一种利用OPROM机制的启动度量方法及装置制造方法及图纸

本发明专利技术公开了一种利用OPROM机制的启动度量方法及装置，方法包括：在可信计算平台上电后，防护子系统中的可信平台控制模块先于计算子系统中的CPU启动，防护子系统以可信平台控制模块为信任根，对计算子系统的BIOS固件程序进行度量，若BIOS固件程序的度量结果可信，则在BIOS固件程序执行过程中利用OPROM机制对计算子系统的OSLoader代码进行度量，若OSLoader代码的度量结果可信，则继续对计算子系统的操作系统和应用程序进行度量，直至计算子系统的信任链建立完成。本发明专利技术所提供的启动度量方法，利用OPROM机制，无需修改BIOS就可以实现对计算机设备的启动度量，该启动度量方法可适配所有计算机设备。

A Startup Measurement Method and Device Based on OPROM Mechanism

【技术实现步骤摘要】
一种利用OPROM机制的启动度量方法及装置
本专利技术涉及计算机安全
，具体涉及一种利用OPROM机制的启动度量方法及装置。
技术介绍
为了保证计算机安全启动运行，通常需要对计算机启动过程进行可信度量，即在加载执行下一阶段的启动对象之前，需要对下一阶段的启动对象进行度量，例如BIOS需要对下一阶段的OS进行度量。现有技术中通常采用修改计算机的BIOS固件程序，使计算机具有SecureBoot功能，利用该SecureBoot功能实现对计算机启动过程中的操作系统进行安全验证。但是，这种启动度量方式并未对BIOS进行安全验证，且对操作系统只进行一次整体度量。此外，该启动度量方式需要对BIOS固件程序进行修改才能实现，对于已经出厂但并未修改BIOS固件程序的计算机设备则无法进行启动度量，无法做到对所有计算机设备进行启动度量适配。
技术实现思路
针对现有技术中存在的缺陷，本专利技术的目的在于提供一种利用OPROM机制的启动度量方法，无需修改BIOS就可以实现对计算机设备进行启动度量，该启动度量方法可适配所有计算机设备。为实现上述目的，本专利技术采用的技术方案如下：一种利用OPROM机制的启动本文档来自技高网...

【技术保护点】
1.一种利用OPROM机制的启动度量方法，其特征在于，应用于可信计算平台，所述可信计算平台包括：并行的计算子系统和防护子系统，所述计算子系统用于完成计算任务，所述防护子系统用于通过可信平台控制模块，根据可信策略对所述计算子系统进行主动度量和主动控制；所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；所述启动度量方法包括：S1、在所述可信计算平台上电后，所述防护子系统中的所述可信平台控制模块先于所述计算子系统中的CPU启动，所述防护子系统以所述可信平台控制模块为信任根，对所述计算子系统的BIOS固件程序进行度量；S2、若所述BIOS固件程序的度量结果可信，则在所述BI...

【技术特征摘要】
1.一种利用OPROM机制的启动度量方法，其特征在于，应用于可信计算平台，所述可信计算平台包括：并行的计算子系统和防护子系统，所述计算子系统用于完成计算任务，所述防护子系统用于通过可信平台控制模块，根据可信策略对所述计算子系统进行主动度量和主动控制；所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；所述启动度量方法包括：S1、在所述可信计算平台上电后，所述防护子系统中的所述可信平台控制模块先于所述计算子系统中的CPU启动，所述防护子系统以所述可信平台控制模块为信任根，对所述计算子系统的BIOS固件程序进行度量；S2、若所述BIOS固件程序的度量结果可信，则在所述BIOS固件程序执行过程中利用OPROM机制对所述计算子系统的OSLoader代码进行度量；S3、若所述OSLoader代码的度量结果可信，则继续对所述计算子系统的操作系统和应用程序进行度量，直至所述计算子系统的信任链建立完成。2.根据权利要求1所述的一种利用OPROM机制的启动度量方法，其特征在于，所述步骤S2包括：若所述BIOS固件程序的度量结果可信，则启动CPU，加载并执行所述BIOS固件程序，当所述BIOS固件程序的执行阶段到达寻址各个外设的阶段时，若所述BIOS固件程序中的OPROM程序开关状态为开，则所述BIOS固件程序暂停执行，跳转执行所述OPROM程序，所述OPROM程序用于加载所述可信计算平台的硬盘中的OSLoader代码及其相关信息，并对所述OSLoader代码进行度量。3.根据权利要求2所述的一种利用OPROM机制的启动度量方法，其特征在于，当所述BIOS固件程序的执行阶段到达寻址各个外设的阶段时，若所述BIOS固件程序中的OPROM程序开关状态为关，则所述BIOS固件程序加载所述计算子系统的操作系统，所述可信平台控制模块根据所述操作系统所在分区的类型将对应的OPROM程序写入所述可信平台控制模块的ROM。4.根据权利要求1所述的一种利用OPROM机制的启动度量方法，其特征在于，在所述步骤S2之后，所述启动度量方法还包括：S4、若所述OSLoader代码的度量结果不可信，则所述OPROM程序控制所述BIOS固件程序中断执行，使得所述BIOS固件程序无法加载执行所述OSLoader代码，所述计算子系统无法正常启动。5.根据权利要求1所述的一种利用OPROM机制的启动度量方法，其特征在于，所述步骤S3包括：S31、若所述OSLoader代码的度量结果可信，则所述OPROM程序控制所述BIOS固件程序继续执行，加载并执行所述OSLoader代码，所述OSLoader代码中的度量代理模块拦截加载操作系统内核代码，从所述硬盘中读取所述操作系统内核代码及其相关信息并发送给所述可信平台控制模块，所述可信平台控制模块对所述操作系统内核代码进行度量；S32、若所述操作系统内核代码的度量结果可信，则所述OSLoader代码加载并执行所述操作系统内核...

【专利技术属性】
技术研发人员：孙瑜，王强，王涛，李春艳，
申请(专利权)人：北京可信华泰信息技术有限公司，
类型：发明
国别省市：北京,11