專利名稱:一種保護(hù)計算機系統(tǒng)安全的方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機安全領(lǐng)域����,尤其涉及一種保護(hù)計算機系統(tǒng)安全的方法。
背景技術(shù):
隨著信息技術(shù)的發(fā)展����,個人電腦(Personal Computer, PC)����、筆記本電腦 或網(wǎng)絡(luò)服務(wù)器等計算機平臺的使用及應(yīng)用越來越廣泛����,由此,極大地豐富并方 便了人們的生活���,但與此同時�,由于計算機系統(tǒng)架構(gòu)存在的漏洞���,計算機平臺 受到的威脅也越來越多���,如電腦病毒和網(wǎng)上黑客都對個人電腦及網(wǎng)絡(luò)服務(wù)器等 計算機系統(tǒng)平臺的安全構(gòu)成了極大的威脅。
現(xiàn)有的計算機體系結(jié)構(gòu)不完善造成了信息安全存在諸多漏洞�����,由于運行行 為的不可控制性�����,即從底層的基本輸入輸出系統(tǒng)(Basic Input Output System, BIOS)芯片快閃(Flash)可寫,到硬盤主引導(dǎo)記錄(Main Boot Record, MBR) 可更改�,到操作系統(tǒng)(Operation System, OS )下的應(yīng)用軟件或者進(jìn)程可被攻擊
和破壞,造成計算機系統(tǒng)的癱瘓或者數(shù)據(jù)的泄漏��,給金融�����、銀行��、稅務(wù)�����、政府 或軍隊等對安全要求比較高的重要特殊部分造成了很大的經(jīng)濟損失���。所以,如
何更好的建立一個安全可信的計算機體系是一個非常重要的問題�����。
對于計算平臺而言����,所謂可信�,就是指參與信息處理的部件保持其完整性���, 按預(yù)期方式運行?���,F(xiàn)有4支術(shù)方案中����,已實現(xiàn)的可信計算平臺主要是可信PC,其 主要特征是在主板上嵌有可信構(gòu)建模塊(Trusted Building Blocks, TBB ),這 個TBB就是可信PC平臺的信任根����。它包括用于可信測量的根核(Core Root of Trust for Measurement, CRTM),可信平臺模塊(Trusted Platform Module, TPM)���, 以及它們同主板之間的連接��?�?尚庞嬎闫脚_啟動時��,以一種受保護(hù)的方式進(jìn)行�����, 要求所有的執(zhí)行代碼和配置信息在其被使用或執(zhí)行前要能被度量���,由計算散列值把它加到TPM的狀態(tài)寄存器中�。該可信計算平臺的原理是在計算機啟動及 運行過程中���,程序在運行前都要被度量,平臺無法隱瞞自己的狀態(tài)�,惡意程序 將無法在系統(tǒng)中隱藏的運行,但這種可信計算平臺許可平臺進(jìn)入任何狀態(tài)����,因 此,所述的當(dāng)前這種i術(shù)方案無法從根本上保證計算機平臺的安^�。
發(fā)明內(nèi)容
本發(fā)明實施例的目的在于'提供一種保護(hù)計算機系統(tǒng)安全的方法,旨在^決 現(xiàn)有可信計算機許可平臺進(jìn)入任何狀態(tài)����,而沒有對完整性校驗結(jié)果進(jìn)行處理操 作,無法從根本上保證計算機平臺的安全的問題�����。
本發(fā)明實施例是這樣實現(xiàn)的, 一種保護(hù)計算機系統(tǒng)安全的方法��,所述方法 包括下述步驟 .
