CN111045743B - 操作系统安全启动方法、管理方法、装置、设备 - Google Patents
操作系统安全启动方法、管理方法、装置、设备 Download PDFInfo
- Publication number
- CN111045743B CN111045743B CN201911273265.8A CN201911273265A CN111045743B CN 111045743 B CN111045743 B CN 111045743B CN 201911273265 A CN201911273265 A CN 201911273265A CN 111045743 B CN111045743 B CN 111045743B
- Authority
- CN
- China
- Prior art keywords
- measurement
- operating system
- command
- processor
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 78
- 238000007726 management method Methods 0.000 title claims description 45
- 238000005259 measurement Methods 0.000 claims abstract description 311
- 230000005540 biological transmission Effects 0.000 claims description 42
- 238000012795 verification Methods 0.000 claims description 28
- 238000004590 computer program Methods 0.000 claims description 17
- 238000012986 modification Methods 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 7
- 230000002265 prevention Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 14
- 230000006870 function Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 9
- 238000013475 authorization Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 3
- 238000009795 derivation Methods 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000003752 polymerase chain reaction Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Abstract
本公开提供了一种操作系统安全启动方法、装置、设备、存储介质。操作系统安全启动方法,包括:发送安全度量命令以进行安全度量;根据预设度量策略对指定的度量目标执行或不执行所述度量命令;返回对所述度量目标的度量结果;根据所述度量结果确定所述操作系统是否继续或终止启动。本公开可以利用安全处理器进行启动度量及控制以实现既安全又灵活的操作系统安全启动。
Description
技术领域
本公开涉及安全技术领域,尤其涉及一种操作系统安全启动方法、管理方法、装置、设备、存储介质。
背景技术
安全启动是计算机安全的第一步,是可信计算的基础,其重要性已经得到广泛共识。现有技术中主要有两种安全启动形式:1)基于TPM(可信平台模块,Trusted PlatformModule)的启动度量和2)基于镜像签名验签的启动验证。
其中,基于TPM的启动度量主要是由CPU当前运行代码主动度量即将要装载运行的代码,然后将度量值发送给TPM,TPM通过Hash扩展将度量值记录在对应的PCR中供后续查询使用,比如报告平台一致性,以判断系统是否可靠。TPM不返回度量结果是否正确,因此启动过程不受控。
而对于基于镜像签名验签的启动验证,比如UEFI的安全启动,只支持有限证书且证书固化不可修改,如果操作系统升级,需要有支持的第三方签名。这种方式目前主要被用来防止非OEM授权软件,而对Linux等大量使用着的开源软件极不友好,而且如果没有主板或处理器特殊支持,就不会度量启动初始代码(例如Bios的boot block,或UEFI的SEC,PEI阶段代码),因此存在安全漏洞。另外由于签名是静态的,这种方式也无法验证系统配置等可变信息,比如CMOS设置等。
综上,传统的安全启动往往具有1)不度量初始代码;2)不度量配置文件;3)对系统升级不友好等缺点,不够安全、灵活,使用不方便,降低了用户体验。
发明内容
本公开正是为了解决上述课题而完成,其目的在于提供一种利用安全处理器进行启动度量及控制以实现既安全又灵活的操作系统安全启动方法、管理方法、装置、设备、存储介质。
本公开提供该发明内容部分以便以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
为了解决上述技术问题,本公开实施例提供一种操作系统安全启动方法,采用了如下所述的技术方案,包括:
发送安全度量命令以进行安全度量;
根据预设度量策略对指定的度量目标执行或不执行所述度量命令;
返回对所述度量目标的度量结果;
根据所述度量结果确定所述操作系统是否继续或终止启动。
为了解决上述技术问题,本公开实施例提供一种操作系统安全启动管理方法,采用了如下所述的技术方案,包括:
管理中心与安全处理器进行密钥交换以用于数据传输保护;
通过所述密钥验证所述管理中心的访问密码;
若验证通过则建立所述管理中心与所述安全处理器的会话;
所述管理中心向所述安全处理器传输管理命令以设置预设度量策略或度量预期值或度量模式。
为了解决上述技术问题,本公开实施例还提供一种操作系统安全启动装置,采用了如下所述的技术方案,包括:
度量请求模块,发送安全度量命令以进行安全度量;
度量模块,根据预设度量策略对指定的度量目标执行或不执行所述度量命令并返回对所述度量目标的度量结果;
启动模块,根据所述度量结果确定所述操作系统是否继续或终止启动。
为了解决上述技术问题,本公开实施例还提供一种操作系统安全启动芯片,采用了如下所述的技术方案,包括:
安全处理器,用于执行如前任一所述的操作系统安全启动方法或操作系统安全启动管理方法;
存储器,用于存储运算数据并与进行数据交换;
控制器,用于控制所述存储器并使所述存储器进行数据交换。
为了解决上述技术问题,本公开实施例还提供一种计算机设备,采用了如下所述的技术方案,包括:
存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现如前述所述的方法。
为了解决上述技术问题,本公开实施例还提供一种计算机可读存储介质,采用了如下所述的技术方案,包括:
所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前述所述的方法。
根据本公开所公开的技术方案,与现有技术相比,本公开可以实现对启动过程中的目标代码进行度量,根据配置的度量策略判断度量结果是否可以继续启动,有效阻止继续执行的潜在危险。另外为了方便用户升级或切换系统,增加灵活性,本公开还可以支持以一种安全的方式管理修改度量策略等。
附图说明
图1是本公开可以应用于其中的示例性系统架构图;
图2是根据本公开的操作系统安全启动方法的一个实施例的流程图;
图3是根据本公开的操作系统安全启动方法的度量命令和度量结果的基本格式的示意图;
图4是根据本公开的操作系统安全启动方法的一个实施例的示意图;
图5是根据本公开的操作系统安全启动管理方法的密钥交换的流程示意图;
图6是根据本公开的操作系统安全启动管理方法的密码验证的流程示意图;
图7是根据本公开的操作系统安全启动装置的一个实施例的示意图;
图8是根据本公开的计算机设备的一个实施例的结构示意图。
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本公开的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本公开;本公开的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本公开的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本公开的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本公开方案,下面将结合附图,对本公开实施例中的技术方案进行清楚、完整地描述。
[系统结构]
首先,说明本公开的一个实施例的系统的结构。如图1所示,系统结构100可以包括终端设备101、102、103、104,网络105和服务器106。网络105用以在终端设备101、102、103、104和服务器106之间提供通信链路的介质。
在本实施例中,操作系统安全启动方法运行于其上的电子设备(例如图1所示的终端设备101、102、103或104)可以通过网络105进行各种信息的传输。网络105可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。需要指出的是,上述无线连接方式可以包括但不限于3G/4G/5G连接、Wi-Fi连接、蓝牙连接、WiMAX连接、Zigbee连接、UWB连接、局域网(“LAN”)、广域网(“WAN”)、网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络)以及其他现在已知或将来开发的网络连接方式。网络105可以利用诸如HTTP(HyperText Transfer Protocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。
用户可以使用终端设备101、102、103、104通过网络105与服务器106交互,以接收或发送消息等。终端设备101、102、103或104上可以安装有各种客户端应用,例如视频直播与播放类应用、网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103或104可以是具有触摸显示屏和/或支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(动态影像专家压缩标准音频层面3)、MP4(动态影像专家压缩标准音频层面4)播放器、头戴式显示设备、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等。
服务器106可以是提供各种服务的服务器,例如对终端设备101、102、103或104上显示的页面或传输的数据提供支持的后台服务器。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
这里,终端设备可以独立或通过与其他电子终端设备配合运行各类操作系统例如安卓系统中的应用实现本公开的实施例方法,也可以运行其他操作系统中的应用例如iOS系统、Windows系统、鸿蒙系统等的应用实现本公开的实施例方法。
[操作系统安全启动方法]
参考图2,示出了根据本公开的操作系统安全启动方法的一个实施例的流程图。所述操作系统安全启动方法,包括以下步骤:
S21,发送安全度量命令以进行安全度量。
这里,如图3A所示,为度量命令的基本格式,度量命令可以包括度量目标内存区域起始地址及长度、度量阶段、命令序列号等各类信息。
其中,度量目标内存区域起始地址及长度可以有多个,以满足内存不连续的情况;度量阶段用于区分不同的度量目标,例如BIOS初始代码、操作系统加载器(OS Loader)、设备固件(Device Firmware)、系统配置、操作系统(OS)等;命令序列号可以不断增加,用于匹配度量命令和度量结果,也可以用来抗重放攻击(Replay Attack)。
S22,根据预设度量策略对指定的度量目标执行或不执行度量命令。
这里,预设度量策略根据实际需要可以定义很多,其中基础的度量策略项包含:各度量阶段对应的度量预期值(可以不止一个)、各度量阶段对应的度量实际值(只有一个)、以及各度量阶段对应的度量模式。
这里,度量策略可以存储在易失存储器中,例如安全处理器中的DRAM,而度量预期值和度量模式均应存放在非易失存储器例如Flash中,并且在需要时进行加密和一致性保护。
S23,返回对度量目标的度量结果。
这里,如图3B所示,为度量结果的基本格式,度量结果可以包括:度量比对结果、度量控制结果、度量阶段、命令序列号等各类信息。
其中,度量对比结果为度量实际值与度量预期值的比较结果,包括成功、失败或无效(未进行度量);度量控制结果是在度量比对结果的基础上结合当前的度量策略做出的继续启动还是终止启动的最终决定;度量阶段及命令序列号对应上述度量命令中的度量阶段及序列号,用来匹配度量命令和度量结果。
