可信计算是全新的信息系统安全技术,囊括了可信硬件、可信软件、可信网络和可信应用等诸多方面,它把人类社会成功的管理经验用于计算机信息系统和网络空间,以确保计算机信息系统和网络空间的安全可信。
在我国可信计算双体系架构中,信息通过逐级度量,可信验证、审核记录单向扩展等方式保障记录的完整性,形成完整的信任链传递,使软件的行为总是与预期一致,从而保证了系统启动的初始状态的可信性。在麒麟操作系统已经支持了多种TPCM硬件驱动(包括插卡和CPU内置TPCM信任根),并且将可信软件基预置操作系统中与操作系统内核进行深度设配整合,为设备建立了一条完整无缝的信任链,保障设备安全、运行安全,符合了等级保护2.0标准中可信验证的要求。
采用国产处理器、可信固件、麒麟可信安全操作系统和可信应用构可建完整的国产化可信解决方案满足用户的多样性安全需求。
操作系统作为计算机软硬件的桥梁,是最重要的系统软件,在可信计算技术中具有举足轻重的地位。
麒麟可信安全操作系统以可信计算技术和安全操作系统为基础,全面支持国内外可信计算技术规范(TPCM、TCM、TPM2.0),通过可信链的建立及传递实现对平台软硬件的完整性度量;提供基于可信芯片的上层可信功能和图形化的可信管理中心;系统在可信引导程序、可信内核、应用执行控制、动态度量技术、可信安全架构五个方面实现操作系统级的可信度量,保障用户信息安全。
可信引导程序grub、可信UEFI和可信uboot可实现内核文件和initrd镜像的完整性验证;采用主动识别主动标记的执行控制技术,麒麟可信安全操作系统内核可主动识别并有效防止外来非法软件加载或执行,有效保证系统中可运行软件的合法性;应用执行控制可及时准确地发现和阻断非法进程的运行,具有很强的进程监控能力;动态度量技术提供内核关键数据保护和内核模块与应用程序动态度量,防止恶意程序对应用程序的攻击;基于以上四种主要安全技术,麒麟操作系统提供基于多策略融合的安全管控与应用防护,实现全方位的可信安全架构体系,实现对TPCM、TCM软件协议栈和国密算法的支持。
麒麟可信安全操作系统实现了从固件到应用的度量和校验传递,构建了操作系统的完整信任链。目前,麒麟软件联合国内主要的可信软硬件厂商构建可信生态体系,共同打造国产化可信计算平台,已经在众多对业务稳定行和安全要求较高的关键领域部署。