對計算機系統(tǒng)進(jìn)行完整性度量�;
可信計算芯片將度量值記錄到平臺狀態(tài)寄存器中;
判斷所述的度量值與可信計算芯片中已記錄的平臺狀態(tài)對應(yīng)的初始度量值 是否一致�����,是則允許4丸行�����,否則掛起計算機系統(tǒng)�。
在本發(fā)明實施例中,計算機系統(tǒng)通過在計算系統(tǒng)中集成專用模塊作為信任 根���,利用密碼機制建立從底層組件到上層應(yīng)用的信任鏈���,從計算機系統(tǒng)開機啟 動,到BIOS檢測�����,到配置信息檢測��,到硬件平臺,到操作系統(tǒng)加載����,到操作 系統(tǒng)下的應(yīng)用操作及網(wǎng)絡(luò)的接入進(jìn)行完整性度量,計算散列值并把其加載到可 信計算芯片的平臺配置寄存器(Platform Configuration Register, PCR)中��,如 果所述PCR值與可信計算芯片中已存儲平臺初始PCR的值不一致���,則進(jìn)行修 復(fù)或掛起等操作��,從根本上保證計算機平臺的安全��。
圖1是本發(fā)明實施例提供的保護(hù)計算機系統(tǒng)安全的系統(tǒng)結(jié)構(gòu)圖; 圖2是本發(fā)明實施例提供的計算機系統(tǒng)可信任鏈傳遞構(gòu)架圖��;圖3是本發(fā)明實施例提供的保護(hù)計算機系統(tǒng)安全的方法實現(xiàn)流程圖����; 圖4是本發(fā)明實施例提供釣計算機系統(tǒng)完整性度量流程圖; 圖5是本發(fā)明實施例提供的計算機系統(tǒng)可信任根存儲流程示意圖�; 圖6是本發(fā)明實施例提供一計算機系統(tǒng)完整性報告流程圖。
具體實施例方式
為了使本發(fā)明的目的�、技術(shù)方案^!優(yōu)點更加清楚明白,以下結(jié)合附圖及實 施例���,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明����。應(yīng)當(dāng)理解,此處所描述的具體實施例僅 僅用以解釋本發(fā)明��,并不用于限定本發(fā)明���。
在本發(fā)明實施例中�,可信計算平臺通過在計算系統(tǒng)中集成專用模塊作為信 任根����,利用密碼機制建立從底層組件到上層應(yīng)用的信任鏈,從計算機系統(tǒng)開機 啟動�,到BIOS,到配置信息^f企測�����,到硬件平臺���,到操作系統(tǒng)加載�����,到操作系統(tǒng) 下的應(yīng)用操作及網(wǎng)絡(luò)的接入進(jìn)行完整性度量�,計算散列值并把其加載到可信計 算芯片的PCR中,如果所述PCR的值與可信計算芯片中存儲的不一致���,則進(jìn) 行修復(fù)或掛起等操作��,從根本上保證計算機平臺的安全���。
圖1示出了本發(fā)明實施例適用的保護(hù)計算機系統(tǒng)安全的系統(tǒng)結(jié)構(gòu),包括主 板���、硬盤及身份識別設(shè)備等�,所述主板上還集成可信計算芯片(或TPM)及 BIOS,所述BIOS還包括日志模塊��,所述硬盤包括硬盤管理系統(tǒng)�、硬盤保護(hù)分 區(qū)及操作系統(tǒng)模塊�����。
當(dāng)計算機系統(tǒng)加電啟動后���,可信計算芯片對操作系統(tǒng)加載前的一系列開機 自檢過程進(jìn)行完整性度量�����,即從BIOS,到配置信息�,到硬件平臺,到操作系統(tǒng) 加載前的一系列ii程進(jìn)行完整性度量�,如果度量結(jié)果不完整,則阻止計算機系 統(tǒng)的繼續(xù)運行���,掛起計算機給出提示信息等操作�����;度量完整時才允許計算機系 統(tǒng)繼續(xù)執(zhí)行下一步���,對用戶登錄操作系統(tǒng)進(jìn)行身份認(rèn)證。首先由用戶身份識別 設(shè)備采集用戶的身份信息��,通過在計算機的底層BIOS下采用生物身份識別技 術(shù)��,在UEFI芯片內(nèi)集成生物特征信息特征值提取算法����,對用戶的身份進(jìn)行認(rèn)證,如果身份認(rèn)證不通過,則阻止操作系統(tǒng)的加載���,掛起計算機給出提示信息
等操作���;如果身份認(rèn)證通過,則由硬盤管理系統(tǒng)打開硬盤的操作系統(tǒng)模塊���,允 許BIOS讀取并執(zhí)行這個分區(qū)記錄�,并對操作系統(tǒng)內(nèi)核文件進(jìn)行完整性度量�, 如果完整則加載操作系統(tǒng),否則重新啟"計算機系統(tǒng)����,從備份恢復(fù)區(qū)自動覆蓋 4皮石皮壞的文件。
