防火墙的操作系统中内核的认证方法和装置制造方法
【专利摘要】本发明公开了一种防火墙的操作系统中内核的认证方法和装置,其中,该认证方法包括:在加载内核的情况下,对与内核对应的内核文件进行计算,得到计算结果;将计算结果与预先存储的内核文件的认证信息进行比较;根据比较结果判断是否允许加载内核。本发明通过在加载防火墙内核时对内核文件进行认证再判断是否加载,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性。
【专利说明】防火墙的操作系统中内核的认证方法和装置
【技术领域】
[0001]本发明涉及防火墙领域,并且特别地,涉及一种防火墙的操作系统中内核的认证方法和装置。
【背景技术】
[0002]在系统启动时,需要先将防火墙的操作系统内核加载到系统内存中,通常的系统设计都是从存储介质直接加载操作系统的内核文件。如果内核文件出错或出现内核文件被篡改的情况就可能出现系统加载失败或产生安全风险,并且现有的系统加载方式默认防火墙的操作系统内核文件是可信的,不对内核文件进行完整性校验。
[0003]针对相关技术中加载防火墙的操作系统内核容易出错导致系统出现安全风险的问题,目如尚未提出有效的解决方案。
【发明内容】
[0004]针对相关技术中加载防火墙的操作系统内核容易出错导致系统出现安全风险的问题,本发明提出一种操作系统中内核的认证方法和装置,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性。
[0005]本发明的技术方案是这样实现的:
[0006]根据本发明的一个方面,提供了 一种防火墙的操作系统中内核的认证方法。
[0007]上述认证方法包括:
[0008]在加载内核的情况下,对与内核对应的内核文件进行计算,得到计算结果;
[0009]将计算结果与预先存储的内核文件的认证信息进行比较;
[0010]根据比较结果判断是否允许加载内核。
[0011]优选地,对与内核相应的内核文件进行计算包括:
[0012]对与内核相应的内核文件进行MD5计算。
[0013]此外,在将计算所得到的结果与预先存储的与内核文件相应的认证信息进行比较之前,上述认证方法进一步包括:
[0014]对内核文件进行MD5计算得到预先存储的与内核文件相应的认证信息。
[0015]并且,根据比较结果判断内核文件是否安全包括:
[0016]在比较结果为相同或相符的情况下,判断内核为安全;
[0017]加载内核。
[0018]进一步地,根据对比结果判断内核文件是否安全包括:
[0019]在对比结果为不相符或不相符的情况下,通过警报设备发出错误提示,并禁止加载内核。
[0020]优选地,防火墙设备用于龙芯架构。
[0021]根据本发明的另一个方面,提供了一种防火墙的操作系统中内核的认证装置。
[0022]上述认证装置包括:[0023]第一计算模块,用于在加载内核的情况下,对与内核对应的内核文件进行计算,得到计算结果;
[0024]比较模块,用于将计算结果与预先存储的内核文件的认证信息进行比较;
[0025]判断模块,用于根据比较结果判断是否允许加载内核。
[0026]优选地,第一计算模块进一步用于对与内核相应的内核文件进行MD5计算。
[0027]此外,上述认证装置进一步包括:
[0028]第二计算模块,在比较模块用于将计算所得到的结果与预先存储的与内核文件相应的认证信息进行比较之前,第二计算模块用于对内核文件进行MD5计算得到预先存储的与内核文件相应的认证信息。
[0029]优选地,防火墙设备用于龙芯架构。
[0030]本发明通过在加载防火墙内核时对内核文件进行认证再判断是否加载,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性。
【专利附图】
【附图说明】
[0031]图1是根据本发明实施例的操作系统中内核的认证方法的流程图;
[0032]图2是根据本发明的另一个实施例的认证方法的示意图;
[0033]图3是根据本发明实施例的操作系统中内核的认证装置的框图。
【具体实施方式】
[0034]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0035]根据本发明的实施例,提供了一种防火墙的操作系统中内核的认证方法。
[0036]如图1所示,根据本发明实施例的认证方法可以包括:
[0037]步骤S101,在加载内核的情况下,可以对与内核对应的内核文件进行计算,得到计算结果,优选地,对与内核相应的内核文件进行MD5 (Message Digest Algorithm5,消息摘要算法第五版)计算,其中,MD5计算为一种散列计算,能够验证内核文件的完整性和准确性;
[0038]步骤S103,将计算结果与预先存储的内核文件的认证信息进行比较,其中,预先存储的内核文件的认证信息是预先用相同的计算方法对正确的内核文件进行计算得到的信息,优选地,对内核文件进行MD5计算得到预先存储的与内核文件相应的认证信息;
[0039]步骤S105,根据比较结果判断是否允许加载内核,通过对加载的内核文件进行计算,然后将计算结果与预先结果进行对比,再判断是否加载内核文件,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性。
[0040]然后,根据比较结果判断内核文件是否安全,在比较结果为相同或相符的情况下,可以判断内核为安全;加载内核。[0041]当在对比结果为不相符或不相符的情况下,可以通过警报设备发出错误提示,并禁止加载内核。
[0042]优选地,本文所提及的防火墙设备用于龙芯架构。
