一种保护计算机系统安全的方法技术方案

本发明专利技术适用于计算机安全领域，提供了一种保护计算机系统安全的方法，所述方法包括：对计算机系统进行完整性度量；可信计算芯片将度量值记录到平台状态寄存器中；判断所述的度量值与可信计算芯片中已记录的平台状态对应的初始度量值是否一致，是则允许执行，否则挂起计算机系统。在本发明专利技术中，计算机系统通过在主板上嵌入硬件芯片产生信任根，利用密码机制建立从底层组件到上层应用的信任链，计算散列值并把其加载到可信计算芯片的平台配置寄存器中，如果所述值与可信计算芯片中存储的不一致，则进行修复或挂起等操作，从根本上保证计算机系统的安全。

【技术实现步骤摘要】

本专利技术属于计算机安全领域，尤其涉及一种保护计算机系统安全的方法。
技术介绍
随着信息技术的发展，个人电脑(Personal Computer，PC)、笔记本电脑或网络服务器等计算机平台的使用及应用越来越广泛，由此，极大地丰富并方便了人们的生活，但与此同时，由于计算机系统架构存在的漏洞，计算机平台受到的威胁也越来越多，如电脑病毒和网上黑客都对个人电脑及网络服务器等计算机系统平台的安全构成了极大的威胁。现有的计算机体系结构不完善造成了信息安全存在诸多漏洞，由于运行行为的不可控制性，即从底层的基本输入输出系统(Basic Input Output System，BIOS)芯片快闪(Flash)可写，到硬盘主引导记录(Main Boot Record，MBR)可更改，到操作系统(Operation System，OS)下的应用软件或者进程可被攻击和破坏，造成计算机系统的瘫痪或者数据的泄漏，给金融、银行、税务、政府或军队等对安全要求比较高的重要特殊部分造成了很大的经济损失。所以，如何更好的建立一个安全可信的计算机体系是一个非常重要的问题。对于计算平台而言，所谓可信，就是指参与信息处理的部件保持其完整性，按预期方式运行。现有技术方案中，已实现的可信计算平台主要是可信PC，其主要特征是在主板上嵌有可信构建模块(Trusted Building Blocks，TBB)，这个TBB就是可信PC平台的信任根。它包括用于可信测量的根核(Core Root ofTrust for Measurement，CRTM)，可信平台模块(Trusted Platform Module，TPM)，以及它们同主板之间的连接。可信计算平台启动时，以一种受保护的方式进行，要求所有的执行代码和配置信息在其被使用或执行前要能被度量，由计算散列-->值把它加到TPM的状态寄存器中。该可信计算平台的原理是：在计算机启动及运行过程中，程序在运行前都要被度量，平台无法隐瞒自己的状态，恶意程序将无法在系统中隐藏的运行，但这种可信计算平台许可平台进入任何状态，因此，所述的当前这种技术方案无法从根本上保证计算机平台的安全。
技术实现思路
本专利技术实施例的目的在于提供一种保护计算机系统安全的方法，旨在解决现有可信计算机许可平台进入任何状态，而没有对完整性校验结果进行处理操作，无法从根本上保证计算机平台的安全的问题。本专利技术实施例是这样实现的，一种保护计算机系统安全的方法，所述方法包括下述步骤：对计算机系统进行完整性度量；可信计算芯片将度量值记录到平台状态寄存器中；判断所述的度量值与可信计算芯片中已记录的平台状态对应的初始度量值是否一致，是则允许执行，否则挂起计算机系统。在本专利技术实施例中，计算机系统通过在计算系统中集成专用模块作为信任根，利用密码机制建立从底层组件到上层应用的信任链，从计算机系统开机启动，到BIOS检测，到配置信息检测，到硬件平台，到操作系统加载，到操作系统下的应用操作及网络的接入进行完整性度量，计算散列值并把其加载到可信计算芯片的平台配置寄存器(Platform Configuration Register，PCR)中，如果所述PCR值与可信计算芯片中已存储平台初始PCR的值不一致，则进行修复或挂起等操作，从根本上保证计算机平台的安全。附图说明图1是本专利技术实施例提供的保护计算机系统安全的系统结构图；图2是本专利技术实施例提供的计算机系统可信任链传递构架图；-->图3是本专利技术实施例提供的保护计算机系统安全的方法实现流程图；图4是本专利技术实施例提供的计算机系统完整性度量流程图；图5是本专利技术实施例提供的计算机系统可信任根存储流程示意图；图6是本专利技术实施例提供的计算机系统完整性报告流程图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。在本专利技术实施例中，可信计算平台通过在计算系统中集成专用模块作为信任根，利用密码机制建立从底层组件到上层应用的信任链，从计算机系统开机启动，到BIOS，到配置信息检测，到硬件平台，到操作系统加载，到操作系统下的应用操作及网络的接入进行完整性度量，计算散列值并把其加载到可信计算芯片的PCR中，如果所述PCR的值与可信计算芯片中存储的不一致，则进行修复或挂起等操作，从根本上保证计算机平台的安全。图1示出了本专利技术实施例适用的保护计算机系统安全的系统结构，包括主板、硬盘及身份识别设备等，所述主板上还集成可信计算芯片(或TPM)及BIOS，所述BIOS还包括日志模块，所述硬盘包括硬盘管理系统、硬盘保护分区及操作系统模块。当计算机系统加电启动后，可信计算芯片对操作系统加载前的一系列开机自检过程进行完整性度量，即从BIOS，到配置信息，到硬件平台，到操作系统加载前的一系列过程进行完整性度量，如果度量结果不完整，则阻止计算机系统的继续运行，挂起计算机给出提示信息等操作；度量完整时才允许计算机系统继续执行下一步，对用户登录操作系统进行身份认证。首先由用户身份识别设备采集用户的身份信息，通过在计算机的底层BIOS下采用生物身份识别技术，在UEFI芯片内集成生物特征信息特征值提取算法，对用户的身份进行认-->证，如果身份认证不通过，则阻止操作系统的加载，挂起计算机给出提示信息等操作；如果身份认证通过，则由硬盘管理系统打开硬盘的操作系统模块，允许BIOS读取并执行这个分区记录，并对操作系统内核文件进行完整性度量，如果完整则加载操作系统，否则重新启动计算机系统，从备份恢复区自动覆盖被破坏的文件。在本专利技术实施例中，可信计算芯片是国家可信计算体系中的可信密码模块，它是以密码运算为核心的计算模块，是可信计算平台的核心安全控制和运算部件，独立于操作系统和BIOS，不使用计算机的内、外存资源，内部通过定义公开的安全密码算法(包括一个密码算法的集合)来实现与其他部件接口的标准化，并提供内部执行的安全操作中的密码运算。可信计算芯片主要负责可信任根的建立、硬盘与BIOS之间通讯指令的加密传输、用户密码和生物识别信息数据的密钥生成与存储以及解密等操作。这种加密和存储技术基于底层硬件、数据不易被获取和破解，安全性极高。作为本专利技术的一个实施例，所述的可信计算芯片还可以为TPM，TPM是集成于计算机主机系统最底层的一个安全可信的硬件平台，可以独立进行密钥生成、加解密的装置，内部拥有独立的处理器和存储单元，可存储密钥和特征数据，为计算机提供加密和安全认证服务，用TPM进行加密，密钥被存储在硬件(即TPM或是硬盘的安全保护分区)中，被窃的数据无法解密，从而使计算机平台可信并保护了数据安全。作为本专利技术的一个实施例，硬盘初始化(出厂)的时候，在硬盘中辟出一块空间，创建一个硬盘保护分区，用于存储用户重要数据信息，如加密密钥等。由于工艺的成熟，现在的硬盘容量已经足够大，相应地，保护分区的容量也可以做到充分大，而且，硬盘保护分区与硬盘其余空间绝对隔离，现有的硬盘分区工具、磁盘管理工具都不能访问这部分的空间，只能由底层BIOS通过特殊ATA指令才可以对它进行操作。因此，硬盘保护分区设置一定的访问权限后成为安全存储空间，能够安全地存储更多的用户重要数据信息本文档来自技高网...

