[發明專利]操作系統安全遠程加載方法有效
| 申請號: | 201710116649.3 | 申請日: | 2017-03-01 |
| 公開(公告)號: | CN106940769B | 公開(公告)日: | 2020-04-28 |
| 發明(設計)人: | 王國軍;孟大程;陳淑紅;謝冬青 | 申請(專利權)人: | 廣州大學 |
| 主分類號: | G06F21/44 | 分類號: | G06F21/44;H04L29/06;H04L29/12 |
| 代理公司: | 廣州三環專利商標代理有限公司 44202 | 代理人: | 郝傳鑫 |
| 地址: | 510000 廣東省廣*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 操作系統 安全 遠程 加載 方法 | ||
1.一種操作系統安全遠程加載方法,其特征在于,包括:
(1)待加載計算機的合法性驗證步驟;
(2)操作系統的遠程加載步驟;在步驟(2)中,包括:
(201)待加載計算機的合法性驗證通過后,DHCP服務器為待加載計算機分配動態IP地址,并向待加載計算機提供TFTP服務器的地址;
(202)待加載計算機從TFTP服務器獲取操作系統啟動文件并啟動加載過程,所述操作系統啟動文件包括GRUB的配置文件BOOTX64.conf、UEFI的啟動鏡像文件BOOTX64.efi以及UEFI啟動菜單工具splash.xpm.gz;
(203)待加載計算機加載UEFI驅動并與FTP服務器建立網絡連接,從FTP服務器獲取操作系統和操作系統的SHA1值;
(204)將操作系統的控制權交給PEI內核,所述控制權轉移首先將計算機從實模式轉換到包含模式,并且在UEFI固件中尋找BFV并從BFV中找到SEC鏡像,然后調用SEC入口函數,在SEC的函數中首先初始化棧和IDT和EFI_SEC_PEI_HAND_OFF,初始化完成后將EFI_SEC_PEI_HAND_OFF傳遞給PEI,此時控制權移交給PEI;
(3)加載過程中,操作系統的完整性測量步驟。
2.根據權利要求1所述的操作系統安全遠程加載方法,其特征在于,在步驟(1)中,包括:
(101)在DHCP服務器上建立可信列表,所述可信列表用于保存可信任的系統數據、可信任的主機信息以及可信任的用戶程序信息;
(102)待加載計算機啟動網卡驅動,并向DHCP服務器發出IP地址請求;DHCP服務器對待加載計算機進行身份驗證,將其接收到的請求信息與所述可信列表中的信息進行對比,如果相同則表示待加載計算機可信,繼續步驟(2),否則不可信并終止加載過程。
3.根據權利要求2所述的操作系統安全遠程加載方法,其特征在于,所述IP地址請求包括:在基于TCP/IP協議的無盤啟動Rom接口獲得控制權之前進行自我測試,測試所得的信息包括主機的物理地址、CPU、內存、網卡的信息,所述信息被封裝為DHCP報文,所述DHCP報文被發送到DHCP服務器。
4.根據權利要求3所述的操作系統安全遠程加載方法,其特征在于,在步驟(102)中,所述的對比步驟包括:
(102a)DHCP服務器讀取DHCP報文的Chaddr字段,從其中讀取出待加載計算機的硬件地址;
(102b)讀取DHCP報文的Options字段,獲取主機的標識符;
(102c)將(102a)和(102b)中獲取到的內容進行Hash運算,并將運算后的值與可信列表保存的值進行對比。
5.根據權利要求1所述的操作系統安全遠程加載方法,其特征在于,在步驟(3)中,通過UEFI固件啟動完整性測量代理,所述完整性測量的步驟具體包括:
(301)啟動TPM芯片,將系統上的PCR清零;
(302)計算CRTM的SHA1值,將得到的結果與PCR的值做或運算;
(303)使用步驟(302)中得到的值依次與GRUB的SHA1值、操作系統的SHA1值進行或運算,并將該值保存到安全度量列表中;
(304)將當前獲取的GRUB和操作系統代碼與CRTM做SHA1運算,并與安全度量列表中的值進行比較,如果相同,則操作系統進入啟動階段,否則中斷操作系統的加載。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于廣州大學,未經廣州大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710116649.3/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種熱塑性聚氨酯彈性體單吹機
- 下一篇:一種可視防堵沉積物自動篩洗器
