技术特征:
1.一种基于LSM与系统调用拦截相配合的可信计算实现系统,其特征在于,包括:内核态模块、用户态服务模块和界面模块;其中,所述内核态模块处于操作系统的内核态,用于采用LSM与系统调用的方法,拦截操作系统动作,包括启动程序和文件读写操作,还用于根据用户态服务模块的决策内容执行允许或禁止操作;用户态服务模块位于操作系统的用户态,用于对所拦截的客体进行度量和决策,确定是阻止还是放行该客体;界面模块用于提供用户与可信密码设备交互的接口。
2.一种利用权利要求1所述的系统实现的一种利用上述系统实现的国产linux操作系统基于LSM与系统调用拦截相配合的可信计算方法,其特征在于,包括如下步骤:
S1、通过界面模块初始化程序度量范围和文件保护范围;
S2、内核态模块基于LSM与系统调用的方法,拦截程序执行和文件读写行为;
S3、用户态服务模块根据程序度量范围和文件保护范围对由内核态模块所拦截的正在执行的程序和读写的文件进行度量,根据度量结果对操作行为做出阻止或放行决策,并将操作结果记录在日志;
S4、内核态模块根据决策内容执行允许或禁止操作。
3.如权利要求2所述的方法,其特征在于,步骤S1中,配置的内容包括文件保护路径配置、文件保护列表维护、白名单全盘扫描、白名单列表维护;
对于文件保护路径配置:配置被保护的文件路径,在该文件路径下的所有文件将被保护,配置过程即是文件保护列表的初始化过程;对于文件保护列表维护,包括动态增加或删除被保护文件名单;对于白名单全盘扫描:扫描操作系统硬盘