从启动到运行,全周期安全防护!海光信息携手麒麟软件打造创新性动态度量技术
发布时间:2025-10-11 浏览次数:
随着信息产业的快速发展,为了应对日益增长的系统安全挑战,麒麟软件与海光信息联合打造的动态完整性度量技术TDM,实现操作系统运行时安全的重大突破!
此次合作以硬件级可信为基础、内核级主动防御为核心,构建了覆盖硬件、固件、内核、系统服务及应用的全栈可信计算体系。该技术深度集成于银河麒麟操作系统,实现运行时状态实时监控与异常行为精准识别,在金融、电力、政务等关键行业形成纵深防御体系,标志着我国可信计算从“静态可信”向“动态可信”的跨越式突破,为国家级关键信息基础设施筑牢操作系统安全底座。
麒麟软件依据可信计算3.0规范研制的双体系可信架构,采用计算与防护并行的双体系设计,基于TPCM可信根和可信软件基构建完整信任链,通过对设备启动、运行全生命周期的静态度量与动态度量,实现对系统的主动免疫防护,可抵御已知及未知恶意威胁,同时满足国家网络安全法规要求,保障平台全链路安全可信。
动态度量技术TDM(Trusted Dynamic Measurement)是针对当前可信计算安全领域核心挑战提出的一项创新性解决方案。与银河麒麟操作系统深度集成,实现了操作系统内核级的主动安全防御,建了一个覆盖硬件、固件、内核、系统服务及应用全栈的可信计算体系。该架构具备高度可扩展性,支持在不同应用场景下灵活扩展安全能力,形成面向未来的信息安全防护平台。
TDM架构图
在系统运行过程中,银河麒麟操作系统通过其内置的可信度量模块(TDM),以可配置的频率周期性地对指定的关键内存区域(如操作系统系统调用表)进行动态度量。银河麒麟操作系统依托TDM实时比对度量结果与预置的可信基准值,能够精准识别潜在的异常行为,从而实现对系统运行时状态的持续监控与主动防护,显著提升整体运行安全性。基于这一机制,银河麒麟操作系统在系统内部构建起一条清晰、可控的可信传递链:信任根植于TDM模块,并由银河麒麟操作系统主导,逐步向底层安全机制(如内核完整性保护)延伸,最终覆盖至用户层的关键进程、文件等受保护对象。由此形成了层次分明、逐级递进的纵深防御体系,为整个系统提供端到端的可信保障。
TCM+TDM可信保护方案
海光CPU内置的TCM与TDM模块,构建了从硬件底层至系统运行层的可信基础。TCM模块遵循TCM 2.0标准,全面支持中国国密算法,并集成固化的CRTM(Core Root ofTrust for Measurement)核心度量根,确保启动过程可信。结合TDM动态度量技术,海光实现了从启动到运行时全周期的安全信任链,为系统提供贯穿生命周期的立体防护。TDM凭借其底层硬件化设计,在安全性与性能方面展现出显著优势:基于硬件层面的隔离方式,安全性得到进一步提升;度量通过专用硬件协处理器加速,可以大幅提升运算效率且释放了操作系统侧的运算资源。
目前,TDM技术已在银河麒麟高级服务器操作系统中完成适配验证。未来,该技术将重点面向金融、电力、政务、交通等对安全要求极高的关键行业落地应用。麒麟软件也将持续深化与更多生态伙伴开展技术协同,推动可信计算从“静态可信”迈向“动态可信”新阶段,助力构建面向未来的国家级信息安全防护体系,为国家关键信息基础设施提供安全自主的操作系统底座。
通讯员 | 郑莹、姬一文、秦华丽 来 源 | 生态合作部、安全研发中心