在本發(fā)明實施例中�,可信計算芯片是國家可信計算體系中的可信密碼模塊,
它i以密碼運算為核心的計算模塊���,是可信計甘平臺的核心安全控制和運算部
件���,獨立于操作系統(tǒng)和BIOS��,不使用計算機的內(nèi)��、外存資源,內(nèi)部通過定義公 開的安全密碼算法(包括一個密碼算法的集合)來實現(xiàn)與其他部件接口的標(biāo)準(zhǔn) 化�,并提供內(nèi)部執(zhí)行的安全操作中的密碼運算?���?尚庞嬎阈酒饕?fù)責(zé)可信任 根的建立、硬盤與BIOS之間通訊指令的加密傳輸���、用戶密碼和生物識別信息 數(shù)據(jù)的密鑰生成與存儲以及解密等操作���。這種加密和存儲技術(shù)基于底層硬件、 數(shù)據(jù)不易被獲取和破解��,安全性極高��。
作為本發(fā)明的一個實施例���,所述的可信計算芯片還可以為TPM����, TPM是 集成于計算機主機系統(tǒng)最底層的一個安全可信的硬件平臺��,可以獨立進(jìn)行密鑰 生成、加解密的裝置����,內(nèi)部擁有獨立的處理器和存儲單元,可存儲密鑰和特征 數(shù)據(jù)��,為計算機提供加密和安全認(rèn)證服務(wù)����,用TPM進(jìn)行加密,密鑰被存儲在硬 件(即TPM或是硬盤的安全保護(hù)分區(qū))中����,被竊的數(shù)據(jù)無法解密,從而使計算 機平臺可信并保護(hù)了數(shù)據(jù)安全����。
作為本發(fā)明的一個實施例,硬盤初始化(出廠)的時候��,在硬盤中辟出一 塊空間�,創(chuàng)建一個硬盤保護(hù)分區(qū),用于存儲用戶重要數(shù)據(jù)信息���,如加密密鑰等����。 由于工藝的成熟���,現(xiàn)在的硬盤容量已經(jīng)足夠大��,相應(yīng)地���,保護(hù)分區(qū)的容量也可 以做到充分大,而且�,硬盤保護(hù)分區(qū)與硬盤其余空間絕對隔離,現(xiàn)有的硬盤分 區(qū)工具���、磁盤管理工具都不能訪問這部分的空間����,只能由底層BIOS通過特殊 ATA指令才可以對它進(jìn)行操作��。因此���,硬盤保護(hù)分區(qū)設(shè)置一定的訪問權(quán)限后成 為安全存儲空間��,能夠安全地存儲更多的用戶重要數(shù)據(jù)信息�����。在本發(fā)明實施例中����,計算機的硬盤上內(nèi)嵌一個硬盤管理系統(tǒng),該硬盤管理
系統(tǒng)可以視為一個微機系統(tǒng)��,其CPU���、內(nèi)存可以在UEFI架構(gòu)下不依賴于安全 計算機主板上的CPU��、內(nèi)存而進(jìn)行獨立運算����。硬盤微嵌入管理系統(tǒng)負(fù)責(zé)建立硬 盤用戶分區(qū)����,隔離各個硬盤用戶分區(qū)中的數(shù)據(jù),'并對各個硬盤用戶分區(qū)中的數(shù) 據(jù)或硬盤保護(hù)分區(qū)的用戶重要數(shù)據(jù)加密���。通過上述一系列方法�����,硬盤微嵌入管 理系統(tǒng)實現(xiàn)了對硬盤保護(hù)分區(qū)訪問權(quán)限的控制�,防止非法用戶訪問該部分存儲 空間。
作為本發(fā)明的一個實施例���,所述的BIOS為傳統(tǒng)BIOS或統(tǒng)一可擴展固件接 口 ( Unified Extensible Firmware Interface, UEFI) BIOS。 UEFI是一種開放的(即
為操作系統(tǒng)以及啟動前的運行狀態(tài)提供一個標(biāo)準(zhǔn)環(huán)境���,系統(tǒng)地規(guī)定了計算機系
統(tǒng)的控制權(quán)如何^v啟動前的環(huán)境傳遞給操作系統(tǒng)����。遵守該M^范而進(jìn)行開發(fā)的
BIOS即稱為UEFI BIOS,它是一種高安全的BIOS,支持安全啟動�、驅(qū)動簽名 和散列(Hash)技術(shù)。
作為本發(fā)明的一個實施例����,所述的日志模塊主要用于存儲所述可信計算芯 片或TPM對計算機系統(tǒng)進(jìn)行完整性度量時的事件曰志。
作為本發(fā)明的一個實施例�����,身份識別設(shè)備主要用于對用戶的身份信息進(jìn)行 認(rèn)證���,包括生物身份識別等����。所述身份識別設(shè)備為集成于計算機主機系統(tǒng)中的 一個硬件模塊或是USB外接硬件模塊。
