[发明专利]基于X86架构的安全启动方法

说明书

本发明涉及一种基于X86架构的安全启动方法，包括如下步骤：步骤S1：利用编译机产生可信根证书和被证书签名的内核rpm包；步骤S2：利用测试机导入可信根证书，并打开SecureBoot功能。本发明使用X86平台下的UEFI软件中的SecureBoot功能，通过使用自制根证书和签名重新编译内核源码包，从而保证了PC或服务器中的Linux内核和initramfs的有效性，当内核或initramfs被修改后，无法进入系统,达到防止他人私自篡改内核和initramfs的效果。

技术领域

本发明涉及数据安全技术领域，具体涉及一种基于X86架构的安全启动方法。

背景技术

X86架构的服务器操作系统通常都是开源的Linux操作系统，如CentOS、Fedora、Ubuntu。Linux的内核和initramfs都是开源的，可能会被篡改，这就会给服务器造成较大的安全隐患。为了避免这个安全隐患，就需要带有安全启动功能的X86平台，在开机启动时主动度量linux内核和initramfs，从而保证服务器操作系统的安全性。

Intel公司牵头研发的UEFI软件代替了BIOS。UEFI软件提供的SecureBoot功能用于保证linux内核和initramfs的有效性。但是大多数X86架构的主板在出厂时，使用的是微软可信根和Fedora可信根。当我们把使用Fedora或CentOS提供的内核软件包源码编译内核时，也会使用Fedora可信根。这就会导致虽然开启了安全启动功能，但无法保证内核和initramfs的有效性。

也有不使用UEFI软件的SecureBoot功能实现安全启动的方法，有的面向嵌入式，不适用于X86平台，有的需要借助其他特殊芯片、特殊处理器，不适用于常见的PC或服务器。

发明内容

为解决已有技术存在的不足，本发明提供了一种基于X86架构的安全启动方法，包括如下步骤：

步骤S1：利用编译机产生可信根证书和被证书签名的内核rpm包；

步骤S2：利用测试机导入可信根证书，并打开SecureBoot功能。

其中，所述步骤S1包括：

步骤S11：制作SecureBoot的启动证书；

步骤S12：进行签名证书创建；

步骤S13：制作SecureBoot启动的证书的uefi-secureboot-key软件rpm包；

步骤S14：安装secureboot启动的证书的rpm包；

步骤S15：重新编译shim-signed、grub2、kernel。

其中，所述步骤S13包括：将生成的myca.der以及tmp文件夹中的cert8.db、key3.db、secmod.db打包为uefi-secureboot-key-1.0.tar.gz，然后使用SPECS文件：uefi-secureboot-key.spec制作为uefi-secureboot-key-1.0-el7.x86_64.rpm。

其中，所述步骤S2包括：

步骤S21：更新编译机编译的shim、grub2、kernel；

步骤S22：导入证书；

步骤S23：系统重启，进入shim，开启SecureBoot。

本发明使用X86平台下的UEFI软件中的SecureBoot功能，通过使用自制根证书和签名重新编译内核源码包，从而保证了PC或服务器中的Linux内核和initramfs的有效性，当内核或initramfs被修改后，无法进入系统,达到防止他人私自篡改内核和initramfs的效果。

具体实施方式