S24,根据度量结果确定操作系统是否继续或终止启动。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
[操作系统安全启动方法实施例]
下面,说明本公开的一个实施例,在本实施例中,利用CPU内置的安全处理器进行安全启动度量并控制,当然,安全处理器也可以为其它形式,例如主板另外集成等。
这里,安全处理器有如下特点:
1)具有高安全性,一般有专用的硬件资源,外部不可访问,如易失存储和非易失存储;主CPU与其通信只能通过固定的接口;
2)具有高系统优先级,任何时候(包括主CPU启动后)可以直接访问硬件资源,硬件资源至少包括所有装载度量目标的镜像的内存;
3)系统上电进行安全启动时,安全处理器先于主CPU启动,主CPU何时启动由安全处理器决定,安全处理器在合适的时候以某种方式启动主CPU,例如解开主CPU的复位信号;
4)安全处理器必须以某种方式保证自身运行代码的安全性。例如初始代码固化在芯片内部,不可更改,初始代码在跳转到其它代码之前完成对其它代码的合法性和一致性验证,确保安全可靠。
如图4所示,为根据本公开的操作系统安全启动方法的一个实施例的示意图,其中图中间隔线及箭头代表启动顺序,实线及箭头代表度量请求及结果返回。
系统上电后,安全处理器先于主CPU启动,初始启动代码固化在芯片内,不可更改。这里,安全处理器固件可以位于可修改的非易失存储器上,安全处理器固件由初始代码装载并验证签名后启动。度量模块可以设置在固件内,作为安全处理器固件的一部分,当然也可以根据需要由安全处理器固件装载并验证合法性。
本实施例主要包括以下步骤:
步骤1,检查和初始化安全启动固件,装载安全启动固件接口的镜像;安全启动固件例如安全处理器固件在完成必要的检查和初始化之后准备主CPU的启动,首先装载BIOS(或UEFI)镜像到内存(可以是部分或全部);
步骤2,安全处理器固件发送安全度量命令给度量模块;
步骤3,度量模块根据预设度量策略对指定的度量目标执行或不执行所述度量命令;
步骤4,度量模块完成度量后返回度量结果,
步骤5,安全处理器固件根据度量结果决定是启动主CPU或是不启动。如果启动,例如BIOS启动后根据需要可以依次完成系统配置、设备固件、操作系统加载器等的度量,并且各个过程均向安全处理器发送度量命令然后接收返回的度量结果,当全部通过后启动进入操作系统加载器(比如Grub)。再经由操作系统加载器完成对操作系统的度量,然后再启动操作系统,操作系统可以根据需要进一步度量其后的各个模块或配置。这里,具体启动度量到哪个阶段可以由度量策略决定。
这里,除主CPU初始启动代码的度量外,度量命令一般由主CPU上的已度量过的可信代码生成,然后通过与安全处理器之间的固定通信接口发送给安全处理器上的度量模块,度量模块完成之后根据度量策略返回相应结果。而主CPU初始启动代码的度量完全在安全处理器内部完成,相对比较灵活,可以是由安全处理器完全装载到内存后再直接调用度量模块提供的函数接口完成度量。
这里,本实施例中,安全处理器内的度量模块为各度量阶段设有3种模式,分别为第一模式锁定模式、第二模式校验模式和第三模式关闭模式。
其中,锁定模式的具体流程为:在安全处理器收到度量命令后,执行该度量命令,并通过将度量实际值与度量预期值进行比对产生度量比对结果并记录,如果度量比对结果为成功则度量控制结果为继续启动,如果度量比对结果为失败则度量控制结果为终止启动;
校验模式的具体流程为:安全处理器收到度量命令后,执行该度量命令,将度量实际值记录在该度量阶段对应的内部缓存中,然后与度量预期值进行比对,产生度量比对结果并记录,这里,在该模式下,不管度量比对结果为成功还是失败,度量控制结果始终返回继续启动。
这里,校验模式主要用于在升级系统或修改配置后在可信的环境中初次启动,安全处理器内还没有对应的度量预期值,启动后经过授权可以快速将缓存中记录的度量实际值设置为度量预期值。
关闭模式的具体流程为:安全处理器收到度量命令后,不执行该度量命令,直接设置度量比对结果为无效,则度量控制结果为继续启动。
这里,任何一种模式下,主CPU收到安全处理器返回的度量结果后,只需查看其中的度量控制结果即可决定是否继续启动还是终止,度量比对结果信息可以选择打印或不打印。
这里,操作系统在第一次使用的初始状态下,度量实际值与度量预期值都为零(空),该状态下的度量模式可以为“校验模式”或“关闭模式”,但不能为“锁定模式”。
这里,在本实施例中,在系统初次使用,或系统度量目标发生变化(例如操作系统升级、BIOS设置更改)时,安全处理器内部缺少新度量目标对应的度量预期值。因此在度量模式设置成“锁定模式”前,需要设置新度量预期值并确保正确。利用本实施例中提供的度量模式“校验模式”及相关度量策略管理命令,可以安全高效地完成。
具体到实际使用中,可以有如下两种基本方法:
方法一:从外部导入度量预期值。该方法步骤需要预先知道新度量目标的度量预期值。该方法基本步骤将结合后述操作系统安全启动管理方法进行说明。
方法二:从度量缓存中快速保存。该方法不需要预知度量值,但需要保证新系统在当前是可信的。该方法基本步骤将结合后述操作系统安全启动管理方法进行说明。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)等非易失性存储介质,或随机存储记忆体(RAM)等。
[操作系统安全启动管理方法]
下面说明根据本公开的操作系统安全启动管理方法,在本公开的一个或多个实施例中,安全度量的实际过程及结果判定均由安全处理器集中统一处理,主CPU只负责单一的发送度量命令并根据度量结果继续或停止启动。这种结构设计为度量策略的灵活高效管理提供了基础,方便了用户的使用。
本公开的一个或多个实施例中的度量策略全部位于安全处理器自己的安全存储区域,外部不能直接访问。度量策略的配置管理只有在通过验证授权后,使用安全处理器提供的既定接口安全地进行。
在本公开中,度量策略可以被修改更新,以适应系统升级或配置更新。但度量策略的修改更新必须经过严格授权,以确保安全,否则若度量策略被攻击,或导致系统无法启动,或导致运行非法程序造成不可预想的损失。因此度量策略的访问授权及操作过程中的传输数据保护非常重要。
本公开的操作系统安全启动管理方法中,访问授权及传输数据保护使用了基于会话(Session)的模型,会话双方为管理中心例如度量管理中心(可以位于本机或远程)和安全处理器。双方通过密钥协商和密码验证建立会话后,度量管理中心的所有度量策略设置操作都在此会话中安全地完成。
本公开的操作系统安全启动管理方法包括:
步骤1,度量管理中心与安全处理器进行密钥交换以用于数据传输保护;
这里,如图5所示,为根据本公开的操作系统安全启动管理方法的密钥交换的流程示意图。密钥交换的具体步骤例如可以包括:
