一种操作系统安全启动方法、启动管理器和系统技术方案

本发明专利技术提供一种操作系统安全启动方法、启动管理器和系统，该方法包括：确定软件度量策略、硬件度量标准值和软件度量标准值，在操作系统启动过程中，确定硬件度量值；根据所述软件度量策略，度量与所述操作系统启动相关的软件信息，生成软件度量值；将所述硬件度量值和所述软件度量值分别与所述硬件度量标准值和所述软件度量标准值进行对比，如果所述硬件度量值与所述硬件度量标准值以及所述软件度量值与所述软件度量标准值一致，则确定所述操作系统安全，并启动所述操作系统；否则，禁止所述操作系统启动，保证了操作系统安全启动。

【技术实现步骤摘要】

本专利技术涉及计算机安全
，特别涉及一种操作系统安全启动方法、启动管理器和系统。
技术介绍
随着网络的快速发展和广泛的应用，计算机中个人信息安全越来越受到重视。由于在计算机或服务器使用过程中，个人信息将直接暴露在操作系统中，那么操作系统的安全性直接决定了个人信息的安全性。目前，对于伴随Linux等操作系统一起启动的一些软件的保护，如对第三方开发的涉及个人信息的金融软件等的保护，主要是在Linux等操作系统启动之后，才能对伴随操作系统启动的这些软件实施保护，使得这些软件在操作系统启动过程中很容易被恶意攻击，导致操作系统启动过程存在安全隐患。
技术实现思路
本专利技术提供一种操作系统安全启动方法、启动管理器和系统，能够保证操作系统安全启动。一种操作系统安全启动方法，确定软件度量策略、硬件度量标准值和软件度量标准值，还包括：在操作系统启动过程中，确定硬件度量值；根据所述软件度量策略，度量与所述操作系统启动相关的软件信息，生成软件度量值；将所述硬件度量值和所述软件度量值分别与所述硬件度量标准值和所述软件度量标准值进行对比，如果所述硬件度量值与所述硬件度量标准值以及所述软件度量值与所述软件度量标准值一致，则确定所述操作系统安全，并启动所述操作系统；否则，禁止所述操作系统启动。优选地，该方法进一步包括：为所述操作系统设置度量策略配置工具；所述确定软件度量策略，包括：触发所述度量策略配置工具，根据软件度量策略格式，为与所述操作系统相关的软件信息定义软件配置文件，并将所述软件配置文件存储在第一内存区域，在所述操作系统启动过程中，读取所述第一内存区域中的软件配置文件。优选地，该方法进一步包括：触发所述度量策略配置工具，根据硬件度量策略格式，为与所述操作系统相关的硬件信息定义硬件配置文件，并将所述硬件配置文件存储在第一内存区域；所述确定硬件度量标准值和软件度量标准值，包括：当所述操作系统首次启动时，根据第一内存区域中硬件配置文件和软件配置文件，分别度量与操作系统相关的硬件信息和软件信息，分别为所述度量的硬件信息和软件信息，生成硬件哈希值和软件哈希值，并将所述硬件哈希值作为硬件度量标准值、所述软件哈希值作为软件度量标准值存储在第二内存区域。优选地，所述确定硬件度量值，包括：当所述操作系统启动时，触发BIOS，根据所述第一内存区域中的硬件信息对应的配置文件，为所述硬件的标识名，生成硬件度量值，并存储所述硬件度量值；获取所述存储的硬件度量值。优选地，在所述生成软件度量值之后，在所述将所述硬件度量值和所述软件度量值分别与所述硬件度量标准值和所述软件度量标准值进行对比之前，进一步包括：从所述第二内存区域获取所述硬件度量标准值和所述软件度量标准值。一种启动管理器，包括：第一确定单元，用于确定软件度量策略、硬件度量标准值和软件度量标准值；第二确定单元，用于在外设的操作系统启动过程中，确定硬件度量值；度量单元，用于根据所述第一确定单元确定的软件度量策略，度量与所述外设的操作系统启动相关的软件信息，生成软件度量值；对比单元，用于将所述第二确定单元确定的硬件度量值和所述度量单元度量的软件度量值分别与所述第一确定单元确定的硬件度量标准值和所述软件度量标准值进行对比；控制单元，用于当所述对比单元的对比结果为所述硬件度量值与所述硬件度量标准值以及所述软件度量值与所述软件度量标准值一致时，启动所述外设的操作系统；否则，禁止所述外设的操作系统启动。优选地，所述第一确定单元，用于触发外设的度量策略配置工具，根据软件度量策略格式，为与所述外设的操作系统相关的软件信息定义软件配置文件，并将所述软件配置文件存储在外设的第一内存区域，在所述外设的操作系统启动过程中，读取所述外设的第一内存区域中的软件配置文件。优选地，所述度量单元，用于根据软件度量策略，为所述度量策略对应的软件信息，生成软件哈希值，作为软件度量值；所述第一确定单元，用于当所述外设的操作系统首次启动时，将所述度量单元首次生成的软件度量值和外设的BIOS首次生成的硬件度量值分别作为软件度量标准值和硬件度量标准值，并将所述软件度量标准值和硬件度量标准值存储到外设的第二内存区域。优选地，所述第二确定单元，用于获取外设的BIOS生成的硬件度量值。优选地，上述启动管理器进一步包括：交互单元，用于从所述外设的第二内存区域获取所述硬件度量标准值和所述软件度量标准值，并将所述硬件度量标准值和所述软件度量标准值提供给所述对比单元。一种操作系统安全启动系统，包括：上述任意一种启动管理器和操作系统，其中，所述启动管理器，用于当确定所述操作系统安全时，启动所述操作系统，否则，禁止所述操作系统启动。优选地，上述系统进一步包括：度量策略配置工具和第一内存区域，其中，所述度量策略配置工具，用于在接收到触发时，根据软件度量策略格式，为与所述操作系统相关的软件信息定义软件配置文件，并将所述软件配置文件存储在所述第一内存区域；所述启动管理器，用于在所述操作系统启动过程中，读取所述第一内存区域中的配置文件。优选地，上述系统进一步包括：BIOS和第二内存区域，其中，所述度量策略配置工具，进一步用于在接收到触发时，根据硬件度量策略格式，为与所述操作系统相关的硬件信息定义硬件配置文件，并将所述硬件配置文件存储在所述第一内存区域；所述BIOS，用于从所述第一内存区域获取硬件对应的硬件配置文件，并度量所述硬件配置文件中硬件信息，生成硬件度量值，并将所述硬件度量值存储到所述第二内存区域，将所述操作系统首次启动对应的硬件度量值作为硬件度量标准值，并将所述硬件度量值和所述硬件度量标准值存储到所述第二内存区域；所述启动管理器，用于当所述操作系统首次启动时，根据所述第一内存区域存储的度量策略，度量与操作系统相关的软件信息，为所述度量的软件信息，生成软件哈希值，并将所述软件哈希值作为软件度量标准值存储在第二内存区域。优选地，所述BIOS，用于根据所述第一内存区域中的硬件信息对应的硬件配置文件，为所述硬件的标识名，生成硬件度量值，并将所述硬件度量值存储到所述第二内存区域。优选地，所述启动管理器，用于从所述第二内存区域获取所述硬件度量值、所述硬件度量标准值和所述软件度量标准值中的任意一个或多个。本专利技术实施例提供了一种操作系统安全启动方法、启动管理器和本文档来自技高网...

【技术保护点】
一种操作系统安全启动方法，其特征在于，确定软件度量策略、硬件度量标准值和软件度量标准值，还包括：在操作系统启动过程中，确定硬件度量值；根据所述软件度量策略，度量与所述操作系统启动相关的软件信息，生成软件度量值；将所述硬件度量值和所述软件度量值分别与所述硬件度量标准值和所述软件度量标准值进行对比，如果所述硬件度量值与所述硬件度量标准值以及所述软件度量值与所述软件度量标准值一致，则确定所述操作系统安全，并启动所述操作系统；否则，禁止所述操作系统启动。

【技术特征摘要】
1.一种操作系统安全启动方法，其特征在于，确定软件度量策略、硬件
度量标准值和软件度量标准值，还包括：
在操作系统启动过程中，确定硬件度量值；
根据所述软件度量策略，度量与所述操作系统启动相关的软件信息，生
成软件度量值；
将所述硬件度量值和所述软件度量值分别与所述硬件度量标准值和所述
软件度量标准值进行对比，如果所述硬件度量值与所述硬件度量标准值以及
所述软件度量值与所述软件度量标准值一致，则确定所述操作系统安全，并
启动所述操作系统；否则，禁止所述操作系统启动。
2.根据权利要求1所述的方法，其特征在于，进一步包括：为所述操作
系统设置度量策略配置工具；
所述确定软件度量策略，包括：触发所述度量策略配置工具，根据软件
度量策略格式，为与所述操作系统相关的软件信息定义软件配置文件，并将
所述软件配置文件存储在第一内存区域，在所述操作系统启动过程中，读取
所述第一内存区域中的软件配置文件；
和/或，
进一步包括：触发所述度量策略配置工具，根据硬件度量策略格式，为
与所述操作系统相关的硬件信息定义硬件配置文件，并将所述硬件配置文件
存储在第一内存区域；
所述确定硬件度量标准值和软件度量标准值，包括：
当所述操作系统首次启动时，根据第一内存区域中硬件配置文件和软件
配置文件，分别度量与操作系统相关的硬件信息和软件信息，分别为所述度
量的硬件信息和软件信息，生成硬件哈希值和软件哈希值，并将所述硬件哈
希值作为硬件度量标准值、所述软件哈希值作为软件度量标准值存储在第二
内存区域。
3.根据权利要求2所述的方法，其特征在于，所述确定硬件度量值，包
括：
当所述操作系统启动时，触发BIOS，根据所述第一内存区域中的硬件
信息对应的配置文件，为所述硬件的标识名，生成硬件度量值，并存储所述
硬件度量值；
获取所述存储的硬件度量值；
和/或，
在所述生成软件度量值之后，在所述将所述硬件度量值和所述软件度量
值分别与所述硬件度量标准值和所述软件度量标准值进行对比之前，进一步
包括：从所述第二内存区域获取所述硬件度量标准值和所述软件度量标准值。
4.一种启动管理器，其特征在于，包括：
第一确定单元，用于确定软件度量策略、硬件度量标准值和软件度量标
准值；
第二确定单元，用于在外设的操作系统启动过程中，确定硬件度量值；
度量单元，用于根据所述第一确定单元确定的软件度量策略，度量与所
述外设的操作系统启动相关的软件信息，生成软件度量值；
对比单元，用于将所述第二确定单元确定的硬件度量值和所述度量单元
度量的软件度量值分别与所述第一确定单元确定的硬件度量标准值和所述软
件度量标准值进行对比；
控制单元，用于当所述对比单元的对比结果为所述硬件度量值与所述硬
件度量标准值以及所述软件度量值与所述软件度量标准值一致时，启动所述
外设的操作系统；否则，禁止所述外设的操作系统启动。
5.根据权利要求4所述的启动管理器，其特征在于，
所述第一确定单元，用于触发外设的度量策略配置工...

【专利技术属性】
技术研发人员：杨博中，
申请(专利权)人：浪潮电子信息产业股份有限公司，
类型：发明
国别省市：山东;37