CN111625831B - 可信安全的度量方法和装置 - Google Patents

Abstract

本发明公开了一种可信安全的度量方法和装置。其中，该方法包括：安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC；安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果；将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。本发明解决了现有技术在可信计算中，度量值的比对由CPU执行，导致设备的安全性能不足的技术问题。

Description

可信安全的度量方法和装置

技术领域

本发明涉及可信计算领域，具体而言，涉及一种可信安全的度量方法和装置。

背景技术

随着计算机应用的普及，硬件攻击的日益猖獗，业务平台及系统的完整性保证日益受到重视。度量是一种保护平台及系统完整性的方式，其具体为：在某些特定的时刻，对目标进行度量，得到目标的某些信息(比如文件的散列值)，将这些信息的值与预先记录的标准值进行比较，从而判断目标的完整性是否被破坏。

但目前，TPM和TPCM在平台及系统的完整性度量，以及信任链传递过程中，还存在如下不足：可信卡的计算能力均无法满足云场景下高速运行环境的静动态度量，因此需要由CPU执行度量相关的运算，从而导致存在敏感信息内存泄露，且需无条件相信CPU可信。

针对现有技术在可信计算中，度量值的比对由CPU执行，导致设备的安全性能不足的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种可信安全的度量方法和装置，以至少解决现有技术在可信计算中，度量值的比对由CPU执行，导致设备的安全性能不足的技术问题。

根据本发明实施例的一个方面，提供了一种可信安全的度量方法，包括：安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC；安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果；将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。

根据本发明实施例的另一方面，还提供了一种可信安全的度量装置，包括：验证模块，用于安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC；获取模块，用于安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果；比对模块，用于将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。

根据本发明实施例的另一方面，还提供了一种存储介质，其特征在于，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行如下步骤：安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC；安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果；将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。

根据本发明实施例的另一方面，还提供了一种处理器，其特征在于，处理器用于运行程序，其中，程序运行时执行如下步骤：安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC；安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果；将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。

在本发明实施例中，由安全芯片验证主板系统的完整性，获取安全监控装置返回的对主板系统的度量结果，以及预存的标准度量值，并将安全芯片对主办系统进行度量得到的第一度量结果、安全监控装置返回的第二度量结果与预存的标准度量值进行比对，从而对主板系统进行验证，仅在比对结果为相同的情况下允许主板上电。由于上述方案在信任链的传递过程中，度量对象的度量值(即hash计算)和验证均在安全芯片中进行，因此能够保证无防护节点的设备具有了安全可信的安全监控装置，进而保证了设备的安全性能，解决了现有技术在可信计算中，度量值的比对由CPU执行，导致设备的安全性能不足的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1示出了一种用于可信安全的度量方法的计算机终端(或移动设备)的硬件结构框图；

图2是TCG信任链的示意图；

图3是TPCM信任链传递的示意图；

图4是根据本申请实施例1的一种获取安全启动的度量方法的流程图；

图5是根据本申请实施例1的一种基于可信安全度量的可信信任链传递的示意图；

图6是根据本申请实施例2的一种可信安全的度量装置的示意图；以及

图7是根据本申请实施例3的一种计算机终端的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先，在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释：

可信计算：Trusted Computing，是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性。

可信平台模块：TPM/TPCM，是为证据提供完整性和真实性保障的安全芯片，一般通过物理方式被强绑定到计算平台。

可信度量：在特定时刻对目标进行度量，得到的目标的某些信息(比如对文件的散列值)，将这些信息的值与预先记录的标准值进行比较，从而判断目标的完整性是否被破坏。

信任链：系统从一个初始的信任根出发，在平台计算环境的每一次转换时，这种信任可以通过传递的方式维持下去，从而在计算平台上建立了一级验证一级，一级信任一级的可信链。

实施例1

根据本发明实施例，还提供了一种可信安全的度量方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于可信安全的度量方法的计算机终端(或移动设备)的硬件结构框图。如图1所示，计算机终端10(或移动设备10)可以包括一个或多个(图中采用102a、102b，……，102n来示出)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外，还可以包括：显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

应当注意到的是上述一个或多个处理器102和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外，数据处理电路可为单个独立的处理模块，或全部或部分的结合到计算机终端10(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的，该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。

存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中的可信安全的度量方法对应的程序指令/数据存储装置，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

显示器可以例如触摸屏式的液晶显示器(LCD)，该液晶显示器可使得用户能够与计算机终端10(或移动设备)的用户界面进行交互。

此处需要说明的是，在一些可选实施例中，上述图1所示的计算机设备(或移动设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是，图1仅为特定具体实例的一个实例，并且旨在示出可存在于上述计算机设备(或移动设备)中的部件的类型。

下面，首先对TPM信任链传递进行说明。

TCG规范中的可信平台模块(Trusted Platform Module，TPM)是可信计算平台的硬件可信根，TPM是提供受保护的安全存储、密码运算能力的安全芯片。TPM通过物理方式与计算平台相连，并通过外部总线连接到CPU上，例如：PC机平台上采取直接固化在主板上的方式通过LPC总线连接。

TCG规范中给出了对可信(trusted)的定义：一个实体一直以一种可预期的方式为特定的目标运行。可信计算的核心机制是通过信任链机制构建可信计算环境，目前运行实体是否可信是建立系统前一运行过程是否可信的基础上。基于这种信任关系，如果系统从一个初始的信任根出发，在平台计算环境的每一次转换时，这种信任可以通过传递的方式维持下去，从而在计算平台上建立了一级验证一级，一级信任一级的可信链，该计算环境就始终是可信的，它就能够被本地用户或远程实体信任。图2是TCG信任链的示意图，结合图2所示，TPM为完整性报告中的信任根(Root of trust in integrity reporting)，BIOSboot block(BIOS引导块)为完整性度量的可信根。由BIOS boot block对BIOS进行度量，由BIOS对Hardware(硬件)、Option ROMs(随选内存)，以及OS Loader(OS载入器)进行度量，由OS Loader对OS进行度量，由OS对New OS component(新操作系统组件)进行度量，将度量值均记录在Memory(存储器)中，并将度量值的扩展值存放在TPM中，TPM将度量值的扩展值报告给OS，由OS将度量值的扩展值通过Application(应用系统)报告至Network(网络)。

在TCG标准中，将每一项的度量值PCRi存放在存储器中，将度量值的扩展值存放在TPM中，PCRi New＝HASH(PCRi Old value||value to add)。考虑性能问题，通常的做法是将hash在CPU中，TPM只负责测量，不做比对，当所有度量对象度量完后，在OS Grub阶段，由本地主机CPU来比较，或者主机接入服务端时，由服务端做比对。

这种方式是在度量完所有对象之后，最终由CPU做比对或服务端做比对的方式，从而会造成敏感信息泄露及风险感应及防患延迟。

图3是TPCM信任链传递的示意图，再结合图3对TPCM信任链传递进行说明。

1、TPCM上电，自检TPCM自由固件是否合法，合法则执行第2步，否则关机或报警；

2、验证BMC和BIOS，验证通过，合法则执行第3步，否则关机或报警；

3、主板上电；

4、验证平台完整性：

4.1、BIOS要求CPU获取平台信息返回给TPCM；

4.2、CPU执行获取网卡、显卡、硬盘等固件信息；

4.3、CPU将获得的信息返回给TPCM，让TPCM度量；

4.4、TPCM度量验证相关固件完整性；验证通过，则第5步，否则关机或报警；

5、验证OS loader；验证通过则第5步，否则关机或报警；

6、验证OS Kernel，验证通过则第6步，否则关机或报警；

7、动态度量验证vTPCM；

8、动态度量验证应用系统。

在这信任链传递过程中，第1到第4步所有度量对象的hash计算及验证均在TPCM卡中，由于TPCM卡的计算能力不足，这会造成风险感应及防范延迟。第5步之后，所有度量对象的hash计算及验证均在CPU中，从而可能会造成敏感信息的泄露。

由此可见，上述方案存在如下缺陷：将度量相关的运算由CPU完成，从而存在敏感信息内存泄露的风险，且需无条件相信CPU可信。因此需要一种新的度量监控方法，来保证CPU的度量计算是合法的，且度量结果是正确的。

为了解决上述缺陷，在上述运行环境下，本申请提供了如图4所示的获取安全启动的度量方法。图4是根据本申请实施例1的一种获取安全启动的度量方法的流程图。

步骤S41，安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC。

具体的，上述安全芯片可以为TPM或TPCM，上述安全监控装置可以为设置在安全芯片和CPU之间的安全监控模块(下称SM)。主板系统包括BMC(Baseboard ManagementController，基板管理控制器)和BIOS(Basic Input Output System，基本输入输出系统)。

