[发明专利]一种无物理可信根的OS信任链构建方法与系统有效
| 申请号: | 201910402833.3 | 申请日: | 2019-05-15 |
| 公开(公告)号: | CN110109710B | 公开(公告)日: | 2020-05-08 |
| 发明(设计)人: | 吴保锡 | 申请(专利权)人: | 苏州浪潮智能科技有限公司 |
| 主分类号: | G06F9/4401 | 分类号: | G06F9/4401;G06F9/445 |
| 代理公司: | 济南诚智商标专利事务所有限公司 37105 | 代理人: | 朱晓熹 |
| 地址: | 215100 江苏省苏州市吴*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种无物理可信根的OS信任链构建方法与系统,以软件的方式构建从OS引导程序获得CPU信任链的时刻起构建OS引导及启动过程的信任链,不依赖于物理可信根,从而确保OS安全机制启用前的程序数据的安全性。通过基于计算设备主板安全机制检测引导程序,保证了引导加载OS内核的引导程序的安全性;通过软件方式在硬盘中开辟OS系统应用不可见空间,用来存储可信验证策略;通过软件模拟的虚拟可信根,为业务节点提供可信根服务。解决了现有技术中数据中心实现可信计算需要更新计算设备所带来的成本巨大以及风险大的问题,实现不依赖物理可信根即可构建信任链,以软件的方式实现可信计算,降低成本以及风险。 | ||
| 搜索关键词: | 一种 物理 可信 os 信任 构建 方法 系统 | ||
【主权项】:
1.一种无物理可信根的OS信任链构建方法,其特征在于,所述方法包括以下步骤:S1、MBR从UEFI中获取到CPU的控制权,加载Boot.img,并将控制权转交给Boot.img;S2、Boot.img度量并检测MBR完整性,确认MBR可信后,继续加载并度量core.img及核心模块,并验证其完整性,并将度量结果存储到磁盘安全存储区域,确认core.img可信后将CPU控制权转交给core.img;S3、core.img根据配置文件需要继续度量并加载其他grub2的模块,并验证其完整性;S4、加载OS内核根文件系统,并度量其完整性,存储度量结果到磁盘安全存储区域,验证OS内核根文件系统完整性,确保OS内核根文件系统可信后,执行boot指令,将CPU控制权转交给OS内核;S5、OS内核获取CPU控制权后,对所加载程序文件进行度量并记录度量日志到物理内存,确保OS安全程序安全启用;S6、OS安全程序启用后,启动TPM模拟器与可信基础软件。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏州浪潮智能科技有限公司,未经苏州浪潮智能科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910402833.3/,转载请声明来源钻瓜专利网。