a.度量管理中心与安全处理器协商出主秘密(Master Secret),其中,由安全处理器向度量管理中心发送用于密钥协商的例如ECDH公钥证书,度量管理中心获取该公钥证书后进行验证,验证通过后推导出主秘密;
b.从主秘密推导出密钥加密密钥和密钥一致性保护密钥,度量管理中心利用指定的密钥推导函数(KDF)从主秘密推导出密钥加密密钥(KEK)和密钥一致性保护密钥(KIK);
c.由度量管理中心随机生成传输加密密钥(TEK)和传输一致性保护密钥(TIK);
d.传输加密密钥(TEK)和传输一致性保护密钥(TIK)经过密钥加密密钥(KEK)和密钥一致性保护密钥(KIK)加密后与度量管理中心的ECDH公钥证书传输至安全处理器。
f.安全处理器在接收到传输加密密钥(TEK)和传输一致性保护密钥(TIK)和度量管理中心的ECDH公钥证书后,推导出主秘密,并利用指定的密钥推导函数(KDF)从主秘密推导出密钥加密密钥(KEK)和密钥一致性保护密钥(KIK),再进行解密及一致性验证传输加密密钥(TEK)和传输一致性保护密钥(TIK)。
这里,密钥协商算法和密钥推导函数的相关标准例如ECDH、或者国密中基于椭圆曲线的SM2等可以根据实际需要选用。另外,在本过程中,度量管理中心必须验证安全处理器发来的用于密钥协商的公钥证书,保证证书链向上可以追溯到某可信的实体签名,例如该芯片厂商,确保安全处理器的可靠性。
步骤2,通过密钥验证度量管理中心的访问密码;
安全处理器验证度量管理中心的合法性主要是通过密码。度量管理中心在得到访问度量策略的授权前,必须先通过密码验证。如图6所示,为根据本公开的操作系统安全启动管理方法的密码验证的流程示意图;
密码验证的具体步骤例如可以包括:
a.安全处理器请求度量管理中心输入密码;
b.用户输入密码后,度量管理中心将密码通过传输加密密钥(TEK)和传输一致性保护密钥(TIK)加密后发送至安全处理器;
c.安全处理器利用传输加密密钥(TEK)和传输一致性保护密钥(TIK)进行一致性校验和解密,对得到的密码进行验证;
d.若验证通过则返回同样经过传输加密密钥(TEK)和传输一致性保护密钥(TIK)加密的结果给度量管理中心,若验证失败则返回失败结果要求管理中心重新输入密码。
这里,为了确保密码安全,还包括根据需要增加针对密码的防暴力攻击(BruteForce Attack)保护步骤,例如连续出错三次则需等待24小时才能再次输入。
这里,每个安全处理器可以有自己默认的初始密码,初始密码可以粘贴在芯片的标签上。安全处理器也提供了命令接口来修改密码,只要度量管理中心通过验证得到授权后就可以调用命令接口来进行密码修改操作。
步骤3,若验证通过则建立度量管理中心与安全处理器的会话;
度量管理中心通过密码验证后双方建立会话,各自申请需要的相应资源,其中,例如为确保安全,安全处理器为会话申请互斥锁以保证某一时刻只允许有一个会话访问度量策略。
这里,会话成功建立后可以进入下一阶段,度量管理中心可以发送度量命令给安全处理器进行各种操作。
步骤4,度量管理中心向安全处理器传输管理命令以设置预设度量策略或度量预期值或度量模式。
度量管理中心将要执行的度量命令利用传输加密密钥(TEK)和传输一致性保护密钥(TIK)加密保护后,发送给安全处理器进行执行。
这里,为确保安全,发送的度量命令例如根据需要加入抗重放攻击(ReplayAttack)保护步骤,在安全处理器收到度量命令后,检查度量命令的有效性,然后执行度量命令,并将执行结果同样加密保护后返回度量管理中心。
[操作系统安全启动管理方法实施例]
下面,说明本公开操作系统安全启动管理方法的一个实施例,为实现本公开的对度量策略灵活高效的管理,尤其是对度量预期值的管理,安全处理器例如可以提供下述管理命令:
1)修改密码:修改度量管理中心操作度量策略的授权密码。安全处理器出厂时有一个默认密码,出于安全考虑,提供该管理命令供用户选择修改密码。
2)保存度量值:保存指定或所有度量阶段的度量实际值(位于度量值缓存)为新的度量预期值。
3)导入度量值:导入指定度量阶段的度量预期值,导入源可以是位于度量管理中心的本地文件,或由用户实际输入。
4)删除度量值:删除指定或所有度量阶段的度量预期值。
5)显示度量值:查看指定或所有度量阶段的度量预期值,或度量实际值和比对结果。
6)设置度量模式:配置指定或所有度量阶段的度量模式,例如前述度量模式中的锁定模式、校验模式、以及关闭模式。
以设定度量预期值为例说明本实施例,利用本公开操作系统安全启动方法提供的度量模式“校验模式”及相关度量策略管理命令,可以安全高效地完成。具体到实际使用中,可以有如下方法:
方法一:从外部导入度量预期值。该方法需要预先知道新度量目标的度量预期值。具体步骤包括:
在系统尚能启动时启动系统,
进入度量管理中心获取授权后,使用“导入度量值”命令一步设置预知的度量预期值。
这里,为了确保设置正确,可以在度量模式为“校验模式”的情况下先启动一次,确认度量结果都正确之后再将度量模式设置成“锁定模式”。
方法二:从度量缓存中快速保存。该方法不需要预先知道新度量目标的度量预期值,但需要保证新系统在当前可信。具体步骤包括:
1.在系统度量目标发生变化前启动系统,进入度量管理中心获取授权后,使用“设置度量模式”命令设置度量模式为“校验模式”;
2.对度量目标实施所需修改。如果是新系统初次使用,则此步骤为空。
3.重新启动系统,进入度量管理中获取授权后,使用“保存度量值”命令快速保存缓存中的度量实际值为新的度量预期值,然后使用“设置度量模式”命令设置度量模式为“锁定模式”。
4.重新启动系统,安全启动功能正常工作。
[操作系统安全启动装置]
如图7所示,为了实现本公开实施例中的技术方案,本公开提供了一种操作系统安全启动装置,该装置具体可以应用于各种电子终端设备中。
本实施例所述的操作系统安全启动装置包括:度量请求模块701、度量模块702、启动模块703、初始化模块704。
度量请求模块701,发送安全度量命令以进行安全度量。
这里,如图3A所示,为度量命令的基本格式,度量命令可以包括度量目标内存区域起始地址及长度、度量阶段、命令序列号等各类信息。
其中,度量目标内存区域起始地址及长度可以有多个,以满足内存不连续的情况;度量阶段用于区分不同的度量目标,例如BIOS初始代码、操作系统加载器(OS Loader)、设备固件(Device Firmware)、系统配置、操作系统(OS)等;命令序列号可以不断增加,用于匹配度量命令和度量结果,也可以用来抗重放攻击(Replay Attack)。
度量模块702,根据预设度量策略对指定的度量目标执行或不执行度量命令并返回对度量目标的度量结果。