在一种可选的实施例中，以安全芯片为TPCM为例，安全监控装置设置在安全芯片与CPU之间，用于对主板系统的完整性进行度量，得到第二度量结果。TPCM上电后首先进行自检，自检的方式可以是TPCM对其固件信息进行度量，并将度量结果与预存的基准度量值进行比对，如果二者相同，则确定自检成功，TPCM合法。

在TPCM自检结果为合法的情况下，TPCM对安全监控装置SM的合法性进行检测，仍可以由TPCM对SM的固件信息进行度量，并将度量结果与预存的基准度量值进行比对，如果二者相同，则确定SM合法。

在TPCM验证确定SM合法的情况下，TPCM验证主板系统的完整性。验证的方式可以是，首先计算得到BMC的第一度量结果(BMC1)和BIOS的第一度量结果(BIOS1)，再将BMC1与TPCM第一次度量BMC的度量值进行比较，将BIOS1与TPCM第一次度量BIOS的度量值进行比较，如果比较结果均为相同，则主板系统的完整性验证通过，并得到BMC的第一度量结果(BMC1)和BIOS的第一度量结果(BIOS1)。

步骤S43，安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果。

在上述步骤中，安全芯片对主板系统的完整性验证通过后，记录主板系统的第一度量结果，即BMC的第一度量结果(BMC1)和BIOS的第一度量结果(BIOS1)。

在一种可选的实施例中，仍以TPCM为例，触发安全监控装置SM设置在TPCM与CPU之间。在TPCM启动度量BMC和BIOS的同时，还触发SM获取CPU对BMC和BIOS的度量结果，SM在该度量结果的基础上进行相应运算，得到返回给安全芯片的度量结果BMC2和BIOS2。

步骤S45，将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。

经过步骤S41和S43后，安全芯片得到了TPCM对主板系统的第一度量结果，以及安全监控装置返回的第二度量结果，安全芯片将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果三者相同，则对主板系统验证通过，控制主板上电。具体的，上述预存的标准度量值可以是安全监控装置SM或安全芯片在主板系统第一次启动时进行度量得到的度量值，预存在PCR中。

在一种可选的实施例中，预存的标准度量值包括安全监控装置SM对BMC进行度量得到的第三度量结果(BMC3)和安全监控装置SM对BIOS进行度量得到的第三度量结果(BIOS3)。仍以TPCM为例，TPCM获取到第一度量结果BMC1和BIOS1、安全监控装置SM返回的BMC2和BIOS2，以及BMC3和BIOS3。TPCM将BMC1、BMC2与BMC3进行比对，并将BIOS1、BIOS2与BIOS3进行比对，在均相同的情况下，确认对主板系统验证成功，将信任链控制权传递给BIOS，并控制主板上电。如果不能满足均相同的条件，则禁止主板上电，并发出报警信息。

本申请上述实施例由安全芯片验证主板系统的完整性，获取安全监控装置返回的对主板系统的度量结果，以及预存的标准度量值，并将安全芯片对主办系统进行度量得到的第一度量结果、安全监控装置返回的第二度量结果与预存的标准度量值进行比对，从而对主板系统进行验证，仅在比对结果为相同的情况下允许主板上电。由于上述方案在信任链的传递过程中，度量对象的度量值(即hash计算)和验证均在安全芯片中进行，因此能够保证无防护节点的设备具有了安全可信的安全监控装置，进而保证了设备的安全性能，解决了现有技术在可信计算中，度量值的比对由CPU执行，导致设备的安全性能不足的技术问题。

作为一种可选的实施例，在获取安全监控装置返回的度量结果之前，上述方法还包括：安全芯片启动验证主板系统的完整性，并将度量主板系统的度量策略发送至安全监控装置，其中，安全监控装置基于度量策略监控中央处理器CPU度量主板系统的数据，计算得到主板系统的完整性；安全芯片接收安全监控装置返回的度量结果。

具体的，度量策略包括度量对象以及度量操作指令，中央处理器CPU在安全监控装置的监控下，对主板系统的BMC和BIOS进行度量。

在上述方案中，安全芯片将度量策略发送至安全监控装置，安全监控装置通过度量策略，监控CPU对BMC和BIOS进行度量，得到CPU对BMC和BIOS的度量结果，安全监控装置SM再根据CPU对BMC和BIOS的度量结果进行相应的计算，得到上述主板系统的完整性信息。

在一种可选的实施例中，TPCM在启动度量BMC和BIOS的同时，会触发安全监控装置SM度量主板系统的完整性。TPCM向SM发送通知信息，该通知信息中至少包括度量对象和度量操作指令。SM根据TPCM传给其的度量策略，监控CPU按照度量策略中的内容对BMC和BIOS进行度量的操作指令，等SM监控到上述操作指令时，从内存中获取CPU对BMC和BIOS的度量结果，并通过相应的度量运算，得到主板系统的完整性结果，即BMC2和BIOS2。

在上述方案中，度量对象的hash计算及验证均由TPCM和CPU共同完成，或者由获得信任链控制权的安全监控装置与CPU一起完成。因此不仅提高了度量计算的性能，还同时保证了其安全性。且由于度量计算是由CPU完成，而不是TPCM去完成，因此能够提升度量计算速度，但是CPU的度量计算又受到安全监控装置的监控，因此能够保证其操作的正确性，进而提高了度量计算的安全。

作为一种可选的实施例，度量策略至少包括：需要度量的对象和度量操作指令。

具体的，上述需要度量的对象即为度量主体，度量操作指令用于指示度量所采用的度量算法，以及，如果度量对象被加密，则度量操作指令中还包括度量对象的私钥所对应的公钥。

上述度量策略由安全芯片发出，只有所有的度量计算采用相同的度量算法，得到的结果才能够用于比对。上述方案由安全芯片将度量策略发送至安全监控装置，从而使得所有的度量均使用相同的度量算法进行，进而保证了方案的可实施性。

图5是根据本申请实施例1的一种基于可信安全度量的可信信任链传递的示意图，结合图5，对上述可信安全的度量方法进行说明。

S51，TPCM上电，自检TPCM固件是否合法，自检相关的度量计算及比对是TPCM完成，合法则执行第S52，否则报警；

S52，验证安全监控模块SM的固件是否合法，这个验证过程相关的度量计算及比对均是TPCM完成，合法则执行第S53，否则报警；

S53，TPCM验证BMC和BIOS的完整性,包括如下步骤:

(a)TPCM度量验证BMC和BIOS的完整性，其度量度量结果分别为BMC1和BIOS1，验证不通过则报警，否则等待S53’步骤的反馈结果，再执行第(b)步；

(b)TPCM比对BMC1、S53’步骤中得到的BMC2及PCR值中的BMC3是否相等；TPCM比对BIOS1、S53’步骤的BIOS2及PCR值中的BIOS3是否相等；相等则主板上电，信任链控制权传递给BIOS，否则报警。

S53'，TPCM启动度量BMC和BIOS的同时，也做如下操作：

(a)TPCM启动度量BMC和BIOS的同时，触发安全监控模块SM，通知SM，其将要度量的对象，及要做的度量操作指令(比如采用什么算法度量，如果度量对象被加密的话，还需告知加密度量对象私钥所对应的公钥)；

(b)SM根据步骤(a)中TPCM传给其的度量策略，监控CPU的操作指令，及从内存中获取CPU度量BMC和BIOS得到的数据，进行相应的度量计算，其计算结果分别为BMC2、BIOS2；

(c)SM将计算结果分别为BMC2、BIOS2返回给TPCM。

作为一种可选的实施例，在安全芯片验证主板系统的完整性之后，方法还包括：主板通过平台系统发送请求信息至CPU；CPU获取至少一个硬件的固件信息，并对获取到的固件信息进行度量，得到固件度量结果；CPU将度量得到的固件度量结果返回给安全芯片。

在上述方案中，信任链的控制权已经传递给了主板，即BIOS，因此由BIOS对下游装置，即平台系统(Platform)进行度量。具体的，上述至少一个硬件可以包括：网卡、显卡、硬盘等。

在一种可选的实施例中，仍以TPCM为例，BIOS通过向CPU发送请求信息，以使CPU获取固件信息，CPU执行该请求，获取网卡、显卡以及硬盘等硬件的固件信息。CPU根据获得的固件信息进行度量，并在对固件信息进行度量后，将对固件信息的度量值作为固件度量结果返回给TPCM。

