本發(fā)明涉及vpn設(shè)備的密碼算法領(lǐng)域，尤其涉及一種vpn設(shè)備安全啟動方法及系統(tǒng)。

背景技術(shù)：

隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)互聯(lián)已經(jīng)成為一種不可阻擋的潮流，但這種互聯(lián)方式極易受到各種攻擊，導(dǎo)致對內(nèi)部網(wǎng)絡(luò)的非法訪問和信息泄露。vpn英文全稱是virtualprivatenetwork，虛擬專用網(wǎng)絡(luò)，以公用開放的網(wǎng)絡(luò)(如internet)作為基本傳輸媒體，通過加密和驗證網(wǎng)絡(luò)流量來保護在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(privatenetwork)性能的網(wǎng)絡(luò)服務(wù)，但如果在啟動階段遭到惡意攻擊，私有網(wǎng)絡(luò)的訪問將受到嚴重威脅，為此，如何能夠安全可靠的vpn設(shè)備是當下丞待解決的技術(shù)問題。

技術(shù)實現(xiàn)要素：

為了克服上述現(xiàn)有技術(shù)中的不足，本發(fā)明提供一種vpn設(shè)備安全啟動方法，方法包括：

vpn設(shè)備上電，啟動bios固件；

可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結(jié)果與第一預(yù)設(shè)合法閾值進行比對；

當bios啟動代碼運算結(jié)果滿足第一預(yù)設(shè)合法閾值時，啟動vpn設(shè)備的操作系統(tǒng)；

可信密碼模塊對操作系統(tǒng)的啟動代碼進行哈希運算，將操作系統(tǒng)啟動代碼運算結(jié)果與第二預(yù)設(shè)合法閾值進行比對；

當操作系統(tǒng)啟動代碼運算結(jié)果滿足第二預(yù)設(shè)合法閾值時，vpn設(shè)備正常啟動。

優(yōu)選地，方法包括：

當操作系統(tǒng)啟動代碼運算結(jié)果滿足第二預(yù)設(shè)合法閾值時，之后還包括：

啟動vpn設(shè)備的應(yīng)用程序；

可信密碼模塊對應(yīng)用程序的啟動代碼進行哈希運算，將應(yīng)用程序啟動代碼運算結(jié)果與第三預(yù)設(shè)合法閾值進行比對；

當應(yīng)用程序啟動代碼運算結(jié)果滿足第三預(yù)設(shè)合法閾值時，vpn設(shè)備正常啟動。

優(yōu)選地，方法包括：

當bios啟動代碼運算結(jié)果不滿足第一預(yù)設(shè)合法閾值時，vpn設(shè)備停止啟動。

優(yōu)選地，方法包括：

當操作系統(tǒng)啟動代碼運算結(jié)果不滿足第二預(yù)設(shè)合法閾值時，vpn設(shè)備停止啟動。

優(yōu)選地，方法包括：

當應(yīng)用程序啟動代碼運算結(jié)果不滿足第三預(yù)設(shè)合法閾值時，vpn設(shè)備停止啟動。

優(yōu)選地，方法包括：

哈希運算采用md5，sha-1，sha-2，sha-256，sha-512，sha-3，ripemd一種或多種組合。

優(yōu)選地，可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結(jié)果與第一預(yù)設(shè)合法閾值進行比對的方法還包括：

可信密碼模塊為bios固件配置第一預(yù)設(shè)合法閾值的存儲器，將啟動過程中bios固件的啟動代碼儲存至存儲器，并將各個參數(shù)的合法閾值預(yù)存至存儲器內(nèi)；bios固件的啟動代碼包括：bios啟動代碼參數(shù)、bios引導(dǎo)參數(shù)、bios版本參數(shù)、bios主時鐘參數(shù)、vpn設(shè)備主板參數(shù)；

利用哈希運算，按照bios固件的啟動代碼的運行步驟進行運算，并對每個步驟運算后的運算結(jié)果與存儲器儲存的合法閾值進行比對；

如果當前步驟滿足合法閾值，則繼續(xù)對下一bios固件啟動參數(shù)進行加載，否則不對下一bios固件啟動參數(shù)進行加載，并結(jié)束vpn設(shè)備停止啟動。

優(yōu)選地，可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結(jié)果與第一預(yù)設(shè)合法閾值進行比對的方法還包括：