这里,预设度量策略根据实际需要可以定义很多,其中基础的度量策略项包含:各度量阶段对应的度量预期值(可以不止一个)、各度量阶段对应的度量实际值(只有一个)、以及各度量阶段对应的度量模式。
这里,度量策略可以存储在易失存储器中,例如安全处理器中的DRAM,而度量预期值和度量模式均应存放在非易失存储器例如Flash中,并且在需要时进行加密和一致性保护。
这里,如图3B所示,为度量结果的基本格式,度量结果可以包括:度量比对结果、度量控制结果、度量阶段、命令序列号等各类信息。
其中,度量对比结果为度量实际值与度量预期值的比较结果,包括成功、失败或无效(未进行度量);度量控制结果是在度量比对结果的基础上结合当前的度量策略做出的继续启动还是终止启动的最终决定;度量阶段及命令序列号对应上述度量命令中的度量阶段及序列号,用来匹配度量命令和度量结果。
启动模块703,根据所述度量结果确定所述操作系统是否继续或终止启动。
初始化模块704,检查和初始化安全启动固件,装载安全启动固件接口的镜像。
安全启动固件例如安全处理器固件在完成必要的检查和初始化之后准备主CPU的启动,首先装载BIOS(或UEFI)镜像到内存(可以是部分或全部)。
应该理解的是,虽然附图的框图中的每个方框可以代表一个模块,该模块的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令,但是这些模块并不是必然按照顺序依次执行。本公开中装置实施例中的各模块及功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上的模块或功能单元集成在一个模块中。上述集成的各个模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[操作系统安全启动设备]
下面参考图8,其示出了适于用来实现本公开实施例的电子设备(例如图1中的终端设备或服务器)800的结构示意图。本公开实施例中的终端设备可以是上述系统中的各种终端设备。图8示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
其中,本公开的操作系统安全启动芯片设置于电子设备800中,在一个或多个实施例中,包括:
安全处理器,用于执行如前述的操作系统安全启动方法或操作系统安全启动管理方法;这里,安全处理器一般为CPU内置,当然安全处理器也可以为其它形式,例如主板另外集成。这里,除主CPU初始启动代码的度量外,度量命令一般由主CPU上的已度量过的可信代码生成,然后通过与安全处理器之间的固定通信接口发送给安全处理器上的度量模块,度量模块完成之后根据度量策略返回相应结果。而主CPU初始启动代码的度量完全在安全处理器内部完成,可以由安全处理器完全装载到内存后再直接调用度量模块提供的函数接口完成度量。
存储器,用于存储运算数据并与进行数据交换,下面将进行说明;
控制器,用于控制所述存储器并使所述存储器进行数据交换,下面将进行说明。
如图8所示,电子设备800可以包括处理装置(例如中央处理器、图形处理器等)801,用于控制电子设备的整体操作。处理装置可以包括一个或多个处理器来执行指令,以完成上述的方法的全部或部分步骤。此外,处理装置801还可以包括一个或多个模块,用于处理和其他装置之间的交互。
存储装置802用于存储各种类型的数据,存储装置802可以是包括各种类型的计算机可读存储介质或者它们的组合,例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
传感器装置803,用于感受规定的被测量的信息并按照一定的规律转换成可用输出信号,可以包括一个或多个传感器。例如,其可以包括加速度传感器,陀螺仪传感器,磁传感器,压力传感器或温度传感器等,用于检测电子设备的打开/关闭状态、相对定位、加速/减速、温度、湿度和光线等的变化。
处理装置801、存储装置802以及传感器装置803通过总线804彼此相连。输入/输出(I/O)接口805也连接至总线804。
多媒体装置806可以包括触摸屏、触摸板、键盘、鼠标、摄像头、麦克风等的输入装置用以接收来自用户的输入信号,在各种输入装置可以与上述传感器装置803的各种传感器配合完成例如手势操作输入、图像识别输入、距离检测输入等;多媒体装置806还可以包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置。
电源装置807,用于为电子设备中的各种装置提供电力,可以包括电源管理系统、一个或多个电源及为其他装置分配电力的组件。
通信装置808,可以允许电子设备800与其他设备进行无线或有线通信以交换数据。
上述各项装置也均可以连接至I/O接口805以实现电子设备800的应用。
虽然图8示出了具有各种装置的电子设备800,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置从网络上被下载和安装,或者从存储装置被安装。在该计算机程序被处理装置执行时,执行本公开实施例的方法中限定的上述功能。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。
要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动方法,其特征在于,所述方法包括:
发送安全度量命令以进行安全度量;
根据预设度量策略对指定的度量目标执行或不执行所述度量命令;
返回对所述度量目标的度量结果;
根据所述度量结果确定所述操作系统是否继续或终止启动。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动方法,其特征在于,
所述度量命令至少包括以下之一:
所述度量目标内存区域起始地址及长度、度量阶段、命令序列号。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动方法,其特征在于,
所述度量结果至少包括以下之一:
度量比对结果、度量控制结果、度量阶段、命令序列号;
其中,所述度量对比结果为度量实际值与度量预期值的比较结果,包括成功、失败或无效。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动方法,其特征在于,
所述操作系统安全启动方法对应所述度量阶段至少包括以下度量模式之一:
第一模式,执行所述度量命令,所述度量比对结果为成功则所述度量控制结果为继续启动,所述度量比对结果为失败则所述度量控制结果为终止启动;
第二模式,执行所述度量命令,记录所述度量实际值,所述度量控制结果为继续启动;