[0043]根据本发明的一个实施例,提供一种用于防火墙的操作系统中内核的认证方法,其中,该防火墙设备用于龙芯架构。如图2所示,根据本发明实施例的认证方法具体步骤包括:
[0044]通电后执行步骤S201, BIOS (Basic Input-Output System,基本输入输出系统)自检;
[0045]步骤S203,执行GRUB (GRand Unified Bootloader,系统默认自带的多重启动管理器)判断内核完整性,正确的校验文件存放于启动介质的特定路径下,GRUB系统加载后,将按照防火墙操作系统的存放路径找到防火墙操作系统内核文件并进行MD5运算,并将运算所得的摘要值(即文中所述的认证信息)与校验文件所存储的MD5计算所得的摘要值进行比对,如果需要加载的防火墙操作系统的内核文件与预存的摘要值一致,则校验通过,执行步骤S205,如果需要加载的防火墙操作系统的内核文件与预存的摘要值不一致,则执行步骤 S211 ;
[0046]步骤S205,加载防火墙操作系统的内核;
[0047]步骤S207,运行进程init (initialization,初始化)设定初值;
[0048]步骤S209,再通过/etc/inittab初始化,读取配置文件;
[0049]步骤S211,如果内核检验不一致,则停止启动并通过蜂鸣器发出报警。
[0050]S卩,本方案的工作原理是通过在启动时增加一个对防火墙的操作系统内核文件进行md5值的校验来对防火墙进行认证,能够避免防火墙加载错误的情况。
[0051]根据本发明的另一个实施例,提供了一种防火墙的操作系统中内核的认证装置。
[0052]如图3所示,根据本发明实施例的认证装置可以包括:
[0053]第一计算模块31,用于在加载内核的情况下,对与内核对应的内核文件进行计算,得到计算结果,优选地,第一计算模块进一步用于对与内核相应的内核文件进行MD5计算;
[0054]比较模块32,用于将计算结果与预先存储的内核文件的认证信息进行比较;
[0055]判断模块33,用于根据比较结果判断是否允许加载内核。
[0056]此外,根据本发明实施例的认证装置可以进一步包括:
[0057]第二计算模块,在比较模块用于将计算所得到的结果与预先存储的与内核文件相应的认证信息进行比较之前,第二计算模块用于对内核文件进行MD5计算得到预先存储的与内核文件相应的认证信息。
[0058]然后,根据本发明实施例的认证装置的比较模块32可以根据比较结果判断内核文件是否安全,然后在比较结果为相同或相符的情况下,判断内核为安全;然后加载内核。并且,比较模块32可以在对比结果为不相符或不相符的情况下,可以通过警报设备发出错误提示,并禁止加载内核。
[0059]优选地,防火墙设备用于龙芯架构。
[0060]综上所述,借助于本发明的上述技术方案,本发明通过增加内核文件校验的过程,即通过在加载防火墙内核时对内核文件进行认证再判断是否加载,能够防止出现防火墙系统的内核文件被篡改或者内核文件不完整的情况,降低加载防火墙的出错率,提高系统的安全性,从而解决内核文件出错或被篡改所导致的安全风险。
[0061]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种防火墙的操作系统中内核的认证方法,其特征在于,包括: 在加载所述内核的情况下,对与所述内核对应的内核文件进行计算,得到计算结果; 将所述计算结果与预先存储的所述内核文件的认证信息进行比较; 根据比较结果判断是否允许加载所述内核。
2.根据权利要求1所述的认证方法,其特征在于,对与所述内核相应的内核文件进行计算包括: 对与所述内核相应的内核文件进行MD5计算。
3.根据权利要求2所述的认证方法,其特征在于,在将计算所得到的结果与预先存储的与所述内核文件相应的认证信息进行比较之前,所述认证方法进一步包括: 对所述内核文件进行MD5计算得到所述预先存储的与所述内核文件相应的认证信息。
4.根据权利要求1所述的认证方法,其特征在于,根据比较结果判断所述内核文件是否安全包括: 在比较结果为相同或相符的情况下,判断所述内核为安全; 加载所述内核。
5.根据权利要求1所述的认证方法,其特征在于,根据所述对比结果判断所述内核文件是否安全包括: 在所述对比结果为不相符或不相符的情况下,通过警报设备发出错误提示,并禁止加载所述内核。
6.根据权利要求1-5中任一项所述的认证方法,其特征在于,所述防火墙设备用于龙芯架构。
7.一种防火墙的操作系统中内核的认证装置,其特征在于,包括: 第一计算模块,用于在加载所述内核的情况下,对与所述内核对应的内核文件进行计算,得到计算结果; 比较模块,用于将所述计算结果与预先存储的所述内核文件的认证信息进行比较; 判断模块,用于根据比较结果判断是否允许加载所述内核。
8.根据权利要求1所述的认证装置,其特征在于,所述第一计算模块进一步用于对与所述内核相应的内核文件进行MD5计算。
9.根据权利要求2所述的认证装置,其特征在于,所述认证装置进一步包括: 第二计算模块,在比较模块用于将计算所得到的结果与预先存储的与所述内核文件相应的认证信息进行比较之前,所述第二计算模块用于对所述内核文件进行MD5计算得到所述预先存储的与所述内核文件相应的认证信息。
10.根据权利要求7-9中任一项所述的认证方法,其特征在于,所述防火墙设备用于龙芯架构。
【文档编号】G06F21/51GK103488945SQ201310439448
【公开日】2014年1月1日 申请日期:2013年9月24日 优先权日:2013年9月24日
【发明者】白秀杰 申请人:曙光信息产业(北京)有限公司