本发明专利技术公开了一种系统的可信验证启动方法及装置,应用于嵌入式操作系统,该方法包括:对系统BIOS进行可信度量;当系统BIOS可信时,将第一内核的第一控制权移交给所述系统BIOS;通过所述系统BIOS对可信计算系统镜像进行可信度量;当所述可信计算系统镜像可信时,装载所述可信计算系统镜像,并将所述第一控制权移交给所述可信计算系统,启动所述可信计算系统;对普通计算系统镜像进行可信度量;当所述普通计算系统镜像可信时,装载普通计算系统镜像,并将第二内核的第二控制权移交给所述普通计算系统,启动所述普通计算系统。本发明专利技术通过分别对可信计算系统和普通计算系统验证,保证了系统安全启动。
【技术实现步骤摘要】
一种系统的可信验证启动方法及装置
本专利技术涉及操作系统安全技领域,具体涉及一种系统的可信验证启动方法及装置。
技术介绍
云计算、大数据、工业控制、物联网等新型信息化环境需要以安全可信作为基础和发展的前提,必须进行可信度量、识别和控制。采用安全可信体系可以确保系统可信、资源配置可信、操作行为可信、数据存储可信和策略管理可信,从而达到积极主动防御的目的。相关技术中的可信安全体系都是基于可信计算系统和普通计算系统是两台独立计算机的物理架构下设计的。而嵌入式操作系统领域,比如汽车电子、电力继保设备等,常见多操作系统同时运行在同一计算机不同的CPU核心这种架构,目前,对于这种情况,没有可信安全体系的解决方案。
技术实现思路
因此,本专利技术要解决的技术问题在于克服现有技术中的没有多操作系统运行于同一处理器的可信安全体系的缺陷,从而提供一种系统的可信验证启动方法及装置。根据第一方面,本专利技术实施例公开了一种系统的可信验证启动方法,应用于嵌入式操作系统,包括如下步骤:对系统BIOS进行可信度量;当系统BIOS可信时,将第一内核的第一控制权移交给所述系统BIOS;通过所述系统BIOS对可信计算系统镜像进行可信度量;当所述可信计算系统镜像可信时,装载所述可信计算系统镜像,并将所述第一控制权移交给所述可信计算系统,启动所述可信计算系统;对普通计算系统镜像进行可信度量;当所述普通计算系统镜像可信时,装载普通计算系统镜像,并将第二内核的第二控制权移交给所述普通计算系统,启动所述普通计算系统。<br>结合第一方面,在第一方面第一实施方式中,在所述对系统BIOS进行可信度量之前,还包括:根据所述可信计算系统和普通计算系统的硬件资源对所述可信计算系统和所述普通计算系统进行资源分配;将可信计算系统和普通计算系统分别编译成可信计算系统镜像和普通计算系统镜像。结合第一方面第一实施方式,在第一方面第二实施方式中,当所述系统BIOS不可信时,不加载所述系统BIOS,并重新对所述系统BIOS进行可信度量。结合第一方面第一实施方式,在第一方面第三实施方式中,当所述可信计算系统镜像不可信时,不加载所述可信计算系统镜像,并重新对所述可信计算系统镜像进行可信度量。结合第一方面第一实施方式,在第一方面第四实施方式中,当所述普通计算系统镜像不可信时,不加载所述普通计算系统镜像,并重新对普通计算系统镜像进行可信度量。结合第一方面至第一方面第四实施方式中任一实施方式,在第一方面第五实施方式中,所述可信计算系统与所述普通计算系统通过预设的共享内存进行通信。根据第二方面,本专利技术实施例还公开了一种系统的可信验证启动装置,应用于嵌入式操作系统,包括:第一度量模块,用于对系统BIOS进行可信度量;第一移交模块,用于当系统BIOS可信时,将第一内核的第一控制权移交给所述系统BIOS;第二度量模块,用于通过所述系统BIOS对可信计算系统镜像进行可信度量;第一装载模块,用于当所述可信计算系统镜像可信时,装载所述可信计算系统镜像,并将所述第一控制权移交给所述可信计算系统,启动所述可信计算系统;第三度量模块,用于对普通计算系统镜像进行可信度量;第二装载模块,用于当所述普通计算系统镜像可信时,装载普通计算系统镜像,并将第二内核的第二控制权移交给所述普通计算系统,启动所述普通计算系统。根据第三方面,本专利技术实施例还公开了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如第一方面或第一方面任一实施方式所述系统的可信验证启动方法。根据第四方面,本专利技术实施例还公开了一种电子设备,一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一方面或第一方面任一实施方式所述系统的可信验证启动方法。本专利技术技术方案,具有如下优点:本专利技术提供的系统的可信验证启动方法,应用于嵌入式操作系统,通过对系统BIOS进行可信度量,当系统BIOS可信时,将第一内核的第一控制权移交给系统BIOS,通过系统BIOS对可信计算系统镜像进行可信度量,当可信计算系统镜像可信时,装载可信计算系统镜像,并将第一控制权移交给可信计算系统,启动可信计算系统,对普通计算系统镜像进行可信度,当普通计算系统镜像可信时,装载普通计算系统镜像,并将第二内核的第二控制权移交给普通计算系统,启动普通计算系统。本专利技术通过分别对可信计算系统和普通计算系统验证,保证了系统安全启动。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术实施例1中系统的可信验证启动方法的一个具体示例的流程图;图2为本专利技术实施例中多核下可信代理通信的一个具体示例图;图3为本专利技术实施例2中一种系统的可信验证启动装置的一个具体示例的原理框图;图4为本专利技术实施例3中电子设备的一个具体示例图。具体实施方式下面将结合附图对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,下面所描述的本专利技术不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。实施例1本实施例提供一种系统的可信验证启动方法,应用于嵌入式操作系统,如图1所示,包括如下步骤:S11:对系统BIOS进行可信度量。示例性地,BIOS是一组固化到计算机内主板上一个ROM程序,保存着计算机最重要基本输入输出的程序、开机自检程序和系统自启动程序,主要是为计算机提供最底层的、最直接的硬件设置和控制;可信度量是在一定的时间点对度量对象的状态信息进行采集,以校验度量对象的当前状态是否符合预期,用于测量和评估系统预期描述与实际行为的符合程度,可信平台控制模块对BIOS进行可信度量,校验BIOS是否符合预期。S12:当系统BIOS可信时,将第一内核的第一控制权移交给所述系统BIOS。示例性地,如图2所示,该第一内核指的是可信计算系统的可信计算内核CPU0,该第一控制权指的是可信计算内核CPU0的控制权,当系统BIOS可信时,将可信计算内核CPU0的控制权交给BIOS,由BIOS对可信计算系统进行可信度量。S13:通过所述系统BIOS对可信计算系统镜像进行可信度量。示例性地,该可信度量方法可以为静态完整性度量,用杂凑函数计算可信计算系统镜像的杂凑值,与预先存储的基准杂凑值对比本文档来自技高网...
【技术保护点】
1.一种系统的可信验证启动方法,应用于嵌入式操作系统,其特征在于,包括如下步骤:/n对系统BIOS进行可信度量;/n当系统BIOS可信时,将第一内核的第一控制权移交给所述系统BIOS;/n通过所述系统BIOS对可信计算系统镜像进行可信度量;/n当所述可信计算系统镜像可信时,装载所述可信计算系统镜像,并将所述第一控制权移交给所述可信计算系统,启动所述可信计算系统;/n对普通计算系统镜像进行可信度量;/n当所述普通计算系统镜像可信时,装载普通计算系统镜像,并将第二内核的第二控制权移交给所述普通计算系统,启动所述普通计算系统。/n
【技术特征摘要】
1.一种系统的可信验证启动方法,应用于嵌入式操作系统,其特征在于,包括如下步骤:
对系统BIOS进行可信度量;
当系统BIOS可信时,将第一内核的第一控制权移交给所述系统BIOS;
通过所述系统BIOS对可信计算系统镜像进行可信度量;
当所述可信计算系统镜像可信时,装载所述可信计算系统镜像,并将所述第一控制权移交给所述可信计算系统,启动所述可信计算系统;
对普通计算系统镜像进行可信度量;
当所述普通计算系统镜像可信时,装载普通计算系统镜像,并将第二内核的第二控制权移交给所述普通计算系统,启动所述普通计算系统。
2.根据权利要求1所述的方法,其特征在于,在所述对系统BIOS进行可信度量之前,还包括:
根据所述可信计算系统和普通计算系统的硬件资源对所述可信计算系统和所述普通计算系统进行资源分配;
将可信计算系统和普通计算系统分别编译成可信计算系统镜像和普通计算系统镜像。
3.根据权利要求2所述的方法,其特征在于,当所述系统BIOS不可信时,不加载所述系统BIOS,并重新对所述系统BIOS进行可信度量。
4.根据权利要求2所述的方法,其特征在于,当所述可信计算系统镜像不可信时,不加载所述可信计算系统镜像,并重新对所述可信计算系统镜像进行可信度量。
5.根据权利要求2所述的方法,其特征在于,当所述普通计算系统镜像不可信时,不加载所述普通计算系统镜...
【专利技术属性】
技术研发人员:高昆仑,赵保华,王志皓,梁潇,李云鹏,唐伟,周峰,姜鑫东,马俊明,
申请(专利权)人:全球能源互联网研究院有限公司,国家电网有限公司,国网江苏省电力有限公司南通供电分公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。