保护设备安全的方法、装置及系统制造方法及图纸

本发明专利技术提供了保护设备安全的方法、装置及系统，该方法，包括：防护端在启动待保护设备的过程中，获取所述待保护设备的启动部件的完整性信息；所述防护端将所述完整性信息发送给可信第三方；所述可信第三方根据预先存储的所述待保护设备的可信的完整性信息，对所述完整性信息进行验证，如果通过验证，则确定所述待保护设备安全，如果没有通过验证，则确定所述待保护设备不安全，将验证结果发送给所述防护端。本发明专利技术提供了保护设备安全的方法、装置及系统，能够提高待保护设备的安全性。

【技术实现步骤摘要】

本专利技术涉及计算机
，特别涉及保护设备安全的方法、装置及系统。
技术介绍
随着业务的不断发展，尤其是云计算的快速发展，企业对物理平台的安全性要求愈来愈高，尤其是以虚拟化、分布式等技术为关键支撑的数据中心。如何保证物理平台的安全，越来越受到重视。现有技术中，通过杀毒工具来保证物理平台的安全。这些杀毒工具会随着物理平台的操作系统一起启动，启动后开始对物理平台进行保护。但是，有很对病毒在操作系统启动之间就开始对物理平台进行攻击，例如：RootKit、BootKit等，这时候杀毒工具还没有启动，无法保护物理平台。以BootKit病毒为例，在操作系统启动之前，BootKit病毒对物理平台进行攻击，获取系统的优先级，将病毒因此以规避杀毒工具的查杀。通过上述描述可见，现有技术没有办法在系统启动之间对物理平台进行保护，安全性较低。
技术实现思路
本专利技术实施例提供了保护设备安全的方法、装置及系统，能够提高待保护设备的安全性。第一方面，本专利技术实施例提供了一种保护设备安全的方法，包括：S1：防护端在启动待保护设备的过程中，获取所述待保护设备的启动部件的完整性信息；S2：所述防护端将所述完整性信息发送给可信第三方；S3：所述可信第三方根据预先存储的所述待保护设备的可信的完整性信息，对所述完整性信息进行验证，如果通过验证，则确定所述待保护设备安全，如果没有通过验证，则确定所述待保护设备不安全，将验证结果发送给所述防护端。进一步地，所述可信第三方包括：Privacy CA；在所述S1之前，还包括：所述防护端预先获取所述Privacy CA颁发的签名密钥证书；所述S2，包括：所述防护端根据预先设置的签名密钥对所述完整性信息进行签名，获得签名值；所述防护端将所述完整性信息、所述签名值以及所述签名密钥证书打包，生成待验证信息，将所述待验证信息通过Privacy CA发来的CA公钥进行加密；所述防护端将加密后的待验证信息发送给所述Privacy CA；在所述S3之前，还包括：所述Privacy CA通过所述CA公钥对应的CA私钥解密所述加密后的待验证信息，获取所述签名密钥证书，根据所述签名密钥证书，对所述完整性信息以及所述签名值进行签名验证，通过验证后，获取所述完整性信息。进一步地，所述防护端预先获取所述Privacy CA颁发的签名密钥证书，包括：所述防护端向所述Privacy CA发送所述签名密钥证书的颁发请求；所述Privacy CA向所述防护端返回标签label和所述CA公钥；所述防护端接收所述Privacy CA返回的label和所述CA公钥，将所述label与预先生成的签名密钥的默认属性打包，并用所述签名密钥对打包的数据进行签名，生成PrivCASign信息；所述防护端将所述PrivCASign信息与所述签名密钥的公共区域数据打
包，并用预先生成的对称加密密钥进行加密，生成symBlob；所述防护端用所述CA公钥加密所述对称加密密钥，生成asymBlob；所述防护端将所述symBlob、所述asymBlob和所述预先设置的安全芯片TPM背书密钥的证书EC发送给所述Privacy CA；所述Privacy CA根据所述CA私钥解密所述asymBlob，获得所述对称加密密钥；所述Privacy CA根据所述对称加密密钥解密所述symBlob，获得所述PrivCASign信息和所述签名密钥的公共区域数据；所述Privacy CA根据所述签名密钥的公共区域数据对所述PrivCASign信息进行签名验证，验证通过后，向所述防护端颁发所述签名密钥证书；所述防护端接收所述签名密钥证书。进一步地，所述向所述防护端颁发所述签名密钥证书，包括：所述Privacy CA用所述CA私钥生成所述签名密钥证书，并生成密钥pcaKey，通过所述pcaKey加密所述签名密钥证书；所述Privacy CA生成随机数seed，计算出所述签名密钥的公共区域数据的摘要值name；所述Privacy CA将所述seed作为密钥推导函数KDF的密钥，将所述name作为KDF的context，获取对称密钥symKey；所述Privacy CA利用所述symKey对所述pcaKey进行加密，生成credentialBlob；所述Privacy CA获取所述EC中的公钥，并利用所述EC中的公钥加密所述seed，生成secret；所述Privacy CA将所述secret、所述credentialBlob以及被加密的签名密钥证书发送给所述防护端；所述防护端接收所述签名密钥证书，包括：所述防护端根据所述secret和所述credentialBlob，解密得到所述pcaKey；所述防护端根据所述pcaKey解密被加密的签名密钥证书，获得所述签
名密钥证书。第二方面，本专利技术实施例提供了一种保护设备安全的系统，包括：防护端、可信第三方；所述防护端，用于在启动待保护设备的过程中，获取所述待保护设备的启动部件的完整性信息，将所述完整性信息发送给所述可信第三方；所述可信第三方，用于根据预先存储的所述待保护设备的可信的完整性信息，对所述完整性信息进行验证，如果通过验证，则确定所述待保护设备安全，如果没有通过验证，则确定所述待保护设备不安全，将验证结果发送给所述防护端。进一步地，所述可信第三方包括：Privacy CA；所述防护端，还用于获取所述Privacy CA颁发的签名密钥证书；所述防护端，在执行将所述完整性信息发送给可信第三方时，用于根据预先设置的签名密钥对所述完整性信息进行签名，获得签名值，将所述完整性信息、所述签名值以及所述签名密钥证书打包，生成待验证信息，将所述待验证信息通过Privacy CA发来的CA公钥进行加密，将加密后的待验证信息发送给所述Privacy CA；所述Privacy CA，还用于通过所述CA公钥对应的CA私钥解密所述加密后的待验证信息，获取所述签名密钥证书，根据所述签名密钥证书，对所述完整性信息以及所述签名值进行签名验证，通过验证后，获取所述完整性信息。进一步地，所述防护端，用于向所述Privacy CA发送所述签名密钥证书的颁发请求，接收所述Privacy CA返回的label和所述CA公钥，将所述label与预先生成的签名密钥的默认属性打包，并用所述签名密钥对打包的数据进行签名，生成PrivCASign信息，将所述PrivCASign信息与所述签名密钥的公共区域数据打包，并用预先生成的对称加密密钥进行加密，生成symBlob，用所述CA公钥加密所述对称加密密钥，生成asymBlob，将所述symBlob、所述asymBlob和所述预先设置的安全芯片TPM背书密钥的证书EC发送给
所述Privacy CA，接收所述Privacy CA颁发的所述签名密钥证书所述Privacy CA，用于向所述防护端返回标签label和所述CA公钥，根据所述CA私钥解密所述asymBlob，获得所述对称加密密钥，根据所述对称加密密钥解密所述symBlob，获得所述PrivCASign信息和所述签名密钥的公共区域数据，根据所述签名密钥的公共区域数据对所述PrivCASign信息进行签名验证，验证通过后，向所述防护端颁发所述签名密钥证本文档来自技高网...

【技术保护点】
一种保护设备安全的方法，其特征在于，包括：S1：防护端在启动待保护设备的过程中，获取所述待保护设备的启动部件的完整性信息；S2：所述防护端将所述完整性信息发送给可信第三方；S3：所述可信第三方根据预先存储的所述待保护设备的可信的完整性信息，对所述完整性信息进行验证，如果通过验证，则确定所述待保护设备安全，如果没有通过验证，则确定所述待保护设备不安全，将验证结果发送给所述防护端。

【技术特征摘要】
1.一种保护设备安全的方法，其特征在于，包括：S1：防护端在启动待保护设备的过程中，获取所述待保护设备的启动部件的完整性信息；S2：所述防护端将所述完整性信息发送给可信第三方；S3：所述可信第三方根据预先存储的所述待保护设备的可信的完整性信息，对所述完整性信息进行验证，如果通过验证，则确定所述待保护设备安全，如果没有通过验证，则确定所述待保护设备不安全，将验证结果发送给所述防护端。2.根据权利要求1所述的方法，其特征在于，所述可信第三方包括：Privacy CA；在所述S1之前，还包括：所述防护端预先获取所述Privacy CA颁发的签名密钥证书；所述S2，包括：所述防护端根据预先设置的签名密钥对所述完整性信息进行签名，获得签名值；所述防护端将所述完整性信息、所述签名值以及所述签名密钥证书打包，生成待验证信息，将所述待验证信息通过Privacy CA发来的CA公钥进行加密；所述防护端将加密后的待验证信息发送给所述Privacy CA；在所述S3之前，还包括：所述Privacy CA通过所述CA公钥对应的CA私钥解密所述加密后的待验证信息，获取所述签名密钥证书，根据所述签名密钥证书，对所述完整性信息以及所述签名值进行签名验证，通过验证后，获取所述完整性信息。3.根据权利要求2所述的方法，其特征在于，所述防护端预先获取所述Privacy CA颁发的签名密钥证书，包括：所述防护端向所述Privacy CA发送所述签名密钥证书的颁发请求；所述Privacy CA向所述防护端返回标签label和所述CA公钥；所述防护端接收所述Privacy CA返回的label和所述CA公钥，将所述label与预先生成的签名密钥的默认属性打包，并用所述签名密钥对打包的数据进行签名，生成PrivCASign信息；所述防护端将所述PrivCASign信息与所述签名密钥的公共区域数据打包，并用预先生成的对称加密密钥进行加密，生成symBlob；所述防护端用所述CA公钥加密所述对称加密密钥，生成asymBlob；所述防护端将所述symBlob、所述asymBlob和所述预先设置的安全芯片TPM背书密钥的证书EC发送给所述Privacy CA；所述Privacy CA根据所述CA私钥解密所述asymBlob，获得所述对称加密密钥；所述Privacy CA根据所述对称加密密钥解密所述symBlob，获得所述PrivCASign信息和所述签名密钥的公共区域数据；所述Privacy CA根据所述签名密钥的公共区域数据对所述PrivCASign信息进行签名验证，验证通过后，向所述防护端颁发所述签名密钥证书；所述防护端接收所述签名密钥证书。4.根据权利要求3所述的方法，其特征在于，所述向所述防护端颁发所述签名密钥证书，包括：所述Privacy CA用所述CA私钥生成所述签名密钥证书，并生成密钥pcaKey，通过所述pcaKey加密所述签名密钥证书；所述Privacy CA生成随机数seed，计算出所述签名密钥的公共区域数据的摘要值name；所述Privacy CA将所述seed作为密钥推导函数KDF的密钥，将所述name作为KDF的context，获取对称密钥symKey；所述Privacy CA利用所述symKey对所述pcaKey进行加密，生成credentialBlob；所述Privacy CA获取所述EC中的公钥，并利用所述EC中的公钥加密所述seed，生成secret；所述Privacy CA将所述secret、所述credentialBlob以及被加密的签名密钥证书发送给所述防护端；所述防护端接收所述签名密钥证书，包括：所述防护端根据所述secret和所述credentialBlob，解密得到所述pcaKey；所述防护端根据所述pcaKey解密被加密的签名密钥证书，获得所述签名密钥证书。5.一种保护设备安全的系统，其特征在于，包括：防护端、可信第三方；所述防护端，用于在启动待保护设备的过程中，获取所述待保护设备的启动部件的完整性信息，将所述完整性信息发送给所述可信第三方；所述...

【专利技术属性】
技术研发人员：许鑫，
申请(专利权)人：浪潮电子信息产业股份有限公司，
类型：发明
国别省市：山东;37