第三模式,不执行所述度量命令,设置所述度量比对结果为无效,所述度量控制结果为继续启动。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动方法,其特征在于,
所述操作系统在第一次使用的初始状态下,所述度量实际值与所述度量预期值均为空,所述模式为所述第二模式或所述第三模式。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动方法,其特征在于,
通过所述第二模式设置所述度量预期值,设置方法至少包括以下之一:
从外部导入所述度量预期值;
从缓存中保存所述度量预期值。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动方法,其特征在于,
所述从缓存中保存所述度量预期值,包括:
设置所述度量模式为所述第二模式;
对所述度量目标实施所需修改;
重新启动系统,从缓存中保存所述度量实际值为新的所述度量预期值。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动方法,其特征在于,
检查和初始化安全启动固件,装载安全启动固件接口的镜像。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动管理方法,其特征在于,
管理中心与安全处理器进行密钥交换以用于数据传输保护;
通过所述密钥验证所述管理中心的访问密码;
若验证通过则建立所述管理中心与所述安全处理器的会话;
所述管理中心向所述安全处理器传输管理命令以设置预设度量策略或度量预期值或度量模式。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动管理方法,其特征在于,
所述管理中心与安全处理器进行密钥交换,包括:
所述管理中心与所述安全处理器协商出主秘密;
从所述主秘密推导出密钥加密密钥和密钥一致性保护密钥;
由所述管理中心生成传输加密密钥和传输一致性保护密钥;
所述传输加密密钥和所述传输一致性保护密钥经过所述密钥加密密钥和所述密钥一致性保护密钥加密后传输至所述安全处理器。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动管理方法,其特征在于,
所述通过所述密钥验证所述管理中心的访问密码,包括:
所述安全处理器请求所述管理中心输入密码;
所述管理中心将所述密码通过所述传输加密密钥和所述传输一致性保护密钥加密后发送至所述安全处理器;
所述安全处理器利用所述传输加密密钥和所述传输一致性保护密钥进行一致性校验和解密;
若验证通过则返回经过所述传输加密密钥和所述传输一致性保护密钥加密的结果给所述管理中心,若验证失败则返回失败结果要求所述管理中心重新输入密码。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动管理方法,其特征在于,
所述通过所述密钥验证所述管理中心的访问密码还包括:设置防暴力攻击保护步骤以确保所述访问密码安全;
所述管理中心向所述安全处理器传输管理命令还包括:设置抗重放保护步骤以确保所述管理命令安全。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动装置,其特征在于,包括:
度量请求模块,发送安全度量命令以进行安全度量;
度量模块,根据预设度量策略对指定的度量目标执行或不执行所述度量命令并返回对所述度量目标的度量结果;
启动模块,根据所述度量结果确定所述操作系统是否继续或终止启动。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动装置,其特征在于,
所述度量命令至少包括以下之一:
所述度量目标内存区域起始地址及长度、度量阶段、命令序列号。
所述度量结果至少包括以下之一:
度量比对结果、度量控制结果、度量阶段、命令序列号;
其中,所述度量对比结果为度量实际值与度量预期值的比较结果,包括成功、失败或无效。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动装置,其特征在于,
初始化模块,检查和初始化安全启动固件,装载安全启动固件接口的镜像。
根据本公开的一个或多个实施例,提供了一种操作系统安全启动芯片,其特征在于,
安全处理器,用于执行如前任一所述的操作系统安全启动方法或操作系统安全启动管理方法;
存储器,用于存储运算数据并与进行数据交换;
控制器,用于控制所述存储器并使所述存储器进行数据交换。
根据本公开的一个或多个实施例,提供了一种计算机设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现如上述任一项所述的方法。
根据本公开的一个或多个实施例,提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述的方法。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (18)
1.一种操作系统安全启动方法,利用CPU内置的安全处理器进行安全启动度量并控制,所述安全处理器的固件由初始代码装载并验证签名后启动,其特征在于,包括:
发送安全度量命令以进行安全度量;
根据预设度量策略对指定的度量目标执行或不执行所述度量命令;
返回对所述度量目标的度量结果;
根据所述度量结果确定所述操作系统是否继续或终止启动;
其中,所述度量目标至少包括所述初始代码。
2.如权利要求1所述的操作系统安全启动方法,其特征在于,
所述度量命令至少包括以下之一:
所述度量目标内存区域起始地址及长度、度量阶段、命令序列号。
3.如权利要求1所述的操作系统安全启动方法,其特征在于,
所述度量结果至少包括以下之一:
度量比对结果、度量控制结果、度量阶段、命令序列号;
其中,所述度量比对结果为度量实际值与度量预期值的比较结果,包括成功、失败或无效。
4.如权利要求3所述的操作系统安全启动方法,其特征在于,
所述操作系统安全启动方法对应所述度量阶段至少包括以下度量模式之一:
第一模式,执行所述度量命令,所述度量比对结果为成功则所述度量控制结果为继续启动,所述度量比对结果为失败则所述度量控制结果为终止启动;
第二模式,执行所述度量命令,记录所述度量实际值,所述度量控制结果为继续启动;
第三模式,不执行所述度量命令,设置所述度量比对结果为无效,所述度量控制结果为继续启动。
5.如权利要求4所述的操作系统安全启动方法,其特征在于,
所述操作系统在第一次使用的初始状态下,所述度量实际值与所述度量预期值均为空,所述模式为所述第二模式或所述第三模式。
6.如权利要求4所述的操作系统安全启动方法,其特征在于,
通过所述第二模式设置所述度量预期值,设置方法至少包括以下之一:
从外部导入所述度量预期值;
从缓存中保存所述度量预期值。
7.如权利要求6所述的操作系统安全启动方法,其特征在于,
所述从缓存中保存所述度量预期值,包括:
设置所述度量模式为所述第二模式;
对所述度量目标实施所需修改;
重新启动系统,从缓存中保存所述度量实际值为新的所述度量预期值。
8.如权利要求1所述的操作系统安全启动方法,其特征在于,
检查和初始化安全启动固件,装载安全启动固件接口的镜像。
9.一种操作系统安全启动管理方法,利用CPU内置的安全处理器进行安全启动度量并控制,所述安全处理器的固件由初始代码装载并验证签名后启动,其特征在于,包括,
管理中心与所述安全处理器进行密钥交换以用于数据传输保护;
通过所述密钥验证所述管理中心的访问密码;
若验证通过则建立所述管理中心与所述安全处理器的会话;
所述管理中心向所述安全处理器传输管理命令以设置预设度量策略或度量模式。
10.如权利要求9所述的操作系统安全启动管理方法,其特征在于,
所述管理中心与安全处理器进行密钥交换,包括:
所述管理中心与所述安全处理器协商出主秘密;
从所述主秘密推导出密钥加密密钥和密钥一致性保护密钥;
由所述管理中心生成传输加密密钥和传输一致性保护密钥;
所述传输加密密钥和所述传输一致性保护密钥经过所述密钥加密密钥和所述密钥一致性保护密钥加密后传输至所述安全处理器。
11.如权利要求10所述的操作系统安全启动管理方法,其特征在于,
所述通过所述密钥验证所述管理中心的访问密码,包括:
所述安全处理器请求所述管理中心输入密码;
所述管理中心将所述密码通过所述传输加密密钥和所述传输一致性保护密钥加密后发送至所述安全处理器;
所述安全处理器利用所述传输加密密钥和所述传输一致性保护密钥进行一致性校验和解密;
若验证通过则返回经过所述传输加密密钥和所述传输一致性保护密钥加密的结果给所述管理中心,若验证失败则返回失败结果要求所述管理中心重新输入密码。
12.如权利要求10所述的操作系统安全启动管理方法,其特征在于,
所述通过所述密钥验证所述管理中心的访问密码还包括:设置防暴力攻击保护步骤以确保所述访问密码安全;
所述管理中心向所述安全处理器传输管理命令还包括:设置抗重放保护步骤以确保所述管理命令安全。
13.一种操作系统安全启动装置,利用CPU内置的安全处理器进行安全启动度量并控制,所述安全处理器的固件由初始代码装载并验证签名后启动,其特征在于,包括:
度量请求模块,发送安全度量命令以进行安全度量;
度量模块,根据预设度量策略对指定的度量目标执行或不执行所述度量命令并返回对所述度量目标的度量结果;
启动模块,根据所述度量结果确定所述操作系统是否继续或终止启动;
其中,所述度量目标至少包括所述初始代码。
14.如权利要求13所述的操作系统安全启动装置,其特征在于,
所述度量命令至少包括以下之一:
所述度量目标内存区域起始地址及长度、度量阶段、命令序列号;
所述度量结果至少包括以下之一:
度量比对结果、度量控制结果、度量阶段、命令序列号;
其中,所述度量比对结果为度量实际值与度量预期值的比较结果,包括成功、失败或无效。
15.如权利要求13所述的操作系统安全启动装置,其特征在于,还包括,
初始化模块,检查和初始化安全启动固件,装载安全启动固件接口的镜像。
16.一种操作系统安全启动芯片,其特征在于,包括:
安全处理器,用于执行如权利要求1-12任一所述的操作系统安全启动方法或操作系统安全启动管理方法;
存储器,用于存储运算数据并与进行数据交换;
控制器,用于控制所述存储器并使所述存储器进行数据交换。
17.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-12中任一项所述的方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-12中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911273265.8A CN111045743B (zh) | 2019-12-12 | 2019-12-12 | 操作系统安全启动方法、管理方法、装置、设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911273265.8A CN111045743B (zh) | 2019-12-12 | 2019-12-12 | 操作系统安全启动方法、管理方法、装置、设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111045743A CN111045743A (zh) | 2020-04-21 |
CN111045743B true CN111045743B (zh) | 2024-02-13 |
Family
ID=70235992
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911273265.8A Active CN111045743B (zh) | 2019-12-12 | 2019-12-12 | 操作系统安全启动方法、管理方法、装置、设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111045743B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111881467B (zh) * | 2020-06-12 | 2022-10-28 | 海光信息技术股份有限公司 | 利用安全处理器保护文件的方法、装置、cpu和计算机设备 |
CN111831609B (zh) * | 2020-06-18 | 2024-01-02 | 中国科学院数据与通信保护研究教育中心 | 虚拟化环境中二进制度量值统一管理和分发的方法和系统 |
CN112231713B (zh) * | 2020-10-29 | 2023-03-28 | 超越科技股份有限公司 | 一种grub安全启动的方法、系统和计算设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101330504A (zh) * | 2007-06-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种基于共享密钥的sip网络中传输层安全的实现方法 |
CN101576944A (zh) * | 2008-11-20 | 2009-11-11 | 武汉大学 | 基于可信平台模块的计算机安全启动系统 |
CN102279914A (zh) * | 2011-07-13 | 2011-12-14 | 中国人民解放军海军计算技术研究所 | 一种uefi可信支撑系统及其控制方法 |
CN103927490A (zh) * | 2014-04-25 | 2014-07-16 | 华为技术有限公司 | 操作系统安全启动方法及装置 |
CN110096882A (zh) * | 2018-01-31 | 2019-08-06 | 北京可信华泰信息技术有限公司 | 一种设备运行过程中的安全度量方法 |
-
2019
- 2019-12-12 CN CN201911273265.8A patent/CN111045743B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101330504A (zh) * | 2007-06-28 | 2008-12-24 | 中兴通讯股份有限公司 | 一种基于共享密钥的sip网络中传输层安全的实现方法 |
CN101576944A (zh) * | 2008-11-20 | 2009-11-11 | 武汉大学 | 基于可信平台模块的计算机安全启动系统 |
CN102279914A (zh) * | 2011-07-13 | 2011-12-14 | 中国人民解放军海军计算技术研究所 | 一种uefi可信支撑系统及其控制方法 |
CN103927490A (zh) * | 2014-04-25 | 2014-07-16 | 华为技术有限公司 | 操作系统安全启动方法及装置 |
CN110096882A (zh) * | 2018-01-31 | 2019-08-06 | 北京可信华泰信息技术有限公司 | 一种设备运行过程中的安全度量方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111045743A (zh) | 2020-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102604046B1 (ko) | 전자 기기의 프로그램 관리 방법 및 장치 | |
CN108810894B (zh) | 终端授权方法、装置、计算机设备和存储介质 | |
CN107077574B (zh) | 用于客户端设备的信任服务 | |
CN111045743B (zh) | 操作系统安全启动方法、管理方法、装置、设备 | |
US8863309B2 (en) | Selectively unlocking a core root of trust for measurement (CRTM) | |
US10212156B2 (en) | Utilizing a trusted platform module (TPM) of a host device | |
CN107431924B (zh) | 将设备标识符和用户标识符相关联的设备盗窃防护 | |
JP6569006B2 (ja) | キーをセキュアにアクティベートまたはリボークするためのコンピューティングデバイス | |
CN109669734A (zh) | 用于启动设备的方法和装置 | |
US9600671B2 (en) | Systems and methods for account recovery using a platform attestation credential | |
WO2017133559A1 (zh) | 安全启动方法及装置 | |
KR102126563B1 (ko) | 보안 확인을 위한 전자 장치 및 방법 | |
US10372440B1 (en) | Tokenized mobile device update systems and methods | |
US20230325178A1 (en) | Tokenized mobile device update systems and methods | |
CN117453343A (zh) | 虚拟机度量、机密计算认证方法、设备、系统及存储介质 | |
CN114450663A (zh) | 使用安全集成电路来更新固件的电子装置及其操作方法 | |
US20180019870A1 (en) | Device to limit access to storage to authenticated actors only | |
CN113472737B (zh) | 边缘设备的数据处理方法、装置及电子设备 | |
CN114880011A (zh) | Ota升级方法、装置、电子设备及可读存储介质 | |
JP6287491B2 (ja) | 情報処理装置、認証制御方法及びプログラム | |
KR20210050215A (ko) | 전자 장치의 고유 정보에 대한 무결성을 보장하는 전자 장치 및 그의 동작 방법 | |
CN116186709A (zh) | 基于虚拟化VirtIO技术卸载UEFI安全启动的方法、装置及介质 | |
CN114879980A (zh) | 车载应用安装方法、装置、计算机设备、存储介质 | |
CN117077174A (zh) | 目标对象授权方法、装置、电子设备及存储介质 | |
CN115357865A (zh) | 接口调用方法、系统及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 300450 Tianjin Binhai New Area Tianjin Huayuan Industrial Zone Haitai West Road 18 North 2-204 Industrial Incubation-3-8 Applicant after: Haiguang Information Technology Co.,Ltd. Address before: 300450 Tianjin Binhai New Area Tianjin Huayuan Industrial Zone Haitai West Road 18 North 2-204 Industrial Incubation-3-8 Applicant before: HAIGUANG INFORMATION TECHNOLOGY Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |