[发明专利]基于白名单列表的Linux文件完整性度量方法

权利要求书

1.基于白名单列表的Linux文件完整性度量方法，其特征在于：包括如下步骤：

步骤S1：系统启动早期，将所有用户空间白名单列表加载到内核空间白名单列表中；

步骤S2：系统运行阶段，针对新安装的软件包，将软件包与其所对应的系统包白名单列表同时导入内核空间，将系统包白名单列表加载到内核空间白名单列表中；或者，将管理员定制的白名单列表加载到内核空间白名单列表中；

步骤S3：系统关闭后，内核空间白名单列表释放；

步骤S4：系统再次启动时，再次将所有用户空间白名单列表加载到内核白名单列表中，其中，步骤S2中所注册的系统包白名单列表存在于用户空间白名单列表中；

所述步骤S1中，在将用户空间白名单列表加载到内核空间白名单列表之前，内核加载白名单钩子使用安全芯片中证书的公钥对加载进来的用户空间白名单列表进行验签，验签通过再加载；验签失败后返回错误信息给白名单加载器；

所述步骤S2中，在将系统包白名单列表加载到内核空间白名单列表之前，内核加载白名单钩子使用安全芯片中证书的公钥对加载进来的系统包白名单列表进行验签，验签通过再加载；验签失败后返回错误信息给白名单加载器；

所述步骤S2中，在将管理员定制的白名单列表加载到内核空间白名单列表之前，使用管理员自己的证书公钥对加载进来的定制的白名单列表进行验签，验签通过再加载；验签失败后返回错误信息给白名单加载器。

2.如权利要求1所述的基于白名单列表的Linux文件完整性度量方法，其特征在于：

所述步骤S1中，用户空间白名单列表为整个系统要保护的所有的软件包中文件的摘要值列表；

所述步骤S2中，系统包白名单列表为新安装的软件包中文件的摘要值列表。

3.如权利要求1所述的基于白名单列表的Linux文件完整性度量方法，其特征在于：在系统运行阶段，若用户空间需要对内核空间系统进行调用，则将用户空间文件的参考值与内核空间白名单列表中的参考值进行比对，比对存在的情况下允许用户空间执行系统调用，比对不存在的情况下拒绝用户空间执行系统调用。

4.如权利要求3所述的基于白名单列表的Linux文件完整性度量方法，其特征在于：所述用户空间文件的参考值为需要进行系统调用的所有文件的摘要值列表；内核空间白名单列表的参考值为待调用的软件包中需要度量的所有文件的摘要值列表。

5.如权利要求3所述的基于白名单列表的Linux文件完整性度量方法，其特征在于：通过内核空间的内核完整性钩子函数完成用户空间文件的参考值与内核空间白名单列表中的参考值的比对。