CN116502186B - 一种***应用tpm许可生成方法、***、介质及设备 - Google Patents
一种***应用tpm许可生成方法、***、介质及设备 Download PDFInfo
- Publication number
- CN116502186B CN116502186B CN202310754449.6A CN202310754449A CN116502186B CN 116502186 B CN116502186 B CN 116502186B CN 202310754449 A CN202310754449 A CN 202310754449A CN 116502186 B CN116502186 B CN 116502186B
- Authority
- CN
- China
- Prior art keywords
- tpm
- application
- kernel
- service
- customized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000013475 authorization Methods 0.000 claims abstract description 15
- 238000004590 computer program Methods 0.000 claims description 11
- 238000004891 communication Methods 0.000 claims description 7
- 238000005192 partition Methods 0.000 claims description 5
- 239000008186 active pharmaceutical agent Substances 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/105—Arrangements for software license management or administration, e.g. for managing licenses at corporate level
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开一种***应用tpm许可生成方法、***、介质及设备,其中,所述***为内核为内置有tpm服务驱动和tpm软件协议栈的定制化内核的talos***,所述定制化内核的根文件***中安装有tpm软件包,所述定制化内核的启动服务中设置有tpm授权应用程序服务。本发明解决了现有talos***中无法为应用提供tpm授权许可的技术问题。
Description
技术领域
本发明涉及通信技术领域,具体地说是一种***应用tpm许可生成方法、***、介质及设备。
背景技术
talos操作***为特殊的linux内核发行版,其主要为容器快速化部署服务。但目前版本不支持tpm可信平台模块的功能,更没有运行在其上面应用程序的TPM授权认证功能。
发明内容
为此,本发明所要解决的技术问题在于提供一种***应用tpm许可生成方法、***、介质及设备,解决了现有talos***中无法为应用提供tpm授权许可的技术问题。
为解决上述技术问题,本发明提供如下技术方案:
一种***应用tpm许可生成方法,***为talos***,talos***内核为内置有tpm服务驱动和tpm软件协议栈的定制化内核;在talos***中为应用提供tpm许可,先为所述应用设置配置文件,建立应用与tpm服务之间的通信连接,然后运行所述应用,由所述应用调用tpm服务,然后完成tpm服务对所述应用的许可;所述定制化内核的根文件***中安装有tpm软件包,所述定制化内核的启动服务中设置有tpm授权应用程序服务。
上述***应用tpm许可生成方法,tpm软件包包括tpm2-tss、tpm2-abrmd和tpm2-tools。
上述***应用tpm许可生成方法,在对内核进行定制化处理成为定制化内核时,通过自定义构建开源的镜像方法将tpm驱动模块和tpm软件协议栈加入内核,并将tpm软件包和授权引用程序服务加入内核的根文件***中和启动服务中。
上述***应用tpm许可生成方法,在对内核进行定制化处理成为定制化内核时,采用多阶段docker构建开源的镜像。
上述***应用tpm许可生成方法,应用与tpm软件包设置一个分区内。
一种为***应用生成tpm许可的***,所述为talos***应用生成tpm许可的***为内核为内置有tpm服务驱动和tpm软件协议栈的定制化内核的talos***,所述定制化内核的根文件***中安装有tpm软件包,所述定制化内核的启动服务中设置有tpm授权应用程序服务。
上述***,tpm软件包包括tpm2-tss、tpm2-abrmd和tpm2-tools。
上述***,tpm软件包和应用设置在一个分区内。
计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法。
计算机设备,包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,所述计算机程序被处理器执行时实现权利要求上述方法。
本发明的技术方案取得了如下有益的技术效果:
本发明通过在talos***的内核置入tpm服务驱动及tpm软件协议栈,并在内核的根文件***中安装有tpm软件包,以及内核的启动服务中设置有tpm授权应用程序服务,实现为talos***中的应用提供tpm授权许可。
附图说明
图1为本发明中为***应用生成tpm许可的***的工作原理图;
图2为本发明中为***应用生成tpm许可的流程图;
图3为可为***应用生成tpm许可的计算机设备原理图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,为***应用生成tpm许可的***,为内核为内置有tpm服务驱动和tpm软件协议栈的定制化内核的talos***,所述定制化内核的根文件***中安装有tpm软件包,所述定制化内核的启动服务中设置有tpm授权应用程序服务。
其中,tpm软件包包括tpm2-tss、tpm2-abrmd和tpm2-tools,tpm软件包和应用设置在一个分区内。
现有的talos***是一个极简版的Linux,但又高度整合K8s,可以提供不可变更的Linux环境(immutable),可以通过gRPC API便捷管理,方便用于打造边缘运算环境或超低功耗环境的IaC架构,可将其部署在容器环境、主要公有云的云端环境,或常见虚拟化环境(VMware和微软Hyper-V都支持),也能用于裸机平台上。
现有的talos***硬盘加密方案不支持tpm通讯以及tpm存储秘钥,其作为特制容器操作***具有以下特点:
轻量化:talos仅包括一少部分二进制文件和共享库,仅足以运行容器引擎和一小部分***服务;
不可变:talos***的不可变指的是***部署后不再改变,***运行时通过只读方式挂载根服务***;talos***的不可变性减少了新增软件的访问,也阻止了恶意软件的入侵访问;
API驱动:在talos***中,APIs执行***管理任务如诊断、升级talos和Kubernetes、检索内核日志、展示网络接口。
talos***主要组件如下:
Kernel:linux***内核;
