CN101038556A

CN101038556A - 可信引导方法及其系统

Info

Publication number: CN101038556A
Application number: CN 200710098956
Authority: CN
Inventors: 冯登国; 徐震; 张立武; 秦宇; 汪丹
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2007-04-30
Filing date: 2007-04-30
Publication date: 2007-09-19
Anticipated expiration: 2027-04-30
Also published as: CN101038556B

Abstract

本发明提供了一种利用可信平台模块完善系统引导过程的方法及其系统，将启动操作系统内核的引导过程分为几个相对独立的层，以可信平台模块(TPM)为信任根，下层度量验证上层完整性，传递系统的运行控制权，层层迭代，直至控制权传予操作系统内核，构建一条完善的信任链，同时完整性验证失败时给出相应的恢复方案，在进入操作系统之前将引导日志记录在文件系统中，为操作系统所用。本发明综合考虑了完整性验证、验证失败恢复以及启动日志与操作系统交互等情况，形成一个完整的引导体系，由此引导进入的操作系统，可被认为其最初环境是安全可信的，同时该操作系统还可以利用引导过程的日志文件向其他平台证明自身启动环境的安全性。

Description

可信引导方法及其系统

技术领域

本发明主要涉及可信计算领域内的系统引导，更确切地是涉及一种利用安全芯片即可信平台模块完善系统引导过程的方法，以及一种可信引导系统。

背景技术

随着计算机使用的普及，计算机之间通信越来越频繁，计算机安全受到了越来越多的关注。而要保证计算机系统的安全，仅仅从系统本身的角度出发来考虑是远远不够的。在计算机系统中，启动过程是系统一切行为的基础。启动过程不但加载操作系统、负责初始化计算机系统的物理设备及操作系统本身状态，还启动系统维持正常运行所必要的可信进程及相关的服务程序。由于启动过程任何错误和疏漏都可能使操作系统进入不可预测的危险状态。所以如果计算机上电到系统完全启动的这个过程都是不可信不安全的，那么在这基础上谈论系统安全是毫无意义的。

最近提出的可信计算概念，在可信计算组织、Microsoft、Intel等研究机构的不断努力推动下，其发展极为迅速，成为学术界和工业界的热点。可信计算主要就是利用一个可信平台模块(TPM)，也就是嵌入在主板上的一个独立芯片，来参与计算机的计算过程并提高计算的安全性。可信计算组织TCG的成立就是为了规范基于硬件的可信计算以及安全技术方面的标准，该组织开发了一系列可信计算技术方面的技术规范，解决了系统可信根的问题，提出了可信传递的概念，阐述了系统从加电开始应该如何展开安全度量，并将系统运行控制权转移到操作系统直至应用程序的基本原则和过程。

如何保证引导系统的过程是可信的，以及如何应用可信引导过程来为计算机安全服务，是我们讨论计算机安全的最基本问题。结合可信计算的基本框架，实现利用TPM芯片验证整个引导过程的完整性，以确保引导系统的过程是可信的。而在引导过程的完整性验证失败时，采取怎样的挽救措施，以及引导过程的完整性验证与系统安全之间发生如何的交互，都是可信引导应该考虑的范畴。

AEGIS系统是基于一嵌入式的安全模块，将系统引导分为多个层次，在引导过程的每一层之间转移的时候都进行完整性验证，转移间完整性验证失败时涉及到了一个恢复过程。波鸿大学的Trusted Grub和IBM的TCG Grub都是利用系统的TPM芯片，遵循了TCG规范，但只提供了简单的引导过程的度量。其中，波鸿大学的Trusted Grub项目介绍及其实现成果可参考 http：//www.prosec.rub.de/trusted grub details.html；IBM的TCGGrub项目介绍可参考 http：//trousers.sourceforge.net/grub.html，同时ReinerSailer，Xiaolan Zhang，Trent Jaeger和Leendert Van Doorn发表在Proceedings of the13^th USENIX Security Symposium，2004上的名为“Design and Implementation of aTCG-based Integrity Measurement Architecture”的研究报告对其度量过程进行了阐述。目前还没有一种完善的引导系统的可信的方法。

