可信度量方法及相关装置制造方法及图纸

本申请提供一种可信度量方法及相关装置。一种可信度量方法包括：获取计算设备中的第一被测对象的度量值，第一被测对象的度量值用于确定计算设备中基于固件实现的第一可信模块是否可信；第一可信模块用于存储计算设备中的第二被测对象的度量值；将第一被测对象的度量值发送至基于硬件实现的第二可信模块。本申请提供的技术方案能够提高计算设备的安全性。提供的技术方案能够提高计算设备的安全性。提供的技术方案能够提高计算设备的安全性。

【技术实现步骤摘要】
可信度量方法及相关装置


[0001]本申请涉及信息
，特别涉及一种可信度量方法及相关装置。

技术介绍

[0002]随着信息技术的飞速发展，计算设备的安全性的重要性日益提升。
[0003]计算设备的安全性可以通过对计算设备上运行的代码以及计算设备中存储的数据的完整性的度量结果确定。当计算设备上运行的代码是可信的代码，计算设备中存储的数据是可信的数据时，计算设备是可信的。计算设备上运行的代码可以从计算设备中存储的数据中读取并加载至计算设备中运行的。若计算设备中存储的数据或者计算设备中运行的代码被篡改，即计算设备上运行的代码和计算设备中存储的数据的完整性被破坏，则计算设备是不可信的。
[0004]目前，计算设备的安全性需要提升。

