[发明专利]一种安全控制方法

权利要求书

1.一种安全控制方法，其特征在于，包括：

步骤1：在启动系统之前，先令TPCM模块上电，对系统的相关硬件进行主动安全度量；

所述TPCM模块独立于待启动的计算机操作系统设置，以保证当所述待启动的计算机操作系统出现异常情况时不会影响到所述主动安全度量过程，所述TPCM是所述待启动的计算机操作系统的唯一可信根，是计算机系统中可信计算信任链的源点；

所述主动安全度量的内容包括对BIOS进行主动安全度量；

若待启动的为服务器端的计算机操作系统，则还需对BMC的固件进行主动安全度量；

所述主动安全度量的内容为对相关硬件的固件进行完整性度量，完整性度量采用CRC、HASH和/或SM2的校验算法；

步骤2：利用所述TPCM模块对虚拟机监视器进行主动安全度量；

步骤21：启动虚拟机监视器，所述虚拟机监视器启动内置于虚拟机监视器中的用于与所述TPCM通信的物理驱动；

步骤22：所述物理驱动调用所述TPCM对虚拟机监视器的代码进行可信度量，在可信度量通过后，虚拟机监视器启动其包括的所有模块，并将信任链传递至操作系统；

所述物理驱动调用所述TPCM对虚拟机监视器的代码进行可信度量包括下述子步骤：

步骤221：通过所述物理驱动将虚拟机监视器的代码或者关键信息传送至所述TPCM；

步骤222：所述TPCM对所述代码或者关键信息进行解密，并与预设值进行比对；

解密过程采用哈希算法，将计算得到的哈希值与所述TPCM中预先保存到额哈希值进行比对，若相同则判定所述虚拟机监视器的可信度量通过，否则判定所述虚拟机监视器的可信度量未通过；

步骤3：调用所述TPCM对待启动的计算机操作系统进行安全度量；

具体的，所述操作系统中内置有负责与所述TPCM进行通信的驱动程序；

具体的，若度量通过，则将信任链传递至运行在所述操作系统之上的应用程序中；

步骤4：调用所述TPCM对运行在所述操作系统之上的应用程序进行安全度量；

具体的，若度量通过，则计算机系统的完整信任链建立完成，计算机操作系统进入正常工作状态，否则进入步骤5；

步骤4和步骤5之间，包括：

步骤41：在系统运行时，可信软件基TSB识别操作系统中访问数据的用户、程序以及系统环境状态；

所述识别操作系统中访问数据的用户包括通过所述TSB调用权限控制模块， 从而获取用户的身份信息，所述身份信息包括用户ID；

所述识别操作系统中的程序以及系统环境状态，包括通过所述TSB调用动态度量模块，由所述动态度量模块对所述操作系统运行阶段的系统环境和进程状态信息进行主动安全度量；

步骤42：所述TSB将收集到的所述访问数据的用户、程序以及系统环境状态信息下发给所述TPCM；

所述信息通过GPIO、SPI或者I2C总线进行下发；

具体的，调用所述TPCM中的安全控制策略对所述信息的安全性进行度量，若度量不通过，则证明当前系统运行环境中存在潜在的不安全因素，因而将所述信息存储至所述TPCM的存储空间中；

步骤5：在系统运行时，可信软件基TSB识别操作系统中访问数据的用户、程序以及系统环境状态；

步骤6：所述TSB将收集到的所述访问数据的用户、程序以及系统环境状态信息下发给所述TPCM；

根据上述步骤1-4中任一步骤中可信度量不通过的原因输出对应的处理策略信息，并保存于所述TPCM中；

具体的，判断被度量的代码是否被篡改，如果不是，则继续执行计算机启动流程，启动计算机系统；如果是，进一步判断被度量的代码是否被非法篡改，如果是非法篡改，则进入修复流程，修复流程会把非法篡改的代码重新修复，然后重新启动计算机并重新对计算机系统进行度量；如果是合法篡改，则不需要进行修复，重新载入标准度量值。