作为一种可选的实施例，平台系统包括设备的至少一个硬件。

作为一种可选的实施例，在CPU将度量得到的固件度量结果返回给安全芯片之后，上述方法还包括：安全芯片将CPU返回的固件度量结果与安全监控装置返回的固件度量结果，以及预存的固件标准度量值进行比对，其中，固件度量结果为安全监控装置度量至少一个硬件的完整性的结果；在比对结果为都相同的情况下，平台系统上电。

具体的，上述固件标准度量值可以是安全芯片第一次度量平台系统的固件信息得到的hash值，安全芯片将该hash值存储在安全芯片的PCR中，作为固件标准度量值。

在上述步骤中，安全芯片接收到CPU返回的固件度量结果后，记录平台系统的度量结果，即Platform的度量结果Platform1，然后获取安全监控装置返回的固件度量结果Platform2以及预存的固件标准度量值Platform3，再将Platform1、Platform2以及Platform3进行比对，如果Platform1、Platform2均与Platform3相同，则控制平台系统上电。

在一种可选的实施例中，仍以TPCM为例，安全监控装置SM设置在TPCM与CPU之间。在TPCM启动度量BMC和BIOS的同时，还触发SM获取CPU对Platform的第二度量结果Platform2。SM从CPU处获取到Platform2后，将Platform2返回给TPCM。

TPCM再从PCR中取出固件标准度量值Platform3，并将Platform1、Platform2与Platform3比对，如果Platform1、Platform2均与Platform3相同，则控制Platform上电。

通过上述步骤，实现了对平台系统的验证，从而将信任链的控制权由BIOS传递给了Platform，由Platform对下一级装置进行度量。

作为一种可选的实施例，在安全芯片将接收到的固件度量结果与安全监控装置返回的固件度量结果，以及预存的固件标准度量值进行比对之前，上述方法还包括：安全芯片启动验证至少一个硬件的完整性，并将度量至少一个硬件的度量策略发送至安全监控装置，其中，安全监控装置基于度量策略监控中央处理器CPU度量至少一个硬件的数据，计算得到至少一个硬件的固件度量结果；安全芯片接收安全监控装置返回的固件度量结果。

具体的，至少一个硬件的度量策略包括度量对象以及度量操作指令，中央处理器CPU在安全监控装置的监控下，对平台系统进行度量。

在上述方案中，安全芯片将至少一个硬件的度量策略发送至安全监控装置，安全监控装置通过至少一个硬件的度量策略，监控CPU对平台系统进行度量，得到CPU对平台系统进行度量得到的度量结果，安全监控装置再根据CPU对平台系统进行度量得到的度量结果进行相应的计算，得到上述平台系统的完整性信息。

在一种可选的实施例中，TPCM在启动度量Platform的同时，会触发安全监控装置SM度量Platform的完整性。TPCM向SM发送通知信息，该通知信息中至少包括至少一个硬件的度量对象和度量操作指令。SM根据TPCM传给其的度量策略，监控CPU按照度量策略中的内容对Platform进行度量的操作指令，等SM监控到上述操作指令时，从内存中获取CPU对Platform的度量结果，并通过相应的度量运算，得到Platform的完整性结果，即Platform2。

下面再结合图5，对Platform的验证进行说明，上述可信安全的度量方法还包括如下步骤：

S54，验证平台完整性(创新点)：

(a)BIOS要求CPU获取平台信息返回给TPCM；

(b)CPU执行获取网卡、显卡、硬盘等固件信息；

(c)CPU将获得的信息，进行度量，并将度量计算结果Platform1返回给TPCM；

(d)TPCM进行度量比对Platform1、Platform2和Platform3；验证通过，则进入步骤S55，否则关机或报警。其中，Platform2是SM模块可以通过步骤S53’的方式度量计算平台固件信息的hash值；Platform3是TPCM模块第一次度量平台固件信息的hash值，其对应的是TPCM模块中的PCR值。

S55，验证OS loader；验证通过则第7)步，否则关机或报警；

S56，验证OS Kernel，验证通过则第8)步，否则关机或报警；

S57，动态度量验证vTPCM，验证通过则第9)步，否则关机或报警；

S58，动态度量验证应用系统，验证通过则允许应用系统执行请求，否则关机或报警；

需要说明的是，步骤S55-S58中的步骤的验证方法均可以采用与S54类似的方法进行计算，步骤S53到步骤S58由TPCM完成的度量启动及验证比对操作也可由获得信任链控制权的实体和CPU一起完成。

作为一种可选的实施例，在安全芯片验证主板系统的完整性之后，上述方法还包括：平台系统通过操作系统加载器发送请求信息至CPU；CPU获取操作系统加载器的信息，并对获取到的信息进行度量，得到操作系统加载器的度量结果；CPU将度量得到的操作系统加载器的度量结果返回给安全芯片。

在上述方案中，信任链的控制权已经传递给了控制平台，即Platform，因此由Platform对下游装置，即操作系统加载器(OS Loadaer)进行度量。

在一种可选的实施例中，仍以TPCM为例，Platform通过向CPU发送请求信息，以使CPU获取OS Loadaer的信息，CPU执行该请求，获取OS Loadaer的信息。CPU根据获得的OSLoadaer的信息进行度量，并在对OS Loadaer的信息进行度量后，将度量值作为OS Loadaer的度量结果返回给TPCM。

作为一种可选的实施例，在CPU将度量得到的操作系统加载器的度量结果返回给安全芯片之后，上述方法还包括：安全芯片将CPU返回的操作系统加载器的度量结果与安全监控装置返回的操作系统加载器的度量结果，以及预存的操作系统加载器的标准度量值进行比对，其中，度量结果为安全监控装置度量操作系统加载器的完整性的结果；在比对结果为都相同的情况下，操作系统加载器启动。

具体的，上述预存的操作系统加载器的标准度量值可以是安全芯片第一次度量操作系统加载器的信息所得到的hash值，安全芯片将该hash值存储在安全芯片的PCR中，作为操作系统加载器的标准度量值。

在上述步骤中，安全芯片接收到CPU返回的操作系统加载器的度量结果后，记录操作系统加载器的度量结果OS Loadaer1，然后获取安全监控装置返回的操作系统加载器的度量结果OS Loadaer2以及预存的操作系统加载器的标准度量值OS Loadaer3，再将OSLoadaer1、OS Loadaer2以及OS Loadaer3进行比对，如果OS Loadaer1、OS Loadaer2均与OSLoadaer3相同，则控制操作系统加载器启动。

在一种可选的实施例中，仍以TPCM为例，安全监控装置SM设置在TPCM与CPU之间。TPCM还触发SM获取CPU对OS Loadaer的第二度量结果。SM对CPU的第二度量结果进行相应运算，得到OS Loadaer2，并将OS Loadaer2返回给TPCM。

TPCM再从PCR中取出操作系统加载器的标准度量值OS Loadaer3，并将OSLoadaer1、OS Loadaer2与OS Loadaer3比对，如果OS Loadaer1、OS Loadaer2均与OSLoadaer3相同，则控制OS Loadaer上电。

通过上述步骤，实现了对OS Loadaer的验证，从而将信任链的控制权由Platform传递给了OS Loadaer，由OS Loadaer对下一级装置进行验证。

作为一种可选的实施例，在安全芯片将接收到的操作系统加载器的度量结果与安全监控装置返回的度量结果，以及预存的操作系统加载器的标准度量值进行比对之前，上述方法还包括：安全芯片启动验证操作系统加载器的完整性，并将度量操作系统加载器的度量策略发送至安全监控装置，其中，安全监控装置基于操作系统加载器的度量策略监控中央处理器CPU度量操作系统加载器，计算得到操作系统加载器的度量结果；安全芯片接收安全监控装置返回的操作系统加载器的度量结果。

具体的，操作系统加载器的度量策略包括度量对象以及度量操作指令，中央处理器CPU在安全监控装置的监控下，对操作系统加载器进行度量。

在上述方案中，安全芯片将操作系统加载器的度量策略发送至安全监控装置，安全监控装置通过操作系统加载器的度量策略，监控CPU对操作系统加载器进行度量，得到CPU对操作系统加载器进行度量得到的度量结果，安全监控装置再根据CPU对操作系统加载器进行度量得到的度量结果进行相应的计算，得到上述操作系统加载器的完整性信息。

