本发明专利技术涉及一种基本输入输出系统环境下可信度量的方法、主机及系统,应用于主机中,该方法包括:当扫描到与主机连接的PCI密码卡中预存有可信度量程序时,加载并执行所述可信度量程序,在管理员模式下,获取所述主机的第一硬件信息,将所述第一硬件信息写入所述PCI密码卡的存储区;在进入文件指定界面后,获取待度量文件的第一哈希值,将第一哈希值写入存储区;在重开机或跳转进入用户模式时,扫描主机中的第二硬件信息并获取主机中的待度量文件的第二哈希值;读取存储区的第一硬件信息及第一哈希值,加载可信度量程序,利用可信度量程序对第一硬件信息、第二硬件信息、第一哈希值及第二哈希值进行可信度量。本发明专利技术实现对主机启动过程的静态可信度量,提高了系统信息的安全性。
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种基本输入输出系统环境下可信度量的方法、主机及系统。
技术介绍
基于密码学的信息安全技术已得到广泛的应用,如公钥基础设施(PublicKeyInfrastructure,PKI),公钥基础设施是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。以PKI技术为基础的PCI密码卡,其可以用在需要密码卡运算和密钥管理等安全功能的、具有标准PCI/PCIExpress接口的通信设备、计算机设备或安全保密设备上,安全性要求较高。在PCI密码卡插入主机后,只能在主机操作系统运行起来并加载驱动后才能实现信息安全的检测,而主机启动过程中加载的数据有可能是被篡改的,是不可信的,这给PCI密码卡的后续应用造成安全隐患。
技术实现思路
本专利技术所要解决的技术问题是提供一种基本输入输出系统环境下可信度量的方法、主机及系统。本专利技术解决上述技术问题的技术方案如下:一种基本输入输出系统环境下可信度量的方法,应用于主机中,包括:当扫描到与主机连接的PCI密码卡中预存有可信度量程序时,加载并执行所述可信度量程序,在管理员模式下,获取所述主机的第一硬件信息,将所述第一硬件信息写入所述PCI密码卡的存储区;在进入文件指定界面后,获取待度量文件的第一哈希值,将所述第一哈希值写入所述存储区;在重开机或跳转进入用户模式时,扫描所述主机中的第二硬件信息并获取所述主机中的待度量文件的第二哈希值;读取所述存储区的所述第一硬件信息及所述第一哈希值,加载所述可信度量程序,利用所述可信度量程序对所述第一硬件信息、第二硬件信息、第一哈希值及第二哈希值进行可信度量。本专利技术的有益效果是:在启动过程中的BIOS环境下,在管理员模式时将主机的第一硬件信息及待度量文件的第一哈希值存入PCI密码卡,在用户模式下时调用PCI密码卡中预存有可信度量程序,通过可信度量程序对第一硬件信息、第二硬件信息、第一哈希值及第二哈希值进行可信度量,从而实现对主机启动过程的静态可信度量,使得主机启动过程加载的数据是可信的,未被篡改的,为后续PCI密码卡的使用提供安全保障,提高了系统信息的安全性。在上述技术方案的基础上,本专利技术还可以做如下改进。进一步,还包括:在可信度量通过时,获取控制权并完成操作系统的装载,以进入所述操作系统;在可信度量未通过时,返回所述管理员模式以再次执行可信度量。采用上述进一步方案的有益效果是:在可信度量通过时方进入操作系统,使得主机启动过程加载的数据是可信的,而在可信度量未通过时不可进入操作系统,提高了系统信息的安全性。进一步,还包括:在所述管理员模式下,修改管理员口令。采用上述进一步方案的有益效果是:进一步提高了系统信息的安全性。进一步,所述在可信度量未通过时,返回所述管理员模式以再次执行可信度量的步骤包括:在可信度量未通过,返回所述管理员模式之前,输入修改后的所述管理员口令,根据所述管理员口令返回所述管理员模式以再次执行可信度量。采用上述进一步方案的有益效果是:通过输入修改后的管理员口令返回管理员模式,使得他人不能随意进入管理员模式来修改相关信息,进一步提高了系统信息的安全性。进一步,所述在进入文件指定界面后,获取待度量文件的第一哈希值,将所述第一哈希值写入所述存储区的步骤包括:在进入文件指定界面后,设置文件路径,根据所述文件路径获取待度量文件;获取所述待度量文件的二进制数据,对所述二进制数据进行哈希运算,得到所述第一哈希值,将所述第一哈希值写入所述存储区。采用上述进一步方案的有益效果是:通过将待度量文件的二进制数据计算得到哈希值,便于后续的可信度量。本专利技术解决上述技术问题的技术方案还如下:一种主机,所述主机包括:第一写入模块,用于当扫描到与主机连接的PCI密码卡中预存有可信度量程序时,加载并执行所述可信度量程序,在管理员模式下,获取所述主机的第一硬件信息,将所述第一硬件信息写入所述PCI密码卡的存储区;第二写入模块,用于在进入文件指定界面后,获取待度量文件的第一哈希值,将所述第一哈希值写入所述存储区;扫描模块,用于在重开机或跳转进入用户模式时,扫描所述主机中的第二硬件信息并获取所述主机中的待度量文件的第二哈希值;可信度量模块,用于读取所述存储区的所述第一硬件信息及所述第一哈希值,加载所述可信度量程序,利用所述可信度量程序对所述第一硬件信息、第二硬件信息、第一哈希值及第二哈希值进行可信度量。进一步,所述主机还包括:装载模块,用于在可信度量通过时,获取控制权并完成操作系统的装载,以进入所述操作系统;返回模块,用于在可信度量未通过时,返回所述管理员模式以再次执行可信度量。进一步,所述主机还包括:修改模块,用于在所述管理员模式下,修改管理员口令。进一步,所述返回模块具体用于在可信度量未通过,返回所述管理员模式之前,输入修改后的所述管理员口令,根据所述管理员口令返回所述管理员模式以再次执行可信度量。进一步,所述第二写入模块具体用于在进入文件指定界面后,设置文件路径,根据所述文件路径获取待度量文件;获取所述待度量文件的二进制数据,对所述二进制数据进行哈希运算,得到所述第一哈希值,将所述第一哈希值写入所述存储区。本专利技术解决上述技术问题的技术方案还如下:一种系统,包括PCI密码卡及上述的主机,所述PCI密码卡用于预存可信度量程序;在与所述主机连接后并在所述主机处于管理员模式下,接收所述主机发送的第一硬件信息及待度量文件的第一哈希值并存储;在所述主机进入用户模式时,发送所述第一硬件信息及所述第一哈希值至所述主机,供所述主机在加载所述预存可信度量程序后进行可信度量。附图说明图1为本专利技术基本输入输出系统环境下可信度量的方法一实施例的流程示意图;图2为图1所示的详细流程示意图;图3为本专利技术主机的结构示意图。具体实施方式以下结合附图对本专利技术的原理和特征进行描述,所举实例只用于解释本专利技术,并非用于限定本专利技术的范围。如图1所示,图1为本专利技术基本输入输出系统环境下可信度量的方法一实施例的流程示意图,应用于主机中,该方法包括:S1,当扫描到与主机连接的PCI密码卡中预存有可信度量程序时,加载并执行所述可信度量程序,在管理员模式下,获取所述主机的第一硬件信息,将所述第一硬件信息写入所述PCI密码卡的存储区;本实施例中,主机在开机启动时处于基本输入输出系统(BasicInputOutputSystem,BIOS)环境下,BIOS是一组固化到主机内主板上一个ROM芯片上的程序,它保存着主机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,其主要功能是为主机提供最底层的、最直接的硬件设置和控制。PCI密码卡第一次插在主机上时,在管理员模式下,需要将主机上的与可信度量相关的信息存储到PCI密码卡中,以便后续进行可信度量。本实施例为静态可信度量。本实施例主机在BIOS环境下调用PCI密码卡,相比于主机进入操作系统后存在一定难度,因为进入操作系统后有很多封装好的函数可以调用,因此在可信度量程序中含有小型的文件系统代码。本实施例通过相关的设置,可在利用BIOS的相关功能枚举设备并分配硬件资源后,查询作为扩展设备的PCI密码卡是否存在扩展ROM,如果PCI密码卡存在扩展ROM,查询相应的寄存器的标志位,例如如果标志位为“1”本文档来自技高网...
【技术保护点】
一种基本输入输出系统环境下可信度量的方法,应用于主机中,其特征在于,包括:当扫描到与主机连接的PCI密码卡中预存有可信度量程序时,加载并执行所述可信度量程序,在管理员模式下,获取所述主机的第一硬件信息,将所述第一硬件信息写入所述PCI密码卡的存储区;在进入文件指定界面后,获取待度量文件的第一哈希值,将所述第一哈希值写入所述存储区;在重开机或跳转进入用户模式时,扫描所述主机中的第二硬件信息并获取所述主机中的待度量文件的第二哈希值;读取所述存储区的所述第一硬件信息及所述第一哈希值,加载所述可信度量程序,利用所述可信度量程序对所述第一硬件信息、第二硬件信息、第一哈希值及第二哈希值进行可信度量。
【技术特征摘要】
1.一种基本输入输出系统环境下可信度量的方法,应用于主机中,其特征在于,包括:当扫描到与主机连接的PCI密码卡中预存有可信度量程序时,加载并执行所述可信度量程序,在管理员模式下,获取所述主机的第一硬件信息,将所述第一硬件信息写入所述PCI密码卡的存储区;在进入文件指定界面后,获取待度量文件的第一哈希值,将所述第一哈希值写入所述存储区;在重开机或跳转进入用户模式时,扫描所述主机中的第二硬件信息并获取所述主机中的待度量文件的第二哈希值;读取所述存储区的所述第一硬件信息及所述第一哈希值,加载所述可信度量程序,利用所述可信度量程序对所述第一硬件信息、第二硬件信息、第一哈希值及第二哈希值进行可信度量。2.根据权利要求1所述一种基本输入输出系统环境下可信度量的方法,其特征在于,还包括:在可信度量通过时,获取控制权并完成操作系统的装载,以进入所述操作系统;在可信度量未通过时,返回所述管理员模式以再次执行可信度量。3.根据权利要求2所述一种基本输入输出系统环境下可信度量的方法,其特征在于,还包括:在所述管理员模式下,修改管理员口令。4.根据权利要求3所述一种基本输入输出系统环境下可信度量的方法,其特征在于,所述在可信度量未通过时,返回所述管理员模式以再次执行可信度量的步骤包括:在可信度量未通过,返回所述管理员模式之前,输入修改后的所述管理员口令,根据所述管理员口令返回所述管理员模式以再次执行可信度量。5.根据权利要求1至4任一项所述一种基本输入输出系统环境下可信度量的方法,其特征在于,所述在进入文件指定界面后,获取待度量文件的第一哈希值,将所述第一哈希值写入所述存储区的步骤包括:在进入文件指定界面后,设置文件路径,根据所述文件路径获取待度量文件;获取所述待度量文件的二进制数据,对所述二进制数据进行哈希运算,得到所述第一哈希值,将所述第一哈希值写入所述存储区。6.一种主机,其特征在于,所述主机包括:第一写入模块,用于当扫描到与主机连接的PCI密码卡...
【专利技术属性】
技术研发人员:张玉国,桑洪波,
申请(专利权)人:北京三未信安科技发展有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。