一种基于TPM的Linux内核初始化中的数据结构保护方法及系统,申请号CN201210438946.7-传众专利搜索

一种基于TPM的Linux内核初始化中的数据结构保护方法及系统

申请公布号：CN103020518A

申请号：CN201210438946.7

申请日期：2012.11.06

申请公布日期：2013.04.03

申请人：

中国科学院计算技术研究所

发明人：薛栋梁;高云伟;杨鹏斐;展旭升;孙毓忠

分类号：G06F21/55(2013.01)I;G06F21/64(2013.01)I

主分类号：G06F21/55(2013.01)I

代理机构：

北京律诚同业知识产权代理有限公司 11006

代理人：祁建国;梁挥

地址：100190 北京市海淀区中关村科学院南路6号

摘要：本发明提供了一种基于TPM的Linux内核初始化中的数据结构保护方法及系统，通过对Linux内核镜像本身以及Linux内核初始化过程中加载的内核页表、GDT表、IDT表(包含系统调用表)进行了基于TPM的可信验证、可信数据绑定、可信数字签名等保护操作，避免了一些常见的RootKit对Linux内核在初始化过程中加载的机会，非常适合Linux内核的可信初始化以及当前云计算环境下虚拟机的可信初始化，对于构造可信云平台具有重要的实际意义，具有良好的市场前景和应用价值。

主权项：一种基于TPM的Linux内核初始化中的数据结构保护方法，其特征在于，包括：步骤1，在启动加载器后计算Linux内核的完整性度量值记为Kernel‑Integrity‑Value1；步骤2，对所述Kernel‑Integrity‑Value1进行数字签名并初始化数据结构记为Loader_Secure_Data；步骤3，将所述Loader_Secure_Data发送到Linux内核中；步骤4，认证Linux内核的完整性，并对Linux内核进行解压缩；步骤5，分别对首次初始化页表、初始化GDT表、初始化IDT表的进行基于TPM的数据绑定操作；步骤6，分别对第二次初始化页表、读取GDT表、第二次初始化IDT表进行基于TPM的数据解除绑定操作。