在一种可选的实施例中，TPCM在启动度量OS Loadaer的同时，会触发安全监控装置SM度量OS Loadaer的完整性。TPCM向SM发送通知信息，该通知信息中至少包括OSLoadaer的度量对象和度量操作指令。SM根据TPCM传给其的度量策略，监控CPU按照度量策略中的内容对OS Loadaer进行度量的操作指令，等SM监控到上述操作指令时，从内存中获取CPU对OS Loadaer的度量结果，并通过相应的度量运算，得到OS Loadaer的完整性结果，即OS Loadaer2。

作为一种可选的实施例，在安全芯片验证主板系统的完整性之后，上述方法还包括：操作系统加载器通过操作系统内核发送请求信息至CPU；CPU获取操作系统内核的信息，并对获取到的信息进行度量，得到操作系统内核的度量结果；CPU将度量得到的操作系统内核的度量结果返回给安全芯片。

在上述方案中，信任链的控制权已经传递给了操作系统加载器，即OS Loadaer，因此由OS Loadaer对下游装置，即操作系统内核(OS Kernel)进行验证。

在一种可选的实施例中，仍以TPCM为例，OS Loadaer通过向CPU发送请求信息，以使CPU获取OS Kernel的信息，CPU执行该请求，获取OS Kernel的信息。CPU根据获得的OSKernel的信息进行度量，并在对OS Kernel的信息进行度量后，将度量值作为OS Kernel的度量结果返回给TPCM。

作为一种可选的实施例，在CPU将度量得到的操作系统内核的度量结果返回给安全芯片之后，上述方法还包括：安全芯片将CPU返回的操作系统内核的度量结果与安全监控装置返回的操作系统内核的度量结果，以及预存的操作系统内核的标准度量值进行比对，其中，度量结果为安全监控装置度量操作系统内核的完整性的结果；在比对结果为都相同的情况下，操作系统内核启动。

具体的，上述预存的操作系统内核的标准度量值可以是安全芯片第一次度量操作系统内核的信息所得到的hash值，安全芯片将该hash值存储在安全芯片的PCR中，作为操作系统内核的标准度量值。

在上述步骤中，安全芯片接收到CPU返回的操作系统内核的度量结果后，记录操作系统内核的度量结果OS Kernel1，然后获取安全监控装置返回的操作系统内核的度量结果OS Kernel2以及预存的操作系统内核的标准度量值OS Kernel3，再将OS Kernel1、OSKernel2以及OS Kernel3进行比对，如果OS Kernel1、OS Kernel2均与OS Kernel3相同，则控制操作系统内核启动。

在一种可选的实施例中，仍以TPCM为例，安全监控装置SM设置在TPCM与CPU之间。TPCM还触发SM获取CPU对OS Kernel的第二度量结果。SM对CPU的第二度量结果进行相应运算，得到OS Kernel2，并将OS Kernel2返回给TPCM。

TPCM再从PCR中取出操作系统内核的标准度量值OS Kernel3，并将OS Kernel1、OSKernel2与OS Kernel3比对，如果OS Kernel1、OS Kernel2均与OS Kernel3相同，则控制OSKernel上电。

通过上述步骤，实现了对OS Kernel的验证，从而将信任链的控制权由OS Loadaer传递给了OS Kernel，由OS Kernel对下一级装置进行度量。

作为一种可选的实施例，在安全芯片将接收到的操作系统内核的度量结果与安全监控装置返回的度量结果，以及预存的操作系统内核的标准度量值进行比对之前，上述方法还包括：安全芯片启动验证操作系统内核的完整性，并将度量操作系统内核的度量策略发送至安全监控装置，其中，安全监控装置基于操作系统内核的度量策略监控中央处理器CPU度量操作系统内核，计算得到操作系统内核的度量结果；安全芯片接收安全监控装置返回的操作系统内核的度量结果。

具体的，操作系统内核的度量策略包括度量对象以及度量操作指令，中央处理器CPU在安全监控装置的监控下，对操作系统内核进行度量。

在上述方案中，安全芯片将操作系统内核的度量策略发送至安全监控装置，安全监控装置通过操作系统内核的度量策略，监控CPU对操作系统内核进行度量，得到CPU对操作系统内核进行度量得到的度量结果，安全监控装置再根据CPU对操作系统内核进行度量得到的度量结果进行相应的计算，得到上述操作系统内核的完整性信息。

在一种可选的实施例中，TPCM在启动度量OS Kernel的同时，会触发安全监控装置SM度量OS Kernel的完整性。TPCM向SM发送通知信息，该通知信息中至少包括OS Kernel的度量对象和度量操作指令。SM根据TPCM传给其的度量策略，监控CPU按照度量策略中的内容对OS Kernel进行度量的操作指令，等SM监控到上述操作指令时，从内存中获取CPU对OSKernel的度量结果，并通过相应的度量运算，得到OS Kernel的完整性结果，即OS Kernel2。

作为一种可选的实施例，在安全芯片验证主板系统的完整性之后，上述方法还包括：操作系统内核启动通过虚拟安全芯片发送请求信息至CPU；CPU获取虚拟安全芯片的信息，并对获取到的信息进行度量，得到虚拟安全芯片的度量结果；CPU将度量得到的虚拟安全芯片的度量结果返回给安全芯片。

在上述方案中，信任链的控制权已经传递给了操作系统内核，即OS Kernel，因此由OS Kernel对下游装置，即虚拟安全芯片(vTPCM)进行验证。

在一种可选的实施例中，仍以TPCM为例，OS Kernel通过向CPU发送请求信息，以使CPU获取vTPCM的信息，CPU执行该请求，获取vTPCM的信息。CPU根据获得的vTPCM的信息进行度量，并在对vTPCM的信息进行度量后，将度量值作为vTPCM的度量结果返回给TPCM。

作为一种可选的实施例，在CPU将度量得到的虚拟安全芯片的度量结果返回给安全芯片之后，上述方法还包括：安全芯片将CPU返回的虚拟安全芯片的度量结果与安全监控装置返回的虚拟安全芯片的度量结果，以及预存的虚拟安全芯片的标准度量值进行比对，其中，度量结果为安全监控装置度量虚拟安全芯片的完整性的结果；在比对结果为都相同的情况下，虚拟安全芯片上电。

具体的，上述预存的虚拟安全芯片的标准度量值可以是安全芯片第一次度量虚拟安全芯片的信息所得到的hash值，安全芯片将该hash值存储在安全芯片的PCR中，作为虚拟安全芯片的标准度量值。

在上述步骤中，安全芯片接收到CPU返回的虚拟安全芯片的度量结果后，记录虚拟安全芯片的度量结果vTPCM1，然后获取安全监控装置返回的虚拟安全芯片的度量结果vTPCM2以及预存的虚拟安全芯片的标准度量值vTPCM3，再将vTPCM1、vTPCM2以及vTPCM3进行比对，如果vTPCM1、vTPCM2均与vTPCM3相同，则控制虚拟安全芯片上电。

在一种可选的实施例中，仍以TPCM为例，安全监控装置SM设置在TPCM与CPU之间。TPCM还触发SM获取CPU对vTPCM的第二度量结果。SM对CPU的第二度量结果进行相应运算，得到vTPCM2，并将vTPCM2返回给TPCM。

TPCM再从PCR中取出虚拟安全芯片的标准度量值vTPCM3，并将vTPCM1、vTPCM2与vTPCM3比对，如果vTPCM1、vTPCM2均与vTPCM3相同，则控制vTPCM上电。

通过上述步骤，实现了对vTPCM的验证，从而将信任链的控制权由OS Kernel传递给了vTPCM，由vTPCM对下一级装置进行度量。

作为一种可选的实施例，在安全芯片将接收到的虚拟安全芯片的度量结果与安全监控装置返回的度量结果，以及预存的虚拟安全芯片的标准度量值进行比对之前，上述方法还包括：安全芯片启动验证虚拟安全芯片的完整性，并将度量虚拟安全芯片的度量策略发送至安全监控装置，其中，安全监控装置基于虚拟安全芯片的度量策略监控中央处理器CPU度量虚拟安全芯片，计算得到虚拟安全芯片的度量结果；安全芯片接收安全监控装置返回的虚拟安全芯片的度量结果。

具体的，虚拟安全芯片的度量策略包括度量对象以及度量操作指令，中央处理器CPU在安全监控装置的监控下，对虚拟安全芯片进行度量。

在上述方案中，安全芯片将虚拟安全芯片的度量策略发送至安全监控装置，安全监控装置通过虚拟安全芯片的度量策略，监控CPU对虚拟安全芯片进行度量，得到CPU对虚拟安全芯片进行度量得到的度量结果，安全监控装置再根据CPU对虚拟安全芯片进行度量得到的度量结果进行相应的计算，得到上述虚拟安全芯片的完整性信息。

在一种可选的实施例中，TPCM在启动度量vTPCM的同时，会触发安全监控装置SM度量vTPCM的完整性。TPCM向SM发送通知信息，该通知信息中至少包括vTPCM的度量对象和度量操作指令。SM根据TPCM传给其的度量策略，监控CPU按照度量策略中的内容对vTPCM进行度量的操作指令，等SM监控到上述操作指令时，从内存中获取CPU对vTPCM的度量结果，并通过相应的度量运算，得到vTPCM的完整性结果，即vTPCM2。

作为一种可选的实施例，在安全芯片验证主板系统的完整性之后，上述方法还包括：虚拟安全芯片通过应用系统发送请求信息至CPU；CPU获取应用系统的信息，并对获取到的信息进行度量，得到应用系统的度量结果；CPU将度量得到的应用系统的度量结果返回给安全芯片。

在上述方案中，信任链的控制权已经传递给了虚拟安全芯片，即vTPCM，因此由vTPCM对下游装置，即应用系统进行度量。

在一种可选的实施例中，仍以TPCM为例，vTPCM通过向CPU发送请求信息，以使CPU获取应用系统的信息，CPU执行该请求，获取应用系统的信息。CPU根据获得的应用系统的信息进行度量，并在对应用系统的信息进行度量后，将度量值作为应用系统的度量结果返回给TPCM。

作为一种可选的实施例，在CPU将度量得到的应用系统的度量结果返回给安全芯片之后，上述方法还包括：安全芯片将CPU返回的应用系统的度量结果与安全监控装置返回的应用系统的度量结果，以及预存的应用系统的标准度量值进行比对，其中，安全监控装置返回的度量结果为安全监控装置度量应用系统的完整性的结果；在比对结果为都相同的情况下，应用系统启动。

具体的，上述预存的应用系统的标准度量值可以是安全芯片第一次度量应用系统的信息所得到的hash值，安全芯片将该hash值存储在安全芯片的PCR中，作为应用系统的标准度量值。

在上述步骤中，安全芯片接收到CPU返回的应用系统的度量结果后，记录应用系统的度量结果Application1，然后获取安全监控装置返回的应用系统的度量结果Application2以及预存的应用系统的标准度量值Application3，再将Application1、Application2以及Application3进行比对，如果Application1、Application2均与Application3相同，则控制应用系统上电。

在一种可选的实施例中，仍以TPCM为例，安全监控装置SM设置在TPCM与CPU之间。TPCM触发SM获取CPU对应用程序的第二度量结果。SM对CPU的第二度量结果进行相应运算，得到Application 2，并将Application 2返回给TPCM。

TPCM再从PCR中取出应用系统的标准度量值Application 3，并将Application 1、Application 2与Application 3比对，如果Application 1、Application 2均与Application 3相同，则控制应用系统启动。

通过上述步骤，实现了对应用系统的验证，从而将信任链的控制权由vTPCM传递给了应用系统。

作为一种可选的实施例，在安全芯片将接收到的应用系统的度量结果与安全监控装置返回的度量结果，以及预存的应用系统的标准度量值进行比对之前，上述方法还包括：安全芯片启动验证应用系统的完整性，并将度量应用系统的度量策略发送至安全监控装置，其中，安全监控装置基于应用系统的度量策略监控中央处理器CPU度量应用系统，计算得到应用系统的度量结果；安全芯片接收安全监控装置返回的应用系统的度量结果。

具体的，应用系统的度量策略包括度量对象以及度量操作指令，中央处理器CPU在安全监控装置的监控下，对应用系统进行度量。

在上述方案中，安全芯片将应用系统的度量策略发送至安全监控装置，安全监控装置通过应用系统的度量策略，监控CPU对应用系统进行度量，得到CPU对应用系统进行度量得到的度量结果，安全监控装置再根据CPU对应用系统进行度量得到的度量结果进行相应的计算，得到上述应用系统的完整性信息。

在一种可选的实施例中，TPCM在启动度量应用系统的同时，会触发安全监控装置SM度量应用系统的完整性。TPCM向SM发送通知信息，该通知信息中至少包括应用系统的度量对象和度量操作指令。SM根据TPCM传给其的度量策略，监控CPU按照度量策略中的内容对应用系统进行度量的操作指令，等SM监控到上述操作指令时，从内存中获取CPU对应用系统的度量结果，并通过相应的度量运算，得到应用系统的完整性结果，即Application 2。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

根据本发明实施例，还提供了一种用于实施上述可信安全的度量方法的可信安全的度量装置，图6是根据本申请实施例2的一种可信安全的度量装置的示意图，如图6所示，该装置600包括：

验证模块602，用于安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC。

获取模块604，用于安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果。

比对模块606，用于将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。

此处需要说明的是，上述验证模块602、获取模块604和比对模块606对应于实施例1中的步骤S41至步骤S43，两个模块与对应的步骤所实现的实例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的计算机终端10中。

作为一种可选的实施例，上述装置还包括：第一发送模块，用于在获取安全监控装置返回的度量结果之前，安全芯片启动验证主板系统的完整性，并将度量主板系统的度量策略发送至安全监控装置，其中，安全监控装置基于度量策略监控中央处理器CPU度量主板系统的数据，计算得到主板系统的完整性；第一返回模块，用于安全芯片接收安全监控装置返回的度量结果。

作为一种可选的实施例，度量策略至少包括：需要度量的对象和度量操作指令。

作为一种可选的实施例，上述装置还包括：第二发送模块，用于在安全芯片验证主板系统的完整性之后，主板通过平台系统发送请求信息至CPU；固件信息验证模块，用于CPU获取至少一个硬件的固件信息，并对获取到的固件信息进行度量，得到固件度量结果；第二返回模块，用于CPU将度量得到的固件度量结果返回给安全芯片。

作为一种可选的实施例，平台系统包括设备的至少一个硬件。

作为一种可选的实施例，上述装置还包括：第一接收模块，用于在CPU将度量得到的固件度量结果返回给安全芯片之后，安全芯片将CPU返回的固件度量结果与安全监控装置返回的固件度量结果，以及预存的固件标准度量值进行比对，其中，固件度量结果为安全监控装置度量至少一个硬件的完整性的结果；第一上电模块，用于在比对结果为都相同的情况下，平台系统上电。

作为一种可选的实施例，上述装置还包括：第三发送模块，用于在安全芯片将接收到的固件度量结果与安全监控装置返回的固件度量结果，以及预存的固件标准度量值进行比对之前，安全芯片启动验证至少一个硬件的完整性，并将度量至少一个硬件的度量策略发送至安全监控装置，其中，安全监控装置基于度量策略监控中央处理器CPU度量至少一个硬件的数据，计算得到至少一个硬件的完整性；第三返回模块，用于安全芯片接收安全监控装置返回的固件度量结果。

作为一种可选的实施例，上述装置还包括：第四发送模块，用于在安全芯片验证主板系统的完整性之后，平台系统通过操作系统加载器发送请求信息至CPU；操作系统加载器验证模块，用于CPU获取操作系统加载器的信息，并对获取到的信息进行度量，得到操作系统加载器的度量结果；第四返回模块，用于CPU将度量得到的操作系统加载器的度量结果返回给安全芯片。

作为一种可选的实施例，上述装置还包括:第一对比模块，用于在CPU将度量得到的操作系统加载器的度量结果返回给安全芯片之后，安全芯片将CPU返回的操作系统加载器的度量结果与安全监控装置返回的操作系统加载器的度量结果，以及预存的操作系统加载器的标准度量值进行比对，其中，度量结果为安全监控装置度量操作系统加载器的完整性的结果；第二上电模块，用于在比对结果为都相同的情况下，平台系统上电。

作为一种可选的实施例，上述装置还包括：第五发送模块，用于在安全芯片将接收到的操作系统加载器的度量结果与安全监控装置返回的度量结果，以及预存的操作系统加载器的标准度量值进行比对之前，安全芯片启动验证操作系统加载器的完整性，并将度量操作系统加载器的度量策略发送至安全监控装置，其中，安全监控装置基于操作系统加载器的度量策略监控中央处理器CPU度量操作系统加载器，计算得到操作系统加载器的度量结果；第二接收模块，用于安全芯片接收安全监控装置返回的操作系统加载器的度量结果。

