防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證方法和裝置制造方法
【專利摘要】本發(fā)明公開了一種防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證方法和裝置�����,其中�����,該認(rèn)證方法包括:在加載內(nèi)核的情況下���,對(duì)與內(nèi)核對(duì)應(yīng)的內(nèi)核文件進(jìn)行計(jì)算��,得到計(jì)算結(jié)果�;將計(jì)算結(jié)果與預(yù)先存儲(chǔ)的內(nèi)核文件的認(rèn)證信息進(jìn)行比較�;根據(jù)比較結(jié)果判斷是否允許加載內(nèi)核。本發(fā)明通過在加載防火墻內(nèi)核時(shí)對(duì)內(nèi)核文件進(jìn)行認(rèn)證再判斷是否加載�����,能夠防止出現(xiàn)防火墻系統(tǒng)的內(nèi)核文件被篡改或者內(nèi)核文件不完整的情況���,降低加載防火墻的出錯(cuò)率�,提高系統(tǒng)的安全性�����。
【專利說明】防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及防火墻領(lǐng)域���,并且特別地��,涉及一種防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證方法和裝置��。
【背景技術(shù)】
[0002]在系統(tǒng)啟動(dòng)時(shí)��,需要先將防火墻的操作系統(tǒng)內(nèi)核加載到系統(tǒng)內(nèi)存中��,通常的系統(tǒng)設(shè)計(jì)都是從存儲(chǔ)介質(zhì)直接加載操作系統(tǒng)的內(nèi)核文件���。如果內(nèi)核文件出錯(cuò)或出現(xiàn)內(nèi)核文件被篡改的情況就可能出現(xiàn)系統(tǒng)加載失敗或產(chǎn)生安全風(fēng)險(xiǎn)�����,并且現(xiàn)有的系統(tǒng)加載方式默認(rèn)防火墻的操作系統(tǒng)內(nèi)核文件是可信的,不對(duì)內(nèi)核文件進(jìn)行完整性校驗(yàn)���。
[0003]針對(duì)相關(guān)技術(shù)中加載防火墻的操作系統(tǒng)內(nèi)核容易出錯(cuò)導(dǎo)致系統(tǒng)出現(xiàn)安全風(fēng)險(xiǎn)的問題�,目如尚未提出有效的解決方案��。
【發(fā)明內(nèi)容】
[0004]針對(duì)相關(guān)技術(shù)中加載防火墻的操作系統(tǒng)內(nèi)核容易出錯(cuò)導(dǎo)致系統(tǒng)出現(xiàn)安全風(fēng)險(xiǎn)的問題�����,本發(fā)明提出一種操作系統(tǒng)中內(nèi)核的認(rèn)證方法和裝置���,能夠防止出現(xiàn)防火墻系統(tǒng)的內(nèi)核文件被篡改或者內(nèi)核文件不完整的情況�,降低加載防火墻的出錯(cuò)率,提高系統(tǒng)的安全性�����。
[0005]本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0006]根據(jù)本發(fā)明的一個(gè)方面�,提供了 一種防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證方法。
[0007]上述認(rèn)證方法包括:
[0008]在加載內(nèi)核的情況下��,對(duì)與內(nèi)核對(duì)應(yīng)的內(nèi)核文件進(jìn)行計(jì)算��,得到計(jì)算結(jié)果��;
[0009]將計(jì)算結(jié)果與預(yù)先存儲(chǔ)的內(nèi)核文件的認(rèn)證信息進(jìn)行比較����;
[0010]根據(jù)比較結(jié)果判斷是否允許加載內(nèi)核。
[0011]優(yōu)選地�����,對(duì)與內(nèi)核相應(yīng)的內(nèi)核文件進(jìn)行計(jì)算包括:
[0012]對(duì)與內(nèi)核相應(yīng)的內(nèi)核文件進(jìn)行MD5計(jì)算�。
[0013]此外,在將計(jì)算所得到的結(jié)果與預(yù)先存儲(chǔ)的與內(nèi)核文件相應(yīng)的認(rèn)證信息進(jìn)行比較之前,上述認(rèn)證方法進(jìn)一步包括:
[0014]對(duì)內(nèi)核文件進(jìn)行MD5計(jì)算得到預(yù)先存儲(chǔ)的與內(nèi)核文件相應(yīng)的認(rèn)證信息��。
[0015]并且��,根據(jù)比較結(jié)果判斷內(nèi)核文件是否安全包括:
[0016]在比較結(jié)果為相同或相符的情況下���,判斷內(nèi)核為安全����;
[0017]加載內(nèi)核�����。
[0018]進(jìn)一步地�����,根據(jù)對(duì)比結(jié)果判斷內(nèi)核文件是否安全包括:
[0019]在對(duì)比結(jié)果為不相符或不相符的情況下���,通過警報(bào)設(shè)備發(fā)出錯(cuò)誤提示,并禁止加載內(nèi)核�����。
[0020]優(yōu)選地,防火墻設(shè)備用于龍芯架構(gòu)��。
[0021]根據(jù)本發(fā)明的另一個(gè)方面�,提供了一種防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證裝置。
[0022]上述認(rèn)證裝置包括:[0023]第一計(jì)算模塊����,用于在加載內(nèi)核的情況下,對(duì)與內(nèi)核對(duì)應(yīng)的內(nèi)核文件進(jìn)行計(jì)算��,得到計(jì)算結(jié)果��;
[0024]比較模塊�,用于將計(jì)算結(jié)果與預(yù)先存儲(chǔ)的內(nèi)核文件的認(rèn)證信息進(jìn)行比較;
[0025]判斷模塊�����,用于根據(jù)比較結(jié)果判斷是否允許加載內(nèi)核�����。
[0026]優(yōu)選地��,第一計(jì)算模塊進(jìn)一步用于對(duì)與內(nèi)核相應(yīng)的內(nèi)核文件進(jìn)行MD5計(jì)算�����。
[0027]此外,上述認(rèn)證裝置進(jìn)一步包括:
[0028]第二計(jì)算模塊����,在比較模塊用于將計(jì)算所得到的結(jié)果與預(yù)先存儲(chǔ)的與內(nèi)核文件相應(yīng)的認(rèn)證信息進(jìn)行比較之前,第二計(jì)算模塊用于對(duì)內(nèi)核文件進(jìn)行MD5計(jì)算得到預(yù)先存儲(chǔ)的與內(nèi)核文件相應(yīng)的認(rèn)證信息�����。
[0029]優(yōu)選地����,防火墻設(shè)備用于龍芯架構(gòu)。
[0030]本發(fā)明通過在加載防火墻內(nèi)核時(shí)對(duì)內(nèi)核文件進(jìn)行認(rèn)證再判斷是否加載����,能夠防止出現(xiàn)防火墻系統(tǒng)的內(nèi)核文件被篡改或者內(nèi)核文件不完整的情況,降低加載防火墻的出錯(cuò)率����,提高系統(tǒng)的安全性����。
【專利附圖】
【附圖說明】
[0031]圖1是根據(jù)本發(fā)明實(shí)施例的操作系統(tǒng)中內(nèi)核的認(rèn)證方法的流程圖;
[0032]圖2是根據(jù)本發(fā)明的另一個(gè)實(shí)施例的認(rèn)證方法的示意圖;
[0033]圖3是根據(jù)本發(fā)明實(shí)施例的操作系統(tǒng)中內(nèi)核的認(rèn)證裝置的框圖����。
【具體實(shí)施方式】
[0034]下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述���,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例�����?��;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�。
[0035]根據(jù)本發(fā)明的實(shí)施例,提供了一種防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證方法�����。
