基于IMA实现一个完善的完整性度量框架
Linux当前IMA完整性度量框架实现了内核完整性的度量,但这种度量以整个文件为粒度,依赖在加载时进行哈希计算。但如果OS不能缓存整个文件内容,那么IMA的机制将被绕过。另外,IMA度量机制依赖于TPM芯片以及远程挑战,往往不能及时暴露系统风险。
此外,IMA在实际使用场景下仍然存在可靠性、健壮性的问题,当前的机制在海量文件、 超大文件、海量策略的情况下会导致系统关键路径性能损耗严重,并且产生的海量日志会导致系统OOM。
基于以上问题,基于IMA机制实现更完善、健壮的内核完整性度量框架,提高该框架的易用性、安全性。
2022全国大学生操作系统比赛的“OS功能设计”赛道
- 以小组为单位参赛,最多三人一个小组,且小组成员是来自同一所高校的学生。
- 如学生参加了多个项目,参赛学生选择一个自己参加的项目参与评奖。
- 请遵循“2022全国大学生操作系统比赛”的章程和技术方案要求。
- 朱岩
- 邮箱 zhuyan34@huawei.com
中等
-
设计一种新的策略结构,替代当前的链表式策略遍历,提高框架在海量策略、大量文件的情况下的性能表现。
-
实现度量日志保护策略,在海量日志生成时可实现转储或者告警等保护方式。
-
实现一种本地的完整性报告机制,可根据用户配置生成关键文件的度量情况,查看系统的完整性情况。可预置或者初始化系统度量基准,用于度量报告的分析。
- 实现基于block的文件度量,避免因为OS无法缓存整个文件结构而导致度量被绕过。同时需要考虑该种度量情况下与原有文件内容度量的兼容性。
任意开源license都可
特征中的要求为必备能力,进阶特性为建议内容,不要求一定完成。选择本项目的同学也可提出自己的新想法,得到导师认可支持后亦可加入预期目标或进阶特性。