本发明专利技术提供了一种可信启动控制方法及其装置、计算机可读存储介质,在该方法中,通过在系统上电且在BIOS初始化之前对处理器的复位信号进行复位控制,使得处理器无法进行复位,然后再获取BIOS系统中的部分或者全部代码进行完整性度量及校验,在校验通过后执行对处理器的复位操作以及引导BIOS系统进行启动操作;通过这样的方法进行BIOS的完整性度量和对BIOS的启动控制,实现在BIOS被入侵破坏后,能够及时发现BIOS的异常以决定是否需要继续执行系统的启动操作,使得BIOS异常的提前获取,增强了计算机在操作系统启动之前有效的安全控制,解决了BIOS系统内容被篡改仍然被执行,从而导致内容被篡改、重要信息丢失的问题,同时也提高了BIOS系统数据的安全性。
Trusted start control method and its device, computer readable storage medium
【技术实现步骤摘要】
可信启动控制方法及其装置、计算机可读存储介质
本专利技术涉及可信计算领域,尤其涉及一种可信启动控制方法及其装置、计算机可读存储介质。
技术介绍
BIOS(BasicInputOutputSystem,基本输入输出系统)在IBMPC兼容系统上,是一种业界标准的固件接口,它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,它可从CMOS中读写系统设置的具体信息。其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。此外,BIOS还向作业系统提供一些系统参数。系统硬件的变化是由BIOS隐藏,程序使用BIOS功能而不是直接控制硬件。现代作业系统会忽略BIOS提供的抽象层并直接控制硬件组件。而随着科学技术的不断发展进步,计算机面临的安全威胁层出不穷,由于计算机承载着大量的重要信息,因此,其安全性越来越受到企业、政府及国家的重视。然而,现有的计算机保护机制并不是太完善,使得计算机很容易被非法访问,或者是非法篡改,从容导致计算机的内容泄露或者丢失。
技术实现思路
本专利技术提供一种可信启动控制方法及其装置、计算机可读存储介质,以解决计算机在操作系统启动之前由于缺乏有效的安全控制,而导致内容被篡改、重要信息丢失的问题。为解决上述技术问题,本专利技术采用以下技术方案:一种可信启动控制方法,应用于处理器和基本输入输出系统的启动控制,包括:在检测到系统上电时,可信计算芯片对处理器的复位信号进行复位控制;所述可信计算芯片获取存储于所述基本输入输出系统中的部分或者全部代码;对所述部分或者全部代码进行完整性度量及校验;若验证通过,则接通对所述处理器进行复位处理,并引导所述基本输入输出系统进行启动操作;若验证不通过,则控制所述处理器结束启动操作。进一步的,所述可信计算芯片对处理器的复位信号进行复位控制包括:通过所述可信计算芯片上的输入/输出接口向所述处理器的复位端口输入一个高电平信号,所述高电平信号用于控制所述处理器的复位信号为无效信号。进一步的,在所述可信计算芯片与所述处理器之间设置有逻辑运算电路;所述可信计算芯片对处理器的复位信号进行复位控制包括:通过所述可信计算芯片向所述逻辑运算电路输出复位控制信号;所述逻辑运算电路根据所述复位控制信号以及系统复位信号进行逻辑运算,得到一个复位无效信号;根据所述复位无效信号控制所述处理器的复位端口持续处于高电位状态。进一步的,所述可信计算芯片获取存储于所述基本输入输出系统中的部分或者全部代码包括:通过片选控制方式将所述基本输入输出系统与所述可信计算芯片切换至与所述基本输入输出系统通信连接,并断开与所述处理器的通信连接;从所述基本输入输出系统中的存储单元中读取部分或者全部代码。进一步的,所述对所述部分或者全部代码进行完整性度量及校验包括:根据预设的校验规则计算所述部分或者全部代码的校验值;将所述校验值与预先存储于所述可信计算芯片中的标准值进行比较,得到验证结果。进一步的,所述标准值为标准哈希值,所述根据预设的校验规则计算所述部分或者全部代码的校验值包括:根据哈希算法对所述部分或者全部代码进行哈希运算,得到哈希运算值;将所述校验值与预先存储于所述可信计算芯片中的标准值进行比较包括:将计算得到的所述哈希运算值与内置于所述可信计算芯片中的所述标准哈希值进行比较,若比较的结果为一致,则执行对所述处理器进行复位处理的步骤。进一步的,所述接通对所述处理器进行复位处理,并引导所述基本输入输出系统进行启动操作包括:通过所述片选控制接通所述基本输入输出系统与所述处理器的连接;所述可信计算芯片的输入/输出端口和所述复位信号通过逻辑运算电路将所述处理器进行复位处理;所述处理器读取所述基本输入输出系统中的代码对系统进行启动操作。进一步的,在所述基本输入输出系统进行启动操作之后,还包括:对所述处理器的工作状态进行实时监控,并根据监控的情况对所述处理器进行复位操作。为了解决上述的技术问题,本专利技术实施例还提供了一种可信启动控制装置,包括:可信计算芯片、基本输入输出装置和处理器;所述可信计算芯片用于在所述基本输入输出系统上电时,可信计算芯片对处理器的复位信号进行复位控制,以及获取存储于所述基本输入输出装置中的部分或者全部代码,根据所述部分或者全部代码进行完整性度量及校验;若验证通过,则所述可信计算芯片接通对所述处理器进行复位处理,并引导所述基本输入输出装置进行启动操作;若验证不通过,则所述可信计算芯片控制所述处理器结束启动操作。为了解决上述的技术问题,本专利技术实施例还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上所述的可信启动控制方法的步骤。本专利技术提供了一种可信启动控制方法及其装置、计算机可读存储介质,在该方法中,通过在BIOS系统上电时,可信计算芯片对处理器的复位信号进行复位控制,使得处理器无法进行复位操作,然后再获取BIOS系统中的部分或者全部代码进行完整性度量及校验,在校验通过后执行对处理器的复位操作以及引导BIOS系统进行启动操作;通过这样的方法进行BIOS的完整性度量和对BIOS的启动控制,实现在BIOS被入侵破坏后,能够及时发现BIOS的异常以决定是否需要继续执行系统的启动操作,使得BIOS异常的提前获取,增强了计算机在操作系统启动之前有效的安全控制,解决了BIOS系统内容被篡改仍然被执行,从而导致内容被篡改、重要信息丢失的问题,同时也提高了BIOS系统数据的安全性。附图说明图1为本专利技术实施例一提供的可信启动控制方法的流程图;图2为本专利技术实施例二提供的可信启动控制装置的结构示意图;图3为本专利技术实施例二提供的可信启动控制装置的另一结构示意图。具体实施方式下面通过具体实施方式结合附图对本专利技术作进一步详细说明。实施例一:图1为本专利技术实施例一提供的可信启动控制方法的流程图,请参考图1,本实施例提供的可信启动控制方法包括以下步骤:S101:检测系统是否处于上电状态,若是,则执行步骤S102,反之则继续检测上电状态。在本实施例中,这里的系统指的是包括可信计算芯片、基本输入输出系统、处理器等所有部件的通信或者终端系统,同时还可以指的是基本输入输出系统。而对于供电单元的数量设置,可以是一个也可以是多个,优选的,本实施例中选择仅设置一个供电单元,而该供电单元用于是实现对整个系统的所有单元进行供电,而这里检测的上电状态,主要是针对于处理器CPU的上电检测,由于每次系统需要启动之前都必须要对CPU进行上电复位,将CPU进行初始化处理。S102:可信计算芯片对处理器的复位信号复位控制。在该步骤中,可信计算芯片对本文档来自技高网...
【技术保护点】
1.一种可信启动控制方法,应用于处理器和基本输入输出系统的启动控制,其特征在于,包括:/n在检测到系统上电时,可信计算芯片对处理器的复位信号进行复位控制;/n所述可信计算芯片获取存储于所述基本输入输出系统中的部分或者全部代码;/n对所述部分或者全部代码进行完整性度量及校验;/n若验证通过,则接通对所述处理器进行复位处理,并引导所述基本输入输出系统进行启动操作;/n若验证不通过,则控制所述处理器结束启动操作。/n
【技术特征摘要】
1.一种可信启动控制方法,应用于处理器和基本输入输出系统的启动控制,其特征在于,包括:
在检测到系统上电时,可信计算芯片对处理器的复位信号进行复位控制;
所述可信计算芯片获取存储于所述基本输入输出系统中的部分或者全部代码;
对所述部分或者全部代码进行完整性度量及校验;
若验证通过,则接通对所述处理器进行复位处理,并引导所述基本输入输出系统进行启动操作;
若验证不通过,则控制所述处理器结束启动操作。
2.如权利要求1所述的可信启动控制方法,其特征在于,所述可信计算芯片对处理器的复位信号进行复位控制包括:通过所述可信计算芯片上的输入/输出接口向所述处理器的复位端口输入一个高电平信号,所述高电平信号用于控制所述处理器的复位信号为无效信号。
3.如权利要求1所述的可信启动控制方法,其特征在于,在所述可信计算芯片与所述处理器之间设置有逻辑运算电路;
所述可信计算芯片对处理器的复位信号进行复位控制包括:
通过所述可信计算芯片向所述逻辑运算电路输出复位控制信号;
所述逻辑运算电路根据所述复位控制信号以及系统复位信号进行逻辑运算,得到一个复位无效信号;
根据所述复位无效信号控制所述处理器的复位端口持续处于高电位状态。
4.如权利要求1-3任一项所述的可信启动控制方法,其特征在于,所述可信计算芯片获取存储于所述基本输入输出系统中的部分或者全部代码包括:
通过片选控制方式将所述可信计算芯片切换至与所述基本输入输出系统通信连接,并断开与所述处理器的通信连接;
从所述基本输入输出系统中的存储单元中读取部分或者全部代码。
5.如权利要求4所述的可信启动控制方法,其特征在于,所述对所述部分或者全部代码进行完整性度量及校验包括:
根据预设的校验规则计算所述部分或者全部代码的校验值;
将所述校验值与预先存储于所述可信计算芯片中的标准值进行比较,得到验证结果。...
【专利技术属性】
技术研发人员:付月朋,
申请(专利权)人:国民技术股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。