浪潮信息服务器操作系统云峦KeyarchOS内置了丰富的工具软件,涵盖了系统运维、故障诊断、性能调优、安全可信等多个方面。我们推出了一系列报道,本期为第二篇,介绍可信增强软件KTrusted。
一. 背景
随着云计算和大数据的兴起,计算节点承载越来越多的算力需求。服务器操作系统作为数据中心的基本单元,承载着客户业务系统和用户信息等关键数据,一旦服务器操作系统关键组件被恶意篡改,用户信息、业务数据也将面临被篡改、窃取的风险。
二. 软件简介
服务器操作系统安全可信能力的构建需要服务器硬件着手、保障操作系统引导及启动过程的安全可信,确保服务器操作系统内核及关键系统程序(包括系统安全组件)可信启动,从而实现系统的可信启动,为系统运行期间安全可信服务提供奠定基础。可信计算作为一种新的安全计算模式,从体系结构入手系统的安全可信能力,可作为操作系统安全能力增强的底座。
Ktrusted可信增强软件依据网络安全等级保护系列标准及可信计算相关规范标准设计、为操作系统可信支撑能力,构建可信计算应用环境,为运行于操作系统之上的应用程序提供安全可信的运行环境。
三. 功能特性
KTrusted采用基于硬件可信根的可信度量技术,构建从服务器上电到操作系统启动的信任链;同时提供基于可信状态的操作系统引导控制、操作系统可信启动控制、操作系统可信报告查询等功能。
KTrusted软件总体架构图
可信度量的核心是从服务器硬件上电开始,通过可信根逐级度量服务器启动过程的各组件(BIOS BootBlock、BIOS MainBlock、BootLoader、OS Kernel、OS模块等),并扩展度量结果到硬件可信根的安全存储空间;同时通过可信根芯片提供的密码服务,为上层应用及访问者提供验证平台可信的方法。
KTrusted软件结构图
KTrusted基于可信根实现对操作系统内核、驱动程序、用户程序、文件等操作系统关键数据的可信验证,利用可信根提供的密码学功能保障可信基准值和可信验证过程的安全可信。
四. 应用场景
安全合规:KTrusted遵循网络安全等级保护系列规范设计,满足相关规范“可信验证”技术要求。
关业务防护:KTrusted可有效检测并抵御来自固件层面的Bootkit攻击,从而增强操作系统安全能力。
KeyarchOS基于内生安全理念,提供全栈安全可信解决方案,为应用提供安全可信的计算环境和安全服务。后续KTrusted动态可信验证及可信监控与审计特性将陆续和大家见面,敬请期待。
售前咨询
售后服务
回到顶部