CN109669734B - 用于启动设备的方法和装置 - Google Patents
用于启动设备的方法和装置 Download PDFInfo
- Publication number
- CN109669734B CN109669734B CN201810337146.3A CN201810337146A CN109669734B CN 109669734 B CN109669734 B CN 109669734B CN 201810337146 A CN201810337146 A CN 201810337146A CN 109669734 B CN109669734 B CN 109669734B
- Authority
- CN
- China
- Prior art keywords
- memory protection
- kernel
- metric
- trusted
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45575—Starting, stopping, suspending or resuming virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45579—I/O management, e.g. providing access to device drivers or storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Mobile Radio Communication Systems (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了用于启动设备的方法和装置。该方法的一具体实施方式包括:可信启动设备,并将可信启动度量扩展存储至可信平台模块的平台配置寄存器,其中,可信启动度量是可信启动设备的完整性度量;加载预设内存保护区域,并将内存保护区域度量扩展存储至平台配置寄存器,其中,内存保护区域度量是预设内存保护区域的完整性度量;基于可信平台模块,向验证服务器发起对预设内存保护区域的远程认证;响应于接收到验证服务器发来的远程认证通过信息,检测加载其他内存保护区域的操作;响应于检测到加载其他内存保护区域的操作,基于预设内存保护区域对其他内存保护区域进行本地认证。该实现方式实现了对设备中的内存保护区域进行远程认证。
Description
技术领域
本申请实施例涉及计算机技术领域,具体涉及信息安全技术领域,尤其涉及用于启动设备的方法和装置。
背景技术
操作系统(OS,Operating System)是管理和控制计算机硬件与软件资源的计算机程序,是直接运行在电子设备上的最基本的系统软件,任何其他软件都必须在操作系统的支持下才能运行。通常电子设备在上电后启动的过程中会首先加载并启动操作系统,然后加载并启动应用程序和系统服务等。
发明内容
本申请实施例的目的在于提出一种用于启动设备的方法和装置。
第一方面,本申请实施例提供了一种用于启动设备的方法,上述设备设置有可信平台模块,该方法包括:可信启动上述设备,并将可信启动度量扩展存储至上述可信平台模块的平台配置寄存器,其中,上述可信启动度量是上述可信启动上述设备的完整性度量;加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器,其中,上述内存保护区域度量是上述预设内存保护区域的完整性度量;基于上述可信平台模块,向验证服务器发起对上述预设内存保护区域的远程认证;响应于接收到上述验证服务器发来的远程认证通过信息,检测加载其他内存保护区域的操作,其中,上述其他内存保护区域为上述设备的内存保护区域中不同于上述预设内存保护区域的内存保护区域;响应于检测到上述加载其他内存保护区域的操作,基于上述预设内存保护区域对上述其他内存保护区域进行本地认证。
在一些实施例中,上述可信启动度量包括引导程序度量和内核度量;以及上述可信启动上述设备,并将可信启动度量扩展存储至上述可信平台模块的平台配置寄存器,包括:加载并执行内核引导程序,并将引导程序度量扩展存储至上述可信平台模块的平台配置寄存器,其中,上述引导程序度量是上述内核引导程序的完整性度量;基于上述内核引导程序加载并启动上述设备中安装的操作系统的内核,并将内核度量扩展存储至上述平台配置寄存器,其中,上述内核度量是上述内核的完整性度量。
在一些实施例中,上述加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器,包括:基于上述内核加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器。
在一些实施例中,在基于上述内核加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器之后,上述方法还包括:基于上述内核,加载并启动上述操作系统的内核模块,并将内核模块度量扩展存储至上述平台配置寄存器,其中,上述内核模块度量是上述内核模块的完整性度量。
在一些实施例中,上述可信平台模块设置有模块标识;以及上述基于上述可信平台模块,向验证服务器发起对上述预设内存保护区域的远程认证,包括:将验证信息发送至验证服务器,其中,上述验证服务器根据所接收到的验证信息对上述预设内存保护区域进行远程认证,上述验证信息包括:上述可信平台模块的模块标识、上述可信启动度量和上述内存保护区域度量。
在一些实施例中,上述设备还设置有输入/输出内存管理单元;以及在基于上述内核加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器之前,上述方法还包括:基于上述内核设置上述输入输出内存管理单元以禁止直接内存存取操作。
在一些实施例中,上述可信启动度量还包括虚拟机监控器度量;以及上述基于上述内核引导程序加载并启动上述设备中安装的操作系统的内核,并将内核度量扩展存储至上述平台配置寄存器,包括:基于上述内核引导程序加载并启动上述设备中安装的虚拟机监控器,并将虚拟机监控器度量扩展存储至上述平台配置寄存器,其中,上述虚拟机监控器度量是上述虚拟机监控器的完整性度量;基于上述虚拟机监控器加载并启动上述设备中安装的操作系统的内核,并将内核度量扩展存储至上述平台配置寄存器。
在一些实施例中,上述方法还包括:响应于基于上述预设内存保护区域对上述其他内存保护区域进行本地认证通过,向上述验证服务器发送本地认证通过信息,以及执行上述其他内存保护区域中的可执行代码,其中,上述验证服务器响应于接收到上述本地认证通过信息,确定对上述其他内存保护区域远程认证通过。
第二方面,本申请实施例提供了一种用于启动设备的装置,上述设备设置有可信平台模块,该装置包括:可信启动单元,配置用于可信启动上述设备,并将可信启动度量扩展存储至上述可信平台模块的平台配置寄存器,其中,上述可信启动度量是上述可信启动上述设备的完整性度量;内存保护区域加载单元,配置用于加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器,其中,上述内存保护区域度量是上述预设内存保护区域的完整性度量;远程认证单元,配置用于基于上述可信平台模块,向验证服务器发起对上述预设内存保护区域的远程认证;检测单元,配置用于响应于接收到上述验证服务器发来的远程认证通过信息,检测加载其他内存保护区域的操作,其中,上述其他内存保护区域为上述设备的内存保护区域中不同于上述预设内存保护区域的内存保护区域;本地认证单元,配置用于响应于检测到上述加载其他内存保护区域的操作,基于上述预设内存保护区域对上述其他内存保护区域进行本地认证。
在一些实施例中,上述可信启动度量包括引导程序度量和内核度量;以及上述可信启动单元包括:内核引导程序启动模块,配置用于加载并执行内核引导程序,并将引导程序度量扩展存储至上述可信平台模块的平台配置寄存器,其中,上述引导程序度量是上述内核引导程序的完整性度量;内核启动模块,配置用于基于上述内核引导程序加载并启动上述设备中安装的操作系统的内核,并将内核度量扩展存储至上述平台配置寄存器,其中,上述内核度量是上述内核的完整性度量。
在一些实施例中,上述内存保护区域加载单元进一步配置用于:基于上述内核加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器。
在一些实施例中,上述装置还包括:内核模块启动单元,配置用于基于上述内核,加载并启动上述操作系统的内核模块,并将内核模块度量扩展存储至上述平台配置寄存器,其中,上述内核模块度量是上述内核模块的完整性度量。
在一些实施例中,上述可信平台模块设置有模块标识;以及上述远程认证单元进一步配置用于:将验证信息发送至验证服务器,其中,上述验证服务器根据所接收到的验证信息对上述预设内存保护区域进行远程认证,上述验证信息包括:上述可信平台模块的模块标识、上述可信启动度量和上述内存保护区域度量。
在一些实施例中,上述设备还设置有输入/输出内存管理单元;以及上述装置还包括:设置单元,配置用于基于上述内核设置上述输入输出内存管理单元以禁止直接内存存取操作。
在一些实施例中,上述可信启动度量还包括虚拟机监控器度量;以及上述内核引导程序启动模块进一步配置用于:基于上述内核引导程序加载并启动上述设备中安装的虚拟机监控器,并将虚拟机监控器度量扩展存储至上述平台配置寄存器,其中,上述虚拟机监控器度量是上述虚拟机监控器的完整性度量;基于上述虚拟机监控器加载并启动上述设备中安装的操作系统的内核,并将内核度量扩展存储至上述平台配置寄存器。
在一些实施例中,上述装置还包括:执行单元,配置用于响应于基于上述预设内存保护区域对上述其他内存保护区域进行本地认证通过,向上述验证服务器发送本地认证通过信息,以及执行上述其他内存保护区域中的可执行代码,其中,上述验证服务器响应于接收到上述本地认证通过信息,确定对上述其他内存保护区域远程认证通过。
第三方面,本申请实施例提供了一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器实现如第一方面中任一实现方式描述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
本申请实施例提供的用于启动设备的方法和装置,通过可信启动设备创建一个可信的运行环境,在操作系统启动其他服务之前,首先安全的启动第一个内存保护区域,并对其进行基于TPM的远程认证。这样后期即使操作系统和其他运行环境被攻破,第一个启动的内存保护区域仍然是被认证的,后继内存保护区域的远程认证可以通过第一个内存保护区域的本地认证完成。由于采用基于TPM的远程认证替代基于Intel SGX的远程认证,使得远程认证过程具有高安全性,且不依赖于Intel SGX的远程认证基础设施;另外,大多数电子设备都设置有可信平台模块,不依赖新的硬件功能,使得远程认证过程具有通用性。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1是本申请可以应用于其中的示例性系统架构图;
图2是根据本申请的用于启动设备的方法的一个实施例的流程图;
图3是根据本申请的TPM安全芯片的一个实施例的结构示意图;
图4A至图4D是根据本申请的用于启动设备的方法的一个应用场景的示意图;
图5是根据本申请的用于启动设备的方法的又一个实施例的流程图;
图6是根据本申请的用于启动设备的装置的一个实施例的结构示意图;
图7是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了可以应用本申请的用于启动设备的方法或用于启动设备的装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括电子设备101,网络102和服务器103。网络102用以在电子设备101和服务器103之间提供通信链路的介质。网络102可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
电子设备101可以是支持Intel SGX技术的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
电子设备101可以包括中央处理器CPU1,…,CPUi,…,CPUn,和可信平台模块(TPM,Trusted Platform Module)。这里,n为正整数。例如,当n为1的时候,电子设备101中可以只有一个处理器CPU1,当n为2的时候,电子设备101中可以有2个处理器CPU1和CPU2。
电子设备101中可以安装有操作系统(OS,Operating System)或者虚拟机监控器(VMM,Virtual Machine Monitor)。
电子设备101中还可以安装有至少一个应用(App),其中,有些应用可以包括两部分:内存保护区域(Enclave)和非内存保护区域(Non-Enclave)。
电子设备101中的灰色部分为可信部分,包括中央处理器CPU1,…,CPUi,…,CPUn、可信平台模块和各个应用中的内存保护区域部分。
服务器103可以是提供各种服务的服务器,例如对电子设备101中的内存保护区域和可信平台模块提供支持的后台服务器。后台服务器可以对接收到的验证信息等数据进行分析等处理,并将处理结果(例如远程认证通过信息)反馈给电子设备。
需要说明的是,本申请实施例所提供的用于启动设备的方法一般由电子设备101执行,相应地,用于启动设备的装置一般设置于电子设备101中。
应该理解,图1中的电子设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的电子设备、网络和服务器。
继续参考图2,其示出了根据本申请的用于启动设备的方法的一个实施例的流程200。该用于启动设备的方法,包括以下步骤:
步骤201,可信启动设备,并将可信启动度量扩展存储至可信平台模块的平台配置寄存器。
Intel SGX(Intel Software Guard Extensions,英特尔软件保护扩展)技术是一种新的基于硬件的可信计算技术。Intel SGX技术通过对中央处理单元(CPU,CentralProcessing Unit)的安全扩展,将合法软件的安全操作封装在内存保护区域(Enclave)中,保护其不受恶意软件的攻击,使得特权或者非特权的软件都无法访问内存保护区域。
通常内存保护区域的创建环境(包括操作系统、其他的应用程序和系统服务等)是不可信的。为了确保与服务器进行交互过程中的信息安全,在内存保护区域与服务器进行交互之前,需要服务器对内存保护区域进行远程认证,只有经过远程认证的内存保护区域才可以与服务器进行交互。目前,主要采用基于SGX的远程认证(Remote Attestation)来对电子设备中的内存保护区域进行远程认证。
在本实施例中,用于启动设备的方法运行于其上的电子设备(例如图1所示的电子设备101)可以在上述电子设备加电后,可信启动设备,并将可信启动度量扩展存储至可信平台模块的平台配置寄存器。其中,上述可信启动度量是可信启动上述设备的完整性度量。
这里,上述电子设备可以支持Intel SGX技术且设置有可信平台模块。其中,可信平台模块是指符合TPM(可信平台模块,Trusted Platform Module)标准的TPM安全芯片。TPM安全芯片可以实现完整性度量、敏感数据的加密存储、远程认证、内部资源授权访问和数据的加密传输等功能。
请参考图3,图3是TPM安全芯片的一个实施例的结构示意图。如图3所示,TPM安全芯片可以包括输入/输出部件301、密码协处理器302、HMAC引擎303、SHA-1引擎304、选项控制器305、非易失性存储器306、密钥生成器307、随机数生成器308、电源检测309、执行引擎310、易失性存储器311和通讯总线312等部件组成。其中:
输入/输出(I/O,Input/Output)部件301用于处理通讯总线上的数据流,完成适合于内部和外部总线通讯协议的编、解码操作,并将数据流发送给适当的部件。
密码协处理器302是一个RSA引擎,管理密钥的产生、安全存储等,并提供数字签名及数据加密解密功能。
HMAC(哈希运算消息认证码,keyed-Hash Message Authentication Code)引擎303提供运算功能,但不负责管理数据或命令传输。它可以发现数据命令发生错误或者被篡改的情况。
SHA-1(Secure Hash Algorithm,安全哈希算法-1)引擎304负责完成基本的SHA-1运算。
选项控制器305在TPM的所有者或者经所有者授权下,通过可变标志位的改变设置TPM的功能选项。
非易失性存储器(Non-volatile Memory)306:有些数据在系统断电后还必须得到保存,存储在非易失性存储器306中的数据即使在TPM不加电的情况下也不会丢失,例如,非易失性存储器306可以用于存储背书密钥(EK,Endorsement Key)和根密钥(SRK,StorageRoot Key)。
密钥生成器307采用随机数生成器308生成的随机数据,生成各种密码运算的密钥。
随机数生成器(RNG,Random Number Generator)308:用于产生随机数据。例如,用于生成Nonce,这里,Nonce是密码学中Number used once或Number once,即Nonce是一个只被使用一次的任意或非重复的随机数值。
电源检测309在平台初始化或者重启的过程中感应电源状态的变化,以便进行上电检测等操作。
执行引擎(Execute Engine)310用于执行TPM所接收到的命令,实际完成TPM对外提供的应用功能,例如,TPM初始化和度量的操作。
易失性存储器(Volatile Memory)311:相对于非易失性存储器,存储在易失性存储器中的数据当系统断电或者重启后将被丢弃或者重置。
在TPM安全芯片中还至少包括16个平台配置寄存器(PCR,PlatformConfiguration Register)。PCR用于存储平台配置度量值,这些度量值可以是运作在平台上的应用环境的SHA-1值。PCR不能直接进行写操作,数据的存储过程被称作扩展(Extend)。当系统启动时,启动记录保存在PCR中,每次度量完系统后,对度量值和PCR进行如下处理:PCR[N+1]=SHA-1(PCR[N]+Value),其中,Value的值为本次度量值,PCR[N]是PCR的第N次取值,SHA-1(PCR[N]+Value)是采用安全散列算法计算对PCR的第N次取值和本次度量值的安全散列值,PCR[N+1]则是将本次度量值扩展存储至PCR之后的取值。这样,PCR就保存了当前PCR值和每次度量值的安全散列值,并可以用这个值进行环境度量。PCR可以采用非易失性存储器或易失性存储器实现。
TPM安全芯片中还可以存储有身份认证密钥(AIK,Attestation Identity Key)。在远程认证(Remote Attestation)中,重要的是确定和一个可用的TPM安全芯片进行交互,在认证过程中可以使用背书密钥,但是使用背书密钥可能会导致使用者的隐私的泄露(因为背书密钥是唯一并且固定的),因此可以用身份认证密钥替代。身份认证密钥必须是永久不变的,实践中可以将身份认证密钥作为密钥段存储在TPM安全芯片的外部的永久不变的存储设备中,也可以将身份认证密钥永久不变地存储在TPM安全芯片内部的非易失性存储器306中。
在本实施例中,由于上述电子设备支持Intel SGX技术且设置有TPM安全芯片,因此,可以采用可信执行技术(TXT,Trusted Execute Technology)来实现可信启动上述电子设备。可信执行技术的核心是通过TPM安全芯片实现可信计算,TPM是可信计算平台的可信根源,从硬件底层来提供对于上述电子设备的保护。
这里,可信启动电子设备可以通过引入TPM安全芯片,从最原始的物理安全角度,建立一个可信根,再建立一条可信链。从可信根开始到硬件平台、到操作系统、再到应用系统,一级度量认证一级,一级信任一级,从而把这种信任扩展到整个计算机系统。
在本实施例的一些可选的实现方式中,可以基于静态可信度量根(SRTM,StaticRoot of Trust for Measurement)来静态可信启动设备,并将可信启动度量扩展存储至可信平台模块的平台配置寄存器。可信度量根(RTM,Root of Trust for Measurement)是在电子设备中加入的一个可信第三方,能够进行内部可靠的完整性度量。可信度量根是一个公理性质的假定,可信计算的安全机制都是建立在这一假定基础上的。静态可信度量根也称作核心可信度量根(CRTM,Core Root of Trust for Measurement),是系统启动后执行的第一段代码,该第一段代码初始化可信启动顺序,执行最初的可信度量,然后引导可信平台模块开始工作。静态可信度量根驻留在闪存(Flash Memory)中,必须确保其不会被修改,也不会被旁路,否则系统的安全难以保证。当电子设备加电或者重启时,BIOS(Basic InputOutput System,基本输入输出系统)的引导区代码检测硬件并加载操作系统,这一段代码就是静态可信度量根或者核心可信度量根。作为示例,下面给出一种基于静态可信度量根的可信启动过程:
(1)、加载并启动静态可信度量根,对电子设备自身以及BIOS进行完整性度量(例如,使用SHA-1),并将完整性度量值扩展存储至可信平台模块的平台配置寄存器,然后再将控制权移交给BIOS。
(2)、BIOS执行通常的操作,对可选ROM(Read-Only Memory,只读内存)进行完整性度量,并将完整性度量值扩展存储至可信平台模块的平台配置寄存器,然后再将控制权移交给可选ROM。
(3)、可选ROM执行通常的操作,再将控制权移交给BIOS。
(4)、BIOS对操作系统引导程序(OS Boot Loader,Operating System BootLoader)进行完整性度量,并将完整性度量值扩展存储至可信平台模块的平台配置寄存器,然后再将控制权移交给操作系统引导程序。
(5)操作系统引导程序执行通常的操作,对OS(Operating System,操作系统)进行完整性度量,并将完整性度量值扩展存储至可信平台模块的平台配置寄存器,然后再将控制权移交给操作系统内核(OS Kernel,Operating System Kernel)。
在本实施例的一些可选的实现方式中,也可以基于动态可信度量根(DRTM,Dynamic Root of Trust for Measurement)来动态可信启动设备,并将可信启动度量扩展存储至可信平台模块的平台配置寄存器。动态可信度量根由CPU发出一条新增安全指令出发,告诉TPM安全芯片开始创建一个受控和可信的执行环境。例如,在Intel的技术中这条新增安全指令被称为“SENTER”,在AMD的技术中这条新增安全指令被称为“SKINIT”。对于SRTM把BIOS核心不可修改的部分作为静态可信度量根,这里,新增的CPU安全指令就是动态可信启动设备过程中的动态可信度量根。
在本实施例的一些可选的实现方式中,可信启动度量可以包括引导程序度量和内核度量。这样,上述基于动态测量可信根来动态可信启动设备,并将可信启动度量扩展存储至可信平台模块的平台配置寄存器,可以如下进行:
首先,可以加载并执行内核引导程序,并将引导程序度量扩展存储至可信平台模块的平台配置寄存器。其中,引导程序度量是内核引导程序的完整性度量。
这里,内核引导程序用于引导上述电子设备中安装的操作系统内核部分。
然后,可以基于内核引导程序加载并启动设备中安装的操作系统的内核,并将内核度量扩展存储至平台配置寄存器。其中,内核度量是内核的完整性度量。
作为示例,下面以Tboot作为内核引导程序为例,说明配置内核引导程序的过程:
(1)、获得可信平台模块的所有权并安装适当的SINIT ACM(Authenticated CodeModule,验证码模块)。有些硬件厂商已经内置了SINIT ACM在BIOS里面。有些需要下载后放在/boot目录下面。并在“grub.conf”文件中列出所使用的ACM。
(2)、创建启动控制策略(LCP,Launch Control Policy)。Tboot使用Intel TXT技术并使用启动控制策略去创建安全运行环境。
(3)、创建验证启动策略(VLP,Verified Launch Policy)文件。验证启动策略文件在可信启动中被用于验证内核和初始RAM(Random-Access Memory,随机存取存储器)磁盘(initrd)。
(4)、将所创建的验证启动策略文件写入策略链表文件,并为其签名。
(5)、将上述策略链表文件保存到TPM中。
按照上述配置之后,在Tboot运行的过程中,可以把引导程序度量和内核度量扩展存储到可信平台模块的平台配置寄存器中,其中,引导程序度量是加载并启动内核引导程序过程中的完整性度量,内核度量是加载并启动上述电子设备中安装的操作系统的内核过程中的完整性度量。即,实现将可信启动度量存储到可信平台模块的平台配置寄存器中。可信启动度量可以在基于可信平台模块的远程认证中,证明系统是通过Tboot启动并启动了指定的内核镜像。
步骤202,加载预设内存保护区域,并将内存保护区域度量扩展存储至平台配置寄存器。
在本实施例中,上述电子设备(例如图1所示的电子设备101)可以在设备启动后,加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器。其中,上述内存保护区域度量是上述预设内存保护区域的完整性度量。
在本实施例中,上述电子设备(例如图1所示的电子设备101)可以首先将预设内存保护区域中存储的内容加载至内存或缓存中。然后,再对所加载的预设内存保护区域进行完整性度量,得到内存保护区域度量,以及将所得到的内存保护区域度量扩展存储至上述平台配置寄存器。
在本实施例中,预设内存保护区域可以存储有如下内容:可执行代码和/或数据。
在本实施例中,预设内存保护区域可以是上述电子设备中的各个内存保护区域中的指定内存保护区域。该指定内存保护区域用于后续进行基于可信平台模块的远程认证以及对其他内存保护区域进行本地认证。作为示例,预设内存保护区域中所存储的数据可以不涉及敏感数据(例如,隐私数据或者密钥等等),或者预设内存保护区域中所存储的可执行代码对应的操作可以不涉及对敏感数据进行操作。
这里,步骤201中可信启动设备之后所得到的运行环境是可信的,由此,在可信启动设备之后加载预设内存保护区域是在可信的运行环境中加载预设内存保护区域,所加载的预设内存保护区域也是可信的。
在本实施例的一些可选的实现方式中,当步骤201中的可信启动度量包括引导程序度量和内核度量,并且步骤201包括加载并执行内核引导程序,并将引导程序度量扩展存储至可信平台模块的平台配置寄存器,以及基于内核引导程序加载并启动设备中安装的操作系统的内核,并将内核度量扩展存储至平台配置寄存器时,步骤202可以是基于内核加载预设内存保护区域,并将内存保护区域度量扩展存储至平台配置寄存器。即,加载预设内存保护区域是内核启动之后的第一个操作。具体而言,可以在内核中设置将加载预设内存保护区域做为内核启动之后的第一个操作,也可以通过init进程来加载预设内存保护区域。具体操作步骤如下:
(1)、使用sysvinit系统作为启动系统。sysvinit系统的工作原理是顺序启动程序,可以保证加载预设内存保护区域的操作在其他操作之前执行。
(2)、把要加载的预设内存保护区域的数据存储到/etc/init.d/文件夹中。
(3)、在各个运行级(Run Level)里面创建加载预设内存保护区域的连接,并使所创建的连接的启动号码在同运行级中最小(即,优先启动),例如,可以设置为00。
(4)、将加载设备驱动模块(比如网络驱动)及其他开机启动服务对应的启动号码设置为大于加载预设内存保护区域的连接的启动号码。这样,这些操作会在加载预设内存保护区域之后执行。
在本实施例的一些可选的实现方式中,上述电子设备中还可以设置有输入/输出内存管理单元(IOMMU,Input/Output Memory Management Unit),这样还可以在上述可选实现方式的基础上,在基于内核引导程序加载并启动设备中安装的操作系统的内核,并将内核度量扩展存储至平台配置寄存器之后,以及基于内核加载预设内存保护区域,并将内存保护区域度量扩展存储至平台配置寄存器之前,基于内核设置输入输出内存管理单元以禁止直接内存存取(DMA,Direct Memory Access)操作,这样,可以防御直接内存存取攻击来破坏可信启动上述电子设备。
在本实施例的一些可选的实现方式中,可以在基于内核加载预设内存保护区域,并将内存保护区域度量扩展存储至平台配置寄存器之后,以及步骤203之前,基于上述内核,加载并启动上述操作系统的内核模块,并将内核模块度量扩展存储至平台配置寄存器,其中,内核模块度量是上述内核模块的完整性度量。这里,内核模块是一些可以让操作系统内核在需要时载入和执行的代码,内核模块可以在不需要时由操作系统卸载。内核模块扩展了操作系统内核的功能却不需要重新启动操作系统。作为示例,内核模块可以是设备驱动(例如,网络设备驱动)模块。
步骤203,基于可信平台模块,向验证服务器发起对预设内存保护区域的远程认证。
在本实施例中,经过步骤201和步骤202,可信平台模块的平台配置寄存器中已经存储了可信启动度量和内存保护区域度量,因此,可以基于可信平台模块,向验证服务器发起对预设内存保护区域的远程认证,即,可以将可信平台模块的平台配置寄存器中存储的可信启动度量和内存保护区域度量发送给验证服务器。验证服务器在接收到上述可信启动度量和内存保护区域度量后,确定上述可信启动度量和内存保护区域度量是否分别与预先存储的可信启动度量基准值和内存保护区域基准值匹配,并在确定分别匹配的情况下向上述设备发送远程认证通过信息,其中,远程认证通过信息用于指示上述预设内存保护区域远程认证通过。
步骤204,响应于接收到验证服务器发来的远程认证通过信息,检测加载其他内存保护区域的操作。
在本实施例中,上述电子设备可以在接收到验证服务器发来的远程认证通过信息的情况下,表明上述预设内存保护区域已经远程认证通过,可以检测是否存在加载其他内存保护区域的操作。其中,其他内存保护区域为上述设备的内存保护区域中不同于上述预设内存保护区域的内存保护区域。
步骤205,响应于检测到加载其他内存保护区域的操作,基于预设内存保护区域对其他内存保护区域进行本地认证。
在本实施例中,由于步骤203中已经确定预设内存保护区域远程认证通过,因此,上述电子设备可以在检测到加载其他内存保护区域的操作的情况下,基于已经远程认证通过的预设内存保护区域对其他内存保护区域进行本地认证。
需要说明的是,如何通过一个已经远程认证通过的内存保护区域对另一个内存保护区域进行本地认证的方法是目前广泛研究和应用的现有技术,在此不再赘述。
继续参见图4A-图4D,图4A-图4D是根据本实施例的用于启动设备的方法的应用场景的一个示意图。
图4A显示的是可信启动电子设备后,电子设备运行环境中包括n个CPU、可信平台模块和操作系统,其中,n个CPU、可信平台模块和操作系统都是可信的。
图4B显示的是,加载预设内存保护区域后,电子设备运行环境中包括n个CPU、可信平台模块、操作系统和预设内存保护区域,其中,n个CPU、可信平台模块、操作系统和预设内存保护区域都是可信的。
图4C显示的是,基于可信平台模块,向验证服务器发起对预设内存保护区域的远程认证以及接收到验证服务器发来的远程认证通过信息后,电子设备运行环境中包括n个CPU、可信平台模块、操作系统、多个应用和预设内存保护区域,其中,n个CPU、可信平台模块和预设内存保护区域是可信的,而操作系统不再可信,多个应用也不可信。
图4D显示的是,检测到加载其他内存保护区域的操作,基于预设内存保护区域对多个其他内存保护区域进行本地认证通过后,电子设备运行环境中包括n个CPU、可信平台模块、操作系统、多个应用和多个可信内存保护区域,其中,多个可信内存保护区域包括预设内存保护区域和上述基于预设内存保护区域进行本地认证通过后的其他内存保护区域,其中,n个CPU、可信平台模块和多个可信内存保护区域是可信的,而操作系统和多个应用不可信。
本申请的上述实施例提供的方法通过可信启动设备创建一个可信的运行环境,在操作系统启动其他服务之前,首先安全的启动第一个内存保护区域,并对其进行基于TPM的远程认证。这样后期即使操作系统和其他运行环境被攻破,第一个启动的内存保护区域仍然是被认证的,后继内存保护区域的远程认证可以通过第一个内存保护区域的本地认证完成。由于采用基于TPM的远程认证替代基于Intel SGX的远程认证,使得远程认证过程具有高安全性,且不依赖于Intel SGX的远程认证基础设施;另外,大多数电子设备都设置有可信平台模块,不依赖新的硬件功能,使得远程认证过程具有通用性。
进一步参考图5,其示出了用于启动设备的方法的又一个实施例的流程500。该用于启动设备的方法的流程500,包括以下步骤:
步骤501,加载并执行内核引导程序,并将引导程序度量扩展存储至可信平台模块的平台配置寄存器。
在本实施例中,用于启动设备的方法运行于其上的电子设备(例如图1所示的电子设备101)可以在上述电子设备加电后,加载并执行内核引导程序,并将引导程序度量扩展存储至可信平台模块的平台配置寄存器。其中,引导程序度量是内核引导程序的完整性度量。
这里,上述电子设备可以支持Intel SGX技术且设置有可信平台模块。其中,可信平台模块是指符合TPM(可信平台模块,Trusted Platform Module)标准的TPM安全芯片。TPM安全芯片可以实现完整性度量、敏感数据的加密存储、远程认证、内部资源授权访问和数据的加密传输等功能。关于TPM安全芯片的具体描述可参考图3所示的实施例中相关内容,在此不再赘述。
在本实施例中,这里,内核引导程序可以用于先引导上述电子设备中安装的虚拟机监控器,再引导上述电子设备中安装的操作系统的内核。
步骤502,基于内核引导程序加载并启动设备中安装的虚拟机监控器,并将虚拟机监控器度量扩展存储至平台配置寄存器。
在本实施例中,上述电子设备可以基于步骤501中加载并启动的内核引导程序,加载并启动设备中安装的虚拟机监控器,并将虚拟机监控器度量扩展存储至平台配置寄存器。其中,虚拟机监控器度量是虚拟机监控器的完整性度量。
在本实施例中,上述电子设备中安装的虚拟机监控器(例如,Hypervisor)可以支持跨虚拟机的内存保护区域本地认证。
步骤503,基于虚拟机监控器加载并启动设备中安装的操作系统的内核,并将内核度量扩展存储至平台配置寄存器。
在本实施例中,上述电子设备可以基于步骤502中加载并启动的虚拟机监控器,加载并启动设备中安装的操作系统的内核,并将内核度量扩展存储至平台配置寄存器。其中,内核度量是内核的完整性度量。
步骤504,基于内核设置输入输出内存管理单元以禁止直接内存存取操作。
在本实施例中,上述电子设备中可以设置有输入/输出内存管理单元。这样,可以基于步骤503中加载并启动的操作系统的内核,设置输入输出内存管理单元以禁止直接内存存取操作。禁止直接内存存取操作可以防御直接内存存取攻击来破坏可信启动上述电子设备。
步骤505,基于内核加载预设内存保护区域,并将内存保护区域度量扩展存储至平台配置寄存器。
在本实施例中,上述电子设备可以基于步骤503中加载并启动的操作系统的内核,加载预设内存保护区域,并将内存保护区域度量扩展存储至平台配置寄存器。
步骤506,基于内核,加载并启动操作系统的内核模块,并将内核模块度量扩展存储至平台配置寄存器。
在本实施例中,上述电子设备可以在加载预设内存保护区域之后,基于步骤503中加载并启动的操作系统的内核,加载并启动操作系统的内核模块,并将内核模块度量扩展存储至平台配置寄存器。其中,内核模块度量是上述内核模块的完整性度量。
步骤507,将验证信息发送至验证服务器。
在本实施例中,上述电子设备可以将验证信息发送至验证服务器。这里,验证信息可以包括:可信启动度量和内存保护区域度量。其中,可信启动度量可以包括引导程序度量、虚拟机监控器度量、内核度量和内核模块度量。验证服务器可以在接收到上述验证信息后,确定所接收到的验证信息是否与预先存储的基准验证信息匹配,并在确定匹配的情况下向上述设备发送远程认证通过信息,其中,远程认证通过信息用于指示上述预设内存保护区域远程认证通过。
在本实施例的一些可选的实现方式中,上述电子设备中设置的可信平台模块可以设置有模块标识,例如,可以采用可信平台模块的背书密钥或者身份认证密钥作为可信平台模块的模块标识。这样,上述验证信息还可以包括可信平台模块的模块标识。
步骤508,响应于接收到验证服务器发来的远程认证通过信息,检测加载其他内存保护区域的操作。
在本实施例中,步骤508的具体操作与图2所示的实施例中步骤204的操作基本相同,在此不再赘述。
步骤509,响应于检测到加载其他内存保护区域的操作,基于预设内存保护区域对其他内存保护区域进行本地认证。
在本实施例中,步骤509的具体操作与图2所示的实施例中步骤205的操作基本相同,在此不再赘述。
步骤510,响应于基于预设内存保护区域对其他内存保护区域进行本地认证通过,向验证服务器发送本地认证通过信息,以及执行其他内存保护区域中的可执行代码。
在本实施例中,上述电子设备可以在步骤509中基于预设内存保护区域对其他内存保护区域进行本地认证通过的情况下,向验证服务器发送本地认证通过信息,以及执行其他内存保护区域中的可执行代码。其中,上述本地认证通过信息用于指示基于预设内存保护区域对上述其他内存保护区域进行本地认证通过。这样,验证服务器可以在接收到上述本地认证通过信息后,确定对上述其他内存保护区域远程认证通过,继而上述其他内存保护区域可以与验证服务器进行交互。
从图5中可以看出,与图2对应的实施例相比,本实施例中的用于启动设备的方法的流程500突出了在设备中安装的虚拟机监控器支持跨虚拟机的内存保护区域本地认证的情况下,可信启动设备的具体步骤。由此,本实施例描述的方案可以运行于虚拟化环境。
进一步参考图6,作为对上述各图所示方法的实现,本申请提供了一种用于启动设备的装置的一个实施例,上述设备设置有可信平台模块,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图6所示,本实施例的用于启动设备的装置600包括:可信启动单元601、内存保护区域加载单元602、远程认证单元603、检测单元604和本地认证单元605。其中,可信启动单元601,配置用于可信启动上述设备,并将可信启动度量扩展存储至上述可信平台模块的平台配置寄存器,其中,上述可信启动度量是上述可信启动上述设备的完整性度量;内存保护区域加载单元602,配置用于加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器,其中,上述内存保护区域度量是上述预设内存保护区域的完整性度量;远程认证单元603,配置用于基于上述可信平台模块,向验证服务器发起对上述预设内存保护区域的远程认证;检测单元604,配置用于响应于接收到上述验证服务器发来的远程认证通过信息,检测加载其他内存保护区域的操作,其中,上述其他内存保护区域为上述设备的内存保护区域中不同于上述预设内存保护区域的内存保护区域;而本地认证单元605,配置用于响应于检测到上述加载其他内存保护区域的操作,基于上述预设内存保护区域对上述其他内存保护区域进行本地认证。
在本实施例中,用于启动设备的装置600的可信启动单元601、内存保护区域加载单元602、远程认证单元603、检测单元604和本地认证单元605的具体处理及其所带来的技术效果可分别参考图2对应实施例中步骤201、步骤202、步骤203、步骤204和步骤205的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述可信启动度量可以包括引导程序度量和内核度量;以及上述可信启动单元601可以包括:内核引导程序启动模块6011,配置用于加载并执行内核引导程序,并将引导程序度量扩展存储至上述可信平台模块的平台配置寄存器,其中,上述引导程序度量是上述内核引导程序的完整性度量;内核启动模块6012,配置用于基于上述内核引导程序加载并启动上述设备中安装的操作系统的内核,并将内核度量扩展存储至上述平台配置寄存器,其中,上述内核度量是上述内核的完整性度量。内核引导程序启动模块6011和内核启动模块6012的具体处理及其所带来的技术效果可参考图2对应实施例中步骤201的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述内存保护区域加载单元602可以进一步配置用于:基于上述内核加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器。