IMA 的简单介绍

最新推荐文章于 2024-03-31 21:32:54 发布
最新推荐文章于 2024-03-31 21:32:54 发布
阅读量4.1k 收藏 3
点赞数 1
分类专栏: Linux || C 文章标签: list linux内核 数据库 linux 算法

      本文的内容来自于http://domino.research.ibm.com/comm/research_people.nsf/pages/sailer.ima.html

what is ima :

      IMA是一个远程认证机构,它可以使远程对方相信系统正在运行程序是安全可信的。

     另一种解释:IMA是一种软件体系结构,并且是Linux上的一个实现,他可以通过使用另一个系统的当前运行时的属性来提供测量该系统可核查的证据 ,这话有点绕,就是说我们需要测量的其他的系统运行的的属性,其中部分属性可以作为IMA的测量值,这个测量值可以用来测量其他系统的软件环境的可信性 。

     使用IMA的证据,使用这种不依赖系统的证据来保证测量系统的软件环境的可信性。

how is work:

     那么 在linux内核的实现中,IMA 最先被启动,之后他可以计算之后所有程序运行之前计算该程序的SHA1 值,这个SHA1 可以唯一标识一个程序和他的运行环境。

ima_1  
通过IMA 来验证目标系统是否可信有三个前提:1 、我们要有一个可信系统的指纹数据,里面有各种软件运行的SHA1 值 2、然后在验证的过程中 ,数据不能被修改 。 这样我们才能判断一个软件的可信度。3、SHA1 安全的hash算法,这个可以保证不用的程序的hash值肯定是不同的。(只是我的个人理解)

ima-2

1 、challenging party 生成一个随机数,这个随机数是用来确保之后的有attesting party 传来的数据是没有被修改的。

2、 将这个随机数 nonce 传给attesting party

3、  attesting party 将该系统的measuremeat list 和 { nonce ,PCR}  这个PCR 其实也是通过下面的方式生成的

in PCR: TPM-signed aggregate from step 3
in MList: Measurement list from step 3

 {
   uchar PCR_tmp[20] = {0...0}

   for (i=0; i<MList.len; i++)
        PCR_tmp = SHA1(PCR_tmp|MList[i])

   if (PCR == PCR_tmp)
        return OK
   else
        return INVALID
 }

4 challenging party  首先验证TPM 的数字签名,可以通过之前发给attesting party 的nonce 来验证,成功则证明attesting party 反馈的 。

5 这一步 是用来验证measurement list 是否有被修改,如果计算的PCR_TMP 和传来的PCR 一样,则证明没没有被修改。

6 这一步 就用传来的list 和我们之前的指纹数据库作对比,如果list 的内容 都可以在数据库中找到,那么就证明软件系统是可信的。

Trade-offs & Challenges:

    其中值得一提的是:nonce 的使用 可以保证有attesting party 传来的measurement list 必须是最新的,不然他不会和challenge party 的验证匹配上。

     TPM 在所有的环境中都起到了重要作用,因为是硬件设备,所以可以保证不被其他软件所修改,只有内核才能进行访问。那么基于TPM 认证 需要一套完善的公钥基础设施。


欢迎访问我的博客 http://www.fuxiang90.me/?p=534 

fx397993401
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
扩展Linux完整性度量IMA/EVM到Android
laviolette的专栏
05-09 7838
完整性度量 IMA EVM
完整性度量架构(IMA介绍与分析
热门推荐
Casbin开源社区
05-27 1万+
前言: 2004年,IBM在13th USENIXSecurity Symposium上发表文章《Design and Implementation of a TCG-based Integrity MeasurementArchitecture》,第一次提出了IMA架构。该架构通过在内核进行patch,实现当应用程序运行、动态链接库加载、内核模块加载时,将用到的代码和关键数据(如配置文件和结构化数据)做一次度量,将度量结果扩展到PCR10,并创建与维护一个度量列表ML。当挑战者发起挑战时,将度量列表与T
(4)前端 - HTML - 图片标签
Ricardo__Lu的博客
08-11 323
图片标签:ima src:图片路径 本地资源路径路径:一般本地图片资源使用相对路径即可 width:设置图片的宽度,如果单独设置,则在图片保证不失真的情况下自动缩小或者放大 单位可以使px也可以是百分比 height:设置...
Linux内核安全模块
最新发布
x3599573的博客
03-31 927
LSM(inux Security Module)—— 体现为一组安全相关的函数目的:对用户态进程进行强制访问控制目的:防止数据被篡改IMA:完整性度量体系架构 EVM:扩展验证模块可信计算架构:​应用:PTS(Platform Trust Services)​库:TSS(Trusted Software Stack)​内核IMA、EVM、TPM驱动​启动:GRUB-IMA TBOOT​硬件:TPMTPM的运用:管理密钥、执行加解密运算、数字签名、安全存储数据。
HTML标签的相关知识
只为你癫狂的博客
04-26 159
HTML标签的相关知识 标题标签 为了使网页更具有语义化,我们经常会在页面中用到标题标签。HTML提供了6个等级的网页标签,即<h1>----<h6>。 <h1>我是一级标签</h1> 单词head的缩写,意为头部,标题。 标签语义:作为标题使用,并且依据重要性递减。 特点: 加了标题的文字会变得加粗...
IMA/EVM完整性检测代码分析
inquisiter
06-01 2232
IMA hook机制中,需要定义一系列回调函数,包括measure、appraise、policy、inode_free和post_parse等函数。measure函数用于在文件读取之前计算文件的哈希值;appraise函数用于评估文件完整性;policy函数用于读取并更新IMA策略;inode_free函数用于在删除文件时更新操作系统的IMA状态信息;post_parse函数用于在解析之后更新文件系统缓存和错误日志。int ret;
linux内核ima_main,linux内核结构详解
weixin_33488923的博客
05-01 622
Linux内核主要由五个子系统组成:进程调度,内存管理,虚拟文件系统,网络接口,进程间通信。1.进程调度(SCHED):控制多个进程对CPU的访问,使得多个进程能在CPU中微观串行运行,看起来却像是并行运行。驱动程序编程中,若没有获得资源则进入休眠,直到被唤醒。2.内存管理(MM)允许多个进程安全的共享主内存区域。Linux的内存管理支持虚拟内存(为每个进程进行虚拟内存到物理内存的转换)即在计算机...
videojs-ima:适用于Video.js的IMA SDK插件
03-31
适用于Video.js的IMA SDK插件介绍用于Video.js的IMA SDK插件为Video.js播放器提供了快速便捷的IMA SDK集成。 要查看实际使用的插件,请查看我们的。特征轻松将Google IMA SDK集成到Video.js中,以便在您的视频内容上...
并联式设计,IMA混合动力系统
10-18
今年,本田将在国内推出3款混合动力车型,它们分别为混合动力版飞度、CR-Z和Insight。而今天我先为大家简单介绍一下什么是本田IMA混合动力技术。
IMA-Nature-of-Code:代码的本质| IMA,纽约大学上海分校| 2020年Spring
05-24
代码的本质| IMA,纽约大学上海... 通过观察立即的视觉反馈,与传统的理论方法相反,将以相对简单的方式介绍编程概念及其应用。 在整个课程中,学生还将学习增加物理复杂性的层次,以使对象的编程行为更加逼真和系统。
docker-testng-integration:使用TestNG和Docker运行集成测试的简单方法
05-26
Docker TestNG集成介绍该库允许您在测试套件之前运行Docker容器。用法在pom.xml包含依赖项< dependency> < groupId>me.bazhenov</ groupId> < artifactId>docker-testng-integration</ artifactId> < version>1.3.2...
IMA官方文档
12-05
Linux内核的完整性度量框架官方文档,在IMA能够对应用程序运行时加载的模块、动态链接库及程序本身进行度量,以及TPM能够实现可信启动(将平台上电到操作系统启动进行度量并写入度量日志)的条件下,挑战者由远程挑战平台是否可信的过程称为远程证实。TCG对远程证实提供两种方案,一种借助隐私签证机构
微信小程序 animation API详解及实例代码
11-23
动画水还是比较深的,这里只是简单介绍下小程序中动画的一些属性和注意事项,做动画前一定要整理好思路将动画一步步分解,再进行组合!这里只做引入。 wx.createAnimation(object) 看官方介绍 1.创建一个动画实例...
suse linux 11 安装教程,IMA 在SUSE Linux 11下的安装及使用
weixin_34603814的博客
05-02 366
IMA的安装主要的操作是对2.6.30以上版本的内核配置,具体操作如下:一、系统环境一台带有TPM芯片的主机(Lenovo 8800)SUSE Linux 11.2(内核版本:2.6.31.5)Trousers-0.3.6(可选)二、内核配置在/usr/src/linux目录下:1. #make clean && make mrproper(若以前编译过内核,则运行这步)2. #c...
linux验证模块,完整性测量架构(IMA)和Linux扩展验证模块(EVM)(Integrity Measurement Architecture(IMA) & Linux Extended Ver...
weixin_29156401的博客
05-13 1292
I am trying to activate IMA appraisal & EVM modules.After compiling linux kernel 3.10.2 on my bt5R3 and setting kernel boot option in a first time like this:GRUB_CMDLINE_LINUX="rootflags=i_version...
.IMA格式CT数据转成普通的.png或.jpg
weixin_69424666的博客
03-23 1350
.IMA格式CT转成普通图片
Linux 完整性子系统及可信计算基础
weixin_54750412的博客
02-19 1659
**【摘要】**可信计算目前在主机主动安全防护中的作用越来越重要,但是具体落地上有不同的实现方式和取舍。本文介绍了可信计算的基本组成部分,结合系统安全目标、威胁方式以及Linux IMA完整性子系统,简述了可信在G银行第一阶段的落地实施方案。 转自@TWT社区,作者:Copper 前言 可信计算目前在主机主动安全防护中的作用越来越重要,但是具体落地上有不同的实现方式和取舍。本文介绍了可信计算的基本组成部分,结合系统安全目标、威胁方式以及Linux IMA完整性子系统,简述了可信在G银行第一阶段的落地实施方.
ima标签引入出错html,Microsoft.mshtml.dll 添加引用及类型选择错误问题解决办法
weixin_36258014的博客
06-21 196
在比较早的文章中,提到使用Microsoft.mshtml.dll 进行模拟浏览器点击的例子。1.添加引用的问题一般在开发环境下会在三个地方存有microsoft.mshtml.dll文件。所以在添加引用时,也会出现三个看似一样的项。对于开发者来说,引用其中任何一个都不会影响到正常的开发。但问题会出在软件发布之后!在客户的机子上运行时,通常会提示文件的签名不正确,无法加载。解决的方法就是删除现在...
IMA典型配置指导资料
09-14
IMA典型配置指导资料是一份详细介绍IMA(Intelligent Management Assistant)典型配置的指导文件。通过该资料,用户可以了解到IMA在系统配置中的特性、优点以及如何在实际应用中进行使用。接下来将从特性介绍、特性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值