本發(fā)明涉及計算機(jī)系統(tǒng)安全和可信執(zhí)行環(huán)境領(lǐng)域，特別涉及一種基于risc-v架構(gòu)集成penglai可信執(zhí)行環(huán)境的linux系統(tǒng)及其搭建方法。

背景技術(shù)：

1、在芯片指令集架構(gòu)領(lǐng)域，x86和arm長期占據(jù)了主導(dǎo)地位，移動、pc端的芯片幾乎都采用這兩大架構(gòu)進(jìn)行設(shè)計。不過，隨著開放源代碼的推動和risc-v生態(tài)系統(tǒng)的不斷發(fā)展，risc-v受到廣泛的關(guān)注。risc-v是一種基于精簡指令集（reduced?instruction?setcomputer，risc）的開源指令集架構(gòu)（instruction?set?architecture，isa），由加州大學(xué)伯克利分校的研究人員和工業(yè)合作伙伴共同開發(fā)。risc-v的設(shè)計目標(biāo)是提供一種靈活、可擴(kuò)展、高性能、低功耗的處理器架構(gòu)，可以用于各種領(lǐng)域，如嵌入式系統(tǒng)、服務(wù)器、高性能計算等。

2、rocketchip是一個開源的soc（system-on-chip）設(shè)計平臺，由加州大學(xué)伯克利分校、斯坦福大學(xué)和google等機(jī)構(gòu)共同開發(fā)。rocketchip基于risc-v指令集架構(gòu)，提供了一種靈活可擴(kuò)展的soc設(shè)計平臺，可以用于構(gòu)建高性能、低功耗的處理器芯片。rocketchip提供了豐富的ip（intellectual?property）庫，包括處理器核、內(nèi)存控制器、總線接口、外設(shè)等，用戶可以根據(jù)需要選擇不同的ip進(jìn)行組合，構(gòu)建出適合自己應(yīng)用場景的soc設(shè)計。同時，rocketchip還提供了完整的soc設(shè)計工具鏈和仿真環(huán)境，方便用戶進(jìn)行開發(fā)和測試。

3、penglai（蓬萊）是上海交通大學(xué)并行與分布式系統(tǒng)研究所與瓶缽信息科技開源的基于risc-v架構(gòu)的全新tee（trusted?execution?environment）安全系統(tǒng)。penglai可以適配搭載在任意risc-v架構(gòu)的芯片中，既可應(yīng)用于物聯(lián)網(wǎng)與邊緣計算領(lǐng)域，也可應(yīng)用于云計算等領(lǐng)域，構(gòu)建從安全啟動、安全存儲、安全運(yùn)行等整個系統(tǒng)生命周期保護(hù)，保障系統(tǒng)安全。和現(xiàn)有系統(tǒng)不同，penglai擴(kuò)展了現(xiàn)有risc-v硬件原語，通過軟硬件協(xié)同的方式來支持隔離環(huán)境的可擴(kuò)展性。為了實(shí)現(xiàn)軟件可信基的通用性，penglai架構(gòu)在安全監(jiān)控器（securemonitor）和具體的硬件原語間，設(shè)計了一層“安全原語”接口?？尚怒h(huán)境實(shí)例的管理邏輯將實(shí)現(xiàn)在這層通用的接口上，而不需要關(guān)心具體的硬件隔離和保護(hù)機(jī)制。

4、在計算機(jī)系統(tǒng)領(lǐng)域，移植linux操作系統(tǒng)到不同硬件平臺已經(jīng)成為常見的需求。然而，由于不同硬件平臺的體系結(jié)構(gòu)和特性存在差異，因此需要進(jìn)行相應(yīng)的移植和定制?，F(xiàn)有的移植方案往往只考慮了操作系統(tǒng)的功能和性能，而忽略了安全性問題。這使得移植后的系統(tǒng)容易受到各種惡意攻擊，如緩沖區(qū)溢出、代碼注入等，從而導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)泄露或者被控制等安全問題。

技術(shù)實(shí)現(xiàn)思路

1、為解決傳統(tǒng)的移植linux操作系統(tǒng)到硬件平臺的移植方案無法提供足夠的安全性保障、容易受到惡意攻擊的問題。本發(fā)明提供一種基于risc-v架構(gòu)集成penglai可信執(zhí)行環(huán)境的linux系統(tǒng)及其搭建方法；不僅包含傳統(tǒng)linux操作系統(tǒng)的功能和性能，并且能夠保護(hù)系統(tǒng)免受各種惡意攻擊，防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露等安全威脅。

2、為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種基于risc-v架構(gòu)集成penglai可信執(zhí)行環(huán)境的linux系統(tǒng)的搭建方法，包括：

3、準(zhǔn)備系統(tǒng)的軟件和硬件兩部分，其中軟件部分包括用戶側(cè)應(yīng)用、linux操作系統(tǒng)以及用于構(gòu)建可信執(zhí)行環(huán)境的enclave?sdk；所述linux操作系統(tǒng)包括opensbi、u-boot和linux鏡像文件；硬件部分為支持rocketchip平臺的soc芯片，包括芯片ip核、axi總線協(xié)議、ethernet網(wǎng)口、uart外設(shè)和ddr4內(nèi)存；

4、將soc芯片的比特流燒錄到開發(fā)板上，通過uart串口將opensbi引導(dǎo)程序傳入開發(fā)板并加載；在opensbi加載完成后，將u-boot作為opensbi的有效載荷，進(jìn)入u-boot配置界面用命令行對開發(fā)板的?ip?進(jìn)行配置以啟用tftp服務(wù)；通過tftp服務(wù)將linux鏡像文件傳入開發(fā)板并加載，加載完成后進(jìn)入開發(fā)板的linux終端；再通過?tftp服務(wù)傳入penglai?可信執(zhí)行環(huán)境的驅(qū)動程序和主程序，完成環(huán)境搭建。

5、進(jìn)一步地，所述linux鏡像文件包含?linux?內(nèi)核、根文件系統(tǒng)和設(shè)備樹文件。

6、進(jìn)一步地，使用risc-v工具鏈編譯opensbi、u-boot、linux內(nèi)核及根文件系統(tǒng)，其中設(shè)備樹文件通過編譯工具編譯成二進(jìn)制格式，linux內(nèi)核鏡像中的設(shè)備樹文件用于描述系統(tǒng)硬件架構(gòu)。

7、進(jìn)一步地，將u-boot作為opensbi的有效載荷編譯生成二進(jìn)制文件，并使用buildroot生成根文件系統(tǒng)。

8、進(jìn)一步地，所述進(jìn)入u-boot配置界面用命令行對開發(fā)板的?ip?進(jìn)行配置以啟用tftp服務(wù)包括：在主機(jī)中配置tftp服務(wù)器；進(jìn)入u-boot配置界面用命令行對開發(fā)板的ip地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)和tftp服務(wù)器ip地址進(jìn)行配置，以啟用tftp服務(wù)。

9、進(jìn)一步地，在主機(jī)中配置tftp服務(wù)器具體為：在主機(jī)中安裝tftp服務(wù)器，編輯tftp服務(wù)器的配置文件，修改其中的配置參數(shù)對tftp服務(wù)器進(jìn)行配置；修改完成后，重啟tftp服務(wù)器以使配置生效。

10、進(jìn)一步地，主機(jī)和開發(fā)板的ip地址在同一個網(wǎng)段。

11、為實(shí)現(xiàn)上述目的，本發(fā)明還提供了一種基于risc-v架構(gòu)集成penglai可信執(zhí)行環(huán)境的linux系統(tǒng)，采用上述的搭建方法搭建而成；所述系統(tǒng)包括：

12、基于rocketchip平臺設(shè)計的soc模塊，用于提供硬件基礎(chǔ)環(huán)境；

13、裁剪的linux內(nèi)核模塊，用于提供操作系統(tǒng)環(huán)境，以運(yùn)行用戶軟件程序；

14、帶penglai的opensbi模塊，用于支持risc-v指令架構(gòu)以及提供可信執(zhí)行環(huán)境。

15、為實(shí)現(xiàn)上述目的，本發(fā)明還提供了一種電子設(shè)備，包括存儲器和處理器，所述存儲器與所述處理器耦接；其中，所述存儲器用于存儲程序數(shù)據(jù)，所述處理器用于執(zhí)行所述程序數(shù)據(jù)以實(shí)現(xiàn)上述的基于risc-v架構(gòu)集成penglai可信執(zhí)行環(huán)境的linux系統(tǒng)的搭建方法。

16、為實(shí)現(xiàn)上述目的，本發(fā)明還提供了一種計算機(jī)可讀存儲介質(zhì)，其上存儲有計算機(jī)程序，所述程序被處理器執(zhí)行時實(shí)現(xiàn)上述的基于risc-v架構(gòu)集成penglai可信執(zhí)行環(huán)境的linux系統(tǒng)的搭建方法。

17、本發(fā)明的有益效果包括：

18、1、本發(fā)明設(shè)計了一種在基于risc-v指令架構(gòu)的soc上集成penglai可信執(zhí)行環(huán)境的linux系統(tǒng)，采用了軟硬件結(jié)合的方法，對linux操作系統(tǒng)進(jìn)行了移植并提高了系統(tǒng)的安全性和可靠性；

19、2、本發(fā)明在rocketchip上對linux操作系統(tǒng)進(jìn)行了移植。rocketchip作為一種開源的risc-v處理器soc，具有高度可定制性和可擴(kuò)展性，本發(fā)明充分發(fā)揮了risc-v架構(gòu)的優(yōu)勢，為系統(tǒng)提供了更高的靈活性和自由度；

20、3、本發(fā)明集成了penglai可信執(zhí)行環(huán)境，實(shí)現(xiàn)了對系統(tǒng)內(nèi)核和用戶空間應(yīng)用程序的完整保護(hù)，可以有效防止惡意攻擊和數(shù)據(jù)泄露，提高了系統(tǒng)的安全性和可靠性；

21、4、本發(fā)明可以廣泛應(yīng)用于各種領(lǐng)域，如云計算、網(wǎng)絡(luò)安全等。作為一種基于risc-v架構(gòu)的解決方案，它不僅提供了高度可定制的硬件平臺，還為用戶提供了安全可信的計算環(huán)境。這種集成方式體現(xiàn)了risc-v架構(gòu)的靈活性和安全性，為用戶提供了更加可靠和可信賴的計算平臺。