[发明专利]一种云主机操作系统加固方法

说明书

技术领域

本发明涉及的是一种云主机操作系统加固方法。

背景技术

在现有技术中，公知的技术是系统管理模式(System Management Mode, SMM)是Intel在386SL之后引入x86体系结构的执行模式，它是CPU四种运行模式中的一种，其它三种是实模式、保护模式、v86模式。SMM只能通过系统管理中断（System Management Interrupt, SMI） 进入，并只能通过执行RSM指令退出。SMM模式对操作系统透明，换句话说，操作系统根本不知道系统何时进入SMM模式，也无法感知SMM模式曾经执行过，

随着互联网带宽的不断升级，云计算在日常生活中的应用已经相当普及。计算机安全问题，例如病毒、木马等导致数据泄露和数据篡改等问题，也变得更为严重。在上述背景下，解决面向操作系统安全问题、保障使用云客户机系统安全已成为计算机安全的一个重要关键技术点。

发明内容

本发明的目的就是针对现有技术所存在的不足而提供一种技术方案，该方案的方法在系统管理模式SMM模式下，对操作系统重要模块进行校验，校验方法是基于HASH方法进行实现，对应的Hash数值存放于系统管理内存（System Management RAM,SMRAM）空间中，由于客户域系统软件一般是不能访问该空间数据的，因此扫描模块和Hash文件库对上层操作系统透明，具备更高安全性。

本方案是通过如下技术措施来实现的：1. 一种云主机操作系统加固方法，其特征在于包括如下步骤：

1）在操作系统的模块中插入楔子代码，楔子代码会触发陷入系统管理模式SMM动作；

2）触发后，CPU切换在系统管理模式SMM下，每次进入SMM后执行程序入口地址都不会一样，检测模块对操作系统完整性进行校验，检测恶意软件对操作系统的篡改。

所述的校验采用HASH算法进行实现。

HASH算法对应的HASH数值存放在系统管理内存SMRAM的空间内。

通过TPM芯片对HASH数值型加密。

在系统管理模式SMM中对HASH数值建立白名单，使HASH算法正常执行。

所述的白名单包括特殊软件和操作系统的数据结构，所述的特殊软件包括杀毒软件，数据结构包括GDT表、驱动程序。

楔子代码插入的位置选择的是sysenter和syscall指令指向的内核代码的入口位置。

本方案的有益效果可根据对上述方案的叙述得知，由于在该方案中在操作系统的关键模块插入楔子代码，该代码会触发陷入SMM动作，触发成功后，CPU将切换在SMM模式下，此时检测模块会对操作系统完整性进行校验，以检测恶意软件对操作系统的篡改。楔子代码插入位置，这里选择的是sysenter和syscall指令指向的内核代码的入口位置。在SMM模式下一切被都屏蔽，包括所有的中断。SMM模式下的执行的程序被称作SMM处理程序，所有的SMM处理程序只能在系统管理内存（System Management RAM,SMRAM）的空间内运行。操作系统不可以访问该空间，恶意软件和病毒一般是不能访问该空间，因此扫描模块具备较强的隔离型，而SMM处理程序能够访问整个内存空间；每次进入SMM后执行程序入口地址都不会一样，使得跟踪SMM执行变得更为困难。

Hash数值经TPM芯片进行了加密，即使第三方能获取到这些数值，解密修改这些数据也将具备更高的复杂度，基于TPM芯片进行加密和解密操作，减少了CPU执行计算任务负荷，节省了系统资源，缩减了每次执行检验的时间间隔

本方案是基于白名单方式校验Hash数值，加入到白名单主要包括了操作系统主要的数据结构和一些特殊应用软件。操作系统重要的数据结构包括了GDT表、驱动程序等；特殊应用软件主要包括了杀毒软件等特殊程序。本方案同时适合于校验运行在物理机中操作系统完整性，也可以校验运行在虚拟域中操作系统的完整性。本方法不仅能够校验运行在虚拟域中操作系统完整性，同时能够校验hypervisor层重要数据结构的完整性，为云计算环境提供更完整的数据校验功能。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著的进步，其实施的有益效果也是显而易见的。

具体实施方式

为能清楚说明本方案的技术特点，下面通过一个具体实施方式，对本方案进行阐述。

本方案的云主机操作系统加固方法，包括如下步骤：

1）在操作系统的模块中插入楔子代码，楔子代码会触发陷入系统管理模式SMM动作；