【技术实现步骤摘要】
一种基于UEFI的可信日志的实现方法
[0001]本专利技术涉及一种基于UEFI的可信日志的实现方法。
技术介绍
[0002]可信计算是一种通过校验平台完整性来确保安全的机制,通过可信链的传递来确保平台完整性;每次交验完一个实体后,向对应的平台配置寄存器(PCR)写入度量值,最终通过校验累计的PCR值来确定这个度量序列是否正确。但是这种方法无法无法满足如下要求:1.基于UEFI的BIOS,启动过程中运行的模块会经常发生变化从而导致每次启动的路径不一样。2.当一次启动序列发生问题,无法确定是哪一个模块度量不通过。3.用户无法直观的看到整个可信启动度量的过程。
技术实现思路
[0003]为了克服当前可信计算在UEFI上存在启动过程的模块度量难以准确展示的技术问题,本专利技术提供一种能够保证UEFI的灵活性的同时,也确保了安全并易于查阅的基于UEFI的可信日志的实现方法。
[0004]为了实现上述技术目的,本专利技术的技术方案是,
[0005]一种基于UEFI的可信日志的实现方法,包括以下步骤:
【技术保护点】
【技术特征摘要】
1.一种基于UEFI的可信日志的实现方法,其特征在于,包括以下步骤:当UEFI在启动过程中执行每个外部程序时,首先校验外部程序的完整性,然后进行度量以生成度量信息,并把度量信息添加到本次启动对应的可信日志中,从而更新UEFI可信日志数据库中的数据;所述的度量是指对非对称加密进行验签;其中UEFI可信日志数据库中的数据在UEFI的设置界面中设有展示界面,以向用户展示可信日志,展示内容包括设备整个生命周期的可信日志,每一次设备启动对应的可信日志均展示了启动过程中的所有度量结果。2.根据权利要求1所述的一种基于UEFI的可信日志的实现方法,其特征在于,所述的步骤一中,校验外部程序的完整性是通过TCM安全芯片的校验接口来执行的。3.根据权利要求1所述的一种基于UEFI的可信日志的实现方法,其特征在于,所述的步骤一中,所述的度量信息是通过UEFI可信日志代理模块的相关接口来添加到可信日志中的。4.根据权利要求3所述的一种基于UEFI的可信日志的实现方法,其特征在于,所述的UEFI可信日志代理模块用于提供把可信日志写入UEFI可信日志数据库的接口;其中接口包括:1)创建一个新的可信日志节点:每次启动后,UEFI会调用接口为本次启动创建一个日志节点,创建后的可信日志节点暂时只包含一个度量信息:TCM度量UEFI,即TCM对UEFI文件的签名进行验证;2)添加度量信息:每次发起一次新的度量后,通过接口添加这一次度量所产生的度量信息到本次的可信日志节点。5.根据权利要求4所述的一种基于UEFI的可信日志的实现方法,其特征在于,UEFI可信日志数据库是基于UEFIVariable区域进行存储,且可信日志在存储前先需要利用非对称加密算法进行签名。6.根据权利要求1所述的一种基于UEFI的可信日志的实现方...
【专利技术属性】
技术研发人员:朱秀军,王佳,黄辉伟,于博,
申请(专利权)人:长城信息股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。