作为一种可选的实施例，上述装置还包括：第六发送模块，用于在安全芯片验证主板系统的完整性之后，操作系统加载器通过操作系统内核发送请求信息至CPU；操作系统内核验证模块，用于CPU获取操作系统内核的信息，并对获取到的信息进行度量，得到操作系统内核的度量结果；第五返回模块，用于CPU将度量得到的操作系统内核的度量结果返回给安全芯片。

作为一种可选的实施例，上述装置还包括：第二对比模块，用于在CPU将度量得到的操作系统内核的度量结果返回给安全芯片之后，安全芯片将CPU返回的操作系统内核的度量结果与安全监控装置返回的操作系统内核的度量结果，以及预存的操作系统内核的标准度量值进行比对，其中，度量结果为安全监控装置度量操作系统内核的完整性的结果；第三上电模块，用于在比对结果为都相同的情况下，操作系统内核启动。

作为一种可选的实施例，上述装置还包括：第七发送模块，用于在安全芯片将接收到的操作系统内核的度量结果与安全监控装置返回的度量结果，以及预存的操作系统内核的标准度量值进行比对之前，安全芯片启动验证操作系统内核的完整性，并将度量操作系统内核的度量策略发送至安全监控装置，其中，安全监控装置基于操作系统内核的度量策略监控中央处理器CPU度量操作系统内核，计算得到操作系统内核的度量结果；第三接收模块，用于安全芯片接收安全监控装置返回的操作系统内核的度量结果。

作为一种可选的实施例，上述装置包括：第八发送模块，用于在安全芯片验证主板系统的完整性之后，操作系统内核通过虚拟安全芯片发送请求信息至CPU；虚拟安全芯片验证模块，用于CPU获取虚拟安全芯片的信息，并对获取到的信息进行度量，得到虚拟安全芯片的度量结果；第六返回模块，用于CPU将度量得到的虚拟安全芯片的度量结果返回给安全芯片。

作为一种可选的实施例，上述装置包括：第三对比模块，用于在CPU将度量得到的虚拟安全芯片的度量结果返回给安全芯片之后，安全芯片将CPU返回的虚拟安全芯片的度量结果与安全监控装置返回的虚拟安全芯片的度量结果，以及预存的虚拟安全芯片的标准度量值进行比对，其中，度量结果为安全监控装置度量虚拟安全芯片的完整性的结果；第四上电模块，用于在比对结果为都相同的情况下，虚拟安全芯片上电。

作为一种可选的实施例，上述装置还包括：第九发送模块，用于在安全芯片将接收到的虚拟安全芯片的度量结果与安全监控装置返回的度量结果，以及预存的虚拟安全芯片的标准度量值进行比对之前，安全芯片启动验证虚拟安全芯片的完整性，并将度量虚拟安全芯片的度量策略发送至安全监控装置，其中，安全监控装置基于虚拟安全芯片的度量策略监控中央处理器CPU度量虚拟安全芯片，计算得到虚拟安全芯片的度量结果；第四接收模块，用于安全芯片接收安全监控装置返回的虚拟安全芯片的度量结果。

作为一种可选的实施例，上述装置还包括：第十发送模块，用于在安全芯片验证主板系统的完整性之后，虚拟安全芯片通过应用系统发送请求信息至CPU；应用系统验证模块，用于CPU获取应用系统的信息，并对获取到的信息进行度量，得到应用系统的度量结果；第七返回模块，用于CPU将度量得到的应用系统的度量结果返回给安全芯片。

作为一种可选的实施例，上述装置还包括：第三对比模块，用于在CPU将度量得到的应用系统的度量结果返回给安全芯片之后，安全芯片将CPU返回的应用系统的度量结果与安全监控装置返回的应用系统的度量结果，以及预存的应用系统的标准度量值进行比对，其中，安全监控装置返回的度量结果为安全监控装置度量应用系统的完整性的结果；第五上电模块，用于在比对结果为都相同的情况下，应用系统启动。

作为一种可选的实施例，上述装置还包括：第十一发送模块，用于在安全芯片将接收到的应用系统的度量结果与安全监控装置返回的度量结果，以及预存的应用系统的标准度量值进行比对之前，安全芯片启动验证应用系统的完整性，并将度量应用系统的度量策略发送至安全监控装置，其中，安全监控装置基于应用系统的度量策略监控中央处理器CPU度量应用系统，计算得到应用系统的度量结果；第八返回模块，用于安全芯片接收安全监控装置返回的应用系统的度量结果。

作为一种可选的实施例，安全芯片为TPM或TPCM。

作为一种可选的实施例，安全监控装置设置在安全芯片与CPU之间，用于对主板系统的完整性进行度量，得到第二度量结果。

实施例3

本发明的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。

在本实施例中，上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤的程序代码：安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC；安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果；将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。

可选地，图7是根据本申请实施例3的一种计算机终端的结构框图。如图7所示，该计算机终端70可以包括：一个或多个(图中仅示出一个)处理器702、存储器704、以及外设接口706。

其中，存储器可用于存储软件程序以及模块，如本发明实施例中的安全漏洞检测方法和装置对应的程序指令/模块，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的系统漏洞攻击的检测方法。存储器可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至终端A。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC；安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果；将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。

可选的，上述处理器还可以执行如下步骤的程序代码：在获取安全监控装置返回的度量结果之前，安全芯片启动验证主板系统的完整性，并将度量主板系统的度量策略发送至安全监控装置，其中，安全监控装置基于度量策略监控中央处理器CPU度量主板系统的数据，计算得到主板系统的完整性；安全芯片接收安全监控装置返回的度量结果。

可选的，上述处理器还可以执行如下步骤的程序代码：度量策略至少包括：需要度量的对象和度量操作指令。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片验证主板系统的完整性之后，主板通过平台系统发送请求信息至CPU；CPU获取至少一个硬件的固件信息，并对获取到的固件信息进行度量，得到固件度量结果；CPU将度量得到的固件度量结果返回给安全芯片。

可选的，上述处理器还可以执行如下步骤的程序代码：在CPU将度量得到的固件度量结果返回给安全芯片之后，安全芯片将CPU返回的固件度量结果与安全监控装置返回的固件度量结果，以及预存的固件标准度量值进行比对，其中，固件度量结果为安全监控装置度量至少一个硬件的完整性的结果；在比对结果为都相同的情况下，平台系统上电。

可选的，平台系统包括设备的至少一个硬件。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片将CPU返回的固件度量结果与安全监控装置返回的固件度量结果，以及预存的固件标准度量值进行比对之前，安全芯片启动验证至少一个硬件的完整性，并将度量至少一个硬件的度量策略发送至安全监控装置，其中，安全监控装置基于度量策略监控中央处理器CPU度量至少一个硬件的数据，计算得到至少一个硬件的固件度量结果；安全芯片接收安全监控装置返回的固件度量结果。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片验证主板系统的完整性之后，平台系统通过操作系统加载器发送请求信息至CPU；CPU获取操作系统加载器的信息，并对获取到的信息进行度量，得到操作系统加载器的度量结果；CPU将度量得到的操作系统加载器的度量结果返回给安全芯片。

可选的，上述处理器还可以执行如下步骤的程序代码：在CPU将度量得到的操作系统加载器的度量结果返回给安全芯片之后，安全芯片将接收到的操作系统加载器的度量结果与安全监控装置返回的操作系统加载器的度量结果，以及预存的操作系统加载器的标准度量值进行比对，其中，度量结果为安全监控装置度量操作系统加载器的完整性的结果；在比对结果为都相同的情况下，平台系统上电。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片将CPU返回的操作系统加载器的度量结果与安全监控装置返回的度量结果，以及预存的操作系统加载器的标准度量值进行比对之前，安全芯片启动验证操作系统加载器的完整性，并将度量操作系统加载器的度量策略发送至安全监控装置，其中，安全监控装置基于操作系统加载器的度量策略监控中央处理器CPU度量操作系统加载器，计算得到操作系统加载器的度量结果；安全芯片接收安全监控装置返回的操作系统加载器的度量结果。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片验证主板系统的完整性之后，操作系统加载器通过操作系统内核发送请求信息至CPU；CPU获取操作系统内核的信息，并对获取到的信息进行度量，得到操作系统内核的度量结果；CPU将度量得到的操作系统内核的度量结果返回给安全芯片。

可选的，上述处理器还可以执行如下步骤的程序代码：在CPU将度量得到的操作系统内核的度量结果返回给安全芯片之后，的操作系统内核的度量结果，以及预存的操作系统内核的标准度量值进行比对，其中，度量结果为安全监控装置度量操作系统内核的完整性的结果；在比对结果为都相同的情况下，操作系统内核启动。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片将CPU返回的操作系统内核的度量结果与安全监控装置返回的度量结果，以及预存的操作系统内核的标准度量值进行比对之前，

