一种虚拟化平台服务器的可信启动方法及系统的制作方法
【技术领域】
[0001]本申请涉及网络技术领域,尤其涉及一种虚拟化平台服务器可信启动的方法及系统。
【背景技术】
[0002]TCM可信密码模块的英文全称为“Trusted Cryptography Module”,TCM是可信计算平台的硬件模块,为可信计算平台提供密码运算功能,具有受保护的存储空间。
[0003]可信计算平台(trusted computing platform)概念由国家密码管理局提出,其是构建在计算系统中,用于实现可信计算功能的支撑系统。
[0004]可信计算密码支撑平台是可信计算平台的重要组成部分,包括密码算法、密钥管理、证书管理、密码协议、密码服务等内容,为可信计算平台自身的完整性、身份可信性和数据安全性提供密码支持。其产品形态主要表现为可信密码模块和可信密码服务模块。
[0005]SysLinux是一种BootLoader,运行在MS-DOS/Windows FAT文件系统之上,用于加载Linux操作系统;ExtLinux是SysLinux的一个组件,可以运行在Ext3/Ext4文件系统之上。
[0006]目前市场上可信启动方法大多为基于grub的可信启动,暂时没有基于Extlinux的可信启动方案。
【发明内容】
[0007]本发明实施例提供了一种虚拟化平台服务器的可信启动方法及系统,用以解决现有技术中暂时没有基于Extlinux的可信启动方案的问题。
[0008]其具体的技术方案如下:
[0009 ] 一种虚拟化平台服务器可信启动方法,所述方法包括:
[0010]通过可信密码模块TCM对启动认证服务器操作系统的各个阶段进行校验,若校验通过,则建立从TCM至所述认证服务器的可信链;
[0011]通过TCM校验虚拟化平台服务器核心库文件以及相关库文件,并生成校验结果;
[0012]在所述校验结果表征文件校验通过时,通过预启动执行环境PXE协议保存核心库文件,并指示虚拟化平台服务器可信启动。
[0013]可选的,在通过TCM对启动认证服务器操作系统的各个阶段进行校验之前,还包括:
[0014]构建可信链的基准值以及各阶段文件的基准值,并将所述基准值导入到TCM内部;
[0015]将TCM内部的可信链的基准值以及各阶段文件的基准值导入到所述核心库文件中。
[0016]可选的,通过可信密码模块TCM对启动认证服务器操作系统的各个阶段进行校验,包括:
[0017]步骤1:校验B1S设置是否与初始化过程中设置的初始值相同,若相同,则进入步骤2;若不相同,则进入步骤8;
[0018]步骤2:通过B1S嵌入代码校验主引导记录MBR是否和初始化中设置的初始值相同,若相同,则进入步骤3;若不相同,则进入步骤8;
[0019]步骤3:引导扇区代码查找被标记为活动分区的分区,并标记为boot分区,通过引导扇区嵌入代码校验boot分区的分区引导记录VBR,则进入步骤4;若不相同,则进入步骤8;
[0020]步骤4:加载配置文件,校验配置文件是否与初始化过程中设置的初始值相同,若相同,则进入步骤5,若不相同,则进入步骤8;
[0021 ]步骤5:解析配置文件,并获取所述配置文件中的第一文件标签以及第二文件标签,校验第一指定标签所指定的第一文件是否与初始化过程中设置的初始值相同,若不相同,则进入步骤8;若相同,则加载所述第一文件,并将第二文件标签指定的内容作为指定模块的参数,并执行步骤6;
[0022]步骤6:获取步骤5中生成的参数,校验所述参数指示的各个模块,若各个模块校验通过,则进入步骤7,若校验未通过,则进入步骤8;
[0023]步骤7:加载内核以及核心库文件;
[0024]步骤8:停止启动认证服务器。
[0025]可选的,引导扇区代码查找被标记为活动分区的分区,并标记为boot分区,通过引导扇区嵌入代码校验boot分区的分区引导记录VBR,包括:
[0026]校验VBR中的第一内置文件的前512个字节,并判定前512个字节与初始化过程中设置的初始值是否相同,若相同,则通过前512个字节中的嵌入代码校验所述第一内置文件的剩余文件内容是否与初始值相同,若相同,则检验第二内置文件是否与初始值相同,若校验通过,则进入步骤4。
