基于安全等级管控策略的操作系统安全启动方法及装置与流程

本发明属于计算机，特别是涉及到一种基于安全等级管控策略的操作系统安全启动方法及装置。

背景技术：

1、在信息安全问题日益突出的时代，如何为计算机提供一个安全可靠的操作环境，防止计算机中的个人信息免受外界窃取和破坏是一个严肃的问题。很多行业或者机构涉及大量敏感数据，同时对数据的安全和系统的稳定性要求非常高，需要完善的保护措施来保证启动系统的安全性。

2、常用的方法是为操作系统提供一个可信计算环境，从操作系统启动开始，保障操作系统的安全可靠操作环境。目前已有操作系统安全启动方案包括基于安全芯片的启动度量、启动部件的签名验签的方式，都最大限度的保证了启动部件的完整性和合法性，但是绝大多数在系统启动完成后才对用户进行权限校验，而启动完成意味着硬盘数据已被加载，即存在木马黑入和密码暴力破解侵入计算机的情况；cn110795727a提出一种基于安全u盘和安全硬盘安全启动控制方法，安全u盘先对用户进行身份认证和权限校验，校验通过方可解密安全硬盘，启动其存储的操作系统。但是系统本身的安全性没有得到认证，在启动阶段仍然会遭到恶意攻击破坏，系统没有形成完整的可信链，可信度大打折扣。于是存在既需要保证所启动系统满足用户对系统的高安全性或高安全度的需求，又需要高安全性的系统在启动阶段避免非法用户的恶意操作或者攻击，保障系统数据的安全性。

3、目前绝大多数系统实现安全启动都需要向微软申请安全启动签名和证书，而对于涉密程度较高的行业若要做到自主可控，基于微软颁发的证书实现系统的安全启动是不可取和不可靠的。

4、同时对于这些涉密程度较高的行业也会存在对于系统安全性要求不高的场景，仅满足日常常规的办公操作即可，对于这类场景，系统安全性需求相对低，需要在保证系统启动安全性的基础上减少不必要的繁琐操作和时间开销，需要平衡安全性和便捷性。

5、因此，针对上述缺陷，有必要实行相关研究，提出切实有效的方案解决现有技术的缺陷。

技术实现思路

1、本发明的目的在于提供一种基于安全等级管控策略的操作系统安全启动方法及装置，针对不同等级的启动部件采取不同的管控策略，可实现细粒度的安全启动管控方式。

2、为了实现上述目的，本发明的技术方案是这样实现的：

3、一种基于安全等级管控策略的操作系统安全启动方法，包括：

4、设置不同安全等级的启动管控策略；

5、利用数字证书配置各启动部件的安全等级；

6、预先设定预期启动的预期安全等级；

7、在启动过程中上一级启动部件对下一级的待启动部件进行启动管控，所述启动管控根据待启动部件的安全等级所对应的启动管控策略以及所述预期安全等级进行校验，决定待启动部件是否允许启动。

8、进一步的，所述启动管控策略包括低安全等级、中安全等级、高安全等级；

9、低安全等级的启动管控策略首先进行待启动部件的安全等级校验；通过后再进行待启动部件的完整性校验，所述完整性校验包括：先进行签名验证，不通过则再进行可信度量校验；

10、中安全等级的启动管控策略首先进行待启动部件的安全等级校验；通过后再进行待启动部件的完整性校验，所述完整性校验包括签名验证；

11、高安全等级的启动管控策略首先进行待启动部件的安全等级校验；通过后再进行待启动部件的完整性校验，所述完整性校验包括签名验证；通过后再进行用户身份鉴权校验。

12、更进一步的，所述安全等级校验包括：判断待启动部件的安全等级是否不低于所述预期安全等级，如果是则校验通过。

13、更进一步的，所述签名验证包括：将ca机构或部门的安全启动根证书默认保存到tpm的持续性存储空间，对待启动部件数据采用sm2-wiht-sm3国密算法的公钥验签验证；所述可信度量校验包括待启动部件数据基准值采集并持久性存储tpm中，采用sm3取摘要与基准值比较验证，实现待启动部件的可信度量校验。

14、更进一步的，所述用户身份鉴权校验包括：通过带安全等级扩展字段的数字证书给用户赋予安全等级，同时基于tpm和数字证书进行用户权限鉴别。

15、进一步的，通过带安全等级扩展字段的数字证书给启动部件签名，实现对各启动部件的安全等级配置。

16、本发明另一方面还提出了一种基于安全等级管控策略的操作系统安全启动装置，包括：

17、启动管控策略单元：设置不同安全等级的启动管控策略；

18、启动部件等级单元：利用数字证书配置各启动部件的安全等级；

19、预期安全等级单元：预先设定预期启动的预期安全等级；

20、启动管控单元：在启动过程中上一级启动部件对下一级的待启动部件进行启动管控，所述启动管控根据待启动部件的安全等级所对应的启动管控策略以及所述预期安全等级进行校验，决定待启动部件是否允许启动。

21、进一步的，所述启动管控策略单元包括安全等级校验模块，完整性校验模块和用户身份鉴权模块；所述完整性校验模块包括证书签名验证子模块和可信度量子模块；

22、所述启动管控策略单元通过安全等级校验模块、证书签名验证子模块、可信度量子模块执行低安全等级的启动管控策略；通过安全等级校验模块、证书签名验证子模块执行中安全等级的启动管控策略；通过安全等级校验模块、证书签名验证子模块、用户身份鉴权模块执行高安全等级的启动管控策略。

23、更进一步的，所述证书签名验证子模块包括：将ca机构或部门的安全启动根证书默认保存到tpm的持续性存储空间，对待启动部件数据采用sm2-wiht-sm3国密算法的公钥验签验证；所述可信度量子模块包括待启动部件数据基准值采集并持久性存储tpm中，采用sm3取摘要与基准值比较验证，实现待启动部件的可信度量校验。

24、本发明还提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行上述的基于安全等级管控策略的操作系统安全启动方法。

25、与现有技术相比，本发明具有如下的有益效果：

26、1、本发明提出的不同安全等级的启动管控策略，实现细粒度的安全启动管控方式；

27、2、本发明启动验证用户权限保证涉密度高安全性高的系统不被任意用户启动；

28、3、本发明提出基于tpm并结合国密算法的签名验证和可信度量的组合方式来实现完整性度量，保证系统启动数据校验的安全性和便捷性。

技术特征：

1.一种基于安全等级管控策略的操作系统安全启动方法，其特征在于，包括：

2.根据权利要求1所述的基于安全等级管控策略的操作系统安全启动方法，其特征在于，所述启动管控策略包括低安全等级、中安全等级、高安全等级；

3.根据权利要求2所述的基于安全等级管控策略的操作系统安全启动方法，其特征在于，所述安全等级校验包括：判断待启动部件的安全等级是否不低于所述预期安全等级，如果是则校验通过。

4.根据权利要求2所述的基于安全等级管控策略的操作系统安全启动方法，其特征在于，所述签名验证包括：将ca机构或部门的安全启动根证书默认保存到tpm的持续性存储空间，对待启动部件数据采用sm2-wiht-sm3国密算法的公钥验签验证；所述可信度量校验包括待启动部件数据基准值采集并持久性存储tpm中，采用sm3取摘要与基准值比较验证，实现待启动部件的可信度量校验。

5.根据权利要求2所述的基于安全等级管控策略的操作系统安全启动方法，其特征在于，所述用户身份鉴权校验包括：通过带安全等级扩展字段的数字证书给用户赋予安全等级，同时基于tpm和数字证书进行用户权限鉴别。

6.根据权利要求1所述的基于安全等级管控策略的操作系统安全启动方法，其特征在于，通过带安全等级扩展字段的数字证书给启动部件签名，实现对各启动部件的安全等级配置。

7.一种基于安全等级管控策略的操作系统安全启动装置，其特征在于，包括：

8.根据权利要求7所述的基于安全等级管控策略的操作系统安全启动装置，其特征在于，所述启动管控策略单元包括安全等级校验模块，完整性校验模块和用户身份鉴权模块；所述完整性校验模块包括证书签名验证子模块和可信度量子模块；

9.根据权利要求8所述的基于安全等级管控策略的操作系统安全启动装置，其特征在于，所述证书签名验证子模块包括：将ca机构或部门的安全启动根证书默认保存到tpm的持续性存储空间，对待启动部件数据采用sm2-wiht-sm3国密算法的公钥验签验证；所述可信度量子模块包括待启动部件数据基准值采集并持久性存储tpm中，采用sm3取摘要与基准值比较验证，实现待启动部件的可信度量校验。

10.一种计算机可读存储介质，所述存储介质存储有计算机程序，其特征在于，所述计算机程序用于执行如权利要求1-6任一项所述的基于安全等级管控策略的操作系统安全启动方法。

技术总结
本发明提供一种基于安全等级管控策略的操作系统安全启动方法及装置，设置不同安全等级的启动管控策略；利用数字证书配置各启动部件的安全等级；预先设定预期启动的预期安全等级；在启动过程中上一级启动部件对下一级的待启动部件进行启动管控，所述启动管控根据待启动部件的安全等级所对应的启动管控策略以及所述预期安全等级进行校验，决定待启动部件是否允许启动。本发明针对不同等级的启动部件采取不同的管控策略，可实现细粒度的安全启动管控方式。

技术研发人员：康昱,王玉成,蒋杏松,甘建庆,孟圆,姬一文,杨诏钧
受保护的技术使用者：麒麟软件有限公司
技术研发日：
技术公布日：2024/4/17