apid:该组件提供了gRPCAPI节点。在与talos通信时,apid监听50000端口,相当于网关接受请求,路由信息到目的设备。用户使用talos CLI 工具连接apid;
udevd:该组件是设备文件管理,控制的设备节点在/dev路径下。例如硬件路径为/dev/sda,udevd处理所有设备的上报信和用户指向设备的操作。比如增加和删除设备。
其中,在将现有的talos***内核定制化处理成为定制化内核时,通过多阶段docker构建开源的镜像方法将tpm驱动模块和tpm软件协议栈加入内核,并将tpm软件包和授权引用程序服务加入内核的根文件***中和启动服务中。
在将现有的talos***内核定制化处理成为定制化内核时,可以定义自定义阶段并从安装程序映像开始构建,而在构建安装程序映像时,在对内核进行定制化处理阶段将安装程序映像等内容自动复制到根文件***中。
如图2所示,利用为talos***应用生成tpm许可的***为talos***应用生成tpm许可的步骤为:
S1)为应用设置配置文件;
S2)建立应用与tpm服务之间的通信连接;
S3)运行所述应用,由所述应用调用tpm服务,然后完成tpm服务对所述应用的许可。
在使用本发明中的为talos***应用生成tpm许可的***为应用提供授权许可时,利用命令tpm2_createPrimary、tpm 2_create和tpm 2_nv_definespace创建实体,这三个命令都有一个参数字段,该参数字段用于传入authvalue,该authvalue可用作简单的明文密码,也可以用作HMAC授权的输入。其中,TPM2_CreatePrimary用于在层次结构中创建主对象(直接位于主种子下的对象)。如果设置了inPublic参数的userWithAuth属性,则用户授权可以是密码授权;这意味着对需要用户角色的操作的授权可以通过密码或HMAC来执行。TPM2_Create用于创建可以加载到TPM中的对象。通过设置TPM2_CreatePrimary使用的相同字段来配置授权类型userWithAuth和authValue。•TPM2_NV_DefineSpace用于定义NV索引。如果设置了属性TPMA_NV_AUTHREAD或TPMA_NV_AUTHWRITE,则可以使用密码授权。输入参数authValue(密码)作为tpm2_nv_definespace命令的auth参数传入。
基于上述talos***应用tpm许可生成方法,相应的,本实例中还提供一种存储有计算机程序的计算机可读存储介质,该计算机程序被处理器执行时实现如下步骤:先为所述应用设置配置文件,建立应用与tpm服务之间的通信连接,然后运行所述应用,由所述应用调用tpm服务,然后完成tpm服务对所述应用的许可。
如图3所示,基于上述talos***应用tpm许可生成方法以及计算机可读存储介质,本实施例中,还提供了一种计算机设备,其包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,其中可读存储介质与处理器均设置在总线上,处理器执行计算机程序时实现如下步骤:先为所述应用设置配置文件,建立应用与tpm服务之间的通信连接,然后运行所述应用,由所述应用调用tpm服务,然后完成tpm服务对所述应用的许可。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。
Claims (10)
1.一种***应用tpm许可生成方法,其特征在于,***为talos***,talos***内核为内置有tpm服务驱动和tpm软件协议栈的定制化内核;在talos***中为应用提供tpm许可,先为所述应用设置配置文件,建立应用与tpm服务之间的通信连接,然后运行所述应用,由所述应用调用tpm服务,然后完成tpm服务对所述应用的许可;所述定制化内核的根文件***中安装有tpm软件包,所述定制化内核的启动服务中设置有tpm授权应用程序服务。
2.根据权利要求1所述的***应用tpm许可生成方法,其特征在于,tpm软件包包括tpm2-tss、tpm2-abrmd和tpm2-tools。
3.根据权利要求1所述的***应用tpm许可生成方法,其特征在于,在对内核进行定制化处理成为定制化内核时,通过自定义构建开源的镜像方法将tpm驱动模块和tpm软件协议栈加入内核,并将tpm软件包和授权引用程序服务加入内核的根文件***中和启动服务中。
4.根据权利要求3所述的***应用tpm许可生成方法,其特征在于,在对内核进行定制化处理成为定制化内核时,采用多阶段docker构建开源的镜像。
5.根据权利要求1所述的***应用tpm许可生成方法,其特征在于,应用与tpm软件包设置一个分区内。
6.一种利用权利要求1所述的***应用tpm许可生成方法为***应用生成tpm许可的***,其特征在于,所述为***应用生成tpm许可的***为内核为内置有tpm服务驱动和tpm软件协议栈的定制化内核的talos***,所述定制化内核的根文件***中安装有tpm软件包,所述定制化内核的启动服务中设置有tpm授权应用程序服务。
7.根据权利要求6所述的***,其特征在于,tpm软件包包括tpm2-tss、tpm2-abrmd和tpm2-tools。
8.根据权利要求6所述的***,其特征在于,tpm软件包和应用设置在一个分区内。
9.计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~5中任一所述的方法。
10.计算机设备,包括可读存储介质、处理器以及存储在可读存储介质上并可在处理器上运行的计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~5中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310754449.6A CN116502186B (zh) | 2023-06-26 | 2023-06-26 | 一种***应用tpm许可生成方法、***、介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310754449.6A CN116502186B (zh) | 2023-06-26 | 2023-06-26 | 一种***应用tpm许可生成方法、***、介质及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116502186A CN116502186A (zh) | 2023-07-28 |
| CN116502186B true CN116502186B (zh) | 2023-09-15 |
Family
ID=87316903
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310754449.6A Active CN116502186B (zh) | 2023-06-26 | 2023-06-26 | 一种***应用tpm许可生成方法、***、介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116502186B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070103590A (ko) * | 2006-04-19 | 2007-10-24 | 삼성전자주식회사 | Tss에서의 안전한 오또리제이션 세션 관리 방법 |
