，不度量对应的vmode值0，当确定vmode值0时，此时不对被度量文件进行度量，直接加载启动内核。而当vmode值为除了0至4之外的其他数值时，为无效模式，此时引导失败。

参照图2，在另一个实施例中，当度量模式为硬件度量或软件度量时，步骤S6即基于相应的度量模式对被度量文件进行度量以加载启动内核包括如下步骤：

S11.获取被度量文件的基准摘要值；

S12.获取被度量文件的当前摘要值；

S13.判断当前摘要值是否与基准摘要值相同；

S14.若当前摘要值与基准摘要值相同，则加载启动内核；

S15.若当前摘要值与基准摘要值不相同，则确定内核启动失败并输出错误审计记录。

具体来说，当确定度量模式为硬件度量或软件度量时，获取被度量文件的基准摘要值，每个被度量文件均有一个对应的基准摘要值，基准摘要值为预设的固定值，也就是一个可信的值。当对当前的被度量文件进行度量时，获取当前的被度量文件的当前的摘要值，即当前摘要值。接着判断当前摘要值与基准摘要值是否相同，从而判断当前进行度量的被度量文件是否为有效文件。

如果当前摘要值与基准摘要值相同，证明被度量文件为有效文件，证明此时度量成功，此时系统可以加载启动内核；如果当前摘要值与基准摘要值不相同，证明被度量文件为无效文件，说明此时度量失败，确定内核启动失败，此时生成错误审计记录并输出。

也即当确定度量模式为硬件度量或软件度量时，被度量文件必须度量成功内核才能够成功启动，否则启动失败，能够提高内核启动的安全性。需要明白的是，被度量文件有多个时，只有所有的被度量文件均度量成功，则内核才能正常启动，如果被度量文件中有度量失败的文件，则停止度量，此时启动失败。输出错误审计记录能够方便使用者寻找发生错误的原因，方便进行相应的修改操作。其中，错误审计记录包括度量的结果、时间、文件路径等。当度量失败之后，错误审计记录可以存放至加密卡内，方便进行读取。

参照图3，在另一个实施例中，当度量模式为尝试硬件度量或尝试软件度量时，步骤S6即基于相应的度量模式对被度量文件进行度量以加载启动内核包括如下步骤：

S21.获取被度量文件的当前摘要值；

S22.判断当前摘要值是否与基准摘要值相同；

S23.若当前摘要值与基准摘要值相同，则加载启动内核；

S24.若当前摘要值与基准摘要值不相同，则继续加载启动内核并输出错误审计记录。

具体来说，当确定度量模式为尝试硬件度量或尝试软件度量，并对当前的被度量文件进行度量时，获取当前的被度量文件的当前的摘要值，即当前摘要值。接着判断当前摘要值与基准摘要值是否相同，从而判断当前进行度量的被度量文件是否为有效文件。

如果当前摘要值与基准摘要值相同，证明被度量文件为有效文件，证明此时度量成功，此时系统可以加载启动内核；如果当前摘要值与基准摘要值不相同，证明被度量文件为无效文件，说明此时度量失败，但内核依然成功启动，同时生成错误审计记录并输出。

也即当确定度量模式为尝试硬件度量或尝试软件度量时，被度量文件必须无论是否度量成功，内核均能够成功启动。输出错误审计记录同样能够方便使用者寻找发生错误的原因，方便进行相应的修改操作。其中，错误审计记录包括度量的结果、时间、文件路径等。当度量失败之后，此时错误审计记录可以存放至加密卡内也可以直接保存至系统内，方便进行读取。

需要明白的是，对于同一个系统进行引导时，无论使用硬件度量或软件度量还是尝试硬件度量或尝试软件度量，在一次度量过程中，在被度量文件和配置列表不变的情况下，被度量文件的摘要值为同一个值。

参照图4，为了提高获取的参数的安全性，在另一个实施例中，还包括如下步骤：

S31.基于环境变量获取密码算法类型；

S32.基于密码算法类型获取当前摘要值。

其中，密码算法类型包括：国密算法、MD5算法、SHA1算法和SHA256算法。当需要度量时，GURB引导程序根据环境变量获取相应的密码算法类型，通过相应的密码算法类型计算获取当前摘要值，能够提高摘要值获取的安全性，从而能够提高度量的准确性，进而提高内核成功引导的安全性。

参照图5，当需要度量时，为了进一步提高内核启动的安全性，需要对配置列表进行校验，因此，在另一个实施例中，在步骤S5即获取被度量文件之前还包括：

S41.获取配置列表；

S42.获取配置列表的基准校验值；

S43.基于密码算法类型获取配置列表的当前校验值；

S44.判断当前校验值是否等于基准校验值；

S45.若当前校验值等于基准校验值，则读取配置列表中的被度量文件；

S46.若当前校验值不等于基准校验值，则不读取配置列表中的被度量文件。

具体来说，获取配置列表，每个配置列表均对应一个被度量文件，且配置列表中必须包含有内核文件和initrd文件，没有内核文件和initrd文件的配置列表无效，校验的过程失败，即被度量文件中包括內核文件和initrd文件。配置列表指的是包含所有度量文件相关信息的一个配置文件，该文件结尾有校验值，用于校验该文件的有效性。

配置列表的末端均含有校验值，校验值的获取方式同样为经过相应的密码算法类型计算获得，通过该校验值能够尽可能保证配置列表及被度量文件的安全性。

校验过程中，首先获取配置列表的基准校验值，基准校验值为预先存储的可信的值，然后根据密码算法类型获取配置列表的当前校验值，并将单签校验值与基准校验值进行对比，判断二者是否相等，从而能够判断配置列表是否为无效列表。

如果当前校验值等于基准校验值，证明配置列表为有效列表，没有被不授权修改，此时可以继续读取配置列表中的被度量文件；如果当前校验值不等于基准校验值，证明配置列表为无效列表，配置列表大概率被不授权修改，也就证明配置列表中的被度量文件为无效文件，因此，此时可以不用读取配置列表中的被度量文件，从而能够进一步提高度量的安全性，提高了工作效率。

在另一个实施例中，配置列表也可以是加密列表，具体加密算法是隐藏的，对该文件的修改使用软件命令进行修改，修改时需要使用口令。

参照图6，当需要修改度量模式或密码算法类型时，为了提高修改的安全性，在另一个实施例中，在步骤S6即基于相应的度量模式对被度量文件进行度量以加载启动内核之后，还包括：

S51.获取验证口令；

S52.判断验证口令是否与预设口令相同；

S53.若验证口令与预设口令相同，则进入预设界面；

S54.基于预设界面预设度量模式和密码算法类型；

S55.若验证口令与预设口令不同，则不进入预设界面。

具体来说，当系统内核引导成功进入系统之后，当需要对度量模式和密码算法类型进行修改时，首先获取验证口令，即验证密码。然后判断验证口令是否等于预设口令，其中预设口令即预设密码，判断验证口令与预设口令是否相同，也即判断验证密码与预设密码是否相同，从而能够判断度量模式和密码算法类型是否能够进行修改。

如果验证口令与预设口令相同，则可以进入预设界面，使用者可以通过操作预设界面的内容，从而对度量模式和密码算法类型进行修改设置；如果验证口令与预设口令不相同，则不进入预设界面，因此也就无法对度量模式和密码算法类型进行修改设置，从而能够提高对度量模式和密码算法类型进行修改设置的安全性。

参照图7，在另一个实施例中，在步骤S6即基于相应的度量模式对被度量文件进行度量以加载启动内核之后，还包括：

S61.获取设置口令；

S62.判断设置口令是否等于预设的校验口令；

S63.若设置口令等于校验口令，则对被度量文件的摘要值进行修改替换；

S64.若设置口令不等于校验口令，则不对被度量文件的摘要值进行修改替换。

具体来说，当内核启动进入系统之后，需要对被度量文件进行修改时，首先获取设置口令，也就是输入的设置密码。然后判断设置口令是否等于预设的校验口令，其中校验口令为预存的校验密码，判断设置口令是否等于预设的校验口令，即判断设置密码与校验密码是否相同，从而能够判断被度量文件的修改是否为非授权修改。

如果设置口令等于校验口令，证明被度量文件的修改为授权修改，此时对被度量文件的摘要值进行修改替换，即将修改的被度量文件替换初始的被度量文件，即将修改的被度量文件的摘要值作为新的基准只要值，在系统进行下一次的内核引导时，将新的基准摘要值作为可信的数据，并更新至被度量文件的文件尾。

如果设置口令不等于校验口令，证明被度量文件的修改为非授权修改，此时不对被度量文件的摘要值进行修改替换，也就是被度量文件的摘要值不变，即基准摘要值不变。在另一个实施例中，当配置列表修改之后，获得新的基准校验值作为可信数据，并更新至文件尾。

从而通过上述的方式，能够进一步提高对被度量文件进行度量时的安全性和准确性，进而提高系统的安全性。同样的，在另一个实施例中，对配置列表进行修改替换时，修改替换的方式与被度量文件的修改替换方式相同，能够提高配置列表进行校验值时的安全性。

本申请实施例一种系统内核引导完整性度量的方法的实施原理为：首先确定系统的环境变量，确定系统的环境变量之后，根据环境变量获取度量模式，然后获取度量模式的当前参数，并根据当前参数和预设的参数模式列表，参数模式列表包括不同的度量模式和对应的度量模式值，从而能够得到匹配的硬件模式或软件模式。接着获取被度量文件，然后根据相应的度量模式对被度量文件进行度量，从而加载启动内核。能够根据不同的度量模式值选择软件模式或硬件模式，从而能够尽可能满足不同场景下对内核完整性度量的需求。

本申请实施例还公开一种系统内核引导完整性度量的系统，能够达到如上述一种系统内核引导完整性度量的方法同样的技术效果。

参照图8，系统内核引导完整性度量的系统包括：

变量确定模块1，用于确定系统的环境变量；

模式获取模块2，用于基于环境变量获取度量模式，度量模式包括硬件模式和软件模式；

参数获取模块3，用于获取度量模式的当前参数；

模式确定模块4，用于根据当前参数及预设的参数模式列表，得到匹配的硬件模式或软件模式，参数模式列表包括不同的度量模式与对应参数；

文件获取模块5，用于获取被度量文件；

度量控制模块6，用于基于相应的度量模式对被度量文件进行度量以加载启动内核。

具体来说，变量确定模块1确定系统的环境变量之后，将确定的环境变量发送至与其相连模式获取模块2，然后模式获取模块2根据环境变量获取度量模式，其中度量模式包括硬件模式和软件模块。

模式获取模块2将度量模式发送至与其相连的参数获取模块3，参数获取模块3获取度量模式的当前参数，并发送给与其相连的模式确定模块4。模式确定模块4根据当前参数与预设的参数模式列表，得到匹配的硬件模式和软件模式，并发送给与其相连的度量控制模块6，其中参数模式列表包括不同的度量模式和对应的参数。

接着文件获取模块5获取被度量文件，并发送给与其相连的度量控制模块6。最后度量控制模块6根据相应的度量模式对被度量文件进行度量以加载启动内核。从而能够根据不同的参数选择软件模式或硬件模式，进而能够尽可能满足不同场景下对内核完整性度量的需求。

以上均为本申请的较佳实施例，并非依此限制本申请的保护范围，故：凡依本申请的结构、形状、原理所做的等效变化，均应涵盖于本申请的保护范围之内。