加載bios固件的啟動代碼，可信密碼模塊將bios啟動代碼參數(shù)轉(zhuǎn)換為bios啟動代碼參數(shù)哈希值，bios啟動代碼參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios引導(dǎo)參數(shù)，可信密碼模塊將bios引導(dǎo)參數(shù)轉(zhuǎn)換為bios引導(dǎo)參數(shù)哈希值，bios引導(dǎo)參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios版本參數(shù)，可信密碼模塊將bios版本參數(shù)轉(zhuǎn)換為bios版本參數(shù)哈希值，bios版本參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios主時鐘參數(shù)，可信密碼模塊將bios主時鐘參數(shù)轉(zhuǎn)換為bios主時鐘參數(shù)哈希值，bios主時鐘參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載vpn設(shè)備主板參數(shù)，可信密碼模塊將vpn設(shè)備主板參數(shù)轉(zhuǎn)換為vpn設(shè)備主板參數(shù)哈希值，vpn設(shè)備主板參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，bios固件的啟動完成；

上述參數(shù)如不滿足合法閾值，結(jié)束vpn設(shè)備停止啟動。

一種vpn設(shè)備安全啟動系統(tǒng)，包括：vpn設(shè)備啟動模塊，可信密碼模塊，啟動執(zhí)行模塊；

vpn設(shè)備啟動模塊用于使vpn設(shè)備上電，啟動bios固件；

可信密碼模塊用于對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結(jié)果與第一預(yù)設(shè)合法閾值進行比對；

當bios啟動代碼運算結(jié)果滿足第一預(yù)設(shè)合法閾值時，啟動執(zhí)行模塊啟動vpn設(shè)備的操作系統(tǒng)；

可信密碼模塊對操作系統(tǒng)的啟動代碼進行哈希運算，將操作系統(tǒng)啟動代碼運算結(jié)果與第二預(yù)設(shè)合法閾值進行比對；

當操作系統(tǒng)啟動代碼運算結(jié)果滿足第二預(yù)設(shè)合法閾值時，啟動執(zhí)行模塊使vpn設(shè)備正常啟動。

優(yōu)選地，可信密碼模塊包括：存儲器，參數(shù)轉(zhuǎn)換模塊，參數(shù)預(yù)設(shè)模塊；

存儲器用于儲存vpn設(shè)備啟動過程中bios固件的啟動代碼，操作系統(tǒng)的啟動代碼，應(yīng)用程序的啟動代碼，以及儲存第一預(yù)設(shè)合法閾值，第二預(yù)設(shè)合法閾值，第三預(yù)設(shè)合法閾值；

參數(shù)預(yù)設(shè)模塊用于根據(jù)bios固件的啟動代碼，操作系統(tǒng)的啟動代碼，應(yīng)用程序的啟動代碼分別對應(yīng)預(yù)設(shè)第一預(yù)設(shè)合法閾值，第二預(yù)設(shè)合法閾值，第三預(yù)設(shè)合法閾值，并將預(yù)設(shè)的第一預(yù)設(shè)合法閾值，第二預(yù)設(shè)合法閾值，第三預(yù)設(shè)合法閾值儲存至存儲器；

參數(shù)轉(zhuǎn)換模塊用于將bios固件的啟動代碼，操作系統(tǒng)的啟動代碼，應(yīng)用程序的啟動代碼分別對應(yīng)轉(zhuǎn)換為bios固件的啟動代碼哈希值，操作系統(tǒng)的啟動代碼哈希值，應(yīng)用程序的啟動代碼哈希值，并將轉(zhuǎn)換的bios固件的啟動代碼哈希值，操作系統(tǒng)的啟動代碼哈希值，應(yīng)用程序的啟動代碼哈希值儲存至存儲器；

可信密碼模塊還用于將vpn設(shè)備啟動過程中的bios固件的啟動代碼哈希值，操作系統(tǒng)的啟動代碼哈希值，應(yīng)用程序的啟動代碼哈希值分別對應(yīng)與預(yù)設(shè)的第一預(yù)設(shè)合法閾值，第二預(yù)設(shè)合法閾值，第三預(yù)設(shè)合法閾值進行比對。

從以上技術(shù)方案可以看出，本發(fā)明具有以下優(yōu)點：

vpn設(shè)備安全啟動方法通過可信密碼模塊對bios固件、操作系統(tǒng)與應(yīng)用程序進行參數(shù)比對，只有bios固件、操作系統(tǒng)與應(yīng)用程序都滿足合法閾值時，vpn才能正常啟動。保護vpn設(shè)備在啟動時避免遭受非法攻擊，保障私有網(wǎng)絡(luò)訪問的合法與可靠，保證信息安全。采用可信密碼模塊作為可信計算平臺，為密碼算法提供可靠安全的運算空間與存儲空間，使運算與存儲更加安全可靠；同時可信密碼模塊內(nèi)置的國密算法，使vpn設(shè)備啟動更加自主可控，安全可靠。

附圖說明

為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為vpn設(shè)備安全啟動方法流程圖；

圖2為vpn設(shè)備安全啟動方法實施例方法流程圖；

圖3為vpn設(shè)備安全啟動系統(tǒng)整體示意圖。

具體實施方式

為使得本發(fā)明的發(fā)明目的、特征、優(yōu)點能夠更加的明顯和易懂，下面將運用具體的實施例及附圖，對本發(fā)明保護的技術(shù)方案進行清楚、完整地描述，顯然，下面所描述的實施例僅僅是本發(fā)明一部分實施例，而非全部的實施例。基于本專利中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例，都屬于本專利保護的范圍。

本實施例提供一種vpn設(shè)備安全啟動方法，如圖1所示，方法包括：

s1：vpn設(shè)備上電，啟動bios固件；

s2：可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結(jié)果與第一預(yù)設(shè)合法閾值進行比對；

s3：當bios啟動代碼運算結(jié)果滿足第一預(yù)設(shè)合法閾值時，啟動vpn設(shè)備的操作系統(tǒng)；

當bios啟動代碼運算結(jié)果不滿足第一預(yù)設(shè)合法閾值時，vpn設(shè)備停止啟動。

s4：可信密碼模塊對操作系統(tǒng)的啟動代碼進行哈希運算，將操作系統(tǒng)啟動代碼運算結(jié)果與第二預(yù)設(shè)合法閾值進行比對；

s5：當操作系統(tǒng)啟動代碼運算結(jié)果滿足第二預(yù)設(shè)合法閾值時，vpn設(shè)備正常啟動。

當操作系統(tǒng)啟動代碼運算結(jié)果不滿足第二預(yù)設(shè)合法閾值時，vpn設(shè)備停止啟動。

這樣，采用可信密碼模塊，為vpn設(shè)備提供可信的計算平臺，并提供安全可用的密碼算法功能，能夠?qū)ios固件代碼，操作系統(tǒng)的啟動代碼做出可信度量，判斷啟動過程是否被惡意程序修改。

將可信密碼模塊與vpn設(shè)備相結(jié)合，通過可信密碼模塊所提供的哈希算法，對vpn設(shè)備做可信計算，將計算結(jié)果與真實值做校驗，從而保障啟動過程的安全性。將可信密碼模塊作為信任比對，對vpn設(shè)備bios固件到操作系統(tǒng)、應(yīng)用程序進行參數(shù)比對，保證每級代碼度量均處于合法狀態(tài)。

本發(fā)明還提供一種實施例具體包括：如圖2所示，

s11：vpn設(shè)備上電，啟動bios固件；

s12：可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結(jié)果與第一預(yù)設(shè)合法閾值進行比對；

s13：當bios啟動代碼運算結(jié)果滿足第一預(yù)設(shè)合法閾值時，啟動vpn設(shè)備的操作系統(tǒng)；

s14：可信密碼模塊對操作系統(tǒng)的啟動代碼進行哈希運算，將操作系統(tǒng)啟動代碼運算結(jié)果與第二預(yù)設(shè)合法閾值進行比對；

s15：當操作系統(tǒng)啟動代碼運算結(jié)果滿足第二預(yù)設(shè)合法閾值時，啟動vpn設(shè)備的應(yīng)用程序；

s16：可信密碼模塊對應(yīng)用程序的啟動代碼進行哈希運算，將應(yīng)用程序啟動代碼運算結(jié)果與第三預(yù)設(shè)合法閾值進行比對；

s17：當應(yīng)用程序啟動代碼運算結(jié)果滿足第三預(yù)設(shè)合法閾值時，vpn設(shè)備正常啟動。

當應(yīng)用程序啟動代碼運算結(jié)果不滿足第三預(yù)設(shè)合法閾值時，vpn設(shè)備停止啟動。

哈希運算采用md5，sha-1，sha-2，sha-256，sha-512，sha-3，ripemd一種或多種組合。

上述兩個實施例中，可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結(jié)果與第一預(yù)設(shè)合法閾值進行比對的方法還包括：

可信密碼模塊為bios固件配置第一預(yù)設(shè)合法閾值的存儲器，將啟動過程中bios固件的啟動代碼儲存至存儲器，并將各個參數(shù)的合法閾值預(yù)存至存儲器內(nèi)；bios固件的啟動代碼包括：bios啟動代碼參數(shù)、bios引導(dǎo)參數(shù)、bios版本參數(shù)、bios主時鐘參數(shù)、vpn設(shè)備主板參數(shù)；

利用哈希運算，按照bios固件的啟動代碼的運行步驟進行運算，并對每個步驟運算后的運算結(jié)果與存儲器儲存的合法閾值進行比對；

如果當前步驟滿足合法閾值，則繼續(xù)對下一bios固件啟動參數(shù)進行加載，否則不對下一bios固件啟動參數(shù)進行加載，并結(jié)束vpn設(shè)備停止啟動。

進一步的，可信密碼模塊對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結(jié)果與第一預(yù)設(shè)合法閾值進行比對的方法還包括：

加載bios固件的啟動代碼，可信密碼模塊將bios啟動代碼參數(shù)轉(zhuǎn)換為bios啟動代碼參數(shù)哈希值，bios啟動代碼參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios引導(dǎo)參數(shù)，可信密碼模塊將bios引導(dǎo)參數(shù)轉(zhuǎn)換為bios引導(dǎo)參數(shù)哈希值，bios引導(dǎo)參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios版本參數(shù)，可信密碼模塊將bios版本參數(shù)轉(zhuǎn)換為bios版本參數(shù)哈希值，bios版本參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載bios主時鐘參數(shù)，可信密碼模塊將bios主時鐘參數(shù)轉(zhuǎn)換為bios主時鐘參數(shù)哈希值，bios主時鐘參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，則加載vpn設(shè)備主板參數(shù)，可信密碼模塊將vpn設(shè)備主板參數(shù)轉(zhuǎn)換為vpn設(shè)備主板參數(shù)哈希值，vpn設(shè)備主板參數(shù)哈希值與存儲器中的合法閾值進行比對，如果滿足合法閾值，bios固件的啟動完成；上述參數(shù)如不滿足合法閾值，結(jié)束vpn設(shè)備停止啟動。

本發(fā)明還提供一種vpn設(shè)備安全啟動系統(tǒng)，如圖3所示，包括：vpn設(shè)備啟動模塊1，可信密碼模塊2，啟動執(zhí)行模塊3；

vpn設(shè)備啟動模塊1用于使vpn設(shè)備上電，啟動bios固件；

可信密碼模塊2用于對bios固件的啟動代碼進行哈希運算，將bios啟動代碼運算結(jié)果與第一預(yù)設(shè)合法閾值進行比對；當bios啟動代碼運算結(jié)果滿足第一預(yù)設(shè)合法閾值時，啟動執(zhí)行模塊3啟動vpn設(shè)備的操作系統(tǒng)；

可信密碼模塊2對操作系統(tǒng)的啟動代碼進行哈希運算，將操作系統(tǒng)啟動代碼運算結(jié)果與第二預(yù)設(shè)合法閾值進行比對；當操作系統(tǒng)啟動代碼運算結(jié)果滿足第二預(yù)設(shè)合法閾值時，啟動執(zhí)行模塊3使vpn設(shè)備正常啟動。

本實施例中，可信密碼模塊2包括：存儲器6，參數(shù)轉(zhuǎn)換模塊4，參數(shù)預(yù)設(shè)模塊5；

存儲器6用于儲存vpn設(shè)備啟動過程中bios固件的啟動代碼，操作系統(tǒng)的啟動代碼，應(yīng)用程序的啟動代碼，以及儲存第一預(yù)設(shè)合法閾值，第二預(yù)設(shè)合法閾值，第三預(yù)設(shè)合法閾值；

參數(shù)預(yù)設(shè)模塊5用于根據(jù)bios固件的啟動代碼，操作系統(tǒng)的啟動代碼，應(yīng)用程序的啟動代碼分別對應(yīng)預(yù)設(shè)第一預(yù)設(shè)合法閾值，第二預(yù)設(shè)合法閾值，第三預(yù)設(shè)合法閾值，并將預(yù)設(shè)的第一預(yù)設(shè)合法閾值，第二預(yù)設(shè)合法閾值，第三預(yù)設(shè)合法閾值儲存至存儲器；

參數(shù)轉(zhuǎn)換模塊4用于將bios固件的啟動代碼，操作系統(tǒng)的啟動代碼，應(yīng)用程序的啟動代碼分別對應(yīng)轉(zhuǎn)換為bios固件的啟動代碼哈希值，操作系統(tǒng)的啟動代碼哈希值，應(yīng)用程序的啟動代碼哈希值，并將轉(zhuǎn)換的bios固件的啟動代碼哈希值，操作系統(tǒng)的啟動代碼哈希值，應(yīng)用程序的啟動代碼哈希值儲存至存儲器；

可信密碼模塊還用于將vpn設(shè)備啟動過程中的bios固件的啟動代碼哈希值，操作系統(tǒng)的啟動代碼哈希值，應(yīng)用程序的啟動代碼哈希值分別對應(yīng)與預(yù)設(shè)的第一預(yù)設(shè)合法閾值，第二預(yù)設(shè)合法閾值，第三預(yù)設(shè)合法閾值進行比對。

對所公開的實施例的上述說明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下，在其它實施例中實現(xiàn)。因此，本發(fā)明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。