【技术保护点】
一种保护计算机系统安全的方法，其特征在于，所述方法包括下述步骤：　对计算机系统进行完整性度量；　可信计算芯片将度量值记录到平台状态寄存器中；　判断所述的度量值与可信计算芯片中已记录的平台状态对应的初始度量值是否一致，是则允 许执行，否则挂起计算机系统。

【技术特征摘要】
1、一种保护计算机系统安全的方法，其特征在于，所述方法包括下述步骤：对计算机系统进行完整性度量；可信计算芯片将度量值记录到平台状态寄存器中；判断所述的度量值与可信计算芯片中已记录的平台状态对应的初始度量值是否一致，是则允许执行，否则挂起计算机系统。2、如权利要求1所述的方法，其特征在于，所述对计算机系统进行完整性度量步骤前包括完整性可信任根的产生步骤：通过在计算机系统中集成专用模块来实现构建一个信任根。3、如权利要求1所述的方法，其特征在于，所述对计算机系统进行完整性度量为：从计算机系统启动，到BIOS，到配置信息，到硬件平台，到操作系统，到应用程序及网络平台进行完整性度量。4、如权利要求1所述的方法，其特征在于，所述对计算机系统进行完整性度量进一步包括完整性可信任根的传递步骤：从信任根开始建立一条信任链，从计算机系统启动，到BIOS，到配置信息，到硬件平台，到操作系统，到应用程序及网络平台，一级认证一级，一级信任一级。5、如权利要求4所述的方法，其特征在于，所述完整性可信任根的传递步骤进一步包括：上级的可信建立在下一级可信基础之上，下一级部件代码完整并达到预期的运行结果后，下一级才把代码的执行权限交给该上一级部件，并按照计算机系统的流程执行...

【专利技术属性】
技术研发人员：贾兵，林诗达，石明，张拥军，姚文泽，宋靖，
申请(专利权)人：中国长城计算机深圳股份有限公司，
类型：发明
国别省市：94[中国|深圳]