2023年12月,财政部、工信部发布了7项信息类产品《政府采购需求标准》,为包括操作系统在内多项产品的政府集中采购提供政策支撑。其中,安全、可信作为国产操作系统的基本要求备受关注。
安全体系的构建离不开操作系统本身的硬实力,更离不开与上下游伙伴用户产品合力共建。其中,安全启动(Secure Boot)作为一项至关重要的安全技术,成为现代计算机系统安全的一道坚固防线,尤其在搭载国产操作系统与UEFI(统一可扩展固件接口)的设备上,展现出了非凡的安全
什么是安全启动?
安全启动的主要目标是验证UEFI启动过程中加载的所有可执行文件的合法性和完整性,以防止未经授权或篡改的代码被加载和执行。这些可执行文件包括UEFI驱动程序、UEFI应用程序和操作系统的引导加载程序(bootloader)等。
安全启动使用了数字签名技术来实现启动过程的验证功能。系统启动过程的主要组件会预先被私钥签名;对应的用于验证签名的公钥被内置到UEFI固件中,它就像一把智能钥匙,只允许那些经过认证的“朋友”进入我们的数字家园。
在启动过程中,前一个部件验证后一个部件的数字签名,如果能验证通过,则运行后一个部件;如果验证不通过,则暂停启动。通过安全启动可以保证系统启动过程中各个部件的完整性,防止没有经过认证的部件被加载运行,从而防止对系统及用户数据产生安全威胁。
安全启动涉及的验证组件:BIOS->shim->grub->vmlinuz(依次验签通过并加载),其中vmlinuz是内核镜像。
安全启动标准验证流程图
安全启动为计算机系统的启动过程提供了额外的防护层,可以有效地阻止恶意软件在启动阶段的攻击和植入。它在现代操作系统和计算机硬件中被广泛支持,并成为保护系统安全的重要措施之一。以技术自主、兼容广泛为优势,银河麒麟操作系统与上下游伙伴产品共同为用户安
银河麒麟操作系统安全启动如何发挥作用?
全程保护:
银河麒麟操作系统的安全启动支持国密算法和国际算法双签名,为系统构建强大的安全屏障,可以有效防范恶意代码运行。这就相当于给系统披上了一层坚不可摧的国产盔甲,保护系统安全启动。
严密校验:
关键启动组件在我们的安全启动体系下,接受着最严格的校验。银河麒麟操作系统从底层的UEFI固件到操作系统引导程序到操作系统内核依次校验签名,确保操作系统与应用程序在干净的状态下启动运行,实现稳定性与安全性双保险。
兼容广泛:
银河麒麟操作系统积极兼容并适配广泛的硬件平台,与行业内的主要整机厂商及固件厂商紧密合作,共同构建了面向多设备类型的中国本土化安全启动解决方案,这一举措紧跟市场与技术的最新发展趋势。
截至目前,银河麒麟操作系统已在超过20款不同架构的整机上成功实现了安全启动功能,涵盖了长城、昆仑、百敖等多个固件厂商的产品。其中,对loongarch64架构的支持是国内该架构首次应用安全启动技术,极大地丰富了用户在设备选择上的兼容性选项。这一系列兼容性建设成果意味着用户在面对多样化的硬件设备时,无需担心兼容性障碍,能够确保系统启动过程既流畅又安全,真正满足了用户按需选择、广泛适配的需求,为信息安全性提供了坚实保障。
政府采购需求标准(2023年版)中明确要求台式机、笔记本、一体机、工作站及通用服务器等整机必须支持固件安全启动。银河麒麟操作系统已携手整机制造商准备相关测评事宜,以满足政府对于信息安全的高标准要求。
随着数字化世界的飞速发展,安全启动技术不仅是当下安全的基石,更是未来智能化生活的守护神。作为中国操作系统核心力量,麒麟软件将持续优化与创新,为用户打造一个更加安全可信的数字环境,让安全成为习惯,而不是偶然。期待在数字世界的每一个角落,都能有您的安全同行!