可信計算是全新的信息系統(tǒng)安全技術�,囊括了可信硬件�、可信軟件、可信網(wǎng)絡和可信應用等諸多方面��,它把人類社會成功的管理經(jīng)驗用于計算機信息系統(tǒng)和網(wǎng)絡空間����,以確保計算機信息系統(tǒng)和網(wǎng)絡空間的安全可信。
在我國可信計算雙體系架構中���,信息通過逐級度量����,可信驗證�����、審核記錄單向擴展等方式保障記錄的完整性����,形成完整的信任鏈傳遞,使軟件的行為總是與預期一致���,從而保證了系統(tǒng)啟動的初始狀態(tài)的可信性�����。在麒麟操作系統(tǒng)已經(jīng)支持了多種TPCM硬件驅(qū)動(包括插卡和CPU內(nèi)置TPCM信任根)���,并且將可信軟件基預置操作系統(tǒng)中與操作系統(tǒng)內(nèi)核進行深度設配整合,為設備建立了一條完整無縫的信任鏈���,保障設備安全��、運行安全�����,符合了等級保護2.0標準中可信驗證的要求�。
采用國產(chǎn)處理器���、可信固件��、麒麟可信安全操作系統(tǒng)和可信應用構可建完整的國產(chǎn)化可信解決方案滿足用戶的多樣性安全需求����。
操作系統(tǒng)作為計算機軟硬件的橋梁,是最重要的系統(tǒng)軟件�,在可信計算技術中具有舉足輕重的地位。
麒麟可信安全操作系統(tǒng)以可信計算技術和安全操作系統(tǒng)為基礎��,全面支持國內(nèi)外可信計算技術規(guī)范(TPCM��、TCM���、TPM2.0)����,通過可信鏈的建立及傳遞實現(xiàn)對平臺軟硬件的完整性度量���;提供基于可信芯片的上層可信功能和圖形化的可信管理中心��;系統(tǒng)在可信引導程序����、可信內(nèi)核����、應用執(zhí)行控制、動態(tài)度量技術�����、可信安全架構五個方面實現(xiàn)操作系統(tǒng)級的可信度量��,保障用戶信息安全�����。
可信引導程序grub�����、可信UEFI和可信uboot可實現(xiàn)內(nèi)核文件和initrd鏡像的完整性驗證���;采用主動識別主動標記的執(zhí)行控制技術�,麒麟可信安全操作系統(tǒng)內(nèi)核可主動識別并有效防止外來非法軟件加載或執(zhí)行����,有效保證系統(tǒng)中可運行軟件的合法性���;應用執(zhí)行控制可及時準確地發(fā)現(xiàn)和阻斷非法進程的運行,具有很強的進程監(jiān)控能力;動態(tài)度量技術提供內(nèi)核關鍵數(shù)據(jù)保護和內(nèi)核模塊與應用程序動態(tài)度量���,防止惡意程序?qū)贸绦虻墓?�;基于以上四種主要安全技術�����,麒麟操作系統(tǒng)提供基于多策略融合的安全管控與應用防護����,實現(xiàn)全方位的可信安全架構體系�����,實現(xiàn)對TPCM��、TCM軟件協(xié)議棧和國密算法的支持���。
麒麟可信安全操作系統(tǒng)實現(xiàn)了從固件到應用的度量和校驗傳遞��,構建了操作系統(tǒng)的完整信任鏈��。目前�����,麒麟軟件聯(lián)合國內(nèi)主要的可信軟硬件廠商構建可信生態(tài)體系��,共同打造國產(chǎn)化可信計算平臺�,已經(jīng)在眾多對業(yè)務穩(wěn)定行和安全要求較高的關鍵領域部署���。
