CN116415313A - 一种安全一体机、安全一体机的保护方法及装置 - Google Patents
一种安全一体机、安全一体机的保护方法及装置 Download PDFInfo
- Publication number
- CN116415313A CN116415313A CN202310196817.XA CN202310196817A CN116415313A CN 116415313 A CN116415313 A CN 116415313A CN 202310196817 A CN202310196817 A CN 202310196817A CN 116415313 A CN116415313 A CN 116415313A
- Authority
- CN
- China
- Prior art keywords
- image file
- ciphertext
- hash value
- operating system
- processing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 110
- 238000012545 processing Methods 0.000 claims abstract description 270
- 238000012795 verification Methods 0.000 claims description 55
- 239000003999 initiator Substances 0.000 claims description 28
- 238000004364 calculation method Methods 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 7
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 3
- 230000008569 process Effects 0.000 description 12
- 230000001133 acceleration Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 238000009795 derivation Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000009417 prefabrication Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请的实施例公开了一种安全一体机、安全一体机的保护方法及装置,涉及计算机安全技术领域,为能够提高安全一体机数据的安全性而发明。所述安全一体机包括:中央处理器、安全处理器和磁盘;中央处理器分别与所述安全处理器和所述磁盘相连;所述中央处理器,用于接收预制镜像文件,并将所述预制镜像文件发送给安全处理器;所述安全处理器,用于利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文,将所述镜像文件密文发送给所述中央处理器,计算并保存所述镜像文件密文的哈希值;所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成;所述中央处理器,还用于将所述镜像文件密文写入所述磁盘。本申请适用于运行业务系统。
Description
技术领域
本申请涉及计算机安全技术领域,尤其涉及一种安全一体机、安全一体机的保护方法、装置及可读存储介质。
背景技术
随着大数据技术的发展,数据隐私以及安全已经成为企业和个人的重要问题,各国都在加强对数据安全和隐私的保护。数据安全是技术门槛很高行业,涉及硬件和软件等各个方面,中小企业在数据安全方面的需要更多的时间和成本投入。
安全一体机深度整合相关的硬件安全和软件安全技术,提供即开即用和隐私安全保护的数据服务,为客户数据提供强有力的安全保障。目前的安全一体机包括CPU芯片、磁盘、密码加速卡和防拆卸装置,其中,防拆卸装置依赖于高电压破坏或擦除磁盘数据,如果攻击者使得该装置的某些电子元器件失效,或对安全一体机内的备用电源充分放电,使其高电压擦除数据功能无效,安全一体机的数据安全性较低,此外,密码加速卡提供密码计算(比如,加密、解密,密钥派生),密码加速卡通过镜像文件的hash比较来判断文件的合法性,但是存在攻击窗口如在密码加速卡计算磁盘镜像文件的hash值后,立即替换磁盘中当前的镜像文件,那么接下来将会启动一个非法的镜像文件,导致安全一体机数据的安全性较低。
发明内容
有鉴于此,本申请实施例提供一种安全一体机、安全一体机的保护方法、装置及可读存储介质,能够提高安全一体机数据的安全性。
第一方面,本申请实施例提供一种安全一体机,包括:中央处理器、安全处理器和磁盘;所述中央处理器分别与所述安全处理器和所述磁盘相连;所述中央处理器,用于接收预制镜像文件,并将所述预制镜像文件发送给安全处理器;所述安全处理器,用于利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文,将所述镜像文件密文发送给所述中央处理器,计算并保存所述镜像文件密文的哈希值;所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成;所述中央处理器,还用于将所述镜像文件密文写入所述磁盘。
根据本申请实施例的一种具体实现方式,所述中央处理器从软件发布方接收的所述预制镜像文件为预制镜像文件密文;所述安全处理器,在利用第一密钥对所述预制镜像文件进行加密之前,还用于利用第二密钥对所述预制镜像文件密文进行解密,得到预制镜像文件明文;其中,所述第二密钥为所述安全处理器与软件发布方通过密钥协商获得;所述利用第一密钥对所述预制镜像文件进行加密,具体为利用第一密钥对所述预制镜像文件明文进行加密。
根据本申请实施例的一种具体实现方式,所述中央处理器从软件发布方接收的所述预制镜像文件为预制镜像文件密文;所述安全处理器,在利用第一密钥对所述预制镜像文件进行加密之前,还用于对所述预制镜像文件密文进行完整性验证,完整性验证通过后,利用第二密钥对所述预制镜像文件密文进行解密,得到预制镜像文件明文;其中,所述第二密钥为所述安全处理器与软件发布方通过密钥协商获得;所述利用第一密钥对所述预制镜像文件进行加密,具体为利用第一密钥对所述预制镜像文件明文进行加密。
根据本申请实施例的一种具体实现方式,所述预制镜像文件包括虚拟机启动引导镜像文件;所述安全处理器,具体用于利用第一密钥对所述虚拟机启动引导镜像文件进行加密,得到虚拟机启动引导镜像文件密文,将所述虚拟机启动引导镜像文件密文发送给所述中央处理器,计算并保存所述虚拟机启动引导镜像文件密文的哈希值。
根据本申请实施例的一种具体实现方式,所述预制镜像文件包括操作系统镜像文件;所述安全处理器,具体用于利用第一密钥对所述操作系统镜像文件进行加密,得到操作系统镜像文件密文,将所述操作系统镜像文件密文发送给所述中央处理器,计算并保存所述操作系统镜像文件密文的哈希值。
第二方面,本申请实施例提供安全一体机,包括:中央处理器、安全处理器和磁盘;所述中央处理器分别与所述安全处理器和所述磁盘相连;所述安全处理器,用于计算所述磁盘中镜像文件密文的哈希值,并与预先保存的所述镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;所述中央处理器,用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文,并运行所述镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成。
根据本申请实施例的一种具体实现方式,所述镜像文件密文包括虚拟机启动引导镜像文件密文;所述中央处理器,还用于将所述磁盘中的虚拟机启动引导镜像文件密文写入内存;所述安全处理器,具体用于计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
根据本申请实施例的一种具体实现方式,所述镜像文件密文还包括操作系统镜像文件密文;所述中央处理器,具体用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述虚拟机启动引导镜像文件密文进行解密,得到虚拟机启动引导镜像文件明文,并运行所述虚拟机启动引导镜像文件明文,以启动虚拟机,所述虚拟机读取操作系统镜像文件密文,并将所述操作系统镜像文件密文发送给所述安全处理器;所述安全处理器,具体用于计算所述操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;所述中央处理器,还用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使所述虚拟机加载操作系统。
根据本申请实施例的一种具体实现方式,所述镜像文件密文包括操作系统镜像文件密文;所述安全处理器,具体用于计算内存中的操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
根据本申请实施例的一种具体实现方式,所述中央处理器,还用于接收远程认证请求,并将所述远程认证请求发送给所述安全处理器;所述安全处理器,还用于计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于所述虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将所述认证报告发送给所述中央处理器,以使所述中央处理器将所述认证报告发送给所述远程认证请求的发起方。
第三方面,本申请实施例提供一种安全一体机的保护方法,应用于安全一体机中的安全处理器,所述方法包括:接收中央处理器发送的预制镜像文件;其中,所述预制镜像文件包括操作系统镜像文件和/或虚拟机启动引导镜像文件;利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文;所述第一密钥为所述安全处理器预先利用所述中央处理器内部的CPU标识生成;将所述镜像文件密文发送给所述中央处理器,以使所述中央处理器将所述镜像文件密文写入磁盘。
根据本申请实施例的一种具体实现方式,在接收中央处理器发送的预制镜像文件之后,所述方法还包括:对所述预制镜像文件进行解密,得到镜像文件明文;其中,所述利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文,包括:利用第一密钥对所述镜像文件明文进行加密,得到镜像文件密文。
根据本申请实施例的一种具体实现方式,在对所述预制镜像文件进行解密,得到镜像文件明文之前,所述方法还包括:对所述预制镜像文件进行完整性验证。
根据本申请实施例的一种具体实现方式,在接收中央处理器发送的预制镜像文件之前,所述方法还包括:与所述预制镜像文件的发布方进行密钥协商。
第四方面,本申请实施例提供一种安全一体机的保护方法,应用于安全一体机中的中央处理器,所述方法,包括:响应于安全处理器发送的、已完成完整性验证的完成信号,检查中央处理器禁止启动位是否被置位;其中,所述完整性验证包括所述安全处理器计算所述磁盘中镜像文件密文的哈希值,并与预先保存的所述镜像文件密文的哈希值进行比较,若二者不一致,则对所述中央处理器禁止启动位进行置位;若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成;运行所述镜像文件明文。
根据本申请实施例的一种具体实现方式,所述镜像文件密文包括虚拟机启动引导镜像文件密文;所述方法还包括:将磁盘中的虚拟机启动引导镜像文件密文写入内存,以使安全处理器计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;所述若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文,包括:若未被置位,则利用第一密钥对所述虚拟机启动引导镜像文件密文进行解密,得到所述虚拟机启动引导镜像文件明文;所述运行所述镜像文件明文,包括:运行所述虚拟机启动引导镜像文件明文,以启动虚拟机。
根据本申请实施例的一种具体实现方式,所述镜像文件密文还包括操作系统镜像文件密文;在运行虚拟机之后,所述方法还包括:所述虚拟机发送操作系统镜像文件密文至安全处理器,以使所述安全处理器计算所述操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;检查所述中央处理器禁止启动位是否被置位;若所述中央处理器禁止启动位已被置位,则异常退出;若所述中央处理器禁止启动位未被置位,则利用所述第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使所述虚拟机加载操作系统。
根据本申请实施例的一种具体实现方式,在运行操作系统镜像文件明文之后,所述方法还包括:接收远程认证请求;将所述远程认证请求发送至所述安全处理器,以使所述安全处理器生成认证报告;接收所述安全处理器发送的认证报告,并将所述认证报告发送给所述远程认证请求的发起方。
第五方面,本申请实施例提供一种安全一体机的保护方法,一种安全一体机的保护方法,应用于安全一体机中的安全处理器,所述方法,包括:计算磁盘中镜像文件密文的哈希值;将计算的所述哈希值与预先保存的所述镜像文件密文的哈希值进行比较;若二者不一致,则对中央处理器禁止启动位进行置位,以使中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;并运行所述镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成。
根据本申请实施例的一种具体实现方式,所述镜像文件密文包括虚拟机启动引导镜像文件密文,所述方法还包括:响应于中央处理器从磁盘读取虚拟机启动引导镜像文件密文到内存,计算内存中的所述虚拟机启动引导镜像文件密文的哈希值;所述将计算的所述哈希值与预先保存的所述镜像文件密文的哈希值进行比较,包括:将计算得到的哈希值与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较。
根据本申请实施例的一种具体实现方式,所述镜像文件密文还包括操作系统镜像文件密文,所述方法还包括:响应于虚拟机发送的操作系统镜像文件密文,计算所述操作系统镜像文件密文的哈希值;将计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值进行比较;若二者不一致,则对所述中央处理器禁止启动位进行置位,以使所述中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使虚拟机加载操作系统。
根据本申请实施例的一种具体实现方式,在计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值一致,且在所述虚拟机加载操作系统之后,所述方法还包括:接收所述中央处理器发送的认证请求;计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于所述虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将所述认证报告发送给所述中央处理器,以使所述中央处理器将所述认证报告发送给所述远程认证请求的发起方。
第六方面,本申请实施例提供一种安全一体机的保护装置,应用于安全一体机中的安全处理器,所述装置包括:第一接收模块,用于接收中央处理器发送的预制镜像文件;其中,所述预制镜像文件包括操作系统镜像文件和/或虚拟机启动引导镜像文件;第一加密模块,用于利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文;所述第一密钥为所述安全处理器预先利用所述中央处理器内部的CPU标识生成;第一发送模块,用于将所述镜像文件密文发送给所述中央处理器,以使所述中央处理器将所述镜像文件密文写入磁盘。
根据本申请实施例的一种具体实现方式,所述装置还包括:第一解密模块,用于在所述第一接收模块接收中央处理器发送的预制镜像文件之后,对所述预制镜像文件进行解密,得到镜像文件明文;其中,所述加密模块,包括:加密子模块,用于利用第一密钥对所述镜像文件明文进行加密,得到镜像文件密文。
根据本申请实施例的一种具体实现方式,所述装置具体还用于:在所述第一解密模块对所述预制镜像文件进行解密,得到镜像文件明文之前,对所述预制镜像文件进行完整性验证。
根据本申请实施例的一种具体实现方式,所述装置具体还用于:在所述第一接收模块接收中央处理器发送的预制镜像文件之前与所述预制镜像文件的发布方进行密钥协商。
第七方面,本申请实施例提供一种安全一体机的保护装置,应用于安全一体机中的中央处理器,所述装置,包括:第一检查模块,用于响应于安全处理器发送的、已完成完整性验证的完成信号,检查中央处理器禁止启动位是否被置位;其中,所述完整性验证包括所述安全处理器计算所述磁盘中镜像文件密文的哈希值,并与预先保存的所述镜像文件密文的哈希值进行比较,若二者不一致,则对所述中央处理器禁止启动位进行置位;第二解密模块,用于若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成;第一运行模块,用于运行所述镜像文件明文。
根据本申请实施例的一种具体实现方式,所述镜像文件密文包括虚拟机启动引导镜像文件密文;所述装置还包括:写入模块,用于将磁盘中的虚拟机启动引导镜像文件密文写入内存,以使安全处理器计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;所述第二解密模块,具体用于若未被置位,则利用第一密钥对所述虚拟机启动引导镜像文件密文进行解密,得到所述虚拟机启动引导镜像文件明文;所述运行模块,具体用于运行所述虚拟机启动引导镜像文件明文,以启动虚拟机。
根据本申请实施例的一种具体实现方式,所述镜像文件密文还包括操作系统镜像文件密文;所述装置还包括:第二发送模块,用于在所述运行模块运行虚拟机之后,所述虚拟机发送操作系统镜像文件密文至安全处理器,以使所述安全处理器计算所述操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;第二检查模块,用于检查所述中央处理器禁止启动位是否被置位;退出模块,用于若所述中央处理器禁止启动位已被置位,则异常退出;第二运行模块,用于若所述中央处理器禁止启动位未被置位,则利用所述第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使所述虚拟机加载操作系统。
根据本申请实施例的一种具体实现方式,所述装置还用于:在所述第二运行模块运行操作系统镜像文件明文之后接收远程认证请求;将所述远程认证请求发送至所述安全处理器,以使所述安全处理器生成认证报告;接收所述安全处理器发送的认证报告,并将所述认证报告发送给所述远程认证请求的发起方。
第八方面,本申请实施例提供一种安全一体机的保护装置,应用于安全一体机中的安全处理器,所述装置,包括:第一计算模块,用于计算磁盘中镜像文件密文的哈希值;第一比较模块,用于将计算的所述哈希值与预先保存的所述镜像文件密文的哈希值进行比较;第一置位模块,用于若二者不一致,则对中央处理器禁止启动位进行置位,以使中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;并运行所述镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成。
根据本申请实施例的一种具体实现方式,所述镜像文件密文包括虚拟机启动引导镜像文件密文,所述装置还包括:第二计算模块,用于响应于中央处理器从磁盘读取虚拟机启动引导镜像文件密文到内存,计算内存中的所述虚拟机启动引导镜像文件密文的哈希值;所述第一比较模块,具体用于将计算得到的哈希值与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较。
根据本申请实施例的一种具体实现方式,所述镜像文件密文还包括操作系统镜像文件密文,所述装置还包括:三计算模块,用于响应于虚拟机发送的操作系统镜像文件密文,计算所述操作系统镜像文件密文的哈希值;第二比较模块,用于将计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值进行比较;第二置位模块,用于若二者不一致,则对所述中央处理器禁止启动位进行置位,以使所述中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使虚拟机加载操作系统。
根据本申请实施例的一种具体实现方式,所述装置具体还用于:在所述第三计算模块计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值一致,且在所述虚拟机加载操作系统之后,接收所述中央处理器发送的认证请求;计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于所述虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将所述认证报告发送给所述中央处理器,以使所述中央处理器将所述认证报告发送给所述远程认证请求的发起方。
第九方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的安全一体机的保护方法。
本实施例的安全一体机、安全一体机的保护方法、装置及可读存储介质,中央处理器接收预制镜像文件,并将预制镜像文件发送给安全处理器,安全处理器利用中央处理器内部的CPU标识生成的第一密钥对预制镜像文件进行加密,得到镜像文件密文,将镜像文件密文发送给中央处理器,计算并保存镜像文件密文的哈希值,所述中央处理器,还将镜像文件密文写入磁盘,由于对预制镜像文件利用中央处理器内部的CPU标识生成的密钥进行加密,并将镜像文件密文写入磁盘,这样,即使磁盘被拆走,磁盘中的镜像文件密文也无法在其它CPU芯片的电子设备上使用,并且,将镜像文件密文的哈希值保存,便于在后续读取该密文时对密文进行完整性验证,磁盘内的镜像文件被篡改、替换的情况发生等,通过完整性保护功能发现异常后拒绝启动,从而提高安全一体机数据的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请又一实施例提供的安全一体机的结构示意图;
图2为本申请一实施例提供的安全一体机的保护方法的流程示意图;
图3为本申请一实施例提供的安全一体机的保护方法的流程示意图;
图4为本申请一实施例提供的安全一体机的保护方法的流程示意图;
图5为本申请一具体实施例提供的安全一体机的保护方法的流程图;
图6为本申请又一具体实施例提供的安全一体机的保护方法的流程图;
图7为本申请再一具体实施例提供的安全一体机的保护方法的流程图;
图8为本申请一实施例提供的安全一体机的保护装置的结构示意图;
图9为本申请又一实施例提供的安全一体机的保护装置的结构示意图;
图10为本申请再一实施例提供的安全一体机的保护装置的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
如背景技术所言,随着大数据技术的发展,数据隐私以及安全已经成为企业和个人的重要问题,各国都在加强对数据安全和隐私的保护,我国出台相关政策明确了个人信息和重要数据的收集、处理、使用和安全监督管理的相关法规。这些法规在促进数据的合规使用,保障隐私数据安全等方面起着重要的作用。大数据时代,如何兼顾数据的开放共享与数据的隐私安全,成为数据管理的重要考虑因素。
数据安全是技术门槛很高行业,涉及硬件和软件等各个方面,中小企业在数据安全方面的需要更多的时间和成本投入。安全一体机深度整合相关的硬件安全和软件安全技术,提供即开即用和隐私安全保护的数据服务。安全一体机把软件和硬件强相关,为客户数据提供强有力的安全保障。
目前的安全一体机利用CPU安全架构和密码加速卡,把安全软件封装进整机,通过整机出售为企业提供数据安全服务。
安全一体机通常由CPU芯片、磁盘、内存、密码加速卡、防拆卸装置和电源等组成。CPU芯片为计算程序提供安全基石,保护运行时的内存数据;磁盘预装安全软件厂商提供的镜像文件,镜像文件内置安全软件,而安全软件通过专业机构安全认证;密码加速卡提供密码计算(比如,加密、解密,密钥派生,认证等)。防拆卸装置,保护一体机整机的物理安全性,防止机箱被非法拆卸以及磁盘被非法拔出和替换。如果一体机被非法拆卸或者硬盘被非法拔出,触发电子装置,通过高电压等技术手段,在极短的时间内擦除整个磁盘的数据或者破坏磁盘结构,使得非法拆卸者无法获取磁盘数据。故整机物理上得到了一定的保护。
现有技术中,利用防拆卸装置来防止用户拆卸机器、拔出磁盘、非法拷贝和替换数据等,但该装置抵御数据被拷贝或篡改的能力非常有限。原因在于该装置依赖于高电压破坏或擦除磁盘数据,如果攻击者使得该装置的某些电子元器件失效或对安全一体机内的备用电源充分放电,导致其高电压擦除数据功能无效,那么防拆卸装置就毫无用处,安全一体机的数据安全性较低。
而密码加速卡通过镜像文件的hash比较来判断文件的合法性,这里存在很明显的攻击窗口,在密码加速卡计算磁盘镜像文件的hash值后,立即替换磁盘中当前的镜像文件,那么接下来将会启动一个非法的镜像文件。
为使本领域技术人员更好地理解本申请实施例的技术构思、实施方案和有益效果,下面通过具体实施例进行详细说明。
本申请的技术构思:发明人在研究过程中发现,可以将磁盘中预装的安全软件厂商提供的镜像文件与CPU芯片相关联,使得磁盘中的镜像文件即使被盗取,也无法在其它CPU芯片的电子设备上使用,从而提高安全一体机的数据安全性。为了进一步避免启动非法文件,提高安全一体机的安全性,可以在预置镜像文件的过程中,对镜像文件进行加密、使用完整性校验以及对运行的镜像文件进行认证,以此提高安全一体机数据的安全性。
本申请一实施例提供的一种安全一体机,能够提高安全一体机数据的安全性。
图1为本申请一实施例提供的安全一体机的结构示意图,如图1所示,本实施例的安全一体机,可以包括:中央处理器10、安全处理器12和磁盘14;中央处理器10分别与安全处理器12和磁盘14相连;中央处理器10,用于接收预制镜像文件,并将预制镜像文件发送给安全处理器12;安全处理器12,用于利用第一密钥对预制镜像文件进行加密,得到镜像文件密文,将镜像文件密文发送给中央处理器10,计算并保存所述镜像文件密文的哈希值;第一密钥为所述安全处理器12利用中央处理器10内部的CPU标识生成;中央处理器10,还用于将镜像文件密文写入磁盘14。
中央处理器10(CPU,Central Process Unit)是电子计算机的主要设备之一,电脑中的核心配件,其功能主要是解释计算机指令以及处理计算机软件中的数据。
安全处理器12(PSP,Platform Secure Processor),可为通用处理器之外的专门用于管理安全策略的专有处理器,可以具有独立的RAM。
预制镜像文件可以包括操作系统镜像文件和/或虚拟机启动引导镜像文件,还包括虚拟机,通过虚拟机启动引导镜像文件,可以引导虚拟机启动。
本实施例的虚拟机可以为通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统,也可为能够虚拟化操作系统,采用通用方式封装应用程序代码及其库和依赖项的容器,具体可为enclave容器。
本实施例中的安全处理器、虚拟机等构成可信执行环境(TEE,Trusted ComputeEnvrioment)。
安全处理器12利用中央处理器10内部的CPU标识生成第一密钥,具体地,安全处理器12利用中央处理器10内部的CPU标识(CPUID),通过密钥导出函数(KDF)导出第一密钥,其中,KDF使用伪随机数从主密钥中导出一个或多个密钥,导出的密钥包括CPU标识,KDF可用于将密钥扩展到更长的密钥或获得所需格式的密钥。
每个芯片的CPUID仅保存在CPU芯片内部,外界无法获取,所以对于第一密钥同样没有办法获取,即使是软件发布方或一体机生厂商也无法获取。为了进行完整性验证,在一些例子中,KDF还生成完整性密钥,用于计算镜像文件密文的哈希值。
本实施例中,计算镜像文件密文的哈希值,可以根据哈希算法对镜像文件密文进行计算,哈希算法可以包括消息摘要算法(MD5,Message-Digest Algorithm)和安全散列算法(SHA,Secure Hash Algorithm)等等。
在安全一体机出厂之前,软件发布方可以为安全一体安装软件即预制镜像文件,在安装时,软件发布方将预制镜像文件发送给安全一体机的中央处理器10,中央处理器10接收预制镜像文件,并把该文件发送给安全处理器12,以便使安全处理器12利用中央处理器10内部的CPU标识生成的密钥即第一密钥,对接收到的预制镜像文件进行加密,从而得到镜像文件密文,在得到镜像文件密文后,安全处理器12将该密文发送给中央处理器10,中央处理器10将镜像文件密文写入磁盘14中,同时,安全一体机还计算镜像文件密文的哈希值,并将该哈希值保存,以便后续对镜像文件密文进行完整性验证,防止像文件密文的被替换或被篡改。
本实施例的安全一体机,中央处理器10接收预制镜像文件,并将预制镜像文件发送给安全处理器12,安全处理器12利用中央处理器10内部的CPU标识生成的第一密钥对预制镜像文件进行加密,得到镜像文件密文,将镜像文件密文发送给中央处理器10,计算并保存镜像文件密文的哈希值,所述中央处理器10,还将镜像文件密文写入磁盘14,由于对预制镜像文件利用中央处理器10内部的CPU标识生成的密钥进行加密,并将镜像文件密文写入磁盘14,这样,即使磁盘14被拆走,磁盘14中的镜像文件密文也无法在其它CPU芯片的电子设备上使用,并且,将镜像文件密文的哈希值保存,便于在后续读取该密文时对密文进行完整性验证,磁盘14内的镜像文件被篡改、替换的情况发生等,通过完整性保护功能发现异常后拒绝启动,从而提高安全一体机数据的安全性。
在为安全一体机安装镜像文件时,为了提高镜像文件由软件发布方到安全一体机的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例的中央处理器10从软件发布方接收的预制镜像文件为预制镜像文件密文,安全处理器12,在利用第一密钥对预制镜像文件进行加密之前,还用于利用第二密钥对预制镜像文件密文进行解密,得到预制镜像文件明文。
中央处理器10从软件发布方接收的预制镜像文件为预制镜像文件密文,在这样的情况下,安全处理器12利用第二密钥对预制镜像文件密文进行解密,得到预制镜像文件明文,对预制镜像文件密文进行解密,能够起到对预制镜像文件进行验证的目的,本实施例中,第二密钥为安全处理器12与软件发布方通过密钥协商获得,如果使用第二密钥无法对预制镜像文件进行解密,则收到的镜像文件可能已经被篡改。
在一些例子中,软件发布方可以与安全处理器12进行密钥协商,软件发布方和安全处理器12获取第二密钥,预制镜像文件密文为软件发布方使用第二密钥对预制镜像文件明文进行加密得到的,安全处理器12在接收预制镜像文件密文后,使用第二密钥对其进行解密,得到预制镜像文件明文。
在安全处理器12利用第二密钥对预制镜像文件密文进行解密,得到预制镜像文件明文的情况下,利用第一密钥对预制镜像文件进行加密,具体为利用第一密钥对预制镜像文件明文进行加密。
在为安全一体机安装镜像文件时,为了提高镜像文件由软件发布方到安全一体机的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例的中央处理器10从软件发布方接收的预制镜像文件为预制镜像文件密文,安全处理器12在利用第一密钥对预制镜像文件进行加密之前,还用于对预制镜像文件密文进行完整性验证,完整性验证通过后,利用第二密钥对预制镜像文件密文进行解密,得到预制镜像文件明文。
中央处理器10从软件发布方接收的预制镜像文件为预制镜像文件密文,安全处理器12首先对预制镜像文件密文进行完整性验证,这样,能够起到对预制镜像文件进行验证的目的,如果完整性验证通过,则可以利用第二密钥对预制镜像文件密文进行解密,得到预制镜像文件明文,如果完整性验证通不过,则结束流程,能够对安全一体机实现保护。
本实施例中,第二密钥为安全处理器12与软件发布方通过密钥协商获得,如果使用第二密钥无法对预制镜像文件进行解密,则收到的镜像文件可能已经被篡改。
在一些例子中,软件发布方可以与安全处理器12进行密钥协商,软件发布方和安全处理器12获取第二密钥和完整性验证密钥,预制镜像文件密文为软件发布方使用第二密钥对预制镜像文件明文进行加密得到的,同时,软件发布方计算预制镜像文件密文和完整性验证密钥得到标准哈希值,安全处理器12在接收预制镜像文件密文后,计算完整性验证密钥和接收到的预制镜像文件密文的哈希值,将计算得到的哈希值与标准哈希值进行比较,如果一致,则利用第二密钥对预制镜像文件密文进行解密,得到预制镜像文件明文的情况下,利用第一密钥对所述预制镜像文件进行加密,具体为利用第一密钥对所述预制镜像文件明文进行加密。
为实现在安全一体机运行时,构建可信执行环境,本申请又一实施例,与上述实施例基本相同,不同之处在于,预制镜像文件包括虚拟机启动引导镜像文件;安全处理器12,具体用于利用第一密钥对虚拟机启动引导镜像文件进行加密,得到虚拟机启动引导镜像文件密文,将虚拟机启动引导镜像文件密文发送给中央处理器10,计算并保存虚拟机启动引导镜像文件密文的哈希值。
虚拟机启动引导镜像文件为启动虚拟机的引导文件,运行该引导文件可以启动虚拟机。
本实施例中,利用第一密钥对虚拟机启动引导镜像文件进行加密,得到虚拟机启动引导镜像文件密文,将虚拟机启动引导镜像文件密文发送给中央处理器10,计算并保存虚拟机启动引导镜像文件密文的哈希值,这样,可以提高虚拟机启动引导镜像文件的安全性,并且,能够后续虚拟机启动引导镜像文件运行时,对虚拟机启动引导镜像文件进行完整性验证,进一步提高安全性。
为了提高操作系统镜像文件的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例的预制镜像文件包括操作系统镜像文件;安全处理器12,具体用于利用第一密钥对操作系统镜像文件进行加密,得到操作系统镜像文件密文,将操作系统镜像文件密文发送给所述中央处理器10,计算并保存操作系统镜像文件密文的哈希值。
操作系统镜像文件可以包括操作系统和/或业务系统。
本实施例中,利用第一密钥对操作系统镜像文件进行加密,得到操作系统镜像文件密文,将操作系统镜像文件发送给中央处理器10,计算并保存操作系统镜像文件的哈希值,这样,可以提高操作系统镜像文件的安全性,并且,能够后续操作系统镜像文件运行时,对操作系统镜像文件进行完整性验证,进一步提高安全性。
本申请一实施例提供的一种安全一体机,能够提高安全一体机数据的安全性。
参见图1,本实施例的安全一体机,可以包括:中央处理器10、安全处理器12和磁盘14;中央处理器10分别与安全处理器12和磁盘14相连;安全处理器12,用于计算磁盘14中镜像文件密文的哈希值,并与预先保存的镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;中央处理器10,用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文;其中,第一密钥为安全处理器12利用中央处理器10内部的CPU标识生成。
所述安全处理器12,用于计算所述磁盘14中镜像文件密文的哈希值,并与预先保存的所述镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;
所述中央处理器10,用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文,并运行所述镜像文件明文;其中,所述第一密钥为所述安全处理器12利用所述中央处理器10内部的CPU标识生成。
预先保存的镜像文件密文的哈希值,可在安全一体机安装软件时,根据如下过程确定的:利用第一密钥对预制镜像文件进行加密,得到镜像文件密文,再计算镜像文件密文的哈希值,其中,第一密钥为安全处理器12利用中央处理器10内部的CPU标识生成,具体地,安全处理器12利用中央处理器10内部的CPU标识(CPUID),通过密钥导出函数(KDF)导出第一密钥,其中,KDF使用伪随机数从主密钥中导出一个或多个密钥,导出的密钥包括CPU标识,KDF可用于将密钥扩展到更长的密钥或获得所需格式的密钥。
本实施例中的计算镜像文件密文的哈希值的计算方法与预先保存的镜像文件密文的哈希值的计算方法相同。
中央处理器禁止启动位可为内存中的特定标志位,安全处理器12可以对其设置,中央处理器10可以访问。中央处理器禁止启动位默认值表示可以运行,如果被置位,则异常退出。
本实施例中,安全处理器12计算磁盘14中镜像文件密文的哈希值,并与预先保存的镜像文件密文的哈希值进行比较,完成完整性验证,在哈希值不一致的情况下,对中央处理器禁止启动位进行置位,而后,中央处理器10检查中央处理器禁止启动位是否被置位,若未被置位,则利用中央处理器10内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文。
本实施例,安全处理器12计算磁盘14中镜像文件密文的哈希值,并与预先保存的镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位,中央处理器10检查中央处理器禁止启动位是否被置位,若未被置位,则利用中央处理器10内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文,由于安全处理器12将磁盘14中镜像文件密文的哈希值与预先保存的哈希值进行比较,在二者一致的情况下,利用中央处理器10内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文,即运行镜像文件明文的前提是,镜像文件密文进行完整性验证,并且使用中央处理器10内部的CPU标识生成的第一密钥,对镜像文件密文进行解密,由此得到的镜像文件明文的安全性较高,这样,运行的镜像文件较为安全。
为实现在安全一体机运行时,构建可信执行环境,提高虚拟机运行的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,镜像文件密文可以包括虚拟机启动引导镜像文件密文;中央处理器10,还用于将磁盘14中的虚拟机启动引导镜像文件密文写入内存;安全处理器12,具体用于计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
虚拟机启动引导镜像文件为启动虚拟机的引导文件,运行该引导文件可以启动虚拟机。
本实施例中,中央处理器10将磁盘中的虚拟机启动引导镜像文件密文写入内存,安全处理器12计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位,中央处理器10根据该启动位的情况,确定是否启动虚拟机启动引导镜像文件。
为了提高操作系统镜像文件的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例的镜像文件密文还包括操作系统镜像文件密文;中央处理器10,具体用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对虚拟机启动引导镜像文件密文进行解密,得到虚拟机启动引导镜像文件明文,并通过虚拟机启动引导镜像文件明文,启动虚拟机,虚拟机读取操作系统镜像文件密文,并将操作系统镜像文件密文发送给安全处理器12;安全处理器12,具体用于计算操作系统镜像文件密文的哈希值,并与预先保存的操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;中央处理器10,还用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,通过操作系统镜像文件明文,虚拟机加载操作系统。
操作系统镜像文件可以包括操作系统和/或业务系统。
本实施例中,中央处理器10检查中央处理器禁止启动位是否被置位,在未被置位的情况下,利用第一密钥对虚拟机启动引导镜像文件密文进行解密,得到虚拟机启动引导镜像文件明文,并通过虚拟机启动引导镜像文件明文,启动虚拟机,这样,能够提高虚拟机数据的安全性,在启动虚拟机后,虚拟机读取操作系统镜像文件密文,并将操作系统镜像文件密文发送给安全处理器12,安全处理器12计算操作系统镜像文件密文的哈希值,并与预先保存的操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;中央处理器10再检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,通过操作系统镜像文件明文,虚拟机加载操作系统,从而提高操作系统数据的安全性,至此,虚拟机和操作系统已经启动。
在一些例子中,镜像文件密文可以包括操作系统镜像文件密文;安全处理器12,具体用于计算内存中的操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
本实施例,对操作系统镜像文件密文计算哈希值,与预先保存的操作系统镜像文件密文的哈希值比较,如果不一致,则对中央处理器禁止启动位进行置为位,以禁止启动操作系统镜像文件,提高操作系统镜像文件的安全性。
为了进一步提高在安全一体机上运行数据的安全性,在一些例子中,中央处理器10,还用于接收远程认证请求,并将远程认证请求发送给安全处理器12;安全处理器12,还用于计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将认证报告发送给中央处理器10,以使中央处理器10将认证报告发送给远程认证请求的发起方。
认证报告可以包括虚拟机启动引导镜像文件明文的哈希值和/或计算操作系统镜像文件明文的哈希值、安全一体机信息和/或虚拟机安全状态,其中,安全一体机信息包括制造商、芯片信息等等,虚拟机安全状态包括虚拟机是否受到安全保护,还可以对报告进行签名,以确保报告的可靠性。
发起方可以解析认证报告内的镜像文件哈希值,并与发布方的镜像文件哈希值比较,不一致则拒绝该一体机接入服务,同时通知客户异常处理,并查看安全一体机是否运行在机密计算环境(安全虚拟化),若不是,则拒绝该安全一体机接入服务,同时通知客户异常处理。
发起方可以向中央处理器10发送远程认证请求,中央处理器10接收该请求并向安全处理器12发送,安全处理器12接收该请求后,计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将认证报告发送给中央处理器10,以使中央处理器10将认证报告发送给远程认证请求的发起方,发起方可以根据接收到的认证报告,确定是否允许安全一体机接入服务。
本申请一实施例提供的一种安全一体机的保护方法,能够提高安全一体机数据的安全性。
图2为本申请一实施例提供的安全一体机的保护方法的流程示意图,如图2所示,本实施例的安全一体机的保护方法,应用于安全一体机中的安全处理器,本实施例的方法可以包括:
S101、接收中央处理器发送的预制镜像文件。
本实施例中,预制镜像文件包括操作系统镜像文件和/或虚拟机启动引导镜像文件。
在安全一体机出厂之前,软件发布方可以为安全一体机安装软件即预制镜像文件,在安装时,软件发布方将预制镜像文件发送给安全一体机的中央处理器,中央处理器接收预制镜像文件,并把该文件发送给安全处理器。
S102、利用第一密钥对预制镜像文件进行加密,得到镜像文件密文。
本实施例中,第一密钥为所述安全处理器预先利用所述中央处理器内部的CPU标识生成。
安全处理器利用中央处理器内部的CPU标识生成,具体地,安全处理器利用中央处理器内部的CPU标识(CPUID),通过密钥导出函数(KDF)导出第一密钥,其中,KDF使用伪随机数从主密钥中导出一个或多个密钥,导出的密钥包括CPU标识,KDF可用于将密钥扩展到更长的密钥或获得所需格式的密钥。
每个芯片的CPUID仅保存在CPU芯片内部,外界无法获取,所以对于第一密钥同样没有办法获取,即使是软件发布方或安全一体机生厂商也无法获取。为了进行完整性验证,在一些例子中,KDF还生成完整性密钥,用于计算镜像文件密文的哈希值。
S103、将镜像文件密文发送给中央处理器,以使中央处理器将镜像文件密文写入磁盘。
本实施例,接收中央处理器发送的预制镜像文件,利用第一密钥对预制镜像文件进行加密,得到镜像文件密文,将镜像文件密文发送给中央处理器,以使中央处理器将镜像文件密文写入磁盘,这样,即使磁盘被拆走,磁盘中的镜像文件密文也无法在其它CPU芯片的电子设备上使用,从而提高安全一体机的数据安全性。
本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例中,在接收中央处理器发送的预制镜像文件(S101)之后,所述方法还可以包括:
S104、对预制镜像文件进行解密,得到镜像文件明文。
接收的预制镜像文件为预制镜像文件密文,需要对预制镜像文件进行解密,得到镜像文件明文,这样,能够起到对预制镜像文件进行验证的目的,提高预制镜像文件的安全性。
本实施例中,利用第一密钥对预制镜像文件进行加密,得到镜像文件密文(S102),可以包括:
S102a、利用第一密钥对镜像文件明文进行加密,得到镜像文件密文。
本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例中,在对预制镜像文件进行解密,得到镜像文件明文(S104)之前,所述方法还可以包括:
S105、对预制镜像文件进行完整性验证。
安全处理器对预制镜像文件进行完整性验证,这样,能够起到对预制镜像文件进行验证的目的。
在一些例子中,在接收中央处理器发送的预制镜像文件(S101)之前,所述方法还可以包括:
S106、与预制镜像文件的发布方进行密钥协商。
软件发布方通过中央处理器向安全处理器发送预制镜像文件之前,安全处理器与软件发布方进行密钥协商,软件发布方和安全处理器获取密钥,利用密钥,软件发布方对预制镜像文件进行加密,安全处理器利用协商的密钥,对预制镜像文件密文进行解密,提高数据的安全性。
本申请一实施例提供的一种安全一体机的保护方法,能够提高安全一体机数据的安全性。
图3为本申请一实施例提供的安全一体机的保护方法的流程示意图,如图3所示,本实施例的安全一体机的保护方法,应用于安全一体机中的中央处理器,本实施例的方法可以包括:
S201、响应于安全处理器发送的、已完成完整性验证的完成信号,检查中央处理器禁止启动位是否被置位。
本实施例中,完整性验证包括安全处理器计算所述磁盘中镜像文件密文的哈希值,并与预先保存的所述镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
其中,可以基于图2对应的实施例的方法,确定预先保存的镜像文件密文的哈希值,即可在安全一体机安装软件时,根据如下过程确定的:利用第一密钥对预制镜像文件进行加密,得到镜像文件密文,再计算镜像文件密文的哈希值,其中,第一密钥为安全处理器利用中央处理器内部的CPU标识生成。
在安全处理器完成完整性验证后,向中央处理器发送已经完成完整性验证信号,中央处理器接收该信号,检查中央处理器禁止启动位是否被置位。
中央处理器禁止启动位可为内存中的特定标志位,安全处理器可以对其设置,中央处理器可以访问。中央处理器禁止启动位默认值表示可以运行,如果被置位,则异常退出。
S202、若未被置位,则利用第一密钥对镜像文件密文进行解密,得到镜像文件明文。
本实施例中,第一密钥为安全处理器利用中央处理器内部的CPU标识生成,其中,第一秘钥可以根据S102中相关步骤生成。
S203、运行镜像文件明文。
本实施例,响应于安全处理器发送的、已完成完整性验证的完成信号,检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对镜像文件密文进行解密,得到镜像文件明文,运行镜像文件明文,由于在安全处理器将磁盘中镜像文件密文的哈希值与预先保存的哈希值进行比较,在二者一致的情况下,利用中央处理器内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文,即运行镜像文件明文的前提是,镜像文件密文进行完整性验证,并且使用中央处理器内部的CPU标识生成的第一密钥,对镜像文件密文进行解密,由此得到的镜像文件明文的安全性较高,这样,运行的镜像文件较为安全。
