[发明专利]一种基于USBkey的可信操作系统

说明书

本发明提供一种基于USBkey的可信操作系统，在UKey和主机通过USB接口连接后，主机端的驱动层通过实模式UKey驱动在系统引导阶段运行，并通过系统BIOS引导程序利用USB装置的主机控制器进而激励USB装置；主机端的功能实现层位于驱动层后端，包括启动认证组件，可信引导组件和安装维护功能组件，实现UKey的认证过程并引导控制权转移到主机端；然后主机端在用户接口层提供了可信支撑模块，面向用户的使用接口，包括管理接口和可信功能调用接口两大部分。可信启动机制是为了解决操作系统自身的完整性问题而提出的，其目标是确保系统启动后不被篡改的操作系统，它是操作系统得以可靠运行的前提。

技术领域

本发明涉及安全加密操作系统领域，尤其涉及一种基于USBkey的可信操作系统。

背景技术

可信操作系统可以针对不同的应用场合提供不同的安全解决方案，并确保系统中的用户的操作动作和过程在任意操作条件下是可预测的，同时需要保证客体内容的安全可靠，以及自身完整性的操作系统。

在传统的操作系统相关安全准则中，也根据操作者的不同角色授权(例如超级管理员、普通管理员、一般用户等)分配相应的的调用系统服务的权限。在TCSEC中提供了的可信概念默认只要是系统的超级管理员就是无条件可信的。与传统的安全操作系统相比，可信操作系统制定了如下规定规定1.主体行为的可信性；可信操作操作系统一定要确保用户身份、主体行为的可信性。

2.客体内容的完整性、保密性和可信性；保证信息读写、通信等操作行为的可信，确保服务及应用程序的安全有效，保证了客体内容的可信。

可是普通的可信操作系统方案，存在移植困难，平台通用难，易于攻破等特点。

发明内容

本发明提供了一种基于USBkey的可信操作系统，解决了以下问题：

1.常用的TPM存在启动困难问题，如何使用USBKey在启动层方面做到提高使用的可能性和系统的稳定性；

2.融合USBKey技术，便于在各个操作系统平台之间移植使用；

3.基于USBKey的信任根问题。

其技术方案如下所述：

一种基于USBkey的可信操作系统，在UKey和主机通过USB接口连接后，主机端的驱动层通过实模式UKey驱动在系统引导阶段运行，并通过系统BIOS引导程序利用USB装置的主机控制器进而激励USB装置；

主机端的功能实现层位于驱动层后端，包括启动认证组件，可信引导组件和安装维护功能组件，实现UKey的认证过程并引导控制权转移到主机端；

然后主机端在用户接口层提供了可信支撑模块，面向用户的使用接口，包括管理接口和可信功能调用接口两大部分。

所述启动认证组件包括实模式UKey驱动、UKey操作程序接口、启动认证实现三部分，所述启动认证实现通过UKey执行调用程序，在引导过程开始阶段，对置入的便携式UKey硬件设备进行验证操作并同时验证操作者输入的PIN码，只有对应的UKey设备和准确的PIN码才能通过验证，进入下面的操作流程。

在启动认证实现流程中，可信引导部分需要在位于主引导文件信息加载组件中的预定点执行启动认证代码，所述可信引导部分的流程由三个进程组成：进程Ⅰ的程序数据在主引导记录MBR中存储，进程Ⅱ的程序数据存储在紧邻进程Ⅰ后的扇区中，进程Ⅰ和进程Ⅱ都保存为磁盘扇区，进程Ⅲ则以文件的格式置于文件系统中。

所述进程Ⅰ引导程序是一个汇编格式文件Process1.S，用来读取进程Ⅱ，包括下列步骤：

1)初始化启动系统；

2)检查所装载驱动器的尺寸以及访问模式；

3)装载进程Ⅱ的首扇区；