技术实现思路

[0005]本申请提供了一种可信度量方法及相关装置，用于提高计算设备的安全性。
[0006]第一方面，本申请提供一种可信度量方法。所述方法包括：获取计算设备中的第一被测对象的度量值，所述第一被测对象的度量值用于确定所述计算设备中基于固件实现的第一可信模块是否可信；所述第一可信模块用于存储所述计算设备中的第二被测对象的度量值；将所述第一被测对象的度量值发送至基于硬件实现的第二可信模块。
[0007]在采用上述方法时，通过将用于确定第一可信模块是否可信的第一被测对象的度量值发送给基于硬件实现的第二可信模块，第二可信模块可存储接收到的第一被测对象的度量值。由于基于硬件实现的第二可信模块中对内部数据的安全保护等级高于基于固件实现的第一可信模块的安全防护等级，其中利用第二可信模块存储的第一被测对象的度量值来确定第一可信模块是否可信将更为安全和准确。从而可以提升计算设备的安全性。
[0008]在一种可能的实现方式中，所述第一被测对象包括以下至少一种：所述第一可信模块或所述第一可信模块中的数据。
[0009]在一示例中，所述第一可信模块中的数据可以包括以下至少一种：所述第一可信模块自身的数据，所述第二被测对象的度量值等。
[0010]在一示例中，第一被测对象可以仅包括第一可信模块中存储的第二被测对象的度量值。
[0011]在一种可能的实现方式中，所述第二被测对象的度量值为采用扩展操作的方式存储于所述第一可信模块的第一寄存器中的；所述第一被测对象的度量值为采用扩展操作的方式存储于所述第二可信模块的第二寄存器中的。
[0012]在一种可能的实现方式中，所述第二可信模块还用于存储第三被测对象的度量值；所述第三被测对象为在所述第一可信模块启动前所述计算设备中的被测对象；所述第二被测对象为在所述第一可信模块启动后所述计算设备中的被测对象。
[0013]在一种可能的实现方式中，所述第一可信模块为基于所述计算设备上的可信操作系统运行的；所述第三被测对象，包括以下至少一项：BIOS代码，所述计算设备的引导加载程序和所述可信操作系统的启动代码。
[0014]在一种可能的实现方式中，所述第三被测对象的度量值为采用扩展操作的方式存储于所述第二可信模块的第三寄存器中的。
[0015]在一种可能的实现方式中，所述第一可信模块为基于固件的可信平台模块fTPM，所述第二被测对象的度量值存储于所述第一可信模块的平台配置寄存器PCR；和/或，所述第二可信模块为离散可信平台模块dTPM或集成可信平台模块，所述第一被测对象的度量值存储于所述第二可信模块的PCR。
[0016]在一种可能的实现方式中，所述第一被测对象包括所述第二被测对象的度量值；在所述获取计算设备中的第一被测对象的度量值之前，所述方法还包括：获取所述第二被测对象的度量值；其中，所述第二被测对象包括以下至少一种：所述计算设备中的APP、进程、程序、日志、数据库、文件、数据；将所述第二被测对象的度量值发送至所述第一可信模块。
[0017]在一种可能的实现方式中，在所述获取计算设备中的第一被测对象的度量值之前，包括：检测到所述第一被测对象发生变更。
[0018]在一种可能的实现方式中，在所述获取计算设备中的第一被测对象的度量值之前，包括：接收定期触发的状态监测指示。
[0019]在一种可能的实现方式中，所述获取计算设备中的第一被测对象的度量值，包括：获取至少两个第一被测对象对应的一个度量值。
[0020]第二方面，本申请提供一种可信度量装置。所述装置包括：获取模块，用于获取计算设备中的第一被测对象的度量值，所述第一被测对象的度量值用于确定所述计算设备中基于固件实现的第一可信模块是否可信；所述第一可信模块用于存储所述计算设备中的第二被测对象的度量值；发送模块，用于将所述第一被测对象的度量值发送至基于硬件实现的第二可信模块。
[0021]在一种可能的实现方式中，所述第一被测对象包括以下至少一种：所述第一可信模块或所述第一可信模块中的数据。
[0022]在一种可能的实现方式中，所述第二被测对象的度量值为采用扩展操作的方式存储于所述第一可信模块的第一寄存器中的；其中，扩展操作后所述第一寄存器中的数据为根据扩展操作前所述第一寄存器中的数据和所述第二被测对象的度量值生成的；所述第一被测对象的度量值为采用扩展操作的方式存储于所述第二可信模块的第二寄存器中的；其中，扩展操作后所述第二寄存器中的数据为根据扩展操作前所述第二寄存器中的数据和所第一被测对象的度量值生成的。
[0023]在一种可能的实现方式中，所述第一可信模块为基于固件的可信平台模块fTPM，所述第二被测对象的度量值存储于所述第一可信模块的平台配置寄存器PCR；和/或，所述第二可信模块为离散可信平台模块dTPM，或，集成可信平台模块iTPM，所述第一被测对象的度量值存储于所述第二可信模块的PCR。
[0024]在一种可能的实现方式中，所述获取模块，还用于在所述获取计算设备中的第一被测对象的度量值之前，获取所述第二被测对象的度量值；其中，所述第一被测对象包括所
述第二被测对象的度量值；所述第二被测对象包括以下至少一种：所述计算设备中的APP、进程、程序、日志、数据库、文件、数据；所述发送模块，还用于将所述第二被测对象的度量值发送至所述第一可信模块。
[0025]在一种可能的实现方式中，所述获取模块，还用于在检测到所述第一被测对象发生变更后，执行所述获取计算设备中的第一被测对象的度量值的步骤。
[0026]在一种可能的实现方式中，所述获取模块，还用于在接收定期触发的状态监测指示后，执行所述获取计算设备中的第一被测对象的度量值的步骤。
[0027]在一种可能的实现方式中，所述获取模块，具体用于获取至少两个第一被测对象对应的一个度量值。
[0028]第三方面，本申请提供一种计算设备，所述计算设备包括：基于所述计算设备的固件实现的第一可信模块，基于硬件实现的第二可信模块和第二方面任一所述的可信度量装置；其中，所述第一可信模块用于存储计算设备中的第二被测对象的度量值；所述第二可信模块用于存储所述第一被测对象的度量值。
[0029]在一种可能的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种可信度量方法，其特征在于，包括：获取计算设备中的第一被测对象的度量值，所述第一被测对象的度量值用于确定所述计算设备中基于固件实现的第一可信模块是否可信；所述第一可信模块用于存储所述计算设备中的第二被测对象的度量值；将所述第一被测对象的度量值发送至基于硬件实现的第二可信模块。2.根据权利要求1所述的方法，其特征在于，所述第一被测对象包括以下至少一种：所述第一可信模块或所述第一可信模块中的数据。3.根据权利要求1或2所述的方法，其特征在于，所述第二被测对象的度量值为采用扩展操作的方式存储于所述第一可信模块的第一寄存器中的；所述第一被测对象的度量值为采用扩展操作的方式存储于所述第二可信模块的第二寄存器中的。4.根据权利要求1-3任一所述的方法，其特征在于，所述第一可信模块为基于固件的可信平台模块fTPM，所述第二被测对象的度量值存储于所述第一可信模块的平台配置寄存器PCR；和/或，所述第二可信模块为离散可信平台模块dTPM或集成可信平台模块，所述第一被测对象的度量值存储于所述第二可信模块的PCR。5.根据权利要求1-4任一所述的方法，其特征在于，所述第一被测对象包括所述第二被测对象的度量值；在所述获取计算设备中的第一被测对象的度量值之前，所述方法还包括：获取所述第二被测对象的度量值；其中，所述第二被测对象包括以下至少一种：所述计算设备中的APP、进程、程序、日志、数据库、文件和数据；将所述第二被测对象的度量值发送至所述第一可信模块。6.根据权利要求1-5任一所述的方法，其特征在于，在所述获取计算设备中的第一被测对象的度量值之前，包括：检测到所述第一被测对象发生变更。7.根据权利要求1-6所述的方法，其特征在于，所述获取计算设备中的第一被测对象的度量值，包括：获取至少两个第一被测对象对应的一个度量值。8.一种可信度量装置，其特征在于，包括：获取模块，用于获取计算设备中的第一被测对象的度量值，所述第一被测对象的度量值用于确定所述计算设备中基于固件实现的第一可信模块是否可信；所述第一可信模块用于存储所述计算设备中的第二被测对象的度量值；发送模块，用于将所述第一被测对象的度量值发送至基于硬件实现的第二可信模块。9.根据权利要求8所述的装置，其特征在于，所述第一被测对象包括以下至少一种：所述第一可信模块或所述第一可信模块中的数据。10.根据权利要求8或9所述的装置，其特征在于，所述第二被测对象的度量值为采用扩展操作的方式存储...

【专利技术属性】
技术研发人员：何达，齐杰，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：