本发明专利技术提供了一种可信计算度量方法及其系统、计算机可读存储介质,通过在系统上电且在BIOS初始化之前对系统中的处理器的复位信号进行高电位控制,使得处理器无法进行复位,根据预设的算法对BIOS中的代码进行第一次度量校验,在校验通过时,控制复位信号对处理器进行复位处理以及初始化BIOS,BIOS对可信计算芯片中的固件进行第二次度量校验,最后根据第二次度量校验的结果对应的系统启动策略对系统进行控制操作;通过这样的相互度量验证,提高了系统中的度量计算的准确度,实现了对BIOS异常的提前判断,增强了计算机在操作系统启动之前有效的安全控制,解决了现有单方向的可信计算度量方式中仍然会存在数据被篡改的问题。
Trusted computing measurement method and its system, computer readable storage medium
【技术实现步骤摘要】
可信计算度量方法及其系统、计算机可读存储介质
本专利技术涉及可信计算领域,尤其涉及一种可信计算度量方法及其系统、计算机可读存储介质。
技术介绍
BIOS(BasicInputOutputSystem,基本输入输出系统)在IBMPC兼容系统上,是一种业界标准的固件接口,它是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,它可从CMOS中读写系统设置的具体信息。其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。此外,BIOS还向作业系统提供一些系统参数。系统硬件的变化是由BIOS隐藏,程序使用BIOS功能而不是直接控制硬件。现代作业系统会忽略BIOS提供的抽象层并直接控制硬件组件。而随着科学技术的不断发展进步,计算机面临的安全威胁层出不穷,由于计算机承载着大量的重要信息,因此,其安全性越来越受到企业、政府及国家的重视。针对于上述的问题,目前国内研究通过可信平台模块(TPM,TrustedPlatformModule)或者可信密码模块(TCM,trustedcryptographymodule)来实现系统启动前的安全严重控制。可信平台模块TPM/TCM是一个带密码运算功能的安全微控制器,可以保障终端的可信。TPM/TCM具备在网络中惟一的身份标识,其内部的AIK密钥仅对产生此密钥的平台是可用的,若用其私钥加密要发送的信息,可以确保消息源的真实性,同时,平台的PCR值可以作为“可信度量值”来保证平台的可信,相应的日志信息可以保证协议运行中消息的“新鲜性”。此外其作为可信计算的核心模块,TPCM(TrustedPlatformControlModule)利用TPM/TCM芯片中的度量根核心CRTM构成和信息链建立的问题,提出新的可信平台模块设计方案,以及基于该可信平台模块的一种主动模式的度量方式,将平台的可信度量根设计在可信平台模块内部,解决了BIOS篡改引起的信任根安全威胁,并利用该模块作为信任根建立了一种主动模式的信任链。虽然可以TCM/TPM模块来实现度量计算验证,但是目前所采用的可信计算的度量方式主要是通过可信平台模块主动度量计算,通过TPCM实现主动度量后再执行实现系统正常启动,而该种计算度量的方式都仅是针对于外部器件的可信计算,对于可信平台模块自身的可信计算并没有,可见目前的方法中仅存在单方向的可信计算,而单方向的计算还是难以保证计算的一致性,还是会存在数据被篡改,而减低完整性度量的计算可信度。
技术实现思路
本专利技术提供一种可信计算度量方法及其系统、计算机可读存储介质,以解决目前的单方向的可信计算度量方式中仍然会存在数据被篡改,而导致可信计算不可信、数据丢失的问题。为解决上述技术问题,本专利技术采用以下技术方案:一种可信计算度量方法,包括:在检测到系统上电时,可信计算芯片对系统中的处理器的复位信号进行高电位控制;所述可信计算芯片读取存储于系统的基本输入输出系统内的部分或者全部代码;根据预设的算法对所述部分或者全部代码进行第一次度量校验;若所述第一次度量校验通过,则控制所述复位信号对所述处理器进行复位处理以及初始化所述基本输入输出系统;所述基本输入输出系统对所述可信计算芯片中的部分或者全部固件进行第二次度量校验;根据所述第二次度量校验的结果以及与所述结果对应的系统启动策略对所述系统进行控制操作。进一步的,在所述可信计算芯片读取存储于系统的基本输入输出系统内的部分或者全部代码之前,还包括:控制所述可信计算芯片进行第一次自身度量验证,所述第一次自身度量验证为所述可信计算芯片内部的部分或者全部固件根据预设的验证方式进行自身部分或者全部固件的度量。进一步的,所述可信计算芯片读取存储于系统的基本输入输出系统内的部分或者全部代码包括:通过片选控制方式将所述可信计算芯片切换至与所述基本输入输出系统通信连接,并断开与所述处理器的通信连接;所述可信计算芯片根据所述通信连接读取所述基本输入输出系统中部分或全部代码。进一步的,所述根据预设的算法对所述部分或者全部代码进行第一次度量校验包括:根据哈希算法对所述部分或全部代码进行第一次哈希运算,得到第一哈希运算值;比较计算得到的所述第一哈希运算值与内置于所述可信计算芯片中的所述标准哈希值进是否一致。进一步的,所述控制所述复位信号对所述处理器进行复位处理包括:所述可信计算芯片输出复位控制电平信号;对所述复位控制电平信号和系统复位信号进行逻辑运算,得到逻辑运算结果;所述处理器根据所述逻辑运算结果进行复位操作。进一步的,所述基本输入输出系统对所述可信计算芯片中的部分或者全部固件进行第二次度量校验包括:所述基本输入输出系统读取所述可信计算芯片第一次自身度量验证的结果与所述基本输入输出系统中预先存储的部分或者全部固件哈希值进行比较;或者,所述基本输入输出系统控制所述可信计算芯片进行第二次自身度量验证,将所述第二次自身度量校验的结果与所述基本输入输出系统中预先存储的部分或者全部固件哈希值进行比较;或者,所述基本输入输出系统读取所述可信计算芯片内部部分或者全部固件的数据,并根据哈希计算算法进行哈希运算,将所述哈希运算后的结果与所述基本输入输出系统中预先存储的部分或者全部固件哈希值进行比较;或者,所述基本输入输出系统读取所述可信计算芯片的内部的部分或者全部固件数据以及所述第一次自身度量的结果,根据哈希计算算法对所述部分或者全部固件数据进行哈希运算,将所述哈希运算后的结果与所述所述第一次自身度量的结果进行比较。进一步的,在根据所述第二次度量校验的结果以及与所述结果对应的系统启动策略对所述系统进行控制操作之后,还包括:对所述处理器的工作状态进行实时监控,并根据监控的情况对所述处理器进行复位操作。为了解决上述的技术问题,本专利技术实施例还提供了一种可信计算度量系统,包括:可信计算芯片、基本输入输出系统和处理器;所述可信计算芯片用于在所述可信计算度量系统上电时,对系统中的处理器的复位信号进行高电位控制,以及读取存储于系统的基本输入输出系统内的部分或者全部代码,根据预设的算法对所述部分或者全部代码进行第一次度量校验;若所述第一次度量校验通过,则所述可信计算芯片控制所述复位信号对所述处理器进行复位处理以及初始化所述基本输入输出系统;所述基本输入输出系统对所述可信计算芯片中的部分或者全部固件进行第二次度量校验;所述处理器根据所述第二次度量校验的结果以及与所述结果对应的系统启动策略对所述系统进行控制操作。进一步的,所述可信计算芯片还用于对自身进行第一次自身度量验证,所述第一次自身度量验证为所述可信计算芯片内部的部分或者全部固件根据预设的验证方式进行自身部分或者全部固件的度量。为了解决上述的技术问题,本专利技术实施例还提供了一种计算机可读存储介质,其特征在于,本文档来自技高网...
【技术保护点】
1.一种可信计算度量方法,其特征在于,包括:/n在检测到系统上电时,可信计算芯片对系统中的处理器的复位信号进行高电位控制;/n所述可信计算芯片读取存储于系统的基本输入输出系统内的部分或者全部代码;/n根据预设的算法对所述部分或者全部代码进行第一次度量校验;/n若所述第一次度量校验通过,则控制所述复位信号对所述处理器进行复位处理以及初始化所述基本输入输出系统;/n所述基本输入输出系统对所述可信计算芯片中的部分或者全部固件进行第二次度量校验;/n根据所述第二次度量校验的结果以及与所述结果对应的系统启动策略对所述系统进行控制操作。/n
【技术特征摘要】
1.一种可信计算度量方法,其特征在于,包括:
在检测到系统上电时,可信计算芯片对系统中的处理器的复位信号进行高电位控制;
所述可信计算芯片读取存储于系统的基本输入输出系统内的部分或者全部代码;
根据预设的算法对所述部分或者全部代码进行第一次度量校验;
若所述第一次度量校验通过,则控制所述复位信号对所述处理器进行复位处理以及初始化所述基本输入输出系统;
所述基本输入输出系统对所述可信计算芯片中的部分或者全部固件进行第二次度量校验;
根据所述第二次度量校验的结果以及与所述结果对应的系统启动策略对所述系统进行控制操作。
2.如权利要求1所述的可信计算度量方法,其特征在于,在所述可信计算芯片读取存储于系统的基本输入输出系统内的部分或者全部代码之前,还包括:
控制所述可信计算芯片进行第一次自身度量验证,所述第一次自身度量验证为所述可信计算芯片内部的部分或者全部固件根据预设的验证方式进行自身部分或者全部固件的度量。
3.如权利要求2所述的可信计算度量方法,其特征在于,所述可信计算芯片读取存储于系统的基本输入输出系统内的部分或者全部代码包括:
通过片选控制方式将所述可信计算芯片切换至与所述基本输入输出系统通信连接,并断开与所述处理器的通信连接;
所述可信计算芯片根据所述通信连接读取所述基本输入输出系统中部分或全部代码。
4.如权利要求3所述的可信计算度量方法,其特征在于,所述根据预设的算法对所述代码进行第一次度量校验包括:
根据哈希算法对所述部分或全部代码进行第一次哈希运算,得到第一哈希运算值;
比较计算得到的所述第一哈希运算值与内置于所述可信计算芯片中的所述标准哈希值进是否一致。
5.如权利要求1-4任一项所述的可信计算度量方法,其特征在于,所述控制所述复位信号对所述处理器进行复位处理包括:
所述可信计算芯片输出复位控制信号;
对所述复位控制信号和系统复位信号进行逻辑运算,得到逻辑运算结果;
所述处理器根据所述逻辑运算结果进行复位操作。
6.如权利要求5所述的可信计算度量方法,其特征在于,所述基本输入输出系统对所述可信计算芯片中的部分或者全部固件进行第二次度量校验包括:
所述基本输入输出系统读取所述可信计算芯片第一次自身度量验证的...
【专利技术属性】
技术研发人员:付月朋,
申请(专利权)人:国民技术股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。