可信計算平臺通過在計算系統(tǒng)中集成專用模塊作為信任根�,即在計算機主 板上嵌入硬件芯片產(chǎn)生可信任4艮,利用密碼機制建立A人底層組件到上層應(yīng)用的 信任鏈����,構(gòu)建可信賴的計算環(huán)境?����?尚庞嬎闫脚_使計算系統(tǒng)被本地或遠(yuǎn)程實體 所信任�����,為解決計算系統(tǒng)面臨的各種安全問題提供一種更加有效的方法�。可信 計算機體系完整性度量的基本思想就是構(gòu)建一個信任根���,并從信任根開始建 立一條信任鏈�,BIOS�����、硬件平臺、到操作系統(tǒng)�、再到應(yīng)用程序和網(wǎng)絡(luò), 一級認(rèn) 證一級����, 一級信任一級,從而把這種信任擴展到整個計算機系統(tǒng)��,確保計算機系統(tǒng)可信�����。
圖2示出了本發(fā)明實施例適用的保護(hù)計算機系統(tǒng)和數(shù)據(jù)安全的可信任鏈傳
遞架構(gòu)���,詳述如下
位于可信計算芯片中的完整性度量的可信存儲根以及'可信報告根一起作為
信任鏈的起始點,對BIOS以及信任鏈上的一級度量可信任根進(jìn)行完整性度量�, 度量通過并把控制權(quán)交給一級度量可信任根; 一級度量可信任根獲取執(zhí)行權(quán)之 后繼續(xù)對可信計算機'體系的平臺部件進(jìn)行完整性度量�����,并對下一k二級度量可 信任根進(jìn)行度量��,然后把執(zhí)行權(quán)力交給二級度量根��;二級度量根在進(jìn)入操作系 統(tǒng)啟動階段之前對操作系統(tǒng)內(nèi)核完整性進(jìn)行度量�,并對下一級三級度量可信任 根進(jìn)行度量,然后轉(zhuǎn)交控制權(quán)給三級度量可信任根���。如此類推��, 一級信任一級 完成可信任鏈的傳遞����。
作為本發(fā)明的一個實施例��,首先從BIOS的完整性度量到平臺完整性的度 量����,再到操作系統(tǒng)內(nèi)核的完整性的度量,最后到操作系統(tǒng)啟動加載的模塊完整 性的度量�, 一級信任一級,上級的可信建立在下一級可信的基礎(chǔ)上�����,通過下一 級部件代碼的完整性度量并達(dá)到預(yù)期的運行結(jié)果后����,下一級才把代碼的執(zhí)行權(quán) 限交給該上一級部件���,并按照可信計算機體系的流程執(zhí)行,最終通過可信計算 芯片建立從硬件到固件���、到操作系統(tǒng)���、到軟件、再到網(wǎng)絡(luò)的信任鏈結(jié)構(gòu)����。
作為本發(fā)明的一個實施例,所述的信任鏈?zhǔn)侵缚尚庞嬎闫脚_啟動時����,以一 種受保護(hù)的方式進(jìn)行����,要求所有的執(zhí)行代碼和配置信息在其被使用或執(zhí)行前要 能被度量,即計算散列值并把它加載到可信計算芯片的PCR中����。
作為本發(fā)明的一個實施例,可信計算平臺包含三個信任根,測量根����、存儲 根和報告根。測量根是在計算機系統(tǒng)平臺加電啟動時����,被信任為能夠可靠地測
量軟件執(zhí)行狀態(tài)并將結(jié)果存儲于報告根的組件;報告根是被信任為可靠地報告 關(guān)于平臺完整性信息的組件�;存儲根是被信任為可靠地存儲關(guān)于平臺完整性信 息的組件?����?尚庞嬎闫脚_通過在計算系統(tǒng)中集成專用模塊作為信任根��,利用密 碼機制建立從底層組件到上層應(yīng)用的信任鏈�����,構(gòu)建可信賴的計算環(huán)境���。所述的
9信任根是絕對可信的���,其可信性主要通過管理措施和信任根硬件的物理防篡改特性予以保證。 ' '
圖3示出了本發(fā)明實施例提供的保護(hù)計算機系統(tǒng)安全的方法實現(xiàn)流程,詳
述如下
在步驟S301中���,對計算機系統(tǒng)進(jìn)行完整性度量���。
在本發(fā)明實施例中,完整性度量是指任何想要獲得平臺控制權(quán)的實體�����,在獲得控制權(quán)之前都要被度量��。'將要度量部件(包括BIOS和可信存儲設(shè)備')的代碼或者關(guān)鍵:信息通過某種方式(如通過定義的一個安全通訊協(xié)議)傳送給可信計算芯片����,通過可信計算芯片內(nèi)部的Hash運算執(zhí)行部件對數(shù)據(jù)進(jìn)行運算,所述的運算在可信計算芯片內(nèi)部進(jìn)行����,從而確保了運算過程的安全���。然后將計算結(jié)果傳遞給驗證方�����。所述的驗證方即為計算機系統(tǒng)在加電啟動后運行過程中需要進(jìn)行完整性度量的一方�,即從硬件平臺、到BIOS�����、操作系統(tǒng)���、再到應(yīng)用程序和網(wǎng)絡(luò)等��。