发明内容

针对上述问题，本发明的一个目的在于提供一种可信引导方法，即将启动操作系统内核的引导过程分为几个相对独立的层，以可信平台模块(TPM)为信任根，下层度量验证上层完整性，传递系统的运行控制权，层层迭代，直至控制权传予操作系统内核，构建一条完善的信任链，同时完整性验证失败时给出了相应的恢复方案保证引导过程的顺利执行。此外，引导过程中的度量操作等以日志文件的形式记录下来，可以被操作系统所用实施进一步的安全操作。

本发明的另一个目的在于提供一种相应的安全启动操作系统的完善的引导系统。该引导系统囊括了完全进入系统内核之前的所有引导过程，主要是对传统的系统引导管理器的一种安全上的改进。计算机上电启动之后，就会运行该引导系统，引导系统的正确执行保证安全地启动操作系统内核(kernel)，即保证启动的操作系统内核是安全可信的。

本发明的可信引导方法，其步骤包括：

1)计算机上电启动后，可信平台模块对BIOS代码进行度量，将度量值存储在可信平台模块的平台配置寄存器(PCR)中，BIOS拥有系统的运行控制权；

2)BIOS借助可信平台模块对系统引导管理器的代码进行度量，并与预存的相应的标准度量值进行比较验证，验证正确后将度量值扩展存入平台配置寄存器中，同时BIOS将运行控制权转交给系统引导管理器，否则将存储在安全设备上的引导程序备份文件中相应的地址信息拷贝过来覆盖失败组件的内存空间，重新进行度量并验证；

3)系统引导管理器借助可信平台模块对系统中关键文件进行度量，并与预存的相应的标准度量值进行比较验证，验证正确后将度量值扩展存入平台配置寄存器中，否则将存储在安全设备上的引导程序备份文件中相应的地址信息拷贝过来覆盖失败组件的内存空间，重新进行度量并验证；

4)系统引导管理器借助可信平台模块对操作系统内核文件进行度量，并与预存的相应的标准度量值进行比较验证，验证正确后将度量值扩展存入平台配置寄存器中，否则由系统引导管理器通过网络启动一安全操作系统，对所述操作系统进行恢复；

5)系统引导管理器在文件系统中记录下整个引导度量日志，同时将运行控制权转交给操作系统。

上述步骤3)中系统管理器并不转移文件运行控制权，关键文件不属于度量层中的一层，只是一个补充，做为安全启动系统的一个保障。

在步骤3)中系统引导管理器借助可信平台模块对系统关键文件度量验证后，还可以扩展相关命令，对用户选定的文件或代码进行度量，以及查询平台配置存储器的状态。

当计算机系统包括不同的操作系统时，上述步骤4)分别对不同的系统内核文件进行度量验证，并将度量值分别扩展存入平台配置寄存器中。

在引导过程中，每进行一次度量，扩展一次平台配置寄存器，均通过日志的形式记录在可信平台模块中。上述步骤5)是在引导启动过程中且在进入操作系统之前将引导日志记录在文件系统中，为操作系统所用。可通过扩展命令对系统日志进行查询。

本发明的方法在计算机上电开启后，将整个引导过程由下往上分为四个层次，即TPM、BIOS、系统引导管理器和操作系统内核。下层在将运行控制权转交给上层前，必须先对上层进行度量，这样层层递归下来，最终构建成信任链，达到最后安全启动系统内核的目的。当度量验证失败，也就是完整性值不正确的时候，可以从信任源处恢复失败的组件，确保启动进入的操作系统是安全可信的。在度量过程中每步度量结果都会有日志记录保存，并且其结果会传递给操作系统，为操作系统进行其他安全操作提供可以验证的基础。该方法中涉及的操作内容主要有三个部分，即度量、恢复和启动日志。

在度量操作部分中，本发明主要利用了计算机上的可信平台模块TPM的功能。在一部分代码中实现对另一部分代码的度量，实际上就是在这一部分代码中利用可信平台模块的安全引擎对另一部分代码进行hash操作，得到的hash值也就是本发明所需要的完整性值。只要该完整性值是正确的，则认为系统运行到目前这个阶段是安全可信的，是没有被篡改的。系统每往前运行一步，对代码计算得到的hash值都会进行相应的存储，其存储位置就是可信平台模块中的平台配置寄存器PCR。TCG规范已经定义好了可信平台模块中各个PCR与度量代码的对应关系，只需要将其度量值与相应PCR中的值扩展成一新值存入该PCR中即可。同时，在对PCR进行扩展的时候，其相应有关扩展的事件日志也会有记录。

根据本发明的可信引导方法，度量操作涵盖的主要度量步骤如下：

1)TPM度量BIOS：

主机平台在默认情况下都会存在一个度量信任根，该度量信任根被认为是绝对可信的，是平台系统在整个度量过程中的信任源。通常情况下，以可信平台模块作为系统的度量信任根。计算机上电启动后，可信平台模块对BIOS代码进行度量验证，并将其度量值扩展存入PCR中。BIOS获取系统的运行控制权，并以此开始建立信任链。TPM被认为是度量层中的第一层，BIOS被认为是度量层中的第二层。

2)BIOS度量系统引导管理器：

系统引导管理器作为操作系统的加载器，BIOS首先对其进行度量验证，验证完整性值正确后将完整性值扩展存入PCR中，同时将系统的运行控制权传予系统引导管理器，由系统引导管理器来完成最终的启动操作系统的工作。系统引导管理器被认为是度量层中的第三层。

3)系统引导管理器度量关键文件：

考虑到一些关键文件对系统的安全起着重要的作用，虽然这些文件不作为单独的度量层，本发明仍在系统管理器加载度量操作系统内核之前设计增加了一个验证文件的环节。本发明设计了一个配置文件，里面涵盖了这些关键文件的路径，系统在引导过程中通过访问该配置文件，获知需要度量的文件的存储位置，然后对这些文件进行度量。对文件的度量计算与上述度量计算是一样的，也是利用可信平台模块的安全引擎计算整个文件的hash值，并将其hash值存入可信平台模块的PCR中。用户可以对这个配置文件进行随意的增删操作，也就是可以随时根据需要根据具体情况配置哪些文件需要被度量，来更好的保护系统的安全。

本发明还可以设计增加扩展的命令，在度量关键文件这一步完成之后，可以直接运行这些命令。例如：增加了度量命令，通过这个命令，可以任意选择文件或是代码对其进行度量；还可以提供对PCR以及日志等查看的命令，通过该命令可以随时掌握PCR状态。由此，用户可以在进入操作系统之前，可以随意执行命令来查看相关状态，了解当前引导环境是否可信安全。

4)系统引导管理器度量操作系统内核文件：

引导过程的最后一步，就是要进入操作系统内核。系统引导管理器对操作系统内核文件进行度量，度量完成之后将度量值扩展存入PCR中，同时将系统的运行控制权转交给操作系统。操作系统内核被认为是度量层中的第四层。至此，操作系统的引导工作已经全部完成，真正进入了操作系统。

在这度量过程的最后一步度量中，考虑到一个机器上可以存在多个操作系统的可能性，而目前用户常用的操作系统是linux和windows，所以本发明根据进入操作系统的不同可以分别对linux和windows系统内核文件进行度量，以保证无论用户进入该可信机器上的哪个操作系统都是一个可信安全的系统环境。这样也就避免了只有单一操作系统的局限性，可以灵活的选择操作系统。

通过完成上述引导过程中的四个度量步骤，最终建立了完整的信任链。只要保证信任链的完整性也就保证了系统的完整性。经过层层度量的信任链，其表述可以通过下面的递归形式来描述：

I₁＝True，

I_i+1＝I_iΛV_i(L_i+1) for 1≤i＜3

I_i+1＝I₂ΛV₂(L_i+1) for i＝3

I_i是一个布尔型的值，表示第i步度量的完整性，Λ表示布尔型的与操作，V_i是进行第i步度量的验证函数。I₁就是度量信任根的完整性，即BIOS的完整性，默认为真。V_i将其要进行验证的那一层代码作为唯一的参数，返回一个布尔型的值作为参数。验证函数就是利用可信平台模块的安全引擎对对那一层代码进行hash操作，然后将其hash值与标准的值进行比较。

对于恢复操作部分，首先涉及到度量值的比较，即在引导过程中所得到的度量值，包括程序代码、系统文件和系统内核的度量值，都需要跟一个标准的准确的度量值进行验证比较，才能判断目前引导系统的状态是否是可信安全的。对于该标准度量值的处理，可以采取多种灵活的配置方式，例如可以将所有标准度量值以一定的格式存储在文件上，保证这个文件的安全也就能保证标准度量值的正确性。对于该文件的存放位置，也可以采取多种方式：可以将其存放在其他安全的机器上，通过网络的方式对其进行访问；也可以将其存放在携带设备诸如usb key上，需要持有该设备才能对其访问。保证存有标准度量值文件的安全，以及对它的安全访问，也就保证了度量验证过程的正确性和有效性。

度量值比较完成之后，对于引导过程中计算所得度量值与标准度量值不匹配的情况，可根据情况的不同采取不同的恢复机制。度量失败的情况主要可分为两种：一种为度量代码和文件失败的情况，一种为度量操作系统内核失败的情况。对于这两种情况，本发明相应地采取不同的恢复机制。在引导过程中，度量程序代码如系统引导管理器，以及度量自定义文件时，如果度量值不匹配，验证失败，则恢复程序就会启动。因系统引导之前，有关引导程序以及相关重要文件都在物理上安全的设备中存有备份，其恢复过程就是从该设备处将相应的地址空间拷贝过来覆盖失败组件的内存空间。这样，再次重新进行度量验证时，计算所得的度量值就会与标准度量值相匹配，即可认为运行到目前为止系统是可信安全的，引导程序可以继续往前推进。如果是度量系统内核失败的情况，可以通过系统引导管理器网络启动安全操作系统来恢复。本发明在网络上存有一个安全的小型操作系统，一旦验证系统内核失败，引导程序就会转而启动这个安全的小型系统，这个系统的唯一功能就是对受损的操作系统进行恢复，将其恢复成最初的安全可信的状态。这样也就保证了最终引导进入的操作系统确实是安全可信的。

启动日志操作部分就是将引导过程中涉及到的日志记录传递给启动后的操作系统。在引导过程中，每进行一次度量，扩展一次PCR，这些操作都会以日志的形式记录下来。而根据记录的日志，可以计算得出PCR的最终值，从而判断环境是否安全可信。完全进入操作系统状态后，当平台要与其他平台之间发生交互，或者想要获取某种服务的时候，平台必须能够向对方证明自身环境，让对方相信自己是安全可信的。为此，本发明设计增加了一个文件，该文件记录了引导过程的所有日志。在引导过程最后一步度量过程完成之后而又没有进入操作系统之前，本发明在文件系统中完成对这个文件的记录，也就是间接地将日志文件传递给了操作系统。操作系统启动后，在文件系统环境中可以直接读取该文件获取整个引导过程的日志。该平台向其他平台证明自身环境的时候，直接传递用可信平台模块签名的日志文件以及PCR值给对方，对方就可根据日志推算出PCR值并与直接接收的PCR值进行比较，从而判断平台环境是否是安全可信的。

基于上述的可信引导方法，本发明的可信引导系统包括：

一可信平台模块，作为整个系统度量验证的信任根；

一BIOS模块，系统启动的基础，用于检查各种硬件设备的状态是否完好；

一系统引导管理器模块，引导程序，用于引导进入操作系统；

一操作系统内核模块，所引导的操作系统的内核；

一标准度量值模块，用于存储标准度量值。

所述模块中的前四个模块共同存在于一计算机中，其中可信平台模块和BIOS模块作为硬件芯片嵌入在计算机的主板之上；系统引导管理器模块作为软件层直接架构在BIOS之上，以硬盘启动为例，系统引导器位于硬盘的主引导扇区中；而系统引导管理器所引导的操作系统内核模块架构在系统引导管理器模块之上。

所述模块中的标准度量值模块可以以网络或者外部设备的形式与前四个模块所在的计算机连接。比如该模块可以存在于一安全主机上，通过网络与计算机相连，也可以存在于一便携存储设备上，直接插入计算机。

上述部件是本引导系统必须配置的基本模块，除此之外，本发明的可信引导系统还可以包括以下扩展模块：

一用户自定义模块，存储用户自定义信息；

一命令控制模块，通过扩展的命令来直接进行度量或者相关查询操作；

一完整文件备份模块，存储所有度量文件的完整文件备份；

一安全操作系统模块，用于恢复上述系统引导管理器引导的操作系统；

一日志文件模块，存储引导过程中的度量日志信息。

所述用户自定义信息为用户配置文件，含用户扩展的需要度量的文件信息，可以扩展并入系统引导管理器模块，也可以以外部设备的形式与上述计算机相连。

所述命令控制模块为一补充扩展的命令接口，可以直接扩展并入系统引导管理器模块。

所述完整文件备份模块和安全操作系统模块只有当系统度量验证不匹配时才会涉及，其中完整文件备份模块可以以网络或者外部设备的形式与上述计算机相连，安全操作系统模块通过网络的形式与上述计算机连接。

所述日志文件模块为一扩展功能模块，当系统引导管理器所引导的操作系统需要引导过程的日志信息进行有关其他安全操作时，可以直接通过该模块获取，该模块可以并入操作系统内核模块。

本发明的优点在于，提供了一个完善的安全引导系统的流程。以往的引导系统考虑的范畴都不完善，总存在某些方面的缺憾。本发明综合考虑了完整性验证、验证失败恢复以及启动日志与操作系统交互等情况，形成一个完整的引导体系。利用可信平台模块对引导过程中的运行代码、系统重要文件以及操作系统内核进行度量，遇到验证失败的情况时从安全源处对失败组件、文件或是操作系统进行恢复，同时通过引导过程的日志文件与操作系统发生交互。通过此流程引导进入的操作系统，可被认为其最初环境是安全可信的，同时该操作系统还可以利用引导过程的日志文件向其他平台证明自身启动环境的安全性。

附图说明

图1为本发明实施例安全启动系统的可信引导方法的流程图。

图2为本发明实施例可信引导系统结构框图。

具体实施方式

本实施例在系统引导管理器grub基础上修改设计的引导系统的流程如图1所示。在原有四层的基础上扩展了一层，即将系统引导管理器grub分为stage1和stage2两层。从计算机上电启动开始，TPM度量BIOS，BIOS度量stage1，stage1度量stage2，stage2度量操作系统内核，同时在stage2度量操作系统内核之前扩充了启动链结果报告、关键文件完整性的度量以及扩展的命令接口。此外，还考虑了各种度量失败时的恢复情况，包括一般代码文件及操作系统内核验证失败时的恢复，还有引导过程中日志文件的保存等等，从而形成一个完整的引导流程。

BIOS对grub中stage1的代码进行度量完成之后，将运行控制权转交给stage1，由stage1引导stage2。考虑到stage2的庞大，可将stage2分为两部分，即stage1引导stage2的前512个字节，再由这512个字节引导其他剩余部分。然后由stage2除前512个字节的其他部分度量系统关键文件，最后由Stage2中的这其他部分度量系统内核文件。

在具体的实现方案中，由于该流程中的操作及功能实现都是在引导系统的过程中完成的，根本没有进入操作系统，所以其中用到的TPM操作，都是通过在实模式下调用BIOS的中断来实现的。本实施例运用AT&T汇编语言来实现这些接口，这些接口必须清晰明确，可以供上层代码直接调用。

上述用汇编实现的接口主要有TPM状态查询接口、TPM的hash操作接口、PCR读取接口、PCR扩展接口、TPM日志接口等，这些接口应用在运用TPM进行度量的操作中。利用TPM的安全引擎对引导过程中的代码或是文件进行度量时，先要用TPM状态查询接口对TPM的状态进行查询，返回事件日志位于内存中的地址，然后用hash操作接口对数据进行SHA-1计算，计算所得的SHA-1值就会用PCR扩展接口扩展存入相应的PCR中，同时还会用TPM日志接口将扩展操作记录到日志中。而利用PCR接口则可以方便的读取PCR值，进一步对环境进行验证。所有这些汇编接口的实现都是在grub文件中完成的，主要是在asm.s文件中提供的对外接口。考虑到这些接口都是在底层实现的，本实施例将这些底层接口进行抽象，在tpm_if.c中用c语言实现一系列相应的接口，为上层提供更加通用的服务接口。

本实施例实现了BIOS利用tpm接口对stage1的度量，以及stage1利用tpm接口对stage2的度量，其度量值都扩展存入了PCR[4]中。

设计增加的验证文件环节也主要是由stage2利用上面这些接口对文件进行度量，其度量值最终扩展存入了PCR[9]。本实施例定义了一个配置文件checkfile.conf，这个文件包含的内容就是需要度量的文件的信息。每个需要度量的文件在该配置文件中就是以一个条目的形式存在，通过该条目就可以直接访问该文件并对文件内容进行度量，其文件条目的具体形式就是文件在系统中的绝对路径。在该配置文件中可以任意增加文件条目，只要其形式满足要求，就能实现在启动过程对这些文件的度量验证操作，对于被认为无需再进行验证的文件只需要删除配置文件中相应的文件条目。同时，本实施例还可以在配置文件中灵活配置执行验证的条件。

扩展命令主要是将引导过程中实现的操作功能以更加直观的命令接口的方式呈现出来。扩展的命令主要有measure，tcglog，pcrread，pcrreport，tpmhashfile，checkfile等，这些命令的执行，也主要是调用了tpm_if.c中抽象的接口来实现的。其功能在引导过程中都有涉及，单独的命令接口给了用户更加自主的选择权，可以随意选择命令执行相关功能，进行相关验证。

本实施例也实现了stage2利用tpm接口对操作系统内核文件进行度量，其度量值扩展存入了PCR[8]中，其中还考虑了操作系统为windows和linux的两种情况。

所有的标准的度量值都存在本实施例定义的配置文件integrity.conf中，与checkfile.conf类似，其中的每个度量值也是以条目的形式存在，只是条目的具体形式是度量项、空格加上度量值。该配置文件以及其原始程序代码的完整文件备份都存放在安全的usb key上，每次开机启动时，插入usb key，进行度量值比较时，先访问usb key上的配置文件，以文件中的度量项作为索引，查找到相应的度量值，然后进行比较。如果比较不匹配，即度量验证失败时，就会利用usb key上的备份进行恢复。如果度量的是操作系统内核，则验证失败时，就会网络启动一个安全的操作系统对该系统进行恢复。

本实施例启动日志的方式，就是在进入操作系统之前，将引导过程中记录的日志在文件系统中以文件的形式保存，进入操作系统后，操作系统可以直接访问这个文件，从而获知整个引导过程，或是进行进一步的远程证明等操作。

图2是本实施例所实现的可信引导系统结构图，图中明确表示了本实施例所实现的各个组件模块之间的关系。

如图2所示，该可信引导系统的四个基本模块架设在本地计算机上，可信平台模块TPM和BIOS作为硬件芯片嵌入在本机主板上，grub作为系统引导管理器架构在BIOS之上，操作系统内核由grub引导架构在grub之上。另一基本模块标准度量值模块存放在一安全外部设备上，可以直接插入本地计算机使用。

另外扩展的模块，如用户定义的配置文件以及扩展命令接口归并存在于grub之中，日志文件扩展存入操作系统内核中。

还有两扩展的修复模块，完整文件备份存在一安全外部设备之上，可以直接插入本地计算机使用，而安全操作系统存在于另一物理安全的机器上，通过网络连接使用。

以上通过简单的说明描述了本发明提供的安全启动系统的引导系统和方案，本领域的技术人员应该理解，在不超出本发明实质和范围的情况下，可以进行修改。

Claims

1.一种可信引导方法，包括如下步骤：

1)计算机上电启动后，可信平台模块对BIOS代码进行度量，将度量值存储在可信平台模块的平台配置寄存器中，BIOS拥有系统的运行控制权；

2.如权利要求1所述的可信引导方法，其特征在于：所述的系统引导管理器是grub，将之分为stage1和stage2两层，所述步骤2)先由BIOS度量stage1，再由stage1度量stage2，运行控制权由BIOS转交给stage1，再由stage1转交给stage2；所述步骤3)由stage2对系统中关键文件进行度量；所述步骤4)由stage2对操作系统内核文件进行度量。

3.如权利要求1所述的可信引导方法，其特征在于：步骤3)中所述的关键文件的路径涵盖在一个事先设计好的配置文件中，系统引导管理器通过访问该配置文件，获知需要度量的文件的存储位置，然后对这些文件进行度量。

4.如权利要求1所述的可信引导方法，其特征在于：在步骤3)中系统引导管理器借助可信平台模块对系统关键文件度量验证后，通过扩展命令对用户选定的文件或代码进行度量，以及查询平台配置存储器的状态。

5.如权利要求1所述的可信引导方法，其特征在于：所述计算机上存在多个操作系统，在步骤4)系统引导管理器借助可信平台模块分别对这多个操作系统的内核文件进行度量。

6.如权利要求1～5中任一权利要求所述的可信引导方法，其特征在于：所述的标准度量值存储在一安全主机上，通过网络的方式对其进行访问，或者存放在携带设备上，需要持有该设备才能对其访问。

7.一种可信引导系统，包括：

一可信平台模块，作为整个系统度量验证的信任根；

一操作系统内核模块，所引导的操作系统的内核；

一标准度量值模块，用于存储标准度量值；

其中：所述可信平台模块、BIOS模块、系统引导管理器模块和操作系统内核模块共同存在于一计算机中，可信平台模块和BIOS模块作为硬件芯片嵌入在计算机的主板之上，系统引导管理器模块作为软件层直接架构在BIOS之上，而操作系统内核模块架构在系统引导管理器模块之上；所述的标准度量值模块通过网络或者外部设备的形式与该计算机连接。

8.如权利要求7所述的可信引导系统，其特征在于：所述的标准度量值模块存在于一安全主机上，通过网络与所述计算机相连，或者存在于一便携存储设备上，直接插入计算机。

9.如权利要求7所述的可信引导系统，其特征在于，该可信引导系统还包括下列模块中的一个或多个：

一用户自定义模块，存储用户配置文件，含用户扩展的需要度量的文件信息，该用户自定义模块扩展并入系统引导管理器模块，或者以外部设备的形式与所述计算机相连；

一命令控制模块，通过扩展的命令来直接进行度量或者相关查询操作，该命令控制模块为一补充扩展的命令接口，直接扩展并入系统引导管理器模块；

一完整文件备份模块，存储所有度量文件的完整文件备份，以网络或者外部设备的形式与所述计算机相连；

一安全操作系统模块，用于恢复所述系统引导管理器引导的操作系统，通过网络的形式与所述计算机连接；

一日志文件模块，存储引导过程中的度量日志信息，并入操作系统内核模块中。