一种云主机操作系统加固方法技术方案

本发明专利技术提供了一种云主机操作系统加固方法，包括如下步骤：1）在操作系统的模块中插入楔子代码，楔子代码会触发陷入系统管理模式SMM动作；2）触发后，CPU切换在系统管理模式SMM下，检测模块对操作系统完整性进行校验，检测恶意软件对操作系统的篡改。该方案的方法在系统管理模式SMM模式下，对操作系统重要模块进行校验，校验方法是基于HASH方法进行实现，对应的Hash数值存放于系统管理内存（System Management RAM,SMRAM）空间中，由于客户域系统软件一般是不能访问该空间数据的，因此扫描模块和Hash文件库对上层操作系统透明，具备更高安全性。

【技术实现步骤摘要】
一种云主机操作系统加固方法
本专利技术涉及的是一种云主机操作系统加固方法。
技术介绍
在现有技术中，公知的技术是系统管理模式(SystemManagementMode,SMM)是Intel在386SL之后引入x86体系结构的执行模式，它是CPU四种运行模式中的一种，其它三种是实模式、保护模式、v86模式。SMM只能通过系统管理中断（SystemManagementInterrupt,SMI）进入，并只能通过执行RSM指令退出。SMM模式对操作系统透明，换句话说，操作系统根本不知道系统何时进入SMM模式，也无法感知SMM模式曾经执行过，随着互联网带宽的不断升级，云计算在日常生活中的应用已经相当普及。计算机安全问题，例如病毒、木马等导致数据泄露和数据篡改等问题，也变得更为严重。在上述背景下，解决面向操作系统安全问题、保障使用云客户机系统安全已成为计算机安全的一个重要关键技术点。
技术实现思路
本专利技术的目的就是针对现有技术所存在的不足而提供一种技术方案，该方案的方法在系统管理模式SMM模式下，对操作系统重要模块进行校验，校验方法是基于HASH方法进行实现，对应的Hash数值存放于系统管理内存（SystemManagementRAM,SMRAM）空间中，由于客户域系统软件一般是不能访问该空间数据的，因此扫描模块和Hash文件库对上层操作系统透明，具备更高安全性。本方案是通过如下技术措施来实现的：1.一种云主机操作系统加固方法，其特征在于包括如下步骤：1）在操作系统的模块中插入楔子代码，楔子代码会触发陷入系统管理模式SMM动作；2）触发后，CPU切换在系统管理模式SMM下，每次进入SMM后执行程序入口地址都不会一样，检测模块对操作系统完整性进行校验，检测恶意软件对操作系统的篡改。所述的校验采用HASH算法进行实现。HASH算法对应的HASH数值存放在系统管理内存SMRAM的空间内。通过TPM芯片对HASH数值型加密。在系统管理模式SMM中对HASH数值建立白名单，使HASH算法正常执行。所述的白名单包括特殊软件和操作系统的数据结构，所述的特殊软件包括杀毒软件，数据结构包括GDT表、驱动程序。楔子代码插入的位置选择的是sysenter和syscall指令指向的内核代码的入口位置。本方案的有益效果可根据对上述方案的叙述得知，由于在该方案中在操作系统的关键模块插入楔子代码，该代码会触发陷入SMM动作，触发成功后，CPU将切换在SMM模式下，此时检测模块会对操作系统完整性进行校验，以检测恶意软件对操作系统的篡改。楔子代码插入位置，这里选择的是sysenter和syscall指令指向的内核代码的入口位置。在SMM模式下一切被都屏蔽，包括所有的中断。SMM模式下的执行的程序被称作SMM处理程序，所有的SMM处理程序只能在系统管理内存（SystemManagementRAM,SMRAM）的空间内运行。操作系统不可以访问该空间，恶意软件和病毒一般是不能访问该空间，因此扫描模块具备较强的隔离型，而SMM处理程序能够访问整个内存空间；每次进入SMM后执行程序入口地址都不会一样，使得跟踪SMM执行变得更为困难。Hash数值经TPM芯片进行了加密，即使第三方能获取到这些数值，解密修改这些数据也将具备更高的复杂度，基于TPM芯片进行加密和解密操作，减少了CPU执行计算任务负荷，节省了系统资源，缩减了每次执行检验的时间间隔本方案是基于白名单方式校验Hash数值，加入到白名单主要包括了操作系统主要的数据结构和一些特殊应用软件。操作系统重要的数据结构包括了GDT表、驱动程序等；特殊应用软件主要包括了杀毒软件等特殊程序。本方案同时适合于校验运行在物理机中操作系统完整性，也可以校验运行在虚拟域中操作系统的完整性。本方法不仅能够校验运行在虚拟域中操作系统完整性，同时能够校验hypervisor层重要数据结构的完整性，为云计算环境提供更完整的数据校验功能。由此可见，本专利技术与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。具体实施方式为能清楚说明本方案的技术特点，下面通过一个具体实施方式，对本方案进行阐述。本方案的云主机操作系统加固方法，包括如下步骤：1）在操作系统的模块中插入楔子代码，楔子代码会触发陷入系统管理模式SMM动作；2）触发后，CPU切换在系统管理模式SMM下，每次进入SMM后执行程序入口地址都不会一样，检测模块对操作系统完整性进行校验，检测恶意软件对操作系统的篡改。所述的校验采用HASH算法进行实现，HASH算法对应的HASH数值存放在系统管理内存SMRAM的空间内，通过TPM芯片对HASH数值型加密，在系统管理模式SMM中对HASH数值建立白名单，使HASH算法正常执行，所述的白名单包括特殊软件和操作系统的数据结构，所述的特殊软件包括杀毒软件，数据结构包括GDT表、驱动程序。楔子代码插入的位置选择的是sysenter和syscall指令指向的内核代码的入口位置。本专利技术并不仅限于上述具体实施方式，本领域普通技术人员在本专利技术的实质范围内做出的变化、改型、添加或替换，也应属于本专利技术的保护范围。本文档来自技高网...

【技术保护点】
一种云主机操作系统加固方法，其特征在于包括如下步骤：1）在操作系统的模块中插入楔子代码，楔子代码会触发陷入系统管理模式SMM动作；2）触发后，CPU切换在系统管理模式SMM下，每次进入SMM后执行程序入口地址都不会一样，检测模块对操作系统完整性进行校验，检测恶意软件对操作系统的篡改。

【技术特征摘要】
1.一种云主机操作系统加固方法，其特征在于包括如下步骤：1）在操作系统的模块中插入楔子代码，楔子代码会触发陷入系统管理模式SMM动作；2）触发后，CPU切换在系统管理模式SMM下，每次进入SMM后执行程序入口地址都不会一样，检测模块对操作系统完整性进行校验，检测恶意软件对操作系统的篡改。2.根据权利要求1所述的云主机操作系统加固方法，其特征是：所述的校验采用HASH算法进行实现。3.根据权利要求2所述的云主机操作系统加固方法，其特征是：HASH算法对应的HASH数值存放在系统管理内存SMRAM的空间内。4.根据权利...

【专利技术属性】
技术研发人员：王利朋，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41