本发明专利技术提供了一种计算机启动方法,计算机的CPU内设有可信根,该计算机启动方法包括:在所述计算机加电后,执行所述可信根的程序代码;所述可信根对所述计算机的基础固件进行验签;当所述可信根对所述基础固件验签成功时,执行所述基础固件的当前程序代码,使所述基础固件完成对所述CPU的硬件的初始化;所述基础固件对所述计算机的第三方固件进行验签;当所述基础固件对所述第三方固件验签成功时,执行所述第三方固件的当前程序代码,使所述第三方固件加载所述计算机的操作系统。本发明专利技术能增强计算机系统的安全性。
Computer startup method
【技术实现步骤摘要】
计算机启动方法
本专利技术涉及计算机安全
,特别涉及一种计算机启动方法。
技术介绍
计算机启动安全对整个计算机系统的安全至关重要,是系统其它安全机制起作用的基础。传统的计算机启动方式中,中央处理器(CPU,CentralProcessingUnit)没有对启动程序代码以及用户数据进行验签,黑客等攻击者可以通过篡改程序代码来夺取CPU的执行权限,加载恶意程序、获取用户数据,威胁计算机系统安全。
技术实现思路
本专利技术提供了一种计算机启动方法,其目的是为了解决计算机在启动过程中计算机系统的安全性低的问题。为了达到上述目的,本专利技术的实施例提供了一种计算机启动方法,计算机的CPU内设有可信根,所述计算机启动方法包括:在所述计算机加电后,执行所述可信根的程序代码;所述可信根对所述计算机的基础固件进行验签;当所述可信根对所述基础固件验签成功时,执行所述基础固件的当前程序代码,使所述基础固件完成对所述CPU的硬件的初始化;所述基础固件对所述计算机的第三方固件进行验签;当所述基础固件对所述第三方固件验签成功时,执行所述第三方固件的当前程序代码,使所述第三方固件加载所述计算机的操作系统。其中,所述可信根内存储有用于访问所述基础固件的密钥证书的第一公钥;所述可信根对所述计算机的基础固件进行验签的步骤,包括:所述可信根利用所述第一公钥访问所述基础固件的密钥证书,从所述基础固件的密钥证书中获得用于访问所述基础固件的内容证书的第二公钥;r>所述可信根利用所述第二公钥访问所述基础固件的内容证书,从所述基础固件的内容证书中获得第一哈希值;所述第一哈希值是使用hash算法对所述基础固件的原始程序代码、原始用户数据以及所述基础固件的容量大小进行计算得到的;所述可信根根据所述第一哈希值,对所述计算机的基础固件进行验签。其中,所述可信根根据所述第一哈希值,对所述计算机的基础固件进行验签的步骤,包括:所述可信根使用hash算法,对所述基础固件的当前程序代码、当前用户数据以及所述基础固件的容量大小进行计算,得到第二哈希值;所述可信根对所述第一哈希值和所述第二哈希值进行比对;当所述第一哈希值和所述第二哈希值相同时,所述可信根对所述基础固件验签成功;当所述第一哈希值和所述第二哈希值不相同时,所述可信根对所述基础固件验签失败。其中,在所述可信根对所述基础固件验签失败的步骤之后,所述计算机启动方法还包括:显示一用于提示所述可信根对所述基础固件验签失败的报错信息。其中,所述基础固件内存储有用于访问所述第三方固件的密钥证书的第三公钥;所述基础固件对所述计算机的第三方固件进行验签的步骤,包括:所述基础固件利用所述第三公钥访问所述第三方固件的密钥证书,从所述第三方固件的密钥证书中获得用于访问所述第三方固件的内容证书的第四公钥;所述基础固件利用所述第四公钥访问所述第三方固件的内容证书,从所述第三方固件的内容证书中获得第三哈希值;所述第三哈希值是使用hash算法对所述第三方固件的原始程序代码、原始用户数据以及所述第三方固件的容量大小进行计算得到的;所述基础固件根据所述第三哈希值,对所述计算机的第三方固件进行验签。其中,所述基础固件根据所述第三哈希值,对所述计算机的第三方固件进行验签的步骤,包括:所述基础固件使用hash算法,对所述第三方固件的当前程序代码、当前用户数据以及所述第三方固件的容量大小进行计算,得到第四哈希值;所述基础固件对所述第三哈希值和所述第四哈希值进行比对;当所述第三哈希值和所述第四哈希值相同时,所述基础固件对所述第三方固件验签成功;当所述第三哈希值和所述第四哈希值不相同时,所述基础固件对所述第三方固件验签失败。其中,在所述基础固件对所述第三方固件验签失败的步骤之后,所述计算机启动方法还包括:显示一用于提示所述基础固件对所述第三方固件验签失败的报错信息。其中,所述基础固件位于所述计算机的片外非易失性存储介质上。本专利技术的上述方案至少有如下的有益效果:在本专利技术的实施例中,通过在计算机的CPU内设置无法被篡改、无需验证、确保可信的可信根,使得在计算机加电后,执行该可信根的程序代码,通过该可信根对计算机的基础固件进行验签,并在基础固件验签成功时,确定基础固件的程序代码和用户数据的来源可靠,没被篡改,执行该基础固件的当前程序代码,使该基础固件完成对CPU的硬件的初始化,然后通过该基础固件对计算机的第三方固件进行验签,并在第三方固件验签成功时,确定该第三方固件的程序代码和用户数据的来源可靠,没被篡改,执行该第三方固件的当前程序代码,使第三方固件加载计算机的操作系统,完成计算机的启动。其中由于在计算机的整个启动过程中,只有当可信的可信根确认基础固件可信、可信的基础固件确认第三方固件可信后,才能完成计算机的启动,从而避免在基础固件(或者第三方固件)的程序代码、用户数据被黑客等攻击者篡改时启动计算机,增强计算机系统的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例的计算机启动方法的流程图;图2是本专利技术实施例的图1中步骤12的具体实现方式的流程图;图3是本专利技术实施例的图1中步骤14的具体实现方式的流程图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。需要说明的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本专利技术的描述中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。本专利技术的实施例提供了一种计算机启动方法,其中,计算机的CPU内设有可信根,该可信根是一个不可篡改、无需验证、确保可信的初始基础启动模块。具体的,如图1所示,上述计算机启动方法包括如下步骤:步骤11,在所述计算机加电后,执行所述可信根的程序代码。其中,在本专利技术的实施例中,上述可信根保存在计算机的CPU芯片内,是无法被篡改的,在计算机加电后,执行该可信根的程序代码,以便该可信根对计算机的基础固件进行验签。其中,该基础固件可位于所述计算机的片外非易失性存储介质上,以便可信根对其进行验签。步骤12本文档来自技高网...
【技术保护点】
1.一种计算机启动方法,其特征在于,计算机的CPU内设有可信根,所述计算机启动方法包括:/n在所述计算机加电后,执行所述可信根的程序代码;/n所述可信根对所述计算机的基础固件进行验签;/n当所述可信根对所述基础固件验签成功时,执行所述基础固件的当前程序代码,使所述基础固件完成对所述CPU的硬件的初始化;/n所述基础固件对所述计算机的第三方固件进行验签;/n当所述基础固件对所述第三方固件验签成功时,执行所述第三方固件的当前程序代码,使所述第三方固件加载所述计算机的操作系统。/n
【技术特征摘要】
1.一种计算机启动方法,其特征在于,计算机的CPU内设有可信根,所述计算机启动方法包括:
在所述计算机加电后,执行所述可信根的程序代码;
所述可信根对所述计算机的基础固件进行验签;
当所述可信根对所述基础固件验签成功时,执行所述基础固件的当前程序代码,使所述基础固件完成对所述CPU的硬件的初始化;
所述基础固件对所述计算机的第三方固件进行验签;
当所述基础固件对所述第三方固件验签成功时,执行所述第三方固件的当前程序代码,使所述第三方固件加载所述计算机的操作系统。
2.根据权利要求1所述的计算机启动方法,其特征在于,所述可信根内存储有用于访问所述基础固件的密钥证书的第一公钥;
所述可信根对所述计算机的基础固件进行验签的步骤,包括:
所述可信根利用所述第一公钥访问所述基础固件的密钥证书,从所述基础固件的密钥证书中获得用于访问所述基础固件的内容证书的第二公钥;
所述可信根利用所述第二公钥访问所述基础固件的内容证书,从所述基础固件的内容证书中获得第一哈希值;所述第一哈希值是使用hash算法对所述基础固件的原始程序代码、原始用户数据以及所述基础固件的容量大小进行计算得到的;
所述可信根根据所述第一哈希值,对所述计算机的基础固件进行验签。
3.根据权利要求2所述的计算机启动方法,其特征在于,所述可信根根据所述第一哈希值,对所述计算机的基础固件进行验签的步骤,包括:
所述可信根使用hash算法,对所述基础固件的当前程序代码、当前用户数据以及所述基础固件的容量大小进行计算,得到第二哈希值;
所述可信根对所述第一哈希值和所述第二哈希值进行比对;
当所述第一哈希值和所述第二哈希值相同时,所述可信根对所述基础固件验签成功;
当所述第一哈希值和所述第二哈希值不相同时,所述可信根对所述基础固件验签失败。
4.根据权利要求3所述的计算机启动...
【专利技术属性】
技术研发人员:舒奕棋,郭御风,刘勇鹏,张明,李信德,杨勋,谢鹏,王旭,陈振华,
申请(专利权)人:天津飞腾信息技术有限公司,
类型:发明
国别省市:天津;12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。