【技术实现步骤摘要】
一种基于可信根的安全启动方法、装置、设备及可读介质
[0001]本专利技术涉及可信计算
,尤其涉及一种基于可信根的安全启动方法、装置、设备及可读介质。
技术介绍
[0002]在计算和通信系统中,终端设备常见的是服务器、存储器,只能从芯片、主板等固件、底层软件综合采取安全措施,才能有效地提升其安全性。可信计算技术为了解决此问题而被广泛研究,其基本思想是首先在系统中基于硬件安全模块构建一个信任根,信任根的可信性由物理安全、技术安全和管理安全共同确保;再建立一条信任链,从信任根开始到软硬件平台、到操作系统、再到应用,一级度量认证一级、一级信任一级,把这种信任扩展到整个计算机系统,从而确保整个计算机系统的可信启动。对嵌入式终端、存储设备、服务器的硬件、固件软件、虚拟化软件、操作系统软件及应用软件的完整性和合法性保护是在启动前进行度量,防止篡改的攻击或异常。
[0003]当前比较流行的方案是采用数字签名技术在版本发布时对固件进行签名。电子设备厂商生成一对公私钥对,用私钥对原始固件包进行签名后发布镜像包。由一段可信的存储区...
【技术保护点】
【技术特征摘要】
1.一种基于可信根的安全启动方法,其特征在于,包括以下步骤:通过环签名算法对所有镜像包进行签名,并将公钥摘要作为可信根,以生成发布镜像文件;响应于服务器启动,检查所述发布镜像文件中的可信根是否与芯片内存储的一致,以验证所述可信根的完整性;响应于所述发布镜像文件中的可信根与芯片内存储的一致,则进一步基于所述环签名算法和所述可信根对所述发布镜像文件进行验证;以及响应于基于所述环签名算法和所述可信根对所述发布镜像文件的验证通过,则对所述发布镜像文件进行安全启动流程。2.根据权利要求1所述的基于可信根的安全启动方法,其特征在于,还包括:响应于基于所述环签名算法和所述可信根对所述发布镜像文件的验证不通过,则禁止对所述发布镜像文件进行安全启动流程,并发送启动失败告警。3.根据权利要求1所述的基于可信根的安全启动方法,其特征在于,通过环签名算法对所有镜像包进行签名包括:从多个公私钥对中选取预设数值个公私钥对,并基于所述多个公私钥对生成一个签名环;选取所述多个公私钥对中的一个私钥,并基于所述私钥和所述签名环对镜像文件进行签名。4.根据权利要求1所述的基于可信根的安全启动方法,其特征在于,通过环签名算法对所有镜像包进行签名包括:基于单向哈希算法对镜像包中镜像文件和参数进行摘要值计算,并基于非对称加密算法对所述镜像包中摘要值进行私钥签名。5.根据权利要求1所述的基于可信根的安全启动方法,其特征在于,还包括:建立用于运行验证应用程序的可信平台的启动序列;基于所述启动序列向启动过程的每个阶段添加签名校验。6.根据权利要...
【专利技术属性】
技术研发人员:王瑾,麻付强,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。