[发明专利]一种利用OPROM机制的启动度量方法及装置

说明书

本发明公开了一种利用OPROM机制的启动度量方法及装置，方法包括：在可信计算平台上电后，防护子系统中的可信平台控制模块先于计算子系统中的CPU启动，防护子系统以可信平台控制模块为信任根，对计算子系统的BIOS固件程序进行度量，若BIOS固件程序的度量结果可信，则在BIOS固件程序执行过程中利用OPROM机制对计算子系统的OSLoader代码进行度量，若OSLoader代码的度量结果可信，则继续对计算子系统的操作系统和应用程序进行度量，直至计算子系统的信任链建立完成。本发明所提供的启动度量方法，利用OPROM机制，无需修改BIOS就可以实现对计算机设备的启动度量，该启动度量方法可适配所有计算机设备。

技术领域

本发明涉及计算机安全技术领域，具体涉及一种利用OPROM机制的启动度量方法及装置。

背景技术

为了保证计算机安全启动运行，通常需要对计算机启动过程进行可信度量，即在加载执行下一阶段的启动对象之前，需要对下一阶段的启动对象进行度量，例如BIOS需要对下一阶段的OS进行度量。

现有技术中通常采用修改计算机的BIOS固件程序，使计算机具有Secure Boot功能，利用该Secure Boot功能实现对计算机启动过程中的操作系统进行安全验证。但是，这种启动度量方式并未对BIOS进行安全验证，且对操作系统只进行一次整体度量。此外，该启动度量方式需要对BIOS固件程序进行修改才能实现，对于已经出厂但并未修改BIOS固件程序的计算机设备则无法进行启动度量，无法做到对所有计算机设备进行启动度量适配。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种利用OPROM机制的启动度量方法，无需修改BIOS就可以实现对计算机设备进行启动度量，该启动度量方法可适配所有计算机设备。

为实现上述目的，本发明采用的技术方案如下：

一种利用OPROM机制的启动度量方法，应用于可信计算平台，所述可信计算平台包括：并行的计算子系统和防护子系统，所述计算子系统用于完成计算任务，所述防护子系统用于通过可信平台控制模块，根据可信策略对所述计算子系统进行主动度量和主动控制；所述计算子系统与所述防护子系统之间具有安全隔离机制，通过专用访问通道进行交互；

所述启动度量方法包括：

S1、在所述可信计算平台上电后，所述防护子系统中的所述可信平台控制模块先于所述计算子系统中的CPU启动，所述防护子系统以所述可信平台控制模块为信任根，对所述计算子系统的BIOS固件程序进行度量；

S2、若所述BIOS固件程序的度量结果可信，则在所述BIOS固件程序执行过程中利用OPROM机制对所述计算子系统的OSLoader代码进行度量；

S3、若所述OSLoader代码的度量结果可信，则继续对所述计算子系统的操作系统和应用程序进行度量，直至所述计算子系统的信任链建立完成。

进一步，如上所述的一种利用OPROM机制的启动度量方法，所述步骤S2包括：

若所述BIOS固件程序的度量结果可信，则启动CPU，加载并执行所述BIOS固件程序，当所述BIOS固件程序的执行阶段到达寻址各个外设的阶段时，若所述BIOS固件程序中的OPROM程序开关状态为开，则所述BIOS固件程序暂停执行，跳转执行所述OPROM程序，所述OPROM程序用于加载所述可信计算平台的硬盘中的OSLoader代码及其相关信息，并对所述OSLoader代码进行度量。

进一步，如上所述的一种利用OPROM机制的启动度量方法，当所述BIOS固件程序的执行阶段到达寻址各个外设的阶段时，若所述BIOS固件程序中的OPROM程序开关状态为关，则所述BIOS固件程序加载所述计算子系统的操作系统，所述可信平台控制模块根据所述操作系统所在分区的类型将对应的OPROM程序写入所述可信平台控制模块的ROM。