[发明专利]一种系统安全启动方法、装置、计算设备及可读存储介质

说明书

本发明公开了一种系统安全启动方法，适于在计算设备中执行，计算设备中安装有操作系统，方法包括：在计算设备加电时，启动UEFI单元，以便加载UEFI环境；通过UEFI单元加载并启动中间层程序；通过中间层程序加载并启动系统启动引导程序；通过系统启动引导程序加载并启动系统内核。本发明一并公开了相应的装置、计算设备及可读存储介质。

技术领域

本发明涉及计算机技术领域，尤其涉及一种系统安全启动方法、装置、计算设备及可读存储介质。

背景技术

用户在X86架构中启动Windows系统时，可以通过进入UEFI/BIOS选择是否进行安全启动（secure boot），安全启动项位于UEFI-BIOS的SECURITY选项下，用来对抗感染EFI（Extensible Firmware Interface，EFI）的恶意软件，统一可扩展固件接口（UnifiedExtensible Firmware Interface，UEFI）规定，主板出厂的时候，可以内置一些可靠的公钥，任何想要在这块主板上加载的操作系统或者硬件驱动程序，都必须通过这些公钥的认证，否则主板拒绝加载，防止恶意软件侵入，目前主板商签名数据库中都内置微软的两张证书“Microsoft Corporation UEFI CA 2011”和“Microsoft Windows Production PCA2011”。

对于运行于ARM/MIPS架构，尤其Linux系统，安全启动的支持尚不完善，虽然已经在使用EDKII开发套件提供UEFI，可以集成操作系统厂商提供的证书，但是这样集成的证书不够灵活，更新的时候需要更新固件，对普通用户不友好。

发明内容

为此，本发明提供了一种系统安全启动方法、装置、计算设备及可读存储介质，以力图解决或者至少缓解上面存在的问题。

根据本发明的一个方面，提供一种系统安全启动方法，适于在计算设备中执行，计算设备中安装有操作系统，方法包括：在计算设备加电时，启动UEFI单元，以便加载UEFI环境；通过UEFI单元加载并启动中间层程序；通过中间层程序加载并启动系统启动引导程序；通过系统启动引导程序加载并启动系统内核。

可选的，在根据本发明的系统安全启动方法中，UEFI单元中内置第一校验证书，中间层程序中内置第一签名，通过UEFI单元加载并启动中间层程序包括：根据第一校验证书对中间层程序中的第一签名进行校验；若第一签名校验通过，则加载并启动中间层程序，若第一签名校验失败，则停止操作系统启动程序。

可选的，在根据本发明的系统安全启动方法中，还包括：当UEFI环境加载完成后，加载UEFI环境的相关组件，相关组件包括：SEC、PEI、DXE和BDS等。

可选的，在根据本发明的系统安全启动方法中，中间层程序中内置第二校验证书，系统启动引导程序中内置第二签名，通过中间层程序加载并启动系统启动引导程序包括：通过第二校验证书对系统启动引导程序的第二签名进行校验；若第二签名校验通过，则加载并启动系统启动引导程序，若第二签名校验失败，则停止操作系统启动程序。

可选的，在根据本发明的系统安全启动方法中，中间层程序中内置第三校验证书，系统内核中内置第三签名，通过系统启动引导程序加载系统内核包括：根据第三检验证书对系统内核的第三签名进行校验；若第三签名校验成功，则加载并启动系统内核，若第三签名校验失败，则停止操作系统启动程序。

可选的，在根据本发明的系统安全启动方法中，还包括：通过GNU-LD链接器将第二校验证书和第三校验证书链接到中间层程序的二进制文件中。

可选的，在根据本发明的系统安全启动方法中，通过GNU-LD链接器将第二校验证书和第三校验证书链接到中间层程序的二进制文件中还包括：根据计算设备的处理器架构的类型，通过相应的链接脚本将第二校验证书和第三校验证书链接到中间层程序的二进制文件中。