| CN102456111A (zh) * | 2011-07-12 | 2012-05-16 | 中标软件有限公司 | 一种Linux操作***许可控制的方法及*** |
| CN103218553A (zh) * | 2013-03-08 | 2013-07-24 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于可信平台模块的授权方法和*** |
| WO2019071126A1 (en) * | 2017-10-06 | 2019-04-11 | Stealthpath, Inc. | INTERNET COMMUNICATION SECURITY METHODS |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11586710B2 (en) * | 2019-12-24 | 2023-02-21 | Microsoft Technology Licensing, Llc | System and method for protecting software licensing information via a trusted platform module |
-
2023
- 2023-06-26 CN CN202310754449.6A patent/CN116502186B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20070103590A (ko) * | 2006-04-19 | 2007-10-24 | 삼성전자주식회사 | Tss에서의 안전한 오또리제이션 세션 관리 방법 |
| CN102456111A (zh) * | 2011-07-12 | 2012-05-16 | 中标软件有限公司 | 一种Linux操作***许可控制的方法及*** |
| CN103218553A (zh) * | 2013-03-08 | 2013-07-24 | 深圳数字电视国家工程实验室股份有限公司 | 一种基于可信平台模块的授权方法和*** |
| WO2019071126A1 (en) * | 2017-10-06 | 2019-04-11 | Stealthpath, Inc. | INTERNET COMMUNICATION SECURITY METHODS |
Non-Patent Citations (1)
| Title |
|---|
| 《Disk Encryption on Talos Operating System》;Parinaz Avaznejad;《Aalto University School of Science Master’s Programme in Computer, Communication and Information Sciences》;摘要、第5.1.1节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116502186A (zh) | 2023-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200241914A1 (en) | Pattern-based orchestration of cloud provisioning tasks at runtime | |
| US10031735B2 (en) | Secure deployment of applications in a cloud computing platform | |
| US8112116B2 (en) | Bidirectional dynamic offloading of tasks between a host and a mobile device | |
| US10666685B2 (en) | Service oriented software-defined security framework | |
| US9344334B2 (en) | Network policy implementation for a multi-virtual machine appliance within a virtualization environment | |
| US20210058301A1 (en) | Extension resource groups of provider network services | |
| US11048544B2 (en) | Cloud resource credential provisioning for services running in virtual machines and containers | |
| US8997080B2 (en) | System updates with personal virtual disks | |
| AU2015358292B2 (en) | Computing systems and methods | |
| CN113544675A (zh) | 安全执行客户机所有者环境控制符 | |
| US20200267004A1 (en) | On-Demand Emergency Management Operations in a Distributed Computing System | |
| CN113626133B (zh) | 一种虚拟机控制方法、装置、设备及计算机可读存储介质 | |
| KR20210118130A (ko) | 초기 프로그램 로드 메커니즘을 사용하는 보안 게스트의 시작 | |
| CN116502186B (zh) | 一种***应用tpm许可生成方法、***、介质及设备 | |
| KR102325986B1 (ko) | 스토리지 암호화의 동적 적용을 위한 방법 및 시스템 | |
| US11297065B2 (en) | Technology for computing resource liaison | |
| KR102441860B1 (ko) | 공급자 네트워크 서비스 확장 | |
| US20240037238A1 (en) | Enabling flexible policies for bios settings access with role-based authentication | |
| US11356438B2 (en) | Access management system with a secret isolation manager | |
| US20240129294A1 (en) | Automatically generating task-based and limited-privilege user security credentials | |
| CN114995956A (zh) | 一种Kubernetes组件配置方法、装置、设备及介质 | |
| Tan et al. | Home PC Maintenance with Intel AMT. | |
| CN116029380A (zh) | 量子算法处理方法、装置、设备、存储介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |