[發明專利]一種基于PKS體系的內核架構在審
| 申請號: | 202210258947.7 | 申請日: | 2022-03-16 |
| 公開(公告)號: | CN114707140A | 公開(公告)日: | 2022-07-05 |
| 發明(設計)人: | 黃明;姬一文;成聯國;李毅;李鎖在;孔金珠;楊詔鈞;劉全仲;邱慧淮;鄭世普;王昊;程永靈 | 申請(專利權)人: | 中電(海南)聯合創新研究院有限公司;麒麟軟件有限公司;中國長城科技集團股份有限公司;瀾起科技股份有限公司 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53;G06F21/51 |
| 代理公司: | 北京集佳知識產權代理有限公司 11227 | 代理人: | 呂鑫 |
| 地址: | 571924 海南省澄邁縣*** | 國省代碼: | 海南;46 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 pks 體系 內核 架構 | ||
1.一種基于PKS體系的內核架構,其特征在于,包括:
雙架構處理器中的用戶區域,用于調用操作系統安全模塊LSM以提供可供安全軟件掛鉤子的函數對軟件掛接進行統一管控,以及為掛接的安全軟件的運行資源進行分配;
雙架構處理器中的安全區域,用于當獲取到資源訪問請求,調用TEE模塊對載入內核的代碼進行安全性驗簽,如果驗簽通過,則運行載入內核的代碼;其中,所述安全區域的權限高于所述用戶區域;
UEFI模塊,用于通過與所述TEE模塊的交互對UEFI固件及操作系統進行可信度量,以實現可信啟動。
2.根據權利要求1所述的基于PKS體系的內核架構,其特征在于,所述用戶區域與所述安全區域為通過基于PSPA規范對相關寄存器配置的方式劃分得到,且采用共享內存的方式對待傳輸數據包進行自定義協議握手并傳輸。
3.根據權利要求1所述的基于PKS體系的內核架構,其特征在于,所述用戶區域,還用于:
對經過eBPF裝載器處理的待載入內核的代碼動態進行私鑰簽名后發送至所述TEE模塊,以便所述TEE模塊對私鑰簽名的待載入內核的代碼進行驗簽后運行。
4.根據權利要求1所述的基于PKS體系的內核架構,其特征在于,所述通過與所述TEE模塊的交互對UEFI固件及操作系統進行可信度量,以實現可信啟動,包括:
通過調用所述TEE模塊對所述UEFI固件進行可信度量并確定所述UEFI固件可信后啟動所述UEFI固件;
利用所述UEFI固件遍歷主板設備得到相關的硬件信息;
通過調用所述TEE模塊對所述硬件信息進行可信度量,如果可信,則進行可信啟動。
5.根據權利要求4所述的基于PKS體系的內核架構,其特征在于,所述通過調用所述TEE模塊對所述硬件信息進行可信度量之前,還包括:
判斷可信度量是否為首次度量;
如果是,則根據首次度量結果生成相應的白名單,使得在后續度量過程中將動態計算的哈希值與所述白名單進行匹配;
如果匹配成功,則判定度量結果可信;
如果匹配失敗,則跳過繼續啟動或者進行報錯并阻止啟動。
6.根據權利要求4所述的基于PKS體系的內核架構,其特征在于,所述利用所述UEFI固件遍歷主板設備得到相關的硬件信息之后,還包括:
將遍歷到的所述硬件信息中的硬盤分區表數據進行拆分;
將拆分后的數據分批發送至所述TEE模塊,以利用所述TEE模塊對獲取到的分批數據進行度量。
7.根據權利要求6所述的基于PKS體系的內核架構,其特征在于,所述將遍歷到的所述硬件信息中的硬盤分區表數據進行拆分,包括:
將遍歷到的所述硬件信息中的硬盤分區表數據進行拆分,以得到多個以共享內存大小為單位的數據包。
8.根據權利要求1至7任一項所述的基于PKS體系的內核架構,其特征在于,所述TEE模塊為唯一具有FLASH物理讀寫功能的模塊。
9.根據權利要求1至7任一項所述的基于PKS體系的內核架構,其特征在于,還包括:
異構計算單元,用于接收所述TEE模塊下發的掛載的安全軟件,以對掛載的安全軟件進行異構計算處理。
10.根據權利要求1至7任一項所述的基于PKS體系的內核架構,其特征在于,所述TEE模塊,還用于根據所述用戶區域的配置指令對安全內存進行配置。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中電(海南)聯合創新研究院有限公司;麒麟軟件有限公司;中國長城科技集團股份有限公司;瀾起科技股份有限公司,未經中電(海南)聯合創新研究院有限公司;麒麟軟件有限公司;中國長城科技集團股份有限公司;瀾起科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210258947.7/1.html,轉載請聲明來源鉆瓜專利網。
