[发明专利]一种龙芯硬件平台上的linux操作系统保护方法

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种龙芯硬件平台上的linux操作系统保护方法。

背景技术

近年来，围绕发展自主可控、安全可信的国产软硬件，国内一些企业进行了积极的探索，涌现了一批以龙芯为代表的自主CPU芯片。针对龙芯硬件平台配套的Linux操作系统，Linux操作系统是开源软件且十分普及，因此分析其内部运行机制十分容易，也易于发现其缺陷和漏洞。运行Linux操作系统的龙芯硬件设备，若不进行保护，易于破解，易受攻击，面临着极大的安全风险。

随着龙芯CPU的成熟和国产替代计划的推进，龙芯越来越广泛的应用在国产通信设备和国防信息装备中，本发明是一种针对龙芯硬件平台的linux操作系统保护技术，可有效的保护采用龙芯硬件的信息设备的数据安全。

linux是一种非常流行的开源操作系统，拥有丰富的开源软件，是龙芯CPU的配套操作系统。Linux操作系统通常作为软件嵌入在龙芯硬件设备中，作为一个整体出售给客户。由于linux操作系统的开源性，龙芯硬件设备被非法分子获取后，面临着极大的安全威胁，保护技术及安全性如下所示：

一、无保护技术，安全性极低，面临极大的安全性威胁：

1.可轻易获取龙芯硬件设备操作系统所有文件，面临着数据泄密的威胁；

2.文件系统暴露，面临着被复制，盗版的威胁；

3.操作系统账户文件暴露，可轻易获取管理员权限；

4.程序文件暴露，可被用来分析漏洞，面临着被漏洞攻击的威胁；

5.关键程序暴露，可用来分析破解，面临着软件知识产权被侵犯的威胁。

二、文件系统加密保护，安全性中，由于内核未加密，此技术仍然面临着较大的安全性威胁：

1.内核暴露，可被用来分析漏洞，面临着被漏洞攻击的威胁；

2.内核未加密，可被用来植入恶意程序，面临着文件系统加密被破解的威胁；

三、磁盘加密保护，安全性高，采用此种技术，可获得较高的安全性保护，但是此技术实现较为复杂，需要专用的加密磁盘硬件，并改造龙芯固件以支持加密磁盘。

发明内容

本发明要解决的技术问题是：本发明提出了一种龙芯硬件平台上的linux操作系统保护技术，这项技术采用内核加密和文件系统加密两种方法，全面的保护操作系统数据安全。

本发明所采用的技术方案为：

一种龙芯硬件平台上的linux操作系统保护方法，所述保护方法采用内核加密和文件系统加密两种方法，全面的保护操作系统数据安全。

其中，内核加密是通过对Linux初始RAM磁盘（initrd）进行加密来实现的；在内核生成阶段，对Linux初始RAM磁盘进行加密；在系统启动时，对Linux初始RAM磁盘进行解密；

文件系统加密是通过linux设备映射技术实现，文件系统加密后，不能直接进行挂载，需要将加密的文件系统做映射，挂载映射后的文件系统，才能对文件系统进行数据读写操作。

Linux初始RAM磁盘的过程，是在系统引导过程中挂载的一个临时文件系统，Linux启动过程可分为两阶段的引导过程：第一个阶段，Linux在内存中初始化一个虚拟磁盘，然后将Linux初始RAM磁盘解压并复制到此虚拟磁盘中，Linux初始RAM磁盘包含了各种可执行程序和驱动程序，它们被用来初始化硬件和Linux运行环境；第二个阶段，将这个虚拟磁盘卸载，并释放内存，然后挂载实际的文件系统，并运行init程序，由init程序完成引导过程；

由此可见Linux操作系统中Linux初始RAM磁盘是非常重要的，其中包含了非常重要的系统引导程序，驱动程序和其他配置文件，若不进行加密，便可随意更改替换其中的文件，注入恶意程序，变更启动顺序，对Linux操作系统的安全构成了威胁。

文件系统是Linux在存储设备上组织文件和数据的结构，通过对文件系统进行加密，将文件和数据以密文的形式存储在磁盘上，可以防止龙芯硬件设备丢失后磁盘数据被盗。

所述内核加密的实施步骤如下：

（1）修改内核生成流程，在Linux初始RAM磁盘生成脚本最后追加加密过程，调用加密程序对Linux初始RAM磁盘进行加密；

（2）修改Linux源码initrd部分，在其中嵌入解密函数，修改initrd处理代码，在开始处调用解密函数对Linux初始RAM磁盘进行解密；

（3）修改完成后编译Linux源码，将生成的内核文件嵌入到龙芯硬件设备中。

所述文件系统加密实施步骤如下：