[0036]如圖1所示����,根據(jù)本發(fā)明實(shí)施例的認(rèn)證方法可以包括:
[0037]步驟S101,在加載內(nèi)核的情況下��,可以對(duì)與內(nèi)核對(duì)應(yīng)的內(nèi)核文件進(jìn)行計(jì)算���,得到計(jì)算結(jié)果,優(yōu)選地,對(duì)與內(nèi)核相應(yīng)的內(nèi)核文件進(jìn)行MD5 (Message Digest Algorithm5,消息摘要算法第五版)計(jì)算�,其中���,MD5計(jì)算為一種散列計(jì)算���,能夠驗(yàn)證內(nèi)核文件的完整性和準(zhǔn)確性;
[0038]步驟S103���,將計(jì)算結(jié)果與預(yù)先存儲(chǔ)的內(nèi)核文件的認(rèn)證信息進(jìn)行比較����,其中�����,預(yù)先存儲(chǔ)的內(nèi)核文件的認(rèn)證信息是預(yù)先用相同的計(jì)算方法對(duì)正確的內(nèi)核文件進(jìn)行計(jì)算得到的信息��,優(yōu)選地�����,對(duì)內(nèi)核文件進(jìn)行MD5計(jì)算得到預(yù)先存儲(chǔ)的與內(nèi)核文件相應(yīng)的認(rèn)證信息�����;
[0039]步驟S105��,根據(jù)比較結(jié)果判斷是否允許加載內(nèi)核�����,通過對(duì)加載的內(nèi)核文件進(jìn)行計(jì)算�,然后將計(jì)算結(jié)果與預(yù)先結(jié)果進(jìn)行對(duì)比,再判斷是否加載內(nèi)核文件����,能夠防止出現(xiàn)防火墻系統(tǒng)的內(nèi)核文件被篡改或者內(nèi)核文件不完整的情況��,降低加載防火墻的出錯(cuò)率�,提高系統(tǒng)的安全性��。
[0040]然后����,根據(jù)比較結(jié)果判斷內(nèi)核文件是否安全,在比較結(jié)果為相同或相符的情況下��,可以判斷內(nèi)核為安全���;加載內(nèi)核��。[0041]當(dāng)在對(duì)比結(jié)果為不相符或不相符的情況下���,可以通過警報(bào)設(shè)備發(fā)出錯(cuò)誤提示,并禁止加載內(nèi)核���。
[0042]優(yōu)選地��,本文所提及的防火墻設(shè)備用于龍芯架構(gòu)�����。
[0043]根據(jù)本發(fā)明的一個(gè)實(shí)施例�,提供一種用于防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證方法�����,其中�,該防火墻設(shè)備用于龍芯架構(gòu)。如圖2所示�,根據(jù)本發(fā)明實(shí)施例的認(rèn)證方法具體步驟包括:
[0044]通電后執(zhí)行步驟S201, BIOS (Basic Input-Output System,基本輸入輸出系統(tǒng))自檢;
[0045]步驟S203���,執(zhí)行GRUB (GRand Unified Bootloader��,系統(tǒng)默認(rèn)自帶的多重啟動(dòng)管理器)判斷內(nèi)核完整性�����,正確的校驗(yàn)文件存放于啟動(dòng)介質(zhì)的特定路徑下�����,GRUB系統(tǒng)加載后�,將按照防火墻操作系統(tǒng)的存放路徑找到防火墻操作系統(tǒng)內(nèi)核文件并進(jìn)行MD5運(yùn)算,并將運(yùn)算所得的摘要值(即文中所述的認(rèn)證信息)與校驗(yàn)文件所存儲(chǔ)的MD5計(jì)算所得的摘要值進(jìn)行比對(duì)����,如果需要加載的防火墻操作系統(tǒng)的內(nèi)核文件與預(yù)存的摘要值一致,則校驗(yàn)通過�,執(zhí)行步驟S205,如果需要加載的防火墻操作系統(tǒng)的內(nèi)核文件與預(yù)存的摘要值不一致�����,則執(zhí)行步驟 S211 �����;
[0046]步驟S205��,加載防火墻操作系統(tǒng)的內(nèi)核���;
[0047]步驟S207,運(yùn)行進(jìn)程init (initialization,初始化)設(shè)定初值�;
[0048]步驟S209,再通過/etc/inittab初始化,讀取配置文件��;
[0049]步驟S211����,如果內(nèi)核檢驗(yàn)不一致�,則停止啟動(dòng)并通過蜂鳴器發(fā)出報(bào)警����。
[0050]S卩,本方案的工作原理是通過在啟動(dòng)時(shí)增加一個(gè)對(duì)防火墻的操作系統(tǒng)內(nèi)核文件進(jìn)行md5值的校驗(yàn)來對(duì)防火墻進(jìn)行認(rèn)證,能夠避免防火墻加載錯(cuò)誤的情況����。
[0051]根據(jù)本發(fā)明的另一個(gè)實(shí)施例�����,提供了一種防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證裝置���。
[0052]如圖3所示�,根據(jù)本發(fā)明實(shí)施例的認(rèn)證裝置可以包括:
[0053]第一計(jì)算模塊31����,用于在加載內(nèi)核的情況下,對(duì)與內(nèi)核對(duì)應(yīng)的內(nèi)核文件進(jìn)行計(jì)算���,得到計(jì)算結(jié)果���,優(yōu)選地�����,第一計(jì)算模塊進(jìn)一步用于對(duì)與內(nèi)核相應(yīng)的內(nèi)核文件進(jìn)行MD5計(jì)算���;
[0054]比較模塊32,用于將計(jì)算結(jié)果與預(yù)先存儲(chǔ)的內(nèi)核文件的認(rèn)證信息進(jìn)行比較����;
[0055]判斷模塊33,用于根據(jù)比較結(jié)果判斷是否允許加載內(nèi)核�。
[0056]此外,根據(jù)本發(fā)明實(shí)施例的認(rèn)證裝置可以進(jìn)一步包括:
[0057]第二計(jì)算模塊���,在比較模塊用于將計(jì)算所得到的結(jié)果與預(yù)先存儲(chǔ)的與內(nèi)核文件相應(yīng)的認(rèn)證信息進(jìn)行比較之前��,第二計(jì)算模塊用于對(duì)內(nèi)核文件進(jìn)行MD5計(jì)算得到預(yù)先存儲(chǔ)的與內(nèi)核文件相應(yīng)的認(rèn)證信息����。
[0058]然后��,根據(jù)本發(fā)明實(shí)施例的認(rèn)證裝置的比較模塊32可以根據(jù)比較結(jié)果判斷內(nèi)核文件是否安全����,然后在比較結(jié)果為相同或相符的情況下��,判斷內(nèi)核為安全��;然后加載內(nèi)核���。并且,比較模塊32可以在對(duì)比結(jié)果為不相符或不相符的情況下�����,可以通過警報(bào)設(shè)備發(fā)出錯(cuò)誤提示��,并禁止加載內(nèi)核����。
[0059]優(yōu)選地�,防火墻設(shè)備用于龍芯架構(gòu)。
[0060]綜上所述���,借助于本發(fā)明的上述技術(shù)方案����,本發(fā)明通過增加內(nèi)核文件校驗(yàn)的過程,即通過在加載防火墻內(nèi)核時(shí)對(duì)內(nèi)核文件進(jìn)行認(rèn)證再判斷是否加載�����,能夠防止出現(xiàn)防火墻系統(tǒng)的內(nèi)核文件被篡改或者內(nèi)核文件不完整的情況�����,降低加載防火墻的出錯(cuò)率���,提高系統(tǒng)的安全性�����,從而解決內(nèi)核文件出錯(cuò)或被篡改所導(dǎo)致的安全風(fēng)險(xiǎn)����。
[0061]以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明�����,凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改����、等同替換��、改進(jìn)等����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證方法���,其特征在于��,包括: 在加載所述內(nèi)核的情況下����,對(duì)與所述內(nèi)核對(duì)應(yīng)的內(nèi)核文件進(jìn)行計(jì)算�����,得到計(jì)算結(jié)果�����; 將所述計(jì)算結(jié)果與預(yù)先存儲(chǔ)的所述內(nèi)核文件的認(rèn)證信息進(jìn)行比較����; 根據(jù)比較結(jié)果判斷是否允許加載所述內(nèi)核。
2.根據(jù)權(quán)利要求1所述的認(rèn)證方法�����,其特征在于��,對(duì)與所述內(nèi)核相應(yīng)的內(nèi)核文件進(jìn)行計(jì)算包括: 對(duì)與所述內(nèi)核相應(yīng)的內(nèi)核文件進(jìn)行MD5計(jì)算�。
3.根據(jù)權(quán)利要求2所述的認(rèn)證方法,其特征在于�,在將計(jì)算所得到的結(jié)果與預(yù)先存儲(chǔ)的與所述內(nèi)核文件相應(yīng)的認(rèn)證信息進(jìn)行比較之前,所述認(rèn)證方法進(jìn)一步包括: 對(duì)所述內(nèi)核文件進(jìn)行MD5計(jì)算得到所述預(yù)先存儲(chǔ)的與所述內(nèi)核文件相應(yīng)的認(rèn)證信息����。
4.根據(jù)權(quán)利要求1所述的認(rèn)證方法,其特征在于�����,根據(jù)比較結(jié)果判斷所述內(nèi)核文件是否安全包括: 在比較結(jié)果為相同或相符的情況下��,判斷所述內(nèi)核為安全����; 加載所述內(nèi)核�。
5.根據(jù)權(quán)利要求1所述的認(rèn)證方法�,其特征在于,根據(jù)所述對(duì)比結(jié)果判斷所述內(nèi)核文件是否安全包括: 在所述對(duì)比結(jié)果為不相符或不相符的情況下��,通過警報(bào)設(shè)備發(fā)出錯(cuò)誤提示��,并禁止加載所述內(nèi)核��。
6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的認(rèn)證方法�����,其特征在于�����,所述防火墻設(shè)備用于龍芯架構(gòu)�����。
7.一種防火墻的操作系統(tǒng)中內(nèi)核的認(rèn)證裝置�����,其特征在于����,包括: 第一計(jì)算模塊,用于在加載所述內(nèi)核的情況下����,對(duì)與所述內(nèi)核對(duì)應(yīng)的內(nèi)核文件進(jìn)行計(jì)算,得到計(jì)算結(jié)果��; 比較模塊����,用于將所述計(jì)算結(jié)果與預(yù)先存儲(chǔ)的所述內(nèi)核文件的認(rèn)證信息進(jìn)行比較; 判斷模塊���,用于根據(jù)比較結(jié)果判斷是否允許加載所述內(nèi)核����。
8.根據(jù)權(quán)利要求1所述的認(rèn)證裝置��,其特征在于���,所述第一計(jì)算模塊進(jìn)一步用于對(duì)與所述內(nèi)核相應(yīng)的內(nèi)核文件進(jìn)行MD5計(jì)算��。
9.根據(jù)權(quán)利要求2所述的認(rèn)證裝置�,其特征在于,所述認(rèn)證裝置進(jìn)一步包括: 第二計(jì)算模塊�����,在比較模塊用于將計(jì)算所得到的結(jié)果與預(yù)先存儲(chǔ)的與所述內(nèi)核文件相應(yīng)的認(rèn)證信息進(jìn)行比較之前�����,所述第二計(jì)算模塊用于對(duì)所述內(nèi)核文件進(jìn)行MD5計(jì)算得到所述預(yù)先存儲(chǔ)的與所述內(nèi)核文件相應(yīng)的認(rèn)證信息�。
10.根據(jù)權(quán)利要求7-9中任一項(xiàng)所述的認(rèn)證方法,其特征在于����,所述防火墻設(shè)備用于龍芯架構(gòu)。
【文檔編號(hào)】G06F21/51GK103488945SQ201310439448
【公開日】2014年1月1日 申請(qǐng)日期:2013年9月24日 優(yōu)先權(quán)日:2013年9月24日
【發(fā)明者】白秀杰 申請(qǐng)人:曙光信息產(chǎn)業(yè)(北京)有限公司