公开(公告)号：CN104714846A

公开(公告)日：2015-06-17

申请号：CN201310695461.0

申请日：2013-12-17

Applicant: 华为技术有限公司 ,  中国科学院计算技术研究所

Inventor： 陆钢 ,  詹剑锋 ,  高云伟 ,  谭崇康 ,  薛栋梁

IPC: G06F9/50 ,  G06F9/445

CPC classification number: G06F9/4406 ,  G06F9/4403 ,  G06F9/4405 ,  G06F9/4408 ,  G06F9/45533 ,  G06F9/5083 ,  G06F13/24

Abstract: 本发明实施例提供一种资源处理方法、操作系统及设备。该方法应用于多内核操作系统，多内核操作系统包括运行在宿主机的管理操作系统、多个负载操作系统、物理资源池。该方法包括：管理操作系统为各负载操作系统分配独占使用的物理资源集合，为每个负载操作系统构建启动镜像，为每个负载操作系统设置启动镜像的执行所需的至少部分虚拟内存地址到物理内存地址的映射关系，在分配给第一负载操作系统的处理器核中确定启动第一负载操作系统的启动处理器核，指示启动处理器核读取第一负载操作系统的启动镜像的执行所需的至少部分虚拟内存地址到物理内存地址的映射关系；指示启动处理器核执行预先为第一负载操作系统建立的启动镜像。

公开(公告)号：CN104714843A

公开(公告)日：2015-06-17

申请号：CN201310694856.9

申请日：2013-12-17

Applicant: 华为技术有限公司 ,  中国科学院计算技术研究所

Inventor： 高云伟 ,  薛栋梁 ,  詹剑锋

IPC: G06F9/48

Abstract: 本发明实施例提供一种多内核操作系统实例支持多处理器的方法及装置，本发明方法，包括：主操作系统实例分配至少两个处理器资源给从操作系统实例；所述主操作系统实例从各所述处理器资源上选择一个处理器以执行从操作系统实例的内核启动代码；选择的所述处理器在执行所述从操作系统实例的内核代码到设定的多处理器初始化阶段时，向分配给从操作系统实例的其他处理器发送IPI指令；分配的其他处理器接收到所述IPI指令后跳转到从操作系统实例设定的入口代码地址继续执行。本发明实施例，通过主操作系统实例为从操作系统分配并初始化处理器资源，以解决现有技术中多内核操作系统实例无法支持多处理器的问题。

公开(公告)号：CN102722665B

公开(公告)日：2015-04-29

申请号：CN201210160589.2

申请日：2012-05-22

Applicant: 中国科学院计算技术研究所

Inventor： 高云伟 ,  薛栋梁 ,  孙毓忠

IPC: G06F21/57

CPC classification number: G06F21/575 ,  G06F9/4403

Abstract: 本发明公开一种基于TPM/VTPM的可信程序列表生成方法和系统，该方法包括：步骤1，更改计算机的启动配置，将启动模式改为可信程序列表生成模式并设置数据封存或解封密码，启动计算机；步骤2，BIOS将封存保护的Boot Loader的Hash值保存到TPM或VTPM的非易失性存储中；BIOS只能封存保护Boot Loader的第一部分，后续部分由前一部分封存保护；步骤3，Boot Loader将封存保护的操作系统内核及相关模块的Hash值保存到TPM或VTPM的非易失性存储中；步骤4，操作系统内核将封存保护的关键或全部可信程序列表保存至文件系统指定文件中。

公开(公告)号：CN104714924B

公开(公告)日：2018-07-13

申请号：CN201310680785.7

申请日：2013-12-12

Applicant: 华为技术有限公司 ,  中国科学院计算技术研究所

Inventor： 解壁伟 ,  薛栋梁 ,  高云伟 ,  詹剑锋

IPC: G06F15/177 ,  G06F9/50

Abstract: 本发明公开了一种资源控制方法和装置，该方法应用于具有多核处理器的计算机中，所述计算机能够运行至少一个操作系统，所述操作系统包括有主操作系统和多个从操作系统，该方法包括：主操作系统确定待进行资源释放的目标从操作系统，所述目标从操作系统是完成任务执行的从操作系统，或者是存在任务执行异常的从操作系统；该主操作系统确定分配给所述目标从操作系统的物理资源；该主操作系统将所述物理资源确定为空闲资源。通过该方法和装置可以实现主操作系统回收为从操作系统分配的物理资源。

公开(公告)号：CN102750471B

公开(公告)日：2015-02-11

申请号：CN201210160516.3

申请日：2012-05-22

Applicant: 中国科学院计算技术研究所

Inventor： 高云伟 ,  薛栋梁 ,  孙毓忠

IPC: G06F21/44 ,  G06F9/455

Abstract: 本发明公开一种基于TPM的本地验证式启动方法，所述方法包括：步骤1，使用TPM封存功能部署生成需要验证程序的度量标准值；步骤2，在GRUBStage2中验证虚拟机监视器、Linux Kernel、Ramdisk的完整性；步骤3，在GRUB Stage2的最后阶段将动态库、模块、可执行程序的基准值传递到LinuxKernel；所述的动态库、模块、可执行程序是指Linux操作系统启动过程中加载的动态库、内核模块、可执行程序；步骤4，在Linux Kernel的相应功能处对动态库、模块、可执行程序分别进行完整性验证。

公开(公告)号：CN102750470B

公开(公告)日：2014-10-08

申请号：CN201210160431.5

申请日：2012-05-22

Applicant: 中国科学院计算技术研究所

Inventor： 高云伟 ,  薛栋梁 ,  邬小龙 ,  孙毓忠

IPC: G06F21/44 ,  G06F9/455

Abstract: 本发明公开一种全虚拟化环境下启动加载器的可信验证方法和系统，其该方法包括：步骤1，部署生成可信基准值链表；步骤2，启动非特权域虚拟机时把链表拷贝到非特权域虚拟机内存的指定位置；步骤3，非特权域虚拟机的Rombios中验证非特权域虚拟机的GRUB的Stage1；步骤4，非特权域虚拟机的GRUB的Stage1验证非特权域虚拟机的GRUB的Start；步骤5，非特权域虚拟机的GRUB的Start验证非特权域虚拟机的GRUB的Stage1_5；步骤6，非特权域虚拟机的GRUB的Stage1_5验证非特权域虚拟机的GRUB的Stage2，其中Stage1_5、Stage2为GRUB启动的阶段。

公开(公告)号：CN103020518A

公开(公告)日：2013-04-03

申请号：CN201210438946.7

申请日：2012-11-06

Applicant: 中国科学院计算技术研究所

Inventor： 薛栋梁 ,  高云伟 ,  杨鹏斐 ,  展旭升 ,  孙毓忠

IPC: G06F21/55 ,  G06F21/64

Abstract: 本发明提供了一种基于TPM的Linux内核初始化中的数据结构保护方法及系统，通过对Linux内核镜像本身以及Linux内核初始化过程中加载的内核页表、GDT表、IDT表(包含系统调用表)进行了基于TPM的可信验证、可信数据绑定、可信数字签名等保护操作，避免了一些常见的RootKit对Linux内核在初始化过程中加载的机会，非常适合Linux内核的可信初始化以及当前云计算环境下虚拟机的可信初始化，对于构造可信云平台具有重要的实际意义，具有良好的市场前景和应用价值。

公开(公告)号：CN102722665A

公开(公告)日：2012-10-10

申请号：CN201210160589.2

申请日：2012-05-22

Applicant: 中国科学院计算技术研究所

Inventor： 高云伟 ,  薛栋梁 ,  孙毓忠

IPC: G06F21/00

CPC classification number: G06F21/575 ,  G06F9/4403

Abstract: 本发明公开一种基于TPM/VTPM的可信程序列表生成方法和系统，该方法包括：步骤1，更改计算机的启动配置，将启动模式改为可信程序列表生成模式并设置数据封存或解封密码，启动计算机；步骤2，BIOS将封存保护的Boot Loader的Hash值保存到TPM或VTPM的非易失性存储中；BIOS只能封存保护Boot Loader的第一部分，后续部分由前一部分封存保护；步骤3，Boot Loader将封存保护的操作系统内核及相关模块的Hash值保存到TPM或VTPM的非易失性存储中；步骤4，操作系统内核将封存保护的关键或全部可信程序列表保存至文件系统指定文件中。