为实现在安全一体机运行时,构建可信执行环境,提高虚拟机运行的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,镜像文件密文包括虚拟机启动引导镜像文件密文;所述方法还包括:
S204、将磁盘中的虚拟机启动引导镜像文件密文写入内存,以使安全处理器计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
虚拟机启动引导镜像文件为启动虚拟机的引导文件,运行该引导文件可以启动虚拟机。
中央处理器将磁盘中的虚拟机启动引导镜像文件密文写入内存,安全处理器计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
本实施例中,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文(S202),可以包括:
S202a、若未被置位,则利用第一密钥对虚拟机启动引导镜像文件密文进行解密,得到虚拟机启动引导镜像文件明文。
如果中央处理器禁止启动位未进行置位,则利用第一密钥对虚拟机启动引导镜像文件密文进行解密,得到虚拟机启动引导镜像文件明文,以运行虚拟机启动引导镜像文件
运行所述镜像文件明文(S203),可以包括:
S203a、运行虚拟机启动引导镜像文件明文,以启动虚拟机。
为了提高操作系统镜像文件的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例的镜像文件密文还包括操作系统镜像文件密文;在运行虚拟机之后,本实施例的方法还可以包括:
S205、虚拟机发送操作系统镜像文件密文至安全处理器,以使安全处理器计算操作系统镜像文件密文的哈希值,并与预先保存的操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
S206、检查中央处理器禁止启动位是否被置位。
S207、若中央处理器禁止启动位已被置位,则异常退出。
S208、若中央处理器禁止启动位未被置位,则利用第一密钥对操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,虚拟机加载操作系统。
操作系统镜像文件可以包括操作系统和/或业务系统。
本实施例中,安全处理器计算操作系统镜像文件密文的哈希值,并与预先保存的操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,通过操作系统镜像文件明文,虚拟机加载操作系统,从而提高操作系统数据的安全性,至此,虚拟机和操作系统已经启动。
为了进一步提高安全一体机数据的安全性,在一些例子中,在虚拟机加载操作系统镜像文件明文之后,本实施例的方法还可以包括:
S209、接收远程认证请求。
S210、将远程认证请求发送至所述安全处理器,以使安全处理器生成认证报告。
认证报告可以包括虚拟机启动引导镜像文件明文的哈希值和/或计算操作系统镜像文件明文的哈希值、安全一体机信息和/或虚拟机安全状态,其中,安全一体机信息包括制造商、芯片信息等等,虚拟机安全状态包括虚拟机是否受到安全保护,还可以对报告进行签名,以确保报告的可靠性。
S211、接收安全处理器发送的认证报告,并将认证报告发送给远程认证请求的发起方。
将认证报告发送给远程认证请求的发起方,发起方可以解析认证报告内的镜像文件哈希值,并与发布方的镜像文件哈希值比较,不一致则拒绝该一体机接入服务,同时通知客户异常处理,并查看安全一体机是否运行在机密计算环境(安全虚拟化),若不是,则拒绝该安全一体机接入服务,同时通知客户异常处理。
本实施例中,发起方可以向中央处理器发送远程认证请求,中央处理器接收该请求并向安全处理器发送,安全处理器接收该请求后,计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将认证报告发送给中央处理器,以使中央处理器将认证报告发送给远程认证请求的发起方,发起方可以根据接收到的认证报告,确定是否允许安全一体机接入服务。
本申请一实施例提供的一种安全一体机的保护方法,能够提高安全一体机数据的安全性。
图4为本申请一实施例提供的安全一体机的保护方法的流程示意图,如图4所示,本实施例的安全一体机的保护方法,应用于安全一体机中的安全处理器,所述方法可以包括:
S301、计算磁盘中镜像文件密文的哈希值。
预先保存的镜像文件密文的哈希值,可在安全一体机安装软件时,根据如下过程确定的:利用第一密钥对预制镜像文件进行加密,得到镜像文件密文,再计算镜像文件密文的哈希值,其中,第一密钥为安全处理器利用中央处理器内部的CPU标识生成。
本实施例中的计算镜像文件密文的哈希值的计算方法与预先保存的镜像文件密文的哈希值的计算方法相同。
S302、将计算的哈希值与预先保存的镜像文件密文的哈希值进行比较。
S303、若二者不一致,则对中央处理器禁止启动位进行置位,以使中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;并运行所述镜像文件明文。
本实施例中,第一密钥为所述安全处理器利用中央处理器内部的CPU标识生成。
中央处理器禁止启动位可为内存中的特定标志位,安全处理器可以对其设置,中央处理器可以访问。中央处理器禁止启动位默认值表示可以运行,如果被置位,则异常退出。
中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用中央处理器内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文。
本实施例,计算磁盘中镜像文件密文的哈希值,并与预先保存的镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位,以使中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用中央处理器内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文,由于安全处理器将磁盘中镜像文件密文的哈希值与预先保存的哈希值进行比较,在二者一致的情况下,利用中央处理器内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文,即运行镜像文件明文的前提是,镜像文件密文进行完整性验证,并且使用中央处理器内部的CPU标识生成的第一密钥,对镜像文件密文进行解密,由此得到的镜像文件明文的安全性较高,这样,运行的镜像文件较为安全。
为实现在安全一体机运行时,构建可信执行环境,提高虚拟机运行的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,镜像文件密文包括虚拟机启动引导镜像文件密文,本实施例的方法还可以包括:
S304、响应于中央处理器从磁盘读取虚拟机启动引导镜像文件密文到内存,计算内存中的虚拟机启动引导镜像文件密文的哈希值。
虚拟机启动引导镜像文件为启动虚拟机的引导文件,运行该引导文件可以启动虚拟机。
本实施例中,将计算的哈希值与预先保存的镜像文件密文的哈希值进行比较(S302),可以包括:
S302a、将计算得到的哈希值与预先保存的虚拟机启动引导镜像文件密文的哈希值进行比较。
为了提高操作系统镜像文件的安全性,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例的镜像文件密文还包括操作系统镜像文件密文,本实施例的方法还可以包括:
S305、响应于虚拟机发送的操作系统镜像文件密文,计算操作系统镜像文件密文的哈希值。
S306、将计算得到的操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值进行比较。
S307、若二者不一致,则对中央处理器禁止启动位进行置位,以使中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使虚拟机加载操作系统。
操作系统镜像文件可以包括操作系统和/或业务系统。
本实施例中,中央处理器检查中央处理器禁止启动位是否被置位,在未被置位的情况下,利用第一密钥对虚拟机启动引导镜像文件密文进行解密,得到虚拟机启动引导镜像文件明文,并通过虚拟机启动引导镜像文件明文,启动虚拟机,这样,能够提高虚拟机数据的安全性,在启动虚拟机后,虚拟机读取操作系统镜像文件密文,并将操作系统镜像文件密文发送给安全处理器,安全处理器计算操作系统镜像文件密文的哈希值,并与预先保存的操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;中央处理器再检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,通过操作系统镜像文件明文,虚拟机加载操作系统,从而提高操作系统数据的安全性,至此,虚拟机和操作系统已经启动。
在一些例子中,在计算得到的操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值一致,且在虚拟机加载操作系统之后,本实施例的方法还可以包括:
S308、接收中央处理器发送的认证请求。
S309、计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于所述虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将所述认证报告发送给所述中央处理器,以使所述中央处理器将所述认证报告发送给所述远程认证请求的发起方。
认证报告可以包括虚拟机启动引导镜像文件明文的哈希值和/或计算操作系统镜像文件明文的哈希值、安全一体机信息和/或虚拟机安全状态,其中,安全一体机信息包括制造商、芯片信息等等,虚拟机安全状态包括虚拟机是否受到安全保护,还可以对报告进行签名,以确保报告的可靠性。
发起方可以解析认证报告内的镜像文件哈希值,并与发布方的镜像文件哈希值比较,不一致则拒绝该一体机接入服务,同时通知客户异常处理,并查看安全一体机是否运行在机密计算环境(安全虚拟化),若不是,则拒绝该安全一体机接入服务,同时通知客户异常处理。
发起方可以向中央处理器发送远程认证情况,中央处理器接收该请求并向安全处理器发送,安全处理器接收该请求后,计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将认证报告发送给中央处理器,以使中央处理器将认证报告发送给远程认证请求的发起方,发起方可以根据接收到的认证报告,确定是否允许安全一体机接入服务。
下面以一具体实施例,对本申请的方案进行详细说明。
具体实施例一,参见图5,对于基于安全虚拟机的TEE环境而言,镜像文件由开源虚拟机固件OVMF(OVMF:Open Virtual Machine Firmware)和操作系统镜像两部分构成;其中,OVMF由行业内有影响力的芯片公司参与,支持虚拟机模拟固件启动。
OVMF是虚拟机的启动固件,而操作系统镜像包括操作系统内核、文件系统、数据库和其他应用软件,出厂初始化需要准确无误的把镜像文件预制到一体机内。
本实施例的安全一体机的保护方法,可以包括:
S11、密钥协商
通过密钥协商协议交换密钥。
软件发布方与安全一体机内的安全处理器通过密钥协商协议,交换传输加密密钥(TEK)和传输完整性密钥(TIK)。此时,软件发布方获取TEK和TIK,而安全处理器也获取相同的TEK和TIK,为后续镜像文件传输提供安全保障。
S12、软件发布方生成镜像文件密文1和hash值,并向安全处理器发送。
软件发布方利用TEK加密预制镜像文件(OVMF和操作系统镜像)明文并生成镜像文件密文1,同时利用TIK对加密后的密文数据生成hash值。软件发布方可以把镜像文件分多块加密传输,每一次传输都会生成用于完整性校验的hash值。通过TEK与TIK,传输信道中的镜像数据无法被窥视或篡改,保证安全性。
S13、安全处理器生成虚拟机加密密钥VEK和完整性密钥VIK。
安全处理器利用CPU芯片内部的CPU标识CPUID,通过KDF导出虚拟机加密密钥VEK和完整性密钥VIK。每个芯片的CPUID仅保存在CPU芯片内部,外界无法获取,所以对于VEK和VIK,同样没有办法获取,即使是软件发布方或一体机生厂商也无法获取。
S14、安全处理器对镜像文件密文进行完整性验证。
从传输信道中获取镜像文件密文,通过TIK验证镜像文件密文1的完整性,若完整性验证成功,继续;否则,异常退出。
S15、安全处理器利用VEK对镜像文件明文加密得到密文2。
安全处理器利用TEK解密镜像文件密文1,得到镜像文件明文。利用内部生成的VEK对镜像文件明文加密并得到密文2(OVMF密文2和操作系统镜像密文2),密文2返回给CPU,CPU把密文2写入磁盘。
S16、安全处理器计算OVMF密文2和操作系统镜像密文2的hash值。
安全处理器利用VIK计算OVMF密文2的hash值并保存,利用VIK计算操作系统镜像密文2的hash值并保存。
本实施例,在整个过程中,VEK/VIK仅在安全处理器内部保存,外界无法探知,并且VEK/VIK都是利用芯片ID推导得出的,加密后的镜像文件无法在其他芯片上使用。
具体实施例二,参见图6,本实施例的安全一体机的保护方法可以包括:
S21、启动安全一体机。
发送启动命令到安全处理器。
S22、安全处理器配置虚拟机的加密密钥VEK。
S23、CPU从磁盘读取OVMF密文2到内存并向安全处理器发送验证命令measure。
S24、安全处理器对OVMF密文2进行完整性验证。
利用VIK计算内存中的OVMF密文2的hash值。并比较计算的hash与保存的OVMF的hash值是否一致。若不一致,则标记CPU禁止启动标志,阻止虚拟机启动,该标志为芯片内的标志,仅安全处理器能设置。安全处理器返回验证结果给CPU。
S25、CPU检查禁止标志是否置位。
CPU继续运行,检查禁止标志是否置位,若置位则异常退出。
未被置位则表明OVMF密文2通过了完整性验证。
S26、运行OVMF。
经过步骤S23-S25,实现了对OVMF的度量,在度量结果正确的情况下即禁止标志未被置位,则运行OVMF,以启动安全虚拟机,此时CPU处于安全虚拟机中。
可以理解的是,在运行OVMF之前,需要使用步骤S22中的VEK对OVMF密文2进行解密。
S27、安全虚拟机向安全处理器发送操作系统镜像密文2。
安全虚拟机读取操作系统镜像密文2,并通过安全调用发送给安全处理器做度量,以确定操作系统镜像是否被篡改。
S28、安全处理器对操作系统镜像密文2进行完整性验证。
安全处理器收到验证命令后,利用VIK计算发送过来的操作系统镜像密文2的hash值。比较计算的hash值与保存的操作系统镜像hash值是否一致。若不一致,则标记CPU禁止启动标志。返回验证结果给CPU。
S29、CPU检查禁止标志是否置位。
CPU继续运行,检查禁止标志是否置位,若置位则异常退出。
未被置位则表明操作系统镜像密文2的通过了完整性验证。
S30、若未被置位,安全虚拟机加载操作系统并启动,运行业务系统。
具体实施例三,安全一体机安全启动之后,进一步加强安全性,基于机密计算环境的安全虚拟机内置远程认证服务,用于发布方确认运行的安全软件的平台合法性,参见图7,本实施例的安全一体机的保护方法还可以包括:
S31、软件发布方向一体机发送远程认证请求。
软件发布方与一体机建立传输信道,通常为网络连接。
软件发布方向一体机发送远程认证请求。以确定其连接的机器为安全可信的环境。
S32、安全处理器收到请求并生成认证报告。
认证报告主要包括,运行时计算的镜像文件hash值,该hash值为明文镜像文件的hash值;运行平台信息,包括芯片vendor,虚拟机安全状态等;签名,确保该报告的可靠性。
S33、软件发布方对报告进行验签。
软件发布方收到认证报告后,对报告进行验签以检查报告的合法性。
S34、软件发布方对镜像文件进行完整性验证。
解析认证报告内的镜像文件hash值,并与发布方的镜像文件hash值比较,不一致则拒绝该一体机接入服务,同时通知客户异常处理。同时
解析认证报告,查看安全一体机是否运行在指定CPU芯片的机密计算环境(安全虚拟化)。若不是,则拒绝该一体机接入服务,同时通知客户异常处理。
本实施例中,安全一体机启动后,经过上述过程的安全认证,能够确保镜像文件的合法性和完整性。
图8为本申请一实施例提供的安全一体机的保护装置的结构示意图,如图8所示,本实施例的安全一体机的保护装置,应用于安全一体机中的安全处理器,所述装置包括:第一接收模块40,用于接收中央处理器发送的预制镜像文件;其中,所述预制镜像文件包括操作系统镜像文件和/或虚拟机启动引导镜像文件;第一加密模块41,用于利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文;所述第一密钥为所述安全处理器预先利用所述中央处理器内部的CPU标识生成;第一发送模块42,用于将所述镜像文件密文发送给所述中央处理器,以使所述中央处理器将所述镜像文件密文写入磁盘。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的装置,接收中央处理器发送的预制镜像文件,利用第一密钥对预制镜像文件进行加密,得到镜像文件密文,将镜像文件密文发送给中央处理器,以使中央处理器将镜像文件密文写入磁盘,这样,即使磁盘被拆走,磁盘中的镜像文件密文也无法在其它CPU芯片的电子设备上使用,从而提高安全一体机的数据安全性。
作为一可选实施方式,所述装置还包括:第一解密模块,用于在所述第一接收模块接收中央处理器发送的预制镜像文件之后,对所述预制镜像文件进行解密,得到镜像文件明文;其中,所述加密模块,包括:加密子模块,用于利用第一密钥对所述镜像文件明文进行加密,得到镜像文件密文。
作为一可选实施方式,所述装置具体还用于:在所述第一解密模块对所述预制镜像文件进行解密,得到镜像文件明文之前,对所述预制镜像文件进行完整性验证。
作为一可选实施方式,所述装置具体还用于:在所述第一接收模块接收中央处理器发送的预制镜像文件之前与所述预制镜像文件的发布方进行密钥协商。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图9为本申请又一实施例提供的安全一体机的保护装置的结构示意图,如图9所示,本实施例的安全一体机的保护装置,应用于安全一体机中的中央处理器,所述装置,包括:第一检查模块50,用于响应于安全处理器发送的、已完成完整性验证的完成信号,检查中央处理器禁止启动位是否被置位;其中,所述完整性验证包括所述安全处理器计算所述磁盘中镜像文件密文的哈希值,并与预先保存的所述镜像文件密文的哈希值进行比较,若二者不一致,则对所述中央处理器禁止启动位进行置位;第二解密模块51,用于若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成;第一运行模块52,用于运行所述镜像文件明文。
本实施例的装置,可以用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的装置,响应于安全处理器发送的、已完成完整性验证的完成信号,检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对镜像文件密文进行解密,得到镜像文件明文,运行镜像文件明文,由于在安全处理器将磁盘中镜像文件密文的哈希值与预先保存的哈希值进行比较,在二者一致的情况下,利用中央处理器内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文,即运行镜像文件明文的前提是,镜像文件密文进行完整性验证,并且使用中央处理器内部的CPU标识生成的第一密钥,对镜像文件密文进行解密,由此得到的镜像文件明文的安全性较高,这样,运行的镜像文件较为安全。
作为一可选实施方式,所述镜像文件密文包括虚拟机启动引导镜像文件密文;所述装置还包括:写入模块,用于将磁盘中的虚拟机启动引导镜像文件密文写入内存,以使安全处理器计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;所述第二解密模块,具体用于若未被置位,则利用第一密钥对所述虚拟机启动引导镜像文件密文进行解密,得到所述虚拟机启动引导镜像文件明文;所述运行模块,具体用于运行所述虚拟机启动引导镜像文件明文,以启动虚拟机。
作为一可选实施方式,所述镜像文件密文还包括操作系统镜像文件密文;所述装置还包括:第二发送模块,用于在所述运行模块运行虚拟机之后,所述虚拟机发送操作系统镜像文件密文至安全处理器,以使所述安全处理器计算所述操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;第二检查模块,用于检查所述中央处理器禁止启动位是否被置位;退出模块,用于若所述中央处理器禁止启动位已被置位,则异常退出;第二运行模块,用于若所述中央处理器禁止启动位未被置位,则利用所述第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使所述虚拟机加载操作系统。
作为一可选实施方式,所述装置还用于:在所述第二运行模块运行操作系统镜像文件明文之后接收远程认证请求;将所述远程认证请求发送至所述安全处理器,以使所述安全处理器生成认证报告;接收所述安全处理器发送的认证报告,并将所述认证报告发送给所述远程认证请求的发起方。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图10为本申请再一实施例提供的安全一体机的保护装置的结构示意图,如图10所示,本实施例的安全一体机的保护装置,应用于安全一体机中的安全处理器,所述装置,包括:第一计算模块60,用于计算磁盘中镜像文件密文的哈希值;第一比较模块61,用于将计算的所述哈希值与预先保存的所述镜像文件密文的哈希值进行比较;第一置位模块62,用于若二者不一致,则对中央处理器禁止启动位进行置位,以使中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;并运行所述镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成。
本实施例的装置,可以用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的装置,计算磁盘中镜像文件密文的哈希值,并与预先保存的镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位,以使中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用中央处理器内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文,由于安全处理器将磁盘中镜像文件密文的哈希值与预先保存的哈希值进行比较,在二者一致的情况下,利用中央处理器内部的CPU标识生成的第一密钥对镜像文件密文进行解密,得到镜像文件明文,并运行镜像文件明文,即运行镜像文件明文的前提是,镜像文件密文进行完整性验证,并且使用中央处理器内部的CPU标识生成的第一密钥,对镜像文件密文进行解密,由此得到的镜像文件明文的安全性较高,这样,运行的镜像文件较为安全。
作为一可选实施方式,所述镜像文件密文包括虚拟机启动引导镜像文件密文,所述装置还包括:第二计算模块,用于响应于中央处理器从磁盘读取虚拟机启动引导镜像文件密文到内存,计算内存中的所述虚拟机启动引导镜像文件密文的哈希值;所述第一比较模块,具体用于将计算得到的哈希值与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较。
作为一可选实施方式,所述镜像文件密文还包括操作系统镜像文件密文,所述装置还包括:第三计算模块,用于响应于虚拟机发送的操作系统镜像文件密文,计算所述操作系统镜像文件密文的哈希值;第二比较模块,用于将计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值进行比较;第二置位模块,用于若二者不一致,则对所述中央处理器禁止启动位进行置位,以使所述中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使虚拟机加载操作系统。
