基于可信計算的嵌入式Linux內(nèi)核安全性加固的研究.pdf

1、論文基于的研究項目來源于廣東省教育部產(chǎn)學(xué)研結(jié)合重大專項（項目編號2009A090100018）“基于可信計算的嵌入式安全終端的研究”。隨著網(wǎng)絡(luò)病毒、黑客入侵等計算機犯罪行為的日漸增多，人們對于信息安全尤其是系統(tǒng)安全越來越加以重視，操作系統(tǒng)作為系統(tǒng)軟件中最底層的部分，其安全性安更是重中之重。操作系統(tǒng)的可信啟動是系統(tǒng)安全的前提，加密文件系統(tǒng)與可信I/O端口控制是實現(xiàn)系統(tǒng)安全的基石。本文以可信計算模塊作為硬件依托，對操作系統(tǒng)的可信啟動、可信文

2、件系統(tǒng)和可信I/O的訪問控制進(jìn)行了分析與研究，設(shè)計并實現(xiàn)了安全性能增強的Linux內(nèi)核。
　　首先，設(shè)計了Linux內(nèi)核安全性能加固的整體框架，并且建立了Linux操作系統(tǒng)可信啟動模型。對目前系統(tǒng)啟動的研究情況進(jìn)行了分析，確立了以FPGA作為可信度量根，使用可信計算模塊TPM度量bootloader引導(dǎo)程序以及Linux內(nèi)核的啟動方案，建立可信啟動鏈，防止在啟動過程中受到惡意代碼的攻擊，保證嵌入式系統(tǒng)平臺的可信性，為整個系統(tǒng)提供可

3、信計算基。
　　其次，建立了基于TPM的Linux文件系統(tǒng)可信模型。對國內(nèi)外已有的傳統(tǒng)加密文件系統(tǒng)的研究與進(jìn)展情況進(jìn)行了詳盡的剖析，并在此基礎(chǔ)上設(shè)計并實現(xiàn)了一個以TPM密碼學(xué)算法及安全存儲機制為依托，集文件加解密功能、文件完整性校驗功能、文件多級訪問控制為一體，針對文件粒度安全保護的可信文件系統(tǒng)，將操作系統(tǒng)啟動時建立起來的可信鏈進(jìn)一步拓展到文件系統(tǒng)的層次。在實現(xiàn)過程中，與Linux內(nèi)核提供的安全機制緊密結(jié)合，并且實現(xiàn)與Linux內(nèi)