CN117874773A - 基于安全等级管控策略的操作系统安全启动方法及装置 - Google Patents
基于安全等级管控策略的操作系统安全启动方法及装置 Download PDFInfo
- Publication number
- CN117874773A CN117874773A CN202410275652.XA CN202410275652A CN117874773A CN 117874773 A CN117874773 A CN 117874773A CN 202410275652 A CN202410275652 A CN 202410275652A CN 117874773 A CN117874773 A CN 117874773A
- Authority
- CN
- China
- Prior art keywords
- starting
- started
- security
- verification
- security level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000011217 control strategy Methods 0.000 title claims abstract description 66
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000008569 process Effects 0.000 claims abstract description 14
- 238000012795 verification Methods 0.000 claims description 116
- 238000005259 measurement Methods 0.000 claims description 24
- 238000004422 calculation algorithm Methods 0.000 claims description 13
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 4
- 230000002688 persistence Effects 0.000 claims description 4
- 238000007726 management method Methods 0.000 description 28
- 238000005192 partition Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 3
- 238000013524 data verification Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000002045 lasting effect Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于安全等级管控策略的操作系统安全启动方法及装置,设置不同安全等级的启动管控策略;利用数字证书配置各启动部件的安全等级;预先设定预期启动的预期安全等级;在启动过程中上一级启动部件对下一级的待启动部件进行启动管控,所述启动管控根据待启动部件的安全等级所对应的启动管控策略以及所述预期安全等级进行校验,决定待启动部件是否允许启动。本发明针对不同等级的启动部件采取不同的管控策略,可实现细粒度的安全启动管控方式。
Description
技术领域
本发明属于计算机技术领域,特别是涉及到一种基于安全等级管控策略的操作系统安全启动方法及装置。
背景技术
在信息安全问题日益突出的时代,如何为计算机提供一个安全可靠的操作环境,防止计算机中的个人信息免受外界窃取和破坏是一个严肃的问题。很多行业或者机构涉及大量敏感数据,同时对数据的安全和系统的稳定性要求非常高,需要完善的保护措施来保证启动系统的安全性。
常用的方法是为操作系统提供一个可信计算环境,从操作系统启动开始,保障操作系统的安全可靠操作环境。目前已有操作系统安全启动方案包括基于安全芯片的启动度量、启动部件的签名验签的方式,都最大限度的保证了启动部件的完整性和合法性,但是绝大多数在系统启动完成后才对用户进行权限校验,而启动完成意味着硬盘数据已被加载,即存在木马黑入和密码暴力破解侵入计算机的情况;CN110795727A提出一种基于安全U盘和安全硬盘安全启动控制方法,安全U盘先对用户进行身份认证和权限校验,校验通过方可解密安全硬盘,启动其存储的操作系统。但是系统本身的安全性没有得到认证,在启动阶段仍然会遭到恶意攻击破坏,系统没有形成完整的可信链,可信度大打折扣。于是存在既需要保证所启动系统满足用户对系统的高安全性或高安全度的需求,又需要高安全性的系统在启动阶段避免非法用户的恶意操作或者攻击,保障系统数据的安全性。
目前绝大多数系统实现安全启动都需要向微软申请安全启动签名和证书,而对于涉密程度较高的行业若要做到自主可控,基于微软颁发的证书实现系统的安全启动是不可取和不可靠的。
同时对于这些涉密程度较高的行业也会存在对于系统安全性要求不高的场景,仅满足日常常规的办公操作即可,对于这类场景,系统安全性需求相对低,需要在保证系统启动安全性的基础上减少不必要的繁琐操作和时间开销,需要平衡安全性和便捷性。
因此,针对上述缺陷,有必要实行相关研究,提出切实有效的方案解决现有技术的缺陷。
发明内容
本发明的目的在于提供一种基于安全等级管控策略的操作系统安全启动方法及装置,针对不同等级的启动部件采取不同的管控策略,可实现细粒度的安全启动管控方式。
为了实现上述目的,本发明的技术方案是这样实现的:
一种基于安全等级管控策略的操作系统安全启动方法,包括:
设置不同安全等级的启动管控策略;
利用数字证书配置各启动部件的安全等级;
预先设定预期启动的预期安全等级;
在启动过程中上一级启动部件对下一级的待启动部件进行启动管控,所述启动管控根据待启动部件的安全等级所对应的启动管控策略以及所述预期安全等级进行校验,决定待启动部件是否允许启动。
进一步的,所述启动管控策略包括低安全等级、中安全等级、高安全等级;
低安全等级的启动管控策略首先进行待启动部件的安全等级校验;通过后再进行待启动部件的完整性校验,所述完整性校验包括:先进行签名验证,不通过则再进行可信度量校验;
中安全等级的启动管控策略首先进行待启动部件的安全等级校验;通过后再进行待启动部件的完整性校验,所述完整性校验包括签名验证;
高安全等级的启动管控策略首先进行待启动部件的安全等级校验;通过后再进行待启动部件的完整性校验,所述完整性校验包括签名验证;通过后再进行用户身份鉴权校验。
更进一步的,所述安全等级校验包括:判断待启动部件的安全等级是否不低于所述预期安全等级,如果是则校验通过。
更进一步的,所述签名验证包括:将CA机构或部门的安全启动根证书默认保存到TPM的持续性存储空间,对待启动部件数据采用SM2-WIHT-SM3国密算法的公钥验签验证;所述可信度量校验包括待启动部件数据基准值采集并持久性存储TPM中,采用SM3取摘要与基准值比较验证,实现待启动部件的可信度量校验。
更进一步的,所述用户身份鉴权校验包括:通过带安全等级扩展字段的数字证书给用户赋予安全等级,同时基于TPM和数字证书进行用户权限鉴别。
进一步的,通过带安全等级扩展字段的数字证书给启动部件签名,实现对各启动部件的安全等级配置。
本发明另一方面还提出了一种基于安全等级管控策略的操作系统安全启动装置,包括:
启动管控策略单元:设置不同安全等级的启动管控策略;
启动部件等级单元:利用数字证书配置各启动部件的安全等级;
预期安全等级单元:预先设定预期启动的预期安全等级;
启动管控单元:在启动过程中上一级启动部件对下一级的待启动部件进行启动管控,所述启动管控根据待启动部件的安全等级所对应的启动管控策略以及所述预期安全等级进行校验,决定待启动部件是否允许启动。
进一步的,所述启动管控策略单元包括安全等级校验模块,完整性校验模块和用户身份鉴权模块;所述完整性校验模块包括证书签名验证子模块和可信度量子模块;
所述启动管控策略单元通过安全等级校验模块、证书签名验证子模块、可信度量子模块执行低安全等级的启动管控策略;通过安全等级校验模块、证书签名验证子模块执行中安全等级的启动管控策略;通过安全等级校验模块、证书签名验证子模块、用户身份鉴权模块执行高安全等级的启动管控策略。
更进一步的,所述证书签名验证子模块包括:将CA机构或部门的安全启动根证书默认保存到TPM的持续性存储空间,对待启动部件数据采用SM2-WIHT-SM3国密算法的公钥验签验证;所述可信度量子模块包括待启动部件数据基准值采集并持久性存储TPM中,采用SM3取摘要与基准值比较验证,实现待启动部件的可信度量校验。
本发明还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行上述的基于安全等级管控策略的操作系统安全启动方法。
与现有技术相比,本发明具有如下的有益效果:
1、本发明提出的不同安全等级的启动管控策略,实现细粒度的安全启动管控方式;
2、本发明启动验证用户权限保证涉密度高安全性高的系统不被任意用户启动;
3、本发明提出基于TPM并结合国密算法的签名验证和可信度量的组合方式来实现完整性度量,保证系统启动数据校验的安全性和便捷性。
附图说明
图1是本发明实施例的流程示意图。
图2是本发明实施例的高安全等级的启动管控过程示意图。
图3是本发明实施例的操作系统启动部件的启动管控示意图。
图4是本发明实施例的用户鉴权注册流程示意图。
图5是本发明实施例的用户鉴权操作流程示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
首先对本发明实施例中缩略语和关键术语进行说明。
UEFI:统一可扩展固件接口(英语:Unified Extensible Firmware Interface,缩写UEFI)是一种个人电脑系统规格,用来定义操作系统与系统固件之间的软件界面,可作为BIOS的替代方案。
TPM:即可信平台模块(Trusted Platform Module),在TCG(Trusted ComputingGroup:可信计算组织)中被定义为一种安全芯片,用于管理秘钥、执行加解密运算、数字签名和安全存储数据。
GRUB:GRUB(GRand Unified Bootloader)是一个来自GNU项目的多操作系统启动程序。GRUB可用于选择操作系统分区上的不同内核,也可用于向这些内核传递启动参数。
SHIM:SHIM是第一阶段 UEFI 引导加载程序。安全启动过程中,受UEFI固件的签名验证来判断shim的合法性,同时也会校验下一级的引导程序。
EFI:EFI(Extensible Firmware Interface)是可扩展固件接口,它是用模块化、高级语言构建的一个小型化系统,它和BIOS一样,主要在启动过程中完成硬件初始化,但它是直接利用加载EFI驱动的方式,识别系统硬件并完成硬件初始化。
ESP:ESP(EFI System Partition)也称为EFI分区或EFI系统分区,是操作系统在EFI启动时使用的重要分区,通常用于存储UEFI固件启动器和引导文件,该分区通常在磁盘的开头位置创建,并被格式化为FAT32文件系统。
SM2-WIHT-SM3:国密签名算法,算法OID为:1.2.156.10197.1.501,SM3取哈希摘要值,SM2进行加密操作。
SM3:SM3算法是一种密码散列函数标准,由国家密码管理局发布。它的安全性和SHA-256相当,适用于商用密码应用中的数字签名和验证、消息认证码生成和验证、随机数生成等。
本发明的设计思想是:不同等级的启动部件采取不同的管控策略。
实施例一:
基于所述设计思想,如图1所示,本发明实施例一提出的基于安全等级管控策略的操作系统安全启动方法,制定了低级、中级以及高级的安全等级启动管控策略,对于启动部件执行何种等级的启动管控策略则由待启动部件的安全等级来决定,不同等级的启动部件采取不同的管控策略,可实现细粒度的安全启动管控方式。启动前用户预先设定预期启动的安全等级,利用数字证书配置各启动部件的安全等级,拒绝启动所拥有的安全等级比用户预期安全等级低的部件,通过此方法满足用户所需对于启动系统的安全性。提供基于TPM并采用国密算法的签名验证和可信度量的组合方式来实现完整性度量,其主要实现通过将安全启动证书以及相关启动部件基准数据持久性存储TPM中,对部件数据采用SM2-WIHT-SM3国密算法的公钥验签验证,或采用SM3取摘要与基准值比较验证,保证启动部件数据校验的具有较高的安全性和灵活性。对于高安全等级的部件增加验证用户权限的功能,启动操作的用户的安全等级不得比待启动部件安全等级低,保证了涉密度高安全性高的系统不被非法用户或任意用户加载启动,这种保护可阻止对系统核心模块或硬件的破坏,同时维护数据安全性。
其中,操作系统安全启动是UEFI标准提供的安全机制,通过公钥密码体系来确保启动过程中加载的所有可执行文件(EFI驱动程序、EFI可执行程序、操作系统引导程序和内核程序等)的完整性合法性。
如图3所示,本发明对各启动部件进行启动管控,在打开安全启动后重启设备,设备加电后首先启动UEFI,UEFI会去硬盘ESP分区找到默认的操作系统启动项SHIM程序文件,即操作系统的第一个启动部件,并对SHIM根据管控策略进行启动管控,若通过策略校验则会允许SHIM程序启动,然后SHIM会去加载启动GRUB,GRUB去加载启动内核,按顺序逐级进行启动部件的启动,并且启动流程中上一级部件会根据管控策略去管控下一级的启动部件,即上一级启动部件可以决定下一级启动部件是否允许启动。
为了实现各启动部件的启动管控,本发明为安全启动涉及到的启动部件以及启动操作的用户赋予了相应的安全等级,其中安全等级代表着安全性,启动部件的安全等级由为其签名的数字证书的安全等级决定;启动部件的安全等级越高,则该部件启动后的系统安全性越高,该部件系统的安全性环境要求也越高,同时高安全等级的部件不得被低或者中安全等级的用户加载启动。
用户的安全等级由其持有的数字证书安全等级决定,用户的安全等级高,则用户具有权限启动操作高安全等级的部件和系统。
数字证书的安全等级由其增加的安全等级扩展字段的值来实现和决定,不同的值表示证书不同安全等级,本发明实施例设定了低级、中级和高级等三个等级的安全等级。
执行安全启动管控策略之前,用户需要设置预期安全等级,后续启动的部件安全等级不得低于预期安全等级,在UEFI层面增加该预期安全等级设置项,并将该项的值保存在TPM的持续性存储空间中。
本发明涉及到数字证书,提出该安全启动方案对应的行业权威CA机构或公司内部CA部门,部件签名证书和用户身份鉴权证书需要部件开发者和用户分别向行业权威CA机构或公司内部CA部门申请,对于申请高安全等级证书的部件开发者,所提供部件需要调用用户鉴权模块的接口或命令具备鉴别用户权限的能力;所述行业权威CA机构或公司内部CA部门具有对部件权限或用户权限的决定权利,所以需要行业权威CA机构或公司内部CA部门根据申请的材料作出合理严谨的决定赋予对应安全等级的证书,安全等级的可信度全依赖于行业权威CA机构或公司内部CA部门。所述行业权威CA机构或公司内部CA部门的安全启动根证书会默认保存到TPM的持续性存储空间。
实际启动流程中,上一级启动部件对下一级启动部件的管控策略由安全等级校验模块,完整性校验模块和用户身份鉴权模块完成。
1、安全等级校验模块:启动的系统模块安全等级不得低于用户预期的安全等级,保证所启动系统的安全性更细粒度的满足用户需求。
2、完整性校验模块:完整性校验包括证书签名验证子模块和可信度量子模块,分别是实现启动部件的完整性校验的两种手段,保证启动部件文件没有被非法篡改。
(1)证书签名验证子模块:对启动部件进行签名验证的方法进行完整性校验,同时保证启动部件的来源合法性。启动部件开发者通过向行业权威CA机构或公司内部CA部门申请对应安全等级的证书私钥,并对生成的启动部件签名,于是该启动部件便带有该证书和签名,同时具备了安全等级信息。为保证自主可控,该模块涉及到的摘要算法和非对称加密算法分别采用国密SM2和SM3算法,同时TPM中保存有安全启动根证书用于对启动部件签名证书进行来源合法性校验。实际启动校验会对启动部件签名证书进行来源合法性校验,获取公钥解密签名来进行启动部件完整性校验。
(2)可信度量子模块:可信度量的方式进行完整性校验,分两部分执行阶段:采集基准值和实际启动度量,采集基准值阶段需要完整的进行一遍启动流程,TPM对实际启动的启动部件需要先进行一遍SM3摘要值计算,将计算结果持久化存储到TPM,系统成功启动后基准值采集流程完成。实际启动度量执行阶段,会对实际启动的部件再进行一遍SM3摘要值计算并与TPM保存的基准值进行比较,若一致则启动部件的完整性校验通过,否则校验不通过。
3、用户身份鉴权模块:对于用户需要启动安全等级高的启动部件的情况,需要对用户身份鉴权,来保证涉密程度高或者安全系数较高的系统不被任意开启执行,使得安全性高的系统不被随意启动访问,保证所启动系统自身的安全。所以对于有这部分启动需求的用户,根据用户的安全等级不能低于所启动模块的安全等级要求,需提前向行业权威CA机构或公司内部CA部门申请安全等级为高等级的身份鉴权证书,并进行身份鉴权注册。
(1)鉴权注册:如图4所示,鉴权注册需要用户设置口令,操作过程中将用户的鉴权证书对应的私钥存储至TPM,将口令作为私钥的使用授权域,在TPM中使用所述鉴权证书公钥加密口令后生成口令密文,将所述口令密文持久化存储至TPM中,将口令作为口令密文存储空间的使用授权域,以便后续口令验证通过可获得这部分信息。身份鉴权证书保存到硬盘用户空间指定目录,并将TPM的口令密文与用户身份证书对应的信息存储到TPM的关系映射表中。
(2)鉴权操作:如图5所示,实际的安全启动鉴权步骤中,加载高等级的启动部件,首先获取TPM指定易失性存储空间中是否存在鉴权通过的值,若存在则直接返回鉴权通过;否则需要用户输入此前设置的口令,待启动部件通过口令获得私钥的使用权限,利用私钥解密口令密文,将解密后的口令与用户输入的口令进行比对校验,若不一致则校验失败,若一致则根据关系映射表获取对应的鉴权证书,使用TPM存储的安全启动根证书对该鉴权证书进行来源合法性校验,获取并校验该证书的安全等级来对用户身份权限进行鉴别,即若为高安全等级的证书则鉴权通过,将鉴权通过的值存储到TPM指定易失性存储空间中。
基于所述安全等级校验模块,完整性校验模块和用户身份鉴权模块,本发明实现低级、中级以及高级的安全等级启动管控策略,对于启动部件执行何种等级的启动管控策略则由待启动部件的安全等级来决定,并且与启动部件的安全等级一一对应。
所述低安全等级的启动管控策略,该启动流程安全等级的启动管控策略,首先采用安全等级校验模块进行安全等级校验,只有用户预设的安全等级为低等级并开启安全启动,待启动部件的安全等级为低等级才会执行该安全等级的启动管控策略。安全等级校验模块校验通过,则会进行启动部件的完整性校验,会首先采用签名验证子模块校验,若验证通过则允许启动该模块;若校验不通过则会采用可信度量模块的校验方式,若校验通过则允许启动否则不允许启动,启动的可信性由行业权威CA机构或公司内部CA部门转移到用户自身,用户通过自身的启动可信度量方式赋予系统启动部件的可信性。
所述中安全等级的启动管控策略,该启动流程安全等级的启动管控策略,同样首先采用安全等级校验模块进行安全等级校验,只有用户预设的安全等级为低、中等级并开启安全启动,待启动部件的安全等级为中等级才会执行该安全等级的启动管控策略。若校验通过则进行采用完整性校验的签名验证子模块进行校验,若校验通过则启动该部件否则不允许启动。
所述高安全等级的启动管控策略,该启动流程安全等级的启动管控策略,同样首先采用安全等级校验模块进行安全等级校验,只有用户预设的安全等级为低、中和高等级并开启安全启动,待启动部件的安全等级为高等级才会执行该安全等级的启动管控策略。若校验通过则进行采用完整性校验的签名验证子模块进行校验,若校验通过则采用用户身份鉴权校验模块对用户身份权限进行鉴别,若校验通过则启动该部件否则不允许启动。因为高安全等级的启动部件涉密程度较高,在关闭安全启动的情况下,仍然无法启动该部件。
若用户需要保证安全启动的操作系统非一定安全等级的用户可开启,保证涉密程度高或者安全系数较高的系统不被任意开启执行,当用户利用该证书私钥为高安全系数的系统模块文件签名后,此系统的模块便具备了认证用户权限功能,保证不被任意用户加载和开启。
如图2所示,是完整的高安全等级的启动管控策略的执行过程。
综合以上,若系统启动部件的完整性验证以及安全等级校验比较都通过,可选择的,用户权限校验通过,则可安全启动进入系统。
本实施例一能够通过不同安全等级启动策略的安全启动控制方法实现细粒度的安全启动管控方式,保证涉密度高安全性高的系统不被任意用户启动,实现完整性度量,保证系统启动数据校验的安全性和便捷性。
实施例二:
本发明实施例二提供了一种基于安全等级管控策略的操作系统安全启动装置,包括:
启动管控策略单元:设置不同安全等级的启动管控策略;
启动部件等级单元:利用数字证书配置各启动部件的安全等级;
预期安全等级单元:预先设定预期启动的预期安全等级;
启动管控单元:在启动过程中上一级启动部件对下一级的待启动部件进行启动管控,所述启动管控根据待启动部件的安全等级所对应的启动管控策略以及所述预期安全等级进行校验,决定待启动部件是否允许启动。
所述启动管控策略单元包括安全等级校验模块,完整性校验模块和用户身份鉴权模块;所述完整性校验模块包括证书签名验证子模块和可信度量子模块;
所述启动管控策略单元通过安全等级校验模块、证书签名验证子模块、可信度量子模块执行低安全等级的启动管控策略;通过安全等级校验模块、证书签名验证子模块执行中安全等级的启动管控策略;通过安全等级校验模块、证书签名验证子模块、用户身份鉴权模块执行高安全等级的启动管控策略。
所述证书签名验证子模块包括:将CA机构或部门的安全启动根证书默认保存到TPM的持续性存储空间,对待启动部件数据采用SM2-WIHT-SM3国密算法的公钥验签验证;所述可信度量子模块包括待启动部件数据基准值采集并持久性存储TPM中,采用SM3取摘要与基准值比较验证,实现待启动部件的可信度量校验。
所述安全等级校验模块,完整性校验模块、用户身份鉴权模块、书签名验证子模块和可信度量子模块的功能与实施例一中相同,其实现低安全等级、中安全等级、高安全等级的启动管控策略的过程也与实施例一中相同。
本实施例中提出的基于安全等级管控策略的操作系统安全启动装置,能够实现实施例一中提供的基于安全等级管控策略的操作系统安全启动方法。
实施例三:
本实施例三中提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行本发明实施例一提供的基于安全等级管控策略的操作系统安全启动方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
上述实施例仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于安全等级管控策略的操作系统安全启动方法,其特征在于,包括:
设置不同安全等级的启动管控策略;
利用数字证书配置各启动部件的安全等级;
预先设定预期启动的预期安全等级;
在启动过程中上一级启动部件对下一级的待启动部件进行启动管控,所述启动管控根据待启动部件的安全等级所对应的启动管控策略以及所述预期安全等级进行校验,决定待启动部件是否允许启动。
2.根据权利要求1所述的基于安全等级管控策略的操作系统安全启动方法,其特征在于,所述启动管控策略包括低安全等级、中安全等级、高安全等级;
低安全等级的启动管控策略首先进行待启动部件的安全等级校验;通过后再进行待启动部件的完整性校验,所述完整性校验包括:先进行签名验证,不通过则再进行可信度量校验;
中安全等级的启动管控策略首先进行待启动部件的安全等级校验;通过后再进行待启动部件的完整性校验,所述完整性校验包括签名验证;
高安全等级的启动管控策略首先进行待启动部件的安全等级校验;通过后再进行待启动部件的完整性校验,所述完整性校验包括签名验证;通过后再进行用户身份鉴权校验。
3.根据权利要求2所述的基于安全等级管控策略的操作系统安全启动方法,其特征在于,所述安全等级校验包括:判断待启动部件的安全等级是否不低于所述预期安全等级,如果是则校验通过。
4.根据权利要求2所述的基于安全等级管控策略的操作系统安全启动方法,其特征在于,所述签名验证包括:将CA机构或部门的安全启动根证书默认保存到TPM的持续性存储空间,对待启动部件数据采用SM2-WIHT-SM3国密算法的公钥验签验证;所述可信度量校验包括待启动部件数据基准值采集并持久性存储TPM中,采用SM3取摘要与基准值比较验证,实现待启动部件的可信度量校验。
5.根据权利要求2所述的基于安全等级管控策略的操作系统安全启动方法,其特征在于,所述用户身份鉴权校验包括:通过带安全等级扩展字段的数字证书给用户赋予安全等级,同时基于TPM和数字证书进行用户权限鉴别。
6.根据权利要求1所述的基于安全等级管控策略的操作系统安全启动方法,其特征在于,通过带安全等级扩展字段的数字证书给启动部件签名,实现对各启动部件的安全等级配置。
7.一种基于安全等级管控策略的操作系统安全启动装置,其特征在于,包括:
启动管控策略单元:设置不同安全等级的启动管控策略;
启动部件等级单元:利用数字证书配置各启动部件的安全等级;
预期安全等级单元:预先设定预期启动的预期安全等级;
启动管控单元:在启动过程中上一级启动部件对下一级的待启动部件进行启动管控,所述启动管控根据待启动部件的安全等级所对应的启动管控策略以及所述预期安全等级进行校验,决定待启动部件是否允许启动。
8.根据权利要求7所述的基于安全等级管控策略的操作系统安全启动装置,其特征在于,所述启动管控策略单元包括安全等级校验模块,完整性校验模块和用户身份鉴权模块;所述完整性校验模块包括证书签名验证子模块和可信度量子模块;
所述启动管控策略单元通过安全等级校验模块、证书签名验证子模块、可信度量子模块执行低安全等级的启动管控策略;通过安全等级校验模块、证书签名验证子模块执行中安全等级的启动管控策略;通过安全等级校验模块、证书签名验证子模块、用户身份鉴权模块执行高安全等级的启动管控策略。
9.根据权利要求8所述的基于安全等级管控策略的操作系统安全启动装置,其特征在于,所述证书签名验证子模块包括:将CA机构或部门的安全启动根证书默认保存到TPM的持续性存储空间,对待启动部件数据采用SM2-WIHT-SM3国密算法的公钥验签验证;所述可信度量子模块包括待启动部件数据基准值采集并持久性存储TPM中,采用SM3取摘要与基准值比较验证,实现待启动部件的可信度量校验。
10.一种计算机可读存储介质,所述存储介质存储有计算机程序,其特征在于,所述计算机程序用于执行如权利要求1-6任一项所述的基于安全等级管控策略的操作系统安全启动方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410275652.XA CN117874773A (zh) | 2024-03-12 | 2024-03-12 | 基于安全等级管控策略的操作系统安全启动方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410275652.XA CN117874773A (zh) | 2024-03-12 | 2024-03-12 | 基于安全等级管控策略的操作系统安全启动方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117874773A true CN117874773A (zh) | 2024-04-12 |
Family
ID=90579602
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410275652.XA Pending CN117874773A (zh) | 2024-03-12 | 2024-03-12 | 基于安全等级管控策略的操作系统安全启动方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117874773A (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100082966A1 (en) * | 2008-09-28 | 2010-04-01 | Feitian Technologies Co., Ltd. | Method for computer startup protection and system thereof |
| US8646084B1 (en) * | 2012-09-28 | 2014-02-04 | Kaspersky Lab Zao | Securing file launch activity utilizing safety ratings |
| CN103927490A (zh) * | 2014-04-25 | 2014-07-16 | 华为技术有限公司 | 操作系统安全启动方法及装置 |
| CN106096418A (zh) * | 2016-06-02 | 2016-11-09 | 北京元心科技有限公司 | 基于SELinux的开机安全等级选择方法、装置及终端设备 |
| CN114003915A (zh) * | 2020-07-28 | 2022-02-01 | 华为技术有限公司 | 基于芯片的安全启动方法及装置 |
| CN114329479A (zh) * | 2021-12-08 | 2022-04-12 | 浙江大学 | 一种面向risc-v架构的启动验证方法 |
| CN114880048A (zh) * | 2022-07-08 | 2022-08-09 | 摩尔线程智能科技(北京)有限责任公司 | 一种安全启动方法及装置、电子设备和存储介质 |
| CN114995894A (zh) * | 2022-08-02 | 2022-09-02 | 深圳融安网络科技有限公司 | 操作系统的启动控制方法、终端设备及可读存储介质 |
| CN115827076A (zh) * | 2022-12-02 | 2023-03-21 | 亿咖通(湖北)技术有限公司 | 操作系统引导启动方法、设备、存储介质及程序产品 |
| CN115934194A (zh) * | 2022-12-12 | 2023-04-07 | 苏州挚途科技有限公司 | 一种控制器启动方法、装置、电子设备及储存介质 |
| CN116009971A (zh) * | 2022-04-01 | 2023-04-25 | 中电长城圣非凡信息系统有限公司 | 一种可信度量方法及系统 |
| CN117272317A (zh) * | 2023-09-25 | 2023-12-22 | 中汽智联技术有限公司 | 一种系统安全启动方法、电子设备及存储介质 |
-
2024
- 2024-03-12 CN CN202410275652.XA patent/CN117874773A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100082966A1 (en) * | 2008-09-28 | 2010-04-01 | Feitian Technologies Co., Ltd. | Method for computer startup protection and system thereof |
| US8646084B1 (en) * | 2012-09-28 | 2014-02-04 | Kaspersky Lab Zao | Securing file launch activity utilizing safety ratings |
| CN103927490A (zh) * | 2014-04-25 | 2014-07-16 | 华为技术有限公司 | 操作系统安全启动方法及装置 |
| CN106096418A (zh) * | 2016-06-02 | 2016-11-09 | 北京元心科技有限公司 | 基于SELinux的开机安全等级选择方法、装置及终端设备 |
| CN114003915A (zh) * | 2020-07-28 | 2022-02-01 | 华为技术有限公司 | 基于芯片的安全启动方法及装置 |
| CN114329479A (zh) * | 2021-12-08 | 2022-04-12 | 浙江大学 | 一种面向risc-v架构的启动验证方法 |
| CN116009971A (zh) * | 2022-04-01 | 2023-04-25 | 中电长城圣非凡信息系统有限公司 | 一种可信度量方法及系统 |
| CN114880048A (zh) * | 2022-07-08 | 2022-08-09 | 摩尔线程智能科技(北京)有限责任公司 | 一种安全启动方法及装置、电子设备和存储介质 |
| CN114995894A (zh) * | 2022-08-02 | 2022-09-02 | 深圳融安网络科技有限公司 | 操作系统的启动控制方法、终端设备及可读存储介质 |
| CN115827076A (zh) * | 2022-12-02 | 2023-03-21 | 亿咖通(湖北)技术有限公司 | 操作系统引导启动方法、设备、存储介质及程序产品 |
| CN115934194A (zh) * | 2022-12-12 | 2023-04-07 | 苏州挚途科技有限公司 | 一种控制器启动方法、装置、电子设备及储存介质 |
| CN117272317A (zh) * | 2023-09-25 | 2023-12-22 | 中汽智联技术有限公司 | 一种系统安全启动方法、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1679632B1 (en) | Systems and methods for securely booting a computer with a trusted processing module | |
| EP2583410B1 (en) | Single-use authentication methods for accessing encrypted data | |
| US7577840B2 (en) | Transferring application secrets in a trusted operating system environment | |
| US7634661B2 (en) | Manifest-based trusted agent management in a trusted operating system environment | |
| US7159240B2 (en) | Operating system upgrades in a trusted operating system environment | |
| US8874922B2 (en) | Systems and methods for multi-layered authentication/verification of trusted platform updates | |
| US20060174334A1 (en) | Controlling computer applications' access to data | |
| US20070186112A1 (en) | Controlling execution of computer applications | |
| TWI708159B (zh) | 包含安全處理器之裝置平台、裝置中之安全處理器、以及相關儲存媒體 | |
| TWI788594B (zh) | 安全執行可延伸韌體應用程式的方法及計算機設備 | |
| WO2006113167A2 (en) | Secure boot | |
| CN107679425B (zh) | 一种基于固件和USBkey的联合全盘加密的可信启动方法 | |
| US20170255775A1 (en) | Software verification systems with multiple verification paths | |
| CN114651253A (zh) | 用于策略强制实施的虚拟环境类型验证 | |
| US20230041769A1 (en) | Management system for disk encryption | |
| CN117874773A (zh) | 基于安全等级管控策略的操作系统安全启动方法及装置 | |
| CN117932612A (zh) | 一种基于TrustZone技术的安全启动方法 | |
| CN116776311A (zh) | 分级验证启动方法和装置 | |
| CN116541890A (zh) | 一种文件完整性校验方法、装置、设备及存储介质 | |
| CN115033854A (zh) | 一种数据处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |