一种安全启动方法和装置制造方法及图纸

本发明专利技术提供了一种安全启动方法和装置，方法包括：当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；若一致，控制所述操作系统正常启动；由此可见，本发明专利技术能够在确定操作系统的度量配置文件未遭到篡改时，控制操作系统正常启动，实现了针对网络设备的操作系统本身的保护。

【技术实现步骤摘要】
一种安全启动方法和装置
本专利技术涉及安全检测
，更具体的说是涉及一种安全启动方法和装置。
技术介绍
随着网络技术的发展，网络设备的安全性问题引起了越来越多的关注。为了保证网络设备不被非法侵犯，一般采用在网络设备中设置安全软件来实现对网络设备的保护。但是，现有的安全软件，例如网络防火墙均是在网络设备的操作系统加载之后，对运行在操作系统上的应用的保护。可见，现有技术中并没有一种针对网络设备的操作系统本身一种保护方式。
技术实现思路
有鉴于此，本专利技术提供一种安全启动方法和装置，以实现针对网络设备的操作系统本身的保护。为实现上述目的，本专利技术提供如下技术方案：一种安全启动方法，该方法包括：当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；若一致，控制所述操作系统正常启动。优选的，当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，还包括：获取所述度量配置文件中度量文件的当前度量值；判断所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值是否一致；若一致，触发所述控制所述操作系统正常启动的步骤。优选的，当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，还包括：获取所述操作系统的内核的当前度量值；判断所述内核的当前度量值与预先存储的所述内核的基准度量值是否一致；若一致，触发所述控制所述操作系统正常启动的步骤。优选的，还包括：在所述操作系统上电初始化后，获取所述网络设备的硬件信息的当前度量值，并将其保存至寄存装置中；判断所述寄存装置的当前寄存值与基准寄存值是否一致；若一致，获取与所述基准寄存值关联的密钥；使用所述密钥解密所述操作系统的内核。优选的，还包括：若所述寄存装置的当前寄存值与所述基准寄存值不一致，提示用户输入特权启动码；判断接收的所述特权启动码与预先设定的特权启动码是否一致；若一致，获取与所述特权启动码关联的密钥；使用所述密钥解密所述操作系统的内核。优选的，还包括：在部署操作系统度量策略过程中，将度量算法写入到存储空间中；基于所述度量算法获取所述度量配置文件的基准度量值，将所述度量配置文件的基准度量值存储到存储空间中。优选的，还包括：在部署操作系统完整性策略过程中，获取度量配置文件中度量文件的基准度量值，将所述度量文件的基准度量值保存到存储空间中。优选的，还包括:在部署操作系统完整性策略过程中，获取操作系统的内核的基准度量值，将所述内核的基准度量值保存到存储空间中。优选的，还包括：在部署硬件平台完整性策略过程中，创建密钥；获取网络设备的硬件信息的基准度量值，并将其保存至寄存装置中；建立所述密钥与所述寄存装置的基准寄存值以及所述特权启动码的关联关系；使用所述密钥加密所述操作系统的内核。一种安全启动装置，该方法包括：第一获取单元，用于当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；第一判断单元，用于判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；第一控制单元，用于在确定所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值一致时，控制所述操作系统正常启动。优选的，还包括：第二获取单元，用于当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，获取所述度量配置文件中度量文件的当前度量值；第二判断单元，用于判断所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值是否一致；第一触发单元，用于当确定所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值一致时，触发所述第一控制单元。优选的，还包括：第三获取单元，用于当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，获取所述操作系统的内核的当前度量值；第三判断单元，用于判断所述内核的当前度量值与预先存储的所述内核的基准度量值是否一致；第二触发单元，用于当所述内核的当前度量值与预先存储的所述内核的基准度量值一致时，触发所述第一控制单元。优选的，还包括：第四获取单元，用于在所述操作系统上电初始化后，获取所述网络设备的硬件信息的当前度量值，并将其保存至寄存装置中；第四判断单元，用于判断所述寄存装置的当前寄存值与基准寄存值是否一致；第五获取单元，用于当所述寄存装置的当前寄存值与基准寄存值一致时，获取与所述基准寄存值关联的密钥；第一解密单元，用于使用所述密钥解密所述操作系统的内核。优选的，还包括：第一提示单元，用于当所述寄存装置的当前寄存值与所述基准寄存值不一致时，提示用户输入特权启动码；第五判断单元，用于判断接收的所述特权启动码与预先设定的特权启动码是否一致；第六获取单元，用于获取与所述特权启动码关联的密钥；第二解密单元，用于使用所述密钥解密所述操作系统的内核。优选的，还包括：第一部署单元，用于在部署操作系统度量策略过程中，将度量算法写入到存储空间中，基于所述度量算法获取所述度量配置文件的基准度量值，将所述度量配置文件的基准度量值存储到存储空间中。优选的，还包括：第二部署单元，用于在部署操作系统完整性策略过程中，获取度量配置文件中度量文件的基准度量值，将所述度量文件的基准度量值保存到存储空间中。优选的，还包括:第三部署单元，用于在部署操作系统完整性策略过程中，获取操作系统的内核的基准度量值，将所述内核的基准度量值保存到存储空间中。优选的，还包括：第四部署单元，在部署硬件平台完整性策略过程中，创建密钥，获取网络设备的硬件信息的基准度量值，并将其保存至寄存装置中，建立所述密钥与所述寄存装置的基准寄存值以及所述特权启动码的关联关系，使用所述密钥加密所述操作系统的内核。经由上述的技术方案可知，与现有技术相比，本专利技术实施例公开了一种安全启动方法，通过当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值，判断所述度量配置文件的当前度量值与预先存储的所述度量文件的基准度量值是否一致，若一致，控制操作系统正常启动；由此可见，本专利技术能够在确定操作系统的度量配置文件未遭到篡改时，控制操作系统正常启动，实现了针对网络设备的操作系统本身的保护。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本专利技术一个实施例公开的一种安全启动方法的流程示意图；图2为本专利技术另一实施例公开的一种安全启动方法的流程示意图；图3为本专利技术又一实施例公开的一种安全启动方法的流程示意图；图4为本专利技术又一实施例公开的一种安全启动方法的流程示意图；图5为本专利技术又一实施例公开的一种安全启动方法的流程示意图；图6为本专利技术又一实施例公开的一种安全启动方法的流程示意图；图7为本专利技术一个实施例公开的一种安全启动装置的结构示意图；图8为本专利技术又一实施例公开的一种安全启动装置的结构示意图；图9为本专利技术又一实施例公开的一种安全启动装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例本文档来自技高网...

【技术保护点】
一种安全启动方法，其特征在于，该方法包括：当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；若一致，控制所述操作系统正常启动。

【技术特征摘要】
1.一种安全启动方法，其特征在于，该方法包括：当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；若一致，控制所述操作系统正常启动。2.根据权利要求1所述的方法，其特征在于，当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，还包括：获取所述度量配置文件中度量文件的当前度量值；判断所述度量文件的当前度量值与预先存储的所述度量文件的基准度量值是否一致；若一致，触发所述控制所述操作系统正常启动的步骤。3.根据权利要求1所述的方法，其特征在于，当确定所述度量配置文件的当前度量值与所述度量配置文件的基准度量值一致时，还包括：获取所述操作系统的内核的当前度量值；判断所述内核的当前度量值与预先存储的所述内核的基准度量值是否一致；若一致，触发所述控制所述操作系统正常启动的步骤。4.根据权利要求1所述的方法，其特征在于，还包括：在所述操作系统上电初始化后，获取所述网络设备的硬件信息的当前度量值，并将其保存至寄存装置中；判断所述寄存装置的当前寄存值与基准寄存值是否一致；若一致，获取与所述基准寄存值关联的密钥；使用所述密钥解密所述操作系统的内核。5.根据权利要求4所述的方法，其特征在于，还包括：若所述寄存装置的当前寄存值与所述基准寄存值不一致，提示用户输入特权启动码；判断接收的所述特权启动码与预先设定的特权启动码是否一致；若一致，获取与所述特权启动码关联的密钥；使用所述密钥解密所述操作系统的内核。6.根据权利要求1所述的方法，其特征在于，还包括：在部署操作系统度量策略过程中，将度量算法写入到存储空间中；基于所述度量算法获取所述度量配置文件的基准度量值，将所述度量配置文件的基准度量值存储到存储空间中。7.根据权利要求2所述的方法，其特征在于，还包括：在部署操作系统完整性策略过程中，获取度量配置文件中度量文件的基准度量值，将所述度量文件的基准度量值保存到存储空间中。8.根据权利要求3所述的方法，其特征在于，还包括:在部署操作系统完整性策略过程中，获取操作系统的内核的基准度量值，将所述内核的基准度量值保存到存储空间中。9.根据权利要求5所述的方法，其特征在于，还包括：在部署硬件平台完整性策略过程中，创建密钥；获取网络设备的硬件信息的基准度量值，并将其保存至寄存装置中；建立所述密钥与所述寄存装置的基准寄存值以及所述特权启动码的关联关系；使用所述密钥加密所述操作系统的内核。10.一种安全启动装置，其特征在于，该方法包括：第一获取单元，用于当检测到网络设备的操作系统准备启动时，获取所述操作系统的度量配置文件的当前度量值；第一判断单元，用于判断所述度量配置文件的当前度量值与预先存储的所述度量配置文件的基准度量值是否一致；第一控制单元，用于在确定所述度量配置文件的当前度量值与预先存储的...

【专利技术属性】
技术研发人员：刘海伟，
申请(专利权)人：浪潮北京电子信息产业有限公司，
类型：发明
国别省市：北京,11