本發(fā)明專利技術(shù)公開了一種虛擬化平臺服務(wù)器可信啟動(dòng)方法及系統(tǒng),該方法包括:通過可信密碼模塊TCM對啟動(dòng)認(rèn)證服務(wù)器操作系統(tǒng)的各個(gè)階段進(jìn)行校驗(yàn),若校驗(yàn)通過,則建立從TCM至所述認(rèn)證服務(wù)器的可信鏈;通過TCM校驗(yàn)虛擬化平臺服務(wù)器核心庫文件以及相關(guān)庫文件,并生成校驗(yàn)結(jié)果;在所述校驗(yàn)結(jié)果表征文件校驗(yàn)通過時(shí),通過預(yù)啟動(dòng)執(zhí)行環(huán)境PXE協(xié)議保存核心庫文件,并指示虛擬化平臺服務(wù)器可信啟動(dòng)。通過上述的方法可以實(shí)現(xiàn)基于Extlinux的可信啟動(dòng)方案。
【技術(shù)實(shí)現(xiàn)步驟摘要】
本申請涉及網(wǎng)絡(luò)
,尤其涉及一種虛擬化平臺服務(wù)器可信啟動(dòng)的方法及系統(tǒng)。
技術(shù)介紹
TCM可信密碼模塊的英文全稱為“Trusted Cryptography Module”,TCM是可信計(jì)算平臺的硬件模塊,為可信計(jì)算平臺提供密碼運(yùn)算功能,具有受保護(hù)的存儲空間。可信計(jì)算平臺(trusted computing platform)概念由國家密碼管理局提出,其是構(gòu)建在計(jì)算系統(tǒng)中,用于實(shí)現(xiàn)可信計(jì)算功能的支撐系統(tǒng)。可信計(jì)算密碼支撐平臺是可信計(jì)算平臺的重要組成部分,包括密碼算法、密鑰管理、證書管理、密碼協(xié)議、密碼服務(wù)等內(nèi)容,為可信計(jì)算平臺自身的完整性、身份可信性和數(shù)據(jù)安全性提供密碼支持。其產(chǎn)品形態(tài)主要表現(xiàn)為可信密碼模塊和可信密碼服務(wù)模塊。SysLinux是一種BootLoader,運(yùn)行在MS-DOS/Windows FAT文件系統(tǒng)之上,用于加載Linux操作系統(tǒng);ExtLinux是SysLinux的一個(gè)組件,可以運(yùn)行在Ext3/Ext4文件系統(tǒng)之上。目前市場上可信啟動(dòng)方法大多為基于grub的可信啟動(dòng),暫時(shí)沒有基于Extlinux的可信啟動(dòng)方案。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)實(shí)施例提供了一種虛擬化平臺服務(wù)器的可信啟動(dòng)方法及系統(tǒng),用以解決現(xiàn)有技術(shù)中暫時(shí)沒有基于Extlinux的可信啟動(dòng)方案的問題。其具體的技術(shù)方案如下: 一種虛擬化平臺服務(wù)器可信啟動(dòng)方法,所述方法包括:通過可信密碼模塊TCM對啟動(dòng)認(rèn)證服務(wù)器操作系統(tǒng)的各個(gè)階段進(jìn)行校驗(yàn),若校驗(yàn)通過,則建立從TCM至所述認(rèn)證服務(wù)器的可信鏈;通過TCM校驗(yàn)虛擬化平臺服務(wù)器核心庫文件以及相關(guān)庫文件,并生成校驗(yàn)結(jié)果;在所述校驗(yàn)結(jié)果表征文件校驗(yàn)通過時(shí),通過預(yù)啟動(dòng)執(zhí)行環(huán)境PXE協(xié)議保存核心庫文件,并指示虛擬化平臺服務(wù)器可信啟動(dòng)。可選的,在通過TCM對啟動(dòng)認(rèn)證服務(wù)器操作系統(tǒng)的各個(gè)階段進(jìn)行校驗(yàn)之前,還包括:構(gòu)建可信鏈的基準(zhǔn)值以及各階段文件的基準(zhǔn)值,并將所述基準(zhǔn)值導(dǎo)入到TCM內(nèi)部;將TCM內(nèi)部的可信鏈的基準(zhǔn)值以及各階段文件的基準(zhǔn)值導(dǎo)入到所述核心庫文件中。可選的,通過可信密碼模塊TCM對啟動(dòng)認(rèn)證服務(wù)器操作系統(tǒng)的各個(gè)階段進(jìn)行校驗(yàn),包括:步驟1:校驗(yàn)B1S設(shè)置是否與初始化過程中設(shè)置的初始值相同,若相同,則進(jìn)入步驟2;若不相同,則進(jìn)入步驟8;步驟2:通過B1S嵌入代碼校驗(yàn)主引導(dǎo)記錄MBR是否和初始化中設(shè)置的初始值相同,若相同,則進(jìn)入步驟3;若不相同,則進(jìn)入步驟8;步驟3:引導(dǎo)扇區(qū)代碼查找被標(biāo)記為活動(dòng)分區(qū)的分區(qū),并標(biāo)記為boot分區(qū),通過引導(dǎo)扇區(qū)嵌入代碼校驗(yàn)boot分區(qū)的分區(qū)引導(dǎo)記錄VBR,則進(jìn)入步驟4;若不相同,則進(jìn)入步驟8;步驟4:加載配置文件,校驗(yàn)配置文件是否與初始化過程中設(shè)置的初始值相同,若相同,則進(jìn)入步驟5,若不相同,則進(jìn)入步驟8;步驟5:解析配置文件,并獲取所述配置文件中的第一文件標(biāo)簽以及第二文件標(biāo)簽,校驗(yàn)第一指定標(biāo)簽所指定的第一文件是否與初始化過程中設(shè)置的初始值相同,若不相同,則進(jìn)入步驟8;若相同,則加載所述第一文件,并將第二文件標(biāo)簽指定的內(nèi)容作為指定模塊的參數(shù),并執(zhí)行步驟6;步驟6:獲取步驟5中生成的參數(shù),校驗(yàn)所述參數(shù)指示的各個(gè)模塊,若各個(gè)模塊校驗(yàn)通過,則進(jìn)入步驟7,若校驗(yàn)未通過,則進(jìn)入步驟8;步驟7:加載內(nèi)核以及核心庫文件;步驟8:停止啟動(dòng)認(rèn)證服務(wù)器。可選的,引導(dǎo)扇區(qū)代碼查找被標(biāo)記為活動(dòng)分區(qū)的分區(qū),并標(biāo)記為boot分區(qū),通過引導(dǎo)扇區(qū)嵌入代碼校驗(yàn)boot分區(qū)的分區(qū)引導(dǎo)記錄VBR,包括:校驗(yàn)VBR中的第一內(nèi)置文件的前512個(gè)字節(jié),并判定前512個(gè)字節(jié)與初始化過程中設(shè)置的初始值是否相同,若相同,則通過前512個(gè)字節(jié)中的嵌入代碼校驗(yàn)所述第一內(nèi)置文件的剩余文件內(nèi)容是否與初始值相同,若相同,則檢驗(yàn)第二內(nèi)置文件是否與初始值相同,若校驗(yàn)通過,則進(jìn)入步驟4。可選的,通過預(yù)啟動(dòng)執(zhí)行環(huán)境PXE協(xié)議保存核心庫文件,并指示虛擬化平臺服務(wù)器可信啟動(dòng),包括:通過PXE將虛擬化平臺服務(wù)器啟動(dòng)需要的核心組件放置在指定目錄下;TCM依次校驗(yàn)所述指定目錄下的所有文件,若所有文件校驗(yàn)通過,則啟動(dòng)虛擬化平臺服務(wù)器的PXE服務(wù)。 一種虛擬化平臺服務(wù)器可信啟動(dòng)的系統(tǒng),包括:可信密碼模塊,用于對啟動(dòng)認(rèn)證服務(wù)器操作系統(tǒng)的各個(gè)階段進(jìn)行校驗(yàn),若校驗(yàn)通過,則建立從TCM至所述認(rèn)證服務(wù)器的可信鏈;校驗(yàn)虛擬化平臺服務(wù)器核心庫文件以及相關(guān)庫文件,并生成校驗(yàn)結(jié)果;處理模塊,用于在所述校驗(yàn)結(jié)果表征文件校驗(yàn)通過時(shí),通過預(yù)啟動(dòng)執(zhí)行環(huán)境PXE協(xié)議保存核心庫文件,并指示虛擬化平臺服務(wù)器可信啟動(dòng)。可選的,所述可信密碼模塊,構(gòu)建可信鏈的基準(zhǔn)值以及各階段文件的基準(zhǔn)值,并將所述基準(zhǔn)值導(dǎo)入到TCM內(nèi)部;將TCM內(nèi)部的可信鏈的基準(zhǔn)值以及各階段文件的基準(zhǔn)值導(dǎo)入到所述核;L.、庫文件中。可選的,所述可信密碼模塊,具體用于校驗(yàn)B1S設(shè)置是否與初始化過程中設(shè)置的初始值相同,若相同,通過B1S嵌入代碼校驗(yàn)主引導(dǎo)記錄MBR是否和初始化中設(shè)置的初始值相同,若相同,引導(dǎo)扇區(qū)代碼查找被標(biāo)記為活動(dòng)分區(qū)的分區(qū),并標(biāo)記為boot分區(qū),通過引導(dǎo)扇區(qū)嵌入代碼校驗(yàn)boot分區(qū)的分區(qū)引導(dǎo)記錄VBR,加載配置文件,校驗(yàn)配置文件是否與初始化過程中設(shè)置的初始值相同,若相同,解析配置文件,并獲取所述配置文件中的第一文件標(biāo)簽以及第二文件標(biāo)簽,校驗(yàn)第一指定標(biāo)簽所指定的第一文件是否與初始化過程中設(shè)置的初始值相同,若相同,則加載所述第一文件,并將第二文件標(biāo)簽指定的內(nèi)容作為指定模塊的參數(shù),獲取生成的參數(shù),校驗(yàn)所述參數(shù)指示的各個(gè)模塊,若各個(gè)模塊校驗(yàn)通過,加載內(nèi)核以及核心庫文件。可選的,所述可信密碼模塊,具體用于校驗(yàn)VBR中的第一內(nèi)置文件的前512個(gè)字節(jié),并判定前512個(gè)字節(jié)與初始化過程中設(shè)置的初始值是否相同,若相同,則通過前512個(gè)字節(jié)中的嵌入代碼校驗(yàn)所述第一內(nèi)置文件的剩余文件內(nèi)容是否與初始值相同,若相同,則檢驗(yàn)第二內(nèi)置文件是否與初始值相同,若校驗(yàn)通過,加載配置文件,校驗(yàn)配置文件是否與初始化過程中設(shè)置的初始值相同。可選的,所述處理模塊,具體用于通過PXE將虛擬化平臺服務(wù)器啟動(dòng)需要的核心組件放置在指定目錄下;可信密碼模塊依次校驗(yàn)所述指定目錄下的所有文件,若所有文件校驗(yàn)通過,則啟動(dòng)虛擬化平臺服務(wù)器的PXE服務(wù)。本專利技術(shù)提供了一種虛擬化平臺服務(wù)器可信啟動(dòng)方法,該方法包括:通過可信密碼模塊TCM對啟動(dòng)認(rèn)證服務(wù)器操作系統(tǒng)的各個(gè)階段進(jìn)行校驗(yàn),若校驗(yàn)通過,則建立從TCM至所述認(rèn)證服務(wù)器的可信鏈;通過TCM校驗(yàn)虛擬化平臺服務(wù)器核心庫文件以及相關(guān)庫文件,并生成校驗(yàn)結(jié)果;在所述校驗(yàn)結(jié)果表征文件校驗(yàn)通過時(shí),通過預(yù)啟動(dòng)執(zhí)行環(huán)境PXE協(xié)議保存核心庫文件,并指示虛擬化平臺服務(wù)器可信啟動(dòng)。通過上述的方法可以實(shí)現(xiàn)基于Extlinux的可信啟動(dòng)方案。【附圖說明】圖1為本專利技術(shù)實(shí)施例中一種虛擬化平臺服務(wù)器的可信啟動(dòng)方法的流程圖;圖2為本專利技術(shù)實(shí)施例中虛擬化平臺服務(wù)器與認(rèn)證服務(wù)器之間的交互示意圖;圖3為本專利技術(shù)實(shí)施例中校驗(yàn)的流程示意圖;圖4為本專利技術(shù)實(shí)施例中一種虛擬化平臺服務(wù)器的可信啟動(dòng)系統(tǒng)的結(jié)構(gòu)示意圖。【具體實(shí)施方式】本專利技術(shù)實(shí)施例中提供了一種虛擬化平臺服務(wù)器可信啟動(dòng)方法,該方法包括:通過可信密碼模塊TCM對啟動(dòng)認(rèn)證服務(wù)器操作系統(tǒng)的各個(gè)階段進(jìn)行校驗(yàn),若校驗(yàn)通過,則建立從TCM至所述認(rèn)證服務(wù)器的可信鏈;通過TCM校驗(yàn)虛擬化平臺服務(wù)器核心庫文件以及相本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
一種虛擬化平臺服務(wù)器可信啟動(dòng)方法,其特征在于,所述方法包括:通過可信密碼模塊TCM對啟動(dòng)認(rèn)證服務(wù)器操作系統(tǒng)的各個(gè)階段進(jìn)行校驗(yàn),若校驗(yàn)通過,則建立從TCM至所述認(rèn)證服務(wù)器的可信鏈;通過TCM校驗(yàn)虛擬化平臺服務(wù)器核心庫文件以及相關(guān)庫文件,并生成校驗(yàn)結(jié)果;在所述校驗(yàn)結(jié)果表征文件校驗(yàn)通過時(shí),通過預(yù)啟動(dòng)執(zhí)行環(huán)境PXE協(xié)議保存核心庫文件,并指示虛擬化平臺服務(wù)器可信啟動(dòng)。
【技術(shù)特征摘要】
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:張占龍,薛興遠(yuǎn),米秀明,陳煜文,蔣勇,邢玥,
申請(專利權(quán))人:航天恒星科技有限公司,
類型:發(fā)明
國別省市:北京;11
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。