技術領域

本發明涉及信息安全領域，具體涉及一種龍芯硬件平臺上的linux操作系統保護方法。

背景技術

近年來，圍繞發展自主可控、安全可信的國產軟硬件，國內一些企業進行了積極的探索，涌現了一批以龍芯為代表的自主CPU芯片。針對龍芯硬件平臺配套的Linux操作系統，Linux操作系統是開源軟件且十分普及，因此分析其內部運行機制十分容易，也易于發現其缺陷和漏洞。運行Linux操作系統的龍芯硬件設備，若不進行保護，易于破解，易受攻擊，面臨著極大的安全風險。

隨著龍芯CPU的成熟和國產替代計劃的推進，龍芯越來越廣泛的應用在國產通信設備和國防信息裝備中，本發明是一種針對龍芯硬件平臺的linux操作系統保護技術，可有效的保護采用龍芯硬件的信息設備的數據安全。

linux是一種非常流行的開源操作系統，擁有豐富的開源軟件，是龍芯CPU的配套操作系統。Linux操作系統通常作為軟件嵌入在龍芯硬件設備中，作為一個整體出售給客戶。由于linux操作系統的開源性，龍芯硬件設備被非法分子獲取后，面臨著極大的安全威脅，保護技術及安全性如下所示：

一、無保護技術，安全性極低，面臨極大的安全性威脅：

1.可輕易獲取龍芯硬件設備操作系統所有文件，面臨著數據泄密的威脅；

2.文件系統暴露，面臨著被復制，盜版的威脅；

3.操作系統賬戶文件暴露，可輕易獲取管理員權限；

4.程序文件暴露，可被用來分析漏洞，面臨著被漏洞攻擊的威脅；

5.關鍵程序暴露，可用來分析破解，面臨著軟件知識產權被侵犯的威脅。

二、文件系統加密保護，安全性中，由于內核未加密，此技術仍然面臨著較大的安全性威脅：

1.內核暴露，可被用來分析漏洞，面臨著被漏洞攻擊的威脅；

2.內核未加密，可被用來植入惡意程序，面臨著文件系統加密被破解的威脅；

三、磁盤加密保護，安全性高，采用此種技術，可獲得較高的安全性保護，但是此技術實現較為復雜，需要專用的加密磁盤硬件，并改造龍芯固件以支持加密磁盤。

發明內容

本發明要解決的技術問題是：本發明提出了一種龍芯硬件平臺上的linux操作系統保護技術，這項技術采用內核加密和文件系統加密兩種方法，全面的保護操作系統數據安全。

本發明所采用的技術方案為：

一種龍芯硬件平臺上的linux操作系統保護方法，所述保護方法采用內核加密和文件系統加密兩種方法，全面的保護操作系統數據安全。

其中，內核加密是通過對Linux初始RAM磁盤（initrd）進行加密來實現的；在內核生成階段，對Linux初始RAM磁盤進行加密；在系統啟動時，對Linux初始RAM磁盤進行解密；

文件系統加密是通過linux設備映射技術實現，文件系統加密后，不能直接進行掛載，需要將加密的文件系統做映射，掛載映射后的文件系統，才能對文件系統進行數據讀寫操作。

Linux初始RAM磁盤的過程，是在系統引導過程中掛載的一個臨時文件系統，Linux啟動過程可分為兩階段的引導過程：第一個階段，Linux在內存中初始化一個虛擬磁盤，然后將Linux初始RAM磁盤解壓并復制到此虛擬磁盤中，Linux初始RAM磁盤包含了各種可執行程序和驅動程序，它們被用來初始化硬件和Linux運行環境；第二個階段，將這個虛擬磁盤卸載，并釋放內存，然后掛載實際的文件系統，并運行init程序，由init程序完成引導過程；

由此可見Linux操作系統中Linux初始RAM磁盤是非常重要的，其中包含了非常重要的系統引導程序，驅動程序和其他配置文件，若不進行加密，便可隨意更改替換其中的文件，注入惡意程序，變更啟動順序，對Linux操作系統的安全構成了威脅。

文件系統是Linux在存儲設備上組織文件和數據的結構，通過對文件系統進行加密，將文件和數據以密文的形式存儲在磁盤上，可以防止龍芯硬件設備丟失后磁盤數據被盜。

所述內核加密的實施步驟如下：

（1）修改內核生成流程，在Linux初始RAM磁盤生成腳本最后追加加密過程，調用加密程序對Linux初始RAM磁盤進行加密；

（2）修改Linux源碼initrd部分，在其中嵌入解密函數，修改initrd處理代碼，在開始處調用解密函數對Linux初始RAM磁盤進行解密；

（3）修改完成后編譯Linux源碼，將生成的內核文件嵌入到龍芯硬件設備中。

所述文件系統加密實施步驟如下：