双体系结构可信操作系统及方法.pdf

《双体系结构可信操作系统及方法.pdf》由会员分享，可在线阅读，更多相关《双体系结构可信操作系统及方法.pdf（9页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910275416.7 (22)申请日 2019.04.08 (71)申请人 全球能源互联网研究院有限公司 地址 102209 北京市昌平区未来科技城滨 河大道18号 申请人 国网河北省电力有限公司 国家电网有限公司 (72)发明人 赵保华高昆仑王志皓梁潇 安宁钰任春卉 (74)专利代理机构 北京三聚阳光知识产权代理 有限公司 11250 代理人 李博洋 (51)Int.Cl. G06F 21/57(2013.01) G06F 9/50(2006.01) (54)发明名称 。

2、一种双体系结构可信操作系统及方法 (57)摘要 本发明公开一种双体系结构可信操作系统 及方法， 该系统包括： 普通计算内核， 其中配置有 可信计算内核代理， 用于获取普通计算内核状态 请求进行处理， 并通过可信计算内核代理将内核 语义进行语义解析发送给可信计算内核。 可信计 算内核， 包括： 内核策略模块， 用于生成可信计算 策略， 解析普通计算内核语义； 监控管理模块， 对 普通计算内核状态进行监测、 度量、 控制； 硬件管 理模块， 用于根据可信计算策略对硬件资源进行 分配与调度； 内存管理模块， 用于根据可信计算 策略对内存资源进行分配与调度。 通过实施本发 明， 可在不干扰系统业务的基。

3、础上主动保护系统 运行， 本申请的可信计算内核兼容多种计算架 构， 更适合业务软硬件环境多样化或高安全等级 终端的应用。 权利要求书1页 说明书5页 附图2页 CN 110175457 A 2019.08.27 CN 110175457 A 1.一种双体系结构可信操作系统， 其特征在于， 包括： 普通计算内核(1)， 所述普通计算内核(1)中配置有可信计算内核代理， 所述普通计算 内核(1)用于获取普通业务请求进行处理， 并通过可信计算内核代理将内核语义进行语义 解析发送给可信计算内核(2)； 可信计算内核(2)， 包括： 内核策略模块， 用于生成可信计算策略， 解析所述普通计算内核(1)语义。

4、； 监控管理模块， 用于对所述普通计算内核(1)状态进行监测、 度量、 控制； 内存管理模块， 用于根据所述可信计算策略对内存资源进行分配； 硬件管理模块， 用于根据所述可信计算策略对硬件资源进行分配与调度。 2.根据权利要求1所述的双体系结构可信操作系统， 其特征在于， 还包括： 可信平台控 制模块(3)， 用于分别对所述可信计算内核(2)及硬件资源(4)进行可信度量； 如果度量通过， 所述可信平台控制模块(3)启动所述硬件资源(4)及所述可信计算内核 (2)。 3.根据权利要求1所述的双体系结构可信操作系统， 其特征在于， 所述监控管理模块具 体用于： 所述可信计算内核(2)根据内核策略模。

5、块所制定的可信计算策略及解析后的所述 普通计算内核(1)语义， 执行可信计算策略， 对所述普通计算内核(1)的内存、 进程、 存储、 I/ O进行监控， 包括对所述普通计算内核(1)上述计算资源和计算行为可信性进行监测、 度量 和控制。 4.根据权利要求1所述的双体系结构可信操作系统， 其特征在于， 所述硬件管理模块具 体用于： 将所述硬件资源(4)分别分配给所述可信计算内核(2)及所述普通计算内核(1)， 并 使所述可信计算内核(2)和普通计算内核(1)工作在不同CPU核或CPU时间片上， 所述普通计 算内核(1)无法访问所述可信计算内核(2)使用的CPU资源。 5.一种双体系结构可信操作方。

6、法， 其特征在于， 包括： 接收所述普通计算内核(1)通过可信计算内核(2)代理进行解析后的内核语义； 根据解析后的内核语义生成对应的可信计算策略， 根据所述可信计算策略对所述普通 计算内核(1)进行控制； 根据所述可信计算策略对内存资源进行分配与调度； 根据所述可信计算策略对硬件资源进行分配与调度。 6.根据权利要求5所述的双体系结构可信操作系统， 其特征在于， 所述根据所述可信计 算策略对内存资源进行分配与调度， 包括： 将所述内存资源分别分配给所述可信计算内核(2)及所述普通计算内核(1)， 并使所述 可信计算内核(2)和所述普通计算内核(1)的内存访问区域隔离， 所述普通计算内核(1)。

7、无 法访问所述可信计算内核(2)使用的内存资源。 7.根据权利要求5所述的双体系结构可信操作系统， 其特征在于， 所述根据所述可信计 算策略对硬件资源进行分配与调度， 包括： 将所述硬件资源(4)分别分配给所述可信计算内核(2)及所述普通计算内核(1)， 并使 所述可信计算内核(2)和所述普通计算内核(1)工作在不同CPU核或CPU时间片上， 普通计算 内核无法访问可信计算内核使用的CPU资源。 权利要求书 1/1 页 2 CN 110175457 A 2 一种双体系结构可信操作系统及方法 技术领域 0001 本发明涉及操作系统安全技术领域， 具体涉及一种双体系结构可信操作系统及方 法。 背景。

8、技术 0002 早期针对安全操作系统架构的研究都集中在宏内核操作系统基础上展开， 可以分 为面向标准的安全体系结构和面向应用的安全体系结构， 宏内核操作系统内核较为复杂， 容易出现安全漏洞从而被攻击。 因此基于微内核的操作系统安全体系结构逐渐被认可， 在 可信计算概念提出来后， 出现不少结合可信计算思想的安全体系结构的研究， 诸如具有典 型代表意义的L4微内核的PERSEUS体系、 Google的ASM框架以及GP的TEE架构等。 其中， PERSEUS在Mach的基础上提高了进程间的隔离性和运行效率， 通过丰富的接口为上层提供 更好的安全支持， 但整体仍然基于TCG提供的硬件平台， 未实现可。

9、信节点主动度量和监视普 通计算节点的能力； ASM允许用户在不改变固件的情况下安装新的安全扩展模块， 但任何时 候一个APP试图执行有安全风险的操作时， 都需要获得用户或者企业在手机中安装的ASM组 件的允许， 因此ASM需要截获并分析大量的业务逻辑， 不利于在实时性要求高且业务环境多 样化的工业嵌入式环境中应用； TEE架构提供了授权安全软件(可信应用， TA)的安全执行环 境， 但其安全域的作用是区分授权安全软件并将其执行环境从普通计算节点隔离， 在业务 调用复杂环境中会造成性能耗损甚至业务连续性的破坏。 发明内容 0003 有鉴于此， 本发明实施例提供了一种双体系结构可信操作系统及方法，。

10、 以解决操 作系统如何在安全环境下高效运行的问题。 0004 根据第一方面， 本发明实施例提供了一种双体系结构可信操作系统， 该系统包含 普通计算内核， 可信计算内核。 其中普通计算内核中配置有可信计算内核代理， 普通计算内 核用于获取普通业务数据进行处理， 并通过可信计算内核代理将内核语义进行语义解析发 送给可信计算内核。 可信计算内核， 包括： 内核策略模块， 用于生成可信计算策略， 解析普通 计算内核语义； 监控管理模块， 用于对普通计算内核状态进行监测、 度量、 控制； 内存管理模 块， 用于根据可信计算策略对内存资源进行分配； 硬件管理模块， 用于根据可信计算策略对 硬件资源进行分配。

11、与调度。 0005 本发明实施例所具备的有益效果是， 普通计算内核里的可信计算代理可根据普通 计算内核的架构不同进行适配调整， 输出相同语法的内核语义给可信计算内核的内核策略 模块， 可信计算内核不需要根据普通计算内核的不同进行调整。 0006 结合第一方面， 在第一方面第一实施方式中， 该系统还包括： 可信平台控制模块， 用于分别对可信计算内核及硬件资源进行可信度量； 如果度量通过， 可信平台控制模块启 动硬件资源及可信计算内核。 0007 本发明实施例所具备的有益效果是， 可信平台控制模块在启动之前通过对硬件资 说明书 1/5 页 3 CN 110175457 A 3 源及可信计算内核的度。

12、量， 确保硬件资源及可信计算内核启动之前的安全性， 并能确保系 统的安全运行。 0008 结合第一方面， 在第一方面第二实施方式中， 该监控管理模块具体用于： 可信计算 内核根据内核策略模块所制定的可信计算策略及解析后的普通计算内核语义， 执行可信计 算策略， 对普通计算内核的内存、 进程、 存储、 I/O进行监控， 包括对普通计算内核上述计算 资源和计算行为可信性进行监测、 度量和控制。 0009 本发明实施例所具备的有益效果是， 通过将可信计算内核和普通计算内核的内存 访问区域隔离， 和对可信计算内核设置的访问权限， 使得系统内信息保密性加强， 可信计算 内核的资源更加安全。 0010 结。

13、合第一方面， 在第一方面第三实施方式中， 该硬件管理模块具体用于将硬件资 源分别分配给可信计算内核及普通计算内核， 并使可信计算内核和普通计算内核工作在不 同CPU或CPU时间片上， 普通计算内核无法访问可信计算内核使用的CPU资源； 内存管理模块 具体用于分配可信计算内核和普通计算内核的内存资源。 0011 本发明实施例所具备的有益效果是， 通过对普通计算内核的访问， 可以对普通内 核进行监管控制， 而普通内核无法访问可信计算内核， 增加了操作系统的安全性。 0012 根据第二方面， 本发明实施例提供了一种双体系结构可信操作方法， 包括： 接收普 通计算内核通过可信计算内核代理进行解析后的内。

14、核语义； 根据解析后的内核语义生成对 应的可信计算策略， 根据可信计算策略对普通计算内核进行控制； 根据可信计算策略对内 存资源进行分配与调度； 根据可信计算策略对硬件资源进行分配与调度。 0013 本发明实施例所具备的有益效果是， 通过对硬件资源访问控制、 读写权能的可信 进行分配与调度达到控制普通计算内核操作运行， 在不干扰系统业务运行的基础上主动保 护系统运行的效果。 0014 结合第二方面， 在第二方面第一实施方式中， 根据可信计算策略对内存资源进行 分配与调度， 包括： 将内存资源分别分配给可信计算内核及普通计算内核， 并使可信计算内 核和普通计算内核的内存访问区域隔离， 普通计算内。

15、核无法访问可信计算内核使用的内存 资源。 0015 结合第二方面， 在第二方面第二实施方式， 根据可信计算策略对硬件资源进行分 配与调度， 包括： 将硬件资源分别分配给可信计算内核及普通计算内核， 并使可信计算内核 和普通计算内核工作在不同CPU或CPU时间片上， 普通计算内核无法访问可信计算内核使用 的CPU资源。 附图说明 0016 通过参考附图会更加清楚的理解本发明的特征和优点， 附图是示意性的而不应理 解为对本发明进行任何限制， 在附图中： 0017 图1示出了发明实施例中系统启动阶段的示意图； 0018 图2示出了发明实施例中系统运行阶段的流程图； 0019 图3示出了发明实施例中系。

16、统实施的步骤图； 说明书 2/5 页 4 CN 110175457 A 4 具体实施方式 0020 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发明实施例 中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例是 本发明一部分实施例， 而不是全部的实施例。 基于本发明中的实施例， 本领域技术人员在没 有作出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。 0021 早期针对安全操作系统架构的研究都集中在宏内核操作系统基础上展开， 可以分 为面向标准的安全体系结构和面向应用的安全体系结构， 宏内核操作系统内核较为复杂， 容易出。

17、现安全漏洞从而被攻击。 因此基于微内核的操作系统安全体系结构逐渐被认可， 在 可信计算概念提出来后， 出现不少结合可信计算思想的安全体系结构的研究， 诸如具有典 型代表意义的L4微内核的PERSEUS体系、 Google的ASM框架以及GP的TEE架构等。 其中， PERSEUS在Mach的基础上提高了进程间的隔离性和运行效率， 通过丰富的接口为上层提供 更好的安全支持， 但整体仍然基于TCG提供的硬件平台， 未实现可信节点主动度量和监视普 通计算节点的能力； ASM允许用户在不改变固件的情况下安装新的安全扩展模块， 但任何时 候一个APP试图执行有安全风险的操作时， 都需要获得用户或者企业在。

18、手机中安装的ASM组 件的允许， 因此ASM需要截获并分析大量的业务逻辑， 不利于在实时性要求高且业务环境多 样化的工业嵌入式环境中应用； TEE架构提供了授权安全软件(可信应用， TA)的安全执行环 境， 但其安全域的作用是区分授权安全软件并将其执行环境从普通计算节点隔离， 在业务 调用复杂环境中会造成性能耗损甚至业务连续性的破坏。 针对现有安全、 可信操作系统架 构设计上仍存在的问题， 本申请提出了一种双体系结构可信操作系统及方法， 该方法构建 可信计算内核和普通计算内核并行的计算构架， 通过构建执行硬件资源访问控制、 读写权 能的可信分配以及内核策略主动监控等功能的最小特权可信计算内核作。

19、为系统安全域， 在 不干扰系统业务运行的基础上主动保护系统运行， 采用可信平台控制模块硬件支撑可信计 算内核的安全机制， 可信计算内核兼容多种计算架构的普通计算内核， 更适合业务软硬件 环境多样化或高安全等级终端的应用。 0022 下面将结合图1介绍一种双体系结构可信操作系统， 图1为本发明实施例中双体系 结构可信操作系统图， 如图1所示。 普通计算内核1采集终端传递来的信息， 通过普通计算内 核1代理模块对采集信息的解析并发送至可信计算内核2的内核策略模块。 可信计算内核2 根据解析后的内核语义生成对应的可信计算策略内存资源、 硬件策略进行分配与调度， 进 而达到控制普通计算内核1的效果。 。

20、0023 图1为双体系结构可信操作系统， 包括： 普通计算内核1， 普通计算内核1中配置有 可信计算内核代理， 普通计算内核1用于获取普通业务请求进行处理， 并通过可信计算内核 代理将内核语义进行语义解析发送给可信计算内核2。 可信计算内核2， 包括： 内核策略模 块， 用于生成可信计算策略， 解析普通计算内核语义； 监控管理模块， 用于对普通计算内核1 状态进行监测、 度量、 控制； 硬件管理模块， 用于根据可信计算策略对硬件资源进行分配与 调度。 内存管理模块， 用于根据可信计算策略对内存资源进行分配。 0024 可选地， 在本发明的一些实施例中， 该双体系结构可信操作系统还包括： 可信平。

21、台 控制模块3， 用于分别对可信计算内核2及硬件资源4进行可信度量； 如果度量通过， 可信平 台控制模块3启动硬件资源4及可信计算内核2。 可信平台控制模块3在启动之前通过对硬件 资源及可信计算内核的度量， 确保硬件资源及可信计算内核2启动之前的安全性， 及确保系 说明书 3/5 页 5 CN 110175457 A 5 统的安全运行。 0025 下面将对本发明中的一种双体系结构可信操作系统进行介绍， 请参阅图2， 本发明 实施例中双体系结构可信操作系统启动方式， 包括： 首先运行可信平台控制模块3(TPCM)， 可信平台控制模块开始分别对可信计算内核及硬件资源进行可信度量； 如果度量通过， 。

22、可 信平台控制模块3启动硬件资源及可信计算内核； 如果度量未通过， 则通过电源复位阻断硬 件资源及可信计算内核的运行。 0026 可选地， 本发明的一些实施例中， 上述的普通计算内核1还包括： 监控管理模块， 用 于进行普通计算内核1的内存分配； 进程管理模块， 用于管理普通计算内核1的程序、 进程和 操作中的至少之一； 文件管理模块， 用于管理普通计算内核1的文件数据； I/O管理模块， 用 于管理普通计算内核的I/O设备。 本发明中的可信内核模块可以是上述模块， 并包含上述模 块的功能， 但不限于上述模块及功能。 0027 可选地， 本发明的一些实施例中， 上述的可信计算内核2包括： 内存。

23、监管模块， 用于 监管普通计算内核的内存使用； 进程监控模块， 用于监控普通计算内核1的程序、 进程和操 作； 存储监控模块， 用于监控普通计算内核1的资源存储情况； I/O监控模块， 用于监控普通 计算内核1的I/O设备； 内核策略模块， 用于接收可信计算内核代理解析的内核语义， 根据解 析后的内核语义生成对应的可信计算策略。 本发明中的可信内核模块可以是上述模块， 并 包含上述模块的功能， 但不限于上述模块及功能。 0028 可选地， 本发明的一些实施例中， 上述监控管理模块具体用于： 可信计算内核2根 据内核策略模块所制定的可信计算策略及解析后的普通计算内核1语义， 执行可信计算策 略，。

24、 对普通计算内核1的内存、 进程、 存储、 I/O进行监控， 包括对普通计算内核1上述计算资 源和计算行为可信性进行监测、 度量和控制， 使得系统内信息保密性加强， 可信计算内核2 的资源更加安全。 0029 上述硬件管理模块具体用于： 将硬件资源4分别分配给可信计算内核2及普通计算 内核1， 并使可信计算内核2和普通计算内核1工作在不同CPU或CPU时间片上， 普通计算内核 1无法访问可信计算内核2使用的CPU资源。 通过对可信计算内核2的访问， 可以对普通内核1 进行监管控制， 而普通内核1无法访问可信计算内核2， 增加了操作系统的安全性。 0030 本发明还提供一种双体系结构可信操作的方。

25、法， 该方法可以具体应用于上述实施 例的可信计算内核2中， 如图3所示， 该方法主要包括： 0031 步骤S1： 接收普通计算内核1通过可信计算内核代理进行解析后的内核语义； 0032 步骤S2： 根据解析后的内核语义生成对应的可信计算策略， 根据可信计算策略对 普通计算内核1进行控制； 0033 步骤S3： 根据可信计算策略对内存资源进行分配与调度； 根据可信计算策略对硬 件资源进行分配与调度。 0034 通过对内存资源进行分配与调度和对硬件资源4进行分配与调度达到控制普通据 算内核1操作运行的效果。 根据可信计算策略对内存资源进行分配与调度， 包括： 将内存资 源分别分配给可信计算内核2及。

26、普通计算内核1， 并使可信计算内核2和普通计算内核1的内 存访问区域隔离， 普通计算内核1无法访问可信计算内核2使用的内存资源。 根据可信计算 策略对硬件资源4进行分配与调度， 包括： 将硬件资源4分别分配给可信计算内核2及普通计 算内核1， 并使可信计算内核2和普通计算内核1工作在不同CPU或CPU时间片上， 普通计算内 说明书 4/5 页 6 CN 110175457 A 6 核1无法访问可信计算内核2使用的CPU资源。 0035 虽然结合附图描述了本发明的实施例， 但是本领域技术人员可以在不脱离本发明 的精神和范围的情况下作出各种修改和变型， 这样的修改和变型均落入由所附权利要求所 限定的范围之内。 说明书 5/5 页 7 CN 110175457 A 7 图1 图2 说明书附图 1/2 页 8 CN 110175457 A 8 图3 说明书附图 2/2 页 9 CN 110175457 A 9 。