[发明专利]动态安全度量的实现方法、安全度量装置和应用系统

说明书

技术领域

本发明涉及网络安全技术，更具体地，涉及一种动态安全度量的实现方法、安全度量装置及应用系统。

背景技术

安全度量通常指系统和/或信息的完整性度量。目前，现有系统中通常采用静态度量，即在被度量实体执行时刻或者约定的时刻进行度量。图1是现有技术的应用系统的一个例子的结构示意图。如图1所示，该应用系统10可以包括：通用处理器11、BIOS(Basic Input Output System，基本输入输出系统)12、FW(Firmware，固件)13、操作系统14和应用程序15。通过对应用系统进行静态度量，在一定程度上保障了系统的安全性。

但是，静态度量无法克服被度量实体在度量后使用前被篡改的问题，仍然存在一定的安全隐患，并且由于现有的硬件系统性能较低也无法解决该问题。

发明内容

本发明要解决的一个技术问题是提供一种安全度量装置，能够根据度量比对的结果确定被调用的系统和/或软件信息的完整性。

本发明提供了一种安全度量装置，包括：控制模块，用于获取系统和/或软件信息，向安全处理器发送度量比对指令，并将系统和/或软件信息发送到安全处理器；安全处理器，用于根据来自控制模块的度量比对指令对接收的系统和/或软件信息进行度量操作，并将度量操作获得的度量结果和度量基准值进行比较，根据比较结果返回比较结果状态。

根据本发明安全度量装置的一个实施例，控制模块还用于在应用系统初始化时向安全处理器发送度量存储指令，并将需要被度量的系统和/或软件信息发送到安全处理器；安全处理器还用于根据来自控制模块的度量存储指令对接收的需要被度量的系统和/或软件信息进行度量操作，存储度量操作的结果作为度量基准值。

根据本发明安全度量装置的另一实施例，安全处理器包括：存储器，用于存储度量基准值；宏指令译码器，用于对来自控制模块的度量比对指令进行译码获得散列运算指令和比较指令，将散列运算指令和比较指令分别发送给散列运算IP部件和比较IP部件；散列运算IP部件，用于接收散列运算指令，根据散列运算指令对系统和/或软件信息进行度量操作，将度量结果发送给比较IP部件；比较IP部件，用于接收比较指令，将来自散列运算IP部件的度量结果与存储在存储器中的度量基准值进行比较，输出比较结果。

本发明提供的安全度量装置，根据控制模块发送的度量指令对被调用的系统和/或软件信息进行度量，再将度量后的结果与存储的度量基准值进行比对以根据比对的结果确定被调用的系统和/或软件信息是否被篡改，从而在系统和/或软件信息被加载到应用系统之前接受完整性检查，进而可以保护应用系统的安全。

进一步，通过散列运算IP部件和比较IP部件完成度量比对操作，可以满足完整性度量对硬件系统的性能要求，使得安全度量装置具有较高的性能。

本发明要解决的另一技术问题是提供一种应用系统，能够根据度量比对的结果确定应用系统中被调用的系统和/或软件信息的完整性。

本发明提供了一种应用系统，包括安全度量装置，用于接收应用系统的系统和/或软件信息，对接收的系统和/或软件信息进行度量操作，将度量操作获得的度量结果和度量基准值进行比较，根据比较结果返回比较结果状态。

根据本发明应用系统的一个实施例，安全度量装置包括：控制模块，用于获取系统和/或软件信息，向安全处理器发送度量比对指令，并将系统和/或软件信息发送到安全处理器，返回比较结果状态；安全处理器，用于根据来自控制模块的度量比对指令对接收的系统和/或软件信息进行度量操作，并将度量操作获得的度量结果和度量基准值进行比较，根据比较结果向控制模块返回比较结果状态。

根据本发明应用系统的另一实施例，安全处理器包括：存储器，用于存储度量基准值；宏指令译码器，用于对来自控制模块的度量比对指令进行译码获得散列运算指令和比较指令，将散列运算指令和比较指令分别发送给散列运算IP部件和比较IP部件；散列运算IP部件，用于接收散列运算指令，根据散列运算指令对系统和/或软件信息进行度量操作，将度量结果发送给比较IP部件；比较IP部件，用于接收比较指令，将来自散列运算IP部件的度量结果与存储在存储器中的度量基准值进行比较，输出比较结果。

本发明提供的应用系统，通过其中的安全度量装置来检查应用系统中被调用的系统和/或软件信息的完整性，从而可以保护应用系统的安全。

本发明要解决的又一技术问题是提供一种动态安全度量的实现方法，能够根据度量比对的结果确定被调用的系统和/或软件信息的完整性。