CN107480535A - 一种两路服务器的可信硬件层设计方法及装置 - Google Patents

Abstract

一种两路服务器的可信硬件层设计方法，具体包括以下步骤：BIOS ACM对BOOTBlock进行度量，生成S‑CRTM值并扩展到TPM特定的PCR；判断BOOTBlock的度量值与基准值是否相同，如果相同，则BIOS可信，将控制权交给BIOS，执行下一步操作；否则，BIOS不可信，服务器启动失败；对BIOS的硬件层进行度量，扩展至硬件层的PCR；判断BIOS硬件层的度量值及基准值是否相同，如果相同，则硬件层可信，将控制权交给OS Loader，完成硬件层信任链的建立；如果不相同，则硬件层不可信，服务器启动失败。还包括一种两路服务器的可信硬件层的装置。可提高两路服务器在政府、军队或其他对安全性要求比较高的行业的产品竞争力。提高服务器的安全性，从硬件架构上提高服务器的安全防御能力。

Description

一种两路服务器的可信硬件层设计方法及装置

技术领域

本发明涉及服务器设计技术领域，具体地说是一种两路服务器的可信硬件层设计方法及装置。

背景技术

由于目前的计算机终端架构缺乏相应的安全机制，导致了计算硬件平台很容易被攻击而进入一个不可控状态，且一旦被攻击，其上的所有业务有可能全部中断，数据可能被丢失或窃取，危害十分严重。

发明内容

本发明的目的在于提供一种两路服务器的可信硬件层设计方法及装置，用于解决计算机终端安全机制不完善，容易导致数据丢失或窃取的问题。

本发明解决其技术问题所采取的技术方案是：一种两路服务器的可信硬件层设计方法，具体包括以下步骤：

BIOS ACM对BOOTBlock进行度量，生成S-CRTM值并扩展到TPM特定的PCR；

判断BOOTBlock的度量值与基准值是否相同，如果相同，则BIOS可信，将控制权交给BIOS，执行下一步操作；否则，BIOS不可信，服务器启动失败；

对BIOS的硬件层进行度量，扩展至硬件层的PCR；

判断BIOS硬件层的度量值及基准值是否相同，如果相同，则硬件层可信，将控制权交给OS Loader，完成硬件层信任链的建立；如果不相同，则硬件层不可信，服务器启动失败。

进一步地，在上述步骤之前还包括：CPU中的MicroCode加载BIOS ACM到内存。

进一步地，BIOS ACM对BOOTBlock进行度量的具体方式包括：采用哈希算法计算BOOTBlock的完整性值。

进一步地，对BIOS的硬件层进行度量的具体方式包括：采用哈希算法计算BIOS的硬件层的完整性值。

进一步地，采用哈希算法计算完整性值的方式具体包括：

初始化哈希算法环境；

更新哈希内容；

判断哈希内容大小是否大于预设的字节阈值；如果是，则执行上一步操作；否则，执行下一步操作；

结束处理，计算最终的哈希值。

进一步地，初始化哈希算法环境具体为：声明变量，为哈希值申请一块存储空间。

进一步地，更新哈希内容的具体方式为：将最新计算得到的哈希值与上一块的哈希值进行异或，生成新的哈希值。

进一步地，计算最终的哈希值的具体方式包括：对大块的数据进行分块，对分块后的数据计算其哈希值；

取本块计算好的哈希值与上一块的哈希值进行异或，直到最后一块计算完毕，与上一块的哈希值进行异或，得到最终的哈希值。

一种两路服务器的可信硬件层的装置，利用所述的方法，包括可信支撑硬件，采用可信计算芯片TPM，通过其自身的密码模块引擎，为可信度量提供密码学算法支持；通过其自身的非易失性存储空间，为可信检测所需要的策略数据提供安全可靠的存储空间；通过其自身的平台配置寄存器PCR，为可信度量产生的度量值提供安全可靠的存储空间；和，

可信启动，包括进行硬件度量的可信BIOS、引导操作系统OSLoader组件；和，

可信管理工具，位于操作系统层面，主要包括日志管理工具、TPM管理工具。

进一步地，所述的可信BIOS以信任根TPM为核心，把核心度量根模块CRTM作为起点，采取基于TPM的信任链传递技术，并依靠其提供的完整性度量和验证服务，按照服务器的启动运行过程，一级度量一级，一级信任一级的方式，实现信任链的传递；主要包括硬件层面可信度量模块、度量扩展模块、度量日志模块、BIOS Setup配置界面可信操作接口模块；

可信操作接口模块通过BIOS配置界面，为用户提供可信功能操作接口，包括可信功能启用、禁用模块，TPM基本功能操作模块及OpROM度量配置模块；所述的OpROM度量配置模块实现对可度量设备的选择配置；

所述的日志管理工具，方便用户查看服务器硬件可信状态，包括基准日志管理模块、启动日志管理模块、服务器可信状态查看模块；

所述的TPM管理工具为用户提供可视化的TPM管理工具，包括可信计算芯片信息管理模块、可信密钥管理模块，芯片信息管理模块用于查看TPM芯片基本信息；可信密钥管理模块管理由TPM生成的密钥，包括创建、删除、迁移密钥。

以上发明内容提供的仅仅是本发明实施例的表述，而不是发明本身。

发明内容中提供的效果仅仅是实施例的效果，而不是发明所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效果：

通过在计算机中嵌入可信平台模块硬件设备，提供秘密信息硬件保护存储功能；通过在计算机运行过程中各个执行阶段加入完整性度量机制，建立完整信任链，及时检测计算机的可信状态，建立有效的攻击防治方法和措施。

能够通过建立两路服务器的可信硬件层，提高服务器的安全性，从硬件架构上提高服务器的安全防御能力。与通用的服务器硬件相比，本发明技术方案的其中一种技术方案可提高两路服务器在政府、军队或其他对全性要求比较高的行业的产品竞争力。

附图说明

图1为本发明实施例的方法流程示意图；

图2为本发明实施例的装置结构连接示意图。

具体实施方式

为了能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

本发明实施例基于可信计算芯片(TPM)、Intel TXT技术，通过对BIOS、OpROM(扩展ROM)、硬件设备的完整性度量，构建从服务器上电到OS启动之间的硬件信任链，确保OS运行在一个安全可信的硬件环境之上。

本发明实施例的两路服务器的主板采用英特尔至强E5-2600v3系列处理器，在主板提供的LPC接口接入TPM芯片子卡、利用处理器提供的IntelTXT技术，通过在BIOS中添加可信相关代码，实现信任链的构建，确保硬件层的安全可信。

如图1所示，一种两路服务器的可信硬件层设计方法，具体包括以下步骤：

步骤1)BIOS ACM(Authentication Code Module认证模块)对BOOTBlock(启动模块)进行度量，生成S-CRTM值并扩展到TPM特定的PCR(平台配置寄存器)；

步骤2)判断BOOTBlock的度量值与基准值是否相同，如果相同，则BIOS可信，将控制权交给BIOS，执行下一步操作；否则，BIOS不可信，服务器启动失败；

步骤3)对BIOS的硬件层进行度量，扩展至硬件层的PCR；

步骤4)判断BIOS硬件层的度量值及基准值是否相同，如果相同，则硬件层可信，将控制权交给OS Loader(操作系统加载器)，完成硬件层信任链的建立；如果不相同，则硬件层不可信，服务器启动失败。

在上述步骤之前还包括：CPU中的MicroCode加载BIOS ACM到内存。

BIOS ACM对BOOTBlock进行度量的具体方式包括：采用哈希算法计算BOOTBlock的完整性值。

对BIOS的硬件层进行度量的具体方式包括：采用哈希算法计算BIOS的硬件层的完整性值。

采用哈希算法计算完整性值的方式具体包括：

初始化哈希算法环境；

更新哈希内容；

判断哈希内容大小是否大于预设的字节阈值；如果是，则执行上一步操作；否则，执行下一步操作；

结束处理，计算最终的哈希值。

初始化哈希算法环境具体为：声明变量，为哈希值申请一块存储空间。

更新哈希内容的具体方式为：将最新计算得到的哈希值与上一块的哈希值进行异或，生成新的哈希值。

计算最终的哈希值的具体方式包括：对大块的数据进行分块，对分块后的数据计算其哈希值；

取本块计算好的哈希值与上一块的哈希值进行异或，直到最后一块计算完毕，与上一块的哈希值进行异或，得到最终的哈希值。

如图2所示，一种两路服务器的可信硬件层的装置，包括可信支撑硬件，采用可信计算芯片TPM，通过其自身的密码模块引擎，为可信度量提供密码学算法支持；通过其自身的非易失性存储空间，为可信检测所需要的策略数据提供安全可靠的存储空间；通过其自身的平台配置寄存器PCR，为可信度量产生的度量值提供安全可靠的存储空间；和，可信启动，包括进行硬件度量的可信BIOS、引导操作系统OSLoader组件；和，可信管理工具，位于操作系统层面，主要包括日志管理工具、TPM管理工具。

可信BIOS以信任根TPM为核心，把核心度量根模块CRTM作为起点，采取基于TPM的信任链传递技术，并依靠其提供的完整性度量和验证服务，按照服务器的启动运行过程，一级度量一级，一级信任一级的方式，实现信任链的传递；主要包括硬件层面可信度量模块、度量扩展模块、度量日志模块、BIOS Setup配置界面可信操作接口模块。

可信操作接口模块通过BIOS配置界面，为用户提供可信功能操作接口，包括可信功能启用、禁用模块，TPM基本功能操作模块及OpROM度量配置模块；OpROM度量配置模块实现对可度量设备的选择配置。

日志管理工具，方便用户查看服务器硬件可信状态，包括基准日志管理模块、启动日志管理模块、服务器可信状态查看模块。

TPM管理工具为用户提供可视化的TPM管理工具，包括可信计算芯片信息管理模块、可信密钥管理模块，芯片信息管理模块用于查看TPM芯片基本信息；可信密钥管理模块管理由TPM生成的密钥，包括创建、删除、迁移密钥。

以上所述只是本发明的优选实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也被视为本发明的保护范围。

Claims (10)

1.一种两路服务器的可信硬件层设计方法，其特征是，具体包括以下步骤：

BIOS ACM对BOOTBlock进行度量，生成S-CRTM值并扩展到TPM特定的PCR；

判断BOOTBlock的度量值与基准值是否相同，如果相同，则BIOS可信，将控制权交给BIOS，执行下一步操作；否则，BIOS不可信，服务器启动失败；

对BIOS的硬件层进行度量，扩展至硬件层的PCR；

判断BIOS硬件层的度量值及基准值是否相同，如果相同，则硬件层可信，将控制权交给OS Loader，完成硬件层信任链的建立；如果不相同，则硬件层不可信，服务器启动失败。

2.根据权利要求1所述的方法，其特征是，在上述步骤之前还包括：CPU中的MicroCode加载BIOS ACM到内存。

3.根据权利要求1所述的方法，其特征是，BIOS ACM对BOOTBlock进行度量的具体方式包括：采用哈希算法计算BOOTBlock的完整性值。

4.根据权利要求1所述的方法，其特征是，对BIOS的硬件层进行度量的具体方式包括：采用哈希算法计算BIOS的硬件层的完整性值。

5.根据权利要求3或4所述的方法，其特征是，采用哈希算法计算完整性值的方式具体包括：

初始化哈希算法环境；

更新哈希内容；

判断哈希内容大小是否大于预设的字节阈值；如果是，则执行上一步操作；否则，执行下一步操作；

结束处理，计算最终的哈希值。

6.根据权利要求5所述的方法，其特征是，初始化哈希算法环境具体为：声明变量，为哈希值申请一块存储空间。

7.根据权利要求5所述的方法，其特征是，更新哈希内容的具体方式为：将最新计算得到的哈希值与上一块的哈希值进行异或，生成新的哈希值。

8.根据权利要求5所述的方法，其特征是，计算最终的哈希值的具体方式包括：对大块的数据进行分块，对分块后的数据计算其哈希值；

取本块计算好的哈希值与上一块的哈希值进行异或，直到最后一块计算完毕，与上一块的哈希值进行异或，得到最终的哈希值。

9.一种两路服务器的可信硬件层的装置，利用权利要求1至8任意一项所述的方法，其特征是，包括可信支撑硬件，采用可信计算芯片TPM，通过其自身的密码模块引擎，为可信度量提供密码学算法支持；通过其自身的非易失性存储空间，为可信检测所需要的策略数据提供安全可靠的存储空间；通过其自身的平台配置寄存器PCR，为可信度量产生的度量值提供安全可靠的存储空间；和，

可信启动，包括进行硬件度量的可信BIOS、引导操作系统OSLoader组件；和，

可信管理工具，位于操作系统层面，主要包括日志管理工具、TPM管理工具。

10.根据权利要求9所述的装置，其特征是，所述的可信BIOS以信任根TPM为核心，把核心度量根模块CRTM作为起点，采取基于TPM的信任链传递技术，并依靠其提供的完整性度量和验证服务，按照服务器的启动运行过程，一级度量一级，一级信任一级的方式，实现信任链的传递；主要包括硬件层面可信度量模块、度量扩展模块、度量日志模块、BIOS Setup配置界面可信操作接口模块；

可信操作接口模块通过BIOS配置界面，为用户提供可信功能操作接口，包括可信功能启用、禁用模块，TPM基本功能操作模块及OpROM度量配置模块；所述的OpROM度量配置模块实现对可度量设备的选择配置；

所述的日志管理工具，方便用户查看服务器硬件可信状态，包括基准日志管理模块、启动日志管理模块、服务器可信状态查看模块；

所述的TPM管理工具为用户提供可视化的TPM管理工具，包括可信计算芯片信息管理模块、可信密钥管理模块，芯片信息管理模块用于查看TPM芯片基本信息；可信密钥管理模块管理由TPM生成的密钥，包括创建、删除、迁移密钥。