CN108804927B - 基于国产自主双系统架构的可信计算机平台 - Google Patents
基于国产自主双系统架构的可信计算机平台 Download PDFInfo
- Publication number
- CN108804927B CN108804927B CN201810623880.6A CN201810623880A CN108804927B CN 108804927 B CN108804927 B CN 108804927B CN 201810623880 A CN201810623880 A CN 201810623880A CN 108804927 B CN108804927 B CN 108804927B
- Authority
- CN
- China
- Prior art keywords
- software
- control system
- terminal
- management center
- safety control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Abstract
本发明公开了一种基于国产自主双系统架构的可信计算机平台,包括配置管理中心和终端,终端含有通用计算机系统,在终端内部构造一个小型化的负责监控的操作系统作为安全控制系统,安全控制系统负责监控通用计算机系统运行情况,并上报配制管理中心;配制管理中心和终端通过底层定制的通信协议进行通信,终端内部两个操作系统通过共享硬件的方式进行通信。本发明是一种基于可信计算基理论,完全国产自主化可信计算机平台的实现方案,主要结构设计从底层、BIOS、内核及驱动、操作系统、上层应用软件完全可控,通过内部构建的双系统层层的约束监控,来打造可信计算机平台。
Description
技术领域:
本发明属于可信计算机平台技术领域,具体涉及一种基于国产自主双系统架构的可信计算机平台。
背景技术:
当前可信计算机呼吁声日益高涨,信息安全更加重要,基于TPM的可信计算机已经成为业内标准,但是这种单机模式的可信平台,还不足以满足应用需求,各行业各单位也在探索适合本行业本单位的可信计算机平台,其中云平台可信计算机最为活跃。本发明也是基于云平台的理念,同时依托成熟的集中式管理和分布式管理的架构,重点突出在终端上的一种双系统依赖监控的安全可靠的架构方案。
现有的缺点:
1.现有可信计算机大多是基于TPM可信计算模块构造的单机。
2.现有可信计算机在一套操作系统内部,实现可信验证。
3.现有可信计算机硬件部分,大多数还依赖于国外处理器、操作系统、BIOS、内核、数据库等或者部分依赖。
4.现有可信计算机可信验证还停留在静态阶段。
发明内容:
本发明提供了一种完全国产自主化的可信计算机平台架构,主要结构设计从底层、BIOS、内核及驱动、操作系统、上层应用软件完全可控,通过内部构建的双系统层层的约束监控,来打造可信计算机平台。旨在构造一个具有多级管理能力的可信计算机平台(或者可信计算机集群),适用于需要集中管控的机构、单位、集体。
所采用的技术方案:一种基于国产自主双系统架构的可信计算机平台,包括配置管理中心和终端,终端含有通用计算机系统(称为计算系统),在终端内部构造一个小型化的负责监控的操作系统作为安全控制系统,安全控制系统负责监控通用计算机系统运行情况,并上报配制管理中心;配制管理中心和终端通过底层定制的通信协议进行通信,终端内部两个操作系统通过共享硬件的方式进行通信。
终端初装流程:
1)配制管理中心初始化一个安装介质,内部包含安全控制系统镜像、计算系统镜像、密码资源、安全策略、软件、软件hash值、软件运行轨迹拓扑。
2)一个终端计算机硬件就位后,安装介质插上,CPU运行介质中的安全控制系统镜像。安装安全控制系统时,首先解压镜像到nand flash上,然后开始hash待安装的每一部分,对比镜像中已有的结果值,判断是否一致,保证每一部分完整后,开始安装安全控制系统。安全控制系统安装完成后,把内核、Bootloader、软件等完整性特征值写入密码芯片,然后开始安装计算操作系统。安装计算系统的过程和安全控制系统的方式相同。
3)操作系统安装完成后,从安装介质中读取各类策略、配置数据、软件资源,初始化安全控制操作系统和计算操作系统,建立安全控制系统和计算系统之间的监控关系。
4)终端第一次启动后,需要插入一个管理员key并注册管理员,便于以后使用过程中强身份认证。同时可以配置和查看安控系统的各类资源和信息,例如配置安控系统的主机IP、修改主机时间等。从第二次启动开始,如果检测到管理员key插入,将进入安全控制操作系统,否则进入计算系统。
可信引导是安全控制系统所有安全机制的基础,主要基于”逐级度量、信任传递”的可信思想,以安全密码芯片为可信根,从加电开始,按照引导顺序,逐层对BIOS、内核、软件、以及计算系统的启动程序及过程进行度量,不断扩大信任关系,最终完成整个平台的可信引导。
可信引导过程:
1)加电后,安全密码芯片完成自身初始化。
2)安全密码芯片利用SPI接口将启动ROM内容下载到安全控制系统CPU指令Cache中,并唤醒安全控制系统CPU。
3)启动ROM代码执行,完成存储控制器初始化,并建立安全控制系统CPU和安全密码芯片间的PCI-E通道。
4)安全控制系统CPU利用PCI-E从安控密码芯片加载BIOS到并执行BIOS。
5)BIOS在完成平台硬件初始化后,从安装flash中加载、度量并执行安全控制系统内核,操作系统等,建立安全控制系统软件运行环境。
6)安全控制系统加载完成后,开始检测计算系统的ROM、BIOS、内核等的完整性,唤醒计算CPU,启动计算操作系统。
软件包完整性检测与动态运行轨迹监控过程:
1)一个软件包打包并检验合格后,必须在配置管理中心软件管理里面发布,软件包包含软件、完整性特征值和运行轨迹拓扑。
2)终端安全控制系统从中心下载软件包进行安装或者在线更新,软件包安装过程中,通过特定算法计算出包内软件的完整性特征值,再对比包内记录的完整性特征值,是否匹配,匹配可以安装,否则禁止安装。
软件运行后,软件动态监控服务,动态监控某个软件的运行轨迹,是否符合该软件的运行轨迹拓扑,如果不符合,禁止该软件运行或者进行告警。
本发明的有益效果:
本发明是一种基于可信计算基理论,完全国产自主化可信计算机平台的实现方案,主要结构设计从底层、BIOS、内核及驱动、操作系统、上层应用软件完全可控,通过内部构建的双系统层层的约束监控,来打造可信计算机平台。
本发明通过配管管理中心和终端来打造可信计算机平台,配置管理中心负责终端所有软件类工具制定、发布、密码,以及终端外设、网络、运行情况等多种因素的监控;终端内部构造一个小型化的负责监控的操作系统(称为安全控制系统),一个通用的计算机系统(称为计算系统),安全控制系统负责监控通用计算机系统运行情况,并上报配制管理中心。配制管理中心和终端通过底层定制的通信协议进行通信,终端内部两个操作系统通过共享硬件的方式进行通信。
本发明为定制化的硬件,适合双系统并存;双系统可信引导;双系统并存、监控、通信。可信计算机平台不再是单机模式,是集中式管理下的单机,更适合集中式管控部署的任何机构,安全策略可以随时下发,使用上灵活多变。
本发明集中式管理之下的可信计算机平台,监控更加严格,安全性更高。单机内双系统并存管控,安全控制系统相当于一个黑匣子,用户一般只使用通用计算机系统,不接触到(只有管理员进行管理),可信度更高。
附图说明
图1是本发明可信计算机平台总体架构图。
具体实施方式
本实施例通过配管管理中心和终端来打造可信计算机平台,配置管理中心负责终端所有软件类工具制定、发布、密码,以及终端外设、网络、运行情况等多种因素的监控;终端内部构造一个小型化的负责监控的操作系统(称为安全控制系统),一个通用的计算机系统(称为计算系统),安全控制系统负责监控计算系统运行情况,并上报配制管理中心。配制管理中心和终端通过底层定制的通信协议进行通信,终端内部两个操作系统通过共享硬件的方式进行通信。
一、终端初装流程为:
1.配制管理中心初始化一个安装介质,内部包含安全控制系统镜像、计算系统镜像、密码资源、安全策略、软件、软件hash值、软件运行轨迹拓扑。
2.一个终端计算机硬件就位后,安装介质插上,CPU运行介质中的安全控制系统镜像。安装安全控制系统时,首先解压镜像到nand flash上,然后开始hash待安装的每一部分,对比镜像中已有的结果值,判断是否一致,保证每一部分完整后,开始安装安全控制系统。安全控制系统安装完成后,把内核、Bootloader、软件等完整性特征值写入密码芯片,然后开始安装计算操作系统。安装计算系统的过程和安全控制系统类似。
3.操作系统安装完成后,从安装介质中读取各类策略、配置数据、软件资源,初始化安全控制操作系统和计算操作系统,建立安全控制系统和计算系统之间的监控关系。
4.终端第一次启动后,需要插入一个管理员key并注册管理员,便于以后使用过程中强身份认证。同时可以配置和查看安控系统的各类资源和信息,例如配置安控系统的主机IP、修改主机时间等。从第二次启动开始,如果检测到管理员key插入,将进入安全控制操作系统,否则进入计算系统。
可信引导是安全控制系统所有安全机制的基础,主要基于”逐级度量、信任传递”的可信思想,以安全密码芯片为可信根,从加电开始,按照引导顺序,逐层对BIOS、内核、软件、以及计算系统的启动程序及过程进行度量,不断扩大信任关系,最终完成整个平台的可信引导。
二、可信引导过程。
1.加电后,安全密码芯片完成自身初始化;
2.安全密码芯片利用SPI接口将启动ROM内容下载到安全控制系统CPU指令Cache中,并唤醒安全控制系统CPU;
3.启动ROM代码执行,完成存储控制器初始化,并建立安全控制系统CPU和安全密码芯片间的PCI-E通道;
4.安全控制系统CPU利用PCI-E从安控密码芯片加载BIOS到并执行BIOS;
5.BIOS在完成平台硬件初始化后,从安装flash中加载、度量并执行安全控制系统内核,操作系统等,建立安全控制系统软件运行环境;
6.安全控制系统加载完成后,开始检测计算系统的ROM、BIOS、内核等的完整性,唤醒计算CPU,启动计算操作系统;
三、 软件包完整性检测与动态运行轨迹监控过程。
1.一个软件包打包并检验合格后,必须在配置管理中心软件管理里面发布,软件包包含软件、完整性特征值和运行轨迹拓扑。
2.终端安全控制系统从中心下载软件包进行安装或者在线更新,软件包安装过程中,通过特定算法计算出包内软件的完整性特征值,再对比包内记录的完整性特征值,是否匹配,匹配可以安装,否则禁止安装。
3.软件运行后,软件动态监控服务,动态监控某个软件的运行轨迹,是否符合该软件的运行轨迹拓扑,如果不符合,禁止该软件运行或者进行告警。
四、终端类似于常用的计算机,可以放置在办公的任何地方,配置管理中心一般放置在监控中心机房。配置管理中心支持多级配管,当前最多支持三级配管体系。网络拓扑有如下特点:
1.级配置管理中心总体是集群式的。
2.级配置管理中心总体上是分布式的,每个中心又是集群式的。
3.级配置管理中心和2级相同。
4.终端是分布式的。
Claims (3)
1.一种基于国产自主双系统架构的可信计算机平台,包括配置管理中心和终端,终端含有通用计算机系统,其特征在于,在终端内部构造一个小型化的负责监控的操作系统作为安全控制系统,安全控制系统负责监控通用计算机系统运行情况,并上报配制管理中心;配制管理中心和终端通过底层定制的通信协议进行通信,终端内部两个操作系统通过共享硬件的方式进行通信;终端初装流程:
(1)配制管理中心初始化一个安装介质,内部包含安全控制系统镜像、计算系统镜像、密码资源、安全策略、软件、软件hash值、软件运行轨迹拓扑;
(2)一个终端计算机硬件就位后,安装介质插上,CPU运行介质中的安全控制系统镜像;安装安全控制系统时,首先解压镜像到nand flash上,然后开始hash待安装的每一部分,对比镜像中已有的结果值,判断是否一致,保证每一部分完整后,开始安装安全控制系统;安全控制系统安装完成后,把内核、Bootloader、软件完整性特征值写入密码芯片,然后开始安装计算操作系统;安装计算系统的过程和安全控制系统的方式相同;
(3)操作系统安装完成后,从安装介质中读取各类策略、配置数据、软件资源,初始化安全控制操作系统和计算操作系统,建立安全控制系统和计算系统之间的监控关系;
(4)终端第一次启动后,需要插入一个管理员key并注册管理员,便于以后使用过程中强身份认证;同时配置和查看安控系统的各类资源和信息;从第二次启动开始,如果检测到管理员key插入,将进入安全控制操作系统,否则进入计算系统。
2.根据权利要求1所示的基于国产自主双系统架构的可信计算机平台,其特征在于,还包括可信引导过程:
(1)加电后,安全密码芯片完成自身初始化;
(2)安全密码芯片利用SPI接口将启动ROM内容下载到安全控制系统CPU指令Cache中,并唤醒安全控制系统CPU;
(3)启动ROM代码执行,完成存储控制器初始化,并建立安全控制系统CPU和安全密码芯片间的PCI-E通道;
(4)安全控制系统CPU利用PCI-E从安全密码芯片加载BIOS并执行BIOS;
(5)BIOS在完成平台硬件初始化后,从安装flash中加载、度量并执行安全控制系统内核的操作系统,建立安全控制系统软件运行环境;
(6)安全控制系统加载完成后,开始检测计算系统的ROM、BIOS和内核的完整性,唤醒计算CPU,启动计算操作系统。
3.根据权利要求1所示的基于国产自主双系统架构的可信计算机平台,其特征在于,还包括软件包完整性检测与动态运行轨迹监控过程:
(1)一个软件包打包并检验合格后,必须在配置管理中心软件管理里面发布,软件包包含软件、完整性特征值和运行轨迹拓扑;
(2)终端安全控制系统从中心下载软件包进行安装或者在线更新,软件包安装过程中,通过特定算法计算出包内软件的完整性特征值,再对比包内记录的完整性特征值,是否匹配,匹配可以安装,否则禁止安装;
(3)软件运行后,软件动态监控服务动态监控某个软件的运行轨迹,是否符合该软件的运行轨迹拓扑,如果不符合,禁止该软件运行或者进行告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810623880.6A CN108804927B (zh) | 2018-06-15 | 2018-06-15 | 基于国产自主双系统架构的可信计算机平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810623880.6A CN108804927B (zh) | 2018-06-15 | 2018-06-15 | 基于国产自主双系统架构的可信计算机平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108804927A CN108804927A (zh) | 2018-11-13 |
| CN108804927B true CN108804927B (zh) | 2021-08-10 |
Family
ID=64086662
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810623880.6A Active CN108804927B (zh) | 2018-06-15 | 2018-06-15 | 基于国产自主双系统架构的可信计算机平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108804927B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109871694B (zh) * | 2019-03-14 | 2019-11-08 | 沈昌祥 | 一种基于双体系结构可信计算平台的静态度量方法 |
| CN110175457B (zh) * | 2019-04-08 | 2021-07-30 | 全球能源互联网研究院有限公司 | 一种双体系结构可信操作系统及方法 |
| CN110110526B (zh) * | 2019-05-08 | 2020-11-06 | 郑州信大捷安信息技术股份有限公司 | 一种基于安全芯片的安全启动装置及方法 |
| CN110334512B (zh) * | 2019-07-08 | 2021-07-27 | 北京可信华泰信息技术有限公司 | 基于双体系架构的可信计算平台的静态度量方法和装置 |
| CN111814138B (zh) * | 2020-06-30 | 2023-05-02 | 郑州信大先进技术研究院 | 一种基于云平台的软件安全管理系统 |
| CN114168203B (zh) * | 2020-09-10 | 2024-02-13 | 成都鼎桥通信技术有限公司 | 双系统运行状态控制方法、装置和电子设备 |
| CN112511618B (zh) * | 2020-11-25 | 2023-03-24 | 全球能源互联网研究院有限公司 | 边缘物联代理防护方法及电力物联网动态安全可信系统 |
| CN112464182A (zh) * | 2020-12-09 | 2021-03-09 | 北京元心科技有限公司 | 一种移动设备管理的安全管控方法、装置、介质和设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1849587A (zh) * | 2003-07-30 | 2006-10-18 | 扎鲁纳股份有限公司 | 共享处理器和网络接口的多个操作系统 |
| CN1896903A (zh) * | 2005-07-15 | 2007-01-17 | 联想(北京)有限公司 | 支持可信计算的虚拟机系统及在其上实现可信计算的方法 |
| CN101052949A (zh) * | 2004-08-18 | 2007-10-10 | 扎鲁纳股份有限公司 | 操作系统 |
| CN102148841A (zh) * | 2010-02-05 | 2011-08-10 | 中国长城计算机深圳股份有限公司 | 一种远程监控多操作系统的方法 |
| CN102332070A (zh) * | 2011-09-30 | 2012-01-25 | 中国人民解放军海军计算技术研究所 | 一种可信计算平台的信任链传递方法 |
| CN103646214A (zh) * | 2013-12-18 | 2014-03-19 | 国家电网公司 | 一种在配电终端中建立可信环境的方法 |
| CN104484625A (zh) * | 2014-12-29 | 2015-04-01 | 北京明朝万达科技有限公司 | 一种具有双操作系统的计算机及其实现方法 |
| CN104598841A (zh) * | 2014-12-29 | 2015-05-06 | 东软集团股份有限公司 | 一种面向终端安全的双系统引导方法和装置 |
| CN106372487A (zh) * | 2016-08-30 | 2017-02-01 | 孙鸿鹏 | 一种服务器操作系统可信增强方法及系统 |
| CN107506663A (zh) * | 2017-08-02 | 2017-12-22 | 中电科技(北京)有限公司 | 基于可信bmc的服务器安全启动方法 |
| CN107622204A (zh) * | 2017-09-26 | 2018-01-23 | 北京计算机技术及应用研究所 | 一种基于国产操作系统的国产平板双系统存储与启动方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI625622B (zh) * | 2013-10-31 | 2018-06-01 | 聯想企業解決方案(新加坡)有限公司 | 在多核心處理器系統與運作多核心處理器系統的電腦實施方法 |
-
2018
- 2018-06-15 CN CN201810623880.6A patent/CN108804927B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1849587A (zh) * | 2003-07-30 | 2006-10-18 | 扎鲁纳股份有限公司 | 共享处理器和网络接口的多个操作系统 |
| CN101052949A (zh) * | 2004-08-18 | 2007-10-10 | 扎鲁纳股份有限公司 | 操作系统 |
| CN1896903A (zh) * | 2005-07-15 | 2007-01-17 | 联想(北京)有限公司 | 支持可信计算的虚拟机系统及在其上实现可信计算的方法 |
| CN102148841A (zh) * | 2010-02-05 | 2011-08-10 | 中国长城计算机深圳股份有限公司 | 一种远程监控多操作系统的方法 |
| CN102332070A (zh) * | 2011-09-30 | 2012-01-25 | 中国人民解放军海军计算技术研究所 | 一种可信计算平台的信任链传递方法 |
| CN103646214A (zh) * | 2013-12-18 | 2014-03-19 | 国家电网公司 | 一种在配电终端中建立可信环境的方法 |
| CN104484625A (zh) * | 2014-12-29 | 2015-04-01 | 北京明朝万达科技有限公司 | 一种具有双操作系统的计算机及其实现方法 |
| CN104598841A (zh) * | 2014-12-29 | 2015-05-06 | 东软集团股份有限公司 | 一种面向终端安全的双系统引导方法和装置 |
| CN106372487A (zh) * | 2016-08-30 | 2017-02-01 | 孙鸿鹏 | 一种服务器操作系统可信增强方法及系统 |
| CN107506663A (zh) * | 2017-08-02 | 2017-12-22 | 中电科技(北京)有限公司 | 基于可信bmc的服务器安全启动方法 |
| CN107622204A (zh) * | 2017-09-26 | 2018-01-23 | 北京计算机技术及应用研究所 | 一种基于国产操作系统的国产平板双系统存储与启动方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《双操作系统移动智能终端安全分析》;姚一楠等;《移动通信》;20171231;第2017年卷(第21期);第16-20页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108804927A (zh) | 2018-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108804927B (zh) | 基于国产自主双系统架构的可信计算机平台 | |
| CN107025406B (zh) | 母板、计算机可读存储装置以及固件验证方法 | |
| US9886580B2 (en) | Method for optimizing boot time of an information handling system | |
| US9785596B2 (en) | Redundant system boot code in a secondary non-volatile memory | |
| US10754955B2 (en) | Authenticating a boot path update | |
| US8965749B2 (en) | Demand based USB proxy for data stores in service processor complex | |
| CN101515316B (zh) | 一种可信计算终端及可信计算方法 | |
| US7873846B2 (en) | Enabling a heterogeneous blade environment | |
| US10462664B2 (en) | System and method for control of baseboard management controller ports | |
| US20150220411A1 (en) | System and method for operating system agnostic hardware validation | |
| US10459742B2 (en) | System and method for operating system initiated firmware update via UEFI applications | |
| US20190138730A1 (en) | System and Method to Support Boot Guard for Original Development Manufacturer BIOS Development | |
| US20170300692A1 (en) | Hardware Hardened Advanced Threat Protection | |
| US20220262223A1 (en) | Information handling system with consolidated external user presence detection | |
| US10146952B2 (en) | Systems and methods for dynamic root of trust measurement in management controller domain | |
| US20200342109A1 (en) | Baseboard management controller to convey data | |
| US20240028729A1 (en) | Bmc ras offload driver update via a bios update release | |
| US20180341496A1 (en) | Dynamic Microsystem Reconfiguration With Collaborative Verification | |
| US10853085B2 (en) | Adjustable performance boot system | |
| US11231940B2 (en) | System and method for automatic recovery of information handling systems | |
| US11977638B2 (en) | Low-impact firmware update | |
| WO2019152032A1 (en) | Changing power states | |
| US20240134971A1 (en) | Method and system for computational storage attack reduction | |
| EP4357951A1 (en) | Method and system for computational storage attack reduction | |
| CN111258805B (zh) | 一种服务器的硬盘状态监控方法、设备和计算机设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Guo Ruidong Inventor after: Chen Guang Inventor after: Zhang Gang Inventor after: Lou Yuansong Inventor after: Liu Daqiang Inventor after: To Anhui and Anhui Inventor before: Guo Ruidong Inventor before: Chen Guang Inventor before: Zhang Gang |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |