本申請公開了一種基于PKS體系的內核架構，包括：雙架構處理器中的用戶區域用于調用操作系統安全模塊LSM以提供可供安全軟件掛鉤子的函數對軟件掛接進行統一管控，以及為掛接的安全軟件的運行資源進行分配；雙架構處理器中的安全區域用于當獲取到資源訪問請求，調用TEE模塊對載入內核的代碼進行安全性驗簽，如果驗簽通過，則運行載入內核的代碼；其中，安全區域的權限高于用戶區域；UEFI模塊用于通過與TEE模塊的交互對UEFI固件及操作系統進行可信度量，以實現可信啟動。本申請的內核架構能夠實時獲取計算空間狀態以進行保護，避免采用安全外置的雙架構導致的安全空間功能少、性能弱。

技術領域

本發明涉及計算機技術領域，特別涉及一種基于PKS體系的內核架構。

背景技術

現有計算機體系是計算+安全在同一個空間，共享同一套計算資源、內存、I/O資源。這樣使安全軟件能夠獲得計算狀態和實施保護，但是未知的計算風險會使攻擊者獲得合法權限或繞過安全軟件保護。業內采用的安全外置的雙架構往往是安全空間功能少性能弱，無法實時獲取計算空間狀態，無法及時深入保護。

因此，如何基于PKS體系提供一種安全可靠的內核架構是本領域技術人員亟待解決的技術問題。

發明內容

有鑒于此，本發明的目的在于提供一種基于PKS體系的內核架構，能夠實時獲取計算空間狀態以進行保護，避免采用安全外置的雙架構導致的安全空間功能少、性能弱。其具體方案如下：

雙架構處理器中的用戶區域，用于調用操作系統安全模塊LSM以提供可供安全軟件掛鉤子的函數對軟件掛接進行統一管控，以及為掛接的安全軟件的運行資源進行分配；

雙架構處理器中的安全區域，用于當獲取到資源訪問請求，調用TEE模塊對載入內核的代碼進行安全性驗簽，如果驗簽通過，則運行載入內核的代碼；其中，所述安全區域的權限高于所述用戶區域；

位于所述用戶區域的UEFI模塊，用于通過與所述TEE模塊的交互對UEFI固件及操作系統進行可信度量，以實現可信啟動。

可選的，所述用戶區域與所述安全區域為通過基于PSPA規范對相關寄存器配置的方式劃分得到，且采用共享內存的方式對待傳輸數據包進行自定義協議握手并傳輸。

可選的，所述用戶區域，還用于：

對經過eBPF裝載器處理的待載入內核的代碼動態進行私鑰簽名后發送至所述TEE模塊，以便所述TEE模塊對私鑰簽名的待載入內核的代碼進行驗簽后運行。

可選的，所述通過與所述TEE模塊的交互對UEFI固件及操作系統進行可信度量，以實現可信啟動，包括：

通過調用所述TEE模塊對所述UEFI固件進行可信度量并確定所述UEFI固件可信后啟動所述UEFI固件；

利用所述UEFI固件遍歷主板設備得到相關的硬件信息；

通過調用所述TEE模塊對所述硬件信息進行可信度量，如果可信，則進行可信啟動。

可選的，所述通過調用所述TEE模塊對所述硬件信息進行可信度量之前，還包括：

判斷可信度量是否為首次度量；

如果是，則根據首次度量結果生成相應的白名單，使得在后續度量過程中將動態計算的哈希值與所述白名單進行匹配；

如果匹配成功，則判定度量結果可信；

如果匹配失敗，則跳過繼續啟動或者進行報錯并阻止啟動。

可選的，所述利用所述UEFI固件遍歷主板設備得到相關的硬件信息之后，還包括：

將遍歷到的所述硬件信息中的硬盤分區表數據進行拆分；