在步驟S302中���,可信計算芯片將度量值記錄到平臺狀態(tài)寄存器中;
作為本發(fā)明的 一個實施例�,所述經(jīng)可信計算芯片運算后的計算結(jié)果就是經(jīng)過雜湊運算計算的度量值,可信計算芯片把該事件記錄到系統(tǒng)的事件日志中�����,即BIOS中的日志才莫塊中�,并把度量值記錄到相應(yīng)的PCR中,包括度量者的信息���、被度量者的信息����、原有的和新產(chǎn)生的PCR值、度量值以及度量完成的時間等信息����。完整性度量根的可信存儲和可信報告由可信計算芯片實現(xiàn)。
在步驟S303中�����,判斷所述的度量值與可信計算芯片中已記錄的平臺狀態(tài)對應(yīng)的初始度量值是否一致��,是則執(zhí)行步驟S305,否則執(zhí)行步驟S304��。
在步驟S304中�����,掛起計算機系統(tǒng)���。
在該步驟中�,該過程是根據(jù)計算機系統(tǒng)廠商給出判斷的標(biāo)準(zhǔn)�,而做出相應(yīng)的處理。如進(jìn)行代碼的恢復(fù)��、重新啟動計算機系統(tǒng)或只設(shè)置為警報�����,掛起計算機�,提醒用戶操作。
作為本發(fā)明的一個實施例����,該處理過程通過BIOS來完成,所述的BIOS為傳統(tǒng)BIOS��,或者是UEFIBIOS���。
在步驟S305中��,允許計算機系統(tǒng)執(zhí)行下一步操作��。
圖4示出了本發(fā)明實施例提供的計算機系統(tǒng)完整性度量流程����,詳述如下
在步驟S401中�����,當(dāng)計算機開機(即按下電源開關(guān))后,電源就開始向主板和其它設(shè)備供電���,可信計算芯片同步初始化����。
在步驟S402中�����,讀閃存(Flash ROM) , BIOS初始化�,并運行服務(wù)等代碼校驗。 '
在步驟S403中���,判斷代碼是否完整�,如果是則執(zhí)行步驟S404�,否則執(zhí)行步驟S405。 '
在步驟S404中��,進(jìn)行代碼修復(fù)���。
在步驟S405中�����,主機BIOS開機��。
作為本發(fā)明的一個實施例�����,所述的BIOS為傳統(tǒng)BIOS或UEFI BIOS��。在步驟S406中��,檢測內(nèi)存���,低腳位數(shù)(Low Pin Count, LPC )初始化完畢。
在步驟S407中����,調(diào)用可信計算芯片BIOS驅(qū)動程序。
在步驟S408中����,BIOS通^目應(yīng)驅(qū)動調(diào)用可信計算芯片資源,按常規(guī)方法實時度量當(dāng)前要執(zhí)行初始化的代碼二級可信任度量根��。
在步驟S409中��,判斷代碼是否完整,如果是則執(zhí)行步驟S410,否則執(zhí)行步驟S404��,進(jìn)行修復(fù)�����。
在步驟S410中����,重復(fù)以上迭代,完成各個部件的代碼完整性度量與初始化�。
至此,第一階段完整性度量完畢�。作為本發(fā)明的一個實施例,在本階段中�����,.主要是對計算機平臺底層設(shè)備進(jìn)行完整性度量�。此過程完畢后,進(jìn)入第二階段��。
在步驟S411中��,對硬件的配置信息進(jìn)行;險測。
在步驟S412中���,判斷硬件配置是否完整���,如果是則執(zhí)行步驟S414,否則執(zhí)行步驟S413。
在步驟S413中���,掛起報警,等待用戶操作���。
ii在步驟S414中��,4企測顯卡ROM�。
在步驟S415中����,判斷顯示卡代碼是否完整,是則執(zhí)行步驟S415,否則執(zhí)行S416���。
在步驟S416中�����,對顯示卡代碼進(jìn)行修復(fù)���。修復(fù)完成繼續(xù)執(zhí)行步驟S415,判斷顯示卡代碼是否完整�。
在步驟S417中����,判斷用戶身份信息,獲取設(shè)備代碼檢測是否完整�����。在步驟S418中�,對用戶擴展的其它設(shè)備Bl6s初始化代碼進(jìn)行完整性檢測。在步驟S419中�����,4企測硬盤(存儲設(shè)備)和BIOS進(jìn)4亍雙向認(rèn)證的BIOS部分接口程序完整性��。
作為本發(fā)明的一個實施例���,所述纟企測硬盤和BIOS進(jìn)行雙向認(rèn)證即為在計算機平臺的UEFI中寫入存儲設(shè)備的特征值����,并將所述存儲設(shè)備的特征值保存在存儲設(shè)備中,并在存儲設(shè)備中寫入計算機平臺UEFI的特征值�����,并將所述UEFI的特征值保存在UEFI中���。計算機平臺與存儲設(shè)備相互認(rèn)證方法為將計算機平臺的UEFI中的UEFI特征值與存儲設(shè)備中的UEFI特征值進(jìn)行對比�����;若相同����,則UEFI認(rèn)證存儲設(shè)備通過�;將計算機平臺的UEFI中的存儲設(shè)備特征值與存儲設(shè)備中的存儲設(shè)備特征值進(jìn)行對比;若相同�����,則存儲設(shè)備認(rèn)證UEFI通過���。
在步驟S420中�,判斷所述代碼是否完整,是則執(zhí)行步驟S422����,否則執(zhí)行步驟S421。
在步驟S421中���,掛起警報�,等待用戶操作����。在步驟S422中,進(jìn)行認(rèn)證操作�����。
作為本發(fā)明的一個實施例��,所述的認(rèn)證操作為生物身份識別�����,計算機的底層UEFI下采用生物身份識別技術(shù)�,在UEFI芯片內(nèi)集成生物特征信息特征值提取算法����,進(jìn)一步提高了計算機系統(tǒng)的安全性�。
在步驟S423中,判斷認(rèn)證是否通過�,如果沒有通過則執(zhí)行步驟S421,掛起警報���。如果通過則第二階段完整性;險測結(jié)束
作為本發(fā)明的一個實施例�����,在本階段中��,主要對計算機的硬件配置進(jìn)及用戶的身份信息�、認(rèn)證行完整性檢測���。該階段完成后,進(jìn)入第三階段完整性檢測�����。
'在步驟S424中�,BIOS調(diào)用IPL中斷位�����。在步驟S425中����,判斷IPL中斷位代碼是否完整�����,是則執(zhí)行步驟S427����,否則執(zhí)行步驟S426。
在步驟S426中���,重新啟動計算機�����。在步驟S427中�����,加載三級度量可信任根����。
在步驟'S428中,判斷三級可信任根是否完整��,如果完整則執(zhí)行步驟S430,否則執(zhí)行步驟S429�。
在步驟S429中,進(jìn)行自動修復(fù)操作��,并執(zhí)行步驟S426重新啟動計算機����。
在步驟S430中,加載并逐個岸企查操作系統(tǒng)核心文件����。
在步驟S431中,判斷其核心文件代碼是否完整���,如果完整則第三階段完整性4企測完畢��。否則執(zhí)行步驟S432。
在步驟S432中�,重新啟動計算機,并從備份恢復(fù)區(qū)自動覆蓋文件�����。
作為本發(fā)明的一個實施例,第三階段完整性檢測完成后����,計算機加載啟動完成,進(jìn)入操作系統(tǒng)����。
圖5示出了本發(fā)明實施例提供的安全可信計算機體系可信任根存儲流程,詳述如下
可信存儲的安全包括兩個層面�����, 一種是基于芯片的物理保護(hù)實現(xiàn)可信的存儲���;另一種是基于密碼算法的邏輯保護(hù)����。
在本發(fā)明實施例中���,可信計算芯片具有可以唯一標(biāo)識其硬件身份的密鑰以及存儲根密鑰(Storage Root Key ����, SRK),實現(xiàn)可信計算體系的可信傳遞�����、可信應(yīng)用��,采用了最為安全的物理隔離保護(hù)這些敏感信息�。將密鑰永久的存儲在可信計算芯片內(nèi)部,不會泄露于模塊之外�����。由于可信計算芯片成本的限制�,所以其內(nèi)部空間只能存儲有限的數(shù)據(jù),與平臺綁定的用戶密鑰和其它敏感數(shù)據(jù)��,需要存儲在芯片外的平臺上(如可信存儲設(shè)備的保護(hù)分區(qū)中)�����,利用密碼技術(shù)進(jìn)行保護(hù)��,防止受到外界惡意代碼的攻擊����,所有的密鑰和每丈感信息組織成樹的
13結(jié)構(gòu),將對多密鑰的管理轉(zhuǎn)化為對于一個密鑰的管理��。密鑰樹的根部為SRK,
SRK存儲在可信計算芯片中��,不會受到攻擊���,從而保證整棵樹的安全���。同時, 所有相關(guān)的加解密操作全部都在可信計算芯片內(nèi)部完成����,避免密鑰的明文信息 在可信計算;4片外部出現(xiàn)。
SRK是一對非對稱密鑰��,公鑰用于保護(hù)加密下一級存儲密鑰���,私鑰存儲在 可信計算芯片內(nèi)�,由可信計算芯片保護(hù)����。SRK對下一級存儲密鑰的加解密運算 都在可信計算芯片內(nèi)'進(jìn)行,攻擊者無法獲取存儲才艮密鑰因此無法'石皮解由存儲根 密鑰所保護(hù)的下一級存儲密鑰,同樣也無法破解由存儲密鑰保護(hù)的下一級存儲 密鑰���,密鑰就是通過這樣一個密鑰樹被保護(hù)起來�����,從而數(shù)據(jù)無法破解����,實現(xiàn)了 可信計算機體系可信存儲的數(shù)據(jù)安全����。
作為本發(fā)明的一個實施例,所述的可信計算芯片還可以為TPM���。 圖6示出了本發(fā)明實施例提供的安全可信計算機體系完整性報告流程�����,詳 述如下
在步驟S601中���,驗證方發(fā)出驗證請求。
在該步驟中��,所述的驗證方即為計算機系統(tǒng)在加電啟動后運行過程中需要 進(jìn)行完整性度量的一方,即M^更件平臺����、到BIOS、操作系統(tǒng)����、再到應(yīng)用程序和 網(wǎng)絡(luò)等�。
在步驟S602中,調(diào)用可信計算芯片內(nèi)的可信報告根����。 在步驟S603中,查看平臺配置信息���,顯示平臺狀態(tài)�����。 在該步驟中��,可信計算芯片查看平臺配置信息�����,即所要進(jìn)行度量的一方的 信息����,并如實的報告所述平臺的配置信息狀態(tài)。
在步驟S604中�,模塊密鑰對PCR進(jìn)行數(shù)字簽名。
作為本發(fā)明的一個實施例�����,所述的模塊密鑰即為可信計算芯片所存儲的密 鑰���,利用所述的密鑰對度量平臺狀態(tài)所產(chǎn)生的PCR進(jìn)行數(shù)字簽名����。 在步驟S605中�����,把簽名信息傳給認(rèn)證終端����。
作為本發(fā)明的一個實施例,所述的^人證終端為本地認(rèn)證終端或遠(yuǎn)程認(rèn)證終端�。所述的本地認(rèn)證終端即為對計算機系統(tǒng)啟動���,到BIOS,到配置信息����,到硬 件平臺,到操作系統(tǒng)�����,及應(yīng)用程序進(jìn)行認(rèn)證��,所述的遠(yuǎn)程認(rèn)證終端即為對遠(yuǎn)程 網(wǎng)絡(luò)接入進(jìn)行認(rèn)證���。
在步驟S606中,驗證者根據(jù)平臺配置信息和模塊完整時的簽名進(jìn)行比較�, 判斷終端是否可信。是則執(zhí)行步驟S607,否則執(zhí)行步驟S608����。 在步驟S607中,驗證通過����,移交控制權(quán)并允許執(zhí)行��。 在步驟S608中��,PCR不一致�,進(jìn)行恢復(fù)或者掛起���,等待用戶的操作���。 作為本發(fā)明的一個實施例,完整性度量的報告機制由可信計算芯片實現(xiàn)��, 通過可信計算芯片報告計算機系統(tǒng)的配置信息����。首先在可信計算芯片內(nèi)部存儲 PCR,信息標(biāo)識此時平臺的各種狀態(tài)���。平臺認(rèn)證功能就是基于PCR信息實現(xiàn)的����, 使用模塊密鑰對PCR進(jìn)行數(shù)字簽名���,然后傳給遠(yuǎn)程認(rèn)證終端�;遠(yuǎn)程驗證者根據(jù) 平臺配置信息,確定接入終端是否可信�。數(shù)字簽名的作用主要是確定平臺配置 信息的所有者,以確保平臺的安全訪問�。
在本發(fā)明實施例中,利用可信計算芯片��,從信息在計算機內(nèi)加工處理的流 動路徑源頭開始���,即固件級BIOS運行監(jiān)控�����,并融合當(dāng)前的密碼技術(shù)以及完整 性檢測技術(shù),借助信任證書的可靠傳遞機制實現(xiàn)了從軟件邏輯安全到系統(tǒng)物理 安全的轉(zhuǎn)化�,保證了輸入計算機的信息能在平臺中按照預(yù)期的行為執(zhí)行。實現(xiàn) 了從系統(tǒng)開機啟動�,CPU上電復(fù)位,BIOS自檢�����,進(jìn)行平臺身份認(rèn)證和強制身 份認(rèn)證�,執(zhí)行引導(dǎo)記錄和操作系統(tǒng)加載前的安全檢查、操作系統(tǒng)下的應(yīng)用操作 有效和平臺網(wǎng)絡(luò)的可信接入��。
以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明�,凡在本發(fā) 明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等��,均應(yīng)包含在本發(fā)明 的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1����、一種保護(hù)計算機系統(tǒng)安全的方法,其特征在于���,所述方法包括下述步驟對計算機系統(tǒng)進(jìn)行完整性度量����;可信計算芯片將度量值記錄到平臺狀態(tài)寄存器中�����;判斷所述的度量值與可信計算芯片中已記錄的平臺狀態(tài)對應(yīng)的初始度量值是否一致��,是則允許執(zhí)行��,否則掛起計算機系統(tǒng)。
2��、 如權(quán)利要求l所述的方法�,其特征在于,所述對計算機系統(tǒng)進(jìn)行完整性 度量步驟前包括完整性可信任根的產(chǎn)生步驟通過在計算機系統(tǒng)中集成專用模 塊來實現(xiàn)構(gòu)建一個信任才艮�����。
3���、 如權(quán)利要求l所述的方法�,其特征在于��,所述對計算機系統(tǒng)進(jìn)行完整性 度量為從計算機系統(tǒng)啟動�,到BIOS,到配置信息��,到硬件平臺�,到操作系統(tǒng)�, 到應(yīng)用程序及網(wǎng)絡(luò)平臺進(jìn)行完整性度量。
4���、 如權(quán)利要求l所述的方法����,其特征在于,所述對計算機系統(tǒng)進(jìn)行完整性 度量進(jìn)一步包括完整性可信任根的傳遞步驟從信任根開始建立一條信任鏈����, 從計算機系統(tǒng)啟動,到BIOS���,到配置信息����,到硬件平臺�,到操作系統(tǒng),到應(yīng)用 程序及網(wǎng)絡(luò)平臺��, 一級i^證一級�, 一級信任一級。
5�����、 如權(quán)利要求4所述的方法����,其特征在于,所述完整性可信任根的傳遞步 驟進(jìn)一步包括上級的可信建立在下一級可信^^之上,下一級部件代碼完整 并達(dá)到預(yù)期的運行結(jié)果后���,下一級才把代碼的執(zhí)行權(quán)限交給該上一級部件�,并 按照計算機系統(tǒng)的流程執(zhí)行�����。
6���、 如權(quán)利要求l所述的方法��,其特征在于���,所述對計算機系統(tǒng)進(jìn)行完整性 度量進(jìn)一步包括完整性可信任根的存儲步驟上層密鑰保護(hù)下層密鑰,最終的存儲根密鑰保存在可信計算芯片內(nèi)�����。
7�����、 如權(quán)利要求6所述的方法�,其特征在于,所述存儲根密鑰包括公鑰和私 鑰����,公鑰用戶保護(hù)加密下一級存儲密鑰,私鑰存儲在可信計算芯片內(nèi)���。
8���、 如權(quán)利要求6所述的方法,其特征在于��,所述存儲根密鑰對下一級存儲密鑰的加解密運算都在可信計算芯片內(nèi)部進(jìn)行�����。
9����、如權(quán)利要求1所述的方法,其特征在于,所述對計算機系統(tǒng)進(jìn)行完整性度量進(jìn)一步包括完整性可信任根的報告步驟通過可信計算芯片報告計算機系統(tǒng)的'配置信息����。
10、 如權(quán)利要求9所述的方法���,其特征在于�����,所述可信計算芯片報告計算 機系統(tǒng)的配置信息進(jìn)一步包括在可信會算芯片內(nèi)部存儲平臺配置寄存器���,標(biāo)識此日+平臺的各種狀態(tài)��; 使用可信計算芯片的簽名機制對平臺配置信息進(jìn)行數(shù)字簽名����,然后傳給認(rèn) 證終端���;認(rèn)證終端根據(jù)平臺配置寄存器的信息�����,確定接入端是否可信���。
11、 如權(quán)利要求IO所述的方法���,其特征在于��,所述認(rèn)證終端包括本地認(rèn)證 終端及遠(yuǎn)程iUi終端�����。
12�����、 如權(quán)利要求1所述的方法���,其特征在于,所述掛起計算機系統(tǒng)步驟進(jìn) 一步包括等待用戶操作����、對計算機系統(tǒng)進(jìn)行代碼修復(fù)或重新啟動計算機系統(tǒng)。
全文摘要
本發(fā)明適用于計算機安全領(lǐng)域���,提供了一種保護(hù)計算機系統(tǒng)安全的方法��,所述方法包括對計算機系統(tǒng)進(jìn)行完整性度量����;可信計算芯片將度量值記錄到平臺狀態(tài)寄存器中�;判斷所述的度量值與可信計算芯片中已記錄的平臺狀態(tài)對應(yīng)的初始度量值是否一致�����,是則允許執(zhí)行��,否則掛起計算機系統(tǒng)����。在本發(fā)明中�,計算機系統(tǒng)通過在主板上嵌入硬件芯片產(chǎn)生信任根,利用密碼機制建立從底層組件到上層應(yīng)用的信任鏈�����,計算散列值并把其加載到可信計算芯片的平臺配置寄存器中�,如果所述值與可信計算芯片中存儲的不一致,則進(jìn)行修復(fù)或掛起等操作���,從根本上保證計算機系統(tǒng)的安全��。
文檔編號G06F21/00GK101458743SQ20071012489
公開日2009年6月17日 申請日期2007年12月12日 優(yōu)先權(quán)日2007年12月12日
發(fā)明者姚文澤, 靖 宋, 張擁軍, 林詩達(dá), 明 石, 兵 賈 申請人:中國長城計算機深圳股份有限公司