(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211276276.3 (22)申请日 2022.10.19 (65)同一申请的已公布的文献号 申请公布号 CN 115357908 A (43)申请公布日 2022.11.18 (73)专利权人 中国人民解 放军军事科学院系统 工程研究院 地址 100141 北京市丰台区大成路13号 专利权人 中国电子科技 集团公司第三十 研 究所 (72)发明人 杨林　谢卫　马琳茹　李鉴　王强　 代富江　 (74)专利代理 机构 中国和平利用军工技 术协会 专利中心 1 1215 专利代理师 周玄(51)Int.Cl. G06F 21/57(2013.01) G06F 21/51(2013.01) H04L 9/32(2006.01) H04L 9/14(2006.01) (56)对比文件 WO 2015143989 A1,2015.10.01 CN 111104173 A,2020.0 5.05 KR 20180 007922 A,2018.01.24 刘莺迎等.基 于ARM平台的安全 扩展技术研 究. 《信息与电脑(理论版)》 .2018,(第09期), 审查员 唐楹琰 (54)发明名称 一种网络设备内核可信度量与自动修复方 法 (57)摘要 本发明提出一种网络设备内核可信度量与 自动修复方法， 属于网络设备安全技术领域。 所 述方法对交换设备中的存储介质进行划分， 分为 两个具有相同加密算法和内核文件的分区； 基于 加密算法分别对第一分区和第二分区中的内核 文件进行加密， 利用公私钥对生成经加密的第一 分区内核文件的签名和第二分区内核文件的签 名； 初始化交换设备并启动引导加载程序 BootLoader， 以完成对所述第一分区/所述第二 分区中的内核文件的调用； 挂载经调用的第一分 区/第二分区中的内核文件， 将经挂载的内核文 件拷贝到 未被调用的分区中。 本方法通过内核文 件加密和签名结合的方式解决安全保护相对较 弱的技术。 权利要求书2页 说明书5页 附图1页 CN 115357908 B 2022.12.23 CN 115357908 B 1.一种网络设备内核可信度量与自动修复方法， 其特 征在于， 所述方法包括： 步骤S1、 对交换设备中的存储介质进行划分， 分为两个具有相同加密算法和内核文件 的分区， 其中第一分区为工作分区， 第二分区为隐藏分区； 步骤S2、 基于所述加密算法分别对所述第一分区中的内核文件和所述第 二分区中的内 核文件进 行加密， 利用公私钥对分别生成经加密的第一分区内核文件的签名和经加密的第 二分区内核 文件的签名； 步骤S3、 初始化所述交换设备并启动引导加载程序BootLoader， 以完成对所述第一分 区/所述第二分区中的内核 文件的调用； 步骤S4、 挂载经调用的所述第一分区/所述第二分区中的内核文件， 将经挂载的内核文 件拷贝到未被调用的分区中。 2.根据权利要求1所述的一种网络设备内核可信度量与自动 修复方法， 其特征在于， 在 所述步骤S1 中， 所述存储介质包括FLAS H或SATA， 所述第一分区和所述第二分区被配置为在 启动引导加载程序BootLoader阶段， 所述引导加载程序BootLoader仅具备对两个 分区的查 看和访问权限， 且在调用和挂载阶段， 所述第一分区相对于所述第二分区具有更高优先级。 3.根据权利要求2所述的一种网络设备内核可信度量与自动 修复方法， 其特征在于， 在 所述步骤S2中， 对于每个分区中经加密和签名后的内核文件， 均以如下形式来定义所述经 加密和签名后的内核文件的数据包： 文件总长度、 经加密的内核文件、 公钥以及生成的签 名。 4.根据权利要求3所述的一种网络设备内核可信度量与自动 修复方法， 其特征在于， 在 所述步骤S3中， 初始化所述交换设备包括： 对所述交换设备的各个 硬件进行初始化； 加载所述引导加载程序Bo otLoader中的C代码； 设置用于运行 所述C代码的环境 参数的栈。 5.根据权利要求4所述的一种网络设备内核可信度量与自动 修复方法， 其特征在于， 在 所述步骤S 3中， 启动所述引导加载程序BootLoader， 以完成对 所述第一分区/所述第二分区 中的内核 文件的调用， 具体包括： 初始化用于运行 所述C代码的硬件设备； 检测文件系统的内存映射关系； 读取所述第一分区/所述第二分区中的内核 文件到RAM中； 为读取到的内核 文件设置启动参数， 以完成对所述读取到的内核 文件的调用。 6.根据权利要求5所述的一种网络设备内核可信度量与自动 修复方法， 其特征在于， 在 所述步骤S3中， 读取 所述第一分区/所述第二分区中的内核 文件到所述RAM中， 具体包括： 读取所述第 一分区中的经加密和签名的内核文件数据包， 从中提取出经加密的内核文 件以及生成的签名， 分别作为经加密的第一内核文件和生成的第一签名， 利用所述生成的 第一签名对所述经加密的第一内核 文件进行验签； 其中： （1） 当所述验签通过时， 从所述第一分区的内核文件数据包中进一步提取出所述公钥， 并利用所述公钥和所述加密算法对通过验签的第一内核 文件进行解密； 其中： （1‑1） 在解密成功的情况 下， 读取所述第一分区的内核 文件到所述RAM中； （1‑2） 在解密不成功的情况下， 读取所述第二分区中的经加密和签名的内核文件数据权　利　要　求　书 1/2 页 2 CN 115357908 B 2包， 并将所述第一分区中的经加密和签名的内核 文件数据包添加失败标志； （2） 当所述验签不通过时， 读取所述第二分区中的经加密和签名的内核文件数据包， 并 将所述第一分区中的经加密和签名的内核 文件数据包添加失败标志。 7.根据权利要求6所述的一种网络设备内核可信度量与自动 修复方法， 其特征在于， 在 （1‑2） 所述解密不 成功的情况下或者在 （2） 所述验签不通过时， 读取所述第二分区中的经加 密和签名的内核文件数据包， 从中提取出经加密的内核文件以及生成的签名， 分别作为经 加密的第二内核文件和生成的第二签名， 利用所述生成的第二签名对所述经加密的第二内 核文件进行验签； 其中： （3） 对所述经加密的第二内核文件的验签通过时， 从所述第二分区的内核文件数据包 中进一步提取出所述 公钥， 并利用所述 公钥和所述加密算法对通过验签的第二内核文件进 行解密； 其中： （3‑1） 在解密成功的情况 下， 读取所述第二分区的内核 文件到所述RAM中； （3‑2） 在解密不成功的情况下， 将所述第二分区中的经加密和签名的内核文件数据包 添加失败标志， 并提 示内核文件度量失败； （4） 对所述经加密的第二内核文件的验签不通过时， 将所述第二分区中的经加密和签 名的内核 文件数据包添加失败标志， 并提 示内核文件度量失败。 8.根据权利要求7所述的一种网络设备内核可信度量与自动 修复方法， 其特征在于， 在 所述步骤S4中， 运行内核文件挂载程序并启动文件系统， 进一步设置处理函数， 随后进入挂 载阶段； 具体包括： 挂载所述第 一分区， 判断所述第 一分区中是否存在所述失败标志； 若否， 则对已经读取 到所述RAM的所述第一分区的内核 文件启动挂载初始化进程； 若是， 则挂载 所述第二分区。 9.根据权利要求8所述的一种网络设备内核可信度量与自动 修复方法， 其特征在于， 在 挂载所述第二分区后， 判断所述第二分区中是否存在所述 失败标志； 若否， 则对已经读取到 所述RAM的所述第二分区的内核 文件启动挂载初始化进程； 若是， 则挂载任务失败。 10.根据权利要求9所述的一种网络设备内核可信度量与自动修复方法， 其特征在于， 在对已经读取到所述RAM的所述第二分区的内核文件启动挂载初始化进程后， 将所述第二 分区的内核文件备份到所述第一分区， 并删除所述第一分区中原有的内核文件， 并删除所 述第一分区的失败标志。权　利　要　求　书 2/2 页 3 CN 115357908 B 3