WO2015035843A1

WO2015035843A1 - 一种度量方法、电子设备及度量系统

Info

Publication number: WO2015035843A1
Application number: PCT/CN2014/084478
Authority: WO
Inventors: 刘建锋; 施迅; 张焕国; 严飞
Original assignee: 华为技术有限公司
Priority date: 2013-09-16
Filing date: 2014-08-15
Publication date: 2015-03-19
Also published as: EP3048550A1; CN103488937B; CN103488937A; US20160196415A1; EP3048550B1; US10339284B2; EP3048550A4

Abstract

一种度量方法、电子设备（701）及度量系统，电子设备（701）从硬件存储设备（601）中读取虚拟机管理器VMM运行过程中的运行代码和运行数据，根据所述运行代码和所述运行数据，生成第一验证信息；所述电子设备（701）存储所述第一验证信息，并将所述电子设备（701）读取所述运行代码和所述运行数据至所述电子设备（701）存储所述第一验证信息过程中生成的日志信息传输给可信数据中心（702），以使所述可信数据中心（702）将根据所述日志信息生成的第二验证信息，以及从所述电子设备（701）中获取的所述第一验证信息对所述电子设备（701）进行度量。

Description

一种度量方法、电子设备及度量系统

技术领域本发明涉及计算机技术领域，具体涉及一种度量方法、电子设备及度量系统。背景技术

现有的计算机工业已经进入云计算时代，云计算是将大量计算资源、存储资源和软件资源链接在一起，形成规模巨大的共享虚拟软件资源池，为远程计算机提供高速计算和查找的软件服务。

随着云计算的不断普及，访问的安全性越来越重要，如此，则需要对访问的电子设备中的虚拟机监控器 VMM进行度量，在 VMM的安全性越高，访问的安全性也越高。

现有技术中在对 VMM进行度量时，是利用 CPU的系统管理（System Management Mode , 简称 SMM )模式实现对 VMM中度量代理的度量和验证，并隐蔽触发度量代理（ Measurement Agent )执行，透明的传输度量值，其具体实现方式如下：

首先触发一个系统管理中断（System Management Interrupts , 简称 SMI )进入系统管理模式，强行插入一条虚拟机退出（VM Exit )指令并将计数器的值设定为 1 ,然后退出系统管理模式；此时根据 VM Exit指令， CPU 会进入虚拟机 "根"模式，执行所述 VM Exit指令，会导致计算器的值从 1变成 0 , 然后再通过触发 SMI进入系统管理模式，为度量代理（Measurement Agent )设置执行环境，屏蔽各种中断，以及修改跳转表等，以确定

Measurement Agent的执行不受中断和异常的干扰，在执行环境设置完成之后，退出 SMMS模式，并调用 Measurement Agent对对 CPU上下文和 VMM 的运行数据和代码进行度量，在度量完成之后，第三次触发 SMI, 在系统管理模式下保持度量结果，并将所述度量结果向外设传输，再恢复为执行度量所#文的爹改并返回 VMM继续执行。

在上述执行度量的过程中，由于需要强行插入一条 VM Exit指令，改变当前 CPU的执行路径，破坏了系统的运行过程，降低了系统的稳定性和可靠性，而且 Measurement Agent处于 VMM中，需要 VMM的支持才能完成度量工作，在 VMM处于不安全的情况下时，执行 Measurement Agent获得的度量结果可能都不准确，导致度量的准确性也较低。

综上所述，现有的电子设备在进行度量时，会破坏所述电子设备的操作系统的运行过程，导致安全性低，度量的准确性低的问题。发明内容

本申请实施例通过提供一种度量方法、电子设备及度量系统，用于解决现有的电子设备在进行度量时，会破坏所述电子设备的操作系统的运行过程，导致安全性低，度量的准确性低的问题。

根据本发明的第一方面，提供了一种度量方法，所述方法包括：电子设备从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，根据所述运行代码和所述运行数据，生成第一验证信息；所述电子设备存储所述第一验证信息，并将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量。

结合第一方面，在第一种可能的实现方式中，所述电子设备从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，具体包括：所述电子设备从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息；所述电子设备根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据。

结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述电子设备从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息之后，根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据之前，还包括：所述电子设备对所述存储地址信息和所述存储容量信息进行验证。

结合第一方面的第一种可能的实现方式，在第三种可能的实现方式址信息和存储容量信息，具体包括：在系统管理模式下，所述电子设备从所述 CMOS中读取所述存储地址信息和所述存储容量信息。

结合第一方面的第三种可能的实现方式，在第四种可能的实现方式中，所述在系统管理模式下，所述电子设备从所述 CMOS中读取所述存储地址信息和所述存储容量信息之前，所述方法还包括：所述电子设备在所述 VMM的运行过程中，将所述运行代码和所述运行数据的存储地址信息和存储容量信息进行数字签名，将数字签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中。

结合第一方面或第一种至第四种可能的实现方式中的任一种，在第五种可能的实现方式中，所述电子设备存储所述第一验证信息，具体包括：若当前未存储第一验证信息，所述电子设备存储新生成的所述第一验证信息；若当前已存储第一验证信息，所述电子设备用新生成的所述第一验证信息替换已存储的第一验证信息，或，所述电子设备存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，以使得所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

结合第一方面或第一种至第五种可能的实现方式中的任一种，在第六种可能的实现方式中，所述电子设备存储所述第一验证信息，具体包括：所述电子设备将所述第一验证信息存储到所述电子设备的可信平台模块

TPM芯片中。

结合第一方面或第一种至第六种可能的实现方式中的任一种，在第七种可能的实现方式中，所述电子设备根据所述运行代码和所述运行数据，生成第一验证信息，具体为：所述电子设备对所述运行代码和所述运行数据进行哈希计算，将生成的哈希值作为所述第一验证信息。

根据本发明的第二方面，提供了一种电子设备，包括：数据读取单元，用于从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，验证信息生成单元，用于接收所述数据读取单元发送的所述运行代码和所述运行数据，并根据所述运行代码和所述运行数据，生成第一验证信息；存储单元，用于接收来自所述验证信息生成单元发送的所述第一验证信息，存储所述第一验证信息；发送单元，用于将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量。

结合第二方面，在第一种可能的实现方式中，所述数据读取单元，具体用于从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息，并根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据。

结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述电子设备包括验证单元，用于从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息之后，在根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据之前，对所述存储地址信息和所述存储容量信息进行验证。结合第二方面的第一种可能的实现方式，在第三种可能的实现方式中，所述数据读取单元，具体用于在系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息。

结合第二方面的第三种可能的实现方式，在第四种可能的实现方式中，所述电子设备包括签名单元，所述在系统管理模式下，所述电子设备从所述 CMOS中读取所述存储地址信息和所述存储容量信息之前，用于在所述 VMM的运行过程中，将所述运行代码和所述运行数据的存储地址信息和存储容量信息进行数字签名，将数字签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中。

结合第二方面或第一种至第四种可能的实现方式中的任一种，在第五种可能的实现方式中，所述存储单元，具体用于若当前未存储第一验证信息，则存储新生成的所述第一验证信息；若当前已存储第一验证信息，用新生成的所述第一验证信息替换已存储的第一验证信息，或，存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，以使得所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

结合第二方面或第一种至第五种可能的实现方式中的任一种，在第六种可能的实现方式中，所述存储单元，具体用于将所述第一验证信息存储到所述电子设备的可信平台模块 TPM芯片中。

结合第二方面或第一种至第六种可能的实现方式中的任一种，在第七种可能的实现方式中，所述验证信息生成单元，具体用于对所述运行代码和所述运行数据进行哈希计算，将生成的哈希值作为所述第一验证信息。

根据本发明的第三方面，提供了一种电子设备，包括：硬件存储设备，用于存储虚拟机管理器 VMM运行过程中的运行代码和运行数据；控制器，运行代码和所述运行数据，生成并存储第一验证信息；发送器，用于将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量。

结合第三方面，在第一种可能的实现方式中，所述控制器，具体用于从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息，并根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据。

结合第三方面的第一种可能的实现方式，在第二种可能的实现方式中，所述控制器，具体用于在从 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息之后，在根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据之前，对所述存储地址信息和所述存储容量信息进行验证。

结合第三方面的第一种可能的实现方式，在第三种可能的实现方式中，所述控制器，具体用于在系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息。

结合第三方面的第三种可能的实现方式，在第四种可能的实现方式中，所述控制器，具体用于在系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息之前，在所述 VMM的运行过程中，将所述运行代码和所述运行数据的存储地址信息和存储容量信息进行数字签名，将数字签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中。

结合第三方面或第一种至第四种可能的实现方式中的任一种，在第五种可能的实现方式中，所述控制器，具体用于在当前未存储第一验证信息时，则存储新生成的所述第一验证信息；在当前已存储第一验证信息时，则用新生成的所述第一验证信息替换已存储的第一验证信息，或，存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，以使得所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

结合第三方面或第一种至第五种可能的实现方式中的任一种，在第六种可能的实现方式中，所述控制器，具体用于将所述第一验证信息存储到所述电子设备的可信平台模块 TPM芯片中。

结合第三方面或第一种至第六种可能的实现方式中的任一种，在第七种可能的实现方式中，所述控制器，具体用于对所述运行代码和所述运行数据进行哈希计算，将生成的哈希值作为所述第一验证信息。

根据本发明的第四方面，提供了一种度量系统，包括：电子设备，用于从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，根据所述运行代码和所述运行数据，生成并存储第一验证信息，并将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心；所述可信数据中心，用于接收所述电子设备发送的所述日志信息，并从所述电子设备中获取所述第一验证信息，根据所述日志信息生成的第二验证信息和所述第一验证信息对所述电子设备进行度量。

本发明有益效果如下：

本发明实施例中，本申请技术方案是从硬件存储设备中读取运行代码和运行数据，在根据所述运行代码和所述运行数据，生成第一验证信息，然后存储所述第一验证信息，并将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量，由于所述运行代码和所述运行数据是存储到硬件存储设备中的，而在所述硬件存储设备中篡改所述运行代码和所述运行数据的难度会增大，使得安全性更高，使得生成的所述第一验证信息更准确，进而导致所述可信数据中心根据所述第二验证信息和所述第一验证信息来度量所述电子设备时，能够更准确的对所述电子设备进行度量，由于上述度量过程未破坏操作系统的运行过程，而现有技术中破坏了操作系统的运行过程，从而使得本申请技术方案中的所述电子设备的安全性更高，并能够更准确对所述电子设备进行度量。附图说明

图 1为本发明实施例中度量方法的第一种流程图；

图 2为本发明实施例对存储地址信息和存储容量信息进行签名的流程图；

图 3为本发明实施例中对所述电子设备进行度量的流程图；图 4为本发明实施例中可信数据中心对电子设备度量的流程图；图 5为本发明实施例中电子设备的第一种结构图；

图 6为本发明实施例中电子设备的第二种结构图；

图 7为本发明实施例中度量系统的结构图。具体实施方式

针对现有电子设备在度量过程中存在安全性低，度量的准确性低的技术问题，本发明实施例提出的技术方案中，是将运行代码和运行数据是存储到硬件存储设备中的，而在所述硬件存储设备中篡改所述运行代码和所述运行数据的难度会增大，使得安全性更高，进而使得生成的所述第一验证信息更准确，使得所述可信数据中心根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息来度量所述电子设备时，能够更准确的对所述电子设备进行度量，由于上述度量过程未破坏操作系统的运行过程，从而使得本申请技术方案中的所述电子设备的安全性更高，并能够更准确对所述电子设备进行度量。

下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。

实施例一：

本发明实施例一提出了一种度量方法，如图 1所示，该方法具体处理过程如下：

步骤 101 : 电子设备从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，根据所述运行代码和所述运行数据，生成第一验证信息；

步骤 102: 所述电子设备存储所述第一验证信息，并将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量。理器 VMM过程中的运行代码和运行数据，根据所述运行代码和所述运行数据，生成第一验证信息。

的超级调用表 Hypercall table, 异常处理表 Exception table, 中断描述表

IDT, 全局描述符表 GDT等数据表中包含的数据。

在具体实施过程中，在所述电子设备运行所述 VMM过程中，会将运行所述 VMM过程中的所述运行代码和所述运行数据写入到所述硬件存储设备中，进而使得所述电子设备能够从所述硬件存储设备中读取所述运行代码和所述运行数据，可以对所述运行代码和所述运行数据进行数字摘要计算，例如可以对所述运行代码和所述运行数据进行哈希计算，从而得到所述第一验证信息，其中，在进行所述哈希计算时，可以釆用信息摘要算法 5 ( Message-Digest Algorithm 5简称 MD5 ) 算法或安全哈希 ( Secure Hash Algorithm 简称 SHA1 ) 算法等。

由于所述电子设备在运行所述 VMM过程中 , 会将运行所述 VMM过程中的所述运行代码和所述运行数据写入到所述硬件存储设备中，而在所述硬件存储设备中篡改所述运行代码和所述运行数据的难度会增大，安全性更高，而对所述电子设备进行度量的过程中，需要对所述运行代码和所述运行数据进行相应的计算之后再进行比对，如此，使得在所述运行代码和所述运行数据的安全性较高的情况下，能够提高对所述电子设备进行度量的准确性。

具体的，在对所述运行代码和所述运行数据进行哈希计算计算时，所述电子设备读取所述运行代码和所述运行数据之后，对所述运行代码和所述运行数据进行哈希计算，将生成的哈希值作为所述第一验证信息。

例如，以 MD5算法为例，在台式计算机读取了所述运行代码和所述运行数据假如是" 0111 1000 1100 0101 1001 0001 0000 1110", 在通过 MD5 算法对 "0111 1000 1100 0101 1001 0001 0000 1110"进行运算, 得到的 MD5 值为 ee99d7b0025c7038 ,若所述运行代码和所述运行数据中的任何一字符发生改变，都会导致生成的 MD5值发生改变，进而可以通过 MD5值来确定所述运行代码和所述运行数据是否已被篡改。

VMM过程中的运行代码和运行数据，具体包括：所述电子设备从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息；所述电子设备根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据。

在具体实施过程中，为了进一步提高所述运行代码和所述运行数据的安全性，在运行所述 VMM过程中，将所述存储地址信息和所述存储容量信息存储到所述 CMOS中，然后所述电子设备可以从所述 CMOS中读取所述存储地址信息和所述存储容量信息，并根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据，由于在运行所述 VMM过程中，就将所述存储地址信息和所述存储容量信息存储到所述 CMOS中，降低了所述存储地址信息和所述存储容量信息被篡改的概率，而且将所述存储地址信息和所述存储容量信息存储到硬件设备 CMOS中，进一步降低所述存储地址信息和所述存储容量信息被篡所述存储容量信息获得的所述运行代码和所述运行数据的安全性更高。

具体来讲，在获取所述存储地址信息和所述存储容量信息之后，根据所述存储地址信息的起始地址和所述存储容量信息，确定所述运行代码和所述运行数据，其中，所述存储地址信息可以用逻辑地址和物理地址进行表示，所述存储容量信息例如可以是 1MB , 500KB , 10MB等容量。

例如，以台式计算机为例，在所述台式计算机中 CMOS存储的所述存储地址信息为 0x0001100— 0x0003a00 , 而所述存储容量信息为 5KB , 所述台式计算机首先读取所述存储地址信息的起始地址 0x0001100中存储的数据，再依次读取在 0x0001100之后的存储地址中存储的数据，当所述台式计算机读取的数据的存储容量为 5KB , 停止读取数据，所述台式计算机读取的 5KB的数据为所述运行代码和所述运行数据。

在另一实施例中 ,所述电子设备从 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息，具体包括：在系统管理模式下，所述电子设备从所述 CMOS中读取所述存储地址信息和所述存储容量信息。

在具体实施过程中，可以通过手动或定时触发系统管理中断（System Management Interrupt 简称 SMI ) 进入所述系统管理模式，所述电子设备在所述系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息，由于在所述系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息时，使得所述电子设备的操作系统不可见，从而确保了从所述 CMOS中读取的所述存储地址信息和所述存储容量信息的隐蔽性和安全性。

进一步的，所述在系统管理模式下，所述电子设备从所述 CMOS中读取所述存储地址信息和所述存储容量信息之前，所述方法还包括：所述电子设备在所述 VMM的运行过程中，将所述运行代码和所述运行数据的存储地址信息和存储容量信息进行数字签名，将数字签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中。

在具体实施过程中，为了进一步提高所述存储地址信息和所述存储容量信息的安全性，所述电子设备在所述 VMM的运行过程中，将所述存储地址信息和所述存储容量信息进行数字签名之后写入到所述 CMOS中，进而使得所述电子设备通过验证所述存储地址信息和所述存储容量信息，以此来检测所述存储地址信息和所述存储容量信息是否被篡改，从而使得存储地址信息和所述存储容量信息的安全性得以提高。

其中，在对所述存储地址信息和所述存储容量信息进行数字签名时，可以通过 RSA算法、 DSA算法等算法对所述存储地址信息和所述存储容量信息进行签名，进而可以通过验证来判定所述存储地址信息和所述存储容量信息是否被篡改。

当然，所述电子设备可以通过定时或手动触发 SMI , 然后进入所述系统管理模式，在所述系统管理模式下，再将所述存储地址信息和所述存储容量信息进行数字签名，并将签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中，使得对所述所述存储地址信息和所述存储容量信息进行数字签名，并将数字签名后的数据写入所述 CMOS中的执行过程相对于所述电子设备的操作系统是透明的，即所述操作系统对所述执行过程不可见，从而进一步确保了从所述 CMOS中读取的所述存储地址信息和所述存储容量信息的隐蔽性和安全性。

进一步的，所述电子设备从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息之后，根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据之前，，还包括：所述电子设备对所述存储地址信息和所述存储容量信息进行验证。

在具体实施过程中，由于所述电子设备在将所述内存地址信息和所述存储容量信息存储到所述 CMOS中时，对所述内存地址信息和所述存储容量信息进行了数字签名，因此，在所述述电子设备读取所述内存地址信息和所述存储容量信息之后，还需对所述存储地址信息和所述存储容量信息进行验证，以判定所述内存地址信息和所述存储容量信息是否被篡改，在验证通过之后，即表征所述电子设备确定所述存储地址信息和所述存储容量信息是通过验证时，才根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据，在验证未通过时，则直接结束处理，判定所述电子设备的安全性低，存在访问风险。

由于所述电子设备在从所述 CMOS中读取的是数字签名过的所述存储知道信息和所述存储容量信息，因此需要对数字签名过的所述存储知道信息和所述存储容量信息进行验证，在通过验证时，可以判定所述存储地址信息和所述存储容量信息未被篡改，使得通过所述存储地址信息和所述存储容量信息获取的所述运行代码和所述运行数据的安全性更高，在未通过验证时，则可以判定所述存储地址信息和所述存储容量信息已被篡改，则直接结束处理，判定所述电子设备的安全性低，存在访问风险。

接下来执行步骤 102 , 在该步骤中，所述电子设备存储所述第一验证信息，并将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量

其中，在生成所述日志信息和将所述日志信息传输给所述可信数据中心的过程中，所述日志信息可能被篡改，进而导致所述可信数据中心根据所述日志信息生成的第二验证信息与所述第一验证不同，所述日志信息中记载了所述电子设备从读取所述运行代码和所述运行数据至存储所述第一验证信息之前，所述电子设备执行的每一次操作信息及相应的时间戳信息，进而使得所述可信数据中心根据所述日志信息，能够获取并根据与所述曰志信息对应的所述电子设备在运行虚拟机管理器 VMM过程中的运行代码和运行数据，获得所述第二验证信息。

在具体实施过程中，所述电子设备可以将所述第一验证信息存储到所述电子设备的硬盘、寄存器等硬件存储设备中，以使得所述第一验证信息减少被篡改的概率，进而能够确保所述第一验证信息的安全性，为了进一步提高所述第一验证信息的安全性，可以将所述第一验证信息存储到所述电子设备的可信平台模块 (Trusted Platform Module 简称 TPM)芯片中，具体的，可以将所述第一验证信息存储到所述 TPM芯片中的平台配置寄存器（ Platform Configuration Register 简称 PCR ) 中。

由于 TPM芯片，是指符合由可信赖计算组织（ Trusted Computing Group , 简称 TCG )制定的标准的安全芯片，它能有效地保护 PC、防止非法用户访问，进而能够有效的确保所述第一验证信息的安全性，而且 TPM 芯片能够与所述可信数据中心进行交互，所述可信数据中心可以通过访问点 ( Locality ) 来读取所述 PCR中所述第一验证信息，使得所述可信数据中心可以根据所述第二验证信息和所述第一验证信息对所述电子设备进行度量。

进一步的，所述电子设备在存储所述第一验证信息时，若当前未存储第一验证信息，所述电子设备存储新生成的所述第一验证信息；若当前已存储第一验证信息，所述电子设备用新生成的所述第一验证信息替换已存储的第一验证信息，或，所述电子设备存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，以使得所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

具体来讲，所述电子设备存储所述第一验证信息时，若当前未存储第一验证信息，所述电子设备存储新生成的所述第一验证信息，以及在当前已存储第一验证信息，所述电子设备用新生成的所述第一验证信息替换已存储的第一验证信息时，由于所述电子设备中仅存储有一个所述第一验证信息，进而使得所述可信数据中心能够准确的获取与所述日志信息对应的所述第一验证信息，不会出现所述第一验证信息和所述第二验证信息不对应的问题。

进一步的，在当前已存储第一验证信息时，所所述电子设备存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，由于所述电子设备中存储有多个所述第一验证信息，进而在存储所述第一验证信息时，还需存储新生成所述第一验证信息的第一时间，以使所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

例如，以台式计算机为例，所述台式计算机在 11 : 15:20秒的时刻，在处理数据" 1100 0001 1000 1110，，过程中，生成的所述第一验证信息为 "1001 0001", 而所述台式计算机中的 TPM芯片中的 PCR中已存储有所述第一验证信息为" 0001 1000", 若将" 1001 0001"存储到所述 PCR中而不存储时间，使得所述可信数据中心可能根据数据" 1100 0001 1000 1110"的日志信息生成的第二验证信息和" 0001 1000"来对所述台式计算机进行度量，由于与数据 "1100 0001 1000 1110"对应的所述第一验证信息为 "1001 0001", 从而导致所述可信数据中心对所述台式计算机进行错误的度量，而将生成 "1001 0001"的时间 11 : 15:20秒存储到所述 PCR中时，所述可信数据中心根据所述日志信息中的时间戳，就可以确定所述第一验证信息为" 1001 0001", 而不为 "0001 1000", 进而能够提高对所述电子设备进行度量的准确性。

本申请的技术方案可以基于可扩展固件接口（ Extensible Firmware Interface 简称 EFI )和统一的可扩展固件接口（ Unified Extensible Firmware Interface 简称 UEFI ) 进行实现，具体实施方式如下：

以 EFI为例，参见图 2 , 在 EFI中加入了定时触发和手动触发系统中断度量程序（ Smi Measure handler ) 和系统中断签名程序（ Smi RSA handler ) ，所述 Smi Measure handler ) 中含有 RSA解密验证算法和公钥，以及所述 Smi RSA handler中含有 RSA数字签名算法和 RSA私钥， RSA 公私钥对事先由程序生成。

在所述电子设备进行加电之后， EFI初始化，以引导所述电子设备进行启动，在 EFI初始化完成之后，会初始化 Smi Measure handler和 Smi RSA handler，所述电子设备在启动之后，在启动开放源代码虚拟机监视器（ Xen ) 的过程中，在将 Xen的运行代码及所述运行代码在执行过程中产生的运行数据的存储地址信息和存储容量信息写入 CMOS中的指定地址时，会触发 Smi RSA handler, 对所述存储地址信息和所述存储容量信息进行签名，以使得所述存储地址信息和所述存储容量信息的安全性更高。

参见图 3 , 在通过手动或定时对所述电子设备进行度量时，所述电子设备进入系统管理模式，并调用 Smi Measure handler, 主动从 CMOS中读取所述存储地址信息和所述存储容量信息进行签名验证，在验证通过时，根据所述存储地址信息和所述存储容量信息，获取所述运行代码和所述运行数据，并对所述运行代码和所述运行数据进行哈希计算，获得第一哈希值，并通过 Locality将所述哈希值存储到所述电子设备的 TPM芯片中的 PCR中，然后通过 Locality将所述哈希值存储到 PCR之前最近一次生成的日志信息传输给可信数据中心，然后退出所述系统管理模式，进而使得所述可信数据中心根据所述日志信息生成第二哈希值，若所述日志信息未被篡改，则所述第二哈希值与所述第一哈希值是相同，若所述日志信息被篡改之后，则所述第二哈希值与所述第一哈希值是不同的，因此，通过比对所述第一哈希值和所述第二哈希值，可以对所述电子设备进行度量。另夕卜，本申请技术方案不仅可以在 Xen中执行，还可以在其它的 VMM中执行，例如在 KVM ( kernel-based Virtual Machine )虚拟机中执行，使得所述本申请的计算方案的可移植性更强。

本发明实施例中，本申请技术方案是从硬件存储设备中读取运行代码和运行数据，在根据所述运行代码和所述运行数据，生成第一验证信息，然后存储所述第一验证信息，并将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量，由于所述运行代码和所述运行数据是存储到硬件存储设备中的，而在所述硬件存储设备中篡改所述运行代码和所述运行数据的难度会增大，使得安全性更高，使得生成的所述第一验证信息更准确，进而导致所述可信数据中心根据所述第二验证信息和所述第一验证信息来度量所述电子设备时，能够更准确的对所述电子设备进行度量，由于上述度量过程未破坏操作系统的运行过程，而现有技术中破坏了操作系统的运行过程，从而使得本申请技术方案中的所述电子设备的安全性更高，并能够更准确对所述电子设备进行度量。

下面具体介绍所述可信数据中心的度量过程，具体如下所示：如图 4所示，该度量过程如下：

步骤 401 : 可信数据中心在接收到电子设备发送的日志信息后，根据所述日志信息生成第二验证信息；

步骤 402: 所述可信数据中心从所述电子设备中读取第一验证信息；步骤 403 : 所述可信数据中心将所述第一验证信息和所述第二验证信息进行比对，根据比对结果，对所述电子设备进行度量。

其中，在步骤 401中，可信数据中心在接收到电子设备发送的日志信息后，根据所述日志信息生成第二验证信息。

进一步的，所述可信数据中心例如是台式计算机、笔记本电脑等电子设备。

在具体实施过程中，实施一中已经详细叙述了所述日志信息中记载了所述电子设备从读取所述运行代码和所述运行数据至存储所述第一验证信息之前，所述电子设备执行的每一次操作信息及相应的时间戳信息，进而使得所述可信数据中心根据所述日志信息，能够获取并根据与所述曰志信息对应的所述电子设备在运行虚拟机管理器 VMM过程中的运行代码和运行数据，获得所述第二验证信息。

具体来讲，所述可信数据中心根据所述日志信息，读取所述运行代码和所述运行数据之后，可以对所述运行代码和所述运行数据进行数字摘要计算，例如可以对所述运行代码和所述运行数据进行哈希计算，从而得到所述第一验证信息，其中，在进行所述哈希计算时，可以釆用 MD5算法或 SHA1算法等。

进一步的，所述电子设备和所述可信性数据中心釆用的算法是相同的，进而使得所述日志信息未被篡改时，所述第二验证信息和所述第一验证信息是相同的；而在所述日志信息被篡改时，所述第二验证信息才和所述第一验证信息不同，进而可以根据所述第一验证信息和所述第二验证信息来对所述电子设备进行度量。

例如，所述日志信息会记载了在 10: 15:20秒读取了所述电子设备的存储地址 0x0001100—0x0002a00中的数据，并对所述 0x0001100—0x0002a00 中的数据进行了哈希计算，使得所述可信数据中心根据所述

0x0001100— 0x0002a00 , 再次读取所述 0x0001100— 0x0002a00中的数据，对所述 0x0001100— 0x0002a00中的数据进行哈希计算，生成了作为所述第二验证信息的第二哈希值。

接下来执行步骤 402 , 在该步骤中，所述可信数据中心从所述电子设备中读取第一验证信息。在具体实施过程中，所述可信数据中心首先确定所述第一验证信息存储在所述电子设备的地址信息，根据所述地址信息，从所述电子设备中读取所述第一验证信息。

其中，步骤 401和步骤 402可以同时执行，也可以先执行步骤 402, 再执行步骤 401 , 本申请不作具体限制。

当然，所述可信数据中心还可以接收所述电子设备发送的所述第一验证信息，而不是直接从所述电子设备中读取所述第一验证信息。

具体来讲，在所述第一验证信息存储在所述电子设备中 TPM芯片中的 PCR中时，所述可信数据中心通过 Locality访问所述 TPM芯片，并从所述 PCR中读取所述第一验证信息。

由于所述电子设备可能仅仅存储有一个所述第一验证信息，进而使得所述可信数据中心能够准确的获取与所述日志信息对应的所述第一验证信息，不会出现所述第一验证信息和所述第二验证信息不对应的问题；而当所述电子设备中存储有多个所述第一验证信息时，所述可信数据中心所述可信数据中心根据所述日志信息中的时间信息，从所述电子设备读取所述第一验证信息，以使得从所述电子设备读取所述第一验证信息与所述第二验证信息相对应，再通过所述第一验证信息与所述第二验证信息对所述电子设备进行度量时，能够更准确对所述电子设备进行度量。

例如，以台式计算机为例，所述台式计算机中的 TPM芯片中的 PCR 中存储有" 1001 0001"及其对应的时间信息为 10:15:25秒， "0001 1000"及其对应的时间信息为 10:25: 15秒，而所述可信数据中心提取所述日志信息的时间信息为 10: 15:25秒，进而使得所述可信数据中心从所述 PCR中读取的所述第一验证信息为" 1001 0001", 而不为 "0001 1000",进而使得从所述电子设备读取所述第一验证信息与所述第二验证信息相对应，能够提高对所述电子设备进行度量的准确性。

接下来执行步骤 403 , 在该步骤中，所述可信数据中心将所述第一验证信息和所述第二验证信息进行比对，根据比对结果，对所述电子设备进行度量。

在具体实施过程中，当所述日志信息未被篡改时，所述第二验证信息和所述第一验证信息是相同的，当所述日志信息被篡改时，可能会导致所述第二验证信息和所述第一验证信息不同，如此，使得在所述比对结果表征所述第一验证信息和所述第二验证信息相同时，则可以判定所述电子设备是安全的，能够被访问，否则，则可以判定所述电子设备是不安全的，访问有风险。

例如，当所述可信数据中心根据所述日志信息读取的数据为" 1000 0001 1101 0111 1000", 对" 1000 0001 1101 0111 1000，，进行 MD5计算，获得所述第二验证信息为 662b2elf62680562 , 而所述可信数据中心从所述电子设备中读取的第一验证信息为 24c3d7c9697a7dce , 由于所述第二验证信息和所述第一验证信息不同，即表明所述日志信息比篡改了，则可以判定所述电子设备是不安全的，访问有风险；若所述可信数据中心从所述电子设备中读取的第一验证信息为 662b2elf62680562 , 则可以判定所述电子设备是安全的，能够被访问。

在另一实施例中，所述可信数据中心将所述第一验证信息和所述第二验证信息进行比对，根据比对结果，对所述电子设备进行度量之后，还包括：所述可信数据中心根据所述日志信息，获取所述日志信息中的初始度量信息；所述可信数据中心将保存在所述可信数据中心中的基线值与所述初始度量信息进行比对，基于比对结果，再次对所述电子设备进行度量，其中，所述基线值与所述初始度量信息相对应。

具体来讲，为了使得对所述电子设备进行度量的准确性更高，在根据所述比对结果，对所述电子设备进行度量之后，还可以根据所述日志信息，从 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息，然后根据所述存储地址信息，将所述存储地址信息中的数据划分为至少两部分数据，根据所述至少两部分数据，生成作为所述初始度量信息的至少两个第三验证信息，然后将所述至少两个验证信息与所述基线值进行比较，在所述至少两个第三验证信息与所述基线值相匹配时，则可以判定所述电子设备是安全的，能够被访问，若不匹配，则可以判定所述电子设备是不安全的，访问存在风险。

具体的，所述基线值是所述电子设备在系统管理模式下根据所述所述至少两部分数据，生成的至少两个第四验证信息，生成所述至少两个第四验证信息的实施方式具体可以参考生成所述第一验证信息的实施方式，然后将所述至少两个第四验证信息通过 USB或无线方式传输给所述可信数据中心，在通过将所述至少两个第三验证信息和所述至少两个第四验证信息进行比对，在所述至少两个第三验证信息与所述至少两个第四验证信息相匹配时，则可以判定所述电子设备是安全的，能够被访问，若不匹配，则可以判定所述电子设备是不安全的，访问存在风险。

其中，所述至少两个第四验证信息可以是根据所述运行代码生成的验证信息和根据所述运行数据生成的验证信息。

例如，根据所述运行代码和所述运行数据的存储地址信息，获取所述运行代码和所述运行数据的数据整体大小为 12M, 然后将所述 10M的数据从起始地址开始依次进行均等划分成 3个 4M的数据，从而获得数据模块 1 , 数据模块 2, 和数据模块 3 , 然后分别对数据模块 1 , 数据模块 2和数据模块 3进行 SHA-1计算，获得与数据模块 1对应 Hash- 1 , 与数据模块 2对应 Hash-2 , 以及与数据模块 3对应 Hash-3 , 可以将 Hash-1及生成 Hash-1的时间 a, Hash-2及生成 Hash-2的时间 b, Hash-3及生成 Hash-3 的时间 c存储到所述 PCR中，同时将 Hash-1和 a, Hash-2和 b, hash-3 和 C传输给所述可信数据中心。

进一步的，当所述可信数据中心接收到所述电子设备发送的日志信息，从而可以再次对数据模块 1 , 数据模块 2和数据模块 3进行 SHA-1计算，从而获取与数据模块 1对应 Hash-1-l , 与数据模块 2对应 Hash-2-l , 以及与数据模块 3对应 Hash-3-l , 然后根据所述日志信息中的时间信息，比对 Hash-1和 Hash-1 -1 , 比对 Hash-2和 Hash-2- 1 , 以及比对 Hash-3和 Hash-3 -1 , 在 Hash-1和 Hash-1 -1 , Hash-2和 Hash-2- 1 , 以及 Hash-3和 Hash-3-l均相同时，则可以判定所述电子设备是安全的，能够被访问，若 Hash-1和 Hash-1 -1 , Hash-2和 Hash-2- 1 , 以及 Hash-3和 Hash-3-l中有任何一个不同时，例如 Hash-1和 Hash-1-l不相同时，则可以判定所述电子设备是不安全的，访问存在风险。

本发明实施例中，本申请技术方案是从硬件存储设备中读取运行代码和所述运行数据，在根据所述运行代码和所述运行数据，生成第一验证信息，然后存储所述第一验证信息，并将存储所述第一验证信息之前最近一次生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息和所述第一验证信息对所述电子设备进行度量，由于所述运行代码和所述运行数据是存储到硬件存储设备中的，而在所述硬件存储设备中篡改所述运行代码和所述运行数据的难度会增大，使得安全性更高，进而使得生成的所述第一验证信息更准确，使得所述可信数据中心根据所述日志信息生成的第二验证信息和所述第一验证信息来度量所述电子设备时，能够更准确的对所述电子设备进行度量，由于上述度量过程未破坏操作系统的运行过程，而现有技术中破坏了操作系统的运行过程，从而使得本申请技术方案中的所述电子设备的安全性更高，并能够更准确对所述电子设备进行度量。

实施例二：

本发明实施例二提出了一种电子设备，如图 5所示，所述电子设备包括：

数据读取单元 501 , 用于从硬件存储设备中读取虚拟机管理器 VMM 运行过程中的运行代码和运行数据，

验证信息生成单元 502 , 用于接收所述数据读取单元发送的所述运行代码和所述运行数据，并根据所述运行代码和所述运行数据，生成第一验证信息；

存储单元 503 , 用于接收来自所述验证信息生成单元发送的所述第一验证信息，存储所述第一验证信息；

发送单元 504 , 用于将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量。

其中，所述电子设备例如是台式电脑、笔记本电脑等电子设备，进一电子设备，所述运行数据例如是所述运行代码在运行过程中的调用的超级调用表 Hypercall table, 异常处理表 Exception table, 中断描述表 IDT, 全局描述符表 GDT等数据表中包含的数据。

较佳的，数据读取单元 501 , 具体用于从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息，并根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据。

较佳的，数据读取单元 501 , 具体用于在系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息。

进一步的，所述电子设备包括签名单元 505 , 所述在系统管理模式下，所述电子设备从所述 CMOS中读取所述存储地址信息和所述存储容量信息之前，用于在所述 VMM的运行过程中，将所述运行代码和所述运行数据的存储地址信息和存储容量信息进行数字签名，将数字签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中。

其中，所述电子设备可以通过定时或手动触发 SMI, 然后进入所述系统管理模式，在所述系统管理模式下，再将所述存储地址信息和所述存储容量信息进行数字签名，并将签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中，使得对所述所述存储地址信息和所述存储容量信息进行数字签名，并将数字签名后的数据写入所述 CMOS中的执行过程相对于所述电子设备的操作系统是透明的，即所述操作系统对所述执行过程不可见，从而进一步确保了从所述 CMOS中读取的所述存储地址信息和所述存储容量信息的隐蔽性和安全性。

具体来讲，为了进一步提高所述存储地址信息和所述存储容量信息的安全性，所述电子设备在所述 VMM的运行过程中，将所述存储地址信息和所述存储容量信息进行数字签名之后写入到所述 CMOS中，进而使得所述电子设备通过验证所述存储地址信息和所述存储容量信息，以此来检测所述存储地址信息和所述存储容量信息是否被篡改，从而使得存储地址信息和所述存储容量信息的安全性得以提高。

较佳的，由于所述签名单元对所述存储地址信息和所述存储容量信息进行了数字签名，相应的，所述电子设备还包括验证单元 506 , 用于从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息之后，在根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据之前，对所述存储地址信息和所述存储容量信息进行验证。

由于所述电子设备在从所述 CMOS中读取的是数字签名过的所述存储知道信息和所述存储容量信息，因此需要通过所述验证单元对数字签名过的所述存储知道信息和所述存储容量信息进行验证，在通过验证时，可以判定所述存储地址信息和所述存储容量信息未被篡改，使得通过所述存储地址信息和所述存储容量信息获取的所述运行代码和所述运行数据的安全性更高，在未通过验证时，则可以判定所述存储地址信息和所述存储容量信息已被篡改，则直接结束处理，判定所述电子设备的安全性低，存在访问风险。

较佳的，存储单元 503 , 具体用于若当前未存储第一验证信息，则存储新生成的所述第一验证信息；若当前已存储第一验证信息，用新生成的所述第一验证信息替换已存储的第一验证信息，或，存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，以使得所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

较佳的，存储单元 503 , 具体用于将所述第一验证信息存储到所述电子设备的可信平台模块 TPM芯片中。

由于 TPM芯片，是指符合由可信赖计算组织（ Trusted Computing Group, 简称 TCG )制定的标准的安全芯片，它能有效地保护 PC、防止非法用户访问，进而能够有效的确保所述第一验证信息的安全性，而且 TPM 芯片能够与所述可信数据中心进行交互，所述可信数据中心可以通过访问点 ( Locality ) 来读取所述 PCR中所述第一验证信息，使得所述可信数据中心可以根据所述第二验证信息和所述第一验证信息对所述电子设备进行度量。

较佳的，验证信息生成单元 502 , 具体用于对所述运行代码和所述运行数据进行哈希计算，将生成的哈希值作为所述第一验证信息。

实施例三：

本发明实施例三提出了一种电子设备，如图 6所示，所述电子设备包括：硬件存储设备 601 , 用于存储虚拟机管理器 VMM运行过程中的运行代码和运行数据；控制器 602 , 用于从所述硬件存储设备中读取所述运行代码和所述运行数据，根据所述运行代码和所述运行数据，生成并存储第一验证信息；发送器 603 , 用于将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量。

其中，所述电子设备例如是台式电脑、笔记本电脑等电子设备，进一步的，硬件存储设备 601可以是所述电子设备中的硬盘、寄存器，内存等电子设备，所述运行数据例如是所述运行代码在运行过程中的调用的超级调用表 Hypercall table , 异常处理表 Exception table , 中断描述表 IDT , 全局描述符表 GDT等数据表中包含的数据。

进一步的，控制器 602例如是单独的处理芯片，也可以集成在所述电子设备的处理器中，进一步的，发送器 603例如是 wifi模块，无线网卡等电子设备。

较佳的，控制器 602 , 具体用于从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息，并根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据。

较佳的，控制器 602 , 具体用于在系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息。

较佳的，控制器 602 , 具体用于在系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息之前，在所述 VMM的运行过程中，将所述运行代码和所述运行数据的存储地址信息和存储容量信息进行数字签名，将数字签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中。

较佳的，控制器 602 , 具体用于在从 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息之后，在根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据之前，对所述存储地址信息和所述存储容量信息进行验证。

较佳的，控制器 602 , 具体用于在当前未存储第一验证信息时，则存储新生成的所述第一验证信息；在当前已存储第一验证信息时，则用新生成的所述第一验证信息替换已存储的第一验证信息，或，存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，以使得所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

较佳的，控制器 602 , 具体用于将所述第一验证信息存储到所述电子设备的可信平台模块 TPM芯片中。

较佳的，控制器 602 , 具体用于对所述运行代码和所述运行数据进行哈希计算，将生成的哈希值作为所述第一验证信息。

实施例四：

本发明实施例四提出了一种度量系统，如图 7所示，所述系统包括：电子设备 701 , 用于从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，根据所述运行代码和所述运行数据，生成并存储第一验证信息，并将电子设备 701读取所述运行代码和所述运行数据至电子设备 701存储所述第一验证信息过程中生成的日志信息传输给可信数据中心 702;

可信数据中心 702 , 用于接收电子设备 701发送的所述日志信息，并从所述电子设备中获取所述第一验证信息，根据所述日志信息生成的第二验证信息和所述第一验证信息对电子设备 701进行度量。

其中，可信性数据 702可以连接多个电子设备 701 , 且可以对多个电子设备 701中的每一个电子设备进行度量，用于判定每一个电子设备当前运行环境是安全的，还是存在访问风险的。

进一步的，电子设备 701例如是台式电脑、笔记本电脑等电子设备，电子设备 701具体为实施例一至三中的任意一种电子设备，进一步的，所

Hypercall table , 异常处理表 Exception table, 中断描述表 IDT , 全局描述符表 GDT等数据表中包含的数据。

本领域的技术人员应明白，本发明的实施例可提供为方法、装置（设备）、或计算机程序产品。因此，本发明可釆用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可釆用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、 CD-ROM、光学存储器等）上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、装置（设备）和计算机程序产品的流程图和 /或方框图来描述的。应理解可由计算机程序指令实现流程图和 /或方框图中的每一流程和 /或方框、以及流程图和 /或方框图中的流程和 /或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1、一种度量方法，其特征在于，所述方法包括：

电子设备从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，根据所述运行代码和所述运行数据，生成第一验证信息；

所述电子设备存储所述第一验证信息，并将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量。

2、如权利要求 1所述的方法，其特征在于，所述电子设备从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，具体包括：

所述电子设备从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息；

所述电子设备根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据。

3、如权利要求 2所述的方法，其特征在于，所述电子设备从固件 COMS 中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息之后，根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据之前，还包括：

所述电子设备对所述存储地址信息和所述存储容量信息进行验证。

4、如权利要求 2所述的方法，其特征在于，所述电子设备从 COMS 中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息，具体包括：信息和所述存储容量信息。

5、如权利要求 4所述的方法，其特征在于，所述在系统管理模式下，所述电子设备从所述 CMOS中读取所述存储地址信息和所述存储容量信息之前，所述方法还包括：

所述电子设备在所述 VMM的运行过程中，将所述运行代码和所述运行数据的存储地址信息和存储容量信息进行数字签名，将数字签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中。

6、如权利要求 1~5任一项所述的方法，其特征在于，所述电子设备存储所述第一验证信息，具体包括：

若当前未存储第一验证信息，所述电子设备存储新生成的所述第一验证信息；

若当前已存储第一验证信息，所述电子设备用新生成的所述第一验证信息替换已存储的第一验证信息，或，所述电子设备存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，以使得所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

7、如权利要求 1~6任一项所述的方法，其特征在于，所述电子设备存储所述第一验证信息，具体包括：

所述电子设备将所述第一验证信息存储到所述电子设备的可信平台模块 TPM芯片中。

8、如权利要求 1-7任一项所述的方法，其特征在于，所述电子设备根据所述运行代码和所述运行数据，生成第一验证信息，具体为：

所述电子设备对所述运行代码和所述运行数据进行哈希计算，将生成的哈希值作为所述第一验证信息。

9、一种电子设备，其特征在于，包括：

数据读取单元，用于从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，

验证信息生成单元，用于接收所述数据读取单元发送的所述运行代码和所述运行数据，并根据所述运行代码和所述运行数据，生成第一验证信息；

存储单元，用于接收来自所述验证信息生成单元发送的所述第一验证信息，存储所述第一验证信息；

发送单元，用于将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量。

10、如权利要求 9所述的电子设备，其特征在于，所述数据读取单元，具体用于从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息，并根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据。

11、如权利要求 10所述的电子设备，其特征在于，所述电子设备包括验证单元，用于从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息之后，在根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据之前，对所述存储地址信息和所述存储容量信息进行验证。

12、如权利要求 10所述的电子设备，其特征在于，所述数据读取单元，具体用于在系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息。

13、如权利要求 12所述的电子设备，其特征在于，所述电子设备包括签名单元，所述在系统管理模式下，所述电子设备从所述 CMOS中读取所述存储地址信息和所述存储容量信息之前，用于在所述 VMM的运行过程中，将所述运行代码和所述运行数据的存储地址信息和存储容量信息进行数字签名，将数字签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中。

14、如权利要求 9-13任一项所述的电子设备，其特征在于，所述存储单元，具体用于若当前未存储第一验证信息，则存储新生成的所述第一验证信息；若当前已存储第一验证信息，用新生成的所述第一验证信息替换已存储的第一验证信息，或，存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，以使得所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

15、如权利要求 9~14任一项所述的电子设备，其特征在于，所述存储单元，具体用于将所述第一验证信息存储到所述电子设备的可信平台模块 TPM芯片中。

16、如权利要求 9~15任一项所述的电子设备，其特征在于，所述验证信息生成单元，具体用于对所述运行代码和所述运行数据进行哈希计算，将生成的哈希值作为所述第一验证信息。

17、一种电子设备，其特征在于，包括：

硬件存储设备，用于存储虚拟机管理器 VMM运行过程中的运行代码和运行数据；据，根据所述运行代码和所述运行数据，生成并存储第一验证信息；发送器，用于将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心，以使所述可信数据中心将根据所述日志信息生成的第二验证信息，以及从所述电子设备中获取的所述第一验证信息对所述电子设备进行度量。

18、如权利要求 17所述的电子设备，其特征在于，所述控制器，具体用于从固件 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息，并根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据。

19、如权利要求 18所述的电子设备，其特征在于，所述控制器，具体用于在从 COMS中读取所述运行代码和所述运行数据的存储地址信息和存储容量信息之后，在根据所述存储地址信息和所述存储容量信息，从所述硬件存储设备中读取所述运行代码和所述运行数据之前，对所述存储地址信息和所述存储容量信息进行验证。

20、如权利要求 18所述的电子设备，其特征在于，所述控制器，具体用于在系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息。

21、如权利要求 20所述的电子设备，其特征在于，所述控制器，具体用于在系统管理模式下，从所述 CMOS中读取所述存储地址信息和所述存储容量信息之前，在所述 VMM的运行过程中，将所述运行代码和所述运行数据的存储地址信息和存储容量信息进行数字签名，将数字签名后的所述存储地址信息和所述存储容量信息写入所述 CMOS中。

22、如权利要求 17~21任一项所述的电子设备，其特征在于，所述控制器，具体用于在当前未存储第一验证信息时，则存储新生成的所述第一验证信息；在当前已存储第一验证信息时，则用新生成的所述第一验证信息替换已存储的第一验证信息，或，存储新生成的所述第一验证信息和新生成所述第一验证信息的第一时间，以使得所述可信数据中心根据所述日志信息中的第二时间，以及从所述电子设备中获取的所述第一时间确定用于度量所述电子设备的第一验证信息。

23、如权利要求 17~22任一项所述的电子设备，其特征在于，所述控制器，具体用于将所述第一验证信息存储到所述电子设备的可信平台模块 TPM芯片中。

24、如权利要求 17~23任一项所述的电子设备，其特征在于，所述控制器，具体用于对所述运行代码和所述运行数据进行哈希计算，将生成的哈希值作为所述第一验证信息。

25、一种度量系统，其特征在于，包括：

电子设备，用于从硬件存储设备中读取虚拟机管理器 VMM运行过程中的运行代码和运行数据，根据所述运行代码和所述运行数据，生成并存储第一验证信息，并将所述电子设备读取所述运行代码和所述运行数据至所述电子设备存储所述第一验证信息过程中生成的日志信息传输给可信数据中心；所述可信数据中心，用于接收所述电子设备发送的所述日志信息，并从所述电子设备中获取所述第一验证信息，根据所述日志信息生成的第二验证信息和所述第一验证信息对所述电子设备进行度量。