安全芯片启动验证操作系统内核的完整性，并将度量操作系统内核的度量策略发送至安全监控装置，其中，安全监控装置基于操作系统内核的度量策略监控中央处理器CPU度量操作系统内核，计算得到操作系统内核的度量结果；安全芯片接收安全监控装置返回的操作系统内核的度量结果。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片验证主板系统的完整性之后，操作系统内核通过虚拟安全芯片发送请求信息至CPU；CPU获取虚拟安全芯片的信息，并对获取到的信息进行度量，得到虚拟安全芯片的度量结果；CPU将度量得到的虚拟安全芯片的度量结果返回给安全芯片。

可选的，上述处理器还可以执行如下步骤的程序代码：在CPU将度量得到的虚拟安全芯片的度量结果返回给安全芯片之后，安全芯片将CPU返回的虚拟安全芯片的度量结果与安全监控装置返回的虚拟安全芯片的度量结果，以及预存的虚拟安全芯片的标准度量值进行比对，其中，度量结果为安全监控装置度量虚拟安全芯片的完整性的结果；在比对结果为都相同的情况下，虚拟安全芯片上电。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片将CPU返回的虚拟安全芯片的度量结果与安全监控装置返回的度量结果，以及预存的虚拟安全芯片的标准度量值进行比对之前，安全芯片启动验证虚拟安全芯片的完整性，并将度量虚拟安全芯片的度量策略发送至安全监控装置，其中，安全监控装置基于虚拟安全芯片的度量策略监控中央处理器CPU度量虚拟安全芯片，计算得到虚拟安全芯片的度量结果；安全芯片接收安全监控装置返回的虚拟安全芯片的度量结果。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片验证主板系统的完整性之后，虚拟安全芯片通过应用系统发送请求信息至CPU；CPU获取应用系统的信息，并对获取到的信息进行度量，得到应用系统的度量结果；CPU将度量得到的应用系统的度量结果返回给安全芯片。

可选的，上述处理器还可以执行如下步骤的程序代码：在CPU将度量得到的应用系统的度量结果返回给安全芯片之后，安全芯片将CPU返回的应用系统的度量结果与安全监控装置返回的应用系统的度量结果，以及预存的应用系统的标准度量值进行比对，其中，度量结果为安全监控装置度量应用系统的完整性的结果；在比对结果为都相同的情况下，应用系统启动。

可选的，上述处理器还可以执行如下步骤的程序代码：在安全芯片将CPU返回的应用系统的度量结果与安全监控装置返回的度量结果，以及预存的应用系统的标准度量值进行比对之前，安全芯片启动验证应用系统的完整性，并将度量应用系统的度量策略发送至安全监控装置，其中，安全监控装置基于应用系统的度量策略监控中央处理器CPU度量应用系统，计算得到应用系统的度量结果；安全芯片接收安全监控装置返回的应用系统的度量结果。

可选的，安全芯片为TPM或TPCM。

可选的，安全监控装置设置在安全芯片与CPU之间，用于对主板系统的完整性进行度量，得到第二度量结果。

采用本发明实施例，提供了一种可信安全的度量方法的方案。由安全芯片验证主板系统的完整性，获取安全监控装置返回的对主板系统的度量结果，以及预存的标准度量值，并将安全芯片对主办系统进行度量得到的第一度量结果、安全监控装置返回的第二度量结果与预存的标准度量值进行比对，从而对主板系统进行度量，仅在比对结果为相同的情况下允许主板上电。由于上述方案在信任链的传递过程中，度量对象的度量值(即hash计算)和验证均在安全芯片中进行，因此能够保证无防护节点的设备具有了安全可信的安全监控装置，进而保证了设备的安全性能，解决了现有技术在可信计算中，度量值的比对由CPU执行，导致设备的安全性能不足的技术问题。

本领域普通技术人员可以理解，图7所示的结构仅为示意，计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices，MID)、PAD等终端设备。图7其并不对上述电子装置的结构造成限定。例如，计算机终端70还可包括比图7中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图7所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(RandomAccess Memory，RAM)、磁盘或光盘等。

实施例4

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的可信安全的度量方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：安全芯片验证安全监控装置合法的情况下，安全芯片验证主板系统的完整性，其中，主板系统包括：主板BIOS以及安装在主板上的基板管理控制器BMC；安全芯片记录度量主板系统的完整性的第一度量结果，并获取安全监控装置返回的第二度量结果，其中，第二度量结果为安全监控装置度量主板系统的完整性的结果；将第一度量结果和第二度量结果与预存的标准度量值进行比对，如果相同，则控制主板上电。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (23)

1.一种可信安全的度量方法，其特征在于，包括：

安全芯片验证安全监控装置合法的情况下，所述安全芯片验证主板系统的完整性，其中，所述主板系统包括：主板BIOS以及安装在所述主板上的基板管理控制器BMC；

所述安全芯片记录度量所述主板系统的完整性的第一度量结果，并获取所述安全监控装置返回的第二度量结果，其中，所述第二度量结果为所述安全监控装置度量所述主板系统的完整性的结果；

将所述第一度量结果和所述第二度量结果与预存的标准度量值进行比对，如果相同，则控制所述主板上电；

其中，在获取所述安全监控装置返回的度量结果之前，所述方法还包括：所述安全芯片启动验证所述主板系统的完整性，并将度量所述主板系统的度量策略发送至所述安全监控装置，其中，所述安全监控装置基于所述度量策略监控中央处理器CPU度量所述主板系统的数据，计算得到所述主板系统的完整性；所述安全芯片接收所述安全监控装置返回的所述度量结果。

2.根据权利要求1所述的方法，其特征在于，所述度量策略至少包括：需要度量的对象和度量操作指令。

3.根据权利要求1或2所述的方法，其特征在于，在所述安全芯片验证主板系统的完整性之后，所述方法还包括：

所述主板通过平台系统发送请求信息至CPU；

所述CPU获取至少一个硬件的固件信息，并对获取到的所述固件信息进行度量，得到固件度量结果；

所述CPU将度量得到的所述固件度量结果返回给所述安全芯片。

4.根据权利要求3所述的方法，其特征在于，所述平台系统包括设备的至少一个硬件。

5.根据权利要求3所述的方法，其特征在于，在所述CPU将度量得到的所述固件度量结果返回给所述安全芯片之后，所述方法还包括：

所述安全芯片将所述CPU返回的所述固件度量结果与所述安全监控装置返回的固件度量结果，以及预存的固件标准度量值进行比对，其中，所述固件度量结果为所述安全监控装置度量所述至少一个硬件的完整性的结果；

在比对结果为都相同的情况下，所述平台系统上电。

6.根据权利要求5所述的方法，其特征在于，在所述安全芯片将所述CPU返回的所述固件度量结果与所述安全监控装置返回的固件度量结果，以及预存的固件标准度量值进行比对之前，所述方法还包括：

所述安全芯片启动验证所述至少一个硬件的完整性，并将度量所述至少一个硬件的度量策略发送至所述安全监控装置，其中，所述安全监控装置基于所述度量策略监控中央处理器CPU度量所述至少一个硬件的数据，计算得到所述至少一个硬件的固件度量结果；

所述安全芯片接收所述安全监控装置返回的所述固件度量结果。

7.根据权利要求3所述的方法，其特征在于，在所述安全芯片验证主板系统的完整性之后，所述方法还包括：

所述平台系统通过操作系统加载器发送请求信息至CPU；

所述CPU获取所述操作系统加载器的信息，并对获取到的所述信息进行度量，得到所述操作系统加载器的度量结果；

所述CPU将度量得到的所述操作系统加载器的度量结果返回给所述安全芯片。

8.根据权利要求7所述的方法，其特征在于，在所述CPU将度量得到的所述操作系统加载器的度量结果返回给所述安全芯片之后，所述方法还包括：

所述安全芯片将所述CPU返回的所述操作系统加载器的度量结果与所述安全监控装置返回的所述操作系统加载器的度量结果，以及预存的操作系统加载器的标准度量值进行比对，其中，所述安全监控装置返回的度量结果为所述安全监控装置度量所述操作系统加载器的完整性的结果；

在比对结果为都相同的情况下，所述操作系统加载器启动。

9.根据权利要求8所述的方法，其特征在于，在所述安全芯片将所述CPU返回的所述操作系统加载器的度量结果与所述安全监控装置返回的度量结果，以及预存的操作系统加载器的标准度量值进行比对之前，所述方法还包括：

所述安全芯片启动验证所述操作系统加载器的完整性，并将度量所述操作系统加载器的度量策略发送至所述安全监控装置，其中，所述安全监控装置基于所述操作系统加载器的度量策略监控中央处理器CPU度量所述操作系统加载器，计算得到所述操作系统加载器的度量结果；

所述安全芯片接收所述安全监控装置返回的所述操作系统加载器的度量结果。

10.根据权利要求7所述的方法，其特征在于，在所述安全芯片验证主板系统的完整性之后，所述方法还包括：

所述操作系统加载器通过操作系统内核发送请求信息至CPU；

所述CPU获取所述操作系统内核的信息，并对获取到的所述信息进行度量，得到所述操作系统内核的度量结果；

所述CPU将度量得到的所述操作系统内核的度量结果返回给所述安全芯片。

11.根据权利要求10所述的方法，其特征在于，在所述CPU将度量得到的所述操作系统内核的度量结果返回给所述安全芯片之后，所述方法还包括：

所述安全芯片将所述CPU返回的所述操作系统内核的度量结果与所述安全监控装置返回的所述操作系统内核的度量结果，以及预存的操作系统内核的标准度量值进行比对，其中，所述安全监控装置返回的度量结果为所述安全监控装置度量所述操作系统内核的完整性的结果；

在比对结果为都相同的情况下，所述操作系统内核启动。

12.根据权利要求10所述的方法，其特征在于，在所述安全芯片将所述CPU返回的所述操作系统内核的度量结果与所述安全监控装置返回的度量结果，以及预存的操作系统内核的标准度量值进行比对之前，所述方法还包括：

所述安全芯片启动验证所述操作系统内核的完整性，并将度量所述操作系统内核的度量策略发送至所述安全监控装置，其中，所述安全监控装置基于所述操作系统内核的度量策略监控中央处理器CPU度量所述操作系统内核，计算得到所述操作系统内核的度量结果；

所述安全芯片接收所述安全监控装置返回的所述操作系统内核的度量结果。

13.根据权利要求10所述的方法，其特征在于，在所述安全芯片验证主板系统的完整性之后，所述方法还包括：

所述操作系统内核通过虚拟安全芯片发送请求信息至CPU；

所述CPU获取所述虚拟安全芯片的信息，并对获取到的所述信息进行度量，得到所述虚拟安全芯片的度量结果；

所述CPU将度量得到的所述虚拟安全芯片的度量结果返回给所述安全芯片。

14.根据权利要求13所述的方法，其特征在于，在所述CPU将度量得到的所述虚拟安全芯片的度量结果返回给所述安全芯片之后，所述方法还包括：

所述安全芯片将所述CPU返回的所述虚拟安全芯片的度量结果与所述安全监控装置返回的所述虚拟安全芯片的度量结果，以及预存的虚拟安全芯片的标准度量值进行比对，其中，所述安全监控装置返回的度量结果为所述安全监控装置度量所述虚拟安全芯片的完整性的结果；

在比对结果为都相同的情况下，所述虚拟安全芯片上电。

15.根据权利要求13所述的方法，其特征在于，在所述安全芯片将所述CPU返回的所述虚拟安全芯片的度量结果与所述安全监控装置返回的度量结果，以及预存的虚拟安全芯片的标准度量值进行比对之前，所述方法还包括：

所述安全芯片启动验证所述虚拟安全芯片的完整性，并将度量所述虚拟安全芯片的度量策略发送至所述安全监控装置，其中，所述安全监控装置基于所述虚拟安全芯片的度量策略监控中央处理器CPU度量所述虚拟安全芯片，计算得到所述虚拟安全芯片的度量结果；

所述安全芯片接收所述安全监控装置返回的所述虚拟安全芯片的度量结果。

16.根据权利要求13所述的方法，其特征在于，在所述安全芯片验证主板系统的完整性之后，所述方法还包括：

所述虚拟安全芯片通过应用系统发送请求信息至CPU；

所述CPU获取所述应用系统的信息，并对获取到的所述信息进行度量，得到所述应用系统的度量结果；

所述CPU将度量得到的所述应用系统的度量结果返回给所述安全芯片。

17.根据权利要求16所述的方法，其特征在于，在所述CPU将度量得到的所述应用系统的度量结果返回给所述安全芯片之后，所述方法还包括：

所述安全芯片将所述CPU返回的所述应用系统的度量结果与所述安全监控装置返回的所述应用系统的度量结果，以及预存的应用系统的标准度量值进行比对，其中，所述安全监控装置返回的度量结果为所述安全监控装置度量所述应用系统的完整性的结果；

在比对结果为都相同的情况下，所述应用系统启动。

18.根据权利要求16所述的方法，其特征在于，在所述安全芯片将所述CPU返回的所述应用系统的度量结果与所述安全监控装置返回的度量结果，以及预存的应用系统的标准度量值进行比对之前，所述方法还包括：

所述安全芯片启动验证所述应用系统的完整性，并将度量所述应用系统的度量策略发送至所述安全监控装置，其中，所述安全监控装置基于所述应用系统的度量策略监控中央处理器CPU度量所述应用系统，计算得到所述应用系统的度量结果；

所述安全芯片接收所述安全监控装置返回的所述应用系统的度量结果。

19.根据权利要求1所述的方法，其特征在于，所述安全芯片为TPM或TPCM。

20.根据权利要求1所述的方法，其特征在于，所述安全监控装置设置在所述安全芯片与CPU之间，用于对所述主板系统的完整性进行度量，得到所述第二度量结果。

21.一种可信安全的度量装置，其特征在于，包括：

验证模块，用于安全芯片验证安全监控装置合法的情况下，所述安全芯片验证主板系统的完整性，其中，所述主板系统包括：主板BIOS以及安装在所述主板上的基板管理控制器BMC；

获取模块，用于所述安全芯片度量所述主板系统的完整性的第一度量结果，并获取所述安全监控装置返回的第二度量结果，其中，所述第二度量结果为所述安全监控装置度量所述主板系统的完整性的结果；

比对模块，用于将所述第一度量结果和所述第二度量结果与预存的标准度量值进行比对，如果相同，则控制所述主板上电；

其中，所述获取模块还用于使所述安全芯片启动验证所述主板系统的完整性，并将度量所述主板系统的度量策略发送至所述安全监控装置，其中，所述安全监控装置基于所述度量策略监控中央处理器CPU度量所述主板系统的数据，计算得到所述主板系统的完整性；所述安全芯片接收所述安全监控装置返回的所述度量结果。

22.一种存储介质，其特征在于，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行如下步骤：安全芯片验证安全监控装置合法的情况下，所述安全芯片验证主板系统的完整性，其中，所述主板系统包括：主板BIOS以及安装在所述主板上的基板管理控制器BMC；所述安全芯片记录度量所述主板系统的完整性的第一度量结果，并获取所述安全监控装置返回的第二度量结果，其中，所述第二度量结果为所述安全监控装置度量所述主板系统的完整性的结果；将所述第一度量结果和所述第二度量结果与预存的标准度量值进行比对，如果相同，则控制所述主板上电；

其中，在获取所述安全监控装置返回的度量结果之前，所述安全芯片启动验证所述主板系统的完整性，并将度量所述主板系统的度量策略发送至所述安全监控装置，其中，所述安全监控装置基于所述度量策略监控中央处理器CPU度量所述主板系统的数据，计算得到所述主板系统的完整性；所述安全芯片接收所述安全监控装置返回的所述度量结果。

23.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行如下步骤：安全芯片验证安全监控装置合法的情况下，所述安全芯片验证主板系统的完整性，其中，所述主板系统包括：主板BIOS以及安装在所述主板上的基板管理控制器BMC；所述安全芯片记录度量所述主板系统的完整性的第一度量结果，并获取所述安全监控装置返回的第二度量结果，其中，所述第二度量结果为所述安全监控装置度量所述主板系统的完整性的结果；将所述第一度量结果和所述第二度量结果与预存的标准度量值进行比对，如果相同，则控制所述主板上电；

其中，在获取所述安全监控装置返回的度量结果之前，所述安全芯片启动验证所述主板系统的完整性，并将度量所述主板系统的度量策略发送至所述安全监控装置，其中，所述安全监控装置基于所述度量策略监控中央处理器CPU度量所述主板系统的数据，计算得到所述主板系统的完整性；所述安全芯片接收所述安全监控装置返回的所述度量结果。

Images