CN102982285A - 一种可信计算的度量方法及装置、可信计算终端 - Google Patents
一种可信计算的度量方法及装置、可信计算终端 Download PDFInfo
- Publication number
- CN102982285A CN102982285A CN2011102604214A CN201110260421A CN102982285A CN 102982285 A CN102982285 A CN 102982285A CN 2011102604214 A CN2011102604214 A CN 2011102604214A CN 201110260421 A CN201110260421 A CN 201110260421A CN 102982285 A CN102982285 A CN 102982285A
- Authority
- CN
- China
- Prior art keywords
- credible
- computing
- tolerance result
- preliminary
- tolerance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种可信计算的度量方法及装置、可信计算终端。其中,可信计算的度量方法包括:对接收的数据进行初步度量运算,产生初步度量结果;根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。本发明可信计算的度量方法及装置、可信计算终端,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了可信计算度量的兼容性。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种可信计算的度量方法及装置、可信计算终端。
背景技术
TPM(Trusted Platform Module,可信平台模块)芯片是一个含有密码运算部件和存储部件的小型片上系统。TPM芯片由中央处理器CPU、存储器、输入输出I/O、密码运算器、随机数产生器和嵌入式操作系统等部件组成。TPM芯片能够保护BIOS(Basic Input Output System,基本输入输出系统)、芯片组固件以及操作系统等不被恶意篡改,提高系统安全性。
TCM(Trusted Cryptography Module,可信密码模块)芯片是由中国国家密码管理局联合国内IT企业推出的基于中国标准的安全芯片。TCM芯片包括CPU、I/O、算法引擎以及存储器等物理模块。TCM芯片主要是通过安全协议为平台提供密码服务、平台度量等基础服务,以保护平台的BIOS、OS(操作系统)等基础软件和固件,防止恶意篡改。
基于TPM芯片的信任链建立使用的度量方法采用的是长度为160bits(比特)的消息摘要算法,基于TCM芯片的信任链建立使用的度量方法采用的是长度为256bits的消息摘要算法,此两种度量方法的不同导致了OS及平台芯片组无法采用统一的方法建立平台信任链。
发明内容
本发明所要解决的技术问题是提供一种可信计算的度量方法及装置、可信计算终端,使得对于不同度量方法都能够使用统一方法建立平台信任链,提高信计算度量的兼容性。
为解决上述技术问题,本发明提出了一种可信计算的度量方法,包括:
对接收的数据进行初步度量运算,产生初步度量结果;
根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。
进一步地,上述方法还可具有以下特点,根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果具体为:
在所述初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果,所述补偿数据位的长度等于所述初步度量结果与所述最终度量结果的长度之差。
进一步地,上述方法还可具有以下特点,对接收的数据进行初步度量运算,产生初步度量结果具体为:
对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。
进一步地,上述方法还可具有以下特点,对接收的数据进行初步度量运算,产生初步度量结果具体为:
对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。
为解决上述技术问题,本发明还提出了一种可信计算的度量装置,包括:
初步度量模块,用于对接收的数据进行初步度量运算,产生初步度量结果;
补偿模块,用于根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。
进一步地,上述装置还可具有以下特点,所述补偿模块包括第一补偿单元,用于在所述初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果,所述补偿数据位的长度等于所述初步度量结果与所述最终度量结果的长度之差。
进一步地,上述装置还可具有以下特点,所述初步度量模块为可信密码模块TCM,用于对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。
进一步地,上述装置还可具有以下特点,所述初步度量模块为可信平台模块TPM,用于对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。
为解决上述技术问题,本发明还提出了一种可信计算终端,包括前述任一项所述的可信计算的度量装置。
进一步地,上述终端还可具有以下特点,所述可信计算终端为计算机或手机。
本发明可信计算的度量方法及装置、可信计算终端,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了可信计算度量的兼容性。
附图说明
图1为本发明实施例中可信计算的度量方法流程图;
图2为本发明实施例中可信计算的度量装置结构图;
图3为本发明实施例中可信计算终端的结构图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
图1为本发明实施例中可信计算的度量方法流程图。如图1所示,本实施例中,可信计算的度量方法流程包括如下步骤:
步骤101,对接收的数据进行初步度量运算,产生初步度量结果;
这里的数据是指需要被度量的外部数据。需要说明的是,进行初步度量运算的模块(例如TCM或TPM)在进行度量运算之前应当进行初始化,然后才能接收需要被度量的外部数据,进而对接收的数据进行度量运算。
初步度量运算可以是可信密码模块TCM度量运算,也可以是可信平台模块TPM度量运算。
步骤102,根据预设的补偿算法对初步度量结果进行处理,生成设定长度的最终度量结果。
这里,补偿算法可以根据具体需求而不同。一种简单的补偿算法是在初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果。例如在初步度量结果的补偿数据位上直接补0。补偿数据位的长度等于初步度量结果与最终度量结果的长度之差。当然,也可以采用其他相对复杂的补偿算法以产生补偿数据。
下面我们再通过一个具体实例,来进一步阐述如何实现本发明的可信计算的度量方法。
假设要通过TPM芯片产出196bits的度量结果,则可通过如下步骤实现:
步骤a1,TPM芯片接收到初始化度量模块的命令后,初始化TPM芯片的度量模块;
步骤a2,TPM芯片接收需要被度量的外部数据;
步骤a3,TPM芯片对接收到的外部数据进行度量运算;
步骤a4,判断度量过程是否结束,如果没有结束,则返回步骤a2,如果结束,则执行步骤a5。
步骤a5,采用一定的补偿算法,对TPM芯片的度量结果进行补偿运算;
这里假设采用最简单的补偿算法,直接在步骤a4产生的度量结果上补固定的数据0,针对TPM芯片,只需要补偿36bits的0。这里,补偿数据位的长度36bits=最终度量结果的长度196 bits-初步度量结果的长度160 bits。
步骤a6,返回经过补偿处理后的度量数据结果。
本发明可信计算的度量方法,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了可信计算度量的兼容性。
本发明还提出了一种可信计算的度量装置,用以实施上述的可信计算的度量方法。
图2为本发明实施例中可信计算的度量装置结构图。如图2所示,本实施例中,可信计算的度量装置200包括初步度量模块210和补偿模块220。初步度量模块210用于对接收的数据进行初步度量运算,产生初步度量结果。补偿模块220用于根据预设的补偿算法对初步度量模块210产生的初步度量结果进行处理,生成设定长度的最终度量结果。
其中,初步度量模块210接收的数据是指需要被度量的外部数据。补偿模块220所采用的补偿算法可以根据具体需求而不同。一种最简单的补偿算法是直接补0的方法,即在初步度量结果的补偿数据位上直接补0,补偿数据位的长度等于初步度量结果与最终度量结果的长度之差。当然,也可以采用其他相对复杂的补偿算法以产生补偿数据。
其中,补偿模块220可以包括第一补偿单元。第一补偿单元用于在初步度量结果的补偿数据位上直接补0,生成设定长度的最终度量结果,补偿数据位的长度等于初步度量结果与最终度量结果的长度之差。
其中,初步度量模块210可以为可信密码模块TCM。可信密码模块TCM用于对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。
其中,初步度量模块210还可以为可信平台模块TPM。可信平台模块TPM用于对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。
需要说明的是,初步度量模块210在进行度量运算之前应当进行初始化。
本发明可信计算的度量装置,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了信计算度量的兼容性。
本发明还提出了一种可信计算终端。
图3为本发明实施例中可信计算终端的结构图。如图3所示,本实施例中,可信计算终端300包括可信计算的度量装置200。
其中,可信计算终端可以为计算机、手机或者其他采用可信计算技术的终端。本发明的可信计算终端中包含可信计算的度量装置,通过在度量过程中增加对度量结果进行数据补偿的方式,对现有的TPM芯片或者TCM芯片的度量结果进行二次补偿,以产生指定长度的度量结果,从而无论是基于TPM芯片还是TCM芯片,对于不同度量方法,平台芯片组、操作系统都能够使用统一方法建立平台信任链,从而提高了可信计算度量的兼容性。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种可信计算的度量方法,其特征在于,包括:
对接收的数据进行初步度量运算,产生初步度量结果;
根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。
2.根据权利要求1所述的可信计算的度量方法,其特征在于:
根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果具体为:
在所述初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果,所述补偿数据位的长度等于所述初步度量结果与所述最终度量结果的长度之差。
3.根据权利要求1所述的可信计算的度量方法,其特征在于:
对接收的数据进行初步度量运算,产生初步度量结果具体为:
对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。
4.根据权利要求1所述的可信计算的度量方法,其特征在于:
对接收的数据进行初步度量运算,产生初步度量结果具体为:
对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。
5.一种可信计算的度量装置,其特征在于,包括:
初步度量模块,用于对接收的数据进行初步度量运算,产生初步度量结果;
补偿模块,用于根据预设的补偿算法对所述初步度量结果进行处理,生成设定长度的最终度量结果。
6.根据权利要求5所述的可信计算的度量装置,其特征在于:
所述补偿模块包括第一补偿单元,用于在所述初步度量结果的补偿数据位上添加数据信息,生成设定长度的最终度量结果,所述补偿数据位的长度等于所述初步度量结果与所述最终度量结果的长度之差。
7.根据权利要求5所述的可信计算的度量装置,其特征在于:
所述初步度量模块为可信密码模块TCM,用于对接收的数据进行可信密码模块TCM度量运算,产生初步度量结果。
8.根据权利要求5所述的可信计算的度量装置,其特征在于:
所述初步度量模块为可信平台模块TPM,用于对接收的数据进行可信平台模块TPM度量运算,产生初步度量结果。
9.一种可信计算终端,其特征在于,包括权利要求5至8任一项所述的可信计算的度量装置。
10.根据权利要求9所述的可信计算终端,其特征在于:
所述可信计算终端为计算机或手机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102604214A CN102982285A (zh) | 2011-09-05 | 2011-09-05 | 一种可信计算的度量方法及装置、可信计算终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102604214A CN102982285A (zh) | 2011-09-05 | 2011-09-05 | 一种可信计算的度量方法及装置、可信计算终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102982285A true CN102982285A (zh) | 2013-03-20 |
Family
ID=47856289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102604214A Pending CN102982285A (zh) | 2011-09-05 | 2011-09-05 | 一种可信计算的度量方法及装置、可信计算终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102982285A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324355A (zh) * | 2019-07-15 | 2019-10-11 | 山西百信信息技术有限公司 | 一种基于可信计算的物联网终端安全保护方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080104416A1 (en) * | 2006-09-29 | 2008-05-01 | Challener David C | Apparatus and method for enabling applications on a security processor |
| CN101246537A (zh) * | 2008-03-28 | 2008-08-20 | 兰雨晴 | 一种基于可信多任务操作系统实现可信计算的方法 |
| US20090031141A1 (en) * | 1999-08-13 | 2009-01-29 | Hewlett-Packard Development Company, L.P. | Computer platforms and their methods of operation |
| CN102075387A (zh) * | 2011-01-10 | 2011-05-25 | 京信通信技术(广州)有限公司 | 一种监控系统通信方法及其装置 |
-
2011
- 2011-09-05 CN CN2011102604214A patent/CN102982285A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090031141A1 (en) * | 1999-08-13 | 2009-01-29 | Hewlett-Packard Development Company, L.P. | Computer platforms and their methods of operation |
| US20080104416A1 (en) * | 2006-09-29 | 2008-05-01 | Challener David C | Apparatus and method for enabling applications on a security processor |
| CN101246537A (zh) * | 2008-03-28 | 2008-08-20 | 兰雨晴 | 一种基于可信多任务操作系统实现可信计算的方法 |
| CN102075387A (zh) * | 2011-01-10 | 2011-05-25 | 京信通信技术(广州)有限公司 | 一种监控系统通信方法及其装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110324355A (zh) * | 2019-07-15 | 2019-10-11 | 山西百信信息技术有限公司 | 一种基于可信计算的物联网终端安全保护方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102136043B (zh) | 一种计算机系统及其度量方法 | |
| CN103270519B (zh) | 使用动态量度内核的安全应用证明 | |
| US10057223B2 (en) | Data protection keys | |
| CN104160403A (zh) | 使用单个可信平台模块测量平台部件 | |
| US20070257813A1 (en) | Secure network bootstrap of devices in an automatic meter reading network | |
| CN117234990A (zh) | 用于串行互连的安全流协议 | |
| CN105227319A (zh) | 一种验证服务器的方法及装置 | |
| Zhao et al. | Privacy protection scheme based on remote anonymous attestation for trusted smart meters | |
| CN106326751B (zh) | 一种可信道系统及其实现方法 | |
| TWI466525B (zh) | 存取控制系統及其存取控制方法 | |
| WO2017143757A1 (zh) | 云计算平台的可信度量方法和装置 | |
| CN108345806A (zh) | 一种硬件加密卡和加密方法 | |
| US11575515B2 (en) | Post-quantum secure remote attestation for autonomous systems | |
| CN113452527A (zh) | 用于有状态的基于散列的签名的鲁棒状态同步 | |
| CN109586920A (zh) | 一种可信验证方法及装置 | |
| CN114661318A (zh) | 针对资源受限设备定制的高效后量子安全软件更新 | |
| CN110096887A (zh) | 一种可信计算方法及服务器 | |
| CN114154174A (zh) | 后量子签名设施的状态同步 | |
| CN111695097A (zh) | 登录检验方法、装置及计算机可读存储介质 | |
| CN113055380A (zh) | 报文处理方法、装置、电子设备及介质 | |
| CN113822675A (zh) | 基于区块链的报文处理方法、装置、设备及存储介质 | |
| CN111654371A (zh) | 一种基于可信计算的混合加密安全传输数据方法 | |
| CN117882334A (zh) | 经典和后量子签名的高效杂交 | |
| CN106992865B (zh) | 数据签名方法及系统、数据验签方法及装置 | |
| CN102982285A (zh) | 一种可信计算的度量方法及装置、可信计算终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130320 |