作为一可选实施方式,所述装置具体还用于:在所述第三计算模块计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值一致,且在所述虚拟机加载操作系统之后,接收所述中央处理器发送的认证请求;计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于所述虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将所述认证报告发送给所述中央处理器,以使所述中央处理器将所述认证报告发送给所述远程认证请求的发起方。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
相应的,本申请的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种安全一体机的保护方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本申请时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (35)
1.一种安全一体机,其特征在于,包括:中央处理器、安全处理器和磁盘;所述中央处理器分别与所述安全处理器和所述磁盘相连;
所述中央处理器,用于接收预制镜像文件,并将所述预制镜像文件发送给安全处理器;
所述安全处理器,用于利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文,将所述镜像文件密文发送给所述中央处理器,计算并保存所述镜像文件密文的哈希值;所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成;
所述中央处理器,还用于将所述镜像文件密文写入所述磁盘。
2.根据权利要求1所述的安全一体机,其特征在于,所述中央处理器从软件发布方接收的所述预制镜像文件为预制镜像文件密文;
所述安全处理器,在利用第一密钥对所述预制镜像文件进行加密之前,还用于利用第二密钥对所述预制镜像文件密文进行解密,得到预制镜像文件明文;其中,所述第二密钥为所述安全处理器与软件发布方通过密钥协商获得;
所述利用第一密钥对所述预制镜像文件进行加密,具体为利用第一密钥对所述预制镜像文件明文进行加密。
3.根据权利要求1所述的安全一体机,其特征在于,所述中央处理器从软件发布方接收的所述预制镜像文件为预制镜像文件密文;
所述安全处理器,在利用第一密钥对所述预制镜像文件进行加密之前,还用于对所述预制镜像文件密文进行完整性验证,完整性验证通过后,利用第二密钥对所述预制镜像文件密文进行解密,得到预制镜像文件明文;其中,所述第二密钥为所述安全处理器与软件发布方通过密钥协商获得;
所述利用第一密钥对所述预制镜像文件进行加密,具体为利用第一密钥对所述预制镜像文件明文进行加密。
4.根据权利要求1所述的安全一体机,其特征在于,所述预制镜像文件包括虚拟机启动引导镜像文件;
所述安全处理器,具体用于利用第一密钥对所述虚拟机启动引导镜像文件进行加密,得到虚拟机启动引导镜像文件密文,将所述虚拟机启动引导镜像文件密文发送给所述中央处理器,计算并保存所述虚拟机启动引导镜像文件密文的哈希值。
5.根据权利要求1或4所述的安全一体机,其特征在于,所述预制镜像文件包括操作系统镜像文件;
所述安全处理器,具体用于利用第一密钥对所述操作系统镜像文件进行加密,得到操作系统镜像文件密文,将所述操作系统镜像文件密文发送给所述中央处理器,计算并保存所述操作系统镜像文件密文的哈希值。
6.一种安全一体机,其特征在于,包括:中央处理器、安全处理器和磁盘;所述中央处理器分别与所述安全处理器和所述磁盘相连;
所述安全处理器,用于计算所述磁盘中镜像文件密文的哈希值,并与预先保存的所述镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;
所述中央处理器,用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文,并运行所述镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成。
7.根据权利要求6所述的安全一体机,其特征在于,所述镜像文件密文包括虚拟机启动引导镜像文件密文;
所述中央处理器,还用于将所述磁盘中的虚拟机启动引导镜像文件密文写入内存;
所述安全处理器,具体用于计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
8.根据权利要求7所述的安全一体机,其特征在于,所述镜像文件密文还包括操作系统镜像文件密文;
所述中央处理器,具体用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述虚拟机启动引导镜像文件密文进行解密,得到虚拟机启动引导镜像文件明文,并运行所述虚拟机启动引导镜像文件明文,以启动虚拟机,所述虚拟机读取操作系统镜像文件密文,并将所述操作系统镜像文件密文发送给所述安全处理器;
所述安全处理器,具体用于计算所述操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;
所述中央处理器,还用于检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使所述虚拟机加载操作系统。
9.根据权利要求6所述的安全一体机,其特征在于,所述镜像文件密文包括操作系统镜像文件密文;
所述安全处理器,具体用于计算内存中的操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位。
10.根据权利要求8所述的安全一体机,其特征在于,
所述中央处理器,还用于接收远程认证请求,并将所述远程认证请求发送给所述安全处理器;
所述安全处理器,还用于计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于所述虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将所述认证报告发送给所述中央处理器,以使所述中央处理器将所述认证报告发送给所述远程认证请求的发起方。
11.一种安全一体机的保护方法,其特征在于,应用于安全一体机中的安全处理器,所述方法包括:
接收中央处理器发送的预制镜像文件;其中,所述预制镜像文件包括操作系统镜像文件和/或虚拟机启动引导镜像文件;
利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文;所述第一密钥为所述安全处理器预先利用所述中央处理器内部的CPU标识生成;
将所述镜像文件密文发送给所述中央处理器,以使所述中央处理器将所述镜像文件密文写入磁盘。
12.根据权利要求11所述的保护方法,其特征在于,在接收中央处理器发送的预制镜像文件之后,所述方法还包括:
对所述预制镜像文件进行解密,得到镜像文件明文;
其中,所述利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文,包括:
利用第一密钥对所述镜像文件明文进行加密,得到镜像文件密文。
13.根据权利要求12所述的保护方法,其特征在于,在对所述预制镜像文件进行解密,得到镜像文件明文之前,所述方法还包括:
对所述预制镜像文件进行完整性验证。
14.根据权利要求11所述的保护方法,其特征在于,在接收中央处理器发送的预制镜像文件之前,所述方法还包括:
与所述预制镜像文件的发布方进行密钥协商。
15.一种安全一体机的保护方法,其特征在于,应用于安全一体机中的中央处理器,所述方法,包括:
响应于安全处理器发送的、已完成完整性验证的完成信号,检查中央处理器禁止启动位是否被置位;其中,所述完整性验证包括所述安全处理器计算所述磁盘中镜像文件密文的哈希值,并与预先保存的所述镜像文件密文的哈希值进行比较,若二者不一致,则对所述中央处理器禁止启动位进行置位;
若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成;
运行所述镜像文件明文。
16.根据权利要求15所述的保护方法,其特征在于,所述镜像文件密文包括虚拟机启动引导镜像文件密文;所述方法还包括:
将磁盘中的虚拟机启动引导镜像文件密文写入内存,以使安全处理器计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;
所述若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文,包括:
若未被置位,则利用第一密钥对所述虚拟机启动引导镜像文件密文进行解密,得到所述虚拟机启动引导镜像文件明文;
所述运行所述镜像文件明文,包括:
运行所述虚拟机启动引导镜像文件明文,以启动虚拟机。
17.根据权利要求16所述的保护方法,其特征在于,所述镜像文件密文还包括操作系统镜像文件密文;在运行虚拟机之后,所述方法还包括:
所述虚拟机发送操作系统镜像文件密文至安全处理器,以使所述安全处理器计算所述操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;
检查所述中央处理器禁止启动位是否被置位;
若所述中央处理器禁止启动位已被置位,则异常退出;
若所述中央处理器禁止启动位未被置位,则利用所述第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使所述虚拟机加载操作系统。
18.根据权利要求17所述的保护方法,其特征在于,在运行操作系统镜像文件明文之后,所述方法还包括:
接收远程认证请求;
将所述远程认证请求发送至所述安全处理器,以使所述安全处理器生成认证报告;
接收所述安全处理器发送的认证报告,并将所述认证报告发送给所述远程认证请求的发起方。
19.一种安全一体机的保护方法,其特征在于,应用于安全一体机中的安全处理器,所述方法,包括:
计算磁盘中镜像文件密文的哈希值;
将计算的所述哈希值与预先保存的所述镜像文件密文的哈希值进行比较;
若二者不一致,则对中央处理器禁止启动位进行置位,以使中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;并运行所述镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成。
20.根据权利要求19所述的保护方法,其特征在于,所述镜像文件密文包括虚拟机启动引导镜像文件密文,所述方法还包括:
响应于中央处理器从磁盘读取虚拟机启动引导镜像文件密文到内存,计算内存中的所述虚拟机启动引导镜像文件密文的哈希值;
所述将计算的所述哈希值与预先保存的所述镜像文件密文的哈希值进行比较,包括:
将计算得到的哈希值与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较。
21.根据权利要求20所述的保护方法,其特征在于,所述镜像文件密文还包括操作系统镜像文件密文,所述方法还包括:
响应于虚拟机发送的操作系统镜像文件密文,计算所述操作系统镜像文件密文的哈希值;
将计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值进行比较;
若二者不一致,则对所述中央处理器禁止启动位进行置位,以使所述中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使虚拟机加载操作系统。
22.根据权利要求21所述的保护方法,其特征在于,在计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值一致,且在所述虚拟机加载操作系统之后,所述方法还包括:
接收所述中央处理器发送的认证请求;
计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于所述虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将所述认证报告发送给所述中央处理器,以使所述中央处理器将所述认证报告发送给所述远程认证请求的发起方。
23.一种安全一体机的保护装置,其特征在于,应用于安全一体机中的安全处理器,所述装置包括:
第一接收模块,用于接收中央处理器发送的预制镜像文件;其中,所述预制镜像文件包括操作系统镜像文件和/或虚拟机启动引导镜像文件;
第一加密模块,用于利用第一密钥对所述预制镜像文件进行加密,得到镜像文件密文;所述第一密钥为所述安全处理器预先利用所述中央处理器内部的CPU标识生成;
第一发送模块,用于将所述镜像文件密文发送给所述中央处理器,以使所述中央处理器将所述镜像文件密文写入磁盘。
24.根据权利要求23所述的保护装置,其特征在于,所述装置还包括:
第一解密模块,用于在所述第一接收模块接收中央处理器发送的预制镜像文件之后,对所述预制镜像文件进行解密,得到镜像文件明文;
其中,所述加密模块,包括:
加密子模块,用于利用第一密钥对所述镜像文件明文进行加密,得到镜像文件密文。
25.根据权利要求24所述的保护装置,其特征在于,所述装置具体还用于:
在所述第一解密模块对所述预制镜像文件进行解密,得到镜像文件明文之前,对所述预制镜像文件进行完整性验证。
26.根据权利要求23所述的保护装置,其特征在于,所述装置具体还用于:
在所述第一接收模块接收中央处理器发送的预制镜像文件之前与所述预制镜像文件的发布方进行密钥协商。
27.一种安全一体机的保护装置,其特征在于,应用于安全一体机中的中央处理器,所述装置,包括:
第一检查模块,用于响应于安全处理器发送的、已完成完整性验证的完成信号,检查中央处理器禁止启动位是否被置位;其中,所述完整性验证包括所述安全处理器计算所述磁盘中镜像文件密文的哈希值,并与预先保存的所述镜像文件密文的哈希值进行比较,若二者不一致,则对所述中央处理器禁止启动位进行置位;
第二解密模块,用于若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成;
第一运行模块,用于运行所述镜像文件明文。
28.根据权利要求27所述的保护装置,其特征在于,所述镜像文件密文包括虚拟机启动引导镜像文件密文;所述装置还包括:
写入模块,用于将磁盘中的虚拟机启动引导镜像文件密文写入内存,以使安全处理器计算内存中的虚拟机启动引导镜像文件密文的哈希值,并与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;
所述第二解密模块,具体用于若未被置位,则利用第一密钥对所述虚拟机启动引导镜像文件密文进行解密,得到所述虚拟机启动引导镜像文件明文;
所述运行模块,具体用于运行所述虚拟机启动引导镜像文件明文,以启动虚拟机。
29.根据权利要求28所述的保护装置,其特征在于,所述镜像文件密文还包括操作系统镜像文件密文;所述装置还包括:
第二发送模块,用于在所述运行模块运行虚拟机之后,所述虚拟机发送操作系统镜像文件密文至安全处理器,以使所述安全处理器计算所述操作系统镜像文件密文的哈希值,并与预先保存的所述操作系统镜像文件密文的哈希值进行比较,若二者不一致,则对中央处理器禁止启动位进行置位;
第二检查模块,用于检查所述中央处理器禁止启动位是否被置位;
退出模块,用于若所述中央处理器禁止启动位已被置位,则异常退出;
第二运行模块,用于若所述中央处理器禁止启动位未被置位,则利用所述第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使所述虚拟机加载操作系统。
30.根据权利要求29所述的保护装置,其特征在于,所述装置还用于:
在所述第二运行模块运行操作系统镜像文件明文之后接收远程认证请求;
将所述远程认证请求发送至所述安全处理器,以使所述安全处理器生成认证报告;
接收所述安全处理器发送的认证报告,并将所述认证报告发送给所述远程认证请求的发起方。
31.一种安全一体机的保护装置,其特征在于,应用于安全一体机中的安全处理器,所述装置,包括:
第一计算模块,用于计算磁盘中镜像文件密文的哈希值;
第一比较模块,用于将计算的所述哈希值与预先保存的所述镜像文件密文的哈希值进行比较;
第一置位模块,用于若二者不一致,则对中央处理器禁止启动位进行置位,以使中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述镜像文件密文进行解密,得到镜像文件明文;并运行所述镜像文件明文;其中,所述第一密钥为所述安全处理器利用所述中央处理器内部的CPU标识生成。
32.根据权利要求31所述的保护装置,其特征在于,所述镜像文件密文包括虚拟机启动引导镜像文件密文,所述装置还包括:
第二计算模块,用于响应于中央处理器从磁盘读取虚拟机启动引导镜像文件密文到内存,计算内存中的所述虚拟机启动引导镜像文件密文的哈希值;
所述第一比较模块,具体用于将计算得到的哈希值与预先保存的所述虚拟机启动引导镜像文件密文的哈希值进行比较。
33.根据权利要求32所述的保护装置,其特征在于,所述镜像文件密文还包括操作系统镜像文件密文,所述装置还包括:
第三计算模块,用于响应于虚拟机发送的操作系统镜像文件密文,计算所述操作系统镜像文件密文的哈希值;
第二比较模块,用于将计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值进行比较;
第二置位模块,用于若二者不一致,则对所述中央处理器禁止启动位进行置位,以使所述中央处理器检查中央处理器禁止启动位是否被置位,若未被置位,则利用第一密钥对所述操作系统镜像文件密文进行解密,得到操作系统镜像文件明文,并运行操作系统镜像文件明文,以使虚拟机加载操作系统。
34.根据权利要求33所述的保护装置,其特征在于,所述装置具体还用于:
在所述第三计算模块计算得到的所述操作系统镜像文件密文的哈希值,与预先保存的所述操作系统镜像文件密文的哈希值一致,且在所述虚拟机加载操作系统之后,接收所述中央处理器发送的认证请求;
计算虚拟机启动引导镜像文件明文的哈希值,和/或计算操作系统镜像文件明文的哈希值,基于所述虚拟机启动引导镜像文件明文的哈希值,和/或操作系统镜像文件明文的哈希值,生成认证报告,将所述认证报告发送给所述中央处理器,以使所述中央处理器将所述认证报告发送给所述远程认证请求的发起方。
35.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求11-14或15-18或19-22任一项所述的安全一体机的保护方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310196817.XA CN116415313A (zh) | 2023-03-03 | 2023-03-03 | 一种安全一体机、安全一体机的保护方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310196817.XA CN116415313A (zh) | 2023-03-03 | 2023-03-03 | 一种安全一体机、安全一体机的保护方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116415313A true CN116415313A (zh) | 2023-07-11 |
Family
ID=87053995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310196817.XA Pending CN116415313A (zh) | 2023-03-03 | 2023-03-03 | 一种安全一体机、安全一体机的保护方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116415313A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116842529A (zh) * | 2023-07-13 | 2023-10-03 | 海光信息技术股份有限公司 | 一种软件文件、软件运行方法及其相关装置 |
-
2023
- 2023-03-03 CN CN202310196817.XA patent/CN116415313A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116842529A (zh) * | 2023-07-13 | 2023-10-03 | 海光信息技术股份有限公司 | 一种软件文件、软件运行方法及其相关装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102396251B (zh) | 对与网络通信的设备的确认和/或认证 | |
US10650139B2 (en) | Securing temporal digital communications via authentication and validation for wireless user and access devices with securitized containers | |
US9281949B2 (en) | Device using secure processing zone to establish trust for digital rights management | |
JP6275653B2 (ja) | データ保護方法及びシステム | |
CN107004083B (zh) | 设备密钥保护 | |
KR100657532B1 (ko) | 전자 장치 보안 방법, 보안 시스템 및 전자 장치 | |
CN111404696B (zh) | 协同签名方法、安全服务中间件、相关平台及系统 | |
KR100611628B1 (ko) | 전자 장치에서의 정보 처리 방법, 시스템, 전자 장치 및처리 블록 | |
CN101894224B (zh) | 保护客户端平台上的内容 | |
CN107438849B (zh) | 用于验证电子设备的完整性的系统和方法 | |
CN109684790A (zh) | 软件启动方法、软件授权验证方法、设备和存储介质 | |
CN109412812B (zh) | 数据安全处理系统、方法、装置和存储介质 | |
US20030196096A1 (en) | Microcode patch authentication | |
US7930537B2 (en) | Architecture for encrypted application installation | |
CN104756127A (zh) | 通过虚拟机进行安全数据处理 | |
US20120137372A1 (en) | Apparatus and method for protecting confidential information of mobile terminal | |
JP2003507784A (ja) | 記憶されたデータの使用に対する強制的な制限 | |
CN113557703A (zh) | 网络摄像机的认证方法和装置 | |
NL2033980A (en) | New method for trusted data decryption based on privacy-preserving computation | |
CN116070217A (zh) | 一种用于芯片模块的安全启动系统及其启动方法 | |
CN116415313A (zh) | 一种安全一体机、安全一体机的保护方法及装置 | |
JP2008005408A (ja) | 記録データ処理装置 | |
JP2006514321A (ja) | 暗号化されたアプリケーションをインストールするためのアーキテクチャ | |
KR20070059891A (ko) | 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법 | |
JP2011150524A (ja) | ソフトウェア実行システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |