The embodiment of the invention discloses a method and system for controlling the trusted root in BIOS, including certificate initialization and certificate verification. Certificate initialization includes generating the hardware platform certificate of the trusted root, importing the hardware platform certificate into the trusted root, and the hardware platform certificate includes information subject and signature value. After BIOS initializes the trusted root, it verifies that the information subject in the hardware platform certificate is valid It indicates that the hardware platform certificate matches the trusted root, ensures the validity of the hardware platform certificate, verifies the validity of the signature in the hardware platform certificate, indicates that the hardware platform certificate matches the manufacturer's public key solidified in the BIOS, and ensures the validity of the hardware platform certificate. The BIOS verifies the identity of the trusted root after initializing the trusted root, and judges whether to provide the trusted root function for the subsequent running program according to the verification result, so as to protect the security of the upper application data of the computer.
【技术实现步骤摘要】
一种在BIOS中控制可信根的方法和系统
本专利技术涉及计算机信息安全
,具体涉及一种在BIOS中控制可信根的方法和系统。
技术介绍
密码安全模块涉及国家的信息安全,因此各国对于密码安全模块有不同的要求与限制,甚至在某些重要领域只允许使用特定的密码安全模块。可信根是计算机领域中的一种安全组件,可以为计算机系统提供密码学功能,保护计算机平台中的数据等信息。BIOS是计算机上电后最先执行的程序,负责各个硬件(如显卡、声卡等)的初始化操作,如设备检测、内存映射等操作。可信根有统一的规范约束各个功能接口,BIOS调用可信根规范约束的接口初始化可信根后,计算机平台中的后续程序都可访问或使用该可信根。现阶段BIOS只完成可信根的初始化操作,并不验证可信根的身份,一旦计算机平台中的可信根被替换为不受控的可信根,而计算机平台中的后续程序仍访问或使用该可信根,系统无法第一时间知晓并控制,将威胁到计算机平台上的数据安全。
技术实现思路
本专利技术实施例中提供了一种在BIOS中控制可信根的方法和系统,在BI...
【技术保护点】
1.一种在BIOS中控制可信根的方法,其特征在于,所述方法包括:/n证书初始化,创建可信根第一公钥和第一私钥,创建厂商公钥和厂商私钥,使用第一公钥生成硬件平台证书的信息主体,使用厂商私钥生成签名值,将信息主体和签名值共同构成的硬件平台证书导入可信根,将厂商公钥固化至BIOS中;/n证书验证,在BIOS下初始化可信根,创建第二公钥,通过硬件平台证书中的信息主体,验证硬件平台证书的有效性,通过硬件平台证书中的签名,验证硬件平台证书的合法性。/n
【技术特征摘要】
1.一种在BIOS中控制可信根的方法,其特征在于,所述方法包括:
证书初始化,创建可信根第一公钥和第一私钥,创建厂商公钥和厂商私钥,使用第一公钥生成硬件平台证书的信息主体,使用厂商私钥生成签名值,将信息主体和签名值共同构成的硬件平台证书导入可信根,将厂商公钥固化至BIOS中;
证书验证,在BIOS下初始化可信根,创建第二公钥,通过硬件平台证书中的信息主体,验证硬件平台证书的有效性,通过硬件平台证书中的签名,验证硬件平台证书的合法性。
2.根据权利要求1所述的一种在BIOS中控制可信根的方法,其特征在于,所述证书初始化包括:
S11,在可信根中创建可信根参数,读取可信根中的根种子,以可信根参数和根种子作为输入创建可信根第一公钥,创建厂商公钥;
S12,在可信根中设置访问授权码,开辟第一存储空间,并将可信根参数写入第一存储空间;
S13,使用第一公钥构建硬件平台证书的信息结构,生成信息主体,信息主体生成第一摘要值;
S14,在可信根中生成第一私钥,生成厂商私钥;
S15,使用厂商私钥对第一摘要值进行签名,生成签名值,信息主体和签名值共同构成硬件平台证书;
S16,在可信根中开辟第二存储空间,将硬件平台证书写入第二存储空间,将第一私钥和第一公钥擦除,将厂商公钥固化至BIOS中。
3.根据权利要求1所述的一种在BIOS中控制可信根的方法,其特征在于,所述证书验证包括:
S21,BIOS启动时,初始化可信根,使可信根进入可使用状态;
S22,读取可信根中的可信根参数和根种子,以可信根参数和根种子作为输入,创建第二公钥;
S23,读取硬件平台证书中的信息主体,获得第一公钥,将第一公钥与第二公钥进行对比,验证硬件平台证书有效性;
S24,读取BIOS中的厂商公钥,使用厂商公钥将硬件平台证书中的签名值转换为第二摘要值,读取硬件平台证书中的信息主体,转换为第一摘要值,将第一摘要值和第二摘要值进行对比,验证硬件平台证书合法性。
4.根据权利要求3所述的一种在BIOS中控制可信根的方法,其特征在于,所述验证硬件平台证书有效性的原则是:
如果第一公钥与第二公钥相同,则说明硬件平台证书与可信根匹配,硬件平台证书有效,执行步骤S24;
如果第一公钥与第二公钥不同,则说明硬件平台证书与可信根不匹配,硬件平台证书无效,关闭可...
【专利技术属性】
技术研发人员:许鑫,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。