[发明专利]一种BIOS度量的IP核及度量方法

说明书

技术领域

本发明涉及一种BIOS度量的IP核，特别是一种面向可信计算的BIOS度量IP核。 

背景技术

在可信平台上，信任链是一个单向传递链，其间任意一个节点出现问题，尤其是可信根出现问题，将导致整个信任环境建立失败。通常的可信平台中，BIOS作为可信度量根，成为攻击的重点。目前许多新型的攻击手段，如内核BIOS Rootkit，主要通过将恶意代码插入到BIOS中的扩展模块中，随着BIOS的运行而启动，获取系统的控制权。随着扩展性更强的UEFI BIOS的逐渐应用，BIOS Rootkit也将会有更多的变化，更加难以检测和防范。这些攻击方法、方式非常隐蔽，难以发现，如果恶意代码进入到内核或BIOS中，并获得系统管理权限，将无法防止对系统进行破坏或窃取系统中存储的信息。 

发明内容

本发明目的在于提供一种具有BIOS度量功能的IP核，将可信度量根放入安全芯片内部进行物理保护，在系统的启动过程中完成对BIOS的度量校验，保证系统信任链的完整传递。 

本发明是采用以下技术手段实现的： 

一种具有BIOS度量功能的IP核，由LPC接口模块、高速异步FIFO模块、杂凑运算模块、度量值比较模块、Avalon接口模块组成；LPC接口负责通过LPC总线读取BIOS数据，并完成数据宽度转换，将输入的4位宽度的数据转换为32位宽数据，并将读取的BIOS数据写入高速异步FIFO模块；高速异步FIFO模块匹配上下游数据读取速度和转换数据宽度；高速异步FIFO模块的输入数据宽度为32位，而输出数据宽度为512位；杂凑运算模块从高速异步FIFO模块一次性读入512位数据进行杂凑运算，当杂凑运算完成时将HASHFIN信号置1，并将杂凑运算存入度量值比较模块；BIOS度量采用的杂凑算法在四轮迭代过程中的迭代的时间一致；度量值比较模块负责将杂凑运算模块得到的杂凑结果与预期的杂凑值进行比较，并将比较结果通过Avalon接口通知安全芯片主处理器。 

前述的杂凑运算采用四级流水线，每级流水线完成一轮迭代运算，处理数据依次经过四级流水线，每级流水线间利用与数据等宽的寄存器作为数据暂存空间。 

一种具有BIOS度量功能的度量方法，分两层进行并行操作，其中一层为输入并行，另一层为杂凑并行；包括以下步骤： 

1、对输入并行操作，针对可信平台中的需要进行度量的文件、代码、数据等消息的数量比较大的特点，将这些消息编组后，用多个杂凑运算模块同时并行地计算多条消息的消息摘要值； 

2、进行杂凑并行操作，将每个输入的消息分割成多个大小固定的消息块：块1，块2......块M，最后一个消息块如果小于固定大小，则将其填充到固定大小；然后对这些块并行地进行杂凑运算，此时可以选择同时对几个消息块进行杂凑运算，而不是该消息的全部消息块；先对几个消息块进行处理，将其消息摘要存储后，对剩下的消息块继续进行处理，直至全部M个消息块均处理完； 

3、将计算出来的M个消息摘要组合成一个新的消息，将组合后的新消息进行杂凑运算，将其摘要值作为输入的消息的摘要值。 

本发明与现有技术相比，具有以下明显的优势和有益效果： 

1BIOS度量模块可以和安全芯片并行处理任务，提高系统的多任务处理能力； 

2采用流水线设计，能够有效提高BIOS度量速度，减小BIOS度量对系统启动的影响。 

附图说明

图1为BIOS度量IP核组成结构图； 

图2为并行杂凑计算示意图。 

具体实施方式

以下结合说明书附图对本发明的具体实施例加以说明： 

请参阅图1所示，为BIOS度量IP核组成结构图。从图中可以看出，该BIOS度量IP核由LPC接口模块、高速异步FIFO模块、杂凑运算模块、度量值比较模块、Ava lon接口模块组成。 

计算机启动，安全芯片掌握BIOS的访问控制权，然后读取BIOS的全部数据，完成杂 凑运算，并与BIOS完整性度量预期值进行比较。在BIOS完整性校验过程中，安全芯片无法进行其它的初始化操作，为了尽可能减小BIOS完整性校验对系统启动的影响，采用硬件实现BIOS度量模块，一方面通过加快BIOS的校验速度来加快系统的启动速度，另一方面BIOS度量过程完全由BIOS度量模块单独完成，安全芯片可以并行处理其它任务，有效提高安全芯片的多任务处理能力。