[0027]可选的,通过预启动执行环境PXE协议保存核心库文件,并指示虚拟化平台服务器可信启动,包括:
[0028]通过PXE将虚拟化平台服务器启动需要的核心组件放置在指定目录下;
[0029]TCM依次校验所述指定目录下的所有文件,若所有文件校验通过,则启动虚拟化平台服务器的PXE服务。
[0030 ] 一种虚拟化平台服务器可信启动的系统,包括:
[0031]可信密码模块,用于对启动认证服务器操作系统的各个阶段进行校验,若校验通过,则建立从TCM至所述认证服务器的可信链;校验虚拟化平台服务器核心库文件以及相关库文件,并生成校验结果;
[0032]处理模块,用于在所述校验结果表征文件校验通过时,通过预启动执行环境PXE协议保存核心库文件,并指示虚拟化平台服务器可信启动。
[0033]可选的,所述可信密码模块,构建可信链的基准值以及各阶段文件的基准值,并将所述基准值导入到TCM内部;将TCM内部的可信链的基准值以及各阶段文件的基准值导入到所述核;L.、库文件中。
[0034]可选的,所述可信密码模块,具体用于校验B1S设置是否与初始化过程中设置的初始值相同,若相同,通过B1S嵌入代码校验主引导记录MBR是否和初始化中设置的初始值相同,若相同,引导扇区代码查找被标记为活动分区的分区,并标记为boot分区,通过引导扇区嵌入代码校验boot分区的分区引导记录VBR,加载配置文件,校验配置文件是否与初始化过程中设置的初始值相同,若相同,解析配置文件,并获取所述配置文件中的第一文件标签以及第二文件标签,校验第一指定标签所指定的第一文件是否与初始化过程中设置的初始值相同,若相同,则加载所述第一文件,并将第二文件标签指定的内容作为指定模块的参数,获取生成的参数,校验所述参数指示的各个模块,若各个模块校验通过,加载内核以及核心库文件。
[0035]可选的,所述可信密码模块,具体用于校验VBR中的第一内置文件的前512个字节,并判定前512个字节与初始化过程中设置的初始值是否相同,若相同,则通过前512个字节中的嵌入代码校验所述第一内置文件的剩余文件内容是否与初始值相同,若相同,则检验第二内置文件是否与初始值相同,若校验通过,加载配置文件,校验配置文件是否与初始化过程中设置的初始值相同。
[0036]可选的,所述处理模块,具体用于通过PXE将虚拟化平台服务器启动需要的核心组件放置在指定目录下;可信密码模块依次校验所述指定目录下的所有文件,若所有文件校验通过,则启动虚拟化平台服务器的PXE服务。
[0037]本发明提供了一种虚拟化平台服务器可信启动方法,该方法包括:通过可信密码模块TCM对启动认证服务器操作系统的各个阶段进行校验,若校验通过,则建立从TCM至所述认证服务器的可信链;通过TCM校验虚拟化平台服务器核心库文件以及相关库文件,并生成校验结果;在所述校验结果表征文件校验通过时,通过预启动执行环境PXE协议保存核心库文件,并指示虚拟化平台服务器可信启动。通过上述的方法可以实现基于Extlinux的可信启动方案。
【附图说明】
[0038]图1为本发明实施例中一种虚拟化平台服务器的可信启动方法的流程图;
[0039]图2为本发明实施例中虚拟化平台服务器与认证服务器之间的交互示意图;
[0040]图3为本发明实施例中校验的流程示意图;
[0041]图4为本发明实施例中一种虚拟化平台服务器的可信启动系统的结构示意图。
【具体实施方式】
[0042]本发明实施例中提供了一种虚拟化平台服务器可信启动方法,该方法包括:通过可信密码模块TCM对启动认证服务器操作系统的各个阶段进行校验,若校验通过,则建立从TCM至所述认证服务器的可信链;通过TCM校验虚拟化平台服务器核心库文件以及相关库文件,并生成校验结果;在所述校验结果表征文件校验通过时,通过预启动执行环境PXE协议保存核心库文件,并指示虚拟化平台服务器可信启动。通过上述的方法可以实现基于Extlinux的