内存保护区域加载单元602的具体处理及其所带来的技术效果可参考图2对应实施例中步骤202的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述装置600还可以包括:内核模块启动单元606,配置用于基于上述内核,加载并启动上述操作系统的内核模块,并将内核模块度量扩展存储至上述平台配置寄存器,其中,上述内核模块度量是上述内核模块的完整性度量。内核模块启动单元606的具体处理及其所带来的技术效果可参考图5对应实施例中步骤506的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述可信平台模块可以设置有模块标识;以及上述远程认证单元603可以进一步配置用于:将验证信息发送至验证服务器,其中,上述验证服务器根据所接收到的验证信息对上述预设内存保护区域进行远程认证,上述验证信息包括:上述可信平台模块的模块标识、上述可信启动度量和上述内存保护区域度量。远程认证单元603的具体处理及其所带来的技术效果可参考图5对应实施例中步骤507的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述设备还可以设置有输入/输出内存管理单元;以及上述装置600还可以包括:设置单元607,配置用于基于上述内核设置上述输入输出内存管理单元以禁止直接内存存取操作。设置单元607的具体处理及其所带来的技术效果可参考图5对应实施例中步骤504的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述可信启动度量还可以包括虚拟机监控器度量;以及上述内核引导程序启动模块6011可以进一步配置用于:基于上述内核引导程序加载并启动上述设备中安装的虚拟机监控器,并将虚拟机监控器度量扩展存储至上述平台配置寄存器,其中,上述虚拟机监控器度量是上述虚拟机监控器的完整性度量;基于上述虚拟机监控器加载并启动上述设备中安装的操作系统的内核,并将内核度量扩展存储至上述平台配置寄存器。内核引导程序启动模块6011的具体处理及其所带来的技术效果可参考图5对应实施例中步骤502和步骤503的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述装置600还可以包括:执行单元608,配置用于响应于基于上述预设内存保护区域对上述其他内存保护区域进行本地认证通过,向上述验证服务器发送本地认证通过信息,以及执行上述其他内存保护区域中的可执行代码,其中,上述验证服务器响应于接收到上述本地认证通过信息,确定对上述其他内存保护区域远程认证通过。执行单元608的具体处理及其所带来的技术效果可参考图5对应实施例中步骤510的相关说明,在此不再赘述。
下面参考图7,其示出了适于用来实现本申请实施例的电子设备的计算机系统700的结构示意图。图7示出的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU,Central Processing Unit)701,其可以根据存储在只读存储器(ROM,Read Only Memory)702中的程序或者从存储部分708加载到随机访问存储器(RAM,Random Access Memory)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM702以及RAM 703通过总线704彼此相连。输入/输出(I/O,Input/Output)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT,Cathode Ray Tube)、液晶显示器(LCD,Liquid Crystal Display)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN(局域网,Local AreaNetwork)卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括可信启动单元、内存保护区域加载单元、远程认证单元、检测单元和本地认证单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,检测单元还可以被描述为“检测加载其他内存保护区域的操作的单元”。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的装置中所包含的;也可以是单独存在,而未装配入该装置中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该装置执行时,使得该装置:可信启动上述设备,并将可信启动度量扩展存储至上述可信平台模块的平台配置寄存器,其中,上述可信启动度量是上述可信启动上述设备的完整性度量;加载预设内存保护区域,并将内存保护区域度量扩展存储至上述平台配置寄存器,其中,上述内存保护区域度量是上述预设内存保护区域的完整性度量;基于上述可信平台模块,向验证服务器发起对上述预设内存保护区域的远程认证;响应于接收到上述验证服务器发来的远程认证通过信息,检测加载其他内存保护区域的操作,其中,上述其他内存保护区域为上述设备的内存保护区域中不同于上述预设内存保护区域的内存保护区域;响应于检测到上述加载其他内存保护区域的操作,基于上述预设内存保护区域对上述其他内存保护区域进行本地认证。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (18)
1.一种用于启动设备的方法,其特征在于,所述设备设置有可信平台模块,所述方法包括:
可信启动所述设备,并将可信启动度量扩展存储至所述可信平台模块的平台配置寄存器,其中,所述可信启动度量是所述设备的完整性度量;
加载预设内存保护区域,并将内存保护区域度量扩展存储至所述平台配置寄存器,其中,所述内存保护区域度量是所述预设内存保护区域的完整性度量;
将验证信息发送至验证服务器,其中,所述验证服务器根据所接收到的验证信息对所述预设内存保护区域进行远程认证,并在所述预设内存保护区域通过认证时发送远程认证通过信息,所述验证信息包括:所述可信启动度量和所述内存保护区域度量;
响应于接收到所述验证服务器发来的所述远程认证通过信息,检测加载其他内存保护区域的操作,其中,所述其他内存保护区域为所述设备的内存保护区域中不同于所述预设内存保护区域的内存保护区域;
响应于检测到所述加载其他内存保护区域的操作,基于所述预设内存保护区域对所述其他内存保护区域进行本地认证。
2.根据权利要求1所述的方法,其特征在于,所述可信启动度量包括引导程序度量和内核度量;以及
所述可信启动所述设备,并将可信启动度量扩展存储至所述可信平台模块的平台配置寄存器,包括:
加载并执行内核引导程序,并将引导程序度量扩展存储至所述可信平台模块的平台配置寄存器,其中,所述引导程序度量是所述内核引导程序的完整性度量;
基于所述内核引导程序加载并启动所述设备中安装的操作系统的内核,并将内核度量扩展存储至所述平台配置寄存器,其中,所述内核度量是所述内核的完整性度量。
3.根据权利要求2所述的方法,其特征在于,所述加载预设内存保护区域,并将内存保护区域度量扩展存储至所述平台配置寄存器,包括:
基于所述内核加载预设内存保护区域,并将内存保护区域度量扩展存储至所述平台配置寄存器。
4.根据权利要求3所述的方法,其特征在于,在基于所述内核加载预设内存保护区域,并将内存保护区域度量扩展存储至所述平台配置寄存器之后,所述方法还包括:
基于所述内核,加载并启动所述操作系统的内核模块,并将内核模块度量扩展存储至所述平台配置寄存器,其中,所述内核模块度量是所述内核模块的完整性度量。
5.根据权利要求4所述的方法,其特征在于,所述可信平台模块设置有模块标识;以及
所述验证信息还包括:所述可信平台模块的模块标识。
6.根据权利要求5所述的方法,其特征在于,所述设备还设置有输入/输出内存管理单元;以及
在基于所述内核加载预设内存保护区域,并将内存保护区域度量扩展存储至所述平台配置寄存器之前,所述方法还包括:
基于所述内核设置所述输入/输出内存管理单元以禁止直接内存存取操作。
7.根据权利要求6所述的方法,其特征在于,所述可信启动度量还包括虚拟机监控器度量;以及
所述基于所述内核引导程序加载并启动所述设备中安装的操作系统的内核,并将内核度量扩展存储至所述平台配置寄存器,包括:
基于所述内核引导程序加载并启动所述设备中安装的虚拟机监控器,并将虚拟机监控器度量扩展存储至所述平台配置寄存器,其中,所述虚拟机监控器度量是所述虚拟机监控器的完整性度量;
基于所述虚拟机监控器加载并启动所述设备中安装的操作系统的内核,并将内核度量扩展存储至所述平台配置寄存器。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
响应于基于所述预设内存保护区域对所述其他内存保护区域进行本地认证通过,向所述验证服务器发送本地认证通过信息,以及执行所述其他内存保护区域中的可执行代码,其中,所述验证服务器响应于接收到所述本地认证通过信息,确定对所述其他内存保护区域远程认证通过。
9.一种用于启动设备的装置,其特征在于,所述设备设置有可信平台模块,所述装置包括:
可信启动单元,配置用于可信启动所述设备,并将可信启动度量扩展存储至所述可信平台模块的平台配置寄存器,其中,所述可信启动度量是所述设备的完整性度量;
内存保护区域加载单元,配置用于加载预设内存保护区域,并将内存保护区域度量扩展存储至所述平台配置寄存器,其中,所述内存保护区域度量是所述预设内存保护区域的完整性度量;
远程认证单元,配置用于将验证信息发送至验证服务器,其中,所述验证服务器根据所接收到的验证信息对所述预设内存保护区域进行远程认证,并在所述预设内存保护区域通过认证时发送远程认证通过信息,所述验证信息包括:所述可信启动度量和所述内存保护区域度量;
检测单元,配置用于响应于接收到所述验证服务器发来的所述远程认证通过信息,检测加载其他内存保护区域的操作,其中,所述其他内存保护区域为所述设备的内存保护区域中不同于所述预设内存保护区域的内存保护区域;
本地认证单元,配置用于响应于检测到所述加载其他内存保护区域的操作,基于所述预设内存保护区域对所述其他内存保护区域进行本地认证。
10.根据权利要求9所述的装置,其特征在于,所述可信启动度量包括引导程序度量和内核度量;以及
所述可信启动单元包括:
内核引导程序启动模块,配置用于加载并执行内核引导程序,并将引导程序度量扩展存储至所述可信平台模块的平台配置寄存器,其中,所述引导程序度量是所述内核引导程序的完整性度量;
内核启动模块,配置用于基于所述内核引导程序加载并启动所述设备中安装的操作系统的内核,并将内核度量扩展存储至所述平台配置寄存器,其中,所述内核度量是所述内核的完整性度量。
11.根据权利要求10所述的装置,其特征在于,所述内存保护区域加载单元进一步配置用于:
基于所述内核加载预设内存保护区域,并将内存保护区域度量扩展存储至所述平台配置寄存器。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
内核模块启动单元,配置用于基于所述内核,加载并启动所述操作系统的内核模块,并将内核模块度量扩展存储至所述平台配置寄存器,其中,所述内核模块度量是所述内核模块的完整性度量。
13.根据权利要求12所述的装置,其特征在于,所述可信平台模块设置有模块标识;以及
所述验证信息还包括:所述可信平台模块的模块标识。
14.根据权利要求13所述的装置,其特征在于,所述设备还设置有输入/输出内存管理单元;以及
所述装置还包括:
设置单元,配置用于基于所述内核设置所述输入/输出内存管理单元以禁止直接内存存取操作。
15.根据权利要求14所述的装置,其特征在于,所述可信启动度量还包括虚拟机监控器度量;以及
所述内核引导程序启动模块进一步配置用于:
基于所述内核引导程序加载并启动所述设备中安装的虚拟机监控器,并将虚拟机监控器度量扩展存储至所述平台配置寄存器,其中,所述虚拟机监控器度量是所述虚拟机监控器的完整性度量;
基于所述虚拟机监控器加载并启动所述设备中安装的操作系统的内核,并将内核度量扩展存储至所述平台配置寄存器。
16.根据权利要求15所述的装置,其特征在于,所述装置还包括:
执行单元,配置用于响应于基于所述预设内存保护区域对所述其他内存保护区域进行本地认证通过,向所述验证服务器发送本地认证通过信息,以及执行所述其他内存保护区域中的可执行代码,其中,所述验证服务器响应于接收到所述本地认证通过信息,确定对所述其他内存保护区域远程认证通过。
17.一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-8中任一所述的方法。
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-8中任一所述的方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/783,230 | 2017-10-13 | ||
US15/783,230 US10635821B2 (en) | 2017-10-13 | 2017-10-13 | Method and apparatus for launching a device |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109669734A CN109669734A (zh) | 2019-04-23 |
CN109669734B true CN109669734B (zh) | 2021-10-22 |
Family
ID=66095826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810337146.3A Active CN109669734B (zh) | 2017-10-13 | 2018-04-16 | 用于启动设备的方法和装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US10635821B2 (zh) |
CN (1) | CN109669734B (zh) |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10853090B2 (en) * | 2018-01-22 | 2020-12-01 | Hewlett Packard Enterprise Development Lp | Integrity verification of an entity |
EP3794478B1 (en) * | 2018-05-16 | 2024-07-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Enclave population |
US11693952B2 (en) * | 2018-10-31 | 2023-07-04 | Vmware, Inc. | System and method for providing secure execution environments using virtualization technology |
GB2578628B (en) * | 2018-11-01 | 2021-09-15 | Trustonic Ltd | Device attestation techniques |
CN110046505B (zh) * | 2019-04-28 | 2021-07-16 | 联想(北京)有限公司 | 容器安全加固方法、系统及存储介质 |
CN110266659B (zh) * | 2019-05-31 | 2020-09-25 | 联想(北京)有限公司 | 一种数据处理方法和设备 |
CN110347479A (zh) * | 2019-07-10 | 2019-10-18 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信链的构建方法及系统 |
CN112688782B (zh) | 2019-10-17 | 2023-09-08 | 华为技术有限公司 | 一种组合式设备的远程证明方法及设备 |
CN111159691B (zh) * | 2019-12-23 | 2022-03-11 | 北京工业大学 | 一种应用程序动态可信验证方法及系统 |
CN113468535B (zh) * | 2020-03-31 | 2024-06-25 | 华为技术有限公司 | 可信度量方法及相关装置 |
US11783042B2 (en) * | 2020-06-17 | 2023-10-10 | Qualcomm Incorporated | Access control system and method for isolating mutually distrusting security domains |
CN112364343B (zh) * | 2020-11-16 | 2022-05-06 | 支付宝(杭州)信息技术有限公司 | 虚拟机监控器秘密的保护方法、装置和电子设备 |
US11803454B2 (en) * | 2021-04-30 | 2023-10-31 | Dell Products L.P. | Chained loading with static and dynamic root of trust measurements |
CN114978544A (zh) * | 2022-05-23 | 2022-08-30 | 中国电信股份有限公司 | 一种访问认证方法、装置、系统、电子设备及介质 |
CN115640567B (zh) * | 2022-09-28 | 2024-02-27 | 北京瑞莱智慧科技有限公司 | Tee完整性认证方法、装置、系统及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
CN103795717A (zh) * | 2014-01-23 | 2014-05-14 | 中国科学院计算技术研究所 | 一种云计算平台完整性证明方法及其系统 |
CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10169591B2 (en) * | 2015-12-07 | 2019-01-01 | Amazon Technologies, Inc. | Chained security systems |
US10726120B2 (en) * | 2017-03-31 | 2020-07-28 | Intel Corporation | System, apparatus and method for providing locality assertion between a security processor and an enclave |
-
2017
- 2017-10-13 US US15/783,230 patent/US10635821B2/en active Active
-
2018
- 2018-04-16 CN CN201810337146.3A patent/CN109669734B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102436566A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 一种动态可信度量方法及安全嵌入式系统 |
CN103795717A (zh) * | 2014-01-23 | 2014-05-14 | 中国科学院计算技术研究所 | 一种云计算平台完整性证明方法及其系统 |
CN103888251A (zh) * | 2014-04-11 | 2014-06-25 | 北京工业大学 | 一种云环境中虚拟机可信保障的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109669734A (zh) | 2019-04-23 |
US20190114431A1 (en) | 2019-04-18 |
US10635821B2 (en) | 2020-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109669734B (zh) | 用于启动设备的方法和装置 | |
US10931451B2 (en) | Securely recovering a computing device | |
US20200272739A1 (en) | Performing an action based on a pre-boot measurement of a firmware image | |
US9690498B2 (en) | Protected mode for securing computing devices | |
KR101359841B1 (ko) | 신뢰성 있는 부트 최적화를 위한 방법 및 장치 | |
US8782801B2 (en) | Securing stored content for trusted hosts and safe computing environments | |
US8209542B2 (en) | Methods and apparatus for authenticating components of processing systems | |
US9288155B2 (en) | Computer system and virtual computer management method | |
US8826405B2 (en) | Trusting an unverified code image in a computing device | |
US8254568B2 (en) | Secure booting a computing device | |
US10915632B2 (en) | Handling of remote attestation and sealing during concurrent update | |
US20150271139A1 (en) | Below-OS Security Solution For Distributed Network Endpoints | |
US20090172639A1 (en) | Firmware integrity verification | |
JP2014525105A (ja) | Arm(登録商標)トラストゾーン実施のためのファームウェア基盤トラステッドプラットフォームモジュール(tpm) | |
US10853086B2 (en) | Information handling systems and related methods for establishing trust between boot firmware and applications based on user physical presence verification | |
TWI745629B (zh) | 電腦系統以及初始化電腦系統的方法 | |
Mannan et al. | Unicorn: Two-factor attestation for data security | |
US20170372061A1 (en) | Provisioning of identity information | |
WO2022170966A1 (zh) | 在目标平台上启动应用程序的方法及装置 | |
TWI773146B (zh) | 計算裝置及包含有用於經授權應用程式所作bios動作請求之指令的非暫時性有形電腦可讀媒體 | |
Futral et al. | Fundamental principles of intel® txt | |
Xin-zhi et al. | VISHNU: A Software Behavior Trustworthiness Control Method Based on DRTM | |
